Indice1. Introducción al entorno de windows nt server2. El modelo de Workgroup4. Instalacion de windows nt server5. El Server6. Protocolo Default7. Instalación de Windows NT Server8. Administracion de dominios9. Administración de las propiedades del Server10. Servicio de net logon11. Administrador de usuarios para dominios12. Utilizando grupos para administrar usuarios13. Grupos Locales14. Grupos Globales15. Estableciendo relaciones de confianza16. Implementación de los cuatro modelos de dominios17. Protección de los datos del server
1. Introducción al entorno de windows nt server
Microsoft Windows NT Server posee avanzadas utilidades de administración que lo hacen un poderoso Sistema Operativo de Red.
Incluye los siguientes servicios:
– Capacidad de controlador de dominio.
– Capacidad de Trust
– Perfiles de usuarios centralizado.
– Replicación de directorio
– Servicio de Acceso Remoto (RAS)
– Servicios para Macintosh
– Mirroring/duplexing de disco (RAID nivel 1)
– Striping con paridad (RAID nivel 5)
– Directory Host Configuration Protocol (DHCP) y Windows Internet Named Services (WINS).
Potente Server para Empresas
En grandes entornos de redes, Windows NT Server da soporte a los siguientes entornos de computación:
– Server de bases de datos
– Servers de mensajería.
– Servers de archivos y de impresión.
– Servers de comunicaciones.
– Servers WEB.
Soporte a múltiples plataformas.
– Intel 80386, 80486, Pentium y procesadores futuros.
– PowerPC.
– MIPS .
– DEC Alpha AXP.
–Computadoras con simple o múltiple procesador (SMP).
Administración Centralizada
Las herramientas de administración de Windows NT Server hace posible trabajar con toda la red desde computadoras corriendo:
– Microsoft Windows 3.x
– Microsoft Windows for Workgroups 3.1x
– Microsoft Windows 95
– Microsoft Windows NT Workstation
– Microsoft Windows NT Server
El modelo de workgroup es un esquema de red en donde los recursos, la administración y la seguridad están distribuidas a través de toda la red. Muchas computadoras pueden ser utilizadas como server y workstation a la vez, con sus propias cuentas de usuarios, administración y políticas de seguridad.
Un workgroup puede contener computadoras basadas en Windows NT Server. Estos servers pueden funcionar como servers de aplicación, con la ventaja que provee NT de RAS y las posibilidades de tolerancia a fallas. Al igual que las otras computadoras del workgroup, la administración de Windows NT está separada de la adminstración de los otros equipos del workgroup. Cada computadora del workgruoup que corra bajo Windows NT necesitará de un administrador para crear las cuentas de usuarios y los recursos compartidos.
Ventajas del modelo de workgroup:
– Facilidad para compartir recursos.
– Recursos distribuídos
– Bajo mantenimiento para los adminstradores
– Diseño e implementación simples
– Conveniente para un numero limitado de computadoras.
– Conveniente para computadoras instaladas en un ambiente cercano.
Desventajas del modelo workgroup:
– Administración no centralizada
– Gestión de cuentas de usuarios no centralizada
– Gestión de acceso a los recursos no centralizada.
– Gestión de la configuración y seguridad de las workstations no centralizada
– Ineficiente para redes con muchas máquinas
– Las cuentas deben ser monitoreadas en cada computadora
– Numerosas cuentas en cada computadora y cuentas duplicadas a través de la red
El modelo de dominio es un esquema de red en donde las administración y la seguridad son centralizadas. Un domino consiste de workstatios y servers en red que:
– Proveen validación de las cuentas de usuario en una base de datos SAM (Security Accounts Manager) común y compartida.
– Definición de permisos a los usuarios para acceder a los recursos en la SAM
– Puede ser administrado como un grupo
En un dominio, las computadoras basadas en Windows NT Server como controladores de dominio o servers. El administrador del dominio crea las cuentas de usuario solamente una vez, en el Controlador Primario del Domino (PDC). La información de las cuentas se copia automáticamente a los Controladores de Dominio de Backup (BDC). Cuando un usuario se logonea al dominio, un controlador de dominio valida el logon, lo chequea en una copia de la base de datos de cuentas de usuarios del dominio para verificar si es correcto el nombre del usuario, el password y las restricciones de logon.
Cuando un administrador de alguna computadora con NT del dominio comparte un recurso de la misma, los permisos pueden ser asignados directamente desde la base de datos de cuentas de usuario del dominio.
Los administradores de red deben determinar cuando es necesario implementar un esquema de dominio. Las computadoras del grupo que conforman el dominio son organizadas básicamente para seguir un propósito común. En una compañía, por ej, cada departamento puede crear su propio dominio. En la práctica, el límite de usuarios para cada dominio depende del hardware destinado para controlar ese dominio (computadoras controladores de dominio).
Dos puntos importantes en el establecimiento de un dominio son:
– Administración centralizada, cuya ventaja es que todas las cuentas de usuario y las políticas de seguridad para toda la red pueden ser manejadas desde un único punto .
– Recursos compartidos, en done la asignación de los permisos para acceder a los recursos en mas estructurada. Esto es muy importante cuando la información critica esta distribuída en muchos puntos de la red.
4. Instalacion de windows nt server
Hay varios puntos a tener en cuenta:
Requerimientos mínimos del sistema
– CPU, uno de los siguientes procesadores:
– basados en 32 bits x86 (80386/25 o superior)
– Pentium
– Basado en RISC, como PReP Power PC, MIPS, y DEC Alpha AXP
– Soporta computadoras hasta con cuatro procesadores
– Monitor:
– VGA o de mayor resolución
– Espacio de disco:
– Uno o mas discos con aproximadamente 125 MB libres en la partición que contendrá NT
– Memoria:
– Mínimo de 16 MB para sistemas x86 y RISC
Nota: Windows NT no puede ser instalado en una partición que ha sido comprimida utilizando productos de compresión no basados en Windows NT como Drive Space por ejemplo.
El server ofrece:
– 402 millones de TB de máxima capacidad de almacenamiento en disco
– hasta 4 GB de tamaño máximo de RAM
– hasta 256 conexiones simultáneas por acceso remoto
A) Selección del Sistema de Archivos
NT soporta los siguientes File Systems:
– FAT:
Puede ser accedido por sistemas operativos como DOS y OS/2. Para tener un doble booteo entre NT y DOS, una partición en la computadora debe ser formateada con FAT en donde DOS pueda correr.
– NTFS:
Solamente es soportado por NT. Cuando la computara es booteada con otro sistema operativo entonces no se podrá acceder a las particiones NTFS.
Si en la computadora solamente se usará NT o si se tienen alguno de estos requerimientos, entonces utilizar NTFS:
– Se deben utilizar los Servicios para Macintosh y se deben almacenar los archivos Macintosh en NT.
– Se requiere seguridad a nivel de archivos
– Se deben migrar directorios y archivos desde un server NetWare y se deben preservar los permisos.
– Se debe utilizar compresión de archivos
Planificación
Es muy importante planificar la instalación del File System de NT. Si se necesita cambiar el file system en alguna partición luego de correr el Setup, se deberá:
– realizar un backup de todos los archivos
– reformatear la partición (se pierden todos los archivos)
– recuperar los archivos del backup
Se puede convertir FAT o HPFS a NTFS sin realizar los pasos previos usando el programa CONVERT.EXE
Consideraciones:
– Si se necesita booteo doble entre NT y DOS, el disco C debe ser FAT
– Si se instala en RISC, se requiere que el disco C sea FAT con un mínimo de 2 MB libre
– NTFS es un file system que solamente provee seguridad local
– Windows NT puede formatear una partición a FAT o NTFS, pero no a HPFS
B) Los roles de los severs del dominio
Antes de instalar Windows NT en alguna computadora de la organización es importante planificar la configuración de la red. Un dominio basado en Windows NT Server puede tener tres tipos de servers:
– Primary Domain Controller (PDC)
– Backup Domain Controller (BDC)
– Server
Estos roles se determinan durante la instalación.
Primary Domain Controller (PDC)
Una computadora en cada dominio se debe instalar como PDC, la cuál es responsable del mantenimiento de las cuentas de usuarios. El PDC se define durante la instalación y debe estar en línea antes de que un BDC sea instalado.
El PDC contiene la lista primaria de cuentas y políticas de seguridad para el dominio. Si algunas de las cuentas sufre modificaciones, las mismas serán incorporadas en el PDC.
Backup Domain Controller (BDC)
El PDC periódicamente replica (copia) la base de datos de cuentas a otras computadoras con Windows NT Server en el dominio designadas durante la instalación como BDC. Un BDC puede autenticar y logonear a usuarios del dominio. Es común tener mas de un BDC.
Si el PDC falla, el administrador puede promover a alguno de los BDC del dominio como PDC. En este caso se pierden aquellas cuentas que han cambiado recientemente y no se habían replicado a los BDC del dominio.
Cualquier BDC puede validar logons de usuarios desde los siguientes clientes:
– Windows NT
– Windows for Workgroups
– Microsoft LAN Manager OS/2
– Clientes MS-DOS con el redirector de red instalado
Otros servers del dominio, conocidos simplemente como servers, se pueden usar como servidores de archivos, impresión y aplicación. No participan en la replicación de cuentas ni en la validación de logons de usuarios, por lo que de esta forma no tienen el overhead que posee los controladores de dominio.
Un server tiene todas las posibilidades que brinda Windows NT Server, incluyendo:
– Soporte para RAS Server hasta 256 conexiones simultáneas
– Tolerancia a fallas
– Servicios para archivos e impresión Macintosh
– Servicios para booteo remoto que soporta clientes MS-DOS y Windows 3.x
Estos servers no pueden ser promovidos a BDC o PDC, sin reinstalar Windows NT Server.
C) Planificando los Controladores del dominio
Antes de decidir que Servers Windows NT instalar como PDC o BDC en un dominio en particular, hay que identificar cuantos dominios vamos a tener en nuestra red. Esto se debe a que cada dominio es identificado por un SID (Separate Security Identifier) para el dominio. Este SID, es usado por todas las cuentas en el dominio.
Importancia de la planificación
En algunos casos , debido a cambios organizacionales, es necesario mover los servidores PDC o BDC de un dominio a otro dominio existente. Solamente hay una manera de cambiar el SID de un controlador de dominio, reinstalando Windows NT Server. La mejor manera de evitar los problemas asociados con la migración es planificar que servidores van a ser PDC o BDC en el dominio. Ya que un Server tiene su propia base de datos de cuentas y su propio SID, puede ser migrado de un dominio a otro.
Creación e instalación de un dominio
En el momento del Setup se muestra un cuadro de diálogo para:
– Instalar la computadora con PDC o BDC, o Server en un dominio
– Instalar la computadora en un Workgroup o en un dominio
Cambiando nombres de dominios
Ya que el SID del dominio identifica unívocamente al dominio, el administrador puede cambiar el nombre del dominio sin dificultad. El nuevo nombre se asociará al SID existente.
Luego de cambiar el nombre en el PDC, el nombre del dominio deberá ser cambiado en las demás computadoras del dominio.
Instalando en un dominio
Si el Windows NT Server será un BDC o server en un dominio, será necesario colocar un nombre de un dominio existente durante el proceso de instalación. El administrador del dominio tendrá que:
– Agregar al dominio, una cuenta para la computadora antes de la instalación
– Darle privilegios al server para que pueda generar automáticamente la cuenta en
el momento de la instalación.
Nombrando un dominio
Si está instalando la computadora como PDC en un nuevo dominio, hay que asegurarse de poner como nombre de dominio alguno que no coincida con nombres existentes de computadora, workgroup o dominio. Dos nombres idénticos en la red, pueden ocasionar serios conflictos.
Modo de licenciamiento
– Licenciamiento por server: cada licencia para acceso de cliente se asigna a un server en particular y permite acceder a este equipo para usar y así utilizar los servicios de red (archivos, impresión, comunicaciones). La conexión se establece a un server, y no a un recurso compartido individual.
Si se especifica este tipo de licenciamiento, entonces durante la instalación, debemos ingresar el número de licencias para accesos de clientes (corresponden al número de conexiones concurrentes) para ese server.
– Licenciamiento por sitio: una licencia para acceso de cliente es aplicada a una estación de trabajo en particular. De esta manera, un ilimitado número de computadoras pueden acceder al server. Si la computadora está ejecutando alguno de los sistemas operativos clientes de Microsoft como WFW, W95, W NT WKS, se requiere una licencia de acceso al server por cada uno de ellos antes de que el cliente se conecte y utilice los recursos del server.
Nota: Por la opción Licenciamiento del Panel de Control uno puede cambiar del modo de Licenciamiento por Server, al modo de Licenciamiento por Sitio (la recíproca no está permitida)
Modos de instalación
– CD-ROM
– Sobre una red
– Diskettes
Instalación sobre una red
Antes de instalar Windows NT Server sobre la red, usted necesitará los archivos de instalación de Windows NT Server en un recurso compartido de la red, esto se puede hacer de dos maneras:
– Copiando la carpeta I386, MIPS, o ALPHA desde el CDROM al recurso compartido.
– Compartir la carpeta I386, MIPS, o ALPHA en el CDROM del server de
Sigue los siguientes pasos: (WINNT.EXE)
– crea un set de diskettes para poder bootear la computadora.
– genera un directorio temporal en donde se copian desde el recurso compartido todos los archivos necesarios para la instalación .
– permite al usuario rearrancar desde el primer diskette de booteo
Modificación del proceso de instalación:
En el proceso de instalación se debe utilizar WINNT.EXE (en caso de realizar una instalación desde un servidor de red a otro que ya tiene Windows NT, se deberá utilizar WINNT32.EXE)
Parámetros opcionales de WINNT.EXE y WINNT32.EXE:
/B Instala sin tener que generar los disquetes. Será necesario utilizar el parámetro /S
/C Elimina el control de espacio disponible en los disquetes de inicio
/ F Desactiva la comprobación de archivos después de copiarlos a los disquetes de inicio.
/I: <archivo> Indica el nombre del archivo de información de la instalación
/O Crea sólo los disquetes de inicio
/OX Crea los disquetes de inicio para una instalación desde CD-ROM o desde disquetes.
/S:<ruta> Indica la ruta de origen de los archivos de Windows NT Server
/T:<directorio> Indica el directorio temporal en el que se guardarán los archivos para la instalación.
/U Hace posible la instalación automática si se utiliza junto al parámetro /S
/X Ejecuta la instalación sin disquetes de inicio
7. Instalación de Windows NT Server
Instalación sobre una partición FAT:
Si la computadora fue instalada con arranque dual entre MS-DOS y Windows NT Server en una partición FAT, es posible retornar a un sistema MS-DOS solamente.
Pasos:
1- Bootear la computadora con un disquete con el sistema DOS. El disco debe contener el SYS.COM
2- Desde el drive A, tipear sys c: (transfiere los archivos de sistema DOS desde el disquete al disco)
3- Bootear la máquina
4- Para liberar espacio del disco borrar:
– C:PAGEFILE.SYS
– C:BOOT.INI (h,s,r)
– C:NT*.* (h,s,r)
– C:BOOTSECT.DOS (h,s,r)
– Directorio WINNT
Instalación sobre una partición NTFS:
Pasos:
1- Arrancar la computadora con el disquete de instalación de NT.
2- Cuando la instalación solicita crear o cambiar una partición, seleccionar la partición NTFS donde los archivos de Windows NT, y luego presionar D para deletear la partición.
3- Luego presionar F3 para salir de la instalación.
Server Manager
Es una herramienta utilizada para administrar computadoras y dominios en una red Windows NT Server. Para administrar un dominio local o remoto, seleccionar el dominio desde la opción Computer del menú. Usted debe ser miembro del grupo Administrators (del dominio seleccionado) para poder administrar las computadoras del dominio
Nota: no confundir la aplicación Server en el Panel de Control con el Server Manager. La aplicación Server puede manejar las propiedades solamente de la computadora local. El Server Manager puede manejar las propiedades de la computadora local y las computadoras remotas
Funciones del Server Manager:
– Mostrar las computadoras del dominio
– Manejar las propiedades y los servicios de una computadora seleccionada
– Agregar y remover computadoras del dominio
– Promover BDC a PDC
– Sincronizar los BDC con el PDC
– Administrar los recursos compartidos (directorios, impresoras, etc)
– Enviar mensajes a usuarios conectados
Iconos del Server Manager
Agregar una computadora al dominio
Eliminar una computadora del dominio
Cambiar una computadora de dominio
Promoviendo un BDC a PDC
Se necesita promover un BDC a PDC por ejemplo cuando el PDC debe ser apagado por rutinas de mantenimiento. Si el PDC está activo es posible intercambiar los roles con algún BDC.
Importante: el promover un BDC a PDC implica que el PDC existente pasa a ser BDC. Si el PDC está inactivo en la red y no se promovió ningún BDC, los cambios en las cuentas de usuarios y en las políticas de seguridad no podrán ser implementados, sin embargo los usuarios podrás ser logoneados y validados al dominio.
Si el PDC está inactivo, un BDC podrá ser promovido a PDC, pero algunos cambios recientes no tendrán efecto. Cuando el PDC original ser vuelve a activar, NT le avisa que ya hay otro PDC en la red, entonces su Net Logon Service fallará al arrancar y el Server Manager lo mostrará grisado. Se necesita del administrador para volver al PDC a su condición original
Sincronizando BDCs con el PDC
La sincronización de la base de datos de cuentas de usuario copia las nuevas cuentas de usuario, grupos o información de passwords desde el PDC al BDC(s).
Dependiendo de la computadora seleccionada, se puede sincronizar en una o en dos vías:
– Si se selecciona algún BDC, se puede sincronizar el BDC seleccionado con el PDC.
– Si se selecciona el PDC, se sincronizará desde el PDC a todos los BDC en el dominio.
La sincronización con el PDC es necesaria cuando se están realizando cambios en la base de datos de usuarios y los mismos deben ser testeados inmediatamente. Los BDC pueden validar logons y brindar información de las cuentas pero si los cambios hechos en la base de cuentas de usuarios del PDC no han sido copiados a los BDC que validan logons los tests sobre ellos fallaran.
La sincronización de BDCs resuelve problemas relacionados a contraseñas que no coinciden y accesos que han sido creados por usuarios que no corresponden. También ayuda a resolver problemas relacionados a el acceso a recursos o a tareas de red.
9. Administración de las propiedades del Server
– Sesiones de usuarios: el hecho de poder observar para cada server las sesiones de usuarios conectados al mismo, nos puede ayudar a monitorear la performance de la red.
El administrador puede observar:
– todos los usuarios de la red conectados a la computadora.
– los recursos abiertos por cada usuario.
Además podrá saber:
– que recursos compartidos están en uso
– cuantos usuarios están conectados a ese recurso
– cuanto tiempo ha estado conectado el usuario a ese recurso
El administrador puede desconectar a uno o a todos los usuarios, la razón para hacerlo puede ser el bajar el servicio de server o apagar la computadora.
Nota: debe recordar que la desconexión de los usuarios es "pasiva", ya que los mismos podrán reconectarse usando nuevamente una conexión. Para prevenir esto, se debe pausar el servicio de server.
Usuarios conectados: muestra la lista de los usuarios conectados a la computadora. Al seleccionar un usuario muestra los recursos compartidos a los que el usuario está conectado.
Campos:
– Connected Users: el nombre de usuario del usuario conectado.
– Computer:el nombre de la computadora donde el usuario está logoneado.
– Opens:el número de recursos que el usuario ha abierto en la computadora.
– Time: el tiempo transcurrido desde que se ha establecido la conexión.
– Idle: el tiempo transcurrido desde el último acceso del usuario.
– Guest:cuando el usuario se conecta a la máquina como invitado.
Recursos: al seleccionar el usuario se visualizan los recursos a los que él está conectado.
Campos:
– Resource el nombre del recurso compartido al que el usuario está conectado.
– Opens:el numero de "abiertos" que tuvo el usuario para el recurso.
– Time:el tiempo transcurrido desde que el recurso fue abierto por primera vez.
Envío de mensajes a los usuarios conectados: en algunos casos es necesario que los usuario conectados a la máquina se enteren por ejemplo, que serán desconectados de un determinado recurso o que el servicio de server será cerrado.
Para enviar un mensaje a todos los usuarios conectados a la computadora, desde el menú Computer seleccionar Send Message. El Messager Service deberá estar corriendo para enviar mensajes. Este servicio está activo por default en NT.
Nota: para enviar un mensaje a un usuario en particular, utilizar el comando net send username message .
– Administración de recursos compartidos:
Campos:
– Sharename:el nombre del recurso compartido (directorio, impresora, named pipe)
– Uses:el número de conexiones al recurso compartido
– Path: el path del directorio compartido
– Connected Users:el nombre de usuario de los usuarios conectados al recurso compartido seleccionado
– Time:el tiempo transcurrido desde la primer conexión del usuario al recurso
– InUse:cuando el usuario tiene algunos archivos abiertos en el recurso compartido
Un administrador puede usar esta herramienta para desconectar uno o todos los usuarios conectados a todos los recursos compartidos de la computadora. Esto es apropiado si el administrador necesita que otro usuario se conecte a un directorio compartido que actualmente está en el máximo permitido en cuanto a conexiones de usuarios. También es útil en el caso que los usuarios hayan apagado sus computadoras sin cerrar la sesión de logon o sin desconectar conexiones a los recursos compartidos de la computadora.
– Administración de recursos en uso: el administrador puede cerrar uno o todos los recursos.
Campos:
– Open Resources:el número total de recursos abiertos en la computadora.
– File Locks:el número total de archivos bloqueados en los recursos abiertos.
– Opened by:el nombre de usuario que está abriendo el recurso.
– For:los permisos garantizados para el recurso abierto por usuario.
– Locks:el número de bloqueos en el recurso para el usuario.
– Path: el path del recurso abierto.
– Alertas: se pueden enviar a varios usuarios. Usted puede entrar un nombre de usuario en el New Computer o Username box, y agregarlo a la lista de destinatarios del alerta administrativa. Cuando ocurre una alerta administrativa, como la caída del servicio de la UPS, el destinatario en la lista recibe el mensaje para poder actuar sobre el alerta ocurrido.
La comunicación que se establece entre dominios es gobernada por el servicio de Net Logon. El servicio de Net Logon es iniciado por default en el arranque de Windows NT. Este servicio provee tres funciones:
– Validación de logons: cuando algún usuario se logonea al dominio Windows NT Server, el servicio de Net Logon valida el usuario.
– Autenticación por Pass-through: cuando una cuenta de usuario debe ser validada, pero la computadora o dominio local no pueden validar la cuenta. En este caso, el nombre de usuario y la password son enviadas a un controlador de dominio Windows NT Server que pueda validar el usuario, y la información del usuario es retornada a la computadora que realizó el requerimiento.
– Sincronización del BDC(s) con el PDC: permite que las bases de datos de cuentas de usuario y de seguridad sean sincronizadas entre el controlador de dominio primario y los controladores de dominio de backup.
La sincronización (replicación) de base de datos de cuentas ocurre cuando un PDC copia o replica la base de datos con los BDCs del mismo dominio. Una sincronización full ocurre cuando el PDC envía la base de datos entera al BDC. Una sincronización parcial ocurre cuando el PDC envía solo los cambios en la base de datos de usuarios. El servicio de Net Logon controla este proceso de sincronización.
Cuando la sincronización ocurre, el PDC anuncia que un cambio en la base de datos de usuarios ha ocurrido. Un BDC entonces llama al PDC, solicitándole al PDC que le envíe los cambios.
No es necesario realizar una sincronización full cuando la la información del PDC cambia. El PDC puede variar el nivel de sincronización para cada BDC.
El PDC envía un mensaje anunciando un cambio en la base de datos de cuentas de usuarios solamente a los BDC que necesita el cambio, no a todos los BDC. Estos mensajes son enviados a un subconjunto de controladores de dominio en cada pulso (el subconjunto es definido por el parámetro PulseConcurrency). Esto previene que todos los BDC respondan simultáneamente, y ayuda a reducir el trafico de red y también asegura que el PDC no sea saturado por los BDC.
Sincronización sobre un acceso WAN de baja velocidad: Un BDC usa el parámetro ReplicationGovernor, en la Registry para incrementar la performance de la sincronización sobre un acceso WAN lento.
Por cada BDC , ReplicationGovernor define el tamaño de los datos a transferir en cada llamada al PDC, y la frecuencia de esas llamadas. El ajuste de este parámetro afecta en dos sentidos. Primero, reduce el tamaño del buffer usado en cada llamada desde el BDC al PDC, asegurando que una simple llamada no consuma todo el ancho de banda del acceso. Segundo, afecta al servicio de Net Logon en el sentido que le hace hacer una pausa entre una llamada y otra, permitiendo de esta manera, que otra aplicación pueda hacer uso del vinculo WAN.
Este parámetro puede ser agregado a la Registry del BDC bajo la siguiente clave:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetLogonParameters
Para agregar este parámetro, asignar REG_DWORD con un valor entre 0 y 100. Este valor define y porcentaje para la cantidad de información a transmitir en cada llamada al PDC y la frecuencia entre esas llamadas. Por ejemplo con un valor de 0 el Net Logon nunca sincronizará.
11. Administrador de usuarios para dominios
Una cuenta de usuario de Windows NT consiste en le nombre del usuario y la contraseña requerida para que el usuario se pueda logonear, los grupos en donde el usuario es miembro, y los derechos que posee el usuario para utilizar el sistema.
También incluye mas información como el nombre completo del usuario, la descripción de la cuenta, la información del perfil del usuario, un lista de workstations logoneadas, un schedule de horas de logon, y mas.
Dos de las cuentas de usuario, Administrator y Guest son creadas cuando un dominio Windows NT es instalado. Usted puede crear cuentas adicionales para otros usuarios que deberán logonearse al dominio, y además se pueden modificar cuentas existentes. Por otro lado, se puede crear y administrar grupos de usuarios, al igual que administrar las políticas de seguridad.
Nota: no confundir el User Manager for Domains con el User Manager de Windows NT WKS. User Manager for Domains puede administrar las propiedades para el dominio local como para dominios remotos, al igual que puede administrar Servers NT que no son controladores de dominio.
Cada dominio tiene una base de datos de seguridad, ubicada en el PDC, que:
– Contiene las cuentas de usuarios y grupos
– Define las políticas de seguridad para el dominio
Para poder utilizar User Manager for Domains usted debe ser:
– Un administrator y así tener total funcionalidad de la herramienta
– Miembro del grupo global Domain Admins – Tiene total funcionalidad en esta herramienta, ya que este grupo es miembro del grupo local Administrators.
– Miembro del grupo Accounts Operator con limitaciones para utilizar esta herramienta.
– Un user – Tiene la habilidad para crear grupos locales y administrar los grupos locales que el usuario ha creado.
Si el usuario no posee suficiente autoridad para ejecutar una determinada acción, el comando y opción aparece como no disponible. En algunos casos los comando está disponibles, pero al invocarlos da un mensaje de acceso denegado.
User Account Properties
– Datos generales
– Groups: permite que la cuenta seleccionada pueda ser miembro de algún grupo del dominio o de alguna WorkStation.
– Profile: para definir el path al perfil del usuario, nombre del logon script y home directory de las cuentas de usuarios seleccionadas.
– Hours: para restringir los días y horas durante los cuales el usuario puede logonearse al dominio y conectarse al server. El default es todas las horas de todos los días de la semana. Esto no afecta a que el usuario pueda utilizar la cuenta de la Workstation.
– Logon to: para restringir las Workstations de donde el usuario podrá logonearse al dominio. El dafault es que todos los usuarios puedan logonearse a cualquier workstation.
– Account: para definir un tiempo de expiración de la cuenta y especificar el tipo de cuenta para las cuentas seleccionadas. Cuando una cuenta posee fecha de expiración, la cuenta se desactivará al final del día de expiración.
Nota: si tenemos un vinculo de baja velocidad en nuestra red (RAS) se deberá seleccionar la opción Low Speed Connection (en el menú Options). Esto optimiza la administración remota al no mostrar la siguiente información:
– Lista de usaurios
– Lista de grupos
– La opción Select User
– La opción View menu
Profiles
El perfil de usuario guarda información usuario por usuario para cada computadora con Windows NT. La información almacenada incluye características del escritorio, grupos de programas personales y los programas en estos grupos, colores de pantalla, protectores de pantalla, conexiones de red, conexiones de impresoras, seteos del mouse, y posición y tamaño de la ventanas.
Como administrador del dominio, puede usar el User Profile Editor,ubicado en la carpeta Administrative Tools para poder configurar los perfiles de usuario.
Es muy ventajoso para un administrador estructurar el entorno de red para el usuario. Esto es necesario si se requiere un control de seguridad total o parcial, o si los usuarios no están familiarizados con el uso de computadoras y redes.
Controlando el entorno default para el usuario o bloqueando un entorno específico, los perfiles pueden asegurar que varias cuentas de usuarios pueden utilizar el mismo entorno.
Por ejemplo, si se pretende mantener un estándar de escritorio de trabajo para toda la empresa, se pueden usar los perfiles para prevenir que el usuario cambien la apariencia del escritorio.
Tipos de Perfiles
– System default:Configura el monitor hasta que el usuario se logonea en la computadora local. Esta información se almacena el archivo: winnt_rootSYSTEM32CONFIGDEFAULT
– User default: La configuración default del escritorio usadas desde el momento que el usuario se logonea en la máquina. Esto se copia en un perfil local para el usuario. Esta información es almacenada en el archivo: winnt_rootSYSTEM32CONFIGUSERDEF
– Local: Es un perfil almacenado localmente y nombrado luego de que el usuario se halla logoneado en la computadora. Esto se copia desde el perfile User default cuando el usuario se logonea.
– Server-based: Perfil creado por el Profile Editor y es almacenado en el server para controlar la configuración de los escritorios de los usuarios y sus workstations.
Pefiles Server-based
El usar estos perfiles en Windows NT tiene tres implicancias en lo que hace a la administración de una red.
– La ubicación del perfile Server-based está especificada en la base de datos de cuentas de usuario para cada cuenta de usuario. En las computadoras con Windows NT el perfil antes de que el usuario se logonee es el mismo. Luego de que se logonee el perfil se ajusta a cada usuario.
– El administrador puede crear un perfil de usuario para restringir o estructurar el acceso de los usuarios a la workstation y prevenir al usuario de que pueda cambiar el entorno de la workstation.
– Un perfil server-based puede se asignado a muchos usuarios. Esto permite que al cambiar un perfil, el administrador puede cambiar para varios usuarios el acceso a aplicaciones y entornos de trabajo
Tipos de perfiles Server-based:
Hay dos tipos de estos perfiles, personal (.USR) y genérico (.MAN). Un usuario puede tener uno de los dos perfiles, pero no ambos.
Una cuenta de usuario puede tener solamente un perfil asignado al mismo tiempo. Se puede asignar el tipo de perfil a un usuario especificando la ubicación y el nombre del archivo del perfil en la cuenta del usuario.
Estos perfiles deben ser almacenados en un server al igual que los seteos y referencias para el usuario. Si un usuario entra en una nueva computadora (por ejemplo, en el caso de una actualización), un perfil personal recupera el perfil del usuario en la nueva computadora.
Perfiles personales
Los usuario pueden cambiar sus perfiles personales. Cada vez que el usuario se logonea, el perfil es actualizados con los actuales seteos. Cuando el mismo usuario se logonea nuevamente, el perfil es cargado tal cual fue guardado por última vez.. Ya que los usuarios pueden modificar el contenido de un perfil personal, es recomendado que cada perfil personal sea asignado solamente a un usuario. Si más de un usuario es asignado a un perfil personal, los seteos del perfil personal se ajustarán siempre a la configuración del último usuario que utilizó el perfil personal.
La extensión de los archivos de estos perfiles es .USR
Perfiles genéricos
Los usuarios no pueden cambiar un perfil genérico. Los cambios realizados por los usuarios durante una sesión no son grabados en el perfil genérico. Cuando los usuarios se logonean y luego se logonean, el entorno que el usuario había creado mientras estuvo trabajando queda sin efecto y el entorno original es recuperado.
Los perfiles genéricos son utilizados por los administradores para restringir la habilidad de los usuarios para cambiar los entornos de trabajo.
Los archivos de perfiles genéricos tienen la extensión .MAN
Creando perfiles de usuarios con el User Profile Editor
Los perfiles de usuarios se pueden crear usando las siguientes herramientas:
– El User Profile Editor (crea el perfil)
– User Manager for Domains (asigna perfiles existentes a los usuarios)
El primer paso en crear un perfil es logonearse como un usuario con privilegios de administrador. Se recomienda que utilize una cuenta administrativa que no se Administrator para poder crear los perfiles. Cuando se crea un perfil, una copia de los seteos del entorno existente es gravado como el perfile del usuario para la computadora.
Para crear perfiles de usuario
1- Entrar el User Profile Editor y usarlo para implementar los seteos y las restricciones que el usuario va a tene desde el momento que se logonee en la workstation. Los seteos que originalmente se presentan son los correspondientes al usuario que en esos momentos está logoneado.
2- Usar el User Profile Editor para garantizar permisos para usar el perfil.
3- Grabar la configuración como un perfil según los siguientes lineamientos:
– Si el perfile es genérico, grabarlo con un nombre significativo para el grupo donde se va a aplicar. Se debe grabar con extensión .MAN
– Si es un perfil personal, nombrarlo como el usuario y con extension .USR
4- Usar el User Manager for Domains para asignar los perfiles a las cuentas de usuarios. Si la cuenta todavía no ha sido creada, copiar una cuenta de usuario que ya tenga asignado el perfile correspondiente. Esto crea automáticamente el perfil para el usuario.
5- Para verificar que el perfil está configurado correctamente se debe logonear con algún usuario al que se le haya asignado el perfil.
Parámetros de configuración:
– Pulse: define la frecuencia del pulso en segundos. Todos los cambios hechos en la base de cuentas de usuarios a partir del último pulso son agrupados. Entonces, luego de que tiempo del pulso ha expirado, un pulso es enviado a cada BDC que necesite los cambios; no se envían pulso a los BDC que están actualizados. El rango de valores es de 60 (1 minuto) – 3600 (1 hora)
PulseConcurrency: define el máximo número de BDCs que el PDC notificará en algún momento determinado. El servicio de Net Logon envía pulsos individuales a los BDCs, lo que causa que el BDC responda requiriendo algún cambio de la base de datos de cuentas. Para controlar la máxima carga de respuestas de los BDCs sobre el PDC, el PDC tiene solamente el número de pulsos pendientes especificado bajo el parámetro PulseConcurrency en algún determinado momento. El incrementar este parámetro implica mayor carga en el PDC. Decrementar este parámetro aumentará el tiempo -para un dominio con muchos BDC- en que los cambios lleguen a los BDC.
12. Utilizando grupos para administrar usuarios
Introduccion a grupos
Un grupo es una cuenta que contiene otras cuentas de usuario y de grupos. Las cuentas contenidas en un grupo se dicen miembros del grupo.
Los grupos se usan para:
– Permitir asignar derechos a a los usuarios para poder ejecutar ciertas tareas como realizar backup o restore de archivos. Por default, las cuentas de usuario no poseen derechos. Estos derechos los obtienen al ser miembros de algún grupo específico.
– Garantizar el acceso a los recursos como archivos, directorios e impresoras.
Los permisos y derechos garantizados al grupo son automáticamente aplicados a sus miembros, de esta manera, para un administrador es mas sencillos administrar a una sola cuenta, en lugar de hacerlo para muchos usuarios.
| Página siguiente |