Permisos – Permisos Efectivos

Trataremos en esta nota de resumir y aclarar algunos conceptos importantes en cuanto se refiere a la aplicación de permisos en ambiente Windows.

En esta ocasión no haremos una descripción detallada de cada uno y su uso, ya que sería muy extenso, y nunca se podrían cubrir todos los escenarios, pero sí como para comprender su funcionamiento.

Debemos tener en cuenta que existen dos clases de permisos:

• Permisos de Seguridad (NTFS)
• Permisos de Compartido (Share)

Dependiendo del tipo de acceso nos afectarán sólo los de Seguridad, o ambos.

Permisos de Seguridad (NTFS)

Los permisos de Seguridad nos afectarán siempre, esto es, tanto cuando accedemos remotamente a un equipo, como cuando estamos trabajando localmente en el mismo.

Estos permisos residen en el sistema de archivos (File System) y son propios de las unidades con formato NTFS

Tienen varias ventajas, entre las que podemos citar:

• Los podemos manejar individualmente por cada carpeta y archivo
• Hay permisos “standard” que son los de uso más común, y además hay permisos “avanzados”. Los primeros son combinaciones ya hechas de los segundos.
• Cada permiso tiene la opción específica de Permitir o Denegar

Normalmente un usuario pertenece a varios grupos, y cada uno puede tener diferentes permisos sobre un recurso. Inclusive, aunque no recomendado, el propio usuario puede tener permisos.

Entonces ¿Cuál es el permiso efectivo (final) de este usuario sobre ese archivo o carpeta?

El permiso efectivo de Seguridad, es la combinación de todos los permisos  “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)

Por ejemplo, si de la pertenencia a un grupo tengo “Permitir Lectura” y de otro grupo “Permitir Escritura”, el permiso efectivo es “Lectura + Escritura”.

Pero si por pertenencia a otro grupo obtengo algún “Denegar”, éste será el efectivo

No tener permisos, implica que no se puede acceder, en cambio “Denegar” siempre ganará a los “Permitir”. No tener permisos no resta.

¿Qué sucede con los permisos cuando copiamos un archivo/carpeta?

Cuando se copia, se genera un objeto nuevo, el original no se altera. La copia hereda los permisos de la carpeta que lo contiene. Tener en cuenta que la raíz de un disco, es una carpeta.

¿Qué sucede con los permisos cuando movemos un archivo/carpeta?

Se pueden producir dos situaciones diferentes depende si se mueve en mismo disco, o entre discos diferentes.

Si movemos un archivo/carpeta, dentro del mismo disco (partición o volumen), cambian los permisos heredados, pero se mantienen los permisos específicamente dados sobre el archivo/carpeta

En cambio, si movemos un archivo/carpeta, entre discos diferentes, sólo hereda los nuevos permisos, Eso es así, porque el mover entre discos en realidad es “copiar” seguido de “borrar” el original.

Permisos de Compartido (Share)

Los Permisos de Compartido, a diferencia de los anteriores, nos afectan únicamente cuando estamos accediendo remotamente (desde otro equipo). No tienen ningún efecto cuando estamos trabajando directamente sobre el equipo.

Se aplican únicamente a Carpetas, y será el mismo permiso para todo el contenido de dicha carpeta, y todos los archivos y subcarpetas contenidos en la primera.

Además debemos tener en cuenta, que no residen en el Sistema de Archivos, sino que están especificados en el Registro del sistema operativo

Además podemos observar que son mucho más “limitados” que los de Seguridad.

Igual que en el caso anterior, por pertenencia a grupos podemos recibir diferentes permisos por cada grupo, y análogamente al caso anterior:

El permiso efectivo de Compartido, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)

1. El permiso de lectura permite:

• ver los nombres de archivos y de subcarpetas
• recorrer las subcarpetas
• ver los datos de los archivos
• ejecutar archivos de programa

2. El permiso de cambio proporciona todos los permisos de lectura, así como:

• agregar archivos y subcarpetas
• cambiar datos en archivos
• eliminar subcarpetas y archivos

2. El permiso de control total se aplica de forma predeterminada a los recursos compartidos que se crean. Este permiso se asigna al grupo Todos al compartir un recurso. Proporciona todos los permisos de lectura y de cambio, así como:

• cambiar permisos
• tomar posesión

Permisos Efectivos

Resumiendo, cuando trabajamos localmente, nos afectan sólo los permisos de Seguridad. Pero cuando lo hacemos remotamente nos afectan ambos.

Y en este caso ¿cuál va a ser el permiso efectivo (final)?

El permiso efectivo (final) va a resultar ser el más restrictivo entre los de Seguridad y los de Compartido

Las tablas siguientes detallan los permisos especiales que abarcan los permisos de los archivos y de las carpetas respectivamente. 

Permisos diferentes para un usuario o grupo en Seguridad y en Compartir

http://freyes.svetlian.com/tips/permisos-seguridad-compartir.htm

Ver permisos efectivos de archivos y carpetas

https://technet.microsoft.com/es-es/library/cc771586.aspx

Fuente :http://windowserver.wordpress.com/2011/04/30/permisos-permisos-efectivos/

Usuarios, Grupos (Diseño de Estrategias de Grupo para Acceso a Recursos)

Apuntes Usuarios

http://iso-eti.blogspot.com.es/2014/02/objeto-usuario-en-server-2003.html


Apuntes Grupos y  Estrategias de Grupo para Escenario
Single Domain Forest de Active Directory (AGDLP)

https://app.box.com/s/x21ns69luyn6qxzmn8c5591x9sl56356

Uso de herramientas de diagnóstico para un Controlador de Dominio

https://app.box.com/s/rhryw7g3e51455v5cbgr

SITES

TOLERANCIA A FALLOS EN CONTROLADORES DE DOMINIO

Fuente:http://personals.ac.upc.edu/elara/documentacion/WSERVER%20-%20UD7%20-%20Tolerancia%20a%20fallos.pdf

Crear un controlador de dominio adicional para un dominio existente

Servidor miembro

Cree controladores de dominio adicionales cuando desee aumentar la disponibilidad y confiabilidad de los servicios de red. Mediante la adición de controladores de dominio adicionales, podrá proporcionar tolerancia a errores, equilibrar la carga de los controladores de dominio existentes, proporcionar compatibilidad de infraestructura con sitios y mejorar el rendimiento, con lo que ofrecerá a los clientes un acceso más fácil a un controlador de dominio cuando inicien la sesión en la red. Por ejemplo, como se muestra en la siguiente ilustración, mediante la adición de un nuevo controlador de dominio (DC2) al dominio microsoft.com, se facilita el desplazamiento de la carga en otros controladores de dominio.

    

Práctica caída del controlador de dominio

Vamos a leer que debiéramos hacer para que los usuarios pudieran iniciar sesión sin ningún problema
https://app.box.com/s/74547p7smyp8gbl54aya

ENRUTAMIENTO

http://iso-eti.blogspot.com.es/2015/02/enrutamiento.html

Uso de Wireshark para examinar una captura de UDP y DNS

Uso de Wireshark para examinar una captura de UDP y DNS

DHCP

http://iso-eti.blogspot.com.es/2015/02/dhcp.html

PRACTICA XenServer 6.2

BIBLIOGRAFÍA
http://www.miniacademia.es/preparacion-del-laboratorio-xenserver-6-2/

Crear una cuenta de usuario

ADMINISTRACIÓN DE CUENTAS EN WINDOWS SERVER 2003

Esquemas de Active Directory y DHCP

https://plus.google.com/photos/105820391593757297413/albums/5976818451044470625

Resolución DNS

La asignación de nombres de dominio a direcciones IP es la función más conocida de los protocolos DNS.

RESOLUCIÓN DNS DIRECTA

Si la dirección IP del sitio www.google.es es 209.85.135.99, la mayoría de la gente llegará a este sitio web especificando "www.google.es" y no su dirección IP. Además de ser más fácil de recordar, el nombre es más fiable. La dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el nombre.

Por tanto, la resolución DNS directa consiste en "traducir" una dirección (por ejemplo, "www.google.es") a su dirección IP asociada (en este caso, 209.85.135.99).

RESOLUCIÓN INVERSA

Lleva a cabo el proceso contrario, es decir: a partir de la dirección IP de un sitio (por ejemplo, 209.85.135.99), la resolución inversa consultará la base de datos DNS y nos proporcionará la dirección web asociada a dicha dirección IP (en éste caso, "www.google.es").

DNS

En general, el proceso de consulta DNS se realiza en dos partes:

• La consulta de un nombre comienza en un equipo cliente y se pasa al solucionador, el servicio Cliente DNS, para proceder a su resolución.
  
• Cuando la consulta no se puede resolver localmente, se puede consultar a los servidores DNS según sea necesario para resolver el nombre.
  

Estos dos procesos se detallan en las secciones siguientes.

Parte 1: el solucionador local

En la figura siguiente se muestra un resumen del proceso de consulta DNS completo.

Como se muestra en los pasos iniciales del proceso de consulta, en un programa del equipo local se utiliza un nombre de dominio DNS. A continuación, la solicitud se pasa al servicio Cliente DNS para proceder a su resolución mediante la información almacenada en la caché local. Si se puede resolver el nombre consultado, se responde a la consulta y el proceso finaliza.

La caché del solucionador local puede incluir información de nombres obtenida de dos orígenes posibles:

• Si un archivo Hosts está configurado localmente, las asignaciones de nombre a dirección de host de ese archivo se cargan previamente en la caché cuando se inicia el servicio Cliente DNS.
  
• Los registros de recursos obtenidos en las respuestas de consultas DNS anteriores se agregan a la caché y se mantienen durante un período.
  

Si la consulta no coincide con una entrada de la caché, el proceso de resolución continúa con la consulta del cliente al servidor DNS para resolver el nombre.

Parte 2: consultar un servidor DNS

Como se indicó en la figura anterior, el cliente consulta un servidor DNS preferido. El servidor real utilizado durante la parte de la consulta inicial cliente-servidor del proceso se selecciona de una lista global. Para obtener más información acerca de cómo se compila y se actualiza esta lista global, vea Características del cliente.

Cuando el servidor DNS recibe una consulta, primero comprueba si puede responder la consulta con autoridad en función de la información de registro de recursos contenida en una zona configurada localmente en el servidor. Si el nombre consultado coincide con un registro de recursos correspondiente en la información de zona local, el servidor responde con autoridad y usa esta información para resolver el nombre consultado.

Si no existe ninguna información de zona para el nombre consultado, a continuación el servidor comprueba si puede resolver el nombre mediante la información almacenada en la caché local de consultas anteriores. Si aquí se encuentra una coincidencia, el servidor responde con esta información. De nuevo, si el servidor preferido puede responder al cliente solicitante con una respuesta coincidente de su caché, finaliza la consulta.

Si el nombre consultado no encuentra una respuesta coincidente en su servidor preferido, ya sea en su caché o en su información de zona, el proceso de consulta puede continuar y se usa la recursividad para resolver completamente el nombre. Esto implica la asistencia de otros servidores DNS para ayudar a resolver el nombre. De forma predeterminada, el servicio Cliente DNS solicita al servidor que utilice un proceso de recursividad para resolver completamente los nombres en nombre del cliente antes de devolver una respuesta. En la mayor parte de los casos, el servidor DNS se configura, de forma predeterminada, para admitir el proceso de recursividad como se muestra en el gráfico siguiente.

Para que el servidor DNS realice la recursividad correctamente, primero necesita información de contacto útil acerca de los otros servidores DNS del espacio de nombres de dominio DNS. Esta información se proporciona en forma de sugerencias de raíz, una lista de los registros de recursos preliminares que puede utilizar el servicio DNS para localizar otros servidores DNS que tienen autoridad para la raíz del árbol del espacio de nombres de dominio DNS. Los servidores raíz tienen autoridad para el dominio raíz y los dominios de nivel superior en el árbol del espacio de nombres de dominio DNS. Para obtener más información, vea Actualizar sugerencias de raíz.

Un servidor DNS puede completar el uso de la recursividad utilizando las sugerencias de raíz para encontrar los servidores raíz. En teoría, este proceso permite a un servidor DNS localizar los servidores que tienen autoridad para cualquier otro nombre de dominio DNS que se utiliza en cualquier nivel del árbol del espacio de nombres.

Por ejemplo, piense en la posibilidad de usar el proceso de recursividad para localizar el nombre "host-b.ejemplo.microsoft.com." cuando el cliente consulte un único servidor DNS. El proceso ocurre cuando un servidor y un cliente DNS se inician y no tienen información almacenada en la caché local disponible para ayudar a resolver la consulta de un nombre. El servidor supone que el nombre consultado por el cliente es para un nombre de dominio del que el servidor no tiene conocimiento local, según sus zonas configuradas.

Primero, el servidor preferido analiza el nombre completo y determina que necesita la ubicación del servidor con autoridad para el dominio de nivel superior, "com". A continuación, utiliza una consulta iterativa al servidor DNS "com" para obtener una referencia al servidor "microsoft.com". Después, desde el servidor "microsoft.com" se proporciona una respuesta de referencia al servidor DNS para "ejemplo.microsoft.com".

Finalmente, se entra en contacto con el servidor "ejemplo.microsoft.com.". Ya que este servidor contiene el nombre consultado como parte de sus zonas configuradas, responde con autoridad al servidor original que inició la recursividad. Cuando el servidor original recibe la respuesta que indica que se obtuvo una respuesta con autoridad a la consulta solicitada, reenvía esta respuesta al cliente solicitante y se completa el proceso de consulta recursiva.

Aunque el proceso de consulta recursiva puede usar muchos recursos cuando se realiza como se describe anteriormente, tiene algunas ventajas en el rendimiento para el servidor DNS. Por ejemplo, durante el proceso de recursividad, el servidor DNS que realiza la búsqueda recursiva obtiene información acerca del espacio de nombres de dominio DNS. Esta información se almacena en la caché del servidor y se puede utilizar de nuevo para ayudar a acelerar la obtención de respuestas a consultas subsiguientes que la utilizan o concuerdan con ella. Con el tiempo, esta información almacenada en caché puede crecer hasta ocupar una parte significativa de los recursos de memoria del servidor, aunque se limpia siempre que el servicio DNS se activa y desactiva.

Administracion de la Red

http://iso-eti.blogspot.com.es/2015/01/administracion-de-la-red.html

Configuración de Active Directory

https://app.box.com/s/3qms56and48whq4vubob

¿Qué es el Active Directory?

Active Directory es una base de datos de propósito especial. El directorio está diseñado para manejar un gran número de operaciones de lectura y de búsqueda y un número significativamente menor de los cambios y actualizaciones. Los datos del Active Directory son jerárquicos, replicados, y extensibles. Debido a que se replica, no se desea almacenar datos dinámicos, como los precios de las acciones corporativas o rendimiento de la CPU. Si sus datos son específicos de la máquina, almacenar los datos en el Registro. Ejemplos típicos de los datos almacenados en el directorio incluyen datos de la impresora de la cola, datos de contacto del usuario y los datos de configuración de red / ordenador. La base de datos de Active Directory se compone de objetos y atributos. Objetos y definiciones de atributos se almacenan en el esquema de Active Directory.

Active Directory tiene tres particiones. Estos son también conocidos como los contextos de nombres: dominio, esquema y configuración. La partición de dominio contiene usuarios, grupos, contactos, equipos, unidades organizativas, y muchos otros tipos de objetos. Debido a Active Directory es extensible, también puede agregar sus propias clases y / o atributos. La partición de esquema contiene clases y definiciones de atributos. La partición de configuración incluye datos de configuración de servicios, particiones y sitios.

La siguiente captura de pantalla muestra la partición de dominio de Active Directory.

¿Diferencias entre un dominio, un grupo de trabajo y un grupo en el hogar?

Los dominios, los grupos de trabajo y los grupos en el hogar representan diferentes formas de organizar equipos en las redes. La diferencia principal entre ellos es la forma de administrar los equipos y otros recursos de las redes.

Los equipos que ejecutan Windows en una red deben ser parte de un grupo de trabajo o de un dominio. Los equipos que ejecutan Windows en redes domésticas también pueden ser parte de un grupo en el hogar, pero no es un requisito.

Generalmente, los equipos de redes domésticas forman parte de un grupo de trabajo y, probablemente, de un grupo en el hogar, y los equipos de redes del lugar de trabajo forman parte de un dominio.

Nota

• Los grupos en el hogar no están disponibles en Windows Server 2008 R2.

En un grupo de trabajo:

• Todos los equipos se encuentran en el mismo nivel, ninguno tiene el control sobre otro.
• Cada equipo dispone de un conjunto de cuentas de usuario. Para iniciar sesión en cualquier equipo del grupo de trabajo, debe disponer de una cuenta en equipo.
• Normalmente, no hay más de veinte equipos.
• Un grupo de trabajo no está protegido con contraseña.
• Todos los equipos deben encontrarse en la misma red local o subred.

En un grupo en el hogar:

• Los equipos de una red doméstica pueden pertenecer a un grupo de trabajo, pero también pueden pertenecer a un grupo en el hogar. Un grupo en el hogar permite compartir fácilmente imágenes, música, vídeos, documentos e impresoras con otras personas de una red doméstica.
• El grupo en el hogar está protegido con contraseña, pero solo es necesario escribir la contraseña una vez, al agregar el equipo al grupo en el hogar.

En un dominio:

• Uno o más equipos son servidores. Los administradores de red utilizan los servidores para controlar la seguridad y los permisos de todos los equipos del dominio. Así resulta más sencillo efectuar cambios, ya que éstos se aplican automáticamente a todos los equipos. Los usuarios de dominio deben proporcionar una contraseña o algún otro tipo de credencial cada vez que accedan al dominio.
• Si dispone de una cuenta de usuario en el dominio, puede iniciar sesión en cualquier equipo del dominio sin necesidad de disponer de una cuenta en dicho equipo.
• Probablemente solo podrá hacer cambios limitados a la configuración de un equipo porque los administradores de red con frecuencia desean garantizan un nivel de homogeneidad entre los equipos.
• Un dominio puede incluir miles de equipos.
• Los equipos pueden encontrarse en diferentes redes locales.

SERVER 2003

http://www.adminso.es/index.php/Animacion_W2k3_instalacion

Sistemas Operativos en Red

http://somebooks.es/?p=3356

Middleware

Middleware es un software que asiste a una aplicación para interactuar o comunicarse con otras aplicaciones, software, redes, hardware y/o sistemas operativos. Éste simplifica el trabajo de los programadores en la compleja tarea de generar las conexiones que son necesarias en los sistemas distribuidos. De esta forma se provee una solución que mejora la calidad de servicio, seguridad, envío de mensajes, directorio de servicio, etc.

Funciona como una capa de abstracción de software distribuida, que se sitúa entre las capas de aplicaciones y las capas inferiores (sistema operativo y red). El middleware abstrae de la complejidad y heterogeneidad de las redes de comunicaciones subyacentes, así como de los sistemas operativos y lenguajes de programación, proporcionando una API para la fácil programación y manejo de aplicaciones distribuidas.