jueves, 27 de febrero de 2014

Permisos – Permisos Efectivos

Trataremos en esta nota de resumir y aclarar algunos conceptos importantes en cuanto se refiere a la aplicación de permisos en ambiente Windows.
En esta ocasión no haremos una descripción detallada de cada uno y su uso, ya que sería muy extenso, y nunca se podrían cubrir todos los escenarios, pero sí como para comprender su funcionamiento.
Debemos tener en cuenta que existen dos clases de permisos:
  • Permisos de Seguridad (NTFS)
  • Permisos de Compartido (Share)
Dependiendo del tipo de acceso nos afectarán sólo los de Seguridad, o ambos.

Permisos de Seguridad (NTFS)

Los permisos de Seguridad nos afectarán siempre, esto es, tanto cuando accedemos remotamente a un equipo, como cuando estamos trabajando localmente en el mismo.
Estos permisos residen en el sistema de archivos (File System) y son propios de las unidades con formato NTFS
Tienen varias ventajas, entre las que podemos citar:
  • Los podemos manejar individualmente por cada carpeta y archivo
  • Hay permisos “standard” que son los de uso más común, y además hay permisos “avanzados”. Los primeros son combinaciones ya hechas de los segundos.
  • Cada permiso tiene la opción específica de Permitir o Denegar
Normalmente un usuario pertenece a varios grupos, y cada uno puede tener diferentes permisos sobre un recurso. Inclusive, aunque no recomendado, el propio usuario puede tener permisos.
Entonces ¿Cuál es el permiso efectivo (final) de este usuario sobre ese archivo o carpeta?
El permiso efectivo de Seguridad, es la combinación de todos los permisos  “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)
Por ejemplo, si de la pertenencia a un grupo tengo “Permitir Lectura” y de otro grupo “Permitir Escritura”, el permiso efectivo es “Lectura + Escritura”.
Pero si por pertenencia a otro grupo obtengo algún “Denegar”, éste será el efectivo

No tener permisos, implica que no se puede acceder, en cambio “Denegar” siempre ganará a los “Permitir”. No tener permisos no resta.

¿Qué sucede con los permisos cuando copiamos un archivo/carpeta?

Cuando se copia, se genera un objeto nuevo, el original no se altera. La copia hereda los permisos de la carpeta que lo contiene. Tener en cuenta que la raíz de un disco, es una carpeta.

¿Qué sucede con los permisos cuando movemos un archivo/carpeta?

Se pueden producir dos situaciones diferentes depende si se mueve en mismo disco, o entre discos diferentes.
Si movemos un archivo/carpeta, dentro del mismo disco (partición o volumen), cambian los permisos heredados, pero se mantienen los permisos específicamente dados sobre el archivo/carpeta
En cambio, si movemos un archivo/carpeta, entre discos diferentes, sólo hereda los nuevos permisos, Eso es así, porque el mover entre discos en realidad es “copiar” seguido de “borrar” el original.

Permisos de Compartido (Share)

Los Permisos de Compartido, a diferencia de los anteriores, nos afectan únicamente cuando estamos accediendo remotamente (desde otro equipo). No tienen ningún efecto cuando estamos trabajando directamente sobre el equipo.
Se aplican únicamente a Carpetas, y será el mismo permiso para todo el contenido de dicha carpeta, y todos los archivos y subcarpetas contenidos en la primera.
Además debemos tener en cuenta, que no residen en el Sistema de Archivos, sino que están especificados en el Registro del sistema operativo
Además podemos observar que son mucho más “limitados” que los de Seguridad.
Igual que en el caso anterior, por pertenencia a grupos podemos recibir diferentes permisos por cada grupo, y análogamente al caso anterior:
El permiso efectivo de Compartido, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)
  1. El permiso de lectura permite:
  • ver los nombres de archivos y de subcarpetas
  • recorrer las subcarpetas
  • ver los datos de los archivos
  • ejecutar archivos de programa
  1. El permiso de cambio proporciona todos los permisos de lectura, así como:
  • agregar archivos y subcarpetas
  • cambiar datos en archivos
  • eliminar subcarpetas y archivos
  1. El permiso de control total se aplica de forma predeterminada a los recursos compartidos que se crean. Este permiso se asigna al grupo Todos al compartir un recurso. Proporciona todos los permisos de lectura y de cambio, así como:
  • cambiar permisos
  • tomar posesión

Permisos Efectivos

Resumiendo, cuando trabajamos localmente, nos afectan sólo los permisos de Seguridad. Pero cuando lo hacemos remotamente nos afectan ambos.
Y en este caso ¿cuál va a ser el permiso efectivo (final)?
El permiso efectivo (final) va a resultar ser el más restrictivo entre los de Seguridad y los de Compartido


Las tablas siguientes detallan los permisos especiales que abarcan los permisos de los archivos y de las carpetas respectivamente. 

Permisos diferentes para un usuario o grupo en Seguridad y en Compartir
http://freyes.svetlian.com/tips/permisos-seguridad-compartir.htm


Fuente :http://windowserver.wordpress.com/2011/04/30/permisos-permisos-efectivos/

sábado, 22 de febrero de 2014

Uso de herramientas de diagnóstico para un Controlador de Dominio

Vamos a ver cómo trabajar con herramientas para detectar posibles errores en nuestros controladores de dominio después de nuestras instalaciones.

POSIBLES ERRORES

Error DCdiag frsevent

Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.

solucion:

net stop ntfrs
net start ntfrs

Errores de W32Time

El típico error de Sistema con origen W32Time que nos dice algo así como...

El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 15 minutos. NtpClient no tiene recurso de hora exacta.

Check the Event Viewer (eventvwr.msc) This link is external to TechNet Wiki. It will open in a new window. and review the entries in the System Log This link is external to TechNet Wiki. It will open in a new window. . After you have either resolved or decided to ignore those errors, archive the event log  This link is external to TechNet Wiki. It will open in a new window. and then clear it (or if you don't care to save the events, simply clear the log This link is external to TechNet Wiki. It will open in a new window. ).

Configuring the Windows Time service to use an internal hardware clock


1. Click "Start", click "Run", type "regedit" (without the quotation 
marks), and then click "OK".

2. Locate and then click the following registry subkey:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\Ann
ounceFlags"

3. In the right pane, right-click "AnnounceFlags", and then click 
"Modify".

4. In "Edit DWORD Value", type "A" (without the quotation marks) in the 
"Value data" box, and then click "OK".

5. Quit Registry Editor.

6. At the command prompt, type the following command to restart the Windows Time service, and then 
press ENTER:

"net stop w32time && net start w32time" (without the quotation marks)

jueves, 20 de febrero de 2014

Práctica con Grupos


Desde el entorno que tengo montado en mi portátil vamos a ver como trabajar con los grupos.
https://app.box.com/s/hn6ho3bz0h9d8fnwhqve

miércoles, 12 de febrero de 2014

Práctica caída del controlador de dominio

Vamos a leer que debiéramos hacer para que los usuarios pudieran iniciar sesión sin ningún problema
https://app.box.com/s/74547p7smyp8gbl54aya

Crear un controlador de dominio adicional para un dominio existente

Servidor miembro



Cree controladores de dominio adicionales cuando desee aumentar la disponibilidad y confiabilidad de los servicios de red. Mediante la adición de controladores de dominio adicionales, podrá proporcionar tolerancia a errores, equilibrar la carga de los controladores de dominio existentes, proporcionar compatibilidad de infraestructura con sitios y mejorar el rendimiento, con lo que ofrecerá a los clientes un acceso más fácil a un controlador de dominio cuando inicien la sesión en la red. Por ejemplo, como se muestra en la siguiente ilustración, mediante la adición de un nuevo controlador de dominio (DC2) al dominio microsoft.com, se facilita el desplazamiento de la carga en otros controladores de dominio.

    El nuevo controlador de dominio (DC2) compensa la carga en DC1

jueves, 6 de febrero de 2014

Enrutamiento

Vamos a hacer posible que un equipo Windows 7 del dominio que hemos creado puede acceder a Internet . Para ello ya configuramos en su momento los adaptadores de red en VirtualBox (modo red interna, y el  que hace posible salir hacia el exterior,modo NAT).


Veamos como configurar este servicio:

https://app.box.com/s/2w870p53q2veadxn0422

miércoles, 5 de febrero de 2014

lunes, 3 de febrero de 2014

Pruebas con DNS

Vamos a probar que el Servidor DNS resuelva correctamente tanto direcciones IP's como Nombres de máquina .

Hacemos desde la máquina Windows 7:

ping 192.168.0.1
ping Nombre_Server
nslookup *


*Nslookup

Es un programa, utilizado para saber si el DNS está resolviendo correctamente los nombres y las IP
Se utiliza con el comando nslookup, que funciona tanto en Windows como en UNIX para obtener la dirección IP
 conociendo el nombre, y viceversa...

TIPOS DE REGISTROS DNS

Tipo A – Retorna una dirección IPv4 de 32-bit, más comúnmente utilizado para ubicar nombres de host para una dirección IP de una máquina.
Tipo AAAA - Retorna una direcciónIPv6 de 128-bits, más comúnmente utilizado para ubicar nombres de host para una dirección IP de una máquina.
Tipo NS – Delega una zona DNS para utilizar los servidores autoritativos de nombres.
Tipo MX - Asigna un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio.
Tipo CNAME - (Nombre Canónico) Se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio. Es usado cuando se están corriendo múltiples servicios (como ftp y servidor web) en un servidor con una sola dirección ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto también es usado cuando se ejecutan múltiples servidores http, con diferentes nombres, sobre el mismo host.
Tipo SOA - (Autoridad de la zona) Proporciona información sobre el servidor DNS primario de la zona, como el correo electrónico del administrador del dominio, el número serial del dominio, y los tiempos de refrescado o actualización.
Tipo PTR - También conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo direcciones IP's en nombres de dominio.
Tipo SRV - Permite indicar los servicios que ofrece el dominio.
Tipo SPF - Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega, con los datos de este registro.