Descargar

Microsoft Windows NT Server (página 2)

Enviado por baudu

Partes: 1, 2

13. Grupos Locales

El termino local refiere a que el grupo es "local" a la base de datos de la computadora en la cual reside. El grupo puede ser definido en una base de datos, y de esta manera pueden ser asignados derechos y permisos a recursos en la computadora que contiene esta base de datos.

En computadoras corriendo sobre Windows NT Workstation o Server (instalado como un server), los grupos locales se limitan a la computadora en donde ellos fueron creados. En controladores de dominio Windows NT, los grupos locales se limitan a la base de datos y a todas las copias de la misma (BDCs).

Entonces:

– Un grupo local creado en un Windows NT WKS o SERVER (stand-alone) solamente podrá ser utilizado únicamente en esa computadora.

– Un grupo local creado en un controlador de dominio Windows NT podrá ser utilizado en otro controlador de dominio que pertenezca al dominio en donde el grupo fue creado.

Grupos locales incluídos en el server

Estos grupos se utilizan para otorgar derechos a los usuarios para realizar tareas del sistema como, realizar backups o restore d archivos, cambiar la hora del sistema y también administrar los recursos del sistema.

Estos grupos se dividen en tres categorías:

– Administrators – los miembros de este grupo poseen capacidad full sobre la computadora.

– Operator – los miembros de estos grupos tiene capacidades administrativas limitadas para ejecutar ciertas tareas específicas.

– Otros – los miembros de estos grupos tienen capacidades para ejecutar ciertas tareas.

Grupos:

– Administrators: Crear, borrar, administrar cuentas de usuarios, grupos globales y grupos locales.

Compartir directorios e impresoras, garantizar permisos y derechos a los recursos.

Instalar archivos del sistema operativo y programas.

– Users: Ejecutar tareas en las que tienen derechos.

Acceder a recursos en los que tienen permisos

– Guests: Ejecutar tareas en las que tienen derechos.

Acceder a recursos en los que tienen permisos.

– Server Operators: Compartir y dejar de compartir recursos

Bloquear o desbloquear un server.

Formatear los discos del server.

Logonearse a los servers.

Realizar backups o restore de archivos.

Apagar el server.

– Print Operators: Compartir y dejar de compartir impresoras.

Administrar impresoras.

Logonearse localmente al server y apagar servers.

  • Backup Operators:Realizar backups y restore de los servers.

  • Logonearse localmente.
  • Apagar el server.

– Account Operators: Crear, borrar y modificar usuarios, grupos globales y grupos locales.

– Replicator: Usado en conjunto con el Directory Replicator Service.

Nota: el grupo Power Users es un grupo local provisto específicamente para computadoras corriendo Windows NT Workstation y Server (instalado como server y no como controlador de dominio). Los Power Users pueden crear y modificar cuentas de usuarios y compartir recursos.

Los grupos incluidos no puede ser borrados o renombrados.

Miembros de grupos locales

En un entorno de Workgroup, una computadora con Windows NT puede incluir en grupos locales solamente cuentas de usuario de la base de datos de cuentas de la misma computadora.

Un grupo local en una computadora corriendo Windows NT Workstation o Server (instalado como Server o como Controlador de dominio) en un dominio puede incluir los siguientes miembros:

– Cuentas de usuario de la propia computadora

– Usuarios y grupos globales de las computadoras del dominio

– Usuarios y grupos globales de otros dominios en confianza con las computadoras del dominio.

Nota: los grupos locales no pueden contener otros grupos locales.

14. Grupos Globales

El termino "global" refiere a que el grupo puede ser utilizado globalmente. Un grupo global reside en los controladores de dominio y contiene cuentas de usuario de esedominio. Pero, el uso de un grupo global no está restringido a la base de datos en la cuál reside; un grupo global puede ser miembro de un grupo local definido en el mismo dominio o en otros dominios a través de la relaciones de confianza. Los grupos globales son un mecanismo para colectar cuentas de usuarios dentro de los grupos que van a ser utilizados en el dominio y en toda la empresa.

Según el gráfico, en lugar de asignar permisos a cada grupo global, el administrador asigna permisos al grupo local en donde el grupo global a sido agregado. Si se deben asignar más usuarios, el administrador simplemente agrega los nuevos usuarios al grupo global apropiado que es parte del grupo local.

Por default, cuando una cuenta es creada en un dominio, es automáticamente asignada al grupo global Domain Users.

Importante: los grupos locales y globales no pueden usar el mismo nombre. Los nombres de grupos deben ser únicos en la base de datos.

Miembros de los grupos globales

Los Grupos Globales solamente pueden contener cuentas de usuarios como miembros. No pueden contener grupos locales u otros grupos globales.

Ya que los grupos locales están limitados a las base de datos en la cuál residen, se recomienda introducir los usuarios en grupos globales y los grupos globales dentro de los grupos locales para minimizar la administración en las computadoras con NT Workstation y Server.

Grupos Globales incluídos en Controladores de dominio Windows NT.

– Domain Admins

– Domain Users

– Domain Guests

Los grupos Globales no tienen la autoridad para poder ejecutar funciones de red que los grupos Locales hacen. Para ejecutar tareas administrativas, los grupos globales deben ser agregados al grupo local, como por ejemplo agregar el grupo global Domain Admins al grupo local Administrators.

Estrategias de grupos

Puede ser posible utilizar grupos globales y locales incluidos en NT. El método recomendado para implementar grupos en un dominio es:

1. En dominios, crear los usuarios y agregarlos a los grupos globales existentes o a nuevos grupos globales para que puedan acceder a los recursos del dominio.

2. Agregar los grupos globales a los grupos locales.

3. Asignar el grupo local a los derechos de los usuarios y a los permisos a los recursos.

Esta estrategia requiere un mínimo mantenimiento cuando se deben realizar cambios. Todos los cambios son hechos para los miembros del grupo global en el controlador de dominio, no se necesita tocar a los grupos locales o los permisos y derechos asignados para esos grupos locales.

Los controladores de dominio de Windows NT utilizan esta estrategia por default. Por ejemplo:

– Cuando una cuenta es creada, es automáticamente agregada como miembro del grupo global Domain Users.

– Domain Users es miembro del grupo local Users. Entonces, el nuevo usuario creado es un miembro del grupo local Users.

– Entonces, cuando una computadora Windows NT Workstation o Server se instala en dominio, el grupo global, Domain Users, es automáticamente agregado como miembro del nuevo grupo local de la computadora, Users.

Para usar grupos locales y globales efectivamente como una herramienta para administrar una red, un administrador deber seguir los siguientes puntos:

1- Determinar que se necesita:

Responsabilidad sobre la red (asignando tareas administrativas, creación de usuarios)

Asignar permisos a los recursos.

2- Ver si hay algún grupo local que puede ejecutar la tarea. Si no, crear uno.

3- Asignar permisos al grupo local si es necesario.

4- Asignar los usuarios apropiados al grupo local existente o al nuevo grupo.

5- Asignar grupos globales a los apropiados grupos locales.

¿Que tipos de grupos usar para cada tarea administrativa?

– El grupo de usuarios del dominio como una simple unidad en otro dominio (Global): Un grupo global puede ser puesto dentro de grupos locales y así poder tener permisos y derechos directamente en otros dominios.

– Administrar permisos y derechos en un dominio particular (Local): el grupo local puede contener usuarios y grupos globales del mismo dominio o de otros dominios que poseen relación de confianza.

– Se necesitan permisos en una computadora con Windows NT Workstation o Server en un dominio (Global): los grupos locales en un dominio solamente trabajan en Controladores de dominio Windows NT Server.

– Contener otro grupos (Local): los grupos locales pueden incluir usuarios y grupos globales.

– Incluir muchos usuarios desde muchos dominios (Local): un grupo local puede incluir usuarios y grupos globales del mismo dominio o de otros dominios que mantienen relaciones de confianza.

Creación de Grupos.

  1. Se utiliza la herramienta User Manager for Domains.
  1. Los grupos globales son creados en un Controlador de dominio.
  1. Los grupos locales son creados en al computadora local (NT Workstation, Server como controlador de dominio o no).

15. Estableciendo relaciones de confianza

Introducción a Relaciones de Confianza (Trust Relationship)

Una relación de confianza es un link de comunicación entre dos dominios, donde los usuarios de otro dominio pueden llegar a tener los accesos necesarios para acceder al dominio en donde no tienen cuenta de usuario. Cuando las relaciones están bien establecidas entre los dominios de una red, los usuarios poseen solamente una sola cuenta para acceder a todos los dominios de toda la red. Todas las computadoras de la red pueden reconocer la cuenta de usuario. Un usuario necesita logonearse y proveer una contraseña solamente al acceder a una computadora de la red.

Las relaciones de confianza llevan a la conveniencia de centralizar la administración al nivel de empresa, mas que ajustarla al nivel de dominio.

Ventajas para los administradores.

La confianza simplifica la administración al enlazar dos dominios en una simple unidad administrativa. Usar relaciones de confianza para centralizar la administración de cuentas de usuarios en un solo dominio en lugar de administrar dos dominios en forma separada.

Una relación de confianza entre dos dominios permitirá que las cuentas de usuarios y grupos globales podrán ser utilizados en otros dominios distintos al dominio en donde las cuentas están definidas.

Ventajas para los usuarios.

Permite que los usuarios de un dominio puedan utilizar recursos en otro dominio, sin necesidad que le usuario tenga una cuenta definida en el lugar en donde está definido el recurso.

Todos los Windows NT en una red pueden reconocer la cuenta de usuario. Un usuario tiene que logonearse y proveer una contraseña solamente una vez para acceder al recurso compartido en la red donde la cuenta del usuario posee permisos de acceso.

Confianza entre dos dominios

Todas las relaciones de confianza trabajan con dos dominios.

  1. Confianza en un sentido: solamente un dominio le permite al otro confiar en él.
  2. Confianza en dos sentidos: ambos dominios confían uno del otro.

Trusting vs. Trusted Domains.

El concepto de trusted versus trusting puede ser visto en términos de usuarios y recursos. El dominio con los recursos confía en los usuarios de un dominio remoto y le permite que puedan acceder a los recursos si las relaciones de confianza están bien establecidas y los permisos fueron asignados.

Consideraciones para la planificación.

– Las relaciones de confianza puede ser establecidas solamente entre dominios Windows NT.

– Determinar el nro de relaciones en un sentido.

– La ubicación física o lógica de los usuarios no es importante. Solamente interesa en donde residen las cuentas. Como la cuenta del usuario está definida en dominio que permite confiar, entonces el usuario puede logonearse en cualquiera de los otros dominios, siempre y cuando haya una relación de confianza con el dominio en donde las cuentas están registradas.

Estrategias de grupo para establecer confianzas

El usar grupos locales y globales sobre relaciones de confianza es una manera de facilitar la administración y el mantenimiento de la red.

Los roles de la confianza.

Cuando se establecen relaciones de confianza entre dominios, los grupos globales en los dominios trusted pueden ser miembros de un grupo local en un dominio trusting. Los grupos locales del dominio trusting pueden tener asignados permisos a los recursos o de poder realizar tareas administrativas, en el dominio trusting.

El efecto de esta estrategia es que los miembros del grupo global del dominio trusted tengan los permisos que les fueron garantizados al grupo local del dominio trusting.

En un entorno de múltiples dominios con relaciones de confianza la estrategia de grupo primario es la misma que la de un dominio simple: colocar los usuarios dentro de grupos globales y los grupos globales dentro de los grupos locales. Luego de establecer las relaciones de confianza, los grupos globales son definidos en el dominio trusted, y los grupos locales en todos los dominios existentes. El uso apropiado de las relaciones de confianza, y los grupos globales y locales, puede facilitar la administración centralizada en un entorno de múltiples dominios.

Estrategia para la planificación de los grupos.

En un entorno de múltiples dominios conectados por relaciones de confianza, usar los siguientes lineamientos para la implementación de grupos:

  1. Determinar que es necesario hacer:
  1. Responsabilidades en la red (asignar tareas administrativas, crear usuarios).
  1. Asignación de permisos a los recursos.
  1. Usar los grupos globales y locales incorporados en NT. Determinar si alguno de los grupos existentes pueden ejecutar la tarea.
  1. En el PDC de algún dominio trusted:
  1. Crear nuevas cuentas de usuario y los grupos globales que fueran necesarios.
  1. Asignar los usuarios apropiados a los grupos globales existentes o a los nuevos grupos globales.
  1. En las computadoras con Windows NT del dominio o del dominio trusting:
  1. Crear algún grupo local nuevo si es necesario.
  1. Adicionar los grupos globales del dominio trusted al grupo local apropiado.
  1. Asignar al grupo local los derechos de usuario y permisos a los recursos.

Estableciendo relaciones de confianza.

El menú Policies dentro de User Manager for Domains provee una opción de Trust Relationships. Mediante esta opción el administrador puede crear relaciones de confianza.

Hay dos pasos claves para establecer relaciones de confianza en una vía:

  1. El dominio trusted permite a otros dominios a confiar en él.
  2. El dominio trusting debe agregarse al dominio trusted.

Agregar dominios Trusting al dominio Trusted.

Ya que las relaciones de confianza son esencialmente una herramienta para administrar cuentas de usuario, se debe primero identificar el dominio donde las cuentas residen. Este dominio se conoce como dominio de cuentas o trusted.

Una vez que el dominio de cuentas (trusted) ha sido identificado, éste permitirá que otros dominios puedan confiar en él.

Para completar la confianza, el dominio de los recursos o trusting permitirá que los usuarios del dominio de cuentas (trusted) tengan permisos para acceder a los recursos en el dominio de los recursos (trusting).

Configuración de la confianza en un sentido.

Arrancar el User Manager for Domains, y seleccionar la opción correspondiente a la configuración de relaciones de confianza desde el menú Policies. Hay dos secciones en el cuadro de dialogo de Relaciones de Confianza:

  1. El cuadro para incorporar dominios trusted es completado en el domino trusting. Esta sección especifica "en que dominios el dominio trusting va a confiar".
  1. El cuadro para incorporar dominios trusting es completado por el dominio trusted. Esto especifica "que dominios confían en el dominio trusted".

El orden en que se establece la relación no es crítico. Sin embargo, es mejor establecer la relación que hace referencia al segundo paso en primer lugar, para luego definir la relación restante. En la definición de una nueva relación de confianza esto toma efecto inmediatamente. Si se establece la relación al revés de lo propuesto anteriormente, para que tenga efecto se tendrá que esperar por le menos 15 minutos.

Entonces, para definir la relación se debería proceder de la siguiente manera:

  1. El administrador del dominio de cuentas (trusted) inicia la relación incorporando el nombre del dominio de los recursos (trusting) en el cuadro "trusting domains".
  1. El administrador del dominio de recursos (trusting) completa la relación incorporando el dominio de cuentas (trusted) en el cuadro "trusted domains".

Esta secuencia es la preferida cuando se implementa una relación de confianza ya que el administrador del dominio de los recursos (trusting) recibirá un mensaje en donde se le indica que la relación de confianza fue establecida satisfactoriamente.

Configuración de la confianza en dos sentidos.

  1. Establecer la confianza en un sentido.
  2. Configurar otra relación de confianza en un sentido pero cambiando los roles anteriores en cuanto a los dominios trusted y trusting .

Cuando se establece una relación de este tipo, el mismo nombre de dominio aparece en ambos cuadros de diálogo, el de los dominios trusted y trusting.

Contraseñas.

El administrador en el dominio de cuentas (trusted) puede proveer una contraseña como parte de la implementación de la confianza. El administrador en el dominio de los recursos (trusting) debe ingresar esta contraseña en el momento apropiado para que el dominio trusting pueda completar la relación de confianza. Solamente una vez el administrador del dominio trusting debe ingresar la contraseña.

Esta contraseña es otra forma de seguridad. El administrador del dominio de cuentas usa la contraseña para controlar que dominios participarán en las relaciones de confianza.

Otorgar permisos a través de la relación de confianza.

Luego de establecer la relación de confianza, un administrador puede garantizar permisos utilizando esta relación.

En el momento de otorgar permisos, al agregar usuarios o grupos a una lista de seguridad sobre un recurso aparece la opción de seleccionar desde que dominio vamos a realizar la selección de los usuarios o grupos. De la misma manera, es posible seleccionar el dominio en el momento de otorgar políticas de derechos a los usuarios. Esto es posible gracias a las relaciones de confianza.

Autenticación de usuarios por Pass-Through.

Esto posibilita a los usuarios a logonearse a computadoras o dominios en donde ellos no posee cuenta de usuario. Gracias a este tipo de autenticación, un usuario puede tener una cuenta solamente en un dominio y así podrá acceder a toda la red incluyendo todos los dominios que confían en el dominio donde el usuario posee la cuenta. Una vez logoneado, el usuario será conocido en la red como Nombre de dominioNombre de usuario, donde Nombre de dominio es el dominio que contiene la cuenta del usuario y que autentica el requerimiento de logon del usuario.

Ocurrencia de la autenticación por Pass-Through.

Esta autenticación ocurre en alguna de las siguientes circunstancias:

  1. El logon comienza desde la workstation cuando algún usuario se logonea en un dominio de cuentas (trusted).
  1. En la conexión a un recurso en un dominio de recursos (trusting).

El proceso de logon en un dominio de cuentas (trusted) se realiza en la siguiente secuencia:

  1. La computadora con Windows NT arranca. Cuando arranca el servicio de Net Logon, este realiza el proceso de detección de un controlador de dominio Windows NT Server en su dominio (Dominio_B).
  2. Usuario_2 intenta logonearse en una computadora en el Dominio_B con una cuenta de usuario del Dominio_A. Esto lo hace desde el cuadro de logon de la computadora, en el campo From se le indica el dominio (en este caso Dominio_A).
  3. El controlador de domino del Dominio_B no puede autenticar el requerimiento de logon ya que el mismo se realizó sobre un cuenta de usuario del Dominio_A.
  4. El requerimiento de autenticación es pasado a través de la confianza (pass_through) a un controlador de dominio en el Dominio_A. Este controlador de dominio Windows NT chequea en la base de datos de cuentas si la cuenta Usuario_2 existe y si la misma posee una correcta información de password.
  5. El controlador de domino en el Dominio_A autentica el requerimiento de Usuario_2 y pasa la información del SID y grupo desde el Usuario_2 al controlador de dominio en el Dominio_B. El controlador de dominio en el Dominio_B entonces pasa la información al Usuario_2 que se está logoneado en la computadora con Windows NT.

Confianza No transitiva.

Una relación de confianza envuelve solamente dos dominios, por lo que una relación de confianza es no transitiva. Por ejemplo, si el dominio Ventas mantiene confianza con el dominio Producción, y el dominio Producción mantiene confianza con el dominio Marketing, entonces el dominio Ventas no mantiene confianza en forma automática con el dominio Marketing.

Un usuario con una cuenta en el dominio Marketing que intenta logononearse físicamente en una máquina del dominio Ventas no será autenticado ya que entre estos dominios no se puede establecer una autenticación por Pass_through. Marketing y Ventas deben setear la respectivas relaciones de confianza antes de poder realizar autenticación por pass-through entre ellos.

Posibles Problemas de las Relaciones de Confianza.

  1. No se puede establecer una relación de confianza:
  1. verificar el PDC en cada dominio esté corriendo
  1. No se puede verificar la relación de confianza:
  1. el dominio de cuenteas (trusted) deber permitir la relación al dominio de recursos (trusting), antes de que el domino trusting intente realizar la relación de confianza.
  1. Se ha roto una relación de confianza:
  1. Si una relación de confianza se ha roto, las cuentas trusted no estarán disponibles para se utilizadas. En este caso se debe restablecer la relación.
  1. No se puede restablecer la relación rota:
  1. Windows NT automáticamente cambiará la password inicial asignada luego de que la relación de confianza ha sido establecida. En este caso, se debe cortar la relación desde los dos dominios, y luego se debe restablecer una nueva relación.
  1. No se pueden utilizar cuentas trusted:
  1. La relación de confianza ha sido establecida con una dirección errónea. Parar la relación existente, y luego permitir al dominio trusted que dominio trusting confiará en él, y al dominio trusting en que dominio trusted podrá confiar. Si la confianza se rompe, restablecerla.
  1. No se puede administrar otro dominio:
  1. Verificar que el grupo Domain Admins del dominio trusted, ha sido agregado al grupo local Administrators del dominio trusting.
  1. Acceso denegado al utilizar una cuenta trusted:
  1. Chequee si el nombre de la cuenta existe en ambos dominios. En un relación de confianza, cada cuenta debe aparecer sólo en un dominio, en el dominio trusted o en el dominio local, pero no en ambos.
  1. Puede acceder a recursos de otro dominio utilizando una cuenta local:
  1. Chequee si el nombre de la cuenta existe en ambos dominios. En un relación de confianza, cada cuenta debe aparecer sólo en un dominio, en el dominio trusted o en el dominio local, pero no en ambos.

16. Implementación de los cuatro modelos de dominios

Antes de determinar el modelo de dominio a implementar, considerar lo siguiente:

  1. Número de cuentas de usuarios – Una cuenta de usuario debe ser definida solamente una vez en la red. Si esta regla no se respeta, la misma cuenta de usuario puede dos o mas diferentes SIDs. Esto puede causar inconsistencias administrativas en la asignación de permisos o derechos de usuarios.
  1. Número de departamentos de la organización o grupos – Determinar si es factible tener centralizada la administración de las cuentas y los recursos.
  1. Los recursos disponibles tendrán que ser accedidos a través de las relaciones de confianza.
  1. El modelo de dominio que se decida implementar determinará la ubicación de las cuentas.

Los recursos podrán ser localizados en el modelo de varias maneras:

Modelo Single Domain

Este modelo consiste de solamente un dominio, con un PDC y uno o mas BDC. Este modelo es apropiado en alguna de las siguientes situaciones:

  1. Número limitado de usuarios.
  1. Administración centralizada de cuentas y recursos.
  1. El número exacto de usuarios y grupos en un dominio depende del número de servers en el dominio y el hardware que provee a los mismos.

Ventajas:

  1. Ideal para compañías con pocos usuarios y recursos.
  1. Administración centralizada de cuentas de usuarios.
  1. Administración centralizada de recursos.
  1. No es necesario mantener relaciones de confianza.

Desventajas:

  1. Performance pobre si el dominio tiene muchos usuarios y grupos para el hardware del controlador de dominio.
  1. No agrupación de usuarios en departamentos.
  1. No agrupación de recursos.
  1. El browsing del dominio es pobre si es grande el número de servers.

El modelo Master Domain

Este modelo consiste de dos dominios. Cada dominio tiene sus propios controladores de dominio, pero toda la información de cuentas permanece en el PDC del master domain. Este modelo ofrece los beneficios de múltiples dominios, administración de cuentas centralizada, administración de recursos descentralizada, y logoneo simple para cada cuenta de usuario.

Este modelo es aplicable a compañías que poseen un complejo ordenamiento en departamentos y divisiones, cada uno con su propia administración de los recursos, pero con una administración centralizada de las cuentas de usuarios.

Ventajas:

  1. Optimo para compañías que no tienen muchos usuarios en relación al hardware del dominio y deben tener recursos compartidos agrupados según propósitos de administración.
  1. Las cuentas de usuarios pueden estar ubicadas en forma centralizada.
  1. Los recursos se agrupan logicamente en los dominios de recursos (trusting).
  1. Los dominios de recursos (trusting) pueden tener sus propios administradores para administrar los recursos en el dominio.
  1. Los grupos globales necesitan ser definidos solamente un vez (en el master domain).

Desventajas:

  1. Performance pobre si el dominio posee muchos usuarios y grupos para el hardware disponible.
  1. Los grupos locales deben ser definidos en cada dominio donde serán utilizados.
  1. Los administradores locales de los dominios de recursos (trusting) deben confiar en la administración del master domain en lo que hace a los grupos globales.

Relaciones de confianza en el Modelo Master Domain

El Master domain es un dominio de cuentas (trusted). Todos los demás dominios son de recursos (trusting), los cuáles se relación con el Master domain a través de una relación de confianza en un sentido.

Este modelo separa la red en dos areas diferentes de administración:

  1. Cuentas de usuarios – localizadas y administradas en el master domain (trusted).
  2. Recursos – localizados y administrados en los dominios de recursos (trusting).

Solamente los controladores de dominio en el master domain tienen copias de la base de datos de cuentas del master domain.

Grupos en modelo Master Domain

En un modelo Master Domain, la regla es mantener solamente una cuenta para cada ususario. Esto es posible si todas las cuentas están localizadas en el master domain. Si la confianza está implementada correctamente, un usuario puede logonearse desde cualquier dominio ya que la autenticación por pass-through envía el requerimiento de logon al master domain donde el usuario será verificado.

Grupos locales y globales

Los grupos globales son importantes en el master domain porque son solamente grupos que pueden ser accedidos fuera del dominio donde fueron creados.

Para simplificar la administración, un administrador del dominio de recursos (trusting) incorporará el grupo global, desde el master domain, dentro de los grupos locales de los dominios trusting.

Cuando los grupos globales se incorporan a los grupos locales, el administrador del master domain tiene que adicionar solamente el grupo global para que pueda tomar el acceso de usuario que posee el grupo local sobre los recursos del dominio.

De esta manera el administrador solamente maneja solamente un nivel de grupos – grupos globales. La red entera y todos los dominios y grupos pueden ser administrados desde una computadora.

El modelo Muliple Master Domain

Para grandes compañías que pretenden administración centralizada, este modelo es el apropiado ya que resulta el mas escalable.

Este modelo tiene un número pequeño de master domains. Cada server del master domain tiene una cuenta en el dominio, y cada cuenta de un usuario de la red es creada en alguno de esos master domains. Otros dominios en la red son los dominios de recursos, que son típicamente creados a nivel de departamento.

Ventajas:

  1. Ideal para empresas con muchos usuarios y con una administración centralizada de cuentas.
  1. Escalable para redes con diversa cantidad de usuarios.
  1. Los recursos son agrupados lógicamente.
  1. Los dominios departamentales pueden tener sus propios administradores para poder administrar los recursos en el departamento.

Desventajas:

  1. Los grupos locales y globales podrían ser definidos varias veces.
  1. Mas relaciones de confianza por administrar.
  1. No todas las cuentas de los usuarios estarían ubicadas en un dominio.

Relaciones de confianza en el modelo Multiple Master Domain

Cada master domain está asociado a otro master domain con una relación de confianza en dos sentidos. Todos los dominios de recursos confían en los master domains, pero no tiene establecida la confianza con otros dominios de recursos.

Como en los otros modelos, cada cuenta de usuario se define sólo una vez. Ya que cada cuenta de usuario en el modelo existe en uno de los master domain y todos los dominios en el modelo confían en el master domain, cada cuenta de usuario en el modelo está disponible en todos los dominios.

Los usuarios se logonean en el master domain que contiene la cuenta del usuario. Cada master domain debe contener dos o mas controladores de dominio Windows NT (para redundancia) para validar logons de usuarios. Luego de logonearlos en los master domain, los usuarios pueden acceder a algún recurso para los cuales tienen permisos. Esto se extiende a cualquier dominio de la red porque todos los recursos confían en los master domains.

Grupos en el Modelo Multiple Master Domain

Con este modelo, un administrador puede crear múltiples grupos globales (uno en cada master domain) de manera de poder distribuir todos los usuarios en la red.

El uso de grupos globales es más complejo en este modelo que el modelo master domain. Si un grupo local necesita contener grupos de usuarios de dos o más master domains, múltiples grupos globales pueden ser creados para el mismo propósito (uno en cada uno de los master domains). Los grupos globales de los múltiples dominios serán miembros del grupo local.

Para minimizar la complejidad, se puede planificar los siguiente:

  1. Distribuir los usuarios entre los master domains según funciones organizacionales dentro de la compañía.
  1. Crear grupos locales en los dominios de recursos, y hacer que los grupos globales (de los dominios de cuentas) sean miembros de los grupos locales.

El Modelo de Confianza Completo entre dominios

Si usted necesita administrar los usuarios y recursos en forma distribuida entre diferentes departamentos, en lugar de administrar de manera centralizada, usted debe utilizar este modelo. Con este modelo, cada dominio en la red confía en otro dominio; ningún dominio ejerce control sobre alguno de los otros. El modelo de confianza completa distribuye la administración de los usuarios, grupos, dominios, y recursos entre los diferentes departamentos en lugar de centralizarla.

Ventajas:

  1. Ideal para empresas con un grupo de administración no centralizado.
  1. Escalable para redes con cualquier número de usuarios.
  1. Cada departamento tiene control total sobre las cuentas de usuarios y los recursos.
  1. Los recursos y las cuentas de usuarios son agrupadas en unidades departamentales.

Desventajas:

  1. Ya que la administración de usuarios no es centralizada, este modelo no es práctico para empresas donde la administración de los departamentos es centralizada.
  1. Muchas relaciones de confianza para administrar.
  1. Cada departamento debe confiar en los otros departamentos, en realidad debe confiar en que los adminstradores de los otros departamentos no coloquen usuarios inapropiados en los grupos globales.

Relaciones de confianza en un Modelo de Confianza Completa

En el este modelo, cada dominio de la red confía en los otros dominios. Cada departamento administra su propio dominio y define los usuarios y los grupos globales. Los usuarios y grupos globales pueden ser usados en todos los dominios en el modelo de confianza completa.

Determinación del número de Confianzas

El número de relaciones de confianza requerida para una compañía con n dominios: n * (n-1)

Por ejemplo, 4 dominios requieren 12 relaciones de confianza y 10 dominios requieren 90 relaciones de confianzas. El agregar un dominio a una red existente de 10 dominios requiere establecer 20 nuevas relaciones de confianza.

Seguridad

Ya que la administración es no centralizada, los usuarios de otros dominios que tengan acceso a los recursos podrían incrementar el riesgo sobre la seguridad.

Este modelo requiere un alto grado de confianza en los grupos globales de otros dominios trusted. Cuando se le asignan permisos a un grupo global de otro dominio (o se incorpora el grupo global dentro de un grupo local en el dominio), usted está confiando en que el administrador de otro dominio no agregará usuarios no autorizados o inapropiados al grupo global.

17. Protección de los datos del server

Windows NT ofrece tres tipos de opciones de tolerancia a fallas basadas en software:

– Disk mirroring

– Disk striping with parity

– Sector sparing

Sistemas RAID

Las opciones de tolerancia a fallas son estándar y se categorizan en seis niveles, de nivel 0 a nivel 5 conocidos como RAID (Redundant Arrays of Inexpensive Disks. Estos niveles ofrecen varias combinaciones de performance, confiabilidad y costo. Windows NT Server soporta RAID 0, 1 y 5. Los niveles 2, 3 y 4 fueron parte de la evolución al nivel 5.

Soluciones de Hardware

La tolerancia a fallos, pueden ser aplicada también con hardware. Algunos vendedores implementan RAID 5 directamente en el hardware, esto lo hacen posible con tarjetas controladoras de discos múltiples. Ya que estos métodos son específicos de cada vendedor, pueden proveer algunas ventajas adicionales a la protección por software. En algunos casos, ciertas implementaciones de hardware permiten reemplazar unidades de discos dañadas sin apagar el equipo. Las desventajas de la implementación de la protección por hardware son en principio el costo y la necesidad de quedar atado a algún vendedor en especial.

RAID 0 – Disk Striping

Divide los datos en bloques de 64 Kb y los esparce en un orden fijo entre todos los discos en un arreglo.

Graba los datos a todas las particiones a la misma velocidad y al mismo tiempo. Ya que no provee redundancia, este método no puede ser aplicado como método para tolerancia a fallas. Si alguna partición en el conjunto de discos falla, se perderán todos los datos.

Nota: para implementar este método, se necesitan como mínimos dos discos y hasta 32 discos pueden ser soportados. También las controladoras de discos múltiples pueden agregar performance a esta tarea.

No se puede utilizar sobre una partición de booteo o del sistema.

RAID 1 – Disk Mirroring

Es la duplicación de la partición de datos en otro disco físico. Cualquier partición, incluyendo las particiones del sistema o de booteo, pueden ser espejadas. Esta estrategia sirve para simplificar la manera de proteger el sistema ante la falla de un disco.

En términos de costos de pesos por megabyte, el espejado de disco es mas caro que otras formas de tolerancia a fallas ya que la utilización de espacio de disco es solamente 50 por ciento. De todas manera, para pequeñas redes peer-to-perr , el espejado de discos puede ser una buena alternativa por su bajo costo de puestas en marcha, ya que se requieren solamente dos discos.

Disk duplexing

Este método toma un par de discos espejados y agrega una controladora de disco al segundo disco del espejado. Esto reduce el trafico del canal y aumenta la performance. Duplexing permite la protección del sistema ante la falla de una controladora como bien puede fallar un disco.

RAID 5 – Striping with Parity

En estos momento es el método más popular para el diseño de la tolerancia a fallas. Difiere de los otros niveles en que la escritura de la información de paridad se escribe a través de todos los discos en un arreglo. La información de paridad y los datos son almacenados de manera que permanezcan siempre sobre discos diferentes.

Nota: un mínimo de tres y un máximo de treinta y dos discos son soportados

Un bloque de paridad existe para cada fila de datos a través de los discos. El block de paridad es usado para reconstruir los datos ante una falla física del disco.

Si un disco falla, entonces la información que permanece en los demás discos, junto con la información de paridad permite que se reconstruya la información faltante. Por ejemplo, si el disco 3, en el gráfico, falla y necesita ser reemplazado, los datos del nuevo disco pueden ser regenerados usando los datos y la información de paridad en cada fila o bloque de los cuatro discos restantes.

Todas las particiones, excepto la partición del sistema o de booteo pueden ser utilizadas para aplicar este método.

Ofrece la mejor performance para operaciones de lectura. Pero, cuando un disco falla, la performance de lectura se degrada, ya que los datos son recuperados utilizando la información de paridad.

Las operaciones normales de escritura requieren tres veces mas memoria para calcular la información de paridad.

Disk Mirroring vs. Striping with Parity

La implementación de la estrategia de tolerancia a fallas requiere una comparación entre los distintos métodos según el nivel de protección deseado.

Las diferencias mas notables entre disk mirroring y striping with parity son la performance y el costo.

Características del Espejado de discos

– Soporta FAT, HPFS y NTFS

– Se puede espejar la partición del booteo o del sistema

– Requiere dos discos rígidos

– Alto costo por Megabyte (50% de la utilización)

– Buena performance para lectura y escritura

– Baja utilización de memoria.

Características del RAID 5

– Soporta FAT, HPFS y NTFS

– No se puede armar sobre una partición de booteo o del sistema

– Requiere como mínimo tres discos

– Bajo costo por megabyte (para cuatro discos se pierde un 25 % de la capacidad)

– Performance de escritura moderada (por el calculo de la paridad)

– Excelente performance de lectura

– Requiere mas memoria (para calcular la información de paridad)

– Soporta hasta 32 discos

Sector Sparing

En conjunción con las opciones de soporte para tolerancia a fallas en el RAID, Windows NT Server brinda posibilidades recuperación de sectores del file system durante la operación del sistema. El file system verifica todos los sectores cuando un volumen es formateado, y cualquier sector defectuoso es retirado de servicio.

Nota: El Sector Sparing es aplicable para dispositivos SCSI (Small Computer System Interface), pero los dispositivos IBM PC/AT (ESDI e IDE) no pueden utilizar esta propiedad.

Cuando un volumen es formateado, el sistema de archivos verifica los sectores en la partición y deja sin efecto cualquier sector defectuoso.

Como trabaja este sistema

En un sistema tolerante a fallas con copias redundantes de los datos, todas las operaciones de lectura/escritura al disco son verificadas. Si se detecta un sector con fallas, ocurre los siguiente:

1- El driver de tolerancia a fallas de NT remueve el dato desde el sector defectuoso

2- El driver coloca el dato en un sector bueno

3- El driver marca al sector como inutilizable. Si esto ocurre sin problema, el sistema de archivos no es avisado del problema.

Luego, el driver de tolerancia a fallas le solicita el driver del disco que obtenga el dato desde el nuevo sector (una vez que el dato fue escrito)

Implementación de la Tolerancia a Fallas

El programa de Administración de discos es la principal herramienta para configurar la tolerancia a fallas de Windows NT Server. La interface gráfica del Administrador de discos hace sencillo configurar y administrar las particiones de discos y la tolerancia a fallas.

El Administrador de discos es utilizado para configurar distintas configuraciones de discos, incluyendo:

– Stripe sets with parity (RAID 5): acumula múltiples áreas de discos en una partición mas grande, distribuyendo los datos almacenados entre todos los discos simultáneamente, agregando la información de paridad a la tolerancia a fallas.

– Mirror sets (RAID 1): se hace un duplicado de una partición y el mismo se graba en otro disco separado

– Volume sets: acumula las áreas de múltiples discos en una partición mas grande, el set se arma en secuencia.

– Stripe sets (RAID 0): acumula múltiples áreas de disco en una partición mas grande, los datos se distribuyen entre todos los discos simultáneamente.

Recuperación de datos

Fallas en la partición: cuando el disco es miembro de sistemas de Espejado y RAID 5

Un miembro de un set de espejado, o de un RAID 5, es una partición de un disco físico que pertenece al set. Cuando un miembro de estos sistemas falla (como una caída de energía o la ruptura del disco), el driver de tolerancia a fallas direcciona todas las entradas/salidas al miembro activo del volumen tolerante a fallas. Esto asegura la continuidad del servicio, al menos hasta que el sistema sea reiniciado. Si la falla envuelve a la partición del sistema en el disco físico primario, un disco de booteo tolerante a fallas es requerido para reiniciar el sistema. El procedimiento para crear este disco de booteo es discutido mas adelante.

Rearmado del espejado

Cuando un miembro del set de espejado falla, usar el administrador de discos para:

1- Cortar la relación del set de espejado y colocar la partición que queda (sin problemas) como un volumen separado.

2- Si no lo hace automáticamente, asignar al miembro del set que queda trabajando la letra de la unidad que previamente estaba asignada al set de espejado completo.

3- Asignar a la partición que falló la próxima letra disponible o cualquier letra disponible

Opcionalmente, se puede usar el espacio libre en otro disco para crear un nuevo set de espejado. Cuando la computadora es reiniciada, el dato de la partición buena es copiado al nuevo miembro del set de espejado.

Regeneración de un RAID 5:

Cuando un miembro de un sistema RAID 5 falla, se puede continuar utilizando la computadora y acceder a los datos. Sin embargo cuando se leen datos, se deben regenerar los datos en la RAM utilizando los bits de paridad, y la performance del sistema bajará considerablemente.

Para que la computadora retorne al estado original del RAID 5 luego de que un miembro del sistema ha fallado, se puede regenerar el dato del miembro con fallas desde los miembros del set que quedan sin problemas.

Para que la computadora regrese al estado original:

1- Usar el Administrador de discos, seleccionar el set de RAID 5, y luego seleccionar una nueva área de espacio libre de disco (en un disco diferente) del mismo tamaño, o mas grande, que los otros miembros del RAID 5.

2- Seleccionar el comando Regenerate del menú Fault Tolerance.

Cuando se reinicia la computadora, el driver de tolerancia a fallas lee la información desde los otros miembros del set del RAID 5. Entonces recrea el dato del miembro con fallas y escribe el dato regenerado al nuevo miembro.

Creación de un disco de booteo tolerante a fallas

Cuando se espeja la partición de booteo de una computadora con Windows NT Server, se necesita crear un disco de booteo tolerante a fallas para se utilizado en caso de que un disco físico falle. Este disco puede ser creado en cualquier momento con la computadora en línea; y debe ser formateado en una computadora con Windows NT Server.

Creación del disco de booteo:

1- Formatear un disquete usando Windows NT Server. Esto escribe información a la pista de booteo del disquete para que se puedan leer los archivos de arranque cuando el sistema arranca

2- Copiar los siguientes archivos desde la partición primaria de la computadora al disquete de booteo. Algunos de estos archivos están ocultos en el directorio raíz.

Archivos: NTLDR, NTDETECT.COM, NTBOOTDD.SYS (para disco SCSI con la BIOS SCSI no cargada), BOOT.INI

3- Modificar el BOOT.INI para que apunte a la copia espejada de la partición de booteo

4- Testear el disquete de booteo para asegurarse de que trabaje correctamente booteando desde la copia espejada de la partición de booteo.

Cualquier información de la partición que sea modificada, debe se contemplada actualizando el archivo BOOT.INI.

Recuperación de un Set Espejado

Si la partición del sistema en un set espejado falla, el set espejado no booteará. Sin embargo, el datos no se pierde, y puede ser recuperado.

Para recuperar un set espejado:

1- Reemplazar el disco con fallas

2- Bootear el sistema con un disquete de booteo Windows NT que cargue el sistema operativo desde la partición espejada.

3- Romper el espejado existente.

4- Colocar otra unidad de disco de backup

5- Restablecer el espejado con el nuevo disco

6- Rebootear el sistema sin el disquete de booteo.

Importante: El disco de booteo con NT no puede ser creado cuando el sistema esta bajo. Debe ser creado antes de la falla. Puede ser generado en otra computadora corriendo Windows NT Server que mantenga una configuración idéntica a la que se está manejando.

 

 

Autor:

Pablo A. Bauducco

19 años, DNI: 28897162 Estudiante 2º año Analista de Sistemas Sunchales – Santa Fe – Argentina

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente