7. Administración de Windows 2000 Server 1 Tema 7: Administración de Windows 2000 Server Resumen: –El programa Administración de Equipos –Planificar la implantación de Active Directory –Administración de cuentas de usuario –Administración de cuentas de grupos –Administrar los grupos de directivas
7. Administración de Windows 2000 Server 2 1. Utilizar el Gestor de Consolas (MMC) Introducción –Es el programa que hospeda al resto de herramientas administrativas –Proporciona una interfaz sencilla para las tareas administrativas diarias El entorno del gestor de consolas –Puede ejecutarse en w2k, NT, w9x –Tareas que se pueden realizar: La mayoría de tareas administrativas mediante la misma interfaz Administración centralizada Administración remota de las principales tareas Personalizar la aplicación para que la utilicen los administradores delegados –La ventana del gestor: Entorno parecido al Explorador de Windows Es un contenedor de aplicaciones administrativas
7. Administración de Windows 2000 Server 3 –Las consolas del gestor de consolas: Una consola es un conjunto de una o más programas administrativos Se almacenan en archivos con extensión.msc Cada consola se representa como una ventana hijo de la interfaz principal Una consola contiene: –Un árbol de exploración con los programas de administración organizados en nodos –Un panel en el que se visualiza el contenido del nodo Barra de menú principal: Accion, Ver y Favoritos Tipos de consolas: –Personalizadas: »Para ajustar el programa de administración a las necesidades »Compartir el gestor con otros administradores »Combinar programas de terceros con los existentes –Preconfiguradas: »No se pueden modificar »Se identifican por que no aparece el menú de consola (Consola, Ventana, Ayuda)
7. Administración de Windows 2000 Server 4 »No se cargan todas las consolas administrativas en la instalación »Se puede cargar en un w2k Professional para administrar otros equipos de forma remota Programas administrativos (snaps-in) –Cada consola de gestión se compone de pequeñas herramientas o programas denominadas snaps-in –Cada snap-in es una unidad con funcionalidad de gestión –Son programas preparados para trabajas en el gestor de consolas –Dos tipos: Independientes: realizan las tareas administrativas esenciales Extensiones: –proporcionan funcionalidad extendida a los independientes –Al agregar extensiones, sólo se muestran las que son compatibles con el snap-in que se pretende extender –Pueden extender la funcionalidad mediante opciones del menú contextual o mediante asistentes
7. Administración de Windows 2000 Server 5 –Opciones de consola Cuestiones generales: –Determina el modo en que opera una consola –El modo de la consola afecta al usuario que utiliza una consola almacenada –Dos tipos: modo autor y modo usuario Modo autor: –Si se almacena la consola con este modo, se tiene acceso total –Tareas que se pueden realizar: »Agregar o eliminar snap-ins »Crear nuevas ventanas »Ver cualquier parte del árbol »Almacenar consolas Modo usuario: –Para distribuir consolas entre administradores –Los usuarios tienen acceso restringido a la consola –Tres tipos de modo usuarios: »Acceso completo »Acceso limitado, múltiples ventanas »Acceso limitado, ventana única
7. Administración de Windows 2000 Server 6 Administrar cuentas de grupos –Cuestiones generales: Examinar el modo de utilizar grupos en un dominio y grupos locales Un grupo es una colección de cuentas de usuario Simplifica la aplicación de permisos a un conjunto de usuarios similares También se pueden agregar equipos, contactos y otros grupos Implementar grupos en un dominio: Examinar tres cuestiones: tipos, ámbito y pertenencia Tipos de grupos: –Dos tipos: seguridad y distribución –Grupos seguridad: se utilizan para garantizar el acceso a recursos –Grupos de distribución: agrupación de usuarios a efectos de mensajería Ámbito: indica el ámbito en el que se utiliza el grupo –Dominio local: usuario de cualquier dominio + recursos del dominio –Global: usuarios del dominio + recursos de cualquier dominio –Universal: cualquier usuario + cualquier dominio
7. Administración de Windows 2000 Server 7 Pertenencia: –Los grupos dominio local y global se pueden convertir a universal con tal de que no contengan otros grupos del mismo ámbito Anidamiento de grupos: –Operación de agregar unos grupos a otros: simplifica la administración –Se hace necesario definir una estrategia de anidamiento de grupos en función de las necesidades –Ejemplo: (...) –Se recomienda reducir el nivel de anidamiento a 1 contraejemplo (...) –Un anidamiento efectivo de grupos reducirá el tráfico en la red y simplificará la administración » por ello hay que comprender bien los distintos tipos de grupos –Se debe tener en cuenta el tipo de replicación de cada tipo de grupo
7. Administración de Windows 2000 Server 8 –Estrategias de agrupamiento Utilizar grupos globales y de dominio local: se emplean criterios equivalentes a los utilizados en NT: –Agrupar usuarios con similares responsabilidades en la empresa en un mismo grupo global Contabilidad –Crear grupos de dominio local para el/los recurso/s a los que acceden los usuarios grupo impresoras –Asignar todos los grupos globales con las mismas necesidades de acceso a los recursos en los grupos locales agregar Contabilidad a Impresoras
7. Administración de Windows 2000 Server 9 Utilizar grupos universales: Nuevo elemento de Windows 2000 para superar la barrera del dominio: –Utilizar grupos globales para permitir a los usuarios acceder a recursos de otros dominios –Se debe emplear grupos globales con miembros estáticos –Agregar grupos globales a un grupo universal y asignar permiso de acceso al grupo universal sobre un recurso –Implementar grupos: Criterios para la creación de grupos: –Determinar el ámbito del grupo en función de la finalidad del grupo –Evitar asignar usuarios a grupos universales –Determinar si se disponen de los permisos suficientes para crear grupos Administradores y Operadores de Cuentas (en un dominio) –Elegir el nombre de forma adecuada: intuitivo, descriptivo Creación de grupos: –Usuarios y Equipos de Active Directory –Crear los grupos dentro de la OU Usuarios o de una nueva –Eliminar los grupos que no se necesiten –Creación: nombre, ámbito y tipo
7. Administración de Windows 2000 Server 10 Administrar grupos: –Usuarios y equipos de Active Directory –Agregar miembros: de un dominio, de todo el Active Directory –Modificar el ámbito de un grupo: »De grupo global a universal: conceder permisos en otros dominios »De dominio local a universal –Eliminar un grupo: el SID no se vuelve a utilizar; solo se elimina la agrupación lógica Implementar grupos locales: –Cuestiones generales: Se utilizan para contener usuarios y locales y acceder a recursos locales Dos tipos: dominio, no-dominio Criterios: –Los grupos locales de dominio se crean en el AD; los utilizan los CD para asignar cualquier recurso de los CD del dominio –Los grupos locales no-dominio se gestionan localmente; no aparecen en el AD –Se puede asignar permisos a grupos locales no-dominio para acceder a recursos locales Creación: Administrador de equipos; nombre, descripción y miembros
7. Administración de Windows 2000 Server 11 Grupos predeterminados: –Introducción: Cuatro categorías: globales, dominio local, locales y sistema Tienen un conjunto de derechos predeterminado y una serie de usuarios predeterminados –Grupos globales predeterminados: Al crear un grupo, se le pueden asignar derechos: –Asignándolo a un grupo predeterminado –Asignándole derechos explícitamente
7. Administración de Windows 2000 Server 12 –Grupos de dominio local predeterminados: Asigna a los usuarios derechos sobre el AD Los grupos locales y los de dominio local tienen funciones parecidas
7. Administración de Windows 2000 Server 13 –Grupos locales predeterminados: Administrar cuentas y recursos locales
7. Administración de Windows 2000 Server 14 –Grupos sistemas predeterminados: Existen en todos los equipos Windows 2000 Representa a diferentes usuarios en diferentes momentos
7. Administración de Windows 2000 Server 15 Administrar las directivas de grupo: –Cuestiones generales Controlan la disponibilidad de programas, el escritorio y la configuración del menú inicio Mas que establecer las directivas, se trata de administrarlas: se establecen en el dominio o la red Definen un conjunto de configuraciones que establecen el comportamiento de un objeto y sus hijos Conflictos: impedir el acceso a una aplicación que se necesita –Beneficios de utilizar las directivas de grupo Asegurar el entorno del usuario: –Reducción del tiempo dedicado a resolver incidencias en los equipos de inexpertos (total cost of ownership) impedir cambios Adaptar el entorno del usuario
7. Administración de Windows 2000 Server 16 –Tipos de directivas de grupo:
7. Administración de Windows 2000 Server 17 –Estructura de las directivas de grupo: Los valores de las directivas (configuraciones) se almacenan en un objeto directiva de grupos (GPO) Almacena información en dos sitios: contenedores y plantillas Objetos de directivas de grupos: –Contiene configuración de directivas de sitios, dominios y OU –Las propiedades de las directivas se almacenan en dos objetos: GPC (contenedor) y GPT (plantillas) –Se pueden aplicar uno o más GPO a un sitio, dominio u OU –Se puede asociar una GPO con muchos contenedores y al revés »Pocos datos y estables se almacenan en la GPC »Muchos datos y variables GPT Objetos de directivas de grupos locales: –Todo w2k tiene un objeto GPO y de forma predeterminada solamente se configuran los datos de seguridad –%systemroot%\System32\GroupPolicy –Permisos ACL: »Administrators: Full Control »SYSTEM: Full Control »Authenticated Users: Read & Execute, List Folder Contents, and Read
7. Administración de Windows 2000 Server 18 –GPC y GPT: Contenedores de directivas de grupo: –Los valores de las directivas (configuraciones) se almacenan en un objeto directiva de grupos (GPO) –Objeto de AD que almacena las propiedades del GPO y que incluye subcontenedores con las directivas de equipos y de grupos de usuarios –Tiene información que permite sincronizar la GPC y GPT GPT: –%systemroot%\SYSVOL\sysvol\ \Policies »Se almacena toda la información sobre plantillas administrativas, seguridad, scripts, configuración software –Estructura de la GPT »Se crea una carpeta de nombre el GUID del objeto GPO »Ejemplo: »Se crea un GPO asociado con el dominio uclm.es »%systemroot%\SYSVOL\sysvol\uclm.es\Policies\ {45265FA6-554F-4F74-97CC-61B4663DAE61}
7. Administración de Windows 2000 Server 19 Contenido de la GPT: –Inicialmente se crean las carpetas User y Machine y a medida que se modifican las directivas, se crean nuevas carpetas, junto con el archivo gpt.ini
7. Administración de Windows 2000 Server 20 –El archivo gpt.ini: »La carpeta raíz de cada GPT contiene este archivo »Dos entradas: »Version: comienza con 0 y se incrementa en cada modificación; indica el número de versión del GPO »Disabled: indica si el GPO está o no activo –El archivo registry.pol: »El de la carpeta User se descarga y aplica en la clave HKEY_CURRENT_USER, cuando el usuario inicia la sesión »Idem con el de la carpeta Machine en HKEY_LOCAL_MACHINE »El formato ha cambiado respecto a win95/98 y NT –Aplicar directivas de grupo: –Hay que comenzar creando objetos GPO Crear un GPO: –Se puede crear un GPO en un dominio o una OU mediante Usuarios y Equipos de AD –Seleccionar propiedades del sitio, dominio u OU | ficha directivas de grupo | nueva
7. Administración de Windows 2000 Server 21 –Utilizar el programa Directivas de grupo: En un entorno de AD, las directivas se aplican a usuarios y equipos sobre la base de su pertenencia a sitios, dominios u OU Cada uno contiene tres partes: configuración software, configuración de windows y plantillas administrativas Equipos: –Definen valores de configuración del entorno; se cargan al iniciarse el so y se puede obligar a descargarlas de la red –Si se definen directivas de usuario en un equipo se aplican a todos los usuarios del equipo Usuarios: –Sirven para personalizar el entorno y/o forzar la descarga desde la red –Definen: escritorio, aplicaciones, guiones de inicio y aplicaciones asignadas y publicadas Crear una consola de directiva –Se puede crear una consola por GPO El programa gpedit.msc –Sirve para editar las directivas locales –También se puede editar directivas remotas /gpcomputer:nombre –Se puede abrir cualquier objeto
7. Administración de Windows 2000 Server 22 –Permisos GPO: Al crear un objeto GPO se le asignan una serie de grupos con una serie de permisos: –Ojo: el propietario, administradores de la empresa y administradores del dominio también pertenecen a Usuarios Avanzados –Un GPO no puede abrirse en modo solo lectura: si se abre se puede modificar los cambios se realizan durante la edición –Para poder editar, el usuario debe ser: »Administrador »Propietario »Un usuario con acceso delegado