INSTITUTO SUPERIOR TECNOLÓGICO NORBERT WIENER

INSTITUTO SUPERIOR TECNOLÓGICO

NORBERT WIENER

Manual del Alumno

ASIGNATURA:

Redes II

PROGRAMA: S3C

Lima-Perú

Windows 2000 Server

Es un sistema operativo que permite coordinar todas las tareas que realiza en su computadora. Windows cuenta con una interfase grafica de usuario denominada GUI, cuando se habla de una interfase grafica de usuario nos referimos a que todas las opciones se manejan por medio de graficas o dibujos, y es por eso que se hace mas cómodo su uso.

Un Sistema Operativo se encarga de adaptar el equipo para que el usuario pueda comunicarse con la maquina ya que sin el seria imposible trabajar con una computadora porque no le entenderíamos su lenguaje ni ella el nuestro. Todas las computadoras deben de tener un programa llamado Sistema Operativo para poder trabajar con ella y nosotros nos inclinaremos para trabajar con Windows, un Sistema Operativo que esta instalado en 9 de cada 10 maquinas que hay, así que tu dirás si es bueno o no.

Windows 2000 provee soporte para aplicaciones de 32 bits, multitarea con desalojo, soporte de red incorporado (TCP/IP,IPX, SLIP, PPP, y Windows Sockets). Incluye MS-DOS 7.0 como una aplicación. Permite soporte para la FAT32 y el Active Desktop. Soporte para USB y DVD. Se diseñó para estaciones de trabajo avanzadas y para servidores pero tiene multiprocesos real, seguridad y protección de memoria.

Está basado en un Microkernel, con un direccionamiento de hasta 4GB de RAM, soporte para sistemas de archivos FAT, NTFS y HPFS, soporte de red incorporado, soporte multiprocesador, y seguridad C2, está diseñado para ser independiente del hardware. Una vez que la parte específica de la máquina - la capa HAL (Capa de Abstracción de Hardware)- ha sido llevada a un máquina particular, el resto del sistema operativo debería compilar teóricamente sin alteración. Otros Elementos nuevos de Windows 2000 son:

Active Directory

Active Directory (Directorio Activo): Es el nuevo servicio de Directorios para este nuevo sistema de WINDOWS2000. El Active Directory almacena información sobre los recursos de la red y provee los servicios que hacen que sea fácil localizarlos, administrarlos y de usar. El Active Directory también provee la administración de una forma de organización centralizada, administración y control de acceso a los recursos de la red.

Semana 1,2

Windows 2000 Server

Objetivos:

Al finalizar este capítulo:

 El participante comprenderá el Entorno de Windows 2000 Server

 Comprender los fundamentos de Instalación y configuración

La información sobre los recursos de la red, como pueden ser usuarios, grupos, ordenadores, impresoras...etc, es almacenado en una base de datos, componente del Active Directory. Estos recursos, llamados Active Directory Objets ( Objetos del Directorio Activo), son almacenados en unas Unidades Oganizativas ( OUs, Organizational Units ) de forma jerárquica. En WINDOWS 2000, tu usas las Unidades Organizativas para organizar objetos dentro de un dominio, asemejándose a una estructura empresarial.

El Active Directory también proporciona un mecanismo de búsqueda dentro de la mencionada jerarquía. Esto se materializa en el Catalogo Global ( Global Catalog GC ). Esta utilidad del Active Directory, nos permite buscar, de una manera muy ágil y sencilla, usuarios, impresoras y de ordenadores.

Sistema de Nombre de Dominios (Domain Name System, DNS)

Sistema de Nombre de Dominios (Domain Name System, DNS). Windows 2000 usa DNS para resolver, o traducir, nombre de ordenadores a direcciones de protocolo de Internet (IP). Windows 2000 también usa DNS como su servicio de nombres de dominio. DNS te permite utilizar el mismo sistema de nombres de dominio de Internet para nombrar tus dominios y los ordenadores de tu dominio. Esto permite a los usuarios de tu red conectar a ordenadores de la red local o en Internet utilizando el mismo sistema de nombres.

El servicio de DNS en Windows 2000 también usa DNS Dinámico (Dynamic DNS, DDNS), permite a los ordenadores clientes con direcciones IP asignadas dinámicamente el poder registrarse directamente en un servidor que de servicio DNS y actualizar la base de datos DNS. Esto reduce la necesidad de editar

manualmente y replicar la base de datos cada vez que ocurra un cambio en la configuración de un cliente DNS.

Políticas de grupo

Políticas de grupo (Group Policy). En Windows 2000, las políticas de grupo define las opciones de configuración de los ordenadores y de los usuarios. Estas opciones de políticas de grupo se guardan en los objetos de políticas de grupos (Group Policy Objects, GPOs), estos pueden ser asociados a uno o más objetos del Active Directory tales como dominios o unidades organizativas. esto te permite definir las configuraciones de ordenador y de usuario para múltiples máquinas y usuarios de tu red y después usar el Active Directory para reforzar las políticas que tu asignes.

Microsoft Management Console

Consola de Administración de Microsoft (Microsoft Management Console, MMC) MMC proporciona un método están para crear, guardar y abrir herramientas administrativas. MMC no proporciona funciones administrativas por si mismo, pero si hospeda aplicaciones de administración llamadas Snap-ins, las cuales puedes usar para ejecutar varias tareas administrativas en Windows 2000. También puedes usar MMC para ejecutar tareas de administración remota sobre ordenadores a través de la red.

Sistema de ficheros Windows NT mejorado (NTFS)

Sistema de ficheros Windows NT mejorado (NTFS), Windows 2000 Server incluye una versión mejorada de NTFS que ofrece soporte para encriptación de archivos, la posibilidad de añadir espacio en disco a una partición NTFS sin reiniciar la máquina, Cuotas de discos por usuarios para monitorizar, limitar el espacio de disco y muchas otras características mejoradas.

Se dice que Windows maneja un ambiente grafico porque todas sus opciones son por medio de gráficos ya sean botones, ventanas, menús, etc. Todo es fácil de reconocer y recordar, se dice que es mejor una imagen que mil palabras y es muy cierto. Imagínate que te mande a buscar a una persona, esta persona se llama Ramón y se encuentra entre otras 200 personas mas, si te doy su nombre tendrías que preguntarles por grupo quien es Ramón en cambio si te doy su foto lo podías reconocerlo sin necesidad de gastar tanta saliva, ves es tan sencillo trabajar con imágenes y eso es lo que hace Windows, no es necesario darle ordenes escritas solo tienes que presionar botones o elegir opciones de menús y eso es todo.

Operaciones básicas con el ratón.

Al ser el ratón (mouse) junto con el teclado, los periféricos de entrada más importantes en Windows, veremos las operaciones básicas que con él, continuamente deberemos utilizar. Éstas son:

Hacer clic: pulsar y soltar de forma continua el botón izquierdo del ratón. Hacer doble clic: pulsar 2 veces consecutivas el botón izquierdo del ratón.

Arrastrar: pulsar el botón izquierdo y sin soltarlo desplazar a otro lugar del escritorio el objeto seleccionado, por ejemplo, un icono de acceso directo.

Pulsar el botón derecho: pulsado sobre cualquier objeto del escritorio, nos aparecerá el denominado “menú contextual” que nos permitirá acceder a distintas operaciones que describiremos posteriormente.

Introducción a los usuarios

Usuarios muestra las dos cuentas de usuario integradas, Administrador e Invitado, así como cualquier cuenta de usuario que cree. Las cuentas de usuario integradas se crean automáticamente al instalar Windows 2000.

Cuenta Administrador

La cuenta Administrador es la que utiliza cuando configura por primera vez una estación de trabajo o un servidor miembro. Esta cuenta se usa para crear una cuenta para usted. La cuenta Administrador es un miembro del grupo Administradores en la estación de trabajo o servidor miembro.

La cuenta Administrador nunca se puede eliminar, deshabilitar ni quitar del grupo local Administradores, lo cual asegura que nunca se pueda bloquear a sí mismo fuera del equipo si elimina o deshabilita todas las cuentas administrativas. Esta característica separa la cuenta Administrador de otros miembros del grupo local Administradores.

Cuenta Invitado

Sólo usan la cuenta Invitado los usuarios que no tienen una cuenta real en el equipo. Un usuario con su cuenta deshabilitada (pero no eliminada) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña. La cuenta Invitado está deshabilitada de forma predeterminada, pero puede habilitarla.

Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados, lo que permite al usuario iniciar sesión en una estación de trabajo o un servidor miembro. Un miembro del grupo Administradores debe conceder derechos adicionales, así como cualquier permiso, al grupo Invitados.

Para crear una cuenta de usuario nueva

Capítulo 2

Administración de Usuarios

Objetivos:

Al finalizar este capítulo:

 El participante podrá crear cuentas de usuarios

 Otorgara directivas de acceso a la red.

Abra: Administración de equipos.

En el árbol de la consola, en Usuarios locales y grupos, haga clic en Usuarios.

Haga clic en Acción y después en Usuario nuevo.

Escriba la información correspondiente en el cuadro de diálogo:

Active o desactive las siguientes casillas de verificación:

El usuario debe cambiar la contraseña en el siguiente inicio de sesión

El usuario no puede cambiar la contraseña La contraseña nunca caduca

Cuenta deshabilitada

Realice una de las acciones siguientes:

Para crear un usuario adicional, haga clic en Crear y repita los pasos 2 y 3. Para finalizar, haga clic en Crear y después en Cerrar

Notas

Para abrir Administración de equipos, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control. Haga doble clic en Herramientas administrativas y, a continuación, doble clic en Administración de equipos.

Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que está administrando. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los siguientes:

" / [ ] : ; | = , + * ? < >

Un nombre de usuario no puede contener sólo puntos (.) o espacios en blanco. En Contraseña y Confirmar, puede escribir una contraseña que contenga hasta 127 caracteres. Sin embargo, si utiliza Windows 2000 en una red que también contiene equipos con Windows 95 o Windows 98, considere el uso de contraseñas con menos de 14 caracteres. Windows 95 y Windows 98 admiten contraseñas de hasta 14 caracteres. Si la contraseña es más larga, es posible que no se puedan iniciar sesiones en la red desde estos equipos.

No debe agregar un usuario nuevo al grupo Administradores a menos que el usuario vaya a realizar únicamente tareas administrativas.

Solo se pueden crear cuentas locales en un Servidor Miembro mas no en Controlador de Dominio

Para eliminar una cuenta de usuario Abra Administración de equipos.

En el árbol de la consola, en Usuarios locales y grupos, haga clic en Usuarios. Haga clic en la cuenta de usuario que desee eliminar.

Haga clic en Acción y después en Eliminar.

Si aparece un mensaje de confirmación, haga clic en Aceptar.

Cuando aparezca el mensaje que le pregunta si desea eliminar la cuenta, haga clic en Sí.

Notas

Para abrir Administración de equipos, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control. Haga doble clic en Herramientas administrativas y, a continuación, doble clic en Administración de equipos.

Cuando necesite quitar cuentas de usuario, es recomendable deshabilitar las cuentas en primer lugar. Cuando esté seguro de que al deshabilitar la cuenta no se causa ningún problema, puede eliminarla de forma segura.

No se puede recuperar una cuenta de usuario eliminada.

Introducción a Active Directory

Active Directory es el servicio de directorio para Windows 2000 Server. Almacena información acerca de objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio de directorio Active Directory utiliza un almacén de datos estructurado como base de una organización lógica jerárquica de la información del directorio.

La seguridad está integrada en Active Directory mediante la autenticación del inicio de sesión y el control de accesos a los objetos del directorio. Con un único inicio de sesión en la red, los administradores pueden administrar datos del directorio y de la organización en cualquier punto de la red, y los usuarios autorizados de la red pueden tener acceso a recursos en cualquier lugar de la red. La administración basada en directivas facilita la tarea del administrador incluso en las redes más complejas.

Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red. Un servicio de directorio, como Active Directory, proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y usuarios de la red. Por ejemplo, Active Directory almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información.

 Antes de examinar detalladamente Active Directory, debe familiarizarse con la siguiente información:

 Servicio de directorio

 Información general acerca de los dominios  Introducción a los bosques y árboles de dominio  Relaciones de confianza entre dominios

 Unidades organizativas

 Introducción a los sitios y servicios de Active Directory  Grupos

 Introducción al esquema de Active Directory  Funciones de servidor

 Servicio de directorio

El servicio de directorio de Active Directory tiene las siguientes características:

Objetivos:

Al finalizar esta semana:

 El participante comprenderá el Directorio de Servicio Activo

 Comprender los fundamentos de la configuración del directorio

Semana 3

Un almacén de datos, también conocido como directorio, que almacena información acerca de los objetos de Active Directory. Estos objetos incluyen normalmente recursos compartidos como servidores, archivos, impresoras y las cuentas de usuario y de equipo de red.

Un conjunto de reglas, el esquema, que define las clases de objetos y los atributos

contenidos en el directorio, las restricciones y los límites en las instancias de estos objetos así como el formato de sus nombres.

Un catálogo global que contiene información acerca de cada uno de los objetos del directorio. Esto permite a los usuarios y administradores encontrar información del directorio con independencia de cuál sea el dominio del directorio que realmente contiene los datos.

Un sistema de índices y consultas, para que los usuarios o las aplicaciones de red puedan publicar y encontrar los objetos y sus propiedades.

Un servicio de replicación que distribuye los datos del directorio por toda la red.

Todos los controladores de dominio de un dominio participan en la replicación y contienen una copia completa de toda la información del directorio de sus dominios. Cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio.

Integración con el subsistema de seguridad para asegurar el proceso de inicio de sesión en la red así como control de acceso tanto de las consultas de datos del directorio como de las modificaciones de los datos.

Para sacarle el mayor provecho a Active Directory, el equipo que tiene acceso a

Active Directory a través de la red debe ejecutar el software de cliente correcto. En

equipos que no ejecutan el software de cliente de Active Directory, el directorio aparecerá igual que un directorio de Windows NT.

Información general acerca de los dominios

Un dominio constituye un límite de seguridad. El directorio incluye uno o más dominios, cada uno de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas: Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro.

Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con autoridad administrativa global.

Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.

Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio de esa manera, Active Directory puede ampliarse y llegar a contener una gran cantidad de objetos.

Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio.

Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios. Al

utilizar un solo dominio se simplifican mucho las tareas administrativas. Introducción a los bosques y árboles de dominio

Varios dominios forman un bosque. Los dominios también pueden combinarse en estructuras jerárquicas denominadas árboles de dominio.

Árboles de dominio

El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo. Esto significa que el nombre de un dominio secundario consta del nombre de ese dominio secundario más el nombre del dominio

principal. En esta ilustración,

secundario.microsoft.com es un dominio secundario de microsoft.com y es el

dominio principal de

secundario2.secundario.microsoft.com. El dominio microsoft.com es el dominio principal de secundario.microsoft.com. Además, es el dominio raíz de este árbol de dominio.

Los dominios de Windows 2000 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio de Windows 2000 recién creado en un bosque o árbol de dominio tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios de Windows 2000 en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.

Bosques

Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio (microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado "soporte", los nombres DNS de esos dominios secundarios serán soporte.microsoft.com y soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres contiguo.

Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque. En la ilustración, microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de confianza transitivas con microsoft.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque, Todos los dominios de Windows 2000 de todos los árboles de dominio de un bosque comparten las siguientes características:

Relaciones de confianza transitivas entre los dominios

o Relaciones de confianza transitivas entre los árboles de dominio

o Un esquema común

o Información de configuración común o Un catálogo global común

Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Relaciones de confianza entre dominios

Una confianza de dominio es una relación establecida entre dos dominios que permite a un controlador de dominio autenticar a los usuarios de otro dominio. Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía.

En la primera ilustración, las confianzas se indican mediante una fecha, que señala al dominio en el que se confía.

En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios implicados en la confianza y la relación de confianza era de un solo sentido. En

Windows 2000, todas las confianzas son transitivas y de dos sentidos. Los dominios

de una relación de confianza confían el uno en el otro de forma automática.

Como se muestra en la ilustración, esto supone que si el dominio A confía en el dominio B y éste confía en el dominio C, los usuarios del dominio C,

cuando se les concedan los permisos

correspondientes, podrán tener acceso a los recursos del dominio A.

Nota

Cuando un controlador de dominio autentica a un usuario, no implica el acceso a ningún recurso de ese dominio. Esto sólo viene determinado por los derechos y permisos que el administrador del dominio concede a la cuenta de usuario para el dominio que confía.

Unidades organizativas

Un tipo de objeto de directorio especialmente útil contenido en los dominios es la unidad organizativa. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la

autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.

Como se muestra en la ilustración, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.

Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. ¿Qué es el Directorio Activo?

En el contexto de una red de equipos, un directorio (también denominado almacén de datos) es una estructura jerárquica que almacena información acerca de los

objetos de la red. Los objetos incluyen recursos compartidos como servidores,

volúmenes compartidos e impresoras, cuentas de usuarios y equipos, así como dominios, aplicaciones, servicios, políticas de seguridad y cualquier elemento de la red.

La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al origen de información del directorio como a los servicios que posibilitan que la información esté disponible y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones. En una situación ideal, un servicio de directorio hace que la topología de la red física y los protocolos (formatos para transmitir datos entre dos dispositivos) sean transparentes, de modo que un usuario pueda tener acceso a cualquier recurso sin saber dónde ni cómo está conectado físicamente.

El Directorio Activo sólo se ejecuta en controladores de dominio. El Directorio Activo, además de proporcionar un lugar para almacenar datos y servicios para que estén disponibles dichos datos, también protege los objetos de la red frente al acceso no autorizado y los replica a través de una red para que no se pierdan datos si se produce un error en un controlador de dominio. Por ejemplo, el Directorio Activo almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información.

Los objetos son las unidades básicas del Directorio Activo. El Directorio Activo almacena información acerca de cada uno de los objetos de la red. Los objetos están formados por un conjunto único de atributos con nombre que representa algo concreto como un usuario, una impresora, un equipo o una aplicación. Los atributos son las características del objeto; por ejemplo, una impresora de red es un objeto y entre sus atributos se incluyen su ubicación, si puede imprimir o no en color y su capacidad en trabajos de impresión.

Dado a que el Directorio Activo representa todos los recursos de la red como objetos - incluyendo servidores, dominios y sitios - en una base de datos distribuida, un administrador puede centralizadamente manejar y administrar estos recursos.

El Esquema

El esquema del Directorio Activo es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en el Directorio Activo. En Windows 2000 sólo existe un esquema para un bosque, de tal forma que todos los objetos creados en el Directorio Activo se basan el las mismas reglas.

Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y las clases también se conocen como objetos del esquema o metadatos.

Los atributos se definen independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases. Por ejemplo, el atributo Descripción se utiliza en muchas clases, pero se define una vez en el esquema, lo que asegura la coherencia.

Las clases, también conocidas como clases de objetos, describen los posibles objetos del directorio que se pueden crear. Cada clase es una colección de atributos. Al crear un objeto, los atributos almacenan la información que describe el objeto. La clase Usuario, por ejemplo, está compuesta de muchos atributos, entre ellos el First Name, Last Name, User Logon Name, etc. Cada objeto en el Directorio Activo es una instancia de una clase de objeto.

El Directorio Activo almacena el esquema, lo cuál significa que el esquema:

Está disponible dinámicamente por las aplicaciones de usuario, permitiendo que las aplicaciones puedan leer el esquema y descubrir que objetos y propiedades se encuentran disponibles.

Puede ser modificado dinámicamente, permitiendo que una aplicación extienda el esquema con nuevos objetos y atributos, y utilizar dichas extensiones inmediatamente.

Puede hacer uso de las lista de control de acceso discrecional (DACLs) para proteger todos los objetos y sus atributos, permitiendo sólo a usuarios autorizados realizar modificaciones en el esquema.

Estructura Lógica del Directorio Activo

El Directorio Activo incluye uno o varios dominios, cada uno con uno o varios controladores de dominio, lo que permite escalar el directorio para satisfacer cualquier requisito de la red. En un árbol de dominios se pueden combinar múltiples dominios y múltiples árboles de dominios se pueden combinar en un bosque.

Agregar dominios al directorio permite dividirlo según directivas diferentes y ampliarlo para acomodar un gran número de recursos y objetos.

Los componentes lógicos de la estructura del Directorio Activo incluyen:  Dominios.

 Unidades Organizativas.  Árboles y Bosques.  El Catálogo Global.  Dominio (Domain)

Un dominio es una frontera de seguridad. El Directorio Activo esta formado de uno o varios dominios, cada uno de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios.. Los objetos y las unidades organizativas existen dentro de un dominio; por tanto, un dominio de Windows 2000 puede contener equipos, cuentas de usuario y grupos.

Los dominios ofrecen varias ventajas:

Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro.

Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con autoridad administrativa global.

Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.

Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio de esa manera, el Directorio Activo puede ampliarse y llegar a contener una gran cantidad de objetos.

Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio.

A diferencia de las versiones anteriores de Windows NT, todos los controladores de dominio de Windows 2000 mantienen una copia del Directorio Activo que se puede modificar. Además, ya no hay distinción entre los controladores principales de dominio y los controladores de reserva. En Windows 2000, todos los controladores de dominio son del mismo nivel.

Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios. Al utilizar un solo dominio se simplifican mucho las tareas administrativas. Se puede combinar los dominios en estructuras denominadas árboles y bosques.

Unidades Organizativas (OUs)

Las unidades organizativas (organizational unit - OU) son contenedores del Directorio Activo en los que puede colocar usuarios, grupos, equipos y otras

unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.

Como se muestra en la ilustración, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.

Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Árboles de Dominios

Un árbol de dominios es una organización jerárquica de dominios Windows 2000. El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un espacio de

nombres contiguo. Esto significa que el nombre de un dominio secundario consta

del nombre de ese dominio secundario más el nombre del dominio principal. En esta ilustración, secundario.techsil.com es un dominio secundario de techsil.com y es el dominio principal de terciario.secundario.techsil.com. El dominio techsil.com es el dominio principal de secundario.techsil.com. Además, es el dominio raíz de este árbol de dominio.

Los dominios de Windows 2000 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Esto significa que un dominio de Windows 2000 recién creado en un bosque o árbol de dominio tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios de Windows 2000 en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.

Bosques (Forest)

Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio (techsil.com y infotech.com) pueden tener ambos un dominio secundario denominado "soporte", los nombres DNS de esos dominios secundarios serán soporte.techsil.com y soporte.infotech.com. Es evidente que en este caso no existe un espacio de nombres contiguo.

Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los

dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque. En la ilustración, techsil.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles de dominio (infotech.com) tienen establecidas relaciones de confianza transitivas con techsil.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque.

Todos los dominios de Windows 2000 de todos los árboles de dominio de un bosque comparten las siguientes características:

Relaciones de confianza transitivas entre los dominios

 Relaciones de confianza transitivas entre los árboles de dominio  Un esquema común

 Información de configuración común  Un catálogo global común

Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Relaciones de Confianza entre Dominios

Una confianza de dominio es una relación establecida entre dos dominios que permite a un controlador de dominio autenticar a los usuarios de otro dominio. Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía.

En la primera ilustración, las confianzas se indican mediante una fecha, que señala al dominio en el que se confía.

En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios implicados en la confianza y la relación de confianza era de un solo sentido. En Windows 2000, todas las confianzas son transitivas y de dos sentidos. Los dominios de una relación de confianza confían el uno en el otro de forma automática.

Como se muestra en la ilustración, esto supone que si el dominio A confía en el dominio B y éste confía en el dominio C, los usuarios del dominio C, cuando se les concedan los permisos correspondientes, podrán tener acceso a los recursos del dominio A.

Nota

Cuando un controlador de dominio autentica a un usuario, no implica el acceso a ningún recurso de ese dominio. Esto sólo viene determinado por los derechos y permisos que el administrador del dominio concede a la cuenta de usuario para el dominio que confía.

El Catálogo Global

De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global. Este controlador de dominio almacena una réplica completa de todos los objetos del directorio de su dominio y una réplica parcial de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque.

La réplica es parcial ya que almacena algunos, pero no todos, de los valores de propiedades de cada objeto del bosque. El catálogo global realiza dos funciones de directorio principales:

Permite el inicio de sesión en la red al proporcionar información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión.

Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente los datos.

Cuando un usuario inicia la sesión en la red, el catálogo global proporciona información de pertenencia a grupos universales para la cuenta que envía la solicitud de inicio de sesión al controlador de dominio. Si sólo hay un controlador de dominio en el dominio, el controlador de dominio y el catálogo global serán el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guarda en el controlador de dominio configurado como tal. Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario sólo podrá conectarse al equipo local.

Importante

Si un usuario pertenece al grupo Administradores de dominio, podrá iniciar la sesión en la red aunque no esté disponible un catálogo global.

En un bosque que contiene muchos dominios, el catálogo global permite que los usuarios efectúen búsquedas en todos los dominios de forma rápida y sencilla, sin tener que buscar en cada dominio individualmente. El catálogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan información.

El catálogo global es una base de datos que se mantiene en uno o varios controladores de dominio. De forma predeterminada, se crea automáticamente un catálogo global en el controlador de dominio inicial del bosque de Windows 2000 y cada bosque debe tener al menos un catálogo global. Si utiliza varios sitios, es recomendable que asigne un controlador de dominio de cada sitio como catálogo global, ya que es necesario tener un catálogo global (que determina la pertenencia a grupos de una cuenta) para llevar a cabo el proceso de autenticación del inicio de sesión. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catálogo global para realizar el inicio de sesión.

Directorio Activo define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos (como la pertenencia a grupos universales) se almacenan en el catálogo global. Con el Esquema del Directorio Activo, puede especificar los atributos adicionales que desea que se mantengan en

el catálogo global. Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red.

Estructura Física del Directorio Activo

La estructura lógica del Directorio Activo es diferente a su estructura física. La estructura lógica se utiliza para organizar los recursos de la red, mientras que la estructura física permite configurar y administrar el tráfico de la red. Los Controladores de Dominios y los Sitios conforman la estructura física del Directorio Activo.

Controladores de dominio

Un controlador de dominio es un equipo donde se ejecuta Windows 2000 Server donde se almacenan datos del directorio y administran las interacciones entre el usuario y el dominio, como los procesos de inicio de sesión, la autenticación y las búsquedas de directorio.

Un dominio puede tener uno o varios controladores de dominio. Una organización de pequeño tamaño que utiliza una sola red de área local (LAN) es posible que solamente necesite un dominio con dos controladores de dominio para obtener la mayor disponibilidad y tolerancia a los errores. Una organización grande con muchas ubicaciones de red necesitará uno o varios controladores de dominio en cada ubicación para el mismo fin.

Los controladores de dominio del Directorio Activo admiten la replicación de múltiples maestros, con lo que se sincronizan los datos en cada controlador y se asegura la coherencia de la información con el paso del tiempo. La replicación de múltiples maestros replica la información del Directorio Activo entre controladores de dominio homólogos, cada uno de los cuales contiene una copia de lectura y escritura del directorio.

Esto representa un cambio con relación al sistema operativo Windows NT Server, en el que sólo el PDC tenía una copia de lectura y escritura del directorio (los BDC recibían copias de sólo lectura del PDC). Una vez configurada, la replicación es automática y transparente.

El Directorio Activo admite la replicación con múltiples servidores principales de datos del directorio entre todos los controladores de dominio del dominio. La replicación con múltiples servidores principales de Windows 2000 Server sincroniza los datos del directorio de cada controlador de dominio, lo que asegura la coherencia de la información a lo largo del tiempo.

Funciones de los maestros de operaciones

La replicación de múltiples maestros en controladores de dominio homólogos no resulta práctica para algunos tipos de cambios, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta solicitudes para dichos cambios. Como la replicación de múltiples maestros desempeña una función fundamental en una red basada en el Directorio Activo, es importante saber cuáles son estas excepciones. En cualquier bosque del Directorio Activo, hay al menos cinco funciones diferentes de servidor principal de operaciones que se asignan a uno o varios controladores de dominio.

Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del único maestro de operaciones se asignan automáticamente al primer controlador de dicho dominio. En un bosque pequeño del Directorio Activo con sólo un dominio y un controlador de dominio, dicho controlador sigue teniendo todas las funciones del maestro de operaciones.

En una red mayor, con uno o varios dominios, se pueden asignar estas funciones a uno o varios controladores de dominio. Algunas funciones deben aparecer en todos los bosques. Otras funciones deben aparecer en cada dominio del bosque.

Sitios (Sites)

Se puede pensar en un sitio de Windows 2000 como un conjunto de equipos en una o varias subredes IP conectadas mediante tecnologías de red de área local (LAN) o como un conjunto de varias redes LAN conectadas mediante una red troncal de alta velocidad (backbone). Los equipos de un único sitio necesitan estar bien conectados, lo cual suele ser una característica de los equipos dentro de una subred. Por el contrario, los sitios independientes se conectan mediante un vínculo que es más lento que la LAN.

En el sistema operativo Windows 2000, los sitios proporcionan los siguientes servicios:

Los clientes pueden solicitar servicios de un controlador de dominio en el mismo sitio (si hay alguno).

El Directorio Activo intenta reducir al mínimo la latencia en la replicación dentro del sitio.

El Directorio Activo intenta reducir al mínimo el consumo de ancho de banda en la replicación entre sitios.

Los sitios permiten programar la replicación entre sitios.

Los usuarios y los servicios deben poder tener acceso a la información del directorio en cualquier momento desde cualquier equipo del bosque. Para que esto sea posible, las incorporaciones, modificaciones y eliminaciones de datos del directorio se deben transmitir (replicar) desde el controlador de dominio de origen a otros controladores del bosque. Sin embargo, hay que sopesar la necesidad de distribuir la información del directorio frente a la necesidad de optimizar el rendimiento de la red.

Es importante comprender que los sitios son independientes de los dominios. Los sitios reflejan la estructura física de la red, mientras que los dominios (si se utilizan varios) normalmente reflejan la estructura lógica de la organización. Las estructuras lógica y física son independientes entre sí, lo que tiene las siguientes consecuencias:

No hay una conexión necesaria entre espacios de nombres de sitios y dominios. No hay una correlación necesaria entre la estructura física de la red y su estructura de dominios. Sin embargo, en muchas organizaciones los dominios se configuran para reflejar la estructura física de la red. Esto se debe a que los dominios son particiones y este hecho influye en la replicación: al dividir el bosque en varios dominios más pequeños se puede reducir el tráfico de replicación.

El Directorio Activo permite que aparezcan varios dominios en un único sitio y que un único dominio aparezca en varios sitios.

Introducción a los grupos

Grupos muestra todos los grupos integrados y los grupos que cree. Los grupos integrados se crearán automáticamente al instalar Windows 2000. Pertenecer a un grupo proporciona al usuario derechos y capacidades para realizar varias tareas en el equipo.

Administradores

Los miembros del grupo Administradores tienen control total sobre el equipo. Sólo a este grupo integrado se conceden automáticamente todos los derechos y capacidades integradas del sistema.

Operadores de copia de seguridad

Los miembros del grupo Operadores de copia pueden hacer copias de seguridad y restaurar archivos en el equipo, independientemente de los permisos que protejan dichos archivos. También pueden iniciar sesión en el equipo y cerrarlo, pero no pueden cambiar la configuración de seguridad.

Usuarios avanzados

Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario pero únicamente pueden modificar y eliminar las cuentas que creen. Pueden crear grupos locales y quitar usuarios de los grupos locales que hayan creado. También pueden quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. No pueden modificar los grupos Administradores u Operadores de copia de seguridad, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoría y seguridad.

Usuarios

Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y cerrar y bloquear la estación de trabajo. Pueden crear grupos locales pero únicamente pueden modificar

SEMANA 4

Administración de Grupos

Objetivos:

Al finalizar este capítulo:

 El participante comprenderá la administración de grupos

 Comprender los fundamentos de permisos NTFS

los grupos locales que hayan creado. No pueden compartir directorios ni crear impresoras locales.

Invitados

El grupo Invitados permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión con una cuenta de Invitado integrada en la estación de trabajo y permite que se les concedan capacidades limitadas. Los miembros del grupo Invitados también pueden cerrar el sistema.

Replicador

El grupo Replicador es compatible con las funciones de replicación de directorios. El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No agregue a este grupo las cuentas de usuario de los usuarios reales.

Para crear un grupo local nuevo Abra Administración de equipos.

En el árbol de la consola, en Usuarios locales y grupos, haga clic en Grupos. Haga clic en Acción y después en Grupo nuevo.

En Nombre de grupo, escriba un nombre para el nuevo grupo. En Descripción, escriba la descripción del nuevo grupo.

Realice una de las acciones siguientes:

Para crear otro grupo, haga clic en Crear y repita los pasos 2 y 3. Para finalizar, haga clic en Crear y después en Cerrar

Notas

Para abrir Administración de equipos, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Panel de control. Haga doble clic en Herramientas administrativas y, a continuación, doble clic en Administración de equipos.

Para agregar uno o más usuarios al nuevo grupo, después del paso 3 haga clic en Agregar.

El nombre de un grupo local no puede coincidir con ningún otro nombre de grupo o de usuario del equipo que se está administrando. Puede contener hasta 256 caracteres, en mayúsculas o minúsculas, excepto los siguientes:

Un nombre de grupo no puede contener sólo puntos (.) o espacios en blanco. Elegir entre NTFS, FAT y FAT32

Puede elegir entre tres sistemas de archivos diferentes para las particiones de disco en un equipo que ejecuta Windows 2000 Advanced Server: NTFS, FAT y FAT32. El sistema recomendado es NTFS. FAT y FAT32 son similares entre sí, excepto en que FAT32 está diseñado para discos de mayor tamaño que FAT. (El sistema de archivos que funciona mejor con discos de gran tamaño es NTFS).

NTFS siempre ha sido un sistema de archivos más eficaz que FAT y FAT32. Windows 2000 Advanced Server incluye una versión nueva de NTFS, con compatibilidad para una gran variedad de características, incluido Active Directory, que es necesario para los dominios, cuentas de usuario y otras características de seguridad importantes.

El programa de instalación facilita la conversión de la partición a la nueva versión de NTFS, incluso si antes utilizaba FAT o FAT32. Este tipo de conversión mantiene intactos los archivos (a diferencia de cuando se da formato a una partición). Si no necesita mantener intactos los archivos y dispone de una partición FAT o FAT32, se recomienda que dé formato a la partición con NTFS en lugar de convertirla desde FAT o FAT32. El hecho de dar formato a una partición borra todos los datos de la partición, pero una partición a la que se da formato con NTFS en vez de convertirla desde FAT o FAT32 tendrá menos fragmentación y mejor rendimiento.

Sin embargo, sigue siendo más ventajoso utilizar NTFS, Nota

Únicamente puede utilizar características importantes como Active Directory y la seguridad basada en dominios si elige NTFS como el sistema de archivos.

Existe una situación en la que es posible que desee seleccionar FAT o FAT32 como sistema de archivos. Si es necesario disponer de un equipo que a veces ejecute un sistema operativo de una versión anterior y otras veces ejecute Windows 2000, deberá tener una partición FAT o FAT32 como partición principal (o de inicio) en el disco duro. Esto se debe a que los sistemas operativos anteriores, con una excepción, no pueden tener acceso a una partición si utiliza la última versión de NTFS. La única excepción es Windows NT versión 4.0 con Service Pack 4 o posterior, que tiene acceso a particiones con la última versión de NTFS, pero con algunas limitaciones. Windows NT 4.0 no puede tener acceso a archivos que se han almacenado mediante características de NTFS que no existían cuando se publicó Windows NT 4.0.

Sin embargo, para cualquier otra situación en la que no existan varios sistemas operativos, el sistema de archivos recomendado es NTFS.

La tabla siguiente describe la compatibilidad de cada sistema de archivos con varios sistemas operativos.

NTFS FAT FAT32

Un equipo que ejecuta Windows 2000

partición NTFS. Un equipo que ejecuta Windows NT 4.0 con Service Pack 4 o posterior puede tener acceso a algunos archivos. Otros sistemas operativos no permiten el acceso.

todas las versiones de Windows, Windows NT, Windows 2000 y OS/2.

Windows 95 OSR2,

Windows 98 y

Windows 2000.

La tabla siguiente compara el disco y los posibles tamaños de archivo con cada sistema de archivos.

NTFS FAT FAT32

El tamaño mínimo de volumen recomendado es aproximadamente de 10 MB.

El tamaño máximo del volumen recomendado en la práctica es de 2 TB (terabytes). Son posibles tamaños mucho mayores.

No puede utilizarse en disquetes.

Volúmenes del

tamaño del disco hasta 4 GB. No admite dominios. Volúmenes entre 512 MB y 2 TB. En Windows 2000,

únicamente puede dar

formato a un volumen FAT32 hasta 32 GB.

No admite dominios.

Tamaño del archivo limitado

únicamente por el tamaño del volumen.

Tamaño máximo

de archivo de 2 GB.

Tamaño máximo de

archivo de 4 GB. Permisos explícitos y heredados

Hay dos tipos de permisos: permisos explícitos y permisos heredados. Los permisos explícitos

Son aquellos que se asignan directamente a un objeto, bien cuando se crea o mediante la acción de un usuario. Por ejemplo, si crea una carpeta llamada Programas, los permisos asignados a esta carpeta serán permisos explícitos.

Los permisos heredados

Son los que se propagan a un objeto desde un objeto primario. Los permisos heredados facilitan la tarea de administrar permisos y asegurar su coherencia entre todos los objetos de un contenedor determinado.

De forma predeterminada, los objetos de un contenedor heredan los permisos desde ese contenedor cuando se crean los objetos. Por ejemplo, cuando crea la carpeta Programas, todas las subcarpetas y archivos creados en la carpeta Programas heredan de forma automática los permisos de la carpeta. De esta manera, la carpeta Programas tiene permisos explícitos, mientras que las subcarpetas y los archivos heredan los permisos.

Cómo afecta la herencia a los permisos de archivos y carpetas

Después de configurar los permisos en una carpeta principal, los archivos y subcarpetas nuevos creados en la carpeta heredan los permisos. Si no desea que los hereden, active Sólo esta carpeta en Aplicar en cuando configure los permisos especiales para la carpeta principal. Cuando desee evitar que sólo algunos archivos

o subcarpetas hereden los permisos, haga clic con el botón secundario del mouse (ratón) en el archivo o subcarpeta, haga clic en Propiedades, haga clic en la ficha Seguridad y, a continuación, desactive la casilla de verificación Hacer posible que los permisos heredables del principal se propaguen a este objeto.

Si las casillas de verificación están sombreadas, el archivo o carpeta ha heredado los permisos de la carpeta principal. Hay tres modos de realizar cambios en los permisos heredados:

Realice los cambios en la carpeta principal y el archivo o la carpeta heredarán estos permisos.

Seleccione el permiso contrario (Permitir o Denegar) para suplantar el permiso heredado.

Desactive la casilla de verificación Hacer posible que los permisos heredables del principal se propaguen a este objeto. Ahora puede realizar los cambios en los permisos o quitar usuarios o grupos de la lista de permisos. Sin embargo, el archivo o la carpeta no heredarán los permisos de la carpeta principal.

Si no se activa ni Permitir ni Denegar para un permiso, es posible que el grupo o usuario hayan obtenido el permiso a través de la pertenencia al grupo. Si el grupo o usuario no han obtenido el permiso a través de la pertenencia a otro grupo, se le deniega implícitamente el permiso al grupo o usuario. Para permitir o denegar el permiso de forma explícita, haga clic en la casilla de verificación correspondiente. Para definir, ver, cambiar o quitar permisos de archivos y carpetas

Abra el Explorador de Windows y, a continuación, busque el archivo o carpeta para los que desea definir permisos.

Haga clic con el botón secundario del mouse (ratón) en el archivo o carpeta, haga clic en Propiedades y, a continuación, en la ficha Seguridad.

Realice una de las acciones siguientes:

Para definir permisos de un grupo o usuario nuevo, haga clic en Agregar. Escriba el nombre del grupo o usuario para el que desee definir permisos para utilizar el formato nombre De Dominio/nombre y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.

Para cambiar o quitar permisos de un grupo o usuario existentes, haga clic en el nombre del grupo o usuario.

En Permisos, haga clic en Permitir o Denegar para cada permiso que desee permitir o denegar. O bien, para quitar el grupo o usuario de una lista de permisos, haga clic en Quitar.

Notas

Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Explorador de Windows.

Es posible definir los permisos de archivos y carpetas sólo en las unidades con formato para utilizar NTFS.

Para cambiar los permisos, debe ser el propietario o haber obtenido permiso del propietario para hacerlo.

Los grupos o usuarios a los que se ha otorgado control total en una carpeta pueden eliminar archivos o subcarpetas de esa carpeta independientemente de los permisos que protegen a los archivos y subcarpetas.

Si las casillas de verificación en Permisos están sombreadas o si el botón Quitar no está disponible, el archivo o carpeta ha heredado los permisos de la carpeta principal.

Permisos de archivo

Entre los permisos de archivo se incluyen Control total, Modificar, Leer y ejecutar, Leer y Escribir. Cada uno de estos permisos se compone de un grupo lógico de permisos especiales. La tabla siguiente enumera cada permiso de archivo y especifica los permisos especiales asociados con el permiso.

Permisos especiales Control _total Modificar Leer _ejecutar y Leer Escribir Recorrer carpeta o ejecutar

archivo x x x

Enumerar carpeta o leer

datos x x x x

Leer atributos x x x x

Leer atributos extendidos x x x x

Crear archivos o escribir

datos x x x

Crear carpetas o agregar

datos x x x

Escribir atributos x x x

Escribir atributos extendidos x x x

Eliminar subcarpetas y archivos x Eliminar x x Leer permisos x x x x x Cambiar permisos x Tomar posesión x Sincronizar x x x x x Notas

Los grupos o usuarios a los que se otorgó el permiso Control total en una carpeta pueden eliminar cualquier archivo de esa carpeta independientemente de los permisos que protejan a ese archivo.

Si desea más información acerca de cómo configurar permisos y las descripciones de cada permiso especial, consulte los temas relacionados.

Permisos de carpeta

Entre los permisos de carpeta se incluyen Control total, Modificar, Leer y ejecutar, Enumerar contenido de carpeta, Leer y Escribir. Cada uno de estos permisos se compone de un grupo lógico de permisos especiales. La tabla siguiente enumera cada permiso de carpeta y especifica los permisos especiales asociados con el permiso.

Permisos

especiales Control total Modificar Leer ejecutar y Enumerar contenido de carpeta Leer Escribir Recorrer carpeta o ejecutar archivo x x x x Enumerar carpeta o leer datos x x x x x Leer atributos x x x x x Leer atributos extendidos x x x x x Crear archivos o escribir datos x x x Crear carpetas o agregar datos x x x Escribir atributos x x x Escribir atributos extendidos x x x Eliminar subcarpetas y archivos X Eliminar X x Leer permisos X x x x x x Cambiar permisos X Tomar posesión X Sincronizar X x x x x x Notas

Aunque los permisos Enumerar contenido de carpeta y Leer y ejecutar parecen tener los mismos permisos especiales, se heredan de forma diferente. El permiso Enumerar contenido de carpeta lo heredan las carpetas y no lo heredan los archivos, y debería aparecer sólo cuando se ven los permisos de carpeta. El permiso Leer y ejecutar lo heredan los archivos y las carpetas, y siempre está presente cuando se ven los permisos de archivo o carpeta.

DNS (Sistema de Nombre de Dominios)

Es una base de datos distribuida que se usa en las redes TCP/IP para traducir los nombres de computadoras(nombres de host) a las direcciones IP.

La resolución de nombres de DNS es diferente a la resolución de nombres que proporciona WINS.WINS resuelve los nombres de NetBIOS a las direcciones IP.Los nombres IP de host que se resuelven usandoDNS resuelve los nombres IP de los host a las direcciones IP.

El espacio de nombres de dominio

El espacio de nombres de dominio es el esquema e denominación que proporciona la estructura jerarquica a la base de datos de DNS.Cada nodo representa una partición de la base de datos de DNS.Estos nodos se denominan dominios.

La base de datos de DNS está ordenada por nombre;por tanto, cada dominio debe tener un nombre.cuando se añaden dominios a la jerarquía,el nombre del dominio padre se añade al dominio del hijo (llamado subdominio).Por lo tanto,el nombre de un dominio identifica su posición en la jerarquía.

El dominio raíz

El dominio raíz se encuentra en el punto más alto de la jerarquía y se representa como un punto(.).El dominio raíz de Internet es gestionado por varias organizaciones,incluyendo Network Solutions,Inc.

Dominios del nivel superior

Los dominios del nivel superior son códigos de nombres de dos o tres caracteres.Los dominios del nivel superior se clasifican por categorías como si el tipo de organización o la ubicación geografica.La siguiente tabla proporciona algunos ejemplos de los nombres del dominio del nivel superior.

Dominio del nivel superior Descripción

gov Organizaciones gubernamentales

com Organizaciones comerciales

edu Instituciones culturales

Semana 7

DNS

Objetivos:

Al finalizar este capítulo:

 El participante comprenderá el Sistema de Nombres de Dominio

 Comprender los fundamentos de los dominios

org Organizaciones no comerciales

au Codigo de país de Australia

Dominios del segundo nivel

Las organizaciones tales como Network Solutions Inc asignan y registran los dominios del segundo nivel a individuos y organizaciones para Internet.Un dominio del segundo nivel puede contener tanto a hosts como a subdominios.Por ejemplo ,Microsoft.com puede tener computadoras tales como ftp.microsoft.com y subdominios tales como dev.microsoft.com.El

subdominio dev.Microsoft.com puede contenr hosts tales como

printerserver1.dev.Microsoft.com

Nombres de host

Los nombres de host se refieren a computadoras especificas de Internet o de una red privada.Por ejemplo en la fig Computer1 es un nombre de host.Un nombre de host es la parte más a la izquierda de un nombre de dominio completamente calificado (FQDN,Fully Qualified Domain Name),que describe la posición exacta de un host dentro de la jerarquia de dominios.En la figura Computer1.sales.micdrosoft.com. (incluendo el puntofinal que representa el punto final,que representa el dominio raíz) es un FQDN.DNS usa el FQDN de un host para resolver un nombre a una dirección IP.

Directrices para la denominación delos dominios

Cuando se crea un espacio de nombres de dominio,se deben tener en consideración las siguientes directrices de dominio y los convenios estándar de denominación.

Limitar el número de niveles de dominio.Normalmente ,las entradas de host de DNS deberían tener en profundiad de tres o cuatro niveles de jerarquía de DNS y no más de cinco niveles de profundidad en la jerarquía.Al aumentar el número de niveles, aumentan las tareas administrativas.

o Usar nombres únicos.Cada subdominio debe tener un nombre único dentro del dominio del padre para asegurarse de que el nombre es único en el espacio de nombres de DNS.

o Usar nombres simples

o Evita nombres de dominio muy largos

o Utilizar caracters estándares de DNS y de Unicode

Zonas

Una zona representa una porción discreta del espacio de nombres de dominio.Las zonas proporcionan una manera de repartir el espacio de nombres de dominio en secciones manejables.

Varias zonas en un espacio de nombres de dominio se utilizan para distribuir tareas administrativas a diferentes grupos.Por ejemplo ,la figura representa el espacio de nombres de microsoft,com dividido en 2 zonas.Las dos zonas permiten que un administrador gestione