Embed Size (px)
Citation preview
c
Cuenta de usuario: Conjunto de datos almacenados en el directorio, que utiliza el S.O. para identificar al usuario y a los privilegios que tiene.
Grupo de trabajo: Agrupación lógica de computadoras que comparten recursos.Cada computadora tiene su base de datos local.
Dominio: un dominio es una agrupación lógica de computadoras que comparten un directorio centralizado. El equipo donde se encuentra esa base de datos centralizada se llama controlador de dominio.
Autenticación: Proceso que usa el Sistema Operativo para identificar a un usuario y otorgarle o denegarle a una sesión en un equipo.
Cuando nos logueamos en el active directory el servidor nos entrega un “Token” para esa sesión.
Token
User ID (este no cambia, es un campo interno de la base de datos). Sesion ID (este es para cada sesión, cambia cada ves que nos loguemos al servidor). Lista de grupos donde pertenece el usuario.
1
El protocolo de autenticación y generación de Token usado por Windows 2000 en adelante es el Kerberos. Este es un estándar de la industria por lo que puede ser usado por otros Sistemas Operativos.
Autorización: Proceso que usa el Sistema Operativo para otorgarle o denegarle el acceso a un usuario, sobre un determinado recurso.
c/recurso ArchivoImpresión Todos tienen asociado una ACLCarpetas Microsoft las llama DACL (Directory Access Control List).
Las ACL son las listas donde identifica un User ID del Token y los permisos para estos.
En un procesos de autorización normal el host cliente, al momento de acceder a un recurso, entrega su Token y el servidor compara este contra la ACL para este recurso usando el campo User ID y los permisos para este.
Roles de los Servidores
Domain Controller: Equipo que tiene instalado el Active Directory en un Sistema Operativo.
Member Server: Es un servidor que está en el mismo dominio pero que no es servidor de dominio (que no corre active directory).
Los servidores que no están en el dominio se llaman Stand Alone Server.
2
Cuando se instala el primer servidor este es un Stand Alone Server y se le instala el software llamado DCPROMO para que sea Active Directory. Si posteriormente a creado el dominio hago el mismo procedimiento en otro equipo lo que estaré haciendo es tener dos servidores de dominio para un mismo dominio, los mismos se sincronizaran entre si, por lo que el que se halla instalado ultimo recibirá una copia de la información contenida en el primer equipo. El hecho de tener más de un servidor para un dominio ofrece diferentes beneficios, por ejemplo:
Sincronización Redundancia Performance WAN
La sincronización es debido a que cada servidor replicara la información con los servidores restantes. Redundancia es debido a que, en caso de caer un servidor, quedan los restantes, por lo que, el dominio seguirá trabajando, tal ves no con la misma performance que lo hacía con todos los servidores activos, pero por lo menos no se pierde el servicio. Performance es debido a que, a veces el tamaño de la red produce que la carga sea demasiada para un servidor, y de esa forma, gracias a la sincronización que hacen los servidores, estos pueden distribuir de forma equitativa la carga de trabajo entre uno y otro, y de esa forma mejorar la performance de funcionamiento de los diferentes servidores en la red. WAN es debido a que, en el caso de sucursales separadas físicamente y conectadas por un enlace WAN, no sería muy útil que los usuarios que no están en la red local del servidor se autenticaran en el servidor remoto, debido a que los enlaces WAN son “lentas” y caras, por este mismo motivo se pueden instalar dos servidores conectados por intermedio de un enlace WAN; para optimizar el uso del enlace WAN se pueden configurar los servidores para que sincronicen al momento, enviando solo los cambios, o configurando que almacene los cambios y que los sincronice a una hora determinada, estas posibilidades son parea optimizar y poder sacar el mejor rendimiento de los enlaces WAN.
El uso de Active Directory trae aparejado diferentes ventajas con sus antecesores, algunas de ellas son:
Integración DNS, debido a que el usuario, para autenticarse con el servidor necesita la IP del
Administración centralizada, debido a que el administrador puede controlar la base de datos de forma central en el o los servidores de dominio.
Administración delegada, debido a que el administrador puede derivar funciones administrativas específicas a otros administradores de la red.
Elementos de un Active Directory3
Active Directory es una base de datos que contiene objetos.
Objetos Atributos
Usuarios Nombre
Contraseña
Teléfono
Lista de grupos “Member OF”
User ID
Schema: Definición de cuales objetos existen en el A.D y que atributos tienen C/U de ellos.
Dominio: Es el conjunto de objetos que se encuentran en un Active Directory y pueden ser administrados centralizadamente.
OU (Organization Unit) es una agrupación lógica y arbitraria (debido a que está hecho a mi gusto) de objetos a fin de facilitar la administración.
Después de crear el dominio con el DCPROMO, junto con este hay una serie de objetos que vienen por defecto:
Usuarios Dominio
Administrator/Administrador OU = Equipo (Computers)
Guest/Invitado OU = Usuarios (Users)
OU = Domain Controllers
4
Árbol: Conjunto de dominios relacionados jerárquicamente.
No se pueden tener dominios y subdominios en un mismo equipo, cada dominio o subdominio es por lo menos un equipo.
Los administradores de de los subdominios son delegados de los administradores del árbol (sin importar si cuando se creó el subdominio ese administrador era el administrador del equipo).
Bosques (Forrest)
5
SAM
Cuando se crea un dominio con nombre “Acme”, por defecto se crea un árbol llamado Acme y un Bosque con el mismo nombre.
Formas para Agregar un Cliente al dominio
1. En cliente:
Mi PC – Propiedades – Nombre de Equipo -- Nos pedirá, Nombre de usuario y contraseña del
administrador de dominio.
2. Crear un objeto con el nombre del equipo que agregaremos al dominio y le damos la ubicación en la OU que más nos parezca en el árbol del dominio, de esta forma podremos seguir el procedimiento anterior, con la diferencia que no nos pedirá el usuario y la contraseña.
El procedimiento 2 nos da el beneficio de decidir nosotros donde colocar la OU que contendrá al objeto “XXX” (nombre del equipo, por ejemplo “pablopc”), de lo contrario, si unimos un equipo “XXX” siguiendo el procedimiento 1, el objeto “XXX” quedara creado en la OU “Computers” (una de las que viene por defecto cuando se instala un equipo A.D).
En el inicio de sesión de los clientes, estos solicitaran:
Nombre de usuario Contraseña Dominio / Active Directory
Este equipo
A este proceso se le llama “Inicio de Sesión Clásico”.
A partir de Windows 2000 se permite que en el Nombre de Usuario se coloque un @ después del nombre y se coloque después el nombre de dominio, cuando se hace esto se inhabilita la casilla para elegir el dominio.
LDAP (Lightweight Directory Access Protocol)
Es un protocolo que permite encontrar un objeto en una base de datos.
DSADD Comando para crear objetos por línea de comandos.
CN = Common NameOU = OUDC = Dominio
DSADD Tipo Objeto Nombre LDAP Parametros
dsadd user cn=pablo dc=acme
6
dsadd user "cn=federico,ou=mktg,dc=acme,dc=com,dc=uy"
Si vamos a crear un usuario dentro de alguna de las OU que están por defecto, aunque suene contradictorio cuando se deba especificar el identificador de la OU, hay que poner el mismo como si fuera un Common Name(cn). Por ejemplo, si quisiera agregar al usuario Federico en la OU usuario, debería ponerlo de la siguiente forma:
dsadd user "cn=federico,cn=usuario,dc=acme,dc=com,dc=uy"
Esto se cumple para todas las OU por defecto.
Grupos
UsuariosGrupos Computadoras
Hay dos formas de clasificar grupos, por su:
Tipo Seguridad (Permisos sobre los recursos).
Distribución (Como lista para correo electrónico).
Ambito Local del equipo (Scope, solo el equipo).
Local del dominio (El dominio)
Global (El árbol)
Universal
Para explicar los grupos anteriores hay que entender que es el nivel de funcionalidad del dominio.
Nivel de funcionalidad del dominio: Es el conjunto de funcionalidades o ventajas que se disponen en un dominio. Existen tres niveles de funcionalidad:
Mixto: Este es compatible con con DC de Windows NT 4.0 por lo tanto sus funcionalidades están limitadas para seguir siendo compatibles entre sí.
Windows 2000 Nativo: Significa que las funcionalidades son casi completas debido a que Windows 2000 y 2003 son casi idénticas. Lo único que no estaría disponible son
7
las nuevas funcionalidades, por ej., en Windows 2000 la sincronización es a nivel de objetos y en Windows 2003 es a nivel de propiedades.
Windows 2003 Server: Funcionalidades completas.
La clasificación de grupos según el ámbito sirve para administrar las redes escalablemente, haciendo a los grupos más generales miembros de los grupos más específicos, asignando permisos a estos últimos, facilitando la administración de redes con muchos usuarios.La clasificación de grupos por ámbito nos da la información de donde es visible el dominio en el árbol.
Usuarios + Grupo + Local Permisos(Account) (Global) (Dominio) A + G + DL + P
*Este procedimiento es teórico debido a que el procedimiento que se usa en la práctica es el siguiente:
A+DL+P
A+GG+P
Con los niveles funcionales Windows 2000 nativo o Windows 2003 Server podemos cambiar los grupos de
Universal a Global Universal a Domain Local Global a Universal Domain Local a Universal
Los ámbitos universales están solo disponibles en los niveles funcionales 2000 nativo y 2003 Server (no en el Mixto).Cuando trabajamos con el nivel functional mixto no podemos hacer cambios de ambito ni cambios del tipo de grupo.
8
Anidamiento: Hacer pertenecer a un grupo de un ambito dentro de otro grupo del mismo ambito se llama anidar. Esta técnica no está permitida en el nivel de funcionalidad mixto.
Cosas que pasan al unir un PC al dominio
Cuando unimos un pc al dominio pasan algunas cosas a nivel de su base ded datos local (SAM)
1. El administrador de dominio pasa a ser miembro del grupo “administradores” local. Al grupo “administradores” local se le agrega como miembro del grupo “domain admins”
2. Los usuarios del dominio pasan a ser miembros del grupo “usuarios” local. Al grupo usuarios local se les agrega como miembro del grupo “domain users”.
Grupos predeterminados del AD (Built IN)
Grupos del sistema (los maneja el sistema operative):
Todos (everyone): es una forma de asignar permisos a todos los usuarios, pero no los autentica (no verifica si son usuarios o no del dominio).
Usuarios Autenticados (Authenticated Users): La misma función que el grupo todos, pero este si verifica si los usuarios que quieren acceder al servicio, son usuarios autenticados en el dominio.
Owner (Dueño): se maneja internamente, hace referencia al usuario que creó un recurso.
Compartir Objetos
Permisos
Estos definen el tipo de acceso concedido a un usuario, grupo o equipo para un objeto. Los permisos se aplican a los objetos como archivos, carpetas compartidas e impresoras. Pueden ser agregados a usuarios y grupos del AD o del equipo local.
Hay permisos que no funcionan solos sino que deben trabajar en conjunto con otros, como el modificar, que por defecto trabaja con los permisos LEER y ESCRIBIR.
DET y FAT
Para entender los permisos tal cual son se debe explicar antes los conceptos de DET (“Directory Entry Table”) que no es más que una tabla de directorios de la partición, y el de la tabla FAT (File Allocation Table), la cual guarda las direcciones de los bloques en el disco.
9
Cada archivo o carpeta tiene una lista de permisos DACL (Discretionary Access Control List). Esta DACL contiene el usuario o grupo/s, los permisos permitidos y los permisos denegados.
Tipos de Permisos
Estándar: los que permiten el uso diario de los recursos (Read, Write).
Especiales: Permisos más detallados, combinaciones de permisos especiales son los que conforman permisos estándar.
Estado de los permisos
En Windows existe la herencia de permisos, si un usuario tiene ciertos permisos sobre una carpeta, por herencia, va a tener los mismos permisos sobre todo el nivel jerárquico que nazca de esa carpeta (archivos, subcarpetas, y archivos de subcarpetas).
Los permisos explícitos son todos los que se pueden agregar o quitar, y los permisos heredados no se pueden modificar (en Windows se ven sombreados en gris), ya que vienen asignados desde un nivel superior. En este caso los permisos, desde la carpeta que tiene permisos heredados no pueden ser modificado, pero si borrados eliminando la herencia de esta carpeta o archivo,(por un usuario Administrador por ejemplo); para modificar los permisos, estos deben ser modificados en la carpeta donde se agregaron originalmente. Lo que sí se puede hacer con los permisos heredados es denegarlos debido a que la casilla “Denegar/Deny” no esta sombreada, en este caso quedara con el permiso negado debido a que:
Denegar siempre tiene más peso sobre permitir.
Si un usuario no tiene marcada ninguna casilla sobre los permisos de un recurso, se le llama permisos denegados implícitamente.
Cuando se elimina la herencia no solo elimina los permisos que venía heredando desde los recursos superiores, sino que no adjudicara herencia a los recursos que estén por debajo de ese recurso. Otra opción de la herencia es “copiar”, esta opción permite que el recurso mantenga los permisos que venía heredando, pero los recursos que se creen por “debajo” de él, a partir de ese momento no heredaran permisos de los recursos superiores.
Los permisos efectivos son los permisos que finalmente tiene el usuario por suma de todos los permisos de los diferentes grupos a los que ese usuario pertenece.
Carpeta Compartida
En el caso de una carpeta compartida al hacer una copia de esta en otra ubicación, la carpeta original sigue estando compartida pero la copia no, y la copia heredara los permisos de la nueva carpeta contenedora y perderá los permisos que tenía antes. En el
10
caso de que la misma sea movida, esta deja de estar compartida, pero los permisos que tenía antes son mantenidos además de sumarle el resto de permisos que tenga la nueva carpeta contenedora. La explicación de esto es que cuando uno copia una carpeta se está creando una carpeta nueva en la tabla DET, y después se elimina lo anterior; pero cuando se mueve u archivo o carpeta, en la tabla DET los permisos también se mueven y el único que se cambia es el padre de esa carpeta, además de sumarle los permisos de este. Para eliminar eso se puede eliminar la herenciag, lo cual implica que, si la carpeta ya tenía permisos heredados, al momento de sacarle la herencia, se eliminaran los permisos heredados y quedaran solo los propios (que son los que se le hayan aplicado directamente sobre esa carpeta/archivo, o que tenga de antes si el mismo fue movido con anterioridad).
La carpeta también se puede ocultar y estar compartida al mismo tiempo. Este tipo de carpetas/archivos se identifican por un signo de $ al final del nombre del recurso compartido y para poder visualizarlas desde otro equipo se debe utilizar el UNC (Universal Naming Convention), este es un ejemplo de la estructura de un UNC:
\\nombre del equipo\nombre de carpeta compartida
Para ver las carpetas compartidas: “Administrador de equipos-Herramientas del sistema-Recursos compartidos”
Las carpetas compartidas se pueden publicar en el AD de forma de que su búsqueda sea más sencilla, tanto por parte de los administradores como por parte de los usuarios miembros de este. Para publicar una carpeta compartida vamos a:“Administrador de equipos-Herramientas del sistema-Recursos compartidos” y allí le damos click derecho sobre la carpeta que queremos publicar, y allí le marcamos el checkbox “Publicar este recurso compartido en el active directory”.Los permisos se pueden dividir en tres:
Lectura (de forma predeterminada se agrega al grupo todos): Ver datos de archivos y atributos, ver los nombres de archivos y subcarpetas y ejecutar archivos de programa.
Cambio (incluye los permisos de lectura): Permite agregar archivos y subcarpetas, cambiar datos en archivos, eliminar archivos y subcarpetas.
Control total: Todos los permisos de lectura y cambio, y puede cambiar los permisos de archivos NTFS y carpetas.
Los permisos de las carpetas compartidas son solo para el acceso por red (remoto), si un usuario que no tiene permiso para acceder a esa carpeta, pero este se moviliza físicamente hasta donde se encuentra la PC y se loguea en la misma, por más que lo haga con su usuario de dominio, este podrá acceder a las carpetas en la cuales no tiene permiso debido a que los permisos que rigen en ese momento son los permisos locales que tenga esa carpeta.
11
Cuando un usuario accede a un recurso remoto con permisos, los mismos se calculan haciendo una “suma” de permisos entre los permisos “Shares” (de red) y los permisos NTFS (locales) para sacar lo que se llaman los permisos efectivos. En caso de haber conflicto entre los permisos NTFS y permisos Shares gana el más restrictivo, debido a que los permisos de red no afectan de forma local pero los locales si afectan a los de red. Lo que se llaman permisos efectivos son una “cuenta” que hace el sistema operativo entre los permisos NTFS y los shares debido a lo que se dijo anteriormente.
La forma eficaz de controlar los permisos podría ser, en los permisos shares, quitar al grupo todos, y agregar al grupo Authenticated Users (Usuarios Autenticados) con permisos totales (Full Control) y Users (Usuarios) en la sección de seguridad (permisos NTFS) con permisos de lectura, esto nos permite manejar los permisos de los diferentes grupos y usuarios desde la pestaña seguridad (permisos NTFS). Solo los usuarios logueados en el dominio y que tengan permisos para acceder al recurso o aquellos que, aunque estén en un equipo que tenga acceso a la red, pero que no estén Autenticados contra el dominio, pero que si posean un usuario y contraseña validos para poder acceder al recurso compartido podrán hacer uso del mismo (siempre dependiendo de lso permisos otrogados). De esta forma todo usuario o grupo que este logueado al dominio pero que no posea permisos especificados en la sección Security (Seguridad) solo tendrá permisos de lectura; si lo que queremos es que solo los usuarios que nosotros especifiquemos en el apartado seguridad puedan acceder al recurso en función de los permisos que nosotros les otorguemos, basta con sacar al grupo users o usuarios de la sección security o seguridad. De esta forma se facilita mucho la otorgación de permisos mediante una alta centralización del trabajo.
Diferencias entre permisos de carpetas compartidas y permisos NTFS:
Carpetas compartidas NTFS
Solo son aplicables a carpetas Son aplicables tanto a carpetas como archivos.
Número limitado de permisos configurables (Full control, read,
change).
Número mayor de permisos aplicables.
Funcionan sobre particiones FAT y NTFS.
Funcionan solo sobre particiones NTFS.
Se aplican solo cuando el acceso es via remota.
Se aplican cuando el acceso a la carpeta es vía local o vía remota.
Configuración de impresoras
12
Cuando se solapan los permisos sobre una carpeta accediendo a la misma vía remota, siempre van a prevalecer los más restrictivos ya sean shares o NTFS.
Microsoft llama “impresora” a una cola de impresión. Podemos tener varias colas de impresión que se refieren a un mismo dispositivo, haciendo que cada cola de impresión tenga una prioridad y una configuración de impresión (color, B/N, tamaño).
Permisos NTFS para las impresoras
Print, Manage, printers, Manage documents, +“Especiales”
Grupo Print Manage Printers Manage Documents
Administradores X X X
Creator/Owner X X
Everyone X
Power Users X X X
Printer Operators X X X
Server Operators X X X
Permisos en el Active Directory
Control Total
Escritura: Cambiar atributos de objetos
Lectura: Ver objetos y sus atributos
Crear: crear objetos tales como usuarios o equipos
Eliminar: Eliminar objetos
Al igual que los permisos NTFS, se heredan de padres a hijos (OUs y SubOUs) y se pueden otorgar y denegar explícitamente.
Para cambiar la forma en que un permiso es heredado hay que hacerlo en la ventana avanzada de permisos especiales, seleccionando el permiso a cambiar y clickeando en el botón edit.
Al mover una OU hereda los permisos del nuevo lugar.
Delegación de control de permisos
Asistente para manejar los permisos que tienen grupos y usuarios sobre objetos del active directory. Es una forma de facilitar la asignación de permisos ya que en el active
13
directory se pueden asignar permisos sobre los objetos o sobre las propiedades de los mismos: Read Write Objeto Create Child Delete ChildPermisos Telefono
Read Mail, etc.
Propiedades Wite Teléfono Mail, etc.
Al fin y al cabo, este asistente asigna permisos especiales para un grupo o usuario sobre otros grupos, usuarios o OUs de forma sencilla desde el punto de vista del administrador.
NTFS
Compresion de archivos
Una de las características disponibles cuando se formatea un volumen con el sistema de archivos NTFS es la compresión de archivos. Compresión de NTFS sólo se puede aplicar a una partición o volumen formateado con el sistema de archivos NTFS. A través de NTFS, puede crear un espacio de almacenamiento adicional para los archivos ya sea mediante la compresión de archivos individuales, o todos los archivos en una carpeta NTFS. Los archivos de una carpeta comprimida se comprimen cuando se habilita la compresión sobre esa carpeta. Todas las subcarpetas incluidas en la carpeta comprimida también serán comprimidas. Un archivo comprimido es descomprimido automáticamente cuando se accede a él. La sección del archivo que se lee es la sección del archivo que se descomprime, el resto de los datos del archivo se mantiene sin comprimir en la memoria. Cuando el archivo se guarda en la memoria o por escrito en el disco, NTFS comprime los datos nuevos en el archivo.
La compresión automática sobrecarga al servidor debido a que cada vez que los archivos comprimidos son usados el sistema operativo debe descomprimir el mismo para mostrar el contenido, y al momento de guardar, guarda los cambios y vuelve a comprimir el mismo. No se deben comprimir carpetas de sistema debido a que su uso es excesivo y esto sobrecargaría al equipo servidor de forma innecesaria. Por este motivo no se recomienda comprimir carpetas o archivos del sistema, debido a que sobrecargaríamos de forma excesiva al servidor.
Si movemos un archivo que esta comprimido a una carpeta que no está comprimida, el archivo seguirá estando comprimido. Si copio un archivo comprimido a una capeta que no lo está el archivo nuevo pierde la compresión. Si copiamos un archivo que no está comprimido a una carpeta comprimida heredara la compresión de forma automática. Si movemos un archivo no comprimido a una carpeta comprimida, este archivo movido
14
queda no comprimido. En esto se puede decir que es igual a los permisos de los archivos.
Desde la línea de comandos se puede, la compactación de puede usar de la siguiente forma:
C:\test > compact *.* /s
En este caso se compactarían todos los archivos (*.*) de la carpeta test (>) y sus subdirectorios (/s).
/v es para descomprimir
Encriptación /Cifrado
Este atributo se aplica sobre archivos y carpetas, desde la opción avanzada de las preferencias de los mismos.
El sistema crea una clave interna automáticamente y de forma transparente para el usuario con la cual solo deja abrir el archivo al dueño del mismo.
Se usa desde línea de comandos con cipher.
Mantenimiento del atributo encypt:
Un archivo encriptado permanece de esta forma siempre a no ser que se copie/mueva a una partición FAT. Si copiamos/movemos un archivo no encriptado a una carpeta encriptada, se encripta automáticamente.
Cuotas de disco
Consiste en asignarle a los usuarios un tamaño máximo de uso en el disco con los archivos pertenecientes a los mismos.
Se activa individualmente por cada volumen de disco (partición).
Se manejan dos límites:
De aviso: cuando el usuario llega a este límite con los archivos de los cuales es dueño, se registra un evento en el visor de eventos.
Tope: cuando el usuario llena su cuota , hay dos opciones que son configurables por el administrador:
1. Permite continuar escribiendo en disco
2. No permite continuar escribiendo en disco
Aunque las cuotas se puedan administrar por grupos, se aplica el límite a cada usuario individualmente. Cuando existen archivos las cuotas toman en cuenta el tamaño real y no el comprimido.
Directivas de Grupo (Group Policies)
15
Configuración del ambiente de Windows.
1. Opciones de Windows (Panel de control)
Opciones en las aplicaciones
2. Bases de datos de parámetros: Registry Regedit
Regedt32
Directivas o policies Hardware
Usuarios (Perfil de usuarios)Aplicaciones IE Outlook Windows
3.Aplicar directivas de grupos o group policies Lista de algunos parámetros
HKEY_USERS : Configuración de los usuarios que alguna vez se loguearon al equipoHKEY_CURRENT_USER : Configuración del usuario que esta actualmente logueado.
La configuración de current se guarda en users cuando el usuario logueado cierra la sesión correctamente.
HKEY_LOCAL_MACHINE : Configuración de aplicaciones y drivers permanentemente.HKEY_CUREENT_CONFIG : Configuración de aplicaciones y drivers que esta corriendo en este momento.
Al apagar la maquina correctamente, la current config se guarda en la local machine.
La configuración del resgistro puede ser guardada/respaldada desde la misma utilidad que tiene Windows para visualizar el resgistro, esto lo hacemos de la siguiente manera:
RegeditFile—Import Para importar o exportar el resgistro
Export
Group policy editor
Configuración del equipo: Son los parámetros que se aplican al prender el equipo.
Configuración del usuario: Son los parámetros que se aplican al loguearse el usuario.
Si estas dos configuraciones hacen referencia a los mismos parámetros, va a prevalecer siempre la ultima que se aplica, que va a ser la del usuario, ya que primero se prende la maquina y después se loguea el usuario.
Cuando se aplican group policies en un dominio, en el AD se crea un nuevo objeto:
Objeto: Grpup Policy Object (GPO).
Propiedades:
16
Nombre del GPO DACL: lista de usuarios y permisos sobre el GPO. Lista de parámetros: directivas que aplica Lugares donde se aplica el GPO.
Site es una estructura manejada a partir de Windows 2003 que refleja redes físicas que conforman los dominios.
Un objeto GPO puede aplicarse sobre:
Un site: una red física
Un dominio: todo el dominio
Una OU: todos los grupos y usuarios de la OU.
Una vez que un GPO está aplicado sobre alguno de los tres elementos anteriores, existe la herencia y el bloqueo de herencia. También, una vez aplicado, se pueden filtrar los usuarios y grupos a los que va a afectar.
Orden de aplicación de las GPO
1. Cuando se prende el equipo, se aplica la policy referente al equipo.
2. Se carga la policy de site referente al equipo.
3. Se carga la policy de Dominio referente al equipo.
4. Se carga la policy de OU referente al equipo.
En este momento aparece la pantalla de logueo
5. Se carga la policy local del usuario
6. Se carga la policy del site del usuario
7. Se carga la policy del dominio del usuario
8. Se carga la policy de la OU del usuario
Todas estas se van sumando y las políticas de equipo (1º al 4º) son las que se usan para los parámetros referentes al equipo; y las políticas de usuario (5º a 8º) son las que usan para los parámetros referentes al usuario. En caso de que un mismo parámetro exista en las dos políticas, van a prevalecer los del usuario, ya que son los únicos que se alican (en caso de políticas contrarias lo único prevalece la poltica de la ultima GPO que se aplica, sin importar cual sea esta).
17
