Portafolio de evidencias unidad 2

taller de sistemas operativos Mendoza Sánchez Juan

Hora: 12:00-13:00 hrs

Software propietario. Se refiere a cualquier programa informático en

el que los usuarios tienen limitadas las posibilidades de usarlo,

modificarlo o redistribuirlo (con o sin modificaciones), o cuyo código

fuente no está disponible o el acceso a éste se encuentra restringido

2.1.- Características del software propietario

Para la Fundación para el Software Libre (FSF) este concepto se aplica

a cualquier software que no es libre o que sólo lo es parcialmente, sea

porque su uso, redistribución o modificación está prohibida, o requiere

permiso expreso del titular del software.

Definición: Cualquier programa informático en el que el usuario tiene

limitaciones para usarlo, modificarlo o redistribuirlo (esto último con

o sin modificaciones).

Para la Fundación para el Software Libre (FSF) este concepto se aplica

a cualquier software que no es libre o que sólo lo es parcialmente

(semilibre), sea porque su uso, redistribución o modificación está

prohibida, o requiere permiso expreso del titular del software.

Características:

-Facilidad de adquisición (puede venir preinstalado con la compra del

pc, o encontrarlo fácilmente en las tiendas).

- Existencia de programas diseñados específicamente para desarrollar

una tarea.

- Las empresas que desarrollan este tipo de software son por lo general

grandes y pueden dedicar muchos recursos, sobretodo económicos, en el

desarrollo e investigación.

- Interfaces gráficas mejor diseñadas.

- Más compatibilidad en el terreno de multimedia y juegos.

- Mayor compatibilidad con el hardware.

- No existen aplicaciones para todas las plataformas (Windows y Mac

OS).

- Imposibilidad de copia.

- Imposibilidad de modifación.

- Restricciones en el uso (marcadas por la licencia).

- Imposibilidad de redistribución.

- Por lo general suelen ser menos seguras.

- El coste de las aplicaciones es mayor.

- El soporte de la aplicación es exclusivo del propietario.

- El usuario que adquiere software propietario depende al 100% de la

empresa propietaria.

2.2.- Características de instalación para servidores

2.2.1.- Instalación

Instalar Windows Server 2008 se ha vuelto bastante sencillo,

siguiendo los pasos siguientes vamos a comentar algunos aspectos:

El primer paso es escoger configuraciones como idioma, país, moneda, …

El segundo paso es el tema de la clave de licencia, si no introducimos

ninguna clave se nos abre la ventana 3 en la cual podemos escoger qué

edición de Windows Server 2008queremos instalar. Hay que tener en cuenta

que la versión a instalar tiene que corresponder con la posterior

entrada de la licencia. El tercer paso corresponde a la ventana 4, donde

si estamos instalando el Windows Server 2008 sobre otro sistema

operativo, entonces tendremos las dos opciones habilitadas (Updgrade o

Custom), si por el contrario es una nueva instalación sólo tendremos

habilitado la opción de Custom. El cuarto paso es instalar el sistema,

tener paciencia y todo habrá acabado una vez reiniciado el ordenador.

Una vez reiniciado la máquina se nos presenta la ventana para

identificarnos, durante el proceso de instalación hemos tenido que

configurar estos datos. Cuando estamos identificados se nos abre el

componente Initial Configuration Tasks, una de las mejoras que lleva

el Windows Server 2008.

Windows Initial Configuration Tasks

En esta ventana podemos configurar todos aquellos aspectos que nos

quedan pendientes como: networking, computer name and domain, updating,

y más.

Es extremadamente aconsejable que el primer paso a realizar sea la

actualización del Windows Server 2008 para instalar las mejoras, se

debe de clicar en el botón “Download and instal updates”.

El mismo libro aconseja a los usuarios de fortalecer sus defensas

delante intrusos como virus, troyanos, malwares, gusanos,… mediante la

compra de un firewall (marcas como Juniper y D-LINK tienen estos

productos a un precio muy económico).

Entendiendo el product activation

Vamos a intentar explicar con un poco más de detalle cómo se gestiona

la activación del producto en Windows Server 2008.

La activación del producto es un sistema antipiratería, como muy bien

sabréis todos. En esencia, cuando se instala un Windows Server 2008 en

una máquina con una licencia concreta, es creada una clave hash única

para cada instalación que sale de un algoritmo secreto de Windows pero

que se basa en datos del hardware de la máquina y en la licencia del

software. Este hash es enviado a Microsoft para que lo valide y active

el producto. La activación de la licencia podría dar error en dos casos:

se está instalando 1 licencia en varios ordenadores o bien ha habido un

cambio en el hardware del ordenador que implique un cambio en el hash

de activación.

Igual que en la mayoría de productos Microsoft, se tiene un periodo de

gracia de 30 días para activar la licencia, si transcurre este tiempo

y no se ha activado el producto, éste no nos permitirá la entrada al

sistema una vez nos loguemos en el ordenador.

Existen dos tipos de licenciamiento para Windows Server 2008: una

licencia para una máquina (parecido a OEM pero con algunos matices) y

licencias distribuidas. Este último tipo de licenciamiento se gestiona

con la herramienta Volume Activation 2.0 permitiendo activar máquinas

individuales en una red con una licencia gestionada centralmente. Esta

gestión de red se hace con la herramienta Key Management Service (KMS).

Una vez entendido el proceso, a”grosso modo”, de instalación de Windows

Server 2008, vamos a hablar de cómo realizar el despliegue. En este

apartado vamos a hablar de:

- Windows Imaging format

- Windows PE

- Windows Deployment Services

Windows Imaging Format (WIM)

Windows Vista fue el primero en introducir el Windows Imaging Format,

una manera de crear imágenes de sistemas operativos con un formato de

hardware independiente. WIM permite la creación de múltiple imágenes en

un fichero WIM. La principal mejora de los formatos WIM es la habilidad

de editar imágenes offline usando herramientas externas de gestión como

Internet Explorer, se pueden añadir ficheros y carpetas a la imagen, y

realizar muchas más gestiones complejas. Lo mejor de todo es que para

cada cambio no es necesario crear una imagen nueva.

Windows PE (Windows Pre Environment)

Windows PE es un entorno de ejecución diseñado como asistente para la

instalación de sistemas operativos. Este nuevo formato es mucho más

visual y sencillo de usar, y contiene muchas herramientas adicionales

para configurar.

Windows Deployment Services (WDS)

Es la evolución de la herramienta Remote Installation Services (RIS),

que permite gestionar la instalación de sistemas operativos a través de

la red. Los principales cambios entre Windows Deployment Services y el

antiguo RIS son:

- La habilidad de desplegar Windows Vista y Windows Server

2008 frente la simpleza de sistemas operativos antiguos.

- Windows PE puede ser usado como sistema operativo de arranque

- Soporte para despliegues de WIM

- Transmitir datos e imágenes usando la función multicast, de

forma más escalable y eficiente

- Mejoras en PXE server (Preboot Executation Environment)

- Nuevo formato del menú de arranque, fácil de usar y fácil de

configurar

- Una consola que ayuda a gestionar el WDS servers en tu red

Siguiendo con el tema de WDS, existen 2 tipos de WDS server que se

pueden crear: un transport server y un deployment server. El transport

server sólo ofrece los servicios de networking del núcleo, no ofrece

todas las funcionalidades de WDS. El deployment server ofrece todo el

WDS, incluyendo el transport server components.

Los principales requerimientos para poder instalar Windows Deployment

Services son:

- Tener una máquina con Windows Server 2008 dentro de un

dominio

- Tener DHCP funcionando en la red

- Tener una arquitectura DNS correcta

- Tener una partición de disco en formato NTFS

- Tener una cuenta de usuario que sea usuario del dominio y

usuario administrador en el servidor que corra WDS

Para poder instalar WDS sólo se tiene que ir a “Server Manager” clicar

en “Add Roles” y seleccionar Windows Deployment Services.

Para poder configurar el WDS existe una línea de comandos llamada

WDSUTIL y un componente gráfico que a continuación mostraremos los pasos

de configuración:

En el primer paso seleccionamos de la lista de roles WDS para instalarlo.

El segundo paso se nos muestra una explicación de WDS, le damos a

siguiente. El tercer paso es seleccionar qué tipo de rol de WDS queremos

instalar, como hemos explicado antes la mejor opción es marcar los dos.

El cuarto paso se abre la ventana de Wizard para instalar el WDS, que

nos guiará con los siguientes pasos:

El quinto paso es seleccionar la localización de la carpeta donde

guardaremos la imagen que vamos a distribuir a los clientes. Recordar

que esta carpeta debe de estar en una partición con formato NTFS,

también se recomienda que esta partición no contenga ficheros de windows

para un mejor funcionamiento. El sexto paso es configurar el PXE Server,

en este paso se nos pregunta cómo queremos gestionar las peticiones de

nuevos ordenadores en el Active Directory. En este ejemplo no se

responde a ningún cliente de forma automática, se gestionará

manualmente. El séptimo paso se nos indica que todo ha ido bien y que

queremos añadir imágenes al WDS. En el séptimo paso debemos añadir las

imágenes de arranque, ya sean las creadas con PXE y gestionada con

Windows PE o bien imágenes desde dispositivos como CD o DVD. Debemos

navegar por las carpetas hasta seleccionar la imagen, clicamos con botón

derecho sobre la carpeta y seleccionamos ADD BOOT IMAGE. Seleccionamos

un nombre para la imagen y la cargamos en el WDS Server, en la carpeta

compartida, listo ya para desplegar esta imagen en la red.

2.2.2 .- Configuración En esta demostración de configuración de Server procederemos a hacer

las configuraciones típicas iniciales dejando la posibilidad de seguir

administrando a través de interfaz gráfica.

A los efectos demostrativos, cuento con la instalación de un Windows

Server 2008 como controlador de dominio y un Server Core ya instalado

el cual será configurado como servidor miembro en el dominio.

El controlador de dominio tiene la siguiente configuración:

· Sistema Operativo: Windows Server 2008 – Enterprise Edition –

x86

· Dirección IP / Máscara de subred: 192.168.1.200 / 24

· Nombre de dominio: Contoso.msft

· Nombre del equipo: DC1.contoso.msft

Voy a presuponer es que recién lo hemos instalado y solamente hemos

puesto una contraseña a la cuenta Administrador, y por lo tanto hemos

iniciado sesión.

Lo único a tener en cuenta es que como es normal en Windows 2008, la

contraseña debe tener por los menos siete caracteres, no incluir parte

o nombre del propio usuario y contener tres clases de caracteres (entre

mayúsculas, minúsculas, números y símbolos).

¿Y ahora? Hay que reconocerlo muchos administradores de red actualmente

no están acostumbrados a manejarse a través de la línea de comandos, y

por las dudas para el que todavía no lo tenga claro, eso NO es DOS J

La configuración inicial de Core Server es un equipo con un nombre

generado aleatoriamente, configuración de TCP/IP a través de DHCP, y

como si fuera poco con el Firewall activo. Podemos ver esto ejecutando:

IPCONFIG /ALL

Configuración de Red

En nuestro caso asignaré los siguientes parámetros:

Dirección IP: 192.168.1.101

Máscara de Subred: 255.255.255.0

DNS Server: 192.168.1.200

Puerta de Enlace: 192.168.1.1

Para esto ejecutaremos:

NETSH INTERFACE IPV4 SET ADDRESS NAME=”Local Area Connection”

SOURCE=STATIC 192.168.1.101 255.255.255.0 192.168.1.1

NETSH INTERFACE IPV4 ADD DNSSERVER NAME=”Local Area Connection”

ADDRESS=192.168.1.200

También lo podemos verificar con:

NETSH INTERFACE IPV4 SHOW CONFIG

Configuración de Nombre de Máquina

En este ejemplo, renombraré el equipo con el nombre: CS-01

NETDOM RENAMECOMPUTER %COMPUTERNAME% /NEWNAME:CS-01

Se observa que estoy aprovechando el uso de la variable de entorno

%computername% para no tener que ingresar el nombre generado por la

instalación

Para que el cambio surta efecto debemos reiniciar la máquina. Aunque se

puede hacer pulsando CTRL+ALT+DEL y eligiendo reiniciar, para ir

familiarizándonos con el intérprete de comandos lo haré con:

SHUTDWON /R /T 0

Configuración de Formato de Fecha y Hora

Esto lo haremos con:

CONTROL INTL.CPL

Configuración de Zona Horaria

Esto lo haremos con:

CONTROL TIMEDATE.CPL

Configuración de Windows Update

Para configurar Windows Update debemos ejecutar un script que está en

\Windows\System32 así que opté por cambiarme a dicha carpeta con:

CD \WINDOWS\SYSTEM32

Y ejecutamos el script con:

CSCRIPT SCREGEDIT.WSF /AU 4

Con “/AU 1” se deshabilitan

Con esto podemos tener algún problema si para salir a Internet es

obligatorio configurar la dirección de un Proxy.

Podemos solucionarlo, por lo menos en parte, ya que se puede asignar

una dirección de Proxy, lo que no se puede es usar autenticación.

Para asignar un proxy ejecutaremos:

NETSH WINHTTP SET PROXY <proxyserver:port>

Activación de la Instalación

Como en todas las instalaciones de Windows Server 2008 disponemos

inicialmente de un período de gracia para usar la instalación sin

introducir la Clave de Activación y sin activarlo.

Para ver y configurar estas opciones se utiliza el script SLMGR.VBS que

si lo ejecutamos sin parámetros nos mostrará todas las opciones

disponibles

Verificamos con: SLMGR.VBS -dlv o SLMGR.VBS

-xpr

Introducimos la clave con: SLMGR.VBS –ipk <product-key>

Y activamos con: SLMGR.VBS -ato

Para prolongar la evaluación: SLMGR.VBS -rearm

Unir la Máquina al Dominio

Para esto debemos ejecutar:

NETDOM JOIN CS-01 /DOMAIN:CONTOSO.MSFT /USERD:ADMINISTRATOR

/PASSWORDD:*

Y reiniciamos la máquina

Editar Archivos de Texto

El Notepad existe!!!

Modificando el Registro

Y también podemos modificar el Registro en forma gráfica, para todos

los “trucos” que conozcamos

Para los que Desean Investigar

Para todo aquel que conozca y le guste ver qué se puede hacer desde

línea de comando le sugiero moverse a la carpeta Windows y usando el

conocido DIR, ver qué encuentran en busca de ejecutables y scripts. Por

ejemplo:

DIR *.EXE /S /P

Configuración para Administración Gráfica-Remota

Como primera opción permitiremos la administración remota del Firewall

(Cortafuegos) y luego la administración remota con Consola (MMC.EXE) ya

que ambas serán necesarias ahora o a futuro.

De todas formas, como comenté algunas cosas las tendremos que hacer

desde línea de comandos, como por ejemplo Agregar/Quitar Roles y

Features, o promocionarlo a Controlador de Dominio.

Permitir Administración Remota del Firewall (Cortafuegos)

Para permitir la administración remota desde interfaz gráfica del

Firewall debemos ejecutar:

NETSH ADVFIREWALL SET CURRENTPROFILE SETTINGS RemoteManagement ENABLE

Permitir Administración Remota Mediante Consolas

Para administración remota con consolas MMC, utilizamos:

NETSH ADVFIREWALL FIREWALL SET RULE GROUP=”Remote Administration” NEW

ENABLE=YES

Administración Remota y Gráfica

Desde otra máquina del dominio he creado una consola MMC cargando dos

Snap-In típicos, el que permite administración del Firewall y la

administración de la máquina. Se pueden cargar los complementos que

crean más convenientes para su situación.

Agregar/Quitar Roles y Features

Aunque tengamos la administración remota por consola MMC habilitada,

aún hay configuraciones que se deben hacer desde línea de comandos.

Entre otras, lo que sea agregar o quitar Roles y Features lo debemos

hacer por línea de comandos.

Un comando que nos resultará particularmente útil, aunque ahora no lo

parezca es poder listar los Roles y Features instalados o no. Lo podemos

hacer simplemente con:

OCLIST

Para agregar componentes alcanza con usar OCSETUP y el nombre de lo que

deseamos agregar. Es importante tener en cuenta que el nombre del

componente es sensible a mayúsculas-minúsculas, por lo que la salida

del comando OCLIST tiene importancia.

OCSETUP <Componente-a-Agregar>

Para quitar un componente es:

OCSETUP <Componente-a-Quitar> /Uninstall

A partir de tener el componente instalado, podemos usar remotamente una

consola MMC para hacer la administración del mismo.

Algunos Comandos Útiles

Revisar en cada caso: <comando> /?

Informativos del Sistema SYSTEMINFO

MSINFO32

SET

WHOAMI

HOSTNAME

Administrar Grupos y Usuarios NET GROUP

NET LOCALGROUP

NET ACCOUNTS

NET USER

Configuración de Servicios y

Procesos

SC …

NET STOP

NET START

NET PAUSE

TASKLIST

TASKKILL

TASKMGR

Administración de Discos DISKPART

FORMAT

DEFRAG

CONVERT

Manejo de Permisos ICACLS

NET SHARE

TAKEOWN

Group Policies GPUPDATE

GPRESULT

Llegados a este punto hemos podido hacer una configuración básica de

Server, con la posibilidad de administrarlo remotamente con la conocida

interfaz gráfica.

2.3.- Administración de recursos

2.3.1.- Tipos de recursos

-Hardware

Impresoras

Memoria Ram

Procesador

Almacenamiento

-Software

Programas

2.3.2.- Administración de los recursos

El Administrador de recursos del sistema de Windows para el sistema

operativo Windows Server® 2008 R2 permite administrar el uso del

procesador y la memoria del servidor con directivas de recursos estándar

o personalizadas. La administración de los recursos le puede ayudar a

garantizar que todos los servicios que proporciona un único servidor

estén disponibles de forma equivalente o que los recursos para

aplicaciones, servicios o usuarios de alta prioridad están siempre

disponibles.

El Administrador de recursos del sistema de Windows solo administra los

recursos del procesador cuando la carga combinada del procesador es

superior al 70 por ciento. Esto significa que no limita de forma activa

los recursos que puede utilizar cada consumidor cuando la carga del

procesador es baja. En caso de contención para los recursos de

procesador, las directivas de asignación de recursos ayudan a garantizar

la disponibilidad mínima de los recursos según el perfil de

administración definido.

Características del Administrador de recursos del

sistema de Windows

El Administrador de recursos del sistema de Windows se puede utilizar

para lo siguiente:

Administrar los recursos del sistema (procesador y memoria) con

directivas pre configuradas, o crear directivas personalizadas que

asignen recursos por procesos, por usuarios, por sesiones de Servicios

de Escritorio remoto o por grupos de aplicaciones de Internet

Information Services (IIS).

Utilizar reglas de calendario para aplicar directivas distintas

en momentos distintos sin intervención manual y sin modificar la

configuración.

Seleccionar automáticamente directivas de recursos basadas en

propiedades de servidor y eventos (como eventos de clúster o

condiciones), o bien en modificaciones de la memoria física instalada

o del número de procesadores.

Recopilar datos de utilización de recursos localmente o en una

base de datos SQL personalizada. Los datos de utilización de recursos

de varios servidores se pueden consolidar en un solo equipo que ejecute

el Administrador de recursos del sistema de Windows.

Crear un grupo de equipos para facilitar la organización de los

servidores que desea administrar. Las directivas de un grupo entero

de equipos se pueden exportar o modificar fácilmente.

Ventajas de la administración de recursos

Puesto que Windows Server 2008 R2 está diseñado para ofrecer el máximo

posible de recursos a las tareas que no dependen del sistema operativo,

un servidor que ejecuta un solo rol normalmente no requiere la

administración de recursos. No obstante, cuando hay instalados varios

servicios y aplicaciones en un solo servidor, éstos no tienen en cuenta

los demás procesos. Normalmente, una aplicación o un servicio no

administrados utilizan todos los recursos disponibles para completar

una tarea. Por lo tanto, es importante utilizar una herramienta como el

Administrador de recursos del sistema de Windows para administrar los

recursos del sistema en los servidores multipropósito. La utilización

del Administrador de recursos del sistema de Windows supone dos ventajas

clave:

Se pueden ejecutar más servicios en un solo servidor porque se

puede mejorar la disponibilidad de los servicios mediante recursos

administrados de forma dinámica.

Los usuarios o administradores del sistema de máxima prioridad

pueden obtener acceso al sistema incluso en los momentos de máxima

carga de los recursos.

Métodos de la administración de recursos

El Administrador de recursos del sistema de Windows incluye cinco

directivas de administración de recursos integradas que se pueden usar

para implementar rápidamente la administración. Además, se pueden crear

directivas de administración de recursos personalizadas adaptadas a sus

necesidades.

Directivas de administración de recursos integradas

Para habilitar directivas de administración de recursos integradas,

seleccione el tipo de directiva que se desea utilizar. No es necesario

realizar ninguna otra configuración.

Directiva Descripción

Igual por proceso

Cuando se administra el sistema con la directiva de asignación de recursos Igual por proceso, se da un trato igual a todos los procesos en

ejecución. Por ejemplo, si un servidor que ejecuta diez procesos alcanza el 70 por ciento de uso del procesador, el Administrador de recursos del sistema de Windows limitará cada proceso al 10 por ciento de los

recursos del procesador mientras se encuentren en contención. Tenga en cuenta que los recursos no utilizados por procesos con poca utilización

serán asignados a otros procesos.

Igual por

usuario

Cuando la directiva de asignación de recursos Igual por usuario

administra el sistema, los procesos se agrupan en función de la cuenta de

usuario que los está ejecutando y cada uno de estos grupos de procesos recibe un tratamiento equivalente. Por ejemplo, si hay cuatro usuarios

ejecutando procesos en el servidor, se asignará a cada usuario el 25 por ciento de los recursos del sistema para completar esos procesos. Se le asignarán los mismos recursos a un usuario que ejecuta una sola

aplicación que a uno que ejecute varias. Esta directiva resulta especialmente útil para los servidores de aplicaciones.

Igual por sesión

Cuando se administra el sistema con la directiva de asignación de recursos Igual por sesión, se asignan los recursos de forma igualitaria para cada sesión conectada al sistema. Esta directiva se usa en los

servidores de Escritorio remoto.

Igual por grupo de aplicaciones de IIS

Cuando se administra el sistema con la directiva de asignación de

recursos Igual por grupo de aplicaciones de IIS, se dará un trato igual a cada grupo de aplicaciones de IIS en ejecución, y las aplicaciones que no se encuentren en un grupo de aplicaciones de IIS solo podrán utilizan los

recursos que no estén utilizando estos grupos.

Sesiones remotas

ponderadas

Cuando la directiva de asignación de recursos Sesiones remotas

ponderadas administra el sistema, los procesos se agrupan en función de la prioridad asignada a la cuenta de usuario. Por ejemplo, si hay tres usuarios conectados de forma remota, el usuario que tenga asignada la

prioridad Premium recibirá el acceso de mayor prioridad a la CPU, el que tenga asignada la prioridad Estándar recibirá la segunda prioridad a la

CPU y el que tenga asignada la prioridad Básica recibirá la prioridad menor a la CPU. Esta directiva se usa en los servidores de Escritorio remoto.

Nota

Cuando Sesiones remotas ponderadas se establece como la directiva de administración, la administración de sistemas se delega al

programador de Windows Server 2008 R2 y el Administrador de recursos del sistema de Windows solo traza un perfil del sistema. Para

configurar o quitar Sesiones remotas ponderadas como directiva de administración es necesario un reinicio del equipo impuesto por el kernel.

Administración de recursos personalizada

Puede utilizar métodos de administración de recursos personalizados

para identificar a los usuarios de los recursos y asignarles recursos

en función de sus propios criterios.

Característica Descripción

Criterios

coincidentes

del proceso

Permite seleccionar servicios o aplicaciones

para administrarlos con reglas de directiva

de asignación de recursos. Se pueden

seleccionar por nombre de archivo o comando,

o bien se pueden especificar los usuarios o

grupos. Por ejemplo, puede crear un criterio

coincidente del proceso que aplique la

administración a la

aplicación iexplore.exe cuando la ejecuta el

usuario Administrador.

Directivas de

asignación de

recursos

Asigna los recursos de procesador y memoria

a los procesos que se especifican mediante

los criterios coincidentes del proceso

especificados por el usuario.

Listas de

exclusión

Permiten excluir aplicaciones, servicios,

usuarios o grupos de la administración por

parte del Administrador de recursos del

sistema de Windows.

Nota

También se puede utilizar la búsqueda de coincidencias de rutas de línea de comandos en una directiva de asignación de recursos

para excluir una aplicación de la administración únicamente por parte de esa directiva.

Programación

Permite utiliza una interfaz de calendario

para controlar eventos únicos o

modificaciones periódicas a la asignación de

recursos. Puede haber distintas directivas

de asignación de recursos activas en

distintos momentos del día, en distintos

días de la semana o según otros paradigmas

de programación.

Aplicación de

directivas

condicionales

Permite cambiar automáticamente de directiva

de asignación de recursos como respuesta a

determinados eventos del sistema (como la

instalación de memoria o procesadores

adicionales, el inicio o la detención de un

nodo, o la modificación de la disponibilidad

de un grupo de recursos de un clúster).

2.3.3.- Administración de cuentas de usuario y de

equipo

Hemos de estar de acuerdo en que una de las funciones del

Administrador(administradores) del sistema es administrar

cuentas de usuarios , y equipos .

Al instalar Windows Server 2003 se crean unas cuentas

predeterminadas:

- Cuenta Administrador: Tiene control total en el servidor.

- Cuenta invitado: Para aquéllos usuarios sin cuenta real en

el equipo, no requiere contraseña y en principio se encuentra

deshabilitada.

- Cuenta Asistente de ayuda: Con limitado acceso al equipo.

Pero comencemos por ver las cuentas de usuario.

Cuentas de Usuarios

Una cuenta de usuario es un objeto, que consiste en toda la

información que define al usuario en Windows Server 2003. Una

cuenta de usuario puede ser Local o de Dominio, y consta de

un nombre de cuenta(username) y de la contraseña(password)

necesarios para iniciar sesión, de los grupos a los que

pertenece dicho usuario y de los derechos, privilegios y

permisos que tiene para acceder al equipo, la red y los

recursos.

Podemos utilizar una cuenta de usuario para permitir a

alguien iniciar sesión en el equipo, así como a procesos y

servicios y que se ejecuten bajo un contexto de seguridad

específico y por supuesto, para el acceso a los recursos

como: objetos de AD y sus propiedades, carpetas compartidas,

archivos, directorios y colas de impresión.

Nos encontramos con los siguientes tipos de cuentas, ya

mencionados anteriormente:

Cuentas de usuario Locales (Local user accounts): Se

almacenan en el equipo que las contiene.

Usuarios y grupos locales se encuentra en Administración de

equipos, un conjunto de herramientas administrativas que

puede utilizar para administrar un único equipo local o

remoto. Puede utilizar Usuarios y grupos locales para

proteger y administrar las cuentas de usuario y los grupos

almacenados de forma local en el equipo. A cada cuenta de

usuario o de grupo local se le puede asignar permisos y

derechos en un equipo determinado, y sólo para ese equipo.

Usuarios y grupos locales se encuentra en los siguientes

sistemas operativos de cliente y servidor:

- Clientes que utilicen Microsoft® Windows® 2000 Professional

o Windows XP Professional

- Servidores miembro que ejecuten cualquiera de los productos

de las familias de servidores de

Microsoft Windows 2000 Server o Windows Server 2003

- Servidores independientes que ejecuten cualquiera de los

productos de las familias de servidores de Microsoft Windows

2000 Server o Windows Server 2003

No puede utilizar Usuarios y grupos locales para ver las

cuentas de usuario y de grupo locales después de promocionar

un servidor miembro a controlador de dominio. Sin embargo, sí

es posible utilizar Usuarios y grupos locales en un

controlador de dominio para administrar equipos remotos (que

no sean controladores de dominio) en la red.

Usando el complemento de administración de equipo, usuarios

locales y grupos, podemos:

- crear un usuario local: Abrimos Administración de equipos

(clic derecho MI PC, administrar, o desde herramientas

administrativas del panel de control), nos situamos en

usuarios locales y grupos y lo expandimos, seleccionando

Usuarios. En el menú Acción pulsamos en Usuario nuevo y

rellenamos la información correspondiente en el cuadro de

diálogo que nos aparece, luego marcaremos/desmarcaremos las

casillas de verificación que creamos. Pulsamos enCrear y

luego en Cerrar.

El nombre del usuario que creemos no puede coincidir con

ningún otro ya existente, o de nombre de grupo existente.

Puede contener hasta 20 caracteres excepto los especiales "

/\[]:;|=,+*¿?<>, y no puede estar formado por sólo puntos o

espacios.

Las contraseñas pueden contener hasta 127 caracteres, pero si

existen equipos en la red que utilicen Windows 9x habría que

utilizar un máximo de 14 caracteres ya que usar más podría

impedir al usuario iniciar sesión en estos equipos.

Es conveniente utilizar directivas de contraseña adecuadas

para mejorar la protección del equipo.

- restablecer su contraseña: Desde el complemento

Administración de equipos, seleccionaremos al usuario que

deseamos, haremos clic con el botón derecho del ratón y

seleccionamos Establecer contraseña. Nos sale un mensaje de

advertencia, una vez leído pulsamos en continuar,

escribiremos la contraseña nueva en ambas cajas de

texto, Contraseña nueva y Confirmar contraseña nueva, y

pulsamos en Aceptar.

- deshabilitar o activar una cuenta de usuario local:

Accederemos al usuario siguiendo la secuencia ya indicada

anteriormente, clic derecho sobre la cuenta deseada y

seleccionamos propiedades. Para realizar estas tareas tan

sólo hemos de marcar/desmarcar la casilla de verificación La

cuenta está deshabilitada.

- Eliminar una cuenta de usuario local: Abriremos

Administración de equipos y haciendo clic con el botón

derecho del ratón sobre la cuenta que queremos eliminar,

seleccionaremos Eliminar.

- Cambiar el nombre de una cuenta de usuario local: Clic con

el botón secundario del ratón en la cuenta de usuario cuyo

nombre queremos cambiar, seleccionamos Cambiar nombre,

escribimos el nombre nuevo y pulsamos Aceptar.

- Asignar secuencias de comandos de inicio de sesión a una

cuenta de usuario local: Accederemos a las propiedades de la

cuenta a la que queremos asignar la secuencia de comandos,

desde la consola Administración de equipos pulsando el botón

secundario del ratón y seleccionando propiedades. En la

ficha Perfil, escribiremos el nombre de archivo y la ruta de

acceso relativa del mismo en Secuencia de comandos de inicio

de sesión.

- asignar una carpeta principal a una cuenta de usuario

local: Al igual que la asignación de una secuencia de

comandos de inicio de sesión, podemos asignar una carpeta

principal en Ruta de acceso

local (c:\carpetas\usuarios\juansa) de la ficha Perfil, o si

se encuentra en un recurso compartido ,haciendo clic en

Conectar, seleccionar la letra de unidad y escribir la ruta

de acceso.(\\carpetas\usuarios\juansa)

2.3.4.- Administración de grupos

Un grupo de Active Directory se compone de una colección de

objetos (usuarios y equipos, y otros grupos utilizados para

simplificar el acceso a los recursos y envío de correos

electrónicos). Los grupos pueden utilizarse para asignar

derechos administrativos, acceso a recursos de red, o, para

distribuir correo electrónico. Hay grupos de varios sabores, y

dependerá del modo en que el dominio se esté ejecutando el que

ciertas funcionalidades de grupo estén o no disponibles.

Active Directory de Windows Server 2008 R2 es compatible con

dos tipos distintos de grupos: Distribución y Seguridad. Ambos

tienen sus propios usos y ventajas, siempre que se utilicen

correctamente y se hayan entendido sus características.

Los grupos de distribución permiten el agrupamiento de

contactos, usuarios o grupos, principalmente para la

distribución de correo electrónico. Estos tipos de grupos no

pueden utilizarse para permitir o denegar el acceso a recursos

del dominio. Las Listas de Control de Acceso Discrecional

(DACLs), que se utilizan para permitir y/o denegar el acceso a

los recursos, o para definir los derechos de usuario, se

componen de Entradas de Control de Acceso (ACEs). Los grupos

de distribución no tienen habilitada la seguridad y no pueden

usarse en las DACL. En algunos casos, esto puede simplificar

la administración de la seguridad cuando necesitamos tener a

distribuidores externos localizados en libretas de direcciones

pero nunca necesitarán acceder a recursos del dominio o bosque.

Los grupos de seguridad tienen habilitada esta característica

y por tanto pueden utilizarse en la asignación de derechos de

usuario y en los permisos del recurso, o, en la aplicación de

directivas de grupo basadas en AD o directivas de equipo. El

uso de un grupo en lugar de usuarios de forma individual

simplifica mucho la administración. Los grupos pueden crearse

para recursos o tareas en particular, y cuando se efectúan

cambios en la lista de usuarios que necesitan acceso, sólo debe

modificarse la pertenencia de grupo para reflejar los cambios

en cada recurso que utiliza este grupo.

Para llevar a cabo tareas administrativas, los grupos de

seguridad pueden definirse dentro de distintos niveles de

responsabilidad. La granularidad que podemos aplicar es vasta,

de hecho una estructura de grupos funcional es una de las

maneras de simplificar la administración de la empresa.

Los grupos de seguridad también pueden usarse con propósitos

de correo electrónico, lo que significa que aúnan ambos

propósitos.

Además del tipo, los grupos disponen de un ámbito a

seleccionar. El ámbito, simplemente, marca los límites de quién

puede ser miembro, y dónde puede utilizarse el grupo. Sólo los

grupos de seguridad pueden usarse para delegar control y

asignar acceso a recursos. Una clasificación teniendo en cuenta

el ámbito quedaría:

Grupos locales de dominio.

Grupos globales.

Grupos universales.

2.3.5.- Administración del acceso a recursos

Control de acceso a recursos del equipo

Como administrador del sistema, usted puede controlar y supervisar la

actividad del sistema. Puede definir límites sobre quién puede utilizar

determinados recursos. Puede registrar el uso de recursos y supervisar

quién los está utilizando. También puede configurar los sistemas para

minimizar el uso indebido de los recursos.

Limitación y supervisión del supe usuario

El sistema requiere una contraseña root para el acceso del superusuario.

En la configuración predeterminada, un usuario no puede iniciar sesión

de manera remota en un sistema como root. Al iniciar sesión de manera

remota, el usuario debe utilizar el nombre de usuario y, luego, el

comando su para convertirse en root. Puede supervisar quién ha utilizado

el comando su, en especial, aquellos usuarios que están intentando

obtener acceso de superusuario. Para conocer los procedimientos para

supervisar al superusuario y limitar el acceso al superusuario, consulte

Supervisión y restricción de superusuario (mapa de tareas).

Configuración del control de acceso basado en roles para reemplazar al

superusuario

El control de acceso basado en roles (RBAC) está diseñado para limitar

las capacidades del superusuario. El superusuario (usuario root) tiene

acceso a todos los recursos del sistema. Con RBAC, puede reemplazar

root con un conjunto de roles con poderes discretos. Por ejemplo, puede

configurar un rol para manejar la creación de cuentas de usuario y otro

rol para manejar la modificación de archivos del sistema. Una vez que

haya establecido un rol para manejar una función o un conjunto de

funciones, puede eliminar esas funciones de las capacidades de root.

Cada rol requiere que un usuario conocido inicie sesión con su nombre

de usuario y contraseña. Después de iniciar sesión, el usuario asume el

rol con una contraseña de rol específica. Como consecuencia, alguien

que se entera de la contraseña root tiene una capacidad limitada para

dañar el sistema. Para obtener más información sobre RBAC, consulte

Control de acceso basado en roles (descripción general).

Prevención del uso indebido involuntario de los recursos del equipo

Puede prevenir que los usuarios y que usted realicen errores

involuntarios de las siguientes formas:

Puede evitar ejecutar un caballo de Troya si configura correctamente la

variable PATH.

Puede asignar un shell restringido a los usuarios. Un shell restringido

previene los errores del usuario al guiar a los usuarios a las partes

del sistema que necesitan para su trabajo. De hecho, mediante una

configuración cuidadosa, usted puede asegurarse de que los usuarios

sólo accedan a las partes del sistema que los ayudan a trabajar de

manera eficiente.

Puede establecer permisos restrictivos para los archivos a los que los

usuarios no necesitan acceder.

2.3.6 .- Administración de los servicios de impresión

Cuanto mayor es la organización, mayor es la cantidad de impresoras

dentro de la red y más tiempo necesita el personal de TI para instalar

y administrar esas impresoras; lo cual se traduce en mayores gastos de

operación. Windows Server 2008 incluye el Gestor de Impresión, que es

un complemento de MMC que permite a los administradores administrar,

supervisar y solucionar problemas en todas las impresoras de la

organización, incluso en las de ubicaciones remotas, desde una misma

interfaz.

El Gestor de Impresión ofrece detalles totalmente actualizados sobre el

estado de todas las impresoras y los servidores de impresión de la red

desde una consola única. El Gestor de Impresión permite encontrar

impresoras con una condición de error y también puede enviar

notificaciones por correo electrónico o ejecutar secuencias de comandos

cuando una impresora o el servidor de impresión necesitan atención. En

modelos de impresora que ofrecen una interfaz web, el Gestor de

Impresión puede tener acceso a estos datos adicionales. Esto permite

administrar fácilmente información como niveles de tóner y papel, aun

cuando las impresoras se encuentran en ubicaciones remotas. Además,

Administración de impresión puede buscar e instalar automáticamente

impresoras de red en la subred local de servidores de impresión locales.

El Gestor de Impresión supone para los administradores un ahorro de

tiempo importante a la hora de instalar impresoras en equipos cliente,

así como al administrarlas y supervisarlas. En vez de tener que instalar

y configurar conexiones de impresora en equipos individuales, el Gestor

de Impresión se puede usar con directivas de grupo para agregar

automáticamente conexiones de impresora a la carpeta Impresoras y faxes

de un equipo cliente.

Esta es una manera eficaz y que ahorra tiempo cuando se agregan

impresoras para muchos usuarios que requieren acceso a la misma

impresora, como por ejemplo usuarios en el mismo departamento o todos

los usuarios en la ubicación de una sucursal. Las opciones provistas de

automatización e interfaz centralizada de control incluidas dentro del

Gestor de Impresión para instalar, compartir y administrar impresoras

simplifican la administración y reducen el tiempo requerido por personal

de TI para implementar impresoras.

2.4.- Medición y desempeño

2.4.1.- Desempeño

El sistema está optimizado para que las búsquedas tengan una respuesta

muy rápida (si el servidor y la red lo permiten). El interfaz está

optimizado para facilitar y hacer más eficiente la labor de los

bibliotecarios. Por ejemplo, para devolución de libros se requiere un

solo paso. Para prestar un libro se requieren dos pasos: ingresar el

código del usuario e ingresar el número del ítem a prestar (o código de

barras).

2.4.2.- Herramientas de medición

El Monitor de confiabilidad y rendimiento de Windows es un complemento

de Microsoft Management Console (MMC) que combina la funcionalidad de

herramientas independientes anteriores, incluidos Registros y alertas

de rendimiento, Server Performance Advisor y Monitor de sistema.

Proporciona una interfaz gráfica para personalizar la recopilación de

datos de rendimiento y sesiones de seguimiento de eventos.

También incluye el Monitor de confiabilidad, un complemento de MMC que

lleva un seguimiento de los cambios producidos en el sistema y los

compara con los cambios de estabilidad del sistema, proporcionando una

vista gráfica de su relación.

2.4.3.- Indicadores de desempeño

Indicadores del Rendimiento de un Computador

Los indicadores del rendimiento de un computador son una serie de

parámetros que conforma un modelo simplificado de la medida del

rendimiento de un sistema y son utilizados por los arquitectos de

sistemas, los programadores y los constructores de compiladores, para

la optimización del código y obtención de una ejecución más eficiente.

Dentro de este modelo, estos son los indicadores de rendimiento más

utilizados:

Turnaround Time

El tiempo de respuesta. Desde la entrada hasta la salida, por lo que

incluye accesos a disco y memoria, compilación, sobrecargas y tiempos

de CPU. Es la medida más simple del rendimiento.

En sistemas multiprogramados no nos vale la medida del rendimiento

anterior, ya que la máquina comparte el tiempo, se produce solapamiento

E/S del programa con tiempo de CPU de otros programas. Necesitamos otra

medida como es el TIEMPO CPU USUARIO.

Tiempo de cada ciclo ( )

El tiempo empleado por cada ciclo. Es la constante de reloj del

procesador. Medida en nanosegundos.

Frecuencia de reloj (f)

Es la inversa del tiempo de ciclo. f = 1/. Medida en Mega Hertz.

Total de Instrucciones (Ic)

Es el número de instrucciones objeto a ejecutar en un programa.

Ciclos por instrucción (CPI)

Es el número de ciclos que requiere cada instrucción. Normalmente, CPI

= CPI medio.

2.4.4.- Roadmap

Un RoadMap (que podría traducirse como hoja de ruta) es una

planificación del desarrollo de un software con los objetivos a corto

y largo plazo, y posiblemente incluyendo unos plazos aproximados de

consecución de cada uno de estos objetivos. Se suele organizar en hitos

o "milestones", que son fechas en las que supuestamente estará

finalizado un paquete de nuevas funcionalidades.

Para los desarrolladores de software, se convierte en una muy buena

práctica generar un Roadmap, ya que de esta forma documentan el estado

actual y posible futuro de su software, dando una visión general o

específica de hacía dónde apunta a llegar el software.

La expresión Roadmap se utiliza para dar a conocer el "trazado del

camino" por medio del cual vamos a llegar del estado actual al estado

futuro. Es decir, la secuencia de actividades o camino de evolución que

nos llevará al estado futuro.

2.5.- Seguridad e integridad

2.5.1.- Seguridad por software

La seguridad del sistema de software, un elemento de la seguridad total

y programa de desarrollo del software, no se puede permitir funcionar

independientemente del esfuerzo total. Los sistemas múltiples simples

y altamente integrados están experimentando un crecimiento

extraordinario en el uso de computadoras y software para supervisar y/o

controlar subsistemas o funciones seguridad-críticos. A especificación

del software el error, el defecto de diseño, o la carencia de requisitos

seguridad-crítico genéricas pueden contribuir a o causar un fallo del

sistema o una decisión humana errónea. Para alcanzar un nivel aceptable

de la seguridad para el software usado en usos críticos, la ingeniería

de la seguridad del sistema de software se debe dar énfasis primario

temprano en la definición de los requisitos y el proceso del diseño

conceptual del sistema. El software Seguridad-crítico debe entonces

recibir énfasis de la gerencia y análisis continuos de la ingeniería a

través del desarrollo y ciclos vitales operacionales del sistema.

2.5.2.- Seguridad por hardware

La seguridad del hardware se refiere a la protección de objetos frente

a intromisiones provocadas por el uso del hardware. A su vez, la

seguridad del hardware puede dividirse en seguridad física y seguridad

de difusión. En el primer caso se atiende a la protección del

equipamiento hardware de amenazas externas como manipulación o robo.

Todo el equipamiento que almacene o trabaje con información sensible

necesita ser protegido, de modo que resulte imposible que un intruso

acceda físicamente a él. La solución más común es la ubicación del

equipamiento en un entorno seguro.

La seguridad de difusión consiste en la protección contra la emisión de

señales del hardware. El ejemplo más común es el de las pantallas de

ordenador visibles a través de las ventanas de una oficina, o las

emisiones electromagnéticas de algunos elementos del hardware que

adecuadamente capturadas y tratadas pueden convertirse en información.

De nuevo, la solución hay que buscarla en la adecuación de entornos

seguros.

2.5.3.- Plantillas de seguridad para proteger los

equipos

Con el complemento Plantillas de seguridad para Microsoft Management

Console puede crear una directiva de seguridad para un equipo o para la

red. Es un lugar donde se concentra toda la seguridad del sistema. El

complemento Plantillas de seguridad no introduce ningún parámetro de

seguridad nuevo, simplemente organiza todos los atributos de seguridad

existentes en una ubicación para facilitar la administración de la

seguridad.

Importar una plantilla de seguridad a un objeto de Directiva de grupo

facilita la administración de dominios ya que la seguridad se configura

para un dominio o una unidad organizativa de una sola vez. Para obtener

más información, vea Importar una plantilla de seguridad a un objeto de

directiva de grupo.

Con el fin de aplicar una plantilla de seguridad al equipo local, puede

utilizar Configuración y análisis de seguridad o la herramienta de línea

de comandos Secedit. Para obtener más información, vea Configurar la

seguridad del equipo local.

Las plantillas de seguridad se pueden utilizar para definir:

Directivas de cuentas

Directiva de contraseñas

Directiva de bloqueo de cuentas

Directiva Kerberos

Directivas locales

Directiva de auditoría

Asignación de derechos de usuario

Opciones de seguridad

Registro de sucesos: Configuración del registro de sucesos de

aplicación, sistema y seguridad

Grupos restringidos: Pertenencia a grupos importantes para la seguridad

Configuración de seguridad de Servicios del sistema Inicio y permisos

de los servicios del sistema

Configuración de seguridad del Registro: Permisos para las claves del

Registro del sistema

Configuración de seguridad del Sistema de archivos Permisos de archivos

y carpetas

Cada plantilla se guarda como un archivo .inf de texto. De esta forma,

puede copiar, pegar, importar o exportar todos o algunos de los

atributos de la plantilla. Con la excepción de la Seguridad de protocolo

IP y las directivas de clave pública, todos los atributos de seguridad

pueden estar contenidos en una plantilla de seguridad.

Plantillas nuevas y predefinidas

En cada miembro de la familia Microsoft® Windows Server 2003 o en el

sistema operativo Microsoft® Windows® XP hay una serie de plantillas

predefinidas creadas con niveles de seguridad diferentes para adaptarse

a las necesidades de una organización.

Hay varias plantillas de seguridad predefinidas que pueden ayudarle a

proteger su sistema en función de sus necesidades, dichas plantillas

son para:

Volver a aplicar la configuración predeterminada

Implementar un entorno altamente protegido

Implementar un entorno menos protegido pero más compatible

Proteger la raíz del sistema.

Para obtener más información, vea Plantillas de seguridad predefinidas.

La plantilla Setup security.inf permite volver a aplicar la

configuración de seguridad predeterminada. Esta plantilla se crea

durante la instalación de cada equipo y se debe aplicar localmente.

Puede crear una plantilla de seguridad nueva con sus propias

preferencias o bien utilizar una de las plantillas de seguridad

predefinidas. Antes de realizar cambios en la configuración de la

seguridad, debe saber cuál es la configuración predeterminada del

sistema y qué significa.

Para obtener información acerca de Plantillas de seguridad, vea

Plantillas de seguridad.