Administración centralizada con Windows Server: Conceptos básicos y configuración

Enviado por Programa Chuletas y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 19,37 KB

Windows Server: Administración centralizada

1.1. Un poco de historia

El sistema MS Windows pertenece a la empresa Microsoft Corporation. A finales de los ochenta, IBM y Microsoft unieron sus esfuerzos para sacar una versión de Windows que se iba a denominar OS/2. Sin embargo, surgieron ciertas desavenencias en cuanto a determinados temas clave sobre el proyecto, que desembocaron en una división entre IBM y Microsoft.

Como resultado, aparecieron en el mercado dos sistemas independientes que competían entre sí: OS/2 de IBM y Windows NT (New Technology) de Microsoft.

En 1993 se distribuyó la primera versión de Windows NT con el nombre de Windows NT 3.1, a la que siguió en septiembre de 1994 la versión Windows NT 3.5 y en junio de 1995 la versión Windows NT 3.51. En ese momento se vio que Microsoft estaba empezando a competir seriamente con Novell, la empresa que hasta la fecha estaba en cabeza en cuanto a sistemas corporativos, con el SO Netware.

La siguiente gran actualización llegó en julio de 1996, denominada Windows NT 4.0, que agregaba la interfaz gráfica de Windows 95 y compatibilidad con un mayor número de dispositivos hardware (en estas dos facetas, los productos de servidor siempre habían ido por detrás de los productos de usuario). La siguiente versión fue Windows 2000, le siguió Windows 2003, 2008, 2012 y la última hasta el momento es Windows 2016.

Dentro de la familia de servidores se distinguen tres ediciones:

  • Windows Server 2016 Datacenter: Idóneo cuando se necesita dotar al centro de datos de altas capacidades de virtualización y para centros de procesamiento de datos.
  • Windows Server 2016 Standard: Para entornos físicos o con menor índice de virtualización.
  • Windows Server 2016 Essentials: Para pequeñas empresas con hasta 25 usuarios y 50 dispositivos, pero con restricciones relevantes con respecto a las versiones completas.

Las dos primeras ofrecen además diferentes tipos de instalación, bajo los nombres:

  • Server with Desktop Experience
  • Server Core
  • Nano Server

La evolución de los productos de usuario de Microsoft fue la siguiente: A mediados de los ochenta apareció la versión Windows 1.0, que dejaba mucho que desear. A continuación aparecieron las versiones Windows 2.0, Windows 286, Windows 386, Windows 3.0, Windows 3.1, Windows 3.11, Windows 3.11 para Trabajo en grupo, Windows 95, Windows 98, Windows Millenium, Windows XP, Windows 7, Windows 8 y, la última hasta el momento, Windows 10.

1.2. Instalación

Existen dos modelos de instalación, que permiten una mayor flexibilidad según las necesidades:

  • Actualización: Si se quiere actualizar un sistema anterior, se debe elegir este modelo. De esta forma se mantendrá la configuración del sistema anterior, incluyendo las cuentas de usuarios y grupos, perfiles, servicios, archivos, permisos, aplicaciones, etc. Sin embargo, la actualización no garantiza, por ejemplo, que todas las aplicaciones serán compatibles con el nuevo sistema o que en el registro no aparezcan valores extraños.
  • Personalizada: Si se elige este modelo, no quedarán restos del sistema anterior (si existiera), ya que se empezará la instalación desde cero.

1.3. Grupo de trabajo vs Dominio

Los equipos Windows pueden funcionar en uno de los siguientes modelos de red:

  • Grupo de trabajo: Es un conjunto de equipos de igual a igual (sin servidor dedicado) de forma que los recursos del grupo, así como las cuentas de los usuarios, se distribuyen entre todos los equipos. Como la gestión no está centralizada ya que cada equipo dispone de su propio usuario Administrador, la labor de administración se complica bastante. Su uso puede ser conveniente en redes pequeñas (quince o veinte equipos a lo sumo).
  • Dominio: Un dominio de Windows se puede ver como un conjunto de objetos (equipos, usuarios, grupos, impresoras, etc.) que han sido definidos por un administrador del dominio y forman parte de una base de datos común gestionada desde un servidor denominado Controlador de dominio. De esta forma, se puede llevar a cabo un control centralizado de dichos objetos. Su uso es conveniente en redes medianas y grandes.

1.3.1. Usuarios locales vs usuarios del dominio

Hay que diferenciar claramente entre los usuarios locales que se crean en cada uno de los sistemas Windows y los usuarios de un dominio, que se crean dentro de un Controlador de dominio. Ambos tipos de usuarios son totalmente independientes y no tienen nada que ver entre sí.

Si existieran usuarios locales y de dominio con igual nombre, el sistema añade un sufijo al perfil, normalmente el nombre del dominio o el de la máquina para distinguirlos.

1.4. Creación de un dominio

Crear un dominio consiste en instalar el rol Active Directory en un servidor. Este rol genera un servicio de directorio que permite gestionar los objetos principales de una red a través de este servidor, que ahora pasará a llamarse Controlador de dominio. Durante el proceso de instalación es necesario configurar también un servidor DNS en caso de que no exista ninguno. Al dominio hay que darle un nombre DNS (nombre.extensión) y uno NetBIOS (nombre sin extensión).

1.4.1. Active Directory

Vamos a detenernos a estudiar los elementos que forman parte de la estructura lógica de Active Directory:

  • Dominio: Básicamente agrupa un conjunto de equipos y gestiona sus objetos a través de una BD de directorio. Tiene las siguientes características:
    • Todos los controladores que forman parte del mismo dominio, comparten la BD de directorio, actualizándose entre sí periódicamente (por defecto cada 5 minutos).
    • Los objetos de un dominio sólo pueden ser gestionados por un administrador de dicho dominio.
  • Árbol: Conjunto de uno o más dominios organizados jerárquicamente. Tiene las siguientes características:
    • El primer dominio de un árbol se denomina dominio raíz.
    • El nombre que se asigna al dominio raíz es definitivo.
    • Los dominios de un árbol comparten el mismo espacio de nombres DNS.
  • Bosque: Conjunto de uno o más árboles. Se caracteriza por lo siguiente:
    • Todos los dominios de un bosque comparten el mismo esquema, configuración y catálogo global.
    • Cada árbol de un bosque dispone de su propio espacio de nombres DNS.
  • Unidad organizativa (UO): Sirve para organizar de manera lógica los objetos incluidos dentro de un dominio. Una UO podría estar basada en la distribución geográfica de una empresa o su división por departamentos. Presenta las siguientes propiedades:
    • Facilita la administración del dominio.
    • El administrador puede delegar la administración de una UO a ciertos usuarios del dominio.
  • Objeto: Elemento básico de Active Directory. Su estructura se define en el esquema que se encuentra almacenado en la BD. Consta de las siguientes propiedades:
    • Un objeto está formado por atributos, que pueden ser obligatorios u opcionales.
    • Un objeto de tipo contenedor es aquél que puede contener otros objetos.
    • Un objeto de tipo terminal u hoja es aquél que no puede contener otros objetos.
    • Cada objeto se identifica de manera única a través del GUID (Globally Unique Identifier), que es un número de 128 bits imposible de modificar.
    • El nombre completo de un objeto está formado por el nombre DNS del dominio, el nombre de las UO que lo contengan (si existen) y por el nombre común del objeto. Debe ser único.

En cuanto a los elementos que forman parte de la estructura física de Active Directory, encontramos los siguientes:

  • Controlador de dominio: Equipo con Windows Server instalado que almacena la BD de directorio. Tiene las siguientes funciones:
    • Permite modificar la BD de directorio.
    • Replica las modificaciones de la BD en los demás controladores de dominio.
    • Conviene instalar más de un controlador de dominio para que exista tolerancia a fallos y reparto de la carga de trabajo (fundamentalmente al inicio de sesión de los clientes).
  • Sitio: Conjunto de una o más subredes IP conectadas entre sí. Tiene las siguientes propiedades:
    • El primer sitio de un bosque se denomina Nombre-predeterminado-primer-sitio.
    • Optimizar los procesos de autenticación.
    • Optimizar el tráfico de replicación entre los distintos controladores.
    • Un sitio es independiente del dominio en cuanto a que un sitio puede contener varios dominios, y un dominio puede contener varios sitios.

1.4.2. Añadir un cliente al dominio

Todo el proceso se realiza desde la máquina cliente. Se deben seguir los siguientes pasos en el mismo orden en el que se muestran:

  • Establecer como servidor DNS preferido del cliente la IP del controlador del dominio y añadir como sufijo DNS el nombre DNS del dominio.
  • Desde la misma ventana donde se cambia el nombre a la máquina se puede añadir el equipo al dominio, debiendo indicar el nombre DNS del dominio. Para realizar esta operación se solicitará un usuario y contraseña con permisos suficientes (normalmente el administrador del dominio).

1.5. Perfiles

Un perfil de usuario no es más que un directorio donde se almacena toda la información necesaria para personalizar el entorno de trabajo de un usuario particular de un equipo o de un dominio. Algunas cosas que se guardan en un perfil son los accesos directos del escritorio, el fondo de pantalla, la barra de tareas, el contenido del menú Inicio, la carpeta Documentos, el historial de navegación, etc. Todos los perfiles se guardan en el directorio C:\Usuarios.

1.5.1. Tipos

  • Perfil por defecto (o predeterminado): Cuando un usuario inicia por primera vez una sesión en un equipo, se le asigna un perfil. Este perfil inicial, que es común a todo nuevo usuario, se almacena en la carpeta oculta Default. Es configurable.
  • Perfil público: Además de Default, existe otro perfil que no está asociado a ningún usuario en particular. Se trata del perfil Public. La función de este perfil es compartir su contenido con todos los usuarios que inicien sesión. Por ejemplo, el contenido del subdirectorio Public\Documentos estará disponible para todos los usuarios.
  • Perfil local: Cuando un usuario inicia la sesión por primera vez, el perfil predeterminado, junto con los cambios que se introduzcan, se copian en la máquina como el perfil de dicho usuario.
  • Perfil móvil: Este tipo de perfil sólo tiene sentido en un dominio. Tiene las siguientes propiedades:
    • Un usuario con perfil móvil puede iniciar una sesión desde cualquier equipo del dominio, disponiendo siempre de su perfil. Es decir, es como si el perfil persiguiera al usuario por la red.
    • Los cambios que realice en su perfil se mantendrán la próxima vez que inicie sesión desde cualquier máquina del dominio. Esto se consigue gracias a que el perfil de estos usuarios se almacena en un servidor. Así, los datos del registro del usuario, que se guardan en el fichero Ntuser.dat, se ubicarán en una carpeta de un servidor establecida por el administrador. Cuando el usuario se conecta a la red a través de un equipo, este archivo se copia en la categoría del registro HKEY_CURRENT_USER de dicho equipo. Si el usuario realiza cambios en el perfil y cierra la sesión, estos cambios se copiarán de nuevo en el fichero Ntuser.dat de la carpeta del servidor. De esta forma se asegura que cuando el usuario se conecte la próxima vez, los cambios se mantengan. También se utiliza otro fichero, denominado Ntuser.dat.log, que almacena los últimos cambios efectuados en el registro, por si se produjeran problemas al actualizar Ntuser.dat. Esto permite que los cambios se actualicen en el siguiente inicio de sesión.

Pasos para crear un perfil móvil:

  1. Crear un nuevo usuario del dominio en el servidor.
  2. Crear una carpeta en C: llamada, por ejemplo, PMoviles y darle permisos de red a los usuarios que vayan a tener un perfil móvil.
  3. Dentro de la carpeta anterior, crear otra con el nombre del usuario en cuestión, por ejemplo, Pepe y darle como extensión .V6. En resumen, la carpeta se debería llamar Pepe.V6. A esta carpeta hay que darle permisos locales de modificación (NTFS) para el usuario en cuestión.
  4. En las propiedades de la pestaña Perfiles del usuario creado en el primer paso, en el apartado Ruta de acceso al perfil debe aparecer la siguiente información en notación UNC (Universal Naming Convection o Convención de nombres universal, que tiene el siguiente formato: \\Servidor\Carpeta_Compartida\Recurso): \\IP_CD\PMoviles\Pepe
  5. Entrar desde una máquina cliente con el usuario anterior. Al cerrar la sesión, el perfil recién creado se copiará dentro de la carpeta Pepe.V6.
  • Perfil obligatorio: Es un caso particular de perfil móvil, en el que no se cumple la segunda propiedad, es decir, los cambios que el usuario realice en el perfil, no se guardarán para el siguiente inicio de sesión. Esto se consigue renombrando el fichero Ntuser.dat a Ntuser.man (de mandatory, que significa obligatorio). Así, cuando el usuario cierre sesión después de haber realizado cambios en el perfil, estos no se guardarán en Ntuser.man, con lo que el perfil que se cargará en la próxima sesión permanecerá intacto.

Pasos para crear un perfil obligatorio:

  1. Repetir los mismos pasos que para perfiles móviles.
  2. Entrar en la carpeta Pepe.V6, hacer visible el fichero NtUser.dat y renombrarlo como NtUser.man.

1.5.2. Script de inicio de sesión

Normalmente se trata de un archivo por lotes que se ejecuta cuando el usuario inicia sesión en la red, de manera que se puede personalizar su conexión mostrándole información o realizando determinadas acciones como por ejemplo conectar a recursos de la red. Para ello se utilizan, además de los comandos MS-DOS ya vistos, otros para trabajo en red que veremos en un apartado posterior. También se pueden usar scripts con instrucciones en Visual Basic o JavaScript con extensión vbs o js respectivamente, pero nunca ejecutables.

Estos scripts deben estar almacenados en el siguiente directorio, que el sistema comparte en red con el nombre de Netlogon: C:\Windows\Sysvol\Sysvol\\Scripts

1.5.2.1. Variables de entorno

En él se pueden utilizar, entre otras, las siguientes variables de conexión:

  • %OS%: Indica el SO que está funcionando en la estación de trabajo.
  • %USERDOMAIN%: Indica el nombre del dominio en el que está definida la cuenta del usuario.
  • %USERNAME%: Indica el nombre del usuario.
  • %PROCESSOR_IDENTIFIER %: Indica el tipo de microprocesador instalado en la estación de trabajo del usuario.
  • %HOMEPATH%: Indica la ruta de acceso al directorio particular del usuario.
  • %HOMEDRIVE%: Indica la letra que tiene asignado el directorio particular del usuario.
  • %HOMESHARE%: Indica el nombre de la partición donde se encuentra el directorio particular del usuario.
1.5.2.2. Comandos NET

En cuanto a los comandos que se pueden emplear en este tipo de archivos (además de los ya vistos en MS-DOS), están los siguientes comandos de red, llamados comandos NET:

  • NET USE: Permite conectar o desconectar la estación a un recurso compartido. Sin argumentos, muestra información sobre las conexiones. Como puede admitir una letra de unidad (que se asignará a una carpeta de red compartida), un puerto (que se asignará a una impresora compartida) o un asterisco (asociará al recurso la siguiente letra de unidad disponible). Como se admiten cadenas con la sintaxis \\Equipo\ruta\recurso. Como se suele utilizar delete, que termina la conexión sobre un recurso compartido y persistent: , que indica si las conexiones se han de restaurar la próxima vez que se inicie una sesión de red. Si se establece yes como argumento, se está indicando que la conexión sea persistente.
  • NET TIME: Muestra la hora o sincroniza la hora del reloj de la estación con la del servidor. Sin argumentos, muestra la hora del servidor. Como admite una de las siguientes posibilidades:
    • /Domain , que indica el nombre del dominio con el que se quiere sincronizar la hora.
    • \\equipo, que indica el nombre del servidor con el que se quiere sincronizar la hora.

En cuanto a , si se introduce /Set se sincroniza la hora del equipo con la del servidor o dominio especificado.

  • NET HELP: Muestra información sobre un comando NET pasado como parámetro. Sin argumentos, muestra los comandos disponibles.
  • NET STATISTICS: Muestra las estadísticas para los servicios de un servidor o una estación de trabajo que se pasa como parámetro.
  • NET START: Inicia el servicio de Windows Server que se pase como parámetro.
  • NET PAUSE: Interrumpe un servicio de Windows Server.
  • NET CONTINUE: Reanuda el servicio interrumpido con Net pause.
  • NET STOP: Detiene la ejecución de los servicios de Windows Server que se pasen como parámetros.
  • NET PRINT: Presenta información sobre la cola de impresión en una impresora compartida. Admite el siguiente parámetro:
    • \\equipo\impresora: Indica el nombre del equipo sobre cuya impresora queremos obtener información seguido del nombre de la impresora sobre cuya cola de impresión queremos obtener información, en formato UNC.

Ejemplo de archivo de inicio de sesión:

@echo off
net time \\Servidor_Asi /set
net use E: /Delete
net use E: \\Servidor_Asi\Público
net use lpt1 /delete
if %userdomain % = = Asi net use lpt1 \\Servidor_Asi\HPLaserJet
if %userdomain % = = Cnc net use lpt1 \\Servidor_Cnc\EpsonStylus

1.5.3. Carpetas particulares

A la hora de establecer un determinado perfil para un usuario, se puede decidir cuál será la carpeta de trabajo (también conocida como carpeta particular ) de dicho usuario. Se puede elegir entre Ruta de acceso local y Conectar a.

1.5.3.1. Locales

Hace referencia a una carpeta local (que debe existir) para el usuario, en la que albergar sus archivos y programas. Además, se convierte en el directorio predeterminado para la Interfaz de comandos y para todas las aplicaciones que no tienen definido un directorio de trabajo. Su contenido se elimina al borrar la cuenta del usuario.

1.5.3.2. Remotas

Hace referencia a una carpeta de la red que se asocia a una letra, y tiene la misma función que la carpeta creada en la ruta de acceso local con la ventaja de que, al poder crearse una carpeta para cada usuario en una misma máquina, facilita la realización de copias de seguridad. Igual que en el caso anterior, al eliminar la cuenta del usuario, esta carpeta y su contenido desaparecen. Para indicar la ruta de esta carpeta, es necesario utilizar la notación UNC.

Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Active Directory Administración de Sistemas Seguridad Informática Perfiles de Usuario Redes Grupos de Trabajo Windows Server Dominios