martes, 25 de octubre de 2011

DHCP

Protocolo DHCP ( Dinamic Host Configuration Protocol).



 Introdución.


                             DHCP o Protocolo Dinámico de Configuración de Equipos no es un protocolo específico de Windows 2003, sino que se trata de un estándar para cualquier tipo de sistema conectado a una red TCP/IP. La función básica de este protocolo es evitar que el administrador tenga que configurar manualmente las características propias del protocolo TCP/IP en cada equipo.Para ello, existe en la red un sistema especial, denominado servidor DHCP, que es capaz de asignar la configuración TCP/IP al resto de máquinas presentes en la red, o clientes DHCP, cuando estos arrancan.

                              En una red pueden convivir equipos que sean clientes DHCP con otros cuya configuración se haya establecido manualmente. Aquellos que estén configurados como clientes DHCP necesitarán encontrar en la red local un servidor DHCP para que les proporciones los parámetros TCP/IP, para ello solicitará un mensaje de solicituad o broadcast al  conectarse.


Métodos de Asignación de direccios IP's.

El protocolo DHCP incluye tres métodos de asignación de direcciones IP:
  • Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.
  • Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.
  • Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red.
Instalación y Configuración Servidor DHCP en Windows y Linux.

    Windows:

                   Para instalar el servicio nos dirigimos a "Panel de Control> Agregar o quitar componentes de Windows > Servicios de red" y pulsamos en "Detalles" para seleccionar a continuación el servicio DHCP y con esto comenzará la instalación. Una vez instalado el servicio en nuestro máquina deberemos agregarle un ámbito.




        Tutorial

    Linux:

                   Para instalar el servicio ejecutamos el siguiente comando: " sudo apt-get install isc-dhcp-server".

Los archivos principales para configurar el servicio DHCP en Linux son:

         - /etc/dhcp/dhcpd.conf : En este fichero realizaremos la configuración principal del servicio, tal y como, agregar la dirección de la subnet que vamos a administrar, así como el rango de IP's que se va a asignar automáticamente o reservemos a cada una de las máquinas, nombre del dominio del servidor, puerta de enlace...



         -/etc/default/isc-dhcp-server:    Aquí determinaremos las interfaces que se encargarán de administrar el DHCP en la red.

      Tutorial



Administración de Políticas de Grupo

4.Administración de Políticas de Grupo. 



4.1.Introdución


              Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio. Estos aspectos incluyen configuraciones del registro, políticas de seguridad, instalación automática de software, ejecución de scripts, etc.

4.2.Objeto de Política de Grupo


              Permite facilitar el trabajo al administrador de la red ya que permite establecer el comportamiento de los equipos de los clientes  sin tener que configurar uno por uno cada máquina.

              En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo o GPOs. Los GPOs o Directivas se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma asignamos a cada usuario o grupo de usuarios las funciones que queremos que desempeñen en el sistema. Cuando instalamos el servicio en nuestro sistema se nos crea unas unidades organizativas por defecto (Builtin, Users, Computers) pero no se les pueden asociar GPOs, por lo tanto a la hora de crear un dominio debemos crear una estructura addecuada de Unidades Organizativas y distribuir en ella los usuarios y equipos de la red.

              Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático con dos nodos para equipos y usuarios:

  • La configuración del equipo agrupan todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo.
  • Las configuración de usuario agrupan los parámetros de configuración que pueden establecerse a nivel de usuario.
              En cada GPO, el administrador puede deshabilitar selectivamente las políticas de equipo y/o de usuario, lo cual evita que se procesen y puedan aplicarse.

4.3.Aplicación de Políticas de Grupo.

              Así se aplican las políticas de grupo:


  • Un mismo GPO puede contener indistintamente parámetros o políticas de configuración que deben aplicarse a equipo y a usuarios.
  • Cada GPO se vincula a un contenedor del directorio activo (un sitio, un dominio o una unidad organizativa), afectando implícitamente a todos los objetos que residen en él
  • Un mismo GPO puede vincularse a múltiples contenedores y un contenedor puede tener vinculados múltiples GPOs
               En resumen, las políticas de grupo son heredables y acumulativas. Eso quiere decir que, desde el punto de vista de un equipo o de un usuario concretos, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo: esta lista incluye todos los GPOs vinculados a los contenedores por los que hay que pasar para llegar desde el sitio (y dominio) hasta la unidad organizativa concreta donde ese equipo o usuario se ubica.

                Hay que seguir un orden a la hora de establecer las Políticas de Grupo ya que pueden darse conflictos al contradecirse, que afecten a usuarios o grupos. Tendríamos que empezar por establecer la Política de Grupo del Equipo Local y terminaríamos por establecer los grupos a las unidades organizativas y posteriormente a las unidades de segundo y tercer nivel.


4.4.Políticas de Grupo y grupos de seguridad.

                 Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso o DACLs.Estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos.

4.4.1.Filtrar el ámbito de aplicación de un GPO.

                 Uno de los permisos de cada GPO es "Aplicar directiva de grupos" Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados,que incluye en la práctica a todos los usuarios del dominio. Por tanto, la política afecta a todos los usuarios cuyas cuentas se ubiquen dentro del contenedor al que se vincula el GPO.

4.4.2.Delegar la Administración de un GPO.

                Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre un GPO puede administrarlo. Por defecto, lo tienen el grupo de Administración de Empresas, Administradores de Dominio, el creador del GPO y el Sistema


4.5. Principales políticas incluidas en un GPO.

                   Como se ha visto en previamente, cada GPO consta de un árbol de políticas, subdividido
en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos:

1. Configuración de Software (Software Settings). Contiene la configuración, bien del equipo o bien de usuario, de la instalación automática de software.
2. Configuración de Windows (Windows Settings). Contiene la configuración de ciertos parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o para el usuario.
3. Plantillas Administrativas (Administrative Templates). Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o para el usuario.

                     A continuación se exponen los grupos de políticas más importantes que pueden configurarse mediante un GPO, independientemente de su ubicación concreta dentro de la jerarquía.


4.5.1. Plantillas administrativas.

                          Este grupo contiene todas las configuraciones de políticas basadas en el registro de
Windows 2003, incluyendo aquellas que controlan el funcionamiento y aparienciadel escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas. Por defecto,
todas las políticas que pueden seleccionarse bajo el apartado de Plantillas Administrativas de un GPO son verdaderas. 

 
4.5.2. Configuraciones de seguridad.

                                   En este apartado se encuentra la configuración de muchos de los aspectos de seguridad que pueden establecerse en un sistema Windows Server 2003. Aspectos de seguridad a nivel de equipo,podemos destacar:
1. Políticas de Cuentas. Se pueden configurar todos los aspectos sobre el plan de cuentas , “Otras directivas de seguridad”, tales como caducidad de contraseñas, bloqueo de cuentas, configuración de Kerberos,etc.
2. Políticas Locales. Bajo este apartado se encuentran las configuraciones que corresponden
a la denominada "Directiva local", “Otras directivas de seguridad”, es decir, la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad.
3. Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos. 
 
4.5.3. Instalación de software.

                             Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a
usuarios en el dominio:
1. Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale. Cuando se asigna una aplicación a un usuario o equipo, se crea una entrada para ella en el menú de inicio y se configura el registro adecuadamente. La primera vez
que el usuario ejecuta la aplicación, ésta es automáticamente instalada en el equipo cliente.
2. Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo (no se modifica el menú de inicio ni el registro).La lista de aplicaciones publicadas para un usuario aparecen en el Panel
de Control, bajo la herramienta de Añadir/Eliminar Programas, desde donde pueden ser instaladas.
 
4.5.4. Guiones (Scripts).

                             Bajo este apartado, se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales:

1. Inicio (equipo). Se ejecuta cada vez que el equipo arranca.
2. Apagado (equipo). Se ejecuta cada vez que el equipo va a detenerse.
3. Inicio de sesión (usuario). Se ejecuta cada vez que el usuario inicia una sesión interactiva (local) en un equipo.
4. Cierre de sesión (usuario). Se ejecuta cada vez que el usuario se finaliza una sesión interactiva en un equipo.
                             En todos esos casos, los scripts pueden implementarse en cualquiera de los lenguajes que entiende el soporte de scripts independiente del lenguaje de Windows Server 2003.
4.5.5. Redirección de carpetas.

                                 Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas
carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.
4.5.6. Otras políticas.

                                 Existen muchas otras políticas como el Mantenimiento de Internet Explorer, que controla la apariencia y la configuración personal de este navegador de web para cada usuario, y los Servicios de Instalación Remota, que permiten configurar automáticamente las opciones de instalación de clientes Windows (Windows 2000 Professional, Windows XP).
4.6. Recomendaciones de uso.

                             Reglas básicas para un administrador a la hora de administrador el sistema:

• Administración de GPOs. Un adecuado diseño de la administración y delegación de GPOs es crucial en empresas medianas y grandes, en las que generalmente los dominios se encuentran muy jerarquizados en unidades organizativas.
• Separar usuarios y equipos en unidades organizativas diferentes. Esta decisión de diseño simplifica la aplicación de GPOs, ya que al diseñarlas sólo hay que tener en cuenta la configuración de usuarios o de equipos. Por otra parte, este diseño facilita que las labores de administrar equipos y administrar usuarios puedan repartirse entre grupos de administradores distintos.
• Organización homogénea de unidades organizativas. La organización de las unidades organizativas  debe partir de la organización de la empresa y debe ser consistente con ella. Si se sobrediseña esta estructura, resultará más difícil aplicar correctamente las políticas de grupo a equipos y usuarios.
• Minimizar los GPOs asociados a usuarios o equipos. El tiempo de inicio de un equipo y el tiempo de inicio de sesión de un usuario se incrementan conforme más GPOs se aplican a dicho equipo o usuario. Resulta  más interesante conseguir las configuraciones adecuadas con el menor número posible de GPOs.
• Evitar asignaciones de GPOs entre dominios. Aunque es técnicamente posible vincular a un contenedor de un dominio un GPO creado en otro dominio, esta práctica está desaconsejada. El motivo es que los GPOs están almacenados en sus dominios respectivos y al utilizarlos desde otros dominios, el tiempo para su proceso se incrementa.
• Utilizar el proceso Loopback sólo cuando sea necesario. ticas de usua-
...

jueves, 6 de octubre de 2011

Administración de dominios Windows 2003 Server

1.Directorio Activo o "Active Directory".




    1.1.Introdución.


      Active Directory es el servicio de directorio de una red de Windows 2003. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar la red

    Una de las ventajas fundamentales del Directorio Activo es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red).Ello permite una mejor gestión del sistema.

            1.2.Éstandares relacionados.

       Windows 2003 proporciona compatibilidad con un buen número de protocolos y estándares existentes, ofreciendo interfaces de programación de aplicaciones que facilitan la comunicación con otros servicios de directorio.Entre ellos,destacan:


              1.3.Directorio Activo y DNS.


        Cada dominio de Windows 2003 se identifica unívocamente mediante un nombre DNS (por ejemplo, miempresa.com) y cada equipo basado en Windows 2003 que forma parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de dicho dominio (siguiendo con el ejemplo,pc0100.miempresa.com). De esta forma vemos que dominios y equipos se representan como objetos en Active Directory y como nodos en DNS. La diferencia es que aunque comparten la misma estructura, almacenan información diferente: DNS almacena zonas y registros de recursos y el Directorio Activo guarda dominios y objetos de dominio.Como conclusión diremos que Directorio Activo utiliza DNS, para tres funciones principales:


1. Resolución de nombres.
2. Definición del espacio de nombres.
3. Búsqueda de los componentes físicos de AD.

              1.4.Estructura Lógica. 

                Estructura Lógica

              1.4.1.¿Qué es un dominio?

        La unidad central de la estructura lógica del Directorio Activo es el dominio. Un dominio
es un conjunto de equipos que comparten una base de datos de directorio común.El uso de dominios permite ejecutar los siguiente objetivos:


  • Delimitar la seguridad. 
  • Replicar información.
  • Aplicar Políticas (o Directivas) de Grupo.
  • Delegar permisos administrativos.

               1.4.2.¿Qué es un árbol?

       Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol existente este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente por arriba de otro dominio en el mismo árbol de dominio es su padre. Todos los dominios que tengan un dominio raíz común se dice que forman un espacio de nombres contiguo.Los dominios secundarios (hijos) pueden representar entidades geográficas, administrativas  u otras delimitaciones específicas de una organización, según sus necesidades.

              1.4.3.¿Qué es un bosque?

     Un bosque es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas.


     Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:


• No se pueden mover dominios de Active Directory entre bosques.
• Solamente se podrán eliminar dominios de un bosque si este no tiene dominios hijos.
• Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
• No se puede crear un dominio padre de un dominio existente.

           1.4.4.Niveles Funcionales.

       Windows 2003 pueden configurarse en diferentes niveles funcionales  para que puedan ser compatibles con sistemas anteriores.En concreto, Windows Server 2003 soporta cuatro niveles funcionales de dominio (Window 2000 mixto , Window 2000 nativo,Window Server 2003 provisional, Window Server 2003) y tres niveles funcionales de bosque (Window 2000, Window 2003 Server Provisional, Window Server 2003).



           1.4.5.Relaciones de Confianza.


          Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio.

              1.4.6.Unidades Organizativas.

      Las unidades organizativas son objetos del directorio que a su vez, pueden contener otros objetos.El uso fundamental de las OUs es delegar la administración de sus objetos a otros usuarios distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs) específicas a la unidad.



             1.5.Estructura Física.


            La estructura física se utiliza para configurar y administrar el tráfico de red(como inicio de sesión) mientras que la estructura lógica se utiliza para organizar los recursos de red . En concreto, la estructura física de Active Directory se compone de sitios y controladores de dominio.


           Sitios: Se crean por dos razones principalmente:


• Para optimizar el tráfico de replicación.
• Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad.


          Controladores de dominio: Un controlador de dominio es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesión de usuario.
         La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración.
          Su función es la de replicar los cambios que se realizan en usuarios,grupos,etc de la red a otros controladores de dominio.

              1.6.Objetos que Administra un Dominio.

     1.6.1.Usuarios Globales.

       Se trata de las cuentas de usuarios y grupos que se crean en el sistema para administrar y organizar los usuarios y grupos del sistema así como sus permisos y derechos.Cualquier Servidor que actúe como DC puede crear usuarios globales.

       1.6.2.Grupos.

       Al igual que los usuarios existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio.En dominios Windows 2003 se definen tres clases de grupos ( Grupos Locales del dominio, Grupos Globales y Grupos Universales).

         1.7. Equipos.

     En el Directorio Activo se recoge también una cuenta de equipo por cada uno de los ordenadores
miembro de un dominio.En cada una de estas cuentas se almacena el nombre del ordenador, así como un identificador único y privado que lo identifica unívocamente. Este identificador es análogo al SID y sólo lo conocen los DCs y el propio ordenador miembro.

        1.8.Compartición de Recursos.

    Cuando un sistema Windows 2003 participa en una red puede compartir sus recursos con el resto de ordenadores.En este contexto,sólo vamos a considerar como recursos a compartir las carpetas odirectorios.

     1.8.1.Permisos y Derechos.

      Cualquier sistema Windows 2003 puede compartir carpetas, tanto si es un servidor como si es una estación de trabajo. Para poder compartir una carpeta basta con desplegar su menú contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opción se determina el nombre que tendrá el recurso, así como qué usuarios van a poder acceder al mismo.

    1.8.2.Compartición dentro de un dominio.

         Cuando compartimos una carpeta en la red el administrador del dominio puede además publicar este recurso en el directorio, para ello debe crear un nuevo objeto, en la unidad organizativa adecuada, de tipo Recurso compartido. A este objeto se le debe asociar un nombre simbólico y el nombre de recurso de red que representa (de la forma \\equipo\recurso). Es importante que el administrador se asegure que exista el recurso cmpartido en la red porque muchas veces no se comprueba.


        Y segundo, cuando un sistema Windows 2003 se agrega a un dominio, los siguientes
recursos se comparten de forma automática y por defecto (estas comparticiones no deben modificarse ni prohibirse):


     Mandatos para compartir recursos:
  • Mandato net share: Crea, elimina o muestra recursos compartidos.
  • Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo

     1.9.Delegación de la Administración.

        Para delegar, total o parcialmente, la administración de una unidad organizativa existe un asistente (wizard) que aparece cuando se selecciona la acción Delegar el control... en el menú contextual de la unidad organizativa. Este asistente pregunta básicamente los dos aspectos propios de la delegación: "a quién se delega" y "qué se delega". La primera pregunta se contesta o bien con un usuario o con un grupo (se recomienda un grupo). Para responder a la segunda pregunta, se puede elegir una tarea predefinida a delegar o bien podemos optar por construir una tarea personalizada. En este último caso, tenemos que especificar la tarea mediante un conjunto de permisos sobre un cierto tipo de objetos del directorio.  

Protección Local en Windows 2003 Server


Usuarios:

              El usuario es aquella persona que puede acceder al sistema ya se con una cuenta personal o como invitado. Windows 2003 lleva un control de estos a través de una "cuenta de usuario" en la que guarda numerosos datos como:

-Nombre.

-Nombre completo del usuario.

-Contraseña del mismo.

-Directorio de conexion: Es el lugar donde residirán los archivos de cada usuario. No puede ser visto por
los demás usuarios a menos que el administrador de los permisos necesarios. Se encuentra en "Document and Settings" por defecto.

-Horas de conexión.
 
           También otro dato importante que se asocia a cada cuenta es el "identificador seguro" que se asigna automáticamente cuando se crea una cuenta nueva.Windows 2003 utiliza siempre el SID.Su ventaja es que está registrado en el sitema operativo y ,por lo tanto, ningún usuario puede suplantar la identidad de otro.

          Cuando instalamos un sistema Windows 2003 se crean automáticamente dos cuentas por defecto, la de admininistrador y la de invitado. El administrador es el que posee los permisos para administrar el sistema  y no se puede desactivar, mientras que el usuario invitado si que se pude desactivar y lo suelen utilizar aquellas personas que no poseen un usuario en el sistema.


Grupos de usuario:

        Se usan para minimizar el trabajo del administrador ya que no es igual añadir permisos usuario por usuario, que añadir esos usuarios a un grupo y darle los permisos al grupo.Un grupo posee un nombre y un identificador interno(SID).

-Grupos que se crean por defecto en el sistema;Administradores, Operadores de Copia(permiten hacer o ejecutar una copia de todo el sistema), Usuarios Avanzados,Usuarios, e Invitados.


Acciones que los usuarios y grupos puede llevar a cabo en el sistema.

    Primero,¿Que es un permiso? Un permiso  es una característica de cada recurso (carpeta, archivo, etc.) del sistema, que concede o deniega el acceso al mismo a un usuario/grupo concreto.


        Cuando un usuario es autorizado a conectarse a un sistema Windows2003, el sistema construye para él una acreditación denominada SAT. Esta acreditación contiene la información de protección del usuario.los atributos de protección del usuario están presentes en cada proceso del usuario, y se utilizan para controlar los accesos que el proceso realiza a los recursos del sistema en nombre de dicho usuario.

¿Que contiene el SAT?

-SID. El identificador único del usuario.
-SIDs de sus grupos.
-Derechos. Lista de derechos del usuario.

       Ahora ¿Qé es un derecho? Un derecho es un atributo de un usuario o grupo de usuarios que le confiere la posibilidad de realizar una acción concreta sobre el sistema.Tipos de derecho según Windows 2003:

      -Los Derechos de Conexión . Establecen las diferentes formas en que un usuario puede conectarse al sistema (de forma interactiva, a través de la red, etc.).

     -los Privilegios:  hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.Un derecho siempre tiene prioridad sobre un permiso.


       Windows 2003 ha agrupado estos derechos en lo que se llama "directivas de seguridad".Dentro de esta herramienta de administración podemos establecer los siguientes tipos de reglas de seguridad:

-Cuentas.
-Directivas Local: permite al administrador conocer, por ejemplo, los ultimos inicios de sesión al sistema.
-Claves públicas. Este apartado permite administrar las opciones de seguridad.

Permisos Carpetas, archivos ...

        En un sistema de archivos NTFS de Windows 2003, cada carpeta o archivo posee los siguientes atributos de protección:

-SID del propietario: el propietario suele ser el creador de los archivos,carpetas....
-Lista de control de acceso de protección.Incluye los permisos que los usuarios tienen sobre el archivo o carpeta.
-Lista de control de acceso de seguridad. Esta segunda lista se utiliza para definir qué acciones sobre un archivo o carpeta tiene que auditar el sistema.

      En Windows 2003 Server cuando creamos un archivo o carpeta esta hereda los permisos de la carpeta padre por defecto. Si copiamos o movemos un archivo se considera creación y como permisos adoptaría los del directorio padre. Los permisos de las carpetas,archivos, etc del sistema pueden ser modificados por el administrador para decidir quien tiene o no permiso a ellas.

     En Windows 2003 Server cuando hablamos de permisos estándar de carpetas,archivos,etc nos referimos a los permisos de lectura,escritura,listar,lectura y ejecución,control total y modificación.

Para más iformación:

Usuarios y Grupos
Permisos

domingo, 2 de octubre de 2011

CWE - 311

Presentación Seguridad web