En la actualidad, los equipos forman parte de una red, de forma que pueden intercambiar información. La mejor forma de utilizar esta ventaja a nuestro favor es creando un dominio de sistemas en el cual la información se encontrará centralizada en uno o varios equipos.
Windows 2003 Server realiza esta tarea con el Active Directory, el cual almacena información acerca de los recursos de la red y permite que el usuario pueda acceder a estos recursos. Además, Active Directory separa la estructura lógica (los dominios) de la estructura física (la topología de la red).
Windows 2003 Server es compatible con gran cantidad de los protocolos existentes, pudiendo así facilitar su configuración. Ejemplo de estos son: DHCP y DNS
Active Directory y DNS son ambos espacios de nombres. En ellos un nombre es resuelto, como hace el DNS basándose en el protocolo TCP/IP. De esta forma cada dominio se identifica unívocamente y cada equipo forma parte de un dominio, existiendo así dominios y equipos que se presentan como objetos en Active Directory y como nodos en DNS.
Active Directory utiliza DNS para tres funciones principales:
1- Resolución de nombres.
2- Definición del espacio de nombres.
3- Búsqueda de los componentes físico de Active Directory.
La estructura lógica de Active Directory se centra en la administración de recursos de la unidad organizativa, haciéndolo de una forma independiente de su ubicación física y su topología. Esta estructura lógica se basa en un sistema de dominios, dentro de los cuales se subdivide lógicamente el directorio mediante unidades organizativas que permiten que se pueda administrar de forma independiente.
Un dominio es un conjunto de equipos, los cuales comparten una base de datos de directorio común. Usando dominios podemos conseguir una serie de objetivos:
1- Delimitar la seguridad.
2- Replicar Información.
3- Aplicar Políticas o Directivas de Grupo.
4- Delegar Permisos Administrativos.
En ciertas configuraciones es necesario disponer de varios dominios dentro de la misma organización. Esto puede hacerse en Windows 2003 Serverya utilizando un dominio raíz que contiene la configuración y el esquema del bosque, pudiendo agregar a esta raíz subdominios. También se pueden crear dominios "hermano" de la raíz, bajo los cuales se podrán crear los subdominios.
martes, 11 de octubre de 2011
lunes, 10 de octubre de 2011
Protección local en Windows 2003 Server
Windows 2003 Server nos permite un control de los usuarios que acceden al sistema bastante amplio, usando un sistema de cuentas de usuario que permiten almacenar multitud de información sobre estos: Nombre del usuario, Contraseña, Directorio de conexión, Horario, Activada (permite saber que la cuenta está activa) y un campo muy importante, el SID (Secure Identifier, Identificador seguro), que lo genera el sistema de forma automática y que es único en todo el mundo, impidiendo ser suplantado por ningún usuario, aunque sea el administrador.
Los usuarios se administran a su vez en grupos, los cuales agilizan la asignación o restricción de permisos. Existen varios grupos por defecto y podemos crear tantos como queramos.
Los usuarios tienen también derechos, los cuales son atributos que permiten la realización de acciones que afectan al sistema en conjunto y no de forma individual.
Hay dos tipos de derechos, los de conexión (logon rights) y los de privilegios (privileges). Los primeros establecen las formas en las que un usuario puede conectarse al sistema y los segundos hacen referencia a las acciones predefinidas que un usuario puede realizar una vez conecta al sistema.
Además, los recursos del sistema tienen permisos, característica que les permite denegar o conceder acceso de lectura, escritura, ejecución, etc a los usuarios.
La asociación de permisos a carpetas y archivos sigue varias reglas:
1- Al crearse un archivo nuevo este no posee ningún permiso explícito y toma los heredados y explícitos de su carpeta padre. Si se necesitan añadir más se añaden a la lista de explícitos.
2- El control de herencia tiene dos niveles de hacerse: Uno en el que se permite herdar los permisos desde su carpeta padre y un segundo que añade una regla que indica qué recursos podrán heredar los permisos, no heredándolos el resto.
3- Copiar un archivo a otra ubicación es considerado por el sistema como una creación nueva por lo que los permisos explícitos estarán vacíos y los heredados serán los activos de la carpeta padre.
4- Mover un archivo, si se encuentra dentro del mismo volumen, hará que se desactive la herencia y se mantengan los permisos explícitos. Si el volumen es distinto actuará como si fuera una copia de archivos.
Los permisos son acumulativos y van ligados a los SID de los usuarios. En caso de faltar un permiso sobre un objeto supondrá la imposibilidad de realizar dicha acción y si se produjera un conflicto de permisos los negativos tendrán prioridad sobre los positivos, además de que los explícitos tendrán prioridad sobre los heredados.
Los usuarios se administran a su vez en grupos, los cuales agilizan la asignación o restricción de permisos. Existen varios grupos por defecto y podemos crear tantos como queramos.
Los usuarios tienen también derechos, los cuales son atributos que permiten la realización de acciones que afectan al sistema en conjunto y no de forma individual.
Hay dos tipos de derechos, los de conexión (logon rights) y los de privilegios (privileges). Los primeros establecen las formas en las que un usuario puede conectarse al sistema y los segundos hacen referencia a las acciones predefinidas que un usuario puede realizar una vez conecta al sistema.
Además, los recursos del sistema tienen permisos, característica que les permite denegar o conceder acceso de lectura, escritura, ejecución, etc a los usuarios.
La asociación de permisos a carpetas y archivos sigue varias reglas:
1- Al crearse un archivo nuevo este no posee ningún permiso explícito y toma los heredados y explícitos de su carpeta padre. Si se necesitan añadir más se añaden a la lista de explícitos.
2- El control de herencia tiene dos niveles de hacerse: Uno en el que se permite herdar los permisos desde su carpeta padre y un segundo que añade una regla que indica qué recursos podrán heredar los permisos, no heredándolos el resto.
3- Copiar un archivo a otra ubicación es considerado por el sistema como una creación nueva por lo que los permisos explícitos estarán vacíos y los heredados serán los activos de la carpeta padre.
4- Mover un archivo, si se encuentra dentro del mismo volumen, hará que se desactive la herencia y se mantengan los permisos explícitos. Si el volumen es distinto actuará como si fuera una copia de archivos.
Los permisos son acumulativos y van ligados a los SID de los usuarios. En caso de faltar un permiso sobre un objeto supondrá la imposibilidad de realizar dicha acción y si se produjera un conflicto de permisos los negativos tendrán prioridad sobre los positivos, además de que los explícitos tendrán prioridad sobre los heredados.
Suscribirse a:
Entradas (Atom)