Upload
vcotag
View
12
Download
0
Embed Size (px)
Citation preview
Practica 5 – Derechos y permisos
A la hora de especificar qué se puede hacer y qué no en el directorio activo, y su
organización y asignación a las cuentas de usuario. En esta práctica vamos a definir los
permisos y los derechos.
Derechos
Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de
seguridad de archivos o de iniciar sesión en un servidor, por ejemplo, es un derecho que
el administrador concede o retira. Los derechos se pueden asignar de forma individual,
pero la mayoría de las veces son característicos de los grupos, y un usuario se asigna a
un grupo particular en base a los derechos que necesita.
Los derechos están divididos en dos tipos:
Privilegios
Derechos de inicio de sesión.
Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o
forzar el apagado desde un sistema remoto (son dos cosas que no suelen hacer los
usuarios normales).
Los derechos de inicio de sesión se explican por si mismos; implican la capacidad de
conectarse a un equipo de formas específicas.
Los derechos se asignan automáticamente a los grupos predefinidos en el Directorio
Activo, aunque se pueden asignar a usuarios individuales además de a grupos. Es
preferible la asignación por grupos, ya que , en la medida de lo posible, se deberían
asignar los derechos por pertenencia a un grupo para simplificar la administración.
Cuando la pertenencia a grupos define derechos, se pueden eliminar los derechos de un
usuario eliminando simplemente al usuario del grupo
A continuación vemos algunos de los privilegios y derechos existentes en el Directorio
Activo:
Privilegios Nombre Descripción
Agregar estaciones de trabajo a un
dominio
Realizar copias de seguridad
Cambiar la hora del sistema
Depurar programas
Forzar apagado desde sistema remoto
Aumentar cuotas
Cargar y descargar controladores de
dispositivo
Administrar los registros de auditoria y
seguridad
Permite especificar opciones de auditoria,
y ver y borrar el registro de seguridad en
el visor de sucesos.
Hacer perfil de un proceso Permite tomar muestras de rendimiento de
Alberto Mendez Garcia
1 de 23 IES PIRINGALLA
un proceso
Hacer perfil del sistema Permite tomar muestras de rendimiento
del sistema
Apagar el sistema
Derechos de inicio de sesión
Nombre Descripción
Tener acceso a este equipo desde la red Permite la conexión al equipo a través de
la red
Iniciar sesión local Permite iniciar sesión desde el teclado del
equipo
Iniciar sesión con servicios de terminal Permite iniciar sesión como un cliente de
servicios de terminal
Permisos
Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos
como archivos, directorios e impresoras. Por ejemplo, la pregunta de si un usuario
puede leer un directorio en particular o acceder a una impresora de red es un permiso.
Hay que distinguir entre los permisos de las carpetas compartidas y los permisos NTFS.
NTFS es el sistema de ficheros que se utiliza en los sistemas operativos Windows 2000
y Windows 2003 y en Windows Xp si el administrador lo especifica durante la
instalación del mismo, y debido a sus características avanzadas con respecto a los
sistemas de ficheros FAT permite definir políticas de seguridad de acceso, cuotas de
asignación de disco y encriptación a nivel del sistema de ficheros.
Cuando se decide asignar unos determinados permisos a un recurso compartido, hay que
definir primero los permisos NTFS, y posteriormente se definirán los permisos del
recurso compartido.
Permisos NTFS
A continuación vamos a ver los tipos de permisos NTFS:
Dentro de los permisos NTFS distinguimos entre permisos estándar y permisos
especiales. Los permisos estándar son:
Para los archivos: control total, modificar, lectura y ejecución, leer y
escribir
Para las carpetas: control total, modificar, lectura y ejecución, lista el
contenido de la carpeta, leer y escribir
Cada uno de estos permisos estándar son conjuntos de permisos especiales. En las
siguientes tablas vemos una relación de los permisos especiales que se corresponden
con cada uno de los permisos estándar.
Alberto Mendez Garcia
2 de 23 IES PIRINGALLA
Permisos especiales para las carpetas
Permisos especiales para los archivos
Alberto Mendez Garcia
3 de 23 IES PIRINGALLA
Reglas Para Permisos
Las reglas más importantes para los permisos se pueden resumir en:
De forma predeterminada, las carpetas heredan los permisos de su
carpeta principal. Los archivos heredan los permisos de la carpeta en la
que se hallan.
Los usuarios pueden tener acceso a las carpetas o a los archivos si se les
ha concedido permiso para hacerlo o si pertenecen a un grupo que tenga
concedido ese permiso.
Los permisos son acumulativos, pero el permiso Denegar anula al resto.
Por ejemplo, si el grupo Escritores técnicos tiene acceso Leer a una
carpeta, el grupo Proyecto tiene permiso Modificar para esa misma
carpeta y Alejandro es miembro de los dos grupos, tendrá el nivel de
permiso más alto, que es Modificar. No obstante, si el permiso del grupo
Escritores técnicos se modifica de manera explicita Denegar, Alejandro
no podrá utilizar la carpeta, a pesar de su pertenencia (y nivel de acceso
evidentemente superior) al grupo Proyecto.
El usuario que crea cada archivo o cada carpeta es el propietario de ese
objeto y puede definir los permisos para controlar el acceso.
Los administradores pueden tomar posesión de cualquier archivo o
carpeta.
Los miembros de los grupos Administradores, operadores de copia, y
operadores de servidor pueden tomar posesión de cualquier objeto y
reasignar esa posesión.
Configuración de los permisos
Lo primero es crear una carpeta. Una vez creada accedemos a las propiedades de la
misma para configurar los permisos NTFS.
En la siguiente ventana vemos los usuarios y grupos de usuarios que tienen definidos
permisos sobre la carpeta
Alberto Mendez Garcia
4 de 23 IES PIRINGALLA
Para añadir un grupo o usuario que tenga permisos sobre esta carpeta pulsamos el botón
agregar.
Si no recordamos el nombre exacto del usuario o grupo de usuarios podemos hacer una
búsqueda avanzada pulsando en el botón Avanzadas.
Alberto Mendez Garcia
5 de 23 IES PIRINGALLA
Seleccionamos el usuario alumno1 y pulsamos el botón Aceptar. Ahora volveremos a
ver la pestaña seguridad de las propiedades de la carpeta, en la cual ya aparece el
usuario seleccionado y los permisos estándar asignados por defecto. Si se quiere
modificar alguno de estos permisos basta con clickear sobre los checkbox que aparecen
en la ventana.
Alberto Mendez Garcia
6 de 23 IES PIRINGALLA
Si deseamos ver los permisos especiales pulsamos en el botón Opciones Avanzadas y
nos movemos a la pestaña Permisos efectivos.
Una vez seleccionados los permisos especiales se pulsa el botón Aplicar, y después el
botón Aceptar, quedando los permisos NTFS de la carpeta configurados.
El siguiente paso es configurar los permisos de la carpeta compartida.
Permisos Carpeta Compartida
Los permisos de los recursos compartidos definen tres tipos de acceso, de menos
restrictivo a más restrictivo:
Leer
Permite ver los nombres de los archivos y de las subcarpetas, ver los
datos de los archivos y ejecutar programas.
Modificar
Permite el mismo acceso que leer y, además, agregar archivos y
subdirectorios a la carpeta compartida, modificar los datos de los
archivos y eliminar archivos y subdirectorios.
Control total
Permite el mismo acceso que modificar y, además, modificar permisos y
tomar posesión de la carpeta.
Para definir una carpeta compartida tenemos que pulsar con el botón derecho del ratón
en la carpeta y seleccionar el menú Compartir. También es posible pulsar en
propiedades y seleccionar la pestaña compartir.
Alberto Mendez Garcia
7 de 23 IES PIRINGALLA
Seleccionamos la opción Compartir esta carpeta y establecemos el nombre que
queremos que tenga la carpeta como recurso compartido.
Para asignarle los permisos pulsamos en el botón Permisos.
Alberto Mendez Garcia
8 de 23 IES PIRINGALLA
Administración de recursos compartidos locales
Para realizar una administración centralizada de los recursos compartidos locales
accedemos a la herramienta administrativa “Administración de equipos”
La siguiente ventana nos permite administrar distintos aspectos del equipo, en este caso
vamos a centrarnos en las carpetas compartidas.
Alberto Mendez Garcia
9 de 23 IES PIRINGALLA
Pulsamos en carpetas compartidas:
Alberto Mendez Garcia
10 de 23 IES PIRINGALLA
Nos aparecen tres secciones:
Recursos compartidos
Aparecen ciertos recursos compartidos que están definidos por defecto en
el sistema, como son documentos c, IPC$ y print$ (soporta las
impresoras compartidas)
Sesiones
Alberto Mendez Garcia
11 de 23 IES PIRINGALLA
Archivos Abiertos
Alberto Mendez Garcia
12 de 23 IES PIRINGALLA
Practica 7 – Directivas de Grupo
En los sistemas operativos Windows Server 2000 y 2003 las políticas de grupo definen
las configuraciones para usuarios, grupos de usuarios y ordenadores. Se puede crear una
configuración específica de escritorio para cualquier grupo particular de usuarios. Estas
configuraciones de políticas de grupo que se crean se encuentran ene le objeto políticas
de grupo (GPO) que a su vez está asociado con objetos seleccionados del Directorio
Activo, tales como sitios, dominios o unidades organizativas.
Se denominan directivas de grupo al conjunto de valores de configuración utilizados por
el administrador para gestionar objetos que actúan durante la inicialización y la
finalización de los equipos y durante el inicio y final de sesión de los usuarios.
Por medio de estas directivas, el administrador controla los entornos de trabajo de los
usuarios del dominio y el comportamiento de un objeto determinado. Las directivas de
grupo se pueden utilizar para administrar las características que incluye la familia
Microsoft Windows Server 2003, tales como instalación de software, plantillas
administrativas, configuración de seguridad, secuencias de comandos, etc
Las directivas de grupo afectan a usuarios y a equipos. Las directivas de grupo de
usuario se activan en el momento que el usuario inicia su sesión, mientras que, por su
parte, las directivas de grupo de equipo se activan al inicio de sistema.
Las directivas de grupo constan de varios componentes configurables:
Instalación de software
Plantillas administrativas
Secuencia de comandos
Redirección de carpetas
Configuraciones de seguridad
Configuración de directiva de grupo
Dentro de las directivas de grupo hay dos nodos principales:
Configuración de la computadora:
Incluyen políticas que especifican el comportamiento del sistema operativo, la
apariencia del escritorio, la configuración de las aplicaciones, las aplicaciones
asignadas, las opciones de implementación de archivo, las configuraciones de
seguridad y los scripts de iniciar y apagar el ordenador.
Configuración del usuario
Incluyen toda la información específica del usuario tal como el comportamiento
del sistema operativo, las configuraciones de escritorio, las configuraciones de
aplicaciones, aplicaciones asignadas, configuraciones de seguridad, scripts de
conexión y desconexión de usuarios. Se aplican las políticas de grupo
relacionadas con los usuarios cuando estos se conectan al ordenador.
Alberto Mendez Garcia
13 de 23 IES PIRINGALLA
Dentro de la configuración del ordenador y de la configuración del usuario existen las
siguientes carpetas:
Plantillas administrativas:
o Sistema: controla características como el escritorio, las conexiones de
red, las carpetas compartidas y el panel de control.
o Internet Explorer: permite configurar características como las zonas de
seguridad, la configuración de proxy, las búsquedas y los archivos
temporales de internet.
o Reproductor de Windows Media: controla características como la
configuración proxy, códec y el buffer de red.
o NetMeeting: permite controlar características como compartir
aplicaciones, audio, video y chat.
o Windows update: permite configurar características como las
actualizaciones automáticas de software a través de internet.
Configuración del software
o La carpeta configuración del equipo/configuración de software contiene
los valores de configuración de software que se aplican a todos los
usuarios que inician sesión en el equipo. Esta carpeta contiene la
configuración de software y puede incluir otros valores de configuración
procedentes de proveedores independientes de software.
o La carpeta configuración de usuario/configuración de software contiene
la configuración de software aplicada a los usuarios, independientemente
del equipo en el que inician sesión. Esta carpeta contiene también la
configuración de instalación de software y puede incluir otros valores de
configuración procedentes de proveedores independientes de software.
Configuración de Windows
o La carpeta configuración de equipo/configuración de Windows contiene
los valores de configuración de Windows que se aplican a todos los
usuarios que inician sesión en el equipo. Esta carpeta también contiene
los siguientes elementos: configuración de seguridad y secuencias de
comandos.
o La carpeta configuración de usuario/configuración de Windows contiene
la configuración de Windows que se aplica a los usuarios,
independientemente del equipo en el que se inician sesión. Esta carpeta
contiene además: redirección de carpetas, configuración de seguridad y
secuencias de comandos.
Alberto Mendez Garcia
14 de 23 IES PIRINGALLA
Práctica
En esta práctica vamos a ver primero cual es la directiva de seguridad que se aplica por
defecto cuando se crea un dominio, y que usuarios y grupos de usuarios tienen permisos
sobre el dominio.
Para ello abrimos la herramienta administrativa: “Equipos y usuarios de directorio
activo”. Una vez abierta, pulsamos con el botón derecho del ratón encima del dominio y
seleccionamos la opción “Propiedades”.
Seleccionamos la pestaña Directiva de grupo:
Alberto Mendez Garcia
15 de 23 IES PIRINGALLA
Seleccionamos la directiva creada por defecto y pulsamos en el botón propiedades:
Alberto Mendez Garcia
16 de 23 IES PIRINGALLA
En la ventana que se ha abierto nos vamos a la pestaña seguridad, donde podemos ver
los usuarios y grupos de usuarios y sus permisos asociados sobre el dominio (el objeto
donde se está aplicando la directiva de seguridad):
Si deseamos especificar un mayor control sobre las operaciones que puede hacer en el
dominio un determinado grupo de usuarios pulsamos en el botón de Opciones
avanzadas, mostrándonos la siguiente ventana:
Para modificar los permisos de un determinado grupo de usuarios seleccionamos el
grupo y pulsamos el botón modificar:
Alberto Mendez Garcia
17 de 23 IES PIRINGALLA
Alberto Mendez Garcia
18 de 23 IES PIRINGALLA
Practica 2
En la siguiente práctica vamos a ver como podemos crear una nueva política de grupo y
asignársela a una unidad organizativa creada por nosotros.
Lo primero es abrir la herramienta administrativa “Usuarios y equipos de Directorio
Activo”, y seleccionamos la unidad organizativa sobre la que vamos a aplicar la
directiva de grupo (UOPrimero). Para ello pulsamos con el botón derecho del ratón en
la unidad organizativa y seleccionamos la opción Propiedades:
Vemos que por defecto no tiene asignada ninguna directiva de grupo, con lo que lo
primero que vamos a hacer es crear una nueva llamada aulaPrimero:
Alberto Mendez Garcia
19 de 23 IES PIRINGALLA
Una vez creada, pulsamos el botón editar, abriéndose la ventana de configuración de
directivas de grupo. (Obsérvese como se muestran los nodos explicados al principio de
la práctica)
En este ejemplo vamos a configurar la política de grupo para que a los objetos usuarios
contenidos dentro de la unidad organizativa UOPrimero se le aplique la restricción de
ocultar la ficha Escritorio de las propiedades de la Pantalla cuando inicien sesión en
cualquier equipo. Para ello seguimos el siguiente camino en la ventana de edición de
directiva de grupo: “Configuración de usuario/Plantillas administrativas/Panel de
control/Pantalla”. Seleccionamos la opción Ocultar la ficha de Escritorio:
Alberto Mendez Garcia
20 de 23 IES PIRINGALLA
Pulsamos con el botón derecho del ratón sobre “Ocultar la ficha Escritorio”, y
seleccionamos “Propiedades”
Alberto Mendez Garcia
21 de 23 IES PIRINGALLA
Nos aparecen tres posibles opciones:
No configurada: Toma por defecto lo configurado en la política de grupo
superior, en este caso, la definida para el dominio.
Habilitada: Habilita la opción seleccionada, independientemente de lo
que diga la política de grupo superior.
Deshabilitada: Deshabilita la opción seleccionada, independientemente
de lo que diga la política de grupo superior.
Si no estamos seguros de lo que significa la opción seleccionada, podemos ver uns
descripción en la pestaña “Explicación”
Alberto Mendez Garcia
22 de 23 IES PIRINGALLA
Seleccionamos la opción “Deshabilitada”, y pulsamos el botón Aplicar y el botón
Aceptar.
Aunque en este ejemplo solamente se ha creado una política de grupo para el objeto
UOPrimero, es posible definir varias políticas de grupo aplicándose todas ellas al objeto
seleccionado.
Alberto Mendez Garcia
23 de 23 IES PIRINGALLA
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 1
Práctica 7: Administración del sistema de ficheros (5ª parte)
Continuaremos con el sistema de ficheros en esta 5º parte, y trataremos aspectos tan variados como son las carpetas compartidas y la programación de tareas en el sistema.
Administración de carpetas compartidas
Podríamos definir recurso como cualquier dispositivo, conjunto de datos o programa usado por más de un dispositivo o programa. En Windows, un recurso compartido es cualquier recurso disponible para los usuarios de la red, como carpetas, archivos, impresoras y canalizaciones con nombre (pipes con nombre). Un recurso compartido también puede ser un recurso de un servidor disponible para los usuarios de la red.
Mediante la herramienta de Carpetas compartidas se puede ver un resumen de las conexiones y el uso de los recursos en equipos locales y remotos.
Mediante Carpetas compartidas, se puede:
• crear, ver y establecer permisos para recursos compartidos. • ver una lista de todos los usuarios conectados al equipo a través de una
red y desconectar alguno de ellos o todos. • ver una lista de los archivos abiertos por usuarios remotos y cerrar
alguno de ellos o todos.
Es necesario iniciar una sesión como miembro del grupo Administradores, grupo Operadores de servidores o grupo Usuarios avanzados para utilizar Carpetas compartidas.
Para administrar de forma visual las carpetas compartidas, se accede desde Herramientas administrativas-> Administración de equipos->Herramientas del sistema->Carpetas compartidas. O desde línea de comandos con la orden net.
Las subcarpetas de Carpetas compartidas contienen información, ordenada en columnas, acerca de todos los recursos compartidos, sesiones y archivos abiertos en el equipo. Los encabezados de las columnas de estas carpetas se definen de la siguiente manera:
Recursos compartidos
En la siguiente tabla se muestra la información que contiene Carpetas compartidas acerca de los recursos compartidos disponibles en el equipo.
Columna Descripción
Nombre de recurso compartido
Enumera los recursos compartidos disponibles en el equipo. En algunos casos, se supervisa una conexión de impresora como una conexión a una canalización con nombre. Recurso compartido puede ser un directorio compartido, una canalización con nombre, una impresora compartida o un recurso de tipo no reconocido.
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 2
Ruta de acceso a la carpeta Muestra la ruta del recurso compartido.
Tipo Muestra el tipo de conexión de red: Windows, NetWare o Macintosh. Conexiones de cliente
Muestra el número de usuarios que están conectados al recurso compartido.
Descripción Describe el recurso compartido.
Sesiones En la siguiente tabla se muestra la información que contiene la carpeta Sesiones
acerca de todos los usuarios de red que están conectados al equipo.
Columna Descripción Usuario Enumera los usuarios de la red conectados al equipo. Equipo Muestra el nombre del equipo del usuario conectado.
Tipo Muestra el tipo de conexión de red: Windows, NetWare o Macintosh.
Número de archivos abiertos
Muestra el número de recursos abiertos por el usuario en este equipo.
Tiempo conectado Muestra las horas y los minutos transcurridos desde que se estableció la sesión.
Tiempo de inactividad
Muestra las horas y los minutos transcurridos desde que este usuario inició una acción por última vez.
Invitado Especifica si este usuario está conectado al equipo como invitado (se muestra Sí o No).
Archivos abiertos En la siguiente tabla se muestra la información que la subcarpetas Archivos
abiertos contiene acerca de todos los archivos abiertos en el equipo.
Columna Descripción
Archivo abierto
Enumera los nombres de los archivos abiertos. Un archivo abierto puede ser un archivo, una canalización con nombre, un trabajo de impresión en una cola de impresión o un recurso de un tipo no reconocido. En algunos casos, un trabajo de impresión se muestra como una canalización con nombre abierta.
Abierto por El nombre del usuario que abrió el archivo o tuvo acceso al recurso.
Tipo El tipo de conexión de red: Windows, NetWare o Macintosh. Nº de bloqueos
Muestra el número de bloqueos de archivos de aplicaciones iniciadas en el recurso.
Modo de apertura Muestra el permiso concedido cuando se abrió el recurso.
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 3
Permisos de recursos compartidos Un recurso compartido proporciona acceso a aplicaciones, datos o datos
personales de un usuario. Se pueden asignar o denegar permisos para cada recurso compartido.
Se puede controlar el acceso a recursos compartidos mediante diversos métodos. Utilizando permisos de recurso compartido, que son sencillos de aplicar y administrar. O bien, utilizando el control de acceso en el sistema de archivos NTFS, que proporciona control más detallado del recurso compartido y su contenido. También se puede utilizar una combinación de esos métodos. Si se utiliza una combinación de esos métodos, siempre se aplica el permiso más restrictivo. Por ejemplo, si el permiso de un recurso compartido está definido como Todos = Lectura (que es el valor predeterminado), y el permiso NTFS permite que los usuarios realicen cambios en un archivo compartido, se aplica el permiso de recurso compartido y el usuario no puede realizar cambios en el archivo.
No siempre es necesario denegar explícitamente un permiso a un recurso compartido. Normalmente, la denegación de permisos sólo es necesaria cuando se desea suplantar permisos específicos que ya están asignados.
En la familia de Windows Server 2003, cuando se crea un nuevo recurso compartido, se asigna automáticamente el permiso de lectura, que es el más restrictivo, al grupo Todos.
Permisos Sólo se aplican a los usuarios que obtienen acceso al recurso a través de la red.
No se aplican a los usuarios que inician una sesión localmente, como en un servidor Terminal Server. En esos casos, es necesario utilizar el control de acceso en NTFS para establecer permisos.
Se aplican a todos los archivos y carpetas del recurso compartido. Si se desea proporcionar un nivel de seguridad más detallado a las subcarpetas u objetos de una carpeta compartida, hay que utilizar el control de acceso en NTFS.
Son la única forma de proteger los recursos de red en volúmenes FAT y FAT32, porque los permisos NTFS no están disponibles en estos volúmenes.
Es necesario especificar el número máximo de usuarios que pueden tener acceso al recurso compartido a través de la red. Esta característica es adicional a la seguridad que proporciona NTFS.
Se pueden asignar los siguientes tipos de permisos de acceso a las carpetas o unidades compartidas:
Lectura Lectura es el permiso predeterminado que se asigna al grupo Todos. Lectura
permite:
• ver los nombres de archivos y de subcarpetas • ver los datos de los archivos • ejecutar archivos de programa
Cambio
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 4
Cambiar no es un permiso predeterminado para ningún grupo. El permiso de cambio proporciona todos los permisos de lectura, así como:
• agregar archivos y subcarpetas • cambiar datos en archivos • eliminar subcarpetas y archivos
Control total
Control total es el permiso predeterminado asignado al grupo Administradores en el equipo local. Proporciona todos los permisos de lectura y cambio, así como:
cambiar permisos (sólo en archivos y carpetas NTFS)
Configuración sin conexión para recursos compartidos Se puede utilizar Archivos sin conexión para trabajar con recursos compartidos
aunque no se esté conectado a la red. Al crear un recurso compartido, se puede especificar si desea que los archivos del recurso compartido se almacenan en caché de forma local en equipos cliente cuando otros usuarios tengan acceso a los archivos.
Para hacer que los recursos compartidos estén disponibles sin conexión, Archivos sin conexión almacena una versión de los recursos compartidos en una parte reservada de espacio en disco del equipo cliente, que se llama caché del sistema de archivos. El equipo cliente puede tener acceso a esta caché aunque el equipo cliente no esté conectado a la red.
Se puede elegir una de las siguientes opciones de caché para cada recurso compartido:
• Sólo estarán disponibles sin conexión los programas y archivos que especifique el usuario. Esta opción proporciona control a los usuarios de los archivos que están disponibles sin conexión.
• Todos los programas que el usuario abra desde el recurso compartido estarán disponibles sin conexión automáticamente. Esta opción permite que todos los archivos que los usuarios abran desde la carpeta compartida estén disponibles sin conexión de forma automática. Si se activa la casilla de verificación Rendimiento mejorado, todos los programas se almacenarán en caché de forma automática para que puedan ejecutarse localmente. Esta opción resulta especialmente útil para los servidores de archivos que alojan aplicaciones, porque reduce el tráfico de red y mejora la escalabilidad del servidor.
• Los archivos o programas desde el recurso compartido no estarán disponibles sin conexión. Esta opción impide que los usuarios almacenen archivos sin conexión.
Cuando se crea un nuevo recurso compartido, el acceso sin conexión está permitido de manera predeterminada, lo que significa que pueden almacenarse recursos compartidos seguros sin conexión en equipos potencialmente inseguros. Para garantizar la mayor seguridad, es recomendable no permitir que los usuarios almacenen archivos sin conexión. Si se hace, hay que asegurarse de establecer los permisos adecuados mediante permisos de recurso compartido o control de acceso en el sistema de archivos NTFS.
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 5
Archivos sin conexión Mediante Archivos sin conexión, se puede seguir trabajando con archivos y
programas de la red aunque no se esté conectado a ella.
Si se pierde la conexión a la red o se desconecta el equipo portátil, la vista de los recursos de red compartidos que están disponibles sin conexión permanece igual que cuando estaba conectado. Se puede continuar trabajando con ellos como normalmente se hace. Los permisos de acceso a esos archivos y carpetas son los mismos que los que tendría si se estuviera conectado a la red. Cuando el estado de la conexión cambia, aparece un icono de Archivos sin conexión en el área de notificación y se muestra un globo de recordatorio sobre el área de notificación para informar del cambio.
Cuando se restaura la conexión a la red o se conecta el equipo portátil, todas las modificaciones realizadas mientras trabajaba sin conexión se actualizarán en la red de manera predeterminada. Si se realiza cambios en un archivo que también ha sido modificado por otra persona en la red, existe la opción de guardar la versión de su archivo en la red, conservar la otra versión o guardar ambas versiones.
La sincronización se puede iniciar manualmente o se puede configurar el Administrador de sincronización (mobsync) de manera que controle cuándo se sincronizan los archivos sin conexión con la red. Archivos sin conexión controla si se realiza una sincronización completa o rápida. Una sincronización completa asegura que se tendrá la versión más actual de cada archivo de red disponible sin conexión. Una sincronización rápida es mucho más rápida que una sincronización completa, pero no proporciona la versión más actual de cada archivo de red disponible sin conexión. Sin embargo, una sincronización rápida asegura que una versión completa de cada archivo está disponible de manera que pueda continuar trabajando.
Todos las carpetas o archivos compartidos en una red Microsoft pueden hacerse disponibles sin conexión. Se puede hacer que estén disponibles sin conexión archivos de cualquier equipo que admita el uso compartido de archivos e impresoras basado en bloques de mensajes del servidor (SMB), incluidos los equipos que ejecuten Microsoft Windows 95, Windows 98, Windows NT versión 4.0, Microsoft Windows XP y la familia Windows Server2003. Archivos sin conexión no está disponible en redes Novell NetWare.
El administrador del sistema puede configurar carpetas compartidas de manera que los archivos de red que se abran en esas carpetas compartidas estén disponibles automáticamente sin conexión o que solamente estén disponibles sin conexión los archivos de red que elija.
Si se hace que un acceso directo a un archivo esté disponible sin conexión, el archivo estará disponible sin conexión. Si se hace que un acceso directo a una carpeta esté disponible sin conexión, el contenido de la carpeta no estará disponible sin conexión.
En la familia Windows Server 2003, Archivos sin conexión no se habilita de manera predeterminada, por tanto para poder habilitarlo hay que acudir a “Opciones de carpeta y pestaña de Archivos sin conexión”, desde el explorador de Windows.
Conflictos de archivos compartidos Cuando se sincronizan archivos, los archivos abiertos o actualizados mientras se
estaba desconectado de la red se compararán con los archivos guardados en la red. Las
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 6
modificaciones se copiarán en la red siempre y cuando los archivos que se hayan modificado mientras se encontraba sin conexión no los haya modificado otra persona. A continuación, se ofrecen algunas situaciones habituales de conflictos de archivos:
• Si otra persona realizó modificaciones en el mismo archivo de red actualizado mientras estaba sin conexión, se tendrá la opción de conservar su versión, conservar la versión de la red o conservar ambas versiones. Si se decide guardar las dos versiones del archivo, se deberá proporcionar un nombre de archivo diferente para su versión del archivo.
• Si se elimina un archivo de red en su equipo mientras trabaja sin conexión pero, al mismo tiempo, otra persona en la red está realizando modificaciones en ese archivo, el archivo se eliminará de su equipo pero no de la red.
• Si se modifica un archivo de red mientras trabaja sin conexión y otra persona en la red elimina ese archivo, puede elegir guardar su versión en la red o eliminarla de su equipo.
• Si está desconectado de la red cuando se agrega un nuevo archivo a la carpeta de red compartida que ha hecho que esté disponible sin conexión, el nuevo archivo se agregará a su equipo cuando vuelva a conectarse y se realice la sincronización.
El administrador de sincronización Mediante el Administrador de sincronización se puede controlar el momento en
que los archivos sin conexión se sincronizan con los archivos de red. Esto garantiza que dispone de la información más reciente de la red o de Internet cuando se necesita, al tiempo que se reducen las interrupciones al trabajar en el equipo.
Se puede utilizar el Administrador de sincronización para sincronizar automáticamente la información disponible sin conexión de las formas siguientes:
• Cada vez que inicie o cierre una sesión en el equipo. • A intervalos específicos mientras el equipo está inactivo. • A horas programadas.
Se puede aplicar esas opciones combinadas de varias maneras para archivos sin conexión en cada recurso compartido.
El Administrador de sincronización compara los elementos de la red con los que han sido abiertos o actualizados mientras se trabajaba sin conexión y, después, hace que esté disponible la versión más reciente tanto en el equipo como en la red. Entre los elementos que se pueden sincronizar se encuentran archivos individuales, carpetas y su contenido, y páginas Web sin conexión. El Administrador de sincronización proporciona una única ubicación en la que pueden sincronizarse archivos compartidos disponibles sin conexión, independientemente del tipo de archivo o programa empleado para hacer que el archivo se pueda usar sin conexión.
Recursos compartidos especiales Según la configuración del equipo, se crean algunos o todos los recursos
compartidos siguientes para uso administrativo y del sistema. Estos recursos compartidos no se pueden ver en Mi PC, pero se pueden ver mediante Carpetas
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 7
compartidas. En la mayoría de casos, se recomienda que no se elimine ni modifique recursos compartidos especiales.
Se puede ocultar otros recursos compartidos a los usuarios si se escribe $ como último carácter del nombre del recurso compartido (el signo $ pasa a formar parte del nombre del recurso). Esas carpetas compartidas se ocultan a Windows Explorer como recursos compartidos especiales, pero por lo demás no son especiales.
Si se cambian los permisos en recursos compartidos especiales, como ADMIN$, puede que las opciones de configuración predeterminadas se restauren cuando el servicio Server se detiene y se reinicia o cuando el equipo se reinicia.Hay que tener en cuenta que esto no es aplicable a los recursos compartidos creados por el usuario cuyo nombre termina en $.
Puede que se vean algunos o todos los recursos compartidos administrativos siguientes en la carpeta Recursos compartidos en Carpetas compartidas: Otras aplicaciones pueden crear recursos compartidos especiales adicionales.
• letra de unidad$ : Recurso compartido que permite a los administradores conectar al directorio raíz de una unidad.
• ADMIN$: Recurso que se utiliza durante la administración remota de un equipo. La ruta de acceso a este recurso es siempre la raíz del sistema (el directorio en el que está instalado el sistema operativo, por ejemplo, C:\Windows).
• IPC$: Recurso que comparte canalizaciones con nombre fundamentales para la comunicación entre programas. IPC$ se utiliza durante la administración remota de un equipo y al ver sus recursos compartidos. Este recurso no se puede eliminar.
• NETLOGON: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una pérdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio.
• SYSVOL: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una pérdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio.
• PRINT$: Recurso que se utiliza para la administración remota de impresoras.
• FAX$: Carpeta compartida en un servidor utilizada por los clientes de fax durante el proceso de envío de fax. La carpeta compartida se utiliza para almacenar archivos en caché temporalmente y tener acceso a las portadas almacenadas en el servidor.
Proteger los recursos compartidos Se puede controlar el acceso a los recursos compartidos mediante diversos
métodos. Se puede utilizar permisos de recurso compartido, que son sencillos de aplicar y administrar. Se puede utilizar el control de acceso en el sistema de archivos NTFS, que proporciona control más detallado del recurso compartido y su contenido. También se puede utilizar una combinación de esos métodos. Si se utiliza una combinación de esos métodos, siempre se aplica el permiso más restrictivo.
Prácticas recomendadas
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 8
Los discos duros del equipo, como las unidades C o D, se comparten automáticamente con la sintaxis letra unidad$, como C$ o D$. Estas unidades no se muestran con el icono de mano que indica la compartición en Mi PC o en el Explorador de Windows y también están ocultas cuando los usuarios se conectan a su equipo de forma remota.
Si el equipo no está protegido por un servidor de seguridad y alguna persona conoce el nombre de usuario y contraseña de algún miembro del grupo Administradores, del grupo Operadores de copia o del grupo Operadores de servidor, esa persona tendrá el mismo acceso al equipo que un administrador.
Carpetas compartidas desde línea de comandos Además de Carpetas compartidas y el Explorador de Windows, se puede usar las utilidades de la línea de comandos de la siguiente tabla para administrar recursos compartidos. Nombre Se utiliza para
net file Permite ver y controlar los recursos compartidos en la red. Para poder utilizar este comando, el servicio Servidor debe estar en ejecución.
net config
Permite ver el número máximo de usuarios que pueden tener acceso a un recurso compartido y el número máximo de archivos abiertos por sesión.
net use Permite conectar un equipo a o desconectarlo de un recurso compartido. net session Administrar conexiones de servidor.
net share Permite crear, eliminar, administrar o mostrar recursos compartidos.
Net viewMuestra información acerca de los dominios, equipos o recursos compartidos por el equipo especificado, incluida la configuración de almacenamiento en caché de cliente sin conexión.
net help Ver ayuda para los comandos de red.
Cifrar archivos sin conexión Con Archivos sin conexión, se puede especificar que se cifren los archivos sin
conexión. Si se decide cifrar los archivos sin conexión, sólo se cifrarán los archivos del equipo local. Los archivos de la red no se cifrarán.
Programación de tareas
Introducción al programador de tareas Con el Programador de tareas se puede programar secuencias de comandos,
programas o documentos para ejecutarlos a la hora más adecuada.
Al instalar por primera vez un sistema operativo de la familia Windows Server 2003, el servicio Programador de tareas queda habilitado. De forma predeterminada, se deberá pertenecer al grupo Administradores, Operadores de copia u Operadores de servidores en el equipo local para poder ver, agregar, modificar o eliminar tareas programadas, así como deshabilitar, pausar o reiniciar el servicio Programador de tareas. Con el Programador de tareas se puede hacer lo siguiente:
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 9
• Programar una tarea para que se ejecute diaria, semanal o mensualmente, o a determinadas horas (como al iniciarse el sistema).
• Cambiar la programación de una tarea. • Detener una tarea programada. • Personalizar la forma en que se ejecutará una tarea a la hora programada.
Cada tarea programada que cree se almacena como un archivo .job en la carpeta \Windows\Tasks. El archivo .job contiene las propiedades y la información de configuración de la tarea. Se Puede crear una tarea programada en un equipo y, a continuación, arrastrar el objeto .job a un equipo remoto. Después de arrastrar una tarea de un equipo a otro, se debe actualizar la información de cuenta relativa a la tarea antes de que se ejecute. Al quitar una tarea programada, sólo se anula la programación del archivo .job. El archivo de programa que ejecuta la tarea no se quita del disco duro.
El programador de tareas y la seguridad Accesible desde Panel de control->Tareas programadas o bien desde línea de
comandos con las órdenes at y schtasks.
Al crear una tarea programada se debe especificar un nombre de usuario y una contraseña en el Asistente para agregar tarea programada o en el cuadro Ejecutar como de la ficha Tarea, en el cuadro de diálogo de propiedades de la tarea programada. Al ejecutar la tarea programada, el programa se ejecutará como si hubiera sido iniciado por el usuario especificado y con el contexto de seguridad de ese usuario. Por ejemplo, si el usuario especificado para una tarea programada es miembro del grupo Operadores de copia del equipo local, el programa especificado en el archivo de tareas programadas se ejecutará como si un miembro de ese grupo hubiera iniciado sesión en el equipo local. Si otro usuario inicia sesión en el equipo cuando se está ejecutando una tarea programada especificada para otro usuario, la tarea se ejecuta pero no es visible para el usuario actual.
De forma predeterminada, para programar una tarea se debe ser miembro del grupo Administradores, Operadores de copia u Operadores de servidores en el equipo local. También de forma predeterminada, al crear una tarea programada, no se puede especificar un usuario que pertenezca a un grupo con más derechos que el grupo al que se pertenece. Por ejemplo, si se es miembro del grupo Operadores de copia en el equipo local, no se puede especificar un miembro del grupo Administradores cuando cree una tarea programada. Sin embargo, un miembro del grupo Administradores puede habilitar un miembro de cualquier grupo para crear o modificar tareas programadas si utiliza el comando cacls y modifica la lista de control de acceso discrecional (DACL) en la carpeta Tasks
DACL: Parte del descriptor de seguridad de un objeto que concede o deniega a usuarios específicos o grupos el permiso para tener acceso al objeto. Sólo el propietario de un objeto puede cambiar los permisos concedidos o denegados en una DACL; en consecuencia, el acceso al objeto se realiza en función del criterio del propietario).
De forma predeterminada, la carpeta Tasks está ubicada en la carpeta \Windows de la unidad de disco duro del equipo local, por ejemplo, C:\Windows\Tasks.
Un usuario al que se asigne permisos sobre la carpeta Tasks mediante cacls podrá tener acceso a las tareas programadas de todos los usuarios. Se debe elegir con prudencia los usuarios a los que se va a proporcionar acceso a la carpeta Tasks.
Administración de Sistemas Operativos 30 de Mayo del 2005
Práctica 7: Administración del sistema de ficheros (5ª parte) 10
En los sistemas operativos de la familia Windows Server 2003, las contraseñas tienen fecha de caducidad. Si se programan tareas periódicas que se ejecutan indefinidamente, se debe conocer la fecha de caducidad de las contraseñas. Si se cambia la contraseña de una cuenta en un dominio, se debe actualizar las tareas programadas para su ejecución con esa cuenta.
Cuando se crea un trabajo mediante el Programador de tareas, únicamente se almacena una vez la información de cuenta para todas las tareas que utilicen la misma cuenta ejecutar como. El Programador de tareas valida la cuenta ejecutar como cuando se crea un trabajo, lo que evita que se guarde información incorrecta de dicha cuenta y, como resultado, evita que se vean afectados otros trabajos existentes que utilizan la misma cuenta. Si se produce un error al validar la contraseña, se crea un archivo de trabajo, pero no se ejecuta.
Si la contraseña de la cuenta ejecutar como ha caducado o la cuenta se ha eliminado y se ha vuelto a crear, debe actualizarse la contraseña para que se ejecuten los trabajos. Al actualizar la contraseña para un trabajo se actualiza automáticamente para todos trabajos que utilizan la misma cuenta ejecutar como.
Al crear una tarea programada, las credenciales de usuario que se especifiquen para esa tarea específica se almacenan de forma segura en el equipo local.
Ejercicios propuestos
• Gestionar carpetas compartidas, establecer permisos y configuración desde la herramienta gráfica y desde la línea de comandos (net)
1. Crear recursos compartidos 2. Configurar los permisos de los recursos compartidos, con
permisos NTFS, con permisos de recursos compartidos y combinando ambos.
3. Crear un recurso compartido en una unidad FAT32 y comprobar la asignación de permisos sobre dicho recurso
4. Crear un recurso compartido configurándolo como archivo sin conexión y configurando las distintas opciones de caché
5. Configurar los archivos sin conexión para que se sincronicen a intervalos específicos, a una determinada hora o al iniciar o cerrar sesión en un equipo
• Realizar la programación de alguna tarea, especificar cuentas válidas, cambiar la contraseña de una cuenta con una tarea ya planificada (at y schtasks). Usar el comando cacls para modificar las listas de distribución de acceso a la carpeta Tasks
• Detener, reiniciar y pausar el servicio de programación de tareas • Configurar tareas para recibir notificaciones de las tareas no ejecutadas • Configurar tareas estableciendo las opciones de administración de
energía • Acceder al registro de las tareas programadas ya realizadas