SI1A15 resumen_permisos_directivas_de_grupo_y Archivos_sinconex.pdf

Practica 5 – Derechos y permisos

A la hora de especificar qué se puede hacer y qué no en el directorio activo, y su

organización y asignación a las cuentas de usuario. En esta práctica vamos a definir los

permisos y los derechos.

Derechos

Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de

seguridad de archivos o de iniciar sesión en un servidor, por ejemplo, es un derecho que

el administrador concede o retira. Los derechos se pueden asignar de forma individual,

pero la mayoría de las veces son característicos de los grupos, y un usuario se asigna a

un grupo particular en base a los derechos que necesita.

Los derechos están divididos en dos tipos:

Privilegios

Derechos de inicio de sesión.

Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o

forzar el apagado desde un sistema remoto (son dos cosas que no suelen hacer los

usuarios normales).

Los derechos de inicio de sesión se explican por si mismos; implican la capacidad de

conectarse a un equipo de formas específicas.

Los derechos se asignan automáticamente a los grupos predefinidos en el Directorio

Activo, aunque se pueden asignar a usuarios individuales además de a grupos. Es

preferible la asignación por grupos, ya que , en la medida de lo posible, se deberían

asignar los derechos por pertenencia a un grupo para simplificar la administración.

Cuando la pertenencia a grupos define derechos, se pueden eliminar los derechos de un

usuario eliminando simplemente al usuario del grupo

A continuación vemos algunos de los privilegios y derechos existentes en el Directorio

Activo:

Privilegios Nombre Descripción

Agregar estaciones de trabajo a un

dominio

Realizar copias de seguridad

Cambiar la hora del sistema

Depurar programas

Forzar apagado desde sistema remoto

Aumentar cuotas

Cargar y descargar controladores de

dispositivo

Administrar los registros de auditoria y

seguridad

Permite especificar opciones de auditoria,

y ver y borrar el registro de seguridad en

el visor de sucesos.

Hacer perfil de un proceso Permite tomar muestras de rendimiento de

Alberto Mendez Garcia

1 de 23 IES PIRINGALLA

un proceso

Hacer perfil del sistema Permite tomar muestras de rendimiento

del sistema

Apagar el sistema

Derechos de inicio de sesión

Nombre Descripción

Tener acceso a este equipo desde la red Permite la conexión al equipo a través de

la red

Iniciar sesión local Permite iniciar sesión desde el teclado del

equipo

Iniciar sesión con servicios de terminal Permite iniciar sesión como un cliente de

servicios de terminal

Permisos

Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos

como archivos, directorios e impresoras. Por ejemplo, la pregunta de si un usuario

puede leer un directorio en particular o acceder a una impresora de red es un permiso.

Hay que distinguir entre los permisos de las carpetas compartidas y los permisos NTFS.

NTFS es el sistema de ficheros que se utiliza en los sistemas operativos Windows 2000

y Windows 2003 y en Windows Xp si el administrador lo especifica durante la

instalación del mismo, y debido a sus características avanzadas con respecto a los

sistemas de ficheros FAT permite definir políticas de seguridad de acceso, cuotas de

asignación de disco y encriptación a nivel del sistema de ficheros.

Cuando se decide asignar unos determinados permisos a un recurso compartido, hay que

definir primero los permisos NTFS, y posteriormente se definirán los permisos del

recurso compartido.

Permisos NTFS

A continuación vamos a ver los tipos de permisos NTFS:

Dentro de los permisos NTFS distinguimos entre permisos estándar y permisos

especiales. Los permisos estándar son:

Para los archivos: control total, modificar, lectura y ejecución, leer y

escribir

Para las carpetas: control total, modificar, lectura y ejecución, lista el

contenido de la carpeta, leer y escribir

Cada uno de estos permisos estándar son conjuntos de permisos especiales. En las

siguientes tablas vemos una relación de los permisos especiales que se corresponden

con cada uno de los permisos estándar.



Permisos especiales para las carpetas

Permisos especiales para los archivos



Reglas Para Permisos

Las reglas más importantes para los permisos se pueden resumir en:

De forma predeterminada, las carpetas heredan los permisos de su

carpeta principal. Los archivos heredan los permisos de la carpeta en la

que se hallan.

Los usuarios pueden tener acceso a las carpetas o a los archivos si se les

ha concedido permiso para hacerlo o si pertenecen a un grupo que tenga

concedido ese permiso.

Los permisos son acumulativos, pero el permiso Denegar anula al resto.

Por ejemplo, si el grupo Escritores técnicos tiene acceso Leer a una

carpeta, el grupo Proyecto tiene permiso Modificar para esa misma

carpeta y Alejandro es miembro de los dos grupos, tendrá el nivel de

permiso más alto, que es Modificar. No obstante, si el permiso del grupo

Escritores técnicos se modifica de manera explicita Denegar, Alejandro

no podrá utilizar la carpeta, a pesar de su pertenencia (y nivel de acceso

evidentemente superior) al grupo Proyecto.

El usuario que crea cada archivo o cada carpeta es el propietario de ese

objeto y puede definir los permisos para controlar el acceso.

Los administradores pueden tomar posesión de cualquier archivo o

carpeta.

Los miembros de los grupos Administradores, operadores de copia, y

operadores de servidor pueden tomar posesión de cualquier objeto y

reasignar esa posesión.

Configuración de los permisos

Lo primero es crear una carpeta. Una vez creada accedemos a las propiedades de la

misma para configurar los permisos NTFS.

En la siguiente ventana vemos los usuarios y grupos de usuarios que tienen definidos

permisos sobre la carpeta



Para añadir un grupo o usuario que tenga permisos sobre esta carpeta pulsamos el botón

agregar.

Si no recordamos el nombre exacto del usuario o grupo de usuarios podemos hacer una

búsqueda avanzada pulsando en el botón Avanzadas.



Seleccionamos el usuario alumno1 y pulsamos el botón Aceptar. Ahora volveremos a

ver la pestaña seguridad de las propiedades de la carpeta, en la cual ya aparece el

usuario seleccionado y los permisos estándar asignados por defecto. Si se quiere

modificar alguno de estos permisos basta con clickear sobre los checkbox que aparecen

en la ventana.



Si deseamos ver los permisos especiales pulsamos en el botón Opciones Avanzadas y

nos movemos a la pestaña Permisos efectivos.

Una vez seleccionados los permisos especiales se pulsa el botón Aplicar, y después el

botón Aceptar, quedando los permisos NTFS de la carpeta configurados.

El siguiente paso es configurar los permisos de la carpeta compartida.

Permisos Carpeta Compartida

Los permisos de los recursos compartidos definen tres tipos de acceso, de menos

restrictivo a más restrictivo:

Leer

Permite ver los nombres de los archivos y de las subcarpetas, ver los

datos de los archivos y ejecutar programas.

Modificar

Permite el mismo acceso que leer y, además, agregar archivos y

subdirectorios a la carpeta compartida, modificar los datos de los

archivos y eliminar archivos y subdirectorios.

Control total

Permite el mismo acceso que modificar y, además, modificar permisos y

tomar posesión de la carpeta.

Para definir una carpeta compartida tenemos que pulsar con el botón derecho del ratón

en la carpeta y seleccionar el menú Compartir. También es posible pulsar en

propiedades y seleccionar la pestaña compartir.



Seleccionamos la opción Compartir esta carpeta y establecemos el nombre que

queremos que tenga la carpeta como recurso compartido.

Para asignarle los permisos pulsamos en el botón Permisos.



Administración de recursos compartidos locales

Para realizar una administración centralizada de los recursos compartidos locales

accedemos a la herramienta administrativa “Administración de equipos”

La siguiente ventana nos permite administrar distintos aspectos del equipo, en este caso

vamos a centrarnos en las carpetas compartidas.



Pulsamos en carpetas compartidas:



Nos aparecen tres secciones:

Recursos compartidos

Aparecen ciertos recursos compartidos que están definidos por defecto en

el sistema, como son documentos c, IPC$ y print$ (soporta las

impresoras compartidas)

Sesiones



Archivos Abiertos



Practica 7 – Directivas de Grupo

En los sistemas operativos Windows Server 2000 y 2003 las políticas de grupo definen

las configuraciones para usuarios, grupos de usuarios y ordenadores. Se puede crear una

configuración específica de escritorio para cualquier grupo particular de usuarios. Estas

configuraciones de políticas de grupo que se crean se encuentran ene le objeto políticas

de grupo (GPO) que a su vez está asociado con objetos seleccionados del Directorio

Activo, tales como sitios, dominios o unidades organizativas.

Se denominan directivas de grupo al conjunto de valores de configuración utilizados por

el administrador para gestionar objetos que actúan durante la inicialización y la

finalización de los equipos y durante el inicio y final de sesión de los usuarios.

Por medio de estas directivas, el administrador controla los entornos de trabajo de los

usuarios del dominio y el comportamiento de un objeto determinado. Las directivas de

grupo se pueden utilizar para administrar las características que incluye la familia

Microsoft Windows Server 2003, tales como instalación de software, plantillas

administrativas, configuración de seguridad, secuencias de comandos, etc

Las directivas de grupo afectan a usuarios y a equipos. Las directivas de grupo de

usuario se activan en el momento que el usuario inicia su sesión, mientras que, por su

parte, las directivas de grupo de equipo se activan al inicio de sistema.

Las directivas de grupo constan de varios componentes configurables:

Instalación de software

Plantillas administrativas

Secuencia de comandos

Redirección de carpetas

Configuraciones de seguridad

Configuración de directiva de grupo

Dentro de las directivas de grupo hay dos nodos principales:

Configuración de la computadora:

Incluyen políticas que especifican el comportamiento del sistema operativo, la

apariencia del escritorio, la configuración de las aplicaciones, las aplicaciones

asignadas, las opciones de implementación de archivo, las configuraciones de

seguridad y los scripts de iniciar y apagar el ordenador.

Configuración del usuario

Incluyen toda la información específica del usuario tal como el comportamiento

del sistema operativo, las configuraciones de escritorio, las configuraciones de

aplicaciones, aplicaciones asignadas, configuraciones de seguridad, scripts de

conexión y desconexión de usuarios. Se aplican las políticas de grupo

relacionadas con los usuarios cuando estos se conectan al ordenador.



Dentro de la configuración del ordenador y de la configuración del usuario existen las

siguientes carpetas:

Plantillas administrativas:

o Sistema: controla características como el escritorio, las conexiones de

red, las carpetas compartidas y el panel de control.

o Internet Explorer: permite configurar características como las zonas de

seguridad, la configuración de proxy, las búsquedas y los archivos

temporales de internet.

o Reproductor de Windows Media: controla características como la

configuración proxy, códec y el buffer de red.

o NetMeeting: permite controlar características como compartir

aplicaciones, audio, video y chat.

o Windows update: permite configurar características como las

actualizaciones automáticas de software a través de internet.

Configuración del software

o La carpeta configuración del equipo/configuración de software contiene

los valores de configuración de software que se aplican a todos los

usuarios que inician sesión en el equipo. Esta carpeta contiene la

configuración de software y puede incluir otros valores de configuración

procedentes de proveedores independientes de software.

o La carpeta configuración de usuario/configuración de software contiene

la configuración de software aplicada a los usuarios, independientemente

del equipo en el que inician sesión. Esta carpeta contiene también la

configuración de instalación de software y puede incluir otros valores de

configuración procedentes de proveedores independientes de software.

Configuración de Windows

o La carpeta configuración de equipo/configuración de Windows contiene

los valores de configuración de Windows que se aplican a todos los

usuarios que inician sesión en el equipo. Esta carpeta también contiene

los siguientes elementos: configuración de seguridad y secuencias de

comandos.

o La carpeta configuración de usuario/configuración de Windows contiene

la configuración de Windows que se aplica a los usuarios,

independientemente del equipo en el que se inician sesión. Esta carpeta

contiene además: redirección de carpetas, configuración de seguridad y

secuencias de comandos.



Práctica

En esta práctica vamos a ver primero cual es la directiva de seguridad que se aplica por

defecto cuando se crea un dominio, y que usuarios y grupos de usuarios tienen permisos

sobre el dominio.

Para ello abrimos la herramienta administrativa: “Equipos y usuarios de directorio

activo”. Una vez abierta, pulsamos con el botón derecho del ratón encima del dominio y

seleccionamos la opción “Propiedades”.

Seleccionamos la pestaña Directiva de grupo:



Seleccionamos la directiva creada por defecto y pulsamos en el botón propiedades:



En la ventana que se ha abierto nos vamos a la pestaña seguridad, donde podemos ver

los usuarios y grupos de usuarios y sus permisos asociados sobre el dominio (el objeto

donde se está aplicando la directiva de seguridad):

Si deseamos especificar un mayor control sobre las operaciones que puede hacer en el

dominio un determinado grupo de usuarios pulsamos en el botón de Opciones

avanzadas, mostrándonos la siguiente ventana:

Para modificar los permisos de un determinado grupo de usuarios seleccionamos el

grupo y pulsamos el botón modificar:





Practica 2

En la siguiente práctica vamos a ver como podemos crear una nueva política de grupo y

asignársela a una unidad organizativa creada por nosotros.

Lo primero es abrir la herramienta administrativa “Usuarios y equipos de Directorio

Activo”, y seleccionamos la unidad organizativa sobre la que vamos a aplicar la

directiva de grupo (UOPrimero). Para ello pulsamos con el botón derecho del ratón en

la unidad organizativa y seleccionamos la opción Propiedades:

Vemos que por defecto no tiene asignada ninguna directiva de grupo, con lo que lo

primero que vamos a hacer es crear una nueva llamada aulaPrimero:



Una vez creada, pulsamos el botón editar, abriéndose la ventana de configuración de

directivas de grupo. (Obsérvese como se muestran los nodos explicados al principio de

la práctica)

En este ejemplo vamos a configurar la política de grupo para que a los objetos usuarios

contenidos dentro de la unidad organizativa UOPrimero se le aplique la restricción de

ocultar la ficha Escritorio de las propiedades de la Pantalla cuando inicien sesión en

cualquier equipo. Para ello seguimos el siguiente camino en la ventana de edición de

directiva de grupo: “Configuración de usuario/Plantillas administrativas/Panel de

control/Pantalla”. Seleccionamos la opción Ocultar la ficha de Escritorio:



Pulsamos con el botón derecho del ratón sobre “Ocultar la ficha Escritorio”, y

seleccionamos “Propiedades”



Nos aparecen tres posibles opciones:

No configurada: Toma por defecto lo configurado en la política de grupo

superior, en este caso, la definida para el dominio.

Habilitada: Habilita la opción seleccionada, independientemente de lo

que diga la política de grupo superior.

Deshabilitada: Deshabilita la opción seleccionada, independientemente

de lo que diga la política de grupo superior.

Si no estamos seguros de lo que significa la opción seleccionada, podemos ver uns

descripción en la pestaña “Explicación”



Seleccionamos la opción “Deshabilitada”, y pulsamos el botón Aplicar y el botón

Aceptar.

Aunque en este ejemplo solamente se ha creado una política de grupo para el objeto

UOPrimero, es posible definir varias políticas de grupo aplicándose todas ellas al objeto

seleccionado.



Administración de Sistemas Operativos 30 de Mayo del 2005

Práctica 7: Administración del sistema de ficheros (5ª parte) 1

Práctica 7: Administración del sistema de ficheros (5ª parte)

Continuaremos con el sistema de ficheros en esta 5º parte, y trataremos aspectos tan variados como son las carpetas compartidas y la programación de tareas en el sistema.

Administración de carpetas compartidas

Podríamos definir recurso como cualquier dispositivo, conjunto de datos o programa usado por más de un dispositivo o programa. En Windows, un recurso compartido es cualquier recurso disponible para los usuarios de la red, como carpetas, archivos, impresoras y canalizaciones con nombre (pipes con nombre). Un recurso compartido también puede ser un recurso de un servidor disponible para los usuarios de la red.

Mediante la herramienta de Carpetas compartidas se puede ver un resumen de las conexiones y el uso de los recursos en equipos locales y remotos.

Mediante Carpetas compartidas, se puede:

• crear, ver y establecer permisos para recursos compartidos. • ver una lista de todos los usuarios conectados al equipo a través de una

red y desconectar alguno de ellos o todos. • ver una lista de los archivos abiertos por usuarios remotos y cerrar

alguno de ellos o todos.

Es necesario iniciar una sesión como miembro del grupo Administradores, grupo Operadores de servidores o grupo Usuarios avanzados para utilizar Carpetas compartidas.

Para administrar de forma visual las carpetas compartidas, se accede desde Herramientas administrativas-> Administración de equipos->Herramientas del sistema->Carpetas compartidas. O desde línea de comandos con la orden net.

Las subcarpetas de Carpetas compartidas contienen información, ordenada en columnas, acerca de todos los recursos compartidos, sesiones y archivos abiertos en el equipo. Los encabezados de las columnas de estas carpetas se definen de la siguiente manera:

Recursos compartidos

En la siguiente tabla se muestra la información que contiene Carpetas compartidas acerca de los recursos compartidos disponibles en el equipo.

Columna Descripción

Nombre de recurso compartido

Enumera los recursos compartidos disponibles en el equipo. En algunos casos, se supervisa una conexión de impresora como una conexión a una canalización con nombre. Recurso compartido puede ser un directorio compartido, una canalización con nombre, una impresora compartida o un recurso de tipo no reconocido.



Ruta de acceso a la carpeta Muestra la ruta del recurso compartido.

Tipo Muestra el tipo de conexión de red: Windows, NetWare o Macintosh. Conexiones de cliente

Muestra el número de usuarios que están conectados al recurso compartido.

Descripción Describe el recurso compartido.

Sesiones En la siguiente tabla se muestra la información que contiene la carpeta Sesiones

acerca de todos los usuarios de red que están conectados al equipo.

Columna Descripción Usuario Enumera los usuarios de la red conectados al equipo. Equipo Muestra el nombre del equipo del usuario conectado.

Tipo Muestra el tipo de conexión de red: Windows, NetWare o Macintosh.

Número de archivos abiertos

Muestra el número de recursos abiertos por el usuario en este equipo.

Tiempo conectado Muestra las horas y los minutos transcurridos desde que se estableció la sesión.

Tiempo de inactividad

Muestra las horas y los minutos transcurridos desde que este usuario inició una acción por última vez.

Invitado Especifica si este usuario está conectado al equipo como invitado (se muestra Sí o No).

Archivos abiertos En la siguiente tabla se muestra la información que la subcarpetas Archivos

abiertos contiene acerca de todos los archivos abiertos en el equipo.

Columna Descripción

Archivo abierto

Enumera los nombres de los archivos abiertos. Un archivo abierto puede ser un archivo, una canalización con nombre, un trabajo de impresión en una cola de impresión o un recurso de un tipo no reconocido. En algunos casos, un trabajo de impresión se muestra como una canalización con nombre abierta.

Abierto por El nombre del usuario que abrió el archivo o tuvo acceso al recurso.

Tipo El tipo de conexión de red: Windows, NetWare o Macintosh. Nº de bloqueos

Muestra el número de bloqueos de archivos de aplicaciones iniciadas en el recurso.

Modo de apertura Muestra el permiso concedido cuando se abrió el recurso.



Permisos de recursos compartidos Un recurso compartido proporciona acceso a aplicaciones, datos o datos

personales de un usuario. Se pueden asignar o denegar permisos para cada recurso compartido.

Se puede controlar el acceso a recursos compartidos mediante diversos métodos. Utilizando permisos de recurso compartido, que son sencillos de aplicar y administrar. O bien, utilizando el control de acceso en el sistema de archivos NTFS, que proporciona control más detallado del recurso compartido y su contenido. También se puede utilizar una combinación de esos métodos. Si se utiliza una combinación de esos métodos, siempre se aplica el permiso más restrictivo. Por ejemplo, si el permiso de un recurso compartido está definido como Todos = Lectura (que es el valor predeterminado), y el permiso NTFS permite que los usuarios realicen cambios en un archivo compartido, se aplica el permiso de recurso compartido y el usuario no puede realizar cambios en el archivo.

No siempre es necesario denegar explícitamente un permiso a un recurso compartido. Normalmente, la denegación de permisos sólo es necesaria cuando se desea suplantar permisos específicos que ya están asignados.

En la familia de Windows Server 2003, cuando se crea un nuevo recurso compartido, se asigna automáticamente el permiso de lectura, que es el más restrictivo, al grupo Todos.

Permisos Sólo se aplican a los usuarios que obtienen acceso al recurso a través de la red.

No se aplican a los usuarios que inician una sesión localmente, como en un servidor Terminal Server. En esos casos, es necesario utilizar el control de acceso en NTFS para establecer permisos.

Se aplican a todos los archivos y carpetas del recurso compartido. Si se desea proporcionar un nivel de seguridad más detallado a las subcarpetas u objetos de una carpeta compartida, hay que utilizar el control de acceso en NTFS.

Son la única forma de proteger los recursos de red en volúmenes FAT y FAT32, porque los permisos NTFS no están disponibles en estos volúmenes.

Es necesario especificar el número máximo de usuarios que pueden tener acceso al recurso compartido a través de la red. Esta característica es adicional a la seguridad que proporciona NTFS.

Se pueden asignar los siguientes tipos de permisos de acceso a las carpetas o unidades compartidas:

Lectura Lectura es el permiso predeterminado que se asigna al grupo Todos. Lectura

permite:

• ver los nombres de archivos y de subcarpetas • ver los datos de los archivos • ejecutar archivos de programa

Cambio



Cambiar no es un permiso predeterminado para ningún grupo. El permiso de cambio proporciona todos los permisos de lectura, así como:

• agregar archivos y subcarpetas • cambiar datos en archivos • eliminar subcarpetas y archivos

Control total

Control total es el permiso predeterminado asignado al grupo Administradores en el equipo local. Proporciona todos los permisos de lectura y cambio, así como:

cambiar permisos (sólo en archivos y carpetas NTFS)

Configuración sin conexión para recursos compartidos Se puede utilizar Archivos sin conexión para trabajar con recursos compartidos

aunque no se esté conectado a la red. Al crear un recurso compartido, se puede especificar si desea que los archivos del recurso compartido se almacenan en caché de forma local en equipos cliente cuando otros usuarios tengan acceso a los archivos.

Para hacer que los recursos compartidos estén disponibles sin conexión, Archivos sin conexión almacena una versión de los recursos compartidos en una parte reservada de espacio en disco del equipo cliente, que se llama caché del sistema de archivos. El equipo cliente puede tener acceso a esta caché aunque el equipo cliente no esté conectado a la red.

Se puede elegir una de las siguientes opciones de caché para cada recurso compartido:

• Sólo estarán disponibles sin conexión los programas y archivos que especifique el usuario. Esta opción proporciona control a los usuarios de los archivos que están disponibles sin conexión.

• Todos los programas que el usuario abra desde el recurso compartido estarán disponibles sin conexión automáticamente. Esta opción permite que todos los archivos que los usuarios abran desde la carpeta compartida estén disponibles sin conexión de forma automática. Si se activa la casilla de verificación Rendimiento mejorado, todos los programas se almacenarán en caché de forma automática para que puedan ejecutarse localmente. Esta opción resulta especialmente útil para los servidores de archivos que alojan aplicaciones, porque reduce el tráfico de red y mejora la escalabilidad del servidor.

• Los archivos o programas desde el recurso compartido no estarán disponibles sin conexión. Esta opción impide que los usuarios almacenen archivos sin conexión.

Cuando se crea un nuevo recurso compartido, el acceso sin conexión está permitido de manera predeterminada, lo que significa que pueden almacenarse recursos compartidos seguros sin conexión en equipos potencialmente inseguros. Para garantizar la mayor seguridad, es recomendable no permitir que los usuarios almacenen archivos sin conexión. Si se hace, hay que asegurarse de establecer los permisos adecuados mediante permisos de recurso compartido o control de acceso en el sistema de archivos NTFS.



Archivos sin conexión Mediante Archivos sin conexión, se puede seguir trabajando con archivos y

programas de la red aunque no se esté conectado a ella.

Si se pierde la conexión a la red o se desconecta el equipo portátil, la vista de los recursos de red compartidos que están disponibles sin conexión permanece igual que cuando estaba conectado. Se puede continuar trabajando con ellos como normalmente se hace. Los permisos de acceso a esos archivos y carpetas son los mismos que los que tendría si se estuviera conectado a la red. Cuando el estado de la conexión cambia, aparece un icono de Archivos sin conexión en el área de notificación y se muestra un globo de recordatorio sobre el área de notificación para informar del cambio.

Cuando se restaura la conexión a la red o se conecta el equipo portátil, todas las modificaciones realizadas mientras trabajaba sin conexión se actualizarán en la red de manera predeterminada. Si se realiza cambios en un archivo que también ha sido modificado por otra persona en la red, existe la opción de guardar la versión de su archivo en la red, conservar la otra versión o guardar ambas versiones.

La sincronización se puede iniciar manualmente o se puede configurar el Administrador de sincronización (mobsync) de manera que controle cuándo se sincronizan los archivos sin conexión con la red. Archivos sin conexión controla si se realiza una sincronización completa o rápida. Una sincronización completa asegura que se tendrá la versión más actual de cada archivo de red disponible sin conexión. Una sincronización rápida es mucho más rápida que una sincronización completa, pero no proporciona la versión más actual de cada archivo de red disponible sin conexión. Sin embargo, una sincronización rápida asegura que una versión completa de cada archivo está disponible de manera que pueda continuar trabajando.

Todos las carpetas o archivos compartidos en una red Microsoft pueden hacerse disponibles sin conexión. Se puede hacer que estén disponibles sin conexión archivos de cualquier equipo que admita el uso compartido de archivos e impresoras basado en bloques de mensajes del servidor (SMB), incluidos los equipos que ejecuten Microsoft Windows 95, Windows 98, Windows NT versión 4.0, Microsoft Windows XP y la familia Windows Server2003. Archivos sin conexión no está disponible en redes Novell NetWare.

El administrador del sistema puede configurar carpetas compartidas de manera que los archivos de red que se abran en esas carpetas compartidas estén disponibles automáticamente sin conexión o que solamente estén disponibles sin conexión los archivos de red que elija.

Si se hace que un acceso directo a un archivo esté disponible sin conexión, el archivo estará disponible sin conexión. Si se hace que un acceso directo a una carpeta esté disponible sin conexión, el contenido de la carpeta no estará disponible sin conexión.

En la familia Windows Server 2003, Archivos sin conexión no se habilita de manera predeterminada, por tanto para poder habilitarlo hay que acudir a “Opciones de carpeta y pestaña de Archivos sin conexión”, desde el explorador de Windows.

Conflictos de archivos compartidos Cuando se sincronizan archivos, los archivos abiertos o actualizados mientras se

estaba desconectado de la red se compararán con los archivos guardados en la red. Las



modificaciones se copiarán en la red siempre y cuando los archivos que se hayan modificado mientras se encontraba sin conexión no los haya modificado otra persona. A continuación, se ofrecen algunas situaciones habituales de conflictos de archivos:

• Si otra persona realizó modificaciones en el mismo archivo de red actualizado mientras estaba sin conexión, se tendrá la opción de conservar su versión, conservar la versión de la red o conservar ambas versiones. Si se decide guardar las dos versiones del archivo, se deberá proporcionar un nombre de archivo diferente para su versión del archivo.

• Si se elimina un archivo de red en su equipo mientras trabaja sin conexión pero, al mismo tiempo, otra persona en la red está realizando modificaciones en ese archivo, el archivo se eliminará de su equipo pero no de la red.

• Si se modifica un archivo de red mientras trabaja sin conexión y otra persona en la red elimina ese archivo, puede elegir guardar su versión en la red o eliminarla de su equipo.

• Si está desconectado de la red cuando se agrega un nuevo archivo a la carpeta de red compartida que ha hecho que esté disponible sin conexión, el nuevo archivo se agregará a su equipo cuando vuelva a conectarse y se realice la sincronización.

El administrador de sincronización Mediante el Administrador de sincronización se puede controlar el momento en

que los archivos sin conexión se sincronizan con los archivos de red. Esto garantiza que dispone de la información más reciente de la red o de Internet cuando se necesita, al tiempo que se reducen las interrupciones al trabajar en el equipo.

Se puede utilizar el Administrador de sincronización para sincronizar automáticamente la información disponible sin conexión de las formas siguientes:

• Cada vez que inicie o cierre una sesión en el equipo. • A intervalos específicos mientras el equipo está inactivo. • A horas programadas.

Se puede aplicar esas opciones combinadas de varias maneras para archivos sin conexión en cada recurso compartido.

El Administrador de sincronización compara los elementos de la red con los que han sido abiertos o actualizados mientras se trabajaba sin conexión y, después, hace que esté disponible la versión más reciente tanto en el equipo como en la red. Entre los elementos que se pueden sincronizar se encuentran archivos individuales, carpetas y su contenido, y páginas Web sin conexión. El Administrador de sincronización proporciona una única ubicación en la que pueden sincronizarse archivos compartidos disponibles sin conexión, independientemente del tipo de archivo o programa empleado para hacer que el archivo se pueda usar sin conexión.

Recursos compartidos especiales Según la configuración del equipo, se crean algunos o todos los recursos

compartidos siguientes para uso administrativo y del sistema. Estos recursos compartidos no se pueden ver en Mi PC, pero se pueden ver mediante Carpetas



compartidas. En la mayoría de casos, se recomienda que no se elimine ni modifique recursos compartidos especiales.

Se puede ocultar otros recursos compartidos a los usuarios si se escribe $ como último carácter del nombre del recurso compartido (el signo $ pasa a formar parte del nombre del recurso). Esas carpetas compartidas se ocultan a Windows Explorer como recursos compartidos especiales, pero por lo demás no son especiales.

Si se cambian los permisos en recursos compartidos especiales, como ADMIN$, puede que las opciones de configuración predeterminadas se restauren cuando el servicio Server se detiene y se reinicia o cuando el equipo se reinicia.Hay que tener en cuenta que esto no es aplicable a los recursos compartidos creados por el usuario cuyo nombre termina en $.

Puede que se vean algunos o todos los recursos compartidos administrativos siguientes en la carpeta Recursos compartidos en Carpetas compartidas: Otras aplicaciones pueden crear recursos compartidos especiales adicionales.

• letra de unidad$ : Recurso compartido que permite a los administradores conectar al directorio raíz de una unidad.

• ADMIN$: Recurso que se utiliza durante la administración remota de un equipo. La ruta de acceso a este recurso es siempre la raíz del sistema (el directorio en el que está instalado el sistema operativo, por ejemplo, C:\Windows).

• IPC$: Recurso que comparte canalizaciones con nombre fundamentales para la comunicación entre programas. IPC$ se utiliza durante la administración remota de un equipo y al ver sus recursos compartidos. Este recurso no se puede eliminar.

• NETLOGON: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una pérdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio.

• SYSVOL: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una pérdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio.

• PRINT$: Recurso que se utiliza para la administración remota de impresoras.

• FAX$: Carpeta compartida en un servidor utilizada por los clientes de fax durante el proceso de envío de fax. La carpeta compartida se utiliza para almacenar archivos en caché temporalmente y tener acceso a las portadas almacenadas en el servidor.

Proteger los recursos compartidos Se puede controlar el acceso a los recursos compartidos mediante diversos

métodos. Se puede utilizar permisos de recurso compartido, que son sencillos de aplicar y administrar. Se puede utilizar el control de acceso en el sistema de archivos NTFS, que proporciona control más detallado del recurso compartido y su contenido. También se puede utilizar una combinación de esos métodos. Si se utiliza una combinación de esos métodos, siempre se aplica el permiso más restrictivo.

Prácticas recomendadas



Los discos duros del equipo, como las unidades C o D, se comparten automáticamente con la sintaxis letra unidad$, como C$ o D$. Estas unidades no se muestran con el icono de mano que indica la compartición en Mi PC o en el Explorador de Windows y también están ocultas cuando los usuarios se conectan a su equipo de forma remota.

Si el equipo no está protegido por un servidor de seguridad y alguna persona conoce el nombre de usuario y contraseña de algún miembro del grupo Administradores, del grupo Operadores de copia o del grupo Operadores de servidor, esa persona tendrá el mismo acceso al equipo que un administrador.

Carpetas compartidas desde línea de comandos Además de Carpetas compartidas y el Explorador de Windows, se puede usar las utilidades de la línea de comandos de la siguiente tabla para administrar recursos compartidos. Nombre Se utiliza para

net file Permite ver y controlar los recursos compartidos en la red. Para poder utilizar este comando, el servicio Servidor debe estar en ejecución.

net config

Permite ver el número máximo de usuarios que pueden tener acceso a un recurso compartido y el número máximo de archivos abiertos por sesión.

net use Permite conectar un equipo a o desconectarlo de un recurso compartido. net session Administrar conexiones de servidor.

net share Permite crear, eliminar, administrar o mostrar recursos compartidos.

Net viewMuestra información acerca de los dominios, equipos o recursos compartidos por el equipo especificado, incluida la configuración de almacenamiento en caché de cliente sin conexión.

net help Ver ayuda para los comandos de red.

Cifrar archivos sin conexión Con Archivos sin conexión, se puede especificar que se cifren los archivos sin

conexión. Si se decide cifrar los archivos sin conexión, sólo se cifrarán los archivos del equipo local. Los archivos de la red no se cifrarán.

Programación de tareas

Introducción al programador de tareas Con el Programador de tareas se puede programar secuencias de comandos,

programas o documentos para ejecutarlos a la hora más adecuada.

Al instalar por primera vez un sistema operativo de la familia Windows Server 2003, el servicio Programador de tareas queda habilitado. De forma predeterminada, se deberá pertenecer al grupo Administradores, Operadores de copia u Operadores de servidores en el equipo local para poder ver, agregar, modificar o eliminar tareas programadas, así como deshabilitar, pausar o reiniciar el servicio Programador de tareas. Con el Programador de tareas se puede hacer lo siguiente:



• Programar una tarea para que se ejecute diaria, semanal o mensualmente, o a determinadas horas (como al iniciarse el sistema).

• Cambiar la programación de una tarea. • Detener una tarea programada. • Personalizar la forma en que se ejecutará una tarea a la hora programada.

Cada tarea programada que cree se almacena como un archivo .job en la carpeta \Windows\Tasks. El archivo .job contiene las propiedades y la información de configuración de la tarea. Se Puede crear una tarea programada en un equipo y, a continuación, arrastrar el objeto .job a un equipo remoto. Después de arrastrar una tarea de un equipo a otro, se debe actualizar la información de cuenta relativa a la tarea antes de que se ejecute. Al quitar una tarea programada, sólo se anula la programación del archivo .job. El archivo de programa que ejecuta la tarea no se quita del disco duro.

El programador de tareas y la seguridad Accesible desde Panel de control->Tareas programadas o bien desde línea de

comandos con las órdenes at y schtasks.

Al crear una tarea programada se debe especificar un nombre de usuario y una contraseña en el Asistente para agregar tarea programada o en el cuadro Ejecutar como de la ficha Tarea, en el cuadro de diálogo de propiedades de la tarea programada. Al ejecutar la tarea programada, el programa se ejecutará como si hubiera sido iniciado por el usuario especificado y con el contexto de seguridad de ese usuario. Por ejemplo, si el usuario especificado para una tarea programada es miembro del grupo Operadores de copia del equipo local, el programa especificado en el archivo de tareas programadas se ejecutará como si un miembro de ese grupo hubiera iniciado sesión en el equipo local. Si otro usuario inicia sesión en el equipo cuando se está ejecutando una tarea programada especificada para otro usuario, la tarea se ejecuta pero no es visible para el usuario actual.

De forma predeterminada, para programar una tarea se debe ser miembro del grupo Administradores, Operadores de copia u Operadores de servidores en el equipo local. También de forma predeterminada, al crear una tarea programada, no se puede especificar un usuario que pertenezca a un grupo con más derechos que el grupo al que se pertenece. Por ejemplo, si se es miembro del grupo Operadores de copia en el equipo local, no se puede especificar un miembro del grupo Administradores cuando cree una tarea programada. Sin embargo, un miembro del grupo Administradores puede habilitar un miembro de cualquier grupo para crear o modificar tareas programadas si utiliza el comando cacls y modifica la lista de control de acceso discrecional (DACL) en la carpeta Tasks

DACL: Parte del descriptor de seguridad de un objeto que concede o deniega a usuarios específicos o grupos el permiso para tener acceso al objeto. Sólo el propietario de un objeto puede cambiar los permisos concedidos o denegados en una DACL; en consecuencia, el acceso al objeto se realiza en función del criterio del propietario).

De forma predeterminada, la carpeta Tasks está ubicada en la carpeta \Windows de la unidad de disco duro del equipo local, por ejemplo, C:\Windows\Tasks.

Un usuario al que se asigne permisos sobre la carpeta Tasks mediante cacls podrá tener acceso a las tareas programadas de todos los usuarios. Se debe elegir con prudencia los usuarios a los que se va a proporcionar acceso a la carpeta Tasks.



En los sistemas operativos de la familia Windows Server 2003, las contraseñas tienen fecha de caducidad. Si se programan tareas periódicas que se ejecutan indefinidamente, se debe conocer la fecha de caducidad de las contraseñas. Si se cambia la contraseña de una cuenta en un dominio, se debe actualizar las tareas programadas para su ejecución con esa cuenta.

Cuando se crea un trabajo mediante el Programador de tareas, únicamente se almacena una vez la información de cuenta para todas las tareas que utilicen la misma cuenta ejecutar como. El Programador de tareas valida la cuenta ejecutar como cuando se crea un trabajo, lo que evita que se guarde información incorrecta de dicha cuenta y, como resultado, evita que se vean afectados otros trabajos existentes que utilizan la misma cuenta. Si se produce un error al validar la contraseña, se crea un archivo de trabajo, pero no se ejecuta.

Si la contraseña de la cuenta ejecutar como ha caducado o la cuenta se ha eliminado y se ha vuelto a crear, debe actualizarse la contraseña para que se ejecuten los trabajos. Al actualizar la contraseña para un trabajo se actualiza automáticamente para todos trabajos que utilizan la misma cuenta ejecutar como.

Al crear una tarea programada, las credenciales de usuario que se especifiquen para esa tarea específica se almacenan de forma segura en el equipo local.

Ejercicios propuestos

• Gestionar carpetas compartidas, establecer permisos y configuración desde la herramienta gráfica y desde la línea de comandos (net)

1. Crear recursos compartidos 2. Configurar los permisos de los recursos compartidos, con

permisos NTFS, con permisos de recursos compartidos y combinando ambos.

3. Crear un recurso compartido en una unidad FAT32 y comprobar la asignación de permisos sobre dicho recurso

4. Crear un recurso compartido configurándolo como archivo sin conexión y configurando las distintas opciones de caché

5. Configurar los archivos sin conexión para que se sincronicen a intervalos específicos, a una determinada hora o al iniciar o cerrar sesión en un equipo

• Realizar la programación de alguna tarea, especificar cuentas válidas, cambiar la contraseña de una cuenta con una tarea ya planificada (at y schtasks). Usar el comando cacls para modificar las listas de distribución de acceso a la carpeta Tasks

• Detener, reiniciar y pausar el servicio de programación de tareas • Configurar tareas para recibir notificaciones de las tareas no ejecutadas • Configurar tareas estableciendo las opciones de administración de

energía • Acceder al registro de las tareas programadas ya realizadas

Documents

SI1A15 resumen_permisos_directivas_de_grupo_y Archivos_sinconex.pdf