INSTITUTO TECNOLOGICO

SUPERIOR DE COATZACOALCOSPROFESORA:

I.S.C LIZBETH HERNÁNDEZ OLÁN

DIVISION:

INGENIERÍA INFORMÁTICA

MATERIA:

ADMINISTRACIÓN DE SERVIDORES

7° “B”

INTEGRANTES:

CRUZ FERNANDEZ ALBERTOAVENDAÑO LOPEZ CARLOS IZQUIERDO CRUS PATRICIA

MARTINEZ ANTONIO IRIDIANPERES HERNANDEZ MISAEL

REYES GARCIA ALAN

Cuentas de usuarios locales

Cuentas de usuario definidas en el equipo local, con acceso solamente a l

equipo loca l y, por tanto, a los recursos dl i e l mismo

• Los usuarios pueden tener acceso a los recursos de otro equipo de la red sí

disponen de una cuenta en dicho equipo

• Para poder acceder a los recursos que un equipo comparte, es necesario

autenticarse en él

•Se pueden crear en estaciones de trabajo o en servidores Se pueden crear en

estaciones de trabajo o en servidores miembros pero NO en controladores de

dominio

• Al usar cuentas locales de un servidor miembro, el usuario no podrán usar los

recursos del dominio (al n o estar autenticadas en él).

Permiten a los usuarios iniciar sesión y acceder

a recursos en un equipo específico

Residen en SAM Cuentas de usuario de dominio

Permiten a los usuarios iniciar sesión en el dominio para tener acceso a los recursos

de red y tener acceso a los recursos de red

Residen en Active Directory C d ii d Cuentas de usar e usuario integradas

Permiten a los usuarios realizar tareas administrativas o tener acceso temporal a

recursos de red acceso temporal a recursos de red

Residen en SAM (cuentas de usuario integradas locales)

Residen en Active Directory (cuentas de usuario integradas del dominio)

Los privilegios de Acceso A Usuario

Un aspecto muy importante en los Sistema Operativo es el de los permisos en los

perfiles. Como en Linux está el súper usuario root, aquí existe la posibilidad de contar

con distintas sesiones de menor cantidad de privilegios; en Windows estas se pueden

crear y establecer permisos para lo que cada uno necesita usar. Esto permite dejar el

usuario Administrador solo para fines de administración del equipo como instalación

de aplicaciones o actualizaciones, entre otros.

Este tipo de configuraciones son las que hacen que el Sistema Operativo se vuelva

más fuerte y robusto, sobre todo cuando el equipo es utilizado por varias personas y si

su dueño desconoce la actividad que cada una de estas realizan con el ordenador.

También es una muy buena forma de reducir las infecciones de malware en el

equipo, permitiendo controlar qué aplicaciones utilizan las demás personas.

Esto puede volverse muy útil a la hora de aplicar restricciones en aplicaciones para

el cuidado de los más pequeños, ya que desde esta sección se puede bloquear el

uso de aplicaciones podrían poner en riesgo la integridad del equipo o el mundo

digital de los niños.

Horario:

Denegar el acceso a ciertos en ciertos horarios permite hacer un uso más racional

del ancho de banda con el que se dispone. El funcionamiento es verdaderamente

simple y consiste en denegar el acceso en horarios y días de la semana.

Procedimientos

Edite el archivo /etc/squid/squid.conf:

La sintaxis para crear Listas de control de acceso que definan horarios, es la

siguiente:

vim /etc/squid/squid.conf

acl [nombre del horario] time [días de la semana] hh:mm-hh:mm

Los días de la semana se definen con letras, las cuales corresponden a la primera

letra del nombre en inglé, de modo que se utilizarán del siguiente modo:

S - Domingo

M - Lunes

T - Martes

W - Miércoles

H - Jueves

F - Viernes

A - Sábado

Ejemplo:

acl semana time MTWHF 09:00-21:00

EJEMPLO

Esta regla define a la lista semana, la cual comprende un horario de 09:00 a 21:00 horas desde el lunes hasta el viernes.

Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecánica similar a la siguiente: se permite o deniega el acceso en el horario definido en la Lista de Control de Acceso denominada X para las entidades definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado en una Regla de Control de Acceso, quedaría del siguiente modo:

Ejemplo: Se quiere establecer que los miembros de la Lista de Control de Acceso denominada localnet tengan permitido acceder hacia Internet en un horario que denominaremos como matutino y que comprende de lunes a viernes de 09:00 a 15:00 horas.

La definción para el horario correspondería a:

La definición de la Regla de Control de Acceso sería:

http_access [allow | deny] [nombre del horario] [lista de entidades]

acl localnet src 192.168.1.0/24

acl matutino time MTWHF 09:00-15:00

http_access allow matutino localnet

EJEMPLO

Lo anterior, en resumen, significa que quienes conformen localnet podrán acceder a

Internet de Lunes a Viernes de 09:00-15:00 horas.

Más ejemplos.

Restringiendo el tipo de contenido.

Es posible denegar acceso a cierto tipo de contenido de acuerdo a su extensión. Se

requiere una Lista de Control de Acceso y una Regla de Control de Acceso

Si se necesita una lista denominada extensiones que defina a todos los archivos con

extensión .mp3, utilizaríamos lo siguiente:

Si queremos denegar el acceso al todo contenido con extensión .mp3, la regla quedaría

del siguiente modo:

Combinando reglas de tiempo y contenido.

acl localnet src 192.168.1.0/24

acl extensiones urlpath_regex \.mp3$

http_access allow localnet !extensiones

EJEMPLO

acl localnet src 192.168.1.0/24

acl matutino time MTWHF 09:00-15:00

acl extensiones urlpath_regex .mp3$

http_access allow matutino localnet !extensiones

Si por ejemplo queremos restringir parcialmente el acceso a cierto tipo de contenido a ciertos

horarios, pueden combinarse distintos tipos de reglas.

La Regla de Control de Acceso anterior especifica acceso permitido, en el horario definido

como matutino, a quienes integran la Lista de Control de Acceso denominada localnet, para acceder

hacia todo tipo de contenido, excepto a los contenidos que coincidan con los definidos en la Lista de

Control de Acceso denominada extensiones.

Finalizando procedimiento.

Finalmente, sólo bastará recargar la configuración de Squid para que tomen efecto los

cambios y se puedan realizar pruebas.

service squid reload

EJEMPLO

Grupos de Ámbito Local al Dominio

Son grupos que permitirán definir y administrar el

acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros

a los siguientes el

elementos: grupos de ámbito global, grupos de ámbito universal, usuarios del

dominio, otros grupos de ámbito local de dominio, una mezcla de los anteriores.

Grupos de Ámbito Local

Estos grupos se utilizan para administrar objetos de directorio que

requieren mantenimiento diario, como las cuentas de usuarios y equipos.

Grupos de Ámbito Universal Son grupos utilizados cuando la pertenencia ha dicho grupo

no

cambia frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que

todos

los datos de pertenencia del grupo se repliquen en todos los catálogos globales del bosq

ue del dominio.

Perfil Móvil

Perfil de usuario que se descarga desde el servidor en el equipo donde el

usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente.

cambios en el perfil se almacenarán en el servidor en el espacio destinado para tal fin pa

ra dicho usuario.

Perfil Obligatorio

Perfil de usuario que se descarga desde el servidor en el equipo donde elusuario e

n cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente los

cambios en el perfil NO se almacenarán en el servidor, de modo que el usuario si

empre dispondrá del mismo perfil.

Grupos Globales y Locales

Un grupo es un conjunto de cuentas de usuario. La asignación de una cuenta de

usuario a un grupo concede a éste todos los derechos y permisos concedidos al

grupo.

Los grupos simplifican la administración al proporcionar un método fácil para

conceder derechos comunes a múltiples usuarios simultáneamente

Por ejemplo:

si los usuarios Profesor_1, Profesor_2 y Profesor_3 necesitan acceder a un recurso

compartido de nuestra red llamado Cursos, en lugar de asignar a cada uno de

ellos derechos sobre el recurso nos podemos crear un grupo llamado Monitores,

añadir a dicho grupo los tres usuarios y darle al grupo derechos para acceder al

recurso Cursos.

Grupos Locales

Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un

recurso de la red. Recordemos que los permisos son normas que regulan qué usuarios

pueden emplear un recurso como, por ejemplo, una carpeta, un archivo o una

impresora.

Los grupos locales también se utilizan para proporcionar a los usuarios los derechos

para realizar tareas del sistema tales como el cambio de hora de un equipo o la

copia de seguridad y la restauración de archivos. Los grupos locales están formados

por usuarios y grupos que pueden proceder tanto del dominio en que se crearon y

residen las cuentas, como de otros dominios, si tenemos establecidas relaciones de

confianza.

Grupos Globales

Los grupos globales se utilizan para organizar cuentas de usuario del dominio,

normalmente por función o ubicación geográfica. Se suelen usar, en redes con múltiples

dominios.

Cuando los usuarios de un dominio necesitan tener acceso a los recursos existentes en

otro dominio, se agregarán a un grupo local del otro dominio para conceder derechos a

sus miembros. Se tienen que crear en un controlador del dominio en el que residen las

cuentas de los usuarios.

Los grupos globales están formados sólo por usuarios de un mismo dominio (del mismo en

que reside el grupo) y no pueden contener ningún tipo de grupos.

Administración de cuentas

Existen procedimientos y herramientas que un administrador puede utilizar para realizar sustareas diarias de forma eficiente y mantener la red en perfecto funcionamiento.

Estos son algunos de esos procedimientos y herramientas:

Crear plantillas para agregar nuevas cuentas de usuario.

Realizar cambios simultáneamente en varias cuentas de usuario.

Diseñar e implementar un plan de cuentas para proteger la red.

Mantener los controladores de dominio de forma que las cuentas de usuario se puedanvalidar siempre y sin problemas.

Solucionar los problemas que puedan tener los usuarios con sus cuentas, suelen serproblemas de inicio de sesión.

Distribuir algunas de las tareas administrativas mediante la creación de un Administradoradicional o un Operador de cuentas:

Los miembros del grupo Administradores tienen todas las capacidades administrativas. Sonresponsables del diseño y el mantenimiento de la seguridad de la red.

Los miembros del grupo Operadores de cuentas pueden crear, eliminar y modificar cuentasde usuario, grupos globales y grupos locales. No obstante, no pueden modificar los gruposAdministradores y Operadores de servidores.

Control de acceso a un sistema

informático

En el espacio de trabajo, todos los equipos conectados a un servidor pueden

considerarse como un gran sistema multifacético. Usted es responsable de la seguridad

de este sistema más grande. Debe proteger la red contra los desconocidos que

intentan obtener acceso. También debe garantizar la integridad de los datos en los

equipos de la red.

En el nivel de archivos, Oracle Solaris proporciona funciones de seguridad estándar que

usted puede utilizar para proteger archivos, directorios y dispositivos. En los niveles de

sistema y de red, los problemas de seguridad son generalmente los mismos. La primera

línea de defensa de seguridad es controlar el acceso al sistema.

Puede controlar y supervisar el acceso

al sistema con las siguientes medidas:

Mantenimiento de la seguridad física

Mantenimiento del control de inicio de sesión

Control de acceso a dispositivos

Control de acceso a recursos del equipo

Control de acceso a archivos

Control de acceso a la red

Comunicación de problemas de seguridad

Ciclos de procesador.

Para realizar las tareas, las transacciones deben competir con otras tareas y

trabajos en el sistema. En distintos momentos, estas tareas deben esperar a que se

realicen actividades como, por ejemplo, la entrada y salida de archivos. En esos

momentos, las transacciones dejan de utilizar el procesador y deben competir

para utilizarlo de nuevo una vez se ha completado la actividad.

Las prioridades de asignación afectan a las transacciones o trabajos que utilizan el

procesador, y los procesos por lotes u otros sistemas en línea pueden afectar al

tiempo de respuesta al recibir acceso preferencial para el procesador.

Los programas de proceso por lotes que acceden a las bases de datos en línea

también bloquean los registros de las bases de datos durante periodos de tiempo

más largos si su prioridad de asignación es baja. Con usos elevados, el tiempo de

espera para poder acceder al procesador puede ser significativo.

Contención de hardware asociado a la base de datos

Cuando se acceden a datos para proporcionar información necesaria para una

transacción, una operación de E/S pasa por el procesador, una unidad de control de

disco y el dispositivo real de disco en el que se encuentran los datos.

Si alguno de estos dispositivos está sobre utilizado, el tiempo que se tarda para acceder a

los datos puede aumentar significativamente.}

Este uso excesivo puede ser el resultado de la actividad en un archivo o en una

combinación de archivos activos. El porcentaje de errores también afecta a la utilización

y el rendimiento del dispositivo.

En entornos de disco compartido, la contención entre procesadores también afecta al

rendimiento. Esto, a su vez, aumenta el tiempo que la transacción ocupa memoria física,

espacio de intercambio y otros recursos. Si utiliza proceso distribuido y el servidor SFS está

en un procesador distinto, puede producirse una contención.