viernes, 21 de octubre de 2011

SERVICIO DHCP

REDES                                                        DHCP

DHCP (Protocolo de configuración dinámica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.

El protocolo DHCP incluye tres métodos de asignación de direcciones IP:

          - Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.

          - Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.

          - Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa.

El DHCP es una alternativa a otros protocolos de gestión de direcciones IP de red, como el BOOTP (Bootstrap Protocol). DHCP es un protocolo más avanzado, pero ambos son los usados normalmente.
En Windows 98 o posterior, cuando el DHCP es incapaz de asignar una dirección IP, se utiliza un proceso llamado "Automatic Private Internet Protocol Addressing" (APIPA)


Enlace a wikipedia/DHCP
Publicado por en No hay comentarios:
Etiquetas:

Admnistracion de Politicas en grupo

Resumen Tema 4                                                        ASO                  

Introducción

Las políticas de grupo son una herramienta de configuración centralizada que sirven para evitar la administración de los equipos individualmente.Estas políticas se especifican mediante objetos de directorio llamados Objetos de Política de Grupo (GPO) cuyas están  vinculadas a contenedores del Directorio Activo.

Los usuarios y equipo almacenados en estos contenedores reciben la configuración establecida en los correspondientes GPO´s, por lo que cada usuario y equipo puede recibir la configuración necesaria.
Dentro de los GPO´s las políticas se organizan en un árbol temático, en donde debajo del nodo raíz existen dos nodos principales que contienen:
-Configuración de equipo  se aplica al mismo cada vez que reinicie.
-Configuración de usuario se aplica cuando el usuario inicia una sesión local.
El administrador puede deshabilitar políticas de equipo y usuario. Esto es efectivo en los casos en que algunas de estas políticas no vayan a hacer falta o estén mal configuradas.

Aplicación de Politicas de Grupo

Puesto que cada GPO incorpora los parámetros de configuración, es posible que se produzcan conflictos entre los distintos GPOs que afectan a un usuario/equipo. Resulta necesario que exista un orden de aplicación concreto y conocido, de forma que se sepa finalmente qué politica(s) afectarán a cada usuario y equipo. Este orden es el siguiente:

1. Se aplica la política de grupo local del equipo
2. Se aplican los GPOs vinculados a sitios.
3. Se aplican los GPOs vinculados a dominios.
4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel.

Este orden de aplicación decide la prioridad entre los GPOs, puesto que una política que se aplica más tarde prevalece sobre otras establecidas anteriormente (las sobreescribe). De forma análoga a lo establecido para permisos en el sistema de archivos NTFS, podríamos decir que las políticas explícitas de un contenedor tienen prioridad (se aplican más tarde) sobre las políticas heredadas de contenedores superiores. Este comportamiento puede ser refinado mediante los siguientes dos parámetros:

1. Forzado (Enforced). Este parámetro puede activarse independientemente a cada
vínculo de un GPO.

2. Bloquear herencia de directivas (Block policy inheritance). Este parámetro pertenece a los contenedores del Directorio Activo.

 Políticas de Grupo y grupos de seguridad.

Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de
acceso (o DACLs) . Estas establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.

 Filtrar el ámbito de aplicación de un GPO.

Uno de los permisos de cada GPO es "Aplicar directiva de grupos" (o, simplemente,
Aplicar). Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados, que incluye en la práctica a todos los usuarios del dominio. Por tanto, la política
afecta a todos los usuarios cuyas cuentas se ubiquen dentro del contenedor al que se
vincula el GPO

Delegar la administración de un GPO.

Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre
un GPO puede administrarlo. Por defecto, en este caso se encuentran:
• el grupo Administración de Empresas.
• el grupo Administradores del Dominio.
• el creador del GPO (Creator Owner).
• y el sistema (System).

 Principales políticas incluidas en un GPO.

La jerarquía de políticas se divide en:
-Configuración de Software
-Configuración de Windows
-Plantillas administrativas
Los grupos de políticas más importantes configurables con un GPO son:
-Políticas de cuentas: Caducidad de contraseñas, bloqueo de cuentas...
-Políticas locales: Configuración de auditoría, asignación de derechos…
-Registro de eventos: Visible mediante el visor de sucesos de Windows 2003.

Instalación de software:
-Asignar: El usuario tiene la aplicación disponible en su equipo sin necesidad de que un administrador la instale.
-Publicar: Sólamente se da la oportunidad al usuario de instalar la aplicación.
Guiones (scripts).
-Se pueden asignar scritps a usuarios y equipos.
-Existen cuatro tipos:
        • Inicio (equipo).
        • Apagado (equipo).
        • Inicio de sesión (usuario).
        • Cierre de sesión (usuario).
Otras políticas.:
-Mantenimiento de Internet Explorer: Apariencia y configuración personal de este navegador.
-Servicios de Instalación Remota: Configuración automática de opciones de instalación de clientes Windows.
Recomendaciones de uso.
  • Existen unas reglas para simplificar el diseño y administración de políticas de grupo. Algunas de ellas son:
    • Administración de GPO´s.
    • Separar usuarios y equipos en unidades organizativas distintas
    • Organización de unidades organizativas.
    • Miniminzar los GPOs asociados a usuarios o equipos.
    • Minimizar el uso de "No reemplazar" y de "Bloquear la herencia"
    • Evitar asignaciones de GPOs entre dominios
    • Utilizar el proceso Loopback sólo cuando sea necesario


Enlaces relacionados:




        Publicado por en No hay comentarios:
        Etiquetas:

        sábado, 8 de octubre de 2011

        Administración de Dominios en Windows 2003 Server

        RESUMEN DE TEMA 3                                                                ASO 



        El llamado Active Directory es el servicio de directorio de una red de Windows 2003, y es el equivalente a LDAP en Ubuntu Server. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red como usuarios, unidades organizativas, grupos (muy útil para dar permisos) , recursos del sistema con sus aplicaciones, controlar y administrar  centralizadamente el acceso a los recursos de la red.

        Al instalar el Directorio Activo en uno o varios sistemas Windows 2003 (Server) de nuestra red, convertimos esos ordenadores en Controladores de Dominio.

        Los demás ordenadores de dicha red son los clientes de servicio de directorio (Active Directory). El directorio activo es compatible con el DNS que tengamos, es decir, que los usuarios que manejaremos dentro del directorio activo son los mismos que están alojados dentro de nuestro dominio DNS.

        La diferencia entre DNS y Active Directory es que aunque comparten la misma estructura, no guardan los mismos datos, el DNS almacena zonas y registros de recursos y el Directorio Activo guarda dominios y objetos de dominio DNS.

        El Active Directory utiliza DNS para tres funciones principales, resolución de nombres,definición del espacio de nombres y búsqueda de los componentes físicos.

        El uso de dominios trata de delimitar la seguridad, replicar información, aplicar directivas de grupo y delegar permisos administrativos.
        Existen muchos casos en los que es interesante disponer de varios dominios de ordenadores Windows 2003 en la misma organización. Al primer controlador de dominio instalado en la red se le conoce como dominio raíz, cuando todos los demás dominios, dependerán de una forma u otra de él, y es el que contiene la configuración y el esquema de todos los dominios de la red.
        Los dominios que estamos diciendo que son “secundarios” se denominan subdominios.

        Un árbol es un conjunto uno o varios dominios que comparten un espacio de nombres enlazados, donde todos dependen de la raiz. Un bosque es un grupo de árboles que  comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas.
        Windows Server 2003 soporta cuatro niveles funcionales de dominio
        y tres niveles funcionales de bosque.

        Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio. Por medio de esto los usuarios podrán acceder a otros dominios y los administradores podrán modificar permisos.

         Una Unidad Organizativa es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Dentro de una unidad organizativa  pueden crearse usuarios, grupos, recursos, otras unidades...

        La estructura física de Active Directory se compone de varios sitios y controladores de dominio. Un sitio es una combinación de una o varias subredes que están conectadas por un vínculo en la red.
        Normalmente los sitios se crean por dos razones principalmente:

        • Para optimizar el tráfico de replicación.

        • Para permitir que los usuarios se conecten a un controlador de dominio.

        El catálogo global  es un depósito de información que contiene un subconjunto de atributos para todos los objetos de Active Directory.

        En el Directorio Activo de un dominio se conserva toda la información relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directoio recoge también una cuenta de equipo por cada uno de los ordenadores miembro de un dominio, donde cada vez que se cargue un usuario dentro del dominio se cargue toda sus archivos dentro de ese ordenador..Cuando un sistema Windows 2003 participa en una red, puede compartir sus recursos con el resto de ordenadores.

        Dicho todo esto un dato importante a tener en cuenta, es que siempre es mejor dar permisos a un grupo que contenga usuarios que a un usuario solamente, y en el caso de que se le quiera dar permisos a solo un usuario, crear un grupo solo para el, de esta forma es una forma mas segura de dar permisos. El administrador suele tener un grupo administrador donde suele tener todos los permisos (Control total), mientras que los grupos, solo tendrán los permisos de lectura, aunque mas tarde se le podrán añadir mas como escritura y ejecución.


        Aquí dejo una web de referencia del Active Directory de Windows 2003 Server:







                                        Juan A. Rodriguez de la Rosa
                                                                               2ºASIR
        Publicado por en No hay comentarios:
        Etiquetas:

        Protección Local en Windows 2003 Server

        RESUMEN DE TEMA 2                                                               ASO 


        En Windows 2003 tanto como en todos los sistemas operativos, un usuario es cada persona que puede entrar al ordenador (sistema). La información que tiene el sistema de cada usuario se almacena cuentas de usuarios distintos. Algunos de los datos de más relevancia son los siguientes:

        • Nombre completo: indica el nombre de usuario

        • Contraseña: indica la contraseña con la que tiene que autentificarse

        • Directorio de conexión: lugar donde se guardan los datos del usuario.

        • Horas de conexión: indica el horario donde de conexión de usuario (hora de inicio y fin)

        • Activada: indica si la cuenta está activa

        • SID: es una especie de identificador por cada usuario que el sistema crea cuando se crea un nuevo usuario.
        Este  SID servirá mas tarde para ver los privilegios y permisos de los usuarios en los movimientos que vaya a realizar.

        También se encuentran usuarios dentro del sistema, como el administrador y el invitado que son 2 tipos de “usuarios imborrables” que siempre tienen que estar en el ordenador.

        La cuenta de administrador  o root se utiliza para manejar prácticamente todo, es decir, privilegios sobre todo el sistema, usuarios, grupos, directivas, dominios, carpetas, lugares… Dicha cuenta no podrá ser ni borrada, ni modificada (a no ser que sea por dicho usuario)

        Después también están los grupos de usuarios que sirven para agrupar un cierto numero de usuarios del sistema, establecer permisos y bloqueos a ciertos lugares y accesos del sistema.

        Las cuentas de grupos también tienen su propio identificador (SID), posee permisos para los usuarios que contiene y bloqueos a dichos usuarios.





        Lo correcto sería asociar los permisos con los grupos y no con los usuarios, puesto que de esta forma es mas seguro. Al igual que el usuario administrador y el invitado, el sistema también ofrece varios grupos por defecto.

        Windows 2003 define dos conceptos distintos y complementarios:
        el derecho o  privilegio de usuario es un atributo de un usuario o de un grupo que le permite realizar una accion que afecta al sistema en su conjunto. Existe un conjunto fijo y predefinido de derechos en Windows 2003. Para determinar qué usuarios poseen qué derechos, cada derecho posee una lista donde se especifican los grupos/usuarios que tienen concedido este derecho. Un permiso es una característica de cada recurso, carpeta, o movimiento del sistema, que concede o deniega el acceso al mismo a un usuario o grupo concreto.

        Cuando un usuario es autorizado a conectarse interactivamente a un sistema Windows 2003,el sistema construye para él una acreditación denominada Security Access Token o SAT.

        El SAT almacena los siguientes atributos:

        • SID del usuario
        • SID de sus grupos
        • Derechos del usuario

        Windows 2003 distingue entre dos tipos de derechos:

        • Derechos de conexión: Los derechos de conexión primeros contienen las formas en que un usuario puede conectarse al sistema

        • Privilegios: movimientos o recursos que puede realizar un usuario cuando ya está dentro del sistema

        En caso de error, o problema entre el que concede o deniega un permiso, y lo que concede o deniega un derecho, el que mas valor posee es el del derecho.

        En Windows 2003, los derechos son un tipo de directivas de seguridad , donde dentro de estas directivas se indican los permisos y denegaciones a los usuarios.
        Algunos de los apartados que se pueden controlar por medio de las directivas son:


        • Las cuentas de usuarios
        • Directivas locales
        • Claves públicas
        • Cada carpeta o archivo poseen los siguientes atributos de protección
        • SID del propietario
        • Lista de control de acceso de protección
        • Lista de control de acceso de seguridad


        Para mas información aquí dejo una dirección referente a este tema:


                                                          Juan A. Rodriguez de la Rosa
                                                                                 2ºASIR       
        Publicado por en No hay comentarios:
        Etiquetas:
        Suscribirse a: Entradas (Atom)