Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
Subido por jhilmar1916

AdministraciondeSistemasOperativos

Anuncio 
ADMINISTRACIÓN
DEL SERVIDOR
Y SERVICIOS DE
DIRECTORIO
Administración de
Sistemas Operativos
Bloque 5
ASOA1219
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
El presente material recopila una serie de definiciones, explicaciones y ejemplos prácticos de autores especializados
que te ayudarán a comprender los temas principales de este bloque.
Las marcas usadas en la antología son única y exclusivamente de carácter educativo y de investigación, sin fines
lucrativos ni comerciales.
2
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
Administración del servidor y servicios de directorio
9. Administración del servidor
La administración de servidores es una tarea que se vuelve complicada a lo largo de tiempo y a medida
que las organizaciones cambian sus necesidades de componentes de hardware y software. Por ello, es
necesario tener una visión a nivel organizacional para lograr una administración consolidada a través de
la implementación de herramientas especializadas que tomen en consideración la seguridad e integridad
de la información, los mecanismos adecuados y la administración de recursos informáticos eficientes
(Flores, et al. 2012).
9.1. Acceso remoto
Para conectarse y controlar el equipo desde otro dispositivo, se puede utilizar Escritorio remoto de Microsoft (disponible para Windows, iOS, macOS y Android). Cuando se permiten las conexiones remotas
al equipo, se puede usar otro dispositivo para conectar el equipo y tener acceso a todas las aplicaciones,
archivos y recursos de red (Microsoft, 2018).
Para conectarse a un equipo remoto, ese equipo debe estar activado, tener una conexión de red y permiso para conectarse (debe encontrarte en la lista de usuarios). Antes de iniciar una conexión, es una
buena idea buscar el nombre del equipo al que se está conectando y asegurarse de que las conexiones
de Escritorio remoto estén permitidas a través del firewall (Microsoft, 2018).
Para configurar el equipo para el acceso remoto, es necesario realizar los siguientes pasos (Microsoft,
2018):
1. En el dispositivo al que quieras conectarte, selecciona Inicio y haz clic en el icono de Configuración
que está situado a la izquierda.
2. Selecciona la opción Sistema y después el elemento Escritorio remoto.
3. Utiliza el control deslizante para habilitar Escritorio remoto.
4. También se recomienda mantener el equipo activo y reconocible para facilitar las conexiones. Haz
clic en Mostrar configuración para habilitarla.
5. Según sea necesario, agrega los usuarios que pueden conectarse de forma remota; para ello, haz
clic en Seleccionar los usuarios que pueden obtener acceso remoto a este equipo. Los miembros
del grupo de administradores tienen acceso de forma automática.
3
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
9.1.1. Terminal Server
De acuerdo con López (2013), Terminal Services de Windows Server permite a los usuarios acceder a
programas Windows instalados en un servidor de terminales (desde la red corporativa e internet) o acceder
a un escritorio Windows completo.
Cuadro 1. Terminal Services
Terminal Server
Servicio que habilita un servidor para que se puedan
correr aplicaciones remotas o dar acceso al escritorio.
Los usuarios se conectan al servidor que tiene este rol
para acceder a las aplicaciones que estén instaladas en
él, guardar archivos o usar cualquiera de los recursos
de la red que estén disponibles. Los usuarios acceden
a este servidor usando Remote Desktop Connection
o programas Remote App.
TS Remote App
Son aplicaciones que se ejecutan a través de Terminal
Services, pero se comportan como si estuvieran corriendo localmente en la estación de trabajo del usuario. Para el usuario es como si la aplicación estuviera
instalada en su máquina, al igual que otra aplicación
local. Si el usuario corre varias aplicaciones del mismo
servidor de Terminal Services, todas correrán en la
misma sesión para ahorrar sesiones y lograr mayor
velocidad de acceso a las mismas.
TS Web Access
Servicio que permite acceso al servidor, desde un sitio
web (internet o intranet). También incluye el Remote Desktop Web Connection, el cual le permite a un
usuario conectarse a cualquier computadora donde
tengan acceso con Remote Desktop.
TS Licensing
Este servicio maneja las licencias de acceso de cliente (o CAL, como se le conoce en inglés) para cada
usuario o dispositivo que se conecta al servidor. Este
servicio se encarga de instalar, otorgar y monitorear
la disponibilidad de las CAL de TS en el servidor.
Para poder usar Terminal Services, se debe tener
por lo menos un servidor de licencias.
4
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
TS Gateway
Permite a usuarios remotos autorizados, conectarse a
recursos en una red corporativa o interna desde cualquier dispositivo conectado a internet que pueda correr
el Remote Desktop Connection Client. El TS Gateway
encapsula el protocolo RDP (Remote Desktop Protocolo)
dentro de RPC y éste, a su vez, dentro de HTTP sobre
una conexión de SSL, permitiendo que los usuarios se
conecten en una forma encriptada y segura desde internet.
Esta funcionalidad permite implementar acceso remoto
a Terminal Services, sin necesidad de implementar
una VPN.
TS Session Broker
Este rol mantiene el control de las sesiones cuando
se tiene configurado Terminal Services con Load Balancing. La base de datos de este servicio guarda la
información del estado de cada sesión: el ID, usuario
y el nombre del servidor donde reside cada sesión.
Esto permite que el usuario siempre sea dirigido al
servidor que tiene su sesión, evitando así crear una
nueva sesión en otro servidor de la red.
Elaborado a partir de López (2013).
9.1.2. SSH – Secure Shell
Cuadro 2. Secure Shell (SSH)
Es un protocolo utilizado para
ejecución de procesos remotos.
Definición
SSH permite:
Funciones
——
——
——
——
——
——
Iniciar sesiones en servidores remotos.
Ejecutar comandos de manera remota.
Copiar archivos entre distintos hosts.
Ejecutar aplicaciones X11, de manera remota.
Realizar túneles IP cifrados.
Brindar comunicaciones seguras (cifradas) entre el cliente
y el servidor.
5
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
Ventaja
Uso del cifrado para asegurar la transferencia segura de información entre el host y el cliente. Host se refiere al servidor
remoto al que se intenta acceder, mientras que el cliente es el
equipo que se utiliza para acceder al host.
Tecnologías de cifrado
1. Cifrado simétrico
2. Cifrado asimétrico
3. Hashing
—— Es una forma de cifrado en la que se utiliza una clave
——
——
——
Cifrado simétrico
——
——
secreta para el cifrado y el descifrado de un mensaje,
tanto por el cliente como por el host.
Cualquiera que tenga la clave puede descifrar el mensaje
que se transfiere.
El cifrado simétrico a menudo se llama clave compartida
(shared key) o cifrado secreto compartido.
Las claves simétricas se utilizan para cifrar toda la
comunicación durante una sesión SSH. Tanto el cliente
como el servidor derivan la clave secreta utilizando un
método acordado, y la clave resultante nunca se revela
a terceros. El proceso de creación de una clave simétrica
se lleva a cabo mediante un algoritmo de intercambio
de claves.
Lo que hace que este algoritmo sea particularmente
seguro es el hecho de que la clave nunca se transmite
entre el cliente y el host. En lugar de eso, los dos
equipos comparten datos públicos y luego los manipulan
para calcular de forma independiente la clave secreta.
Incluso si otra máquina captura los datos públicamente
compartidos, no será capaz de calcular la clave porque el
algoritmo de intercambio de clave no se conoce.
Debe considerarse que el token secreto es específico para
cada sesión SSH, y se genera antes de la autenticación
del cliente. Una vez generada la clave, todos los paquetes
que se mueven entre las dos máquinas deben ser cifrados
por la clave privada. Esto incluye la contraseña escrita
en la consola por el usuario, por lo que las credenciales
siempre están protegidas de los fisgones de paquetes de
red.
6
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
—— Existen varios códigos cifrados simétricos, como AES
(Advanced Encryption Standard), CAST128, Blowfish,
etc. Antes de establecer una conexión segura, el cliente y
un host deciden qué cifrado usar, publicando una lista de
cifrados soportados por orden de preferencia. El cifrado
preferido de entre los soportados por los clientes que
está presente en la lista del host se utiliza como el cifrado
bidireccional.
Cifrado simétrico
SSH CLIENT
SSH SERVER
Encrypt
Decrypt
—— Utiliza dos claves separadas para el cifrado y el descifrado:
la clave pública (public key) y la clave privada (private
key). Ambas forman el par de claves pública-privada
(public-private key pair).
SSH CLIENT
SSH SERVER
Hello!
Cifrado asimétrico
y6uW$i
Encrypt
Hello!
Decrypt
Public Key Exchange
—— La clave pública se distribuye abiertamente y se comparte
con todas las partes. La relación entre las dos claves
es altamente compleja: un mensaje cifrado por la clave
pública de una máquina sólo puede ser descifrado por
la misma clave privada de la máquina. Esta relación
unidireccional significa que la clave pública no puede
descifrar sus propios mensajes ni descifrar nada cifrado
por la clave privada.
7
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
—— La clave privada debe permanecer privada y ningún tercero
Cifrado asimétrico
debe conocerla. La fuerza de toda la conexión reside en
el hecho de que la clave privada nunca se revela, ya que
es el único componente capaz de descifrar mensajes que
fueron cifrados usando su propia clave pública.
—— El cifrado asimétrico no se utiliza para cifrar toda la
sesión SSH, sino que sólo se utiliza durante el algoritmo
de intercambio de claves de cifrado simétrico. Antes de
iniciar una conexión segura, ambas partes generan pares
de claves públicas-privadas temporales y comparten sus
respectivas claves privadas para producir la clave secreta
compartida.
—— Una vez que se ha establecido una comunicación
simétrica segura, el servidor utiliza la clave pública
de los clientes para generar y desafiar y transmitirla al
cliente para su autenticación. Si el cliente puede descifrar
correctamente el mensaje, significa que contiene la clave
privada necesaria para la conexión. Y entonces comienza
la sesión.
Elaborado a partir de Tutorial Hostinger (2019).
9.1.3. HTTPS - Hypertext Transfer Protocol Secure
El protocolo HTTPS corresponde a una implementación segura de HTTP. Utiliza SSL/TLS para crear
un túnel cifrado por donde circula información, así consigue que la información sensible (generalmente
contraseñas) no se transmita en forma natural (texto plano). Por lo tanto, si alguien llega a interceptar una
comunicación HTTPS, sólo obtendría un flujo de datos cifrados que le resultará imposible de descifrar
(Ruiz y Ulloa, 2013).
Por otro lado, el puerto estándar para este protocolo es el TCP 443.
9.2. Administración de las conexiones al servidor
Administrador del servidor es una consola de administración de Windows Server, que ayuda a los profesionales de Tecnología de Información a administrar servidores basados en Windows, tanto locales
como remotos, desde sus escritorios, sin necesidad de tener acceso físico a los servidores ni de habilitar
conexiones de protocolo de Escritorio remoto (rdP) para cada servidor (Microsoft, 2017a).
8
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
Cuadro 3. Administrador del servidor
Características
Aunque está disponible en Windows Server 2008 R2
y Windows Server 2008, Administrador del servidor
se actualizó en Windows Server 2012, para admitir la
administración remota de varios servidores y ayudar
a aumentar el número de servidores que puede administrar un administrador.
En el Administrador del servidor en Windows Server
2016, Windows Server 2012 R2 y Windows Server
2012, se pueden usar para administrar hasta 100 servidores, en función de las cargas de trabajo que los
servidores ejecuten.
Servidores que puede
administrar
El número de servidores que se pueden administrar
con una sola consola del Administrador de servidores
puede variar según la cantidad de datos que solicite
de los servidores administrados y de los recursos de
hardware y de red disponibles para el equipo que ejecuta el Administrador de servidores.
Para ayudar a aumentar el número de servidores que
se pueden administrar mediante el Administrador de
servidores, se recomienda limitar los datos de eventos que el Administrador de servidores obtiene de los
servidores administrados, utilizando la configuración
del cuadro de diálogo Configurar datos de eventos.
Elaborado a partir de Microsoft (2017a).
9.3. Instalación y ejecución de aplicaciones
Actualmente es común utilizar servicios que se encuentran en el exterior de la red, es decir, “aplicaciones
que se instalan sobre el sistema operativo y que ayudan al administrador a gestionar la red con procedimientos preestablecidos, atendiendo a los eventos que se producen mediante un sistema de alarmas”
(Ghe, 2012). Si una aplicación tiene previsto utilizar una interfaz de aplicaciones concreta, ésta debe estar
instalada para que la aplicación de usuario pueda gestionar las unidades de red remotas.
Los programas están instalados en el servidor y todos los usuarios acceden al servidor para utilizar sus
aplicaciones, por lo que se instala una única copia de las aplicaciones, lo que ahorra espacio en disco. Sin
embargo, no todas las aplicaciones permiten este modo de trabajo. Los datos de usuario pueden seguir
estando distribuidos por las estaciones clientes, aunque también pueden residir en el servidor (Ghe, 2012).
9
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
La instalación de aplicaciones distribuidas exige la colaboración del cliente y del servidor, o de varios
servidores, para completar la aplicación. Por ejemplo, una aplicación de correo electrónico consta de una
parte denominada cliente, que se instala en la estación cliente, y una parte denominada servidor, que se
instala en el servidor de correo (Ghe, 2012).
9.4. Herramientas de medición
Cuadro 4. Herramientas de medición
Herramienta PAL
Se usa para generar un informe basado en HTML que
muestra gráficamente los contadores de monitor de
rendimiento y genera alertas cuando se superan los
umbrales de estos contadores.
Monitor de rendimiento
Proporciona una presentación visual de integrados
contadores de rendimiento de Windows, en tiempo
real o como una manera de revisar los datos históricos.
Log parser
Es una herramienta eficaz y versátil que ofrece acceso
universal de consulta a datos basados en texto, tales
como archivos de registro, archivos XML y archivos
CSV, así como orígenes de datos clave en el sistema
de operativo Windows como el registro de eventos,
el registro, el sistema de archivos y activo Directory.
Volver a registrar
Se usa para extraer los contadores de rendimiento de
los registros creados por el Monitor de rendimiento y
convertir los datos en otros formatos, como archivos
de texto delimitados por tabulaciones (TSV texto),
archivos de texto delimitados por comas (CSV texto),
archivos binarios y bases de datos SQL. Estos datos
se pueden analizar y consultar mediante otras herramientas, como el analizador de registros, para generar
estadísticas de indicadores clave de rendimiento (KPI).
Pathping
Proporciona información acerca de la posible pérdida
de datos en uno o varios saltos de enrutador, en la
forma de un host de destino. Para ello, pathping envía
paquetes de protocolo de mensajes de Control de
Internet (ICMP) a cada enrutador en la ruta de acceso.
Elaborado a partir de Microsoft (2017b).
10
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
9.5. Indicadores de desempeño
Si se desea monitorear las infraestructuras para comprobar que todo funciona de modo correcto y que la
experiencia que se ofrece a los usuarios es positiva, hay una gran variedad de métricas e indicadores
que se deben controlar en un servidor (Axarnet, 2019).
Cuadro 5. Indicadores de desempeño
Métricas de control
Una de las más relevantes es la conocida como métrica
de sesión, la cual está destinada a la supervisión del
número de sesiones que se han llevado en el sistema
en un determinado periodo de tiempo.
Métricas de solicitud de
servicio
Sirven para supervisar el tiempo de procesamiento,
el volumen de las solicitudes, el tiempo de respuesta
y el estado operativo del propio servidor.
Hay cuatro grandes grupos, en función del ámbito a
examinar en cuanto a rendimiento:
1. Indicadores de rendimiento de sistemas: hay tres
que destacan: la capacidad y el estado en el que se
encuentran los discos de almacenamiento; el estado
de los interfaces de red para determinar si existe algún
problema con los mismos; y el estado y el consumo
de CPU por procesador.
Indicadores
2. Indicadores de rendimiento de bases de datos: hay
que examinar el uso que hace de la memoria global
cada una de las bases de datos. También se deben
controlar los accesos tanto de entrada como de salida a
disco, que han sido originados por las bases de datos.
3. Indicadores de rendimiento de aplicación: el factor
más relevante son los tiempos de respuesta de las
diferentes apps. Además, hay que prestar atención
a la memoria y CPU que consumen cada una de las
aplicaciones.
4. Indicadores de rendimiento de red: se debe examinar el ancho de banda para detectar cualquier posible anomalía en el funcionamiento de los sistemas.
También hay que examinar el tiempo de respuesta de
una determinada conexión entre un punto de origen
y de destino.
11
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
—— Caída del servidor: conlleva una interrupción del
Consecuencias de no
controlar un servidor
servicio. Este hecho se puede explicar por una
gran selección de factores, tanto internos como
externos:
—— Avería de hardware
—— Caída o una sobrecarga del disco duro
—— Problemas de red
—— Sabotaje externo mediante un ataque el
sistema SCADA
—— Robo de hardware
Elaborado a partir de Axarnet (2019).
9.6. Roadmap
Un RoadMap (hoja de ruta) permite planificar el desarrollo de un software: sus objetivos a corto y largo
plazo y la aproximación del tiempo en que se pueden lograr. Los desarrolladores de software los utilizan
para informar su avance presente y futuro, así como las actividades que desarrollan.
12
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10. Servicios de directorio
Un directorio es una estructura jerárquica que almacena información acerca de los objetos de la red. Por
ejemplo, Active Directory Domain Services (AD DS) proporciona los métodos para almacenar los datos
de directorio y hacer que estos datos estén disponibles para los usuarios y administradores de la red, ya
que almacena información acerca de las cuentas de usuario, como nombres, contraseñas, números de
teléfono, etc., y permite que otros usuarios autorizados de la misma red tengan acceso a esta información
(Microsoft, 2017d).
10.1. Fundamentos
Luego de nombrar a cada host, se debe registrar en algún servicio de directorio. Un directorio particular
“es el lugar físico dentro del sistema de ficheros de la red en donde el usuario puede guardar sus datos.
Al presentarse en la red, el sistema operativo le posiciona en su directorio particular o le concede acceso
al mismo” (Ghe, 2012).
En sistemas integrados con dominios o servicios de directorio, es posible crear cuentas de acceso en las
estaciones locales, o en el dominio o directorio activo. En el caso, las cuentas son válidas para todos los
ordenadores que se gestionen desde ese dominio de administración. Ésta es la situación más común
en corporaciones grandes y medianas. Por ejemplo, un operador de consola puede hacer una copia de
seguridad sobre todo un disco, pero puede tener restringido el acceso a determinados directorios de
usuarios porque se lo niega un permiso sobre esos directorios (Ghe, 2012).
10.1.1. NDS - NetWare Directory Service
Los dominios, unidades organizativas, usuarios, grupos de usuarios, computadoras y otros elementos
de red se almacenan como objetos en los Servicios de dominio de Active Directory. En Windows 2000 y
versiones posteriores de Windows, aún se agregan usuarios, grupos de usuarios y computadoras a un
dominio. Sin embargo, actualmente se pueden añadir estos objetos a un contenedor de unidad organizativa o cualquier otro tipo de contenedor que el objeto define en su classSchema (Microsoft, 2017d).
13
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10.1.2. Active Director
Cuadro 6. Active Director
Funciones
Almacena información acerca de los objetos de una red
y facilita su búsqueda y uso por parte de los usuarios
y administradores.
Seguridad
A través de la autenticación de inicio de sesión y el
control de acceso a los objetos del directorio. Con
un único inicio de sesión de red, los administradores
pueden administrar los datos de directorio y la organización a través de su red, y los usuarios de red
autorizados pueden tener acceso a los recursos en
cualquier parte de la red.
—— Esquema que define las clases de objetos y
Componentes
atributos incluidos en el directorio, las restricciones
y los límites de las instancias de estos objetos y el
formato de sus nombres.
—— Catálogo global que contiene información sobre
todos los objetos del directorio. Esto permite a los
usuarios y administradores buscar información de
directorio, independientemente del dominio del
directorio que contenga realmente los datos.
—— Un mecanismo de consulta e índice, de modo
que los usuarios o las aplicaciones de red puedan
publicar y encontrar los objetos y sus propiedades.
—— Un servicio de replicación que distribuye los
datos de directorio a través de una red. Todos los
controladores de dominio de un dominio participan
en la replicación y contienen una copia completa
de toda la información de directorio de su dominio.
Cualquier cambio en los datos del directorio se
replica en todos los controladores de dominio del
dominio.
Elaborado a partir de Microsoft (2017d).
14
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10.1.3. LDAP – Lightweight Directory Access Protocol
El LDPA (del inglés Lightweight Directory Access Protocol) significa Protocolo Ligero/Simplificado de Acceso a Directorios y se refiere a un “protocolo a nivel de aplicación que permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa información en un entorno de red” (Viteri et. al., 2016).
Cuadro 7. LDAP
Se puede utilizar como una libreta de direcciones que
proporciona información sobre un conjunto de entidades
como personas u organizaciones, y brinda servicios
para acceder a esa información.
Funciones
Su principal función es ser leído, con poca frecuencia
puede ser escrito, pero también se pueden realizar
procesos de actualización o modificación. Por lo tanto,
muchas de las tecnologías que utilizan LDAP están
orientadas hacia la lectura y consulta de la información.
Información
Un registro en un directorio LDAP contiene información
acerca de una unidad específica, aunque el objetivo
exacto de esa unidad está especificado.
Modelo
Utiliza el modelo cliente/servidor, donde se mantienen
los datos que conforman el árbol de directorios; el
cliente se conecta al servidor, hace una consulta y el
servidor contesta con una respuesta o una premisa de
la que el cliente puede hallar más información.
Diferencias con DBMS
(Database Management
System)
Los DBMS reciben cientos o miles de órdenes de actualización, ingreso o eliminación de información por
segundo; mientras que un servidor LDAP es usado
para peticiones de consultas y para ejecutar órdenes
de actualización y eliminación, pero en muy pocas
ocasiones, porque no está diseñado para eso.
Elaborado a partir de Viteri et al. (2016).
15
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10.2. Creación de unidades organizativas, cuentas de usuario y
cuentas de equipo
La gestión de usuarios se ha basado en roles de acuerdo con la asignación de permisos; según Flores et
al. (2012), los roles identificados para esta gestión son los siguientes:
—— Administrador. Este usuario es independiente del root, posee permisos necesarios sobre los
archivos y programas para realizar funciones críticas; debido al nivel de privilegios otorgados, no es
conveniente que todos los programas sean ejecutados o asociados a este usuario.
—— Usuario de acceso. Dispone de acceso remoto para escalar hacia cuentas de usuario sin acceso
remoto, pero con mayores privilegios. Su rango de operación se limita a su propio directorio.
—— Usuario de servicios. Controla las funciones del servicio asignado, dando orden a las actividades
administrativas.
—— Usuarios jaula. Permite que los usuarios que requieran un servicio web, en desarrollo o en
producción, y puedan realizar modificaciones en su propio directorio, mediante el uso del protocolo
SFTP.
10.2.1. Creación y modificación de grupos
Las cuentas de grupo o grupos facilitan las tareas de administración de red y el uso de los servicios o
recursos, además ayudan a organizar coherentemente el acceso a la red. Una cuenta de grupo es una
colección de cuentas de usuario. Cuando un usuario pertenece a un grupo, se le asignan automáticamente
todas las propiedades, derechos, características, permisos y privilegios de ese grupo. En este sentido,
las cuentas de grupo proporcionan una forma sencilla de configurar los servicios de red, para un conjunto
de usuarios de características similares (Ghe, 2012).
10.2.2. Estrategias para el uso de grupos
De acuerdo con Microsoft (2016), al formar grupos se buscan los siguientes propósitos:
—— Definir como ámbito de las invalidaciones un subconjunto específico de equipos.
—— Definir como ámbito de notificaciones de alerta o suscripciones de conector de productos un conjunto
específico de equipos.
—— Definir el ámbito de las consolas de usuario, de modo que el rol de usuario vea únicamente los
servidores de los que es responsable.
—— Definir el ámbito de un conjunto de equipos que deben entrar en un modo de mantenimiento
programado.
—— Definir el ámbito de vistas de aplicación únicamente para los equipos que hospedan una aplicación
determinada.
16
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
—— Crear una vista de estado de mantenimiento de acumulación de un conjunto de equipos que, de
otro modo, no estarían relacionados.
—— Crear un conjunto de equipos para un informe.
10.2.3. Uso de permisos para controlar el acceso a los objetos de servicio
de directorio
Cuadro 8. Control de acceso
Una vez que se ha identificado a cada usuario con
acceso a la red, se pueden arbitrar sus derechos de
acceso.
—— El administrador debe determinar el uso de
Derechos de acceso
cada recurso de la red o las operaciones que
cada usuario puede realizar en cada estación
de trabajo. Por ejemplo: forzar el apagado de
otro equipo remotamente, reiniciar un equipo,
cambiar la hora del sistema, etcétera.
—— Cada recurso, servicio o utilidad tiene una
información asociada que le indica quién puede
utilizarlos o ejecutarlos y quién carece de
privilegios sobre ellos.
—— Un derecho autoriza a un usuario o a un grupo
Los derechos son diferentes de los permisos
de usuarios a realizar determinadas operaciones
sobre un servidor o estación de trabajo.
—— Un permiso o privilegio es una marca asociada
a cada recurso de red: ficheros, directorios,
impresoras, etc., que regulan qué usuario tiene
acceso y de qué manera.
Elaborado a partir de Ghe (2012).
17
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10.2.4.Mover objetos de servicio de directorio
De acuerdo con Muñoz (2009), el Directorio Activo es una base de datos jerárquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores. En general, en todas las
versiones de Windows Server, la gestión de un dominio puede realizarse de forma centralizada desde
cualquier equipo que pertenezca al dominio, ya que sólo es necesario administrar en sí mismo el Directorio
Activo; es decir, “crear, gestionar y configurar adecuadamente los objetos del directorio que representan
a las entidades o recursos que existen en el dominio (recursos como usuarios, grupos, equipos, etc.)”.
10.2.5. Administrar el acceso a los objetos de unidades organizativas
El esquema de funcionamiento de los servidores, a nivel operativo, se basa en el modelo cliente-servidor.
La información se encuentra centralizada en los servidores y los usuarios acceden a tales contenidos,
comunicándose por medio de una red (Flores et al., 2012).
Cuadro 9. Administrar el acceso
—— Planeación. Realizar planteamientos referentes
Principios
administrativos
a expectativas de funciones organizacionales y
acciones a futuro.
—— Organización. Tomar los objetivos generados
en el proceso de planeación y distribuir las
actividades según se considere necesario, para
cumplir el propósito establecido.
—— Ejecución. Poner en marcha las propuestas
establecidas en la planeación y la organización.
—— Control. Regular las actividades ejecutadas para
que se encuentren dentro del marco operacional
establecido en la organización.
Si se aplican estos principios, es posible generar un ciclo administrativo que propicie un
entorno de trabajo de optimización continua, en el que las diferentes actividades organizacionales se realicen de manera eficaz y eficiente.
Elaborado a partir de Flores et al. (2012).
18
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10.3. Implementación de la estructura de una unidad organizativa
Muñoz (2009) define la unidad organizativa (UO) como la unidad jerárquica inferior al dominio, que puede
estar compuesta por una serie de objetos y/o por otras UO. Las unidades organizativas son contenedores
del Directorio Activo.
10.3.1. Creación y administración de unidades organizativas
Las UO también son objetos del directorio que a su vez pueden contener otros objetos. El uso fundamental
de las UO es delegar la administración de sus objetos a otros usuarios distintos del administrador del dominio y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas.
Las UO son contenedores de Active Directory, en los que se pueden colocar usuarios, grupos, equipos y
otras unidades organizativas (Muñoz, 2009).
10.3.2. Planeamiento de la estrategia de una unidad organizativa
Cuadro 10. Unidades organizativas (UO)
Estructura
—— Diagrama de la jerarquía de la UO
—— Una lista de UO
—— Para cada UO:
—— El propósito
—— Una lista de usuarios o grupos que tienen
control sobre la UO o los objetos de la UO
—— El tipo de control que los usuarios y grupos
tienen sobre los objetos de la UO
Jerarquía
No es necesario que la jerarquía de la UO refleje la
jerarquía departamental de la organización o el grupo.
Fines
Las UO se crean para un fin específico, como la delegación de la administración, la aplicación de directiva
de grupo o para limitar la visibilidad de los objetos.
19
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
—— Se puede diseñar la estructura de la UO para
Diseño
delegar la administración a individuos o grupos
de la organización que requieran la autonomía de
administrar sus propios recursos y datos.
—— Se puede refinar la estructura de la UO mediante la
creación de subárboles de unidades organizativas
para fines específicos, como la aplicación de
directiva de grupo o para limitar la visibilidad de
los objetos protegidos para que solo determinados
usuarios puedan verlos.
—— Aunque no hay ningún límite técnico en cuanto al
——
——
Consideraciones
——
——
número de niveles de la estructura de la UO, se
recomienda limitar la estructura a una profundidad
de no más de 10 niveles.
No hay ningún límite técnico para el número de
unidades organizativas en cada nivel.
Se debe considerar que las aplicaciones habilitadas
para Active Directory Domain Services (AD DS)
pueden tener restricciones en el número de
caracteres usados en el nombre distintivo (es decir,
la ruta de acceso del Protocolo ligero de acceso a
directorios (LDAP) al objeto en el directorio) o en la
profundidad de la UO dentro de la jerarquía.
La estructura de la UO de AD DS no está pensada
para ser visible para los usuarios finales. Es una
herramienta administrativa para los administradores
de servicios y para los administradores de datos, y
es fácil de cambiar.
Se debe continuar revisando y actualizando el
diseño de la estructura de la UO, para reflejar los
cambios en la estructura administrativa y para
admitir la administración basada en directivas.
Elaborado a partir de Microsoft (2017e).
20
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
10.3.3. Delegación del control administrativo para unidades organizativas
De acuerdo con Microsoft (2017c), las UO de cuenta contienen objetos de usuario, grupo y equipo,
mientras que las UO de recursos contienen recursos y las cuentas que son responsables de administrar
esos recursos. El propietario del bosque es responsable de crear una estructura de UO para administrar
estos objetos y recursos, así como para delegar el control de esa estructura en el propietario de la UO.
Unidades organizativas de cuentas
Delegar una estructura de UO de cuentas en administradores de datos sirve para crear y modificar objetos
de usuario, grupo y equipo. La estructura de la UO cuenta es un subárbol de unidades organizativas para
cada tipo de cuenta que se debe controlar de forma independiente. Por ejemplo, el propietario de la UO
puede delegar el control específico a varios administradores de datos, a través de UO secundarias en
una UO de cuentas para usuarios, equipos, grupos y cuentas de servicio (Microsoft, 2017c).
En la figura siguiente se muestra un ejemplo de una estructura de UO de cuentas.
Figura 1. Estructura de unidad organizativa de cuentas
Dominio de
la compañía
Administradores
Computadoras
Controladores de dominio
Usuarios
<acct_OU1>
Cuentas de servidor
Administradores
Usuarios
Grupos
Computadoras
Fuente: Microsoft (2017c).
21
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
En el siguiente cuadro se enumeran y describen las posibles UO secundarias que se pueden crear en
una estructura de UO de cuentas.
Cuadro 11. Unidades organizativas secundarias
UO
Usuarios
Finalidad
Contiene cuentas de usuario para personal no administrativo.
Algunos servicios que requieren acceso a los recursos
de red se ejecutan como cuentas de usuario.
Cuentas de servicio
Esta unidad organizativa se crea para separar las cuentas de usuario de servicio, de las cuentas de usuario
contenidas en la unidad organizativa usuarios. Además, la colocación de los distintos tipos de cuentas
de usuario en unidades organizativas independientes
permite administrarlas de acuerdo con sus requisitos
administrativos específicos.
Equipos
Contiene cuentas para equipos que no son controladores de dominio.
Grupos
Contiene grupos de todos los tipos, excepto los grupos
administrativos, que se administran por separado.
Contiene cuentas de usuario y de grupo para los administradores de datos de la estructura de la unidad
organizativa de cuentas, para permitir que se administren de forma independiente de los usuarios normales.
Administradores
Se puede habilitar la auditoría de esta unidad organizativa, para que pueda realizar un seguimiento de
los cambios en los usuarios y grupos administrativos.
Fuente: Microsoft (2017c).
22
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
A los grupos que administran las unidades organizativas secundarias sólo se les concede control total
sobre la clase específica de objetos que son responsables de la administración. Los tipos de grupos que se
usan para delegar el control dentro de una estructura de UO se basan en el lugar en el que se encuentran
las cuenta, en relación con la estructura de la UO que se va a administrar Microsoft (2017c).
Si todas las cuentas de usuario administrador y la estructura de la UO existen en un solo dominio, los
grupos que se creen para usar para la delegación deben ser grupos globales. Si la organización tiene un
departamento que administra sus propias cuentas de usuario y existe en más de una región geográfica,
es posible que haya un grupo de administradores de datos que sean responsables de administrar las UO
de la cuenta en más de un dominio. Si todas las cuentas de los administradores de datos existen en un
solo dominio y hay estructuras de UO en varios dominios en los que es necesario delegar el control, se
debe hacer que dichas cuentas administrativas sean miembros de grupos globales y delegar el control de
las estructuras de las UO en cada una de ellas. Si las cuentas de administradores de datos en las que se
delega el control de una estructura de UO proceden de varios dominios, se debe usar un grupo universal,
que puede contener usuarios de distintos dominios (Microsoft, 2017c).
Unidades organizativas de recursos
Las UO de recursos se usan para administrar el acceso a los recursos. El propietario crea cuentas de
equipo para los servidores que están unidos al dominio, las cuales incluyen recursos como recursos
compartidos de archivos, bases de datos e impresoras. El propietario también crea grupos para controlar
el acceso a esos recursos (Microsoft, 2017c).
En la figura siguiente se muestran las dos ubicaciones posibles para la UO de recursos.
Figura 2. Unidad organizativa de recursos
Dominio de
la compañía
Administradores
Computadoras
Controladores de dominio
Usuarios
<acct_OU1>
Cuentas de servidor
<res_OU1>
Usuarios y Grupos
<res_OU2>
Computadoras
Fuente: Microsoft (2017c).
23
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
Cuadro 12. Unidades organizativas (UO) de recursos
Ubicación
La UO de recursos se puede encontrar en la raíz del
dominio o como una UO secundaria de la UO de la
cuenta correspondiente en la jerarquía administrativa
de la UO.
Descripción
No tienen UO secundarias estándar. Los equipos y
grupos se colocan directamente en la UO de recursos.
El propietario posee los objetos dentro de la UO, pero
no posee el propio contenedor de ésta.
Los propietarios de las UO de recursos sólo administran objetos de equipo y grupo; no pueden crear otras
clases de objetos dentro de la UO y no pueden crear
UO secundarias.
Propietarios
El creador o propietario de un objeto tiene la capacidad
de establecer la lista de control de acceso (ACL) en
el objeto, independientemente de los permisos que
se heredan del contenedor principal. Si el propietario
de una UO de recursos puede restablecer la ACL en
una UO, puede crear cualquier clase de objeto. Por
esta razón, no se permite a los propietarios de la OU
de recursos crear UO.
Fuente: Microsoft (2017c).
24
ADMINISTRACIÓN DE SISTEMAS OPERATIVOS
En la siguiente figura se muestra el diseño de grupo administrativo de una UO de recursos.
Figura 3. Diseño de grupo administrativo de una unidad organizativa de recursos
Dominio de
la compañía
Administradores
Computadoras
Controladores de dominio
Usuarios
<acct_OU1>
Cuentas de servidor
<res_OU1>
Grupo administrativo
responsable por
la gestión de cada
unidad organizativa
de recursos
<res_OU1>_usuario_adminis
Usuarios y Grupos
Tipo de
Control
Tipo de
Objeto
Control Objetos de
computadora
total
Objetos
de grupo
Computadoras
<res_OU2>
<res_OU1>_usuario_adminis
Control Objetos de
computadora
total
Objetos
de grupo
Nota: los grupos administrativos de recursos son creados y almacenados en sus correspondientes unidades organizativas de recursos
Fuente: Microsoft (2017c).
Colocar las cuentas de equipo en una UO de recursos proporciona al propietario de la UO el control sobre
los objetos de cuenta, pero no hace que sea administrador de los equipos. Por su parte, en un dominio
de Active Directory, el grupo Admins. del dominio, de forma predeterminada, se coloca en el grupo de
administradores locales en todos los equipos. Es decir, los administradores de servicios tienen control
sobre esos equipos. Si los propietarios de las UO de recursos requieren un control administrativo sobre
los equipos de sus UO, pueden aplicar una directiva de grupos restringidos para convertirse en miembros
del grupo de administradores, en los equipos de esa UO (Microsoft, 2017c).
25
REFERENCIAS
Axarnet. (2019). Métricas e indicadores a controlar en un servidor. Recuperado de
Florez, M., Barbosa, A. y Muñoz, E. (2012). Modelo administrativo para gestión de servidores Linux,
implementando mecanismos de seguridad y tecnologías de software libre orientadas a la alta disponibilidad. Revista UIS Ingenierías, 11 (2), pp. 227-236. Recuperado de
Ghe Voinea, J. (2012). Unidad 7. Administración y gestión de una red de área local. En Redes de Comunicaciones. Almería: Faired. Recuperado de
López, F. (2013). Montaje Servidor Windows Server 2008 R2 y Active Directory. Recuperado de
Microsoft. (2016). Creación y administración de grupos. Recuperado de
Microsoft. (2017a). Administrar varios servidores remotos con Administrador del servidor. Recuperado de
Microsoft (2017b). Apéndice D: Herramientas para medir el rendimiento. Recuperado de
Microsoft (2017c). Delegar la administración de unidades organizativas de cuentas y unidades organizativas de recursos. Recuperado de
Microsoft. (2017d). Introducción a Active Directory Domain Services. Recuperado de
Microsoft (2017e). Revisar los conceptos de diseño de unidad organizativa. Recuperado de
Microsoft. (2018). Escritorio remoto: permitir el acceso al equipo. Recuperado de
Muñoz, J. (2009). Unidad 2. Controladores de dominios en redes Windows. En Sistemas Operativos en
Red. Madrid: McGraw Hill. Recuperado de
26
REFERENCIAS
Ruiz, M., y Ulloa, C. (2013). Análisis de comunicaciones y protocolos TCP/IP utilizando herramientas de
software para la captura de paquetes. Recuperado de
Tutorial Hostinger. (2019). ¿Cómo funciona el SSH? Recuperado de
Viteri, J., Valero, M. y León, A. (2016). Gestión de Usuarios Con LDAP (Lightweight Directory Access Protocol) para el Acceso a los Servicios Tecnológicos y a la Información en las Empresas. Journal of Science
and Research: Revista Ciencia e Investigación, 1(CITT2016), pp. 10-15. Recuperado de
27
Documentos relacionados
Qué es la encriptación de archivos
Qué es la encriptación de archivos
Paint (originalmente Paintbrush) es un programa simple de dibujo
Paint (originalmente Paintbrush) es un programa simple de dibujo
Guía de Formación Microsoft Windows Vista
Guía de Formación Microsoft Windows Vista
Nueva ventana:Evaluación de riesgos. Adopción de medidas preventivas (pdf, 20 Kbytes)
Nueva ventana:Evaluación de riesgos. Adopción de medidas preventivas (pdf, 20 Kbytes)
¿Son naturales los monopolios en la Nueva Economía?
¿Son naturales los monopolios en la Nueva Economía?
CONSULTOR: SISTEMAS WINDOWS Y SOLUCIONES MICROSOFT
CONSULTOR: SISTEMAS WINDOWS Y SOLUCIONES MICROSOFT
Específicaciones - Informática Comercial
Específicaciones - Informática Comercial
programas instalados en el aula - curso 2015-2016
programas instalados en el aula - curso 2015-2016
1. Introducción a Internet
1. Introducción a Internet
Declaración de Responsabilidad
Declaración de Responsabilidad
Descargar
Anuncio
Anuncio