TEMA 9

El objetivo principal de la administración de red es mantener operativa la red cumpliendo las

necesidades de los usuarios. Realizar de forma centralizada la administración de múltiples
redes de gran tamaño compuestas de ciento de servidores, puestos de trabajo y periféricos.

1. ADMINISTRACION DE REDES DE AREA LOCAL

Todas las redes tienen componentes, funciones y características comunes:

- Servidores: equipos que ofrecen recursos compartidos a los usuarios de la red.

- Clientes: equipos que acceden a los recursos compartidos de la red.
- Medio: los cables que mantienen las conexiones físicas.
- Datos compartidos: archivos suministrados a los clientes.
- Impresoras y otros periféricos compartidos.
- Recursos: cualquier servicio o dispositivo, como archivos, impresoras u otros
elementos disponibles para su uso por los miembros de la red.

El tipo de red seleccionado para su instalación dependerá de factores como: tamaño de la

organización, nivel de seguridad requerido, nivel de soporte administrativo, tráfico de la red…

Las redes se dividen en dos categorías:

- Redes para Trabajo en Grupo: no hay servidores dedicados, no existe una jerarquía
entre los equipos. Todos los equipos son iguales (peers), cada equipo actúa como
cliente y servidor, el usuario de cada equipo determina los datos de dicho equipo que
van a ser compartidos en la red.
o Tamaño: se llaman también Workgroups, implica un pequeño grupo de
personas, máximo diez equipos.
o Coste: relativamente simples, cada equipo funciona como cliente y servidor no
hay necesidad de un potente servidor central.
o SO: no es necesario software adicional.
o Implementación: los equipos están en las mesas de los usuarios, estos actúan
como sus propios administradores y planifican su propia seguridad, están
conectados por un sistema de cableado simple.

Cuando resulta adecuada una red Trabajo en Grupo:

o Máximo 10 usuarios.
o Comparten recursos tales como archivos e impresoras peor no existen
servidores especializados.
o La seguridad no es una cuestión fundamental.

Las tareas de administración de la red incluyen:

o Gestionar los usuarios y la seguridad:

 Asegurar la disponibilidad de recursos.
 Mantener las aplicaciones y los datos.
 Instalar y actualizar software.
o Compartir recursos: todos los usuarios pueden compartir cualquier de sus
recursos (datos en directorios compartidos, impresoras…)
o Requerimientos del servidor, cada equipo necesita:
  Amplio porcentaje de sus recursos para dar soporte al usuario sentado
frente al equipo denominado usuario local.
 Recursos adicionales, como disco duro y memoria para dar soporte a
los usuarios que acceden a recursos desde la red, denominado
usuarios remotos.
o Seguridad: consiste en definir una contraseña sobre un recurso como un
directorio que es compartido en la red es muy difícil mantener un control
centralizado gran impacto en la seguridad de la red, si la seguridad es
importante en la red, este tipo de red no es adecuado.
o Formación: los usuarios necesitan formación antes de que puedan
desenvolverse correctamente como usuario y administradores de sus equipos.

- Redes basadas en servidor: la mayoría de las redes tienen servidores dedicados, es

aquel que funciona solo como servidor y no se utiliza como cliente o estación, están
optimizados para dar servicio con rapidez a peticiones de los clientes, garantizar la
seguridad de los archivos y directorios, la división de tareas de la red entre varios
servidores asegura que cada tarea será realizada de la forma más eficiente posible.

Servidores especializados:

o Servidores de archivos e impresión: gestionan el acceso de los usuarios y el uso

de recursos de archivos e impresión, al ejecutar una aplicación de
tratamientos de textos, dicha aplicación se ejecuta en su equipo. El
documento de tratamiento de textos almacenado en el servidor de archivos e
impresión se cargar en la memoria de su equipo de forma local, los servidores
de archivos e impresión se utilizan para el almacenamiento de archivos y
datos.
o Servidores de aplicaciones: en un servidor de aplicaciones la base de datos
permanece en el servidor y solo se envían los resultados de la petición al
equipo que realiza la misma, una aplicación cliente que se ejecuta de forma
local accede a los datos del servidor de aplicaciones, solo se pasara el
resultado de la consulta desde el servidor a su equipo local.
o Servidores de correo: funcionan como servidores de aplicaciones, datos
encargados de forma selectiva del servidor al cliente.
o Servidores de fax: gestionan el tráfico de fax hacia el exterior y el interior de la
red, compartiendo una o más tarjetas modem fax.
o Servidor de comunicaciones: gestionan el flujo de datos y mensajes de corro
entre las propias redes de los servidores o usuarios remotos que se conectan a
los servidores utilizando módems y líneas telefónicas.
o Servidores de servicios de directorio: permiten a los usuarios localizar,
almacenar y proteger información en la red.

SO: un servidor de red y su SO trabajan conjuntamente como una unidad.

Ventajas de las redes basadas en servidor:

o Compartir recursos: un servidor está diseñado para ofrecer acceso a mucho

archivos e impresoras manteniendo el rendimiento y la seguridad d e cara al
usuario, puede ser administrada y controlada de forma más centralizada.
 o Seguridad: hay un administrador que define la política y aplica a todos los
usuarios de la red, pudiendo gestionar la seguridad.
o Copia de seguridad: pueden ser programadas incluso si los servidores están
localizado sen sitios distintos de la red.
o Redundancia: los datos de cualquier servidor pueden ser duplicados. Aun en el
caso de que ocurran daños en el área primaria se puede usar una copia de
seguridad.
o Número de usuarios: una red basada en servidor puede soportar un número
ilimitado de usuarios, las utilidades actuales de monitorización y gestión de la
red hacen posible gestionar grandes cifras de usuario.
o Hardware: puede estar limitado a las necesidades del usuario.

2. SISTEMAS OPERATIVOS DE RED

Al igual que un equipo no puede trabajar sin un SO, una red de equipos no puede
funcionar sin un SO de red.

Windows server: es el ejemplo más familiar y famoso donde el software de red del equipo
cliente se incorpora en el SO del equipo. El equipo personal necesita ambos SO para gestionar
conjuntamente las funciones de red y las funciones individuales.

Coordinación del software y del hardware: el SO de un equipo coordina la interacción entre el

equipo y los programas que está ejecutando. Controla la asignación y utilización de los
recursos hardware (memoria, CPU, espacio de disco, periféricos…). En un entorno de red, los
servidores proporcionan recursos a los clientes de la red y el software de red del cliente
permite que estos recursos estén disponibles para los equipos clientes.

Multitarea: un SO multitarea proporciona el medio que permite a un equipo procesar mas de

una tarea a la vez, tantas tareas como procesadores tenga, dos métodos básicos de multitarea:

- Con prioridad: el SO puede tomar el control del procesador sin la cooperación de la

propia tarea.
- Sin prioridad: la propia tarea decide cuando deja el procesador, deben incluir algún
tipo de previsión que permite ejercer el control del procesador

Componentes software: Windows integra el SO de red y el SO del equipo, propiedad de

interoperabilidad en entornos de red multiplataforma. El servidor NetWare puede interoperar
con servidores Windows NT/2000, servidores Windows Server o Linux, un sistema operativo de
red:

- Conecta y coordina todos los equipos y periféricos.

- Proporciona seguridad controlando el acceso a los datos y periféricos.

Componentes principales de software de red:

- El software de red que se instala en los clientes.

- El software de red que se instala en el servidor.

Software de cliente: en un sistema autónomo, en un entorno de red, cuando un usuario inicia

una petición para utilizar n recuro que esta en un servidor, la petición se tiene que enviar o
redirigir desde el bus local a la red y desde allí al servidor que tiene el recurso solicitado, este
envío es realizado por el “redirector”: se inicia en un equipo cliente cuando el usuario genera
la petición de un recurso o servicio de red. El equipo del usuario se identifica como cliente,
puesto que está realizando una apetición a un servidor, este procesa la conexión solicitada por
los redirectores del cliente y les proporciona acceso a los recursos solicitados.

Designadores: el SO proporcionara diferentes opciones para acceder al directorio compartido.

Windows Server podría utilizar el icono conectar a unidad de red del explorador de Windows
para conectarse a la unidad de red.

Periféricos: los redirectores pueden enviar peticiones a los periféricos, con el redirector
podemos referenciar como LPT1, COM1 o USB1 impresoras de red en lugar de impresoras
locales. El redirector intercepta cualquier trabajo de impresión y lo envía a la impresión de red
especifica. La utilización del redirector permite a los usuarios no preocuparse ni de la ubicación
actual de los datos o periféricos. Para acceder a los datos de un ordenador de red el usuario
solo necesita escribir el designador de la unidad asignado a la localización del recurso y el
redirector determina el encaminamiento actual.

Software de servidor: permite a los usuarios en otras máquinas y a los equipos clientes, poder
compartir los datos y periféricos del servidor incluyendo impresoras, trazadores y directorios.
Si un usuario solicita un listado de directorios de un disco duro remoto compartido. El
redirector envía la petición al servidor de archivos que contiene el directorio compartido. Se
concede la petición y se proporciona el listado de directorios.

Compartir recursos: termino para describir los recursos que públicamente están disponibles
para cualquier usuario de la red, la mayoría de los SO también pueden determinar el grado de
compartición:

- Permitir diferentes usuarios con diferentes niveles de acceso a los recursos.

- Coordinación en el acceso a los recursos asegurando que dos usuarios no utilizan el
mismo recurso en el mismo instante.

Gestión de usuarios: los SO permiten al admin de la red determinar las personas o grupos de
personas que tendrán la posibilidad de acceder a os recursos de la red:

- Crear permisos de usuario controlados por el SO de red.

- Asignar o denegar permisos de usuario de red.
- Elimina usuarios de la lista de usuario que controla el SO de red.

Para simplificar la tarea de gestión de usuarios el SO permite la creación de grupos de usuarios.

Clasificando los individuos en grupos todos los miembros de un grupo tendrán los mismos
permisos asignados al grupo como una unidad. El admin puede asignar el nuevo usuario al
grupo apropiado con sus correspondientes permisos y derechos.

Gestión de la red: algunos SO de red avanzados incluyen herramientas de gestión ayudan a

controlar el comportamiento de la red, estas herramientas de gestión permiten detectar
síntomas del problema y presentar estos síntomas en un gráfico, el admin de la red puede
tomar la decisión correcta antes de que el problema suponga la caída de la red.

Selección de un SO de red: el SO de red determina la forma de compartir y acceder a los

recursos remotos, la selección del SO primero se determina la arquitectura de red
(cliente/servidor o workgroup) a menudo esta decisión se basa en los tipos de seguridad, las
redes basadas en servidor permiten incluir más posibilidades relativas a seguridad; cuando la
seguridad no es una propiedad a considerar, puede resultar más apropiado un entorno de red
workgroup.
El siguiente paso es determinar los tipos de interoperabilidad necesaria en la red para que se
comport6e como una unidad. Si se basa en la utilización de un servidor, es necesario realizar
estimaciones futuras para determinar si la interoperabilidad va a ser considerada como un
servicio en el servidor de la red o como una aplicación cliente en cada equipo. La
interoperabilidad basada en servidor es mas sencilla de gestionar puesto que al igual que otros
servicios se localiza de forma centralizada, la interoperabilidad basada en cliente requiere la
instalación y configuración en cada equipo, es mucho más difícil de gestionar, pero se pueden
encontrar ambos métodos (un servicio de red en el servidor y aplicaciones cliente en cada
equipo) en una misma red.

Cuando se selecciona un SO de red, primero se determinan los servicios de red que se

requieren, incluyen seguridad, compartición de archivos, impresión y mensajería… los servicios
adicionales incluyen soporte de interoperabilidad para conexiones con otros SO.

Los SO de red basados en servidor más importantes son:

- Microsoft Windows NT 4
- Windows Server 2000 / 2003

Los SO de red basados en workgroup más importantes son:

- AppleTalk
- Windows 95 / 98
- Linux y Solaris o Windows 7, 10 (en la actualidad)

2.1. SISTEMAS OPERATIVOS DE RED MICROSOFT

Windows Server: combina el SO del equipo y de red en un mismo sistema, configura un equipo
para proporcionar funciones y recursos de servidor a una red y las funciones de cliente de red.
Trabaja sobre una modelo de dominio, es una colección de equipos y usuarios que comparten
unas políticas de seguridad y una base de datos común (catalogo global). Cada dominio tiene
un nombre único, se debe designar un servidor como controlador principal de domino (PDC,
Primary Domain Controller). Este servidor mantiene los servicios de directorios y autentifica
cualquier usuario que quiera entrar en el sistema. Los servicios de directorios de Windows
Server se pueden implementar de varias formas utilizando la base de datos de seguridad y de
las cuentas, existen cuatro modelos de domino:

- Dominio único: un único servidor mantiene la base de datos de seguridad y de las

cuentas.
- Maestro único: una red con maestro único puede tener diferentes dominios, pero se
designa uno como el maestro y mantiene la base de datos de las cuentas de usuario.
- Maestro múltiple: incluye diferentes dominios y la base de datos de la cuenta se
mantiene en más de un servidor.
- Confianza completa: existen varios dominios, ninguno esta designado como maestro,
sino que todos confían completamente en el resto.

Entre los maestros existe una serie de funciones o roles únicos, Funciones Flexibles de
Operaciones de un solo maestro (FSMO):

- Maestre de esquema.
- Maestro de nombres de dominio.
- Maestro de Id. Relativo (RID).
 - Maestro emulador de PDC.
- Maestro de infraestructuras.

Servicios de Windows Server:

- Servicios de archivos: dos mecanismos que permiten compartir archivos en una red,
Workgroup, donde cualquier estación o servidor puede publicar un directorio
compartido en la red y 4especificar los atributos de los datos (sin acceso, lectura,
agregar, control total…) para compartir un recurso Windows Server debe tener
permisos de administrador. El siguiente nivel de compartición obtiene las ventajas de
las características de seguridad de Windows, puede asignar permisos a nivel de
directorio y a nivel de archivos, esto permite restringir el acceso a grupos o usuarios
determinados, es necesario utilizar NTFS. Cualquier cliente que no utilice NTFS puede
compartir la red, pero está limitado para publicar recursos compartidos no puede
utilizar las ventajas de las utilidades de seguridad de NTFS.

o Seguridad: Windows Server proporciona seguridad para cualquier recurso de

la red, 4el servidor de domino mantienen todos los registros de las cuentas y
gestiona los permisos y derechos de usuario, para acceder a cualquier recurso
de la red el usuario debe tener los derechos necesario para realizar la tarea y
los permisos adecuados para utilizar el recurso.
o Impresión: cualquier servidor o cliente puede funcionar como servidor de
impresión, compartir una impresora de red implica que este disponible para
cualquier usuario de la red, primero se pregunta si esa designada como
impresora local o de red y después aparece un cuadro de diálogo mostrando
todas las impresoras de red disponibles.

- Servicios de red:
o Mensajería: monitoriza la red, mensajes emergentes para el usuario…
o Alarma: envía las notificaciones recibidas por el servicio de mensajería.
o Exploración: proporciona una lista de servidores disponibles en los dominios y
Workgroups.
o Estación: conocido como redirector, es responsable de las conexiones con el
servidor.
o Servidor: proporciona acceso de red a los recursos de un equipo.

2.2. SISTEMAS OPERATIVOS DE RED DE UNIX

Un sistema UNIX en red está constituido por un equipo central y múltiples terminales para los
usuarios, incluye las prestaciones de red, diseñado específicamente para grandes redes,
presenta algunas aplicaciones para equipo personales. Es altamente adaptable al entrono
cliente/servidor. Se puede transformar en un servidor de archivo instalando el
correspondiente software del servidor de archivos desde su propio repositorio. Como host
UNIX puede responder a peticiones realizadas en las estaciones de trabajo. El software del
servidor de archivos es una aplicación más que se está ejecutando en el equipo multitarea. Un
cliente de un host UNIX puede ser otro equipo UNIX o cualquier otro equipo que ejecute un
SO, un redirector de archivos activara la estación para almacenar y recuperar archivos UNIX
cuando estos sestan en su formato original.
Redes locales Workgroup: es estas redes todas las estaciones son iguales y cada una de ellas
actúa como servidor o cliente, estas redes compartirán solo archivos e impresoras, la mayoría
de SO de red incluyen el software necesario para configurar una red de trabajo en grupo.

3. GESTION DE USUARIOS
Creación de cuentas de usuario: hace posible autenticar la identidad de la persona que se
conecta a la red, controlar el acceso a los recursos de dominio, auditar las acciones realizadas…
Windows solo crea dos cuentas predefinidas: la cuenta de administrador, que otorga todos los
derechos y permisos, y la cuenta invitado, que tienen derechos limitados. El resto de cuentas
las crea un administrador y son cuentas de domino (validas a lo largo de todo el domino), o
cuentas locales (utilizables solo en la maquina donde se crean).

Denominación de las cuentas de usuario: en Active Directory cada cuenta de usuario tiene un
nombre principal, el nombre principal es de forma predeterminada el nombre para iniciar
sesión en el domino Windows, el sufijo principal predeterminado es el nombre DNS del
dominio raíz en el árbol de dominios.

Opciones de las cuentas: se puede restringir el horario de inicio de sesión, así como la maquina
desde la que se inicia la sesión, también se puede decidir si se establece que las cuentas
caduquen.

Creación de cuentas de usuario del dominio: se pueden crear en el contenedor Users o en

algún otro contenedor o Organizative Unit, para crear un nuevo usuario el nombre no puede
coincidir con otro nombre de usuario o de grupo en el equipo que está administrando y debe
ser único en la OU y en el AD. Las contraseñas deberán establecerse de forma que se
bloquearan cuando se introdujeran contraseñas incorrectas (el número de intentos está
limitado por la LOPD).

Propiedades de cuenta de usuario:

- Pestaña General: documenta el nombre, descripción, ubicación de la oficina, correo

electrónico…
- Pestaña Dirección: documenta la dirección física del usuario.
- Pestaña Cuenta: nombre de inicio de sesión, restricciones de inicio de sesión, opciones
de la contraseña y si la cuenta caduca.
- Pestaña Perfil:
o Ruta de acceso al perfil: especifica la ruta completa de acceso al perfil del
usuario.
o Script de inicio de sesión: especifica el nombre de la secuencia de comandos
de inicio de sesión que va a utilizar esta cuenta de usuario. Están almacenadas
en el recurso compartido NETLOGON.
 Variables de secuencias de comando de inicio de sesión:
%homedrive%: unidad de disco que contiene el directorio
principal del usuario en la estación de trabajo local.
%homepath%: directorio principal del usuario.
%os%: SO del usuario.
%processor_architecture%: tipo de procesador de la estación
de trabajo.
 %processor_level%: nivel de procesador de la estación de
trabajo.
%userdomain%: domino donde está definida la cuenta.
%username%: nombre del usuario de la cuenta.
o Ruta de acceso local: ruta hacia la carpeta particular a la que el usuario puede
tener acceso que contiene archivos y programas de dicho usuario, la carpeta
particular predeterminada se encuentra en la unidad donde esta instalado
Windows en el equipo usuario.
o Conectar: permite asignar una letra a una ruta de acceso de una carpeta
compartida en otro equipo.

Situar los directorios principales en un servidor de archivos de la red tiene varias

ventajas:

 Copia de seguridad de los documentos centralizada.

 Los usuarios pueden acceder a sus directorios principales desde cualquier
equipo cliente.
 Se puede acceder a los directorios principales desde cl9ientes que ejecuten
cualquier SO de Microsoft.

o Pestaña Teléfonos: enumera números de teléfono adicionales del usuario.

o Pestaña Organización: documenta el título departamento, organización y
administrador directas del usuario.
o Pestaña Miembro: pertenencia a grupos del usuario.
o Pestaña Marcado: acceso telefónico del usuario.
o Pestañas Entorno, Sesiones, Control remoto: documenta el perfil de Servicios
de Terminal Server del usuario.

Grupos de usuario: Active Directory permite la creación de grupos de usuario para facilitar al
administrador las tareas de mantenimiento y gestión de los usuarios, pueden ser organizados
en grupos y aplicar sobre ellos actualizaciones de forma simultánea, tres tipos de grupos:

- Grupos globales: pueden contener cuentas de usuario y otros grupos globales del
mismo dominio, se usan para las tareas más cotidianas de gestión dentro del mismo
domino, no se propagan a otros dominios del mismo bosque.
- Grupos locales: a los miembros de los grupos locales solo se les pueden asignar
permisos dentro de un mismo dominio, los grupos locales pueden contener dentro de
ellos cuentas de cualquier domino, grupos globales de cualquier domino, grupos
universales de cualquier dominio y grupos locales del mismo dominio.
- Grupos universales: contienen cuentas de cualquier dominio del bosque, grupos
globales de cualquier dominio del bosque y grupos universales de cualquier dominio
del bosque, a estos grupos se le s pueden asignar permisos en cualquier dominio del
bosque, son útiles para consolidar grupos que abarquen varios dominios, debe
limitarse su uso a casos indispensables.

Búsqueda de cuentas de usuario: para buscar un usuario especifico hay que seleccionar el
ámbito de la búsqueda en el cuadro, en un entorno con una gran red se puede limitar la
búsqueda a una unidad organizativa especifica.
Perfiles de usuario: un perfil es un entorno personalizado específicamente para un usuario,
contienen la configuración de escritorio y de los programas del usuario. Cada usuario tiene un
perfil tanto si el administrador lo configura como si no, porque se crea un perfil
automáticamente para cada usuario cuando inicia sesión en un equipo, ventajas:

- Múltiples usuarios pueden utilizar el mismo equipo: con la configuración de cada uno
recuperada al iniciar sesión.
- Los cambios hechos por un usuario en el escritorio no afectan a otro usuario.
- Los perfiles de usuario de un servidor pueden seguir a los usuarios a cualquier equipo
de la red que ejecute Windows: podrá acceder a su entorno de trabajo desde cualquier
puesto de la organización.

La información del perfil puede ser una valiosa herramienta para configurar perfiles de
usuario, se pueden configurar perfiles obligatorios que permitan a un usuario hacer
cambios en el escritorio mientras está conectado, pero no guardar ninguno de los cambios.
Un perfil obligatorio siempre se muestra exactamente igual cada vez que un usuario inicia
sesión, tipos de perfiles:

- Perfiles locales: perfiles creados en un equipo cuando un usuario inicia sesión, el perfil
es especifico a un usuario, local al equipo y se almacena en el disco duro del equipo
local. Se crean en los equipos cuando los usuarios individuales inician sesión, la
primera vez que un usuario inicia sesión en un equipo, se genera una carpeta de perfil
para el usuario y los contenidos de la carpeta Default User se copian a ella. Si un
usuario tiene una cuenta local en el equipo además de una cuenta de dominio, tendrá
dos carpetas de perfil en el equipo local, una para cuando inicie sesión localmente y
otra para cuando inicie sesión en el dominio.
- Perfiles móviles: perfiles creados por un administrador y almacenados en un servidor,
después del inicio de sesión del usuario sea autentificado en el servicio de directorio se
copia al equipo local. Se inicia el procedimiento asignando una ubicación de un
servidor para perfiles de usuario y se crea una carpeta compartida con los usuarios que
tengan perfiles móviles. Se introduce una ruta de acceso a esa carpeta en la ventana
propiedades del perfil de los usuarios, cuando el usuario cierra la sesión, el perfil se
almacena tanto localmente como en la ubicación de la ruta de acceso al perfil del
usuario. Configuración de los perfiles móviles:
 Hay que asignar una ubicación en un servidor y completar:
 Crear una carpeta compartida en el servidor para los perfiles.
 Pestaña perfil / ventana propiedades / proporcionar una ruta de
acceso a la carpeta compartida.
 Desventajas principales:
 La acción de subir y descargar el perfil desde y hacia el servidor puede
comprometer el ancho de banda de red.
 Cada usuario que inicia sesión descarga su perfil al disco local, lo que
puede provocar problemas de espacio en disco si muchos usuarios
hacen uso del mismo.
- Perfiles obligatorios: se puede asignar a múltiples usuarios, para convertir un perfil en
perfil obligatorio se debe renombrar el archivo oculto Ntuser.dat a Ntuser.man

Dentro de cada perfil se encuentran las siguientes carpetas:

- Configuración local: datos de programa, historial y archivos temporales.

 - Cookies: mensajes enviados a un navegador web por un servidor web y almacenados
localmente para registrar información y preferencias del usuario.
- Datos de programa: configuraciones específicas de programa.
- Entorno de red: accesos directos a mis sitios de red.
- Escritorio: archivos, carpetas, accesos directos del escritorio y su apariencia.
- Impresoras, Menú Inicio, Mis documentos, Plantillas, Reciente, Send To…

Configuración de recursos compartidos y permisos: el objetivo principal de una red es

compartir recursos entre los usuarios, asegurarse de que todo el mundo puede utilizar los
recursos que necesita sin comprometer la seguridad de los archivos y el resto de los recursos,
tres tipos de capacidades:

- Derechos: asignados a los grupos predefinidos, el administrador puede extender los

derechos a grupos o individuos.
- Recursos compartidos: directorios o unidades de disco que están compartidos en la
red.
- Permisos: capacidades del sistema de archivos que se pueden conceder tanto a
individuos como a grupos.

Permisos en NTFS frente a FAT:

En NTFS se permite una seguridad tan granular que es prácticamente microscópica, se pueden
establecer permisos de varios tipos, se debe comenzar con la menor restricción posible y
añadir restricciones solo cuando se requieran.

En particiones con formato FAT se pueden restringir los archivos solo a nivel de carpeta, desde
la red y solo si la carpeta esta compartida.

En un volumen NTFS, los directorios pueden ser compartidos y también restringidos más
profundamente a casusa del significado de los permisos.

Para determinar los permisos reales de acceso a un recurso se siguen los siguientes pasos:

- Determinar el permios de compartición (FAT) efectivo: el permiso más restrictivo de

todos aquellos asignado a un usuario o a los grupos a los que el usuario pertenece.
- Determinar el permiso de NTFS efectivo: el más permiso de todos los permisos de
NTFS asignados al usuario y a los grupos a los que el usuario pertenece.
- El permiso global efectivo será el más restrictivo entre el permiso efectivo de
compartición (FAT) y el permiso efectivo de NTFS.

Recursos compartidos especiales: el sistema crea varios recursos compartidos especiales que
no se deberían modificar o eliminar, el recurso compartido especial es ADMIN$ que aparece
como C$, D$, E$... permiten a los administradores conectarse a unidades que en otro caso no
estarían compartidas. Existen como parte de la instalación del SO:

ADMIN$: se utiliza durante la administración remota de un equipo, solo los

administradores, operadores de copia y operadores de servidores se pueden conectar
a este recurso compartido.
C$: carpeta raíz de la unidad específica.
IPC$: utilizado durante la administración remota y cuando se revisan los recursos
compartidos, es esencial en la comunicación y no se debe cambiar, modificar o
eliminar.
 NETLOGON: servicio Inicio de sesión de red de un servidor que ejecuta Windows NT
Server cuando procesa los únicos de sesión en el dominio.
PRINT$: soporta impresoras compartidas.
REPL$: se crea en un servidor cuando un cliente de fax está enviando el fax.

Carpetas compartidas: forma más sencilla de crear carpetas compartidas es utilizar la consola
MMC con el complemento de carpetas compartidas, le asigna un nombre identificativo y se
asignan los permisos correspondientes. Se pueden definir recursos compartidos y una única
carpeta puede ser compartida más de una vez, un recurso compartido podría incluir control
total para administradores y otro recurso compartido para usuarios podría ser más restrictivo.

Permisos de recursos compartidos: los permisos de recursos compartidos establecen el

máximo ámbito de acceso, otras asignaciones de permisos pueden ser más restrictivas per no
pueden expandirse más allá de los límites establecidos por los permisos de recurso
compartido.

Definición de los permisos de recursos compartidos: establecer permisos de recursos

compartidos, compartir en el menú contextual, el tipo de acceso se establece por medio de la
lista de la parte inferior. Los permisos de recursos compartidos se pueden asignar a usuarios
individuales, a grupos y alas entidades especiales “Todos”, SYSTEM, INTERACTIVE, NETWORK y
Usuarios autentificados. Los tipos de recursos compartidos son:

- Leer: permite ver los nombres de los archivos y subcarpetas.

- Modificar: permite el acceso de leer además de agregar archivos y subdirectorios a la
carpeta compartida, modificar la información de los archivos y eliminar archivos y
subdirectorios.
- Control total: permite todo el acceso de modificar además de permitir cambiar
permisos y tomar posesión.

Asignación de directorios y unidades compartidas: se utiliza para conectarse a una carpeta o

unidad de disco para configurar conexiones para los usuarios.

Permisos para carpetas y archivos: en un volumen NTFS se pueden establecer permisos a nivel
de archivo, cualquier archivo puede otorgar a los usuarios diferentes tipos de acceso. Se deben
asignar permisos a grupos, no a usuarios individualmente. No hay que establecer permisos
archivo a archivo a menos que sea inevitable.

Consideración de la herencia:

- Permisos explícitos: se establecen en las carpetas que se crean.

- Permisos heredados: se derivan de un objeto primario a un objeto hijo, cuando se crea
una subcarpeta, hereda los permisos de la carpeta superior.

Para bloquear la herencia a nivel primario hay que desactivar la casilla de hacer posible
que lo permios heredables de un objeto primario se propaguen a este objeto.

Funcionamiento de los permisos: si no se realiza ninguna acción los archivos y carpetas dentro
de una carpeta compartida tendrán los mismos permisos que el recurso compartido, se
pueden asignar permisos tanto para directorios como para archivos a:

- Grupos locales de dominio, grupos globales, grupos universales y usuarios individuales.

- Identidades especiales como Todos y Usuarios autentificados.
Reglas importantes para los permisos:

- Una carpeta hereda permisos de su carpeta primaria y los archivos heredan sus
permisos de la carpeta en la que residen.
- Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permios, o
si pertenecen a un grupo que tienen permiso concedido, los permios son acumulativo
pero el permios denegar prevalece.
- El usuario que crea un archivo o carpeta es el propietario de ese objeto.

Configuración de permisos de carpetas y permios especiales: se establecen cuando se

establecen permisos en todos los archivos y subcarpetas de la carpeta.

La propiedad y su funcionamiento: cada objeto (tanto de AD como de un volumen NTFS) tiene

un propietario, que controla el modo en que se establecen los permisos y a quien se conceden.

Los administradores crearan y poseerán la mayoría de los objetos de AD de los s4erviodres de

red, los usuarios crearan los archivos de datos de sus directorios particulares y algunos
archivos de datos de los servidores de red., la propiedad se puede trasferir:

- El propietario actual puede conceder el permios Tomar posesión a otros usuarios.

- Un administrador puede tener posesión de cualquier objeto bajo su control
administrativo.

3.1. GESTION DE USUARIOS EN LINUX

Cuentas de usuario y de grupos en un entono Linux:

- Cuentas de usuario en entornos multiusuario: las cuentas de usuario en un sistema

Linux permiten que diferentes personas accedan al sistema al mismo tiempo o en
momentos diferentes sin interferir entre ellos.
Un usuario puede iniciar varias sesiones de forma simultánea.
 Nombre de usuario: nombre único que se proporciona a cada persona al hacer
login en el sistema existen reglas para crear estos nombres.
 Privilegios: el usuario solamente podrá acceder a los recursos a los que tenga
garantizado el acceso (directorios).
 Protección mediante contraseña: los usuarios deben proporcionar una
contraseña para acceder a un sistema linux.
- Permisos: el sistema de ficheros controla que usuario tienen permisos para acceder a
ficheros y para ejecutar
- Directorio Home: en Linux, cada cuenta de usuario tiene una cuenta home asociada, el
usuario tienen acceso completo a este directorio, implica que podrá crear, borrar y
almacenar fichero sen este directorio.
- Identificador de Usuario y Grupo: números que el SO utiliza para identificar de forma
inequívoca a un usuario o grupo internamente.
- Shell por defecto: cuando un usuario accede a Linux puede introducir comandos a
través de una consola que es un intérprete de línea de comandos, se denomina “Shell
prompt”. Permite interpretar los comandos para pasárselos al kernel o núcleo del SO,
selecciona diferentes shells o interpretes de comandos, toda la información de las
cuentas de usuario se almacena en los ficheros de configuración: /etc/passed y
/etc/shadow
- Cuentas de usuario en un sistema multitarea: el SO Linux es tanto multiusuario como
multitarea. Las cuentas de usuario en linux se basan en la idea de que varios usuarios
puedan acceder al sistema a la vez, localmente o mediante una conexión de red al
sistema multitarea que puede ser utilizado por diferentes usuarios de forma
sim8ultanea, precisa de conectividad a través de red. Los usuarios pueden utilizar
varios programas a la vez. Al proporcionar a cada usuario una cuenta diferente propia,
el administrador tienen la capacidad de controlar la seguridad por usuario. Aunque
Linux es un sistema multitarea, no soporta un número ilimitado de usuarios
simultáneos, si un gran numero de usuarios acceden todos experimentaran un
decremento en el rendimiento de dicho programa, la cantidad de usuarios que un
sistema Linux simple puede soportar depende de varios factores, la distribución, los
programas utilizados, RAM, CPU…
- Cuenta de superusuario: cuenta “root” se crea por defecto durante la instalación del
SO, es la cuenta que utiliza el administrador del sistema para realizar cualquier tarea
administrativa en el sistema Linux, se puede usar:
 Accediendo al sistema con la cuenta “root”: se puede utilizar para acceder al
equipo directamente a través de consola, solamente se puede realizar a través
de la consola principal, una vez logueado, cualquier acción que se realice en el
sistema es llevada a cabo como “root”.
 Comando SU: se puede utilizar para adquirir temporalmente los privilegios de
superusuario para realizar tareas administrativas o para ejecutar programas
que requieran privilegios de superusuario, se solicitara la contraseña de roo y
si es correcta se obtendrán lo privilegios, el comando SU puede utilizarse
también para conmutar a otras cuentas de usuario.
 Comando SUDO: permite a un administrador seleccionar ciertos comandos
que pueden ser tecleados sin ser “root” que de otra forma requerirían los
privilegios de superusuario, esto se hace editando el fichero /etc/sudoers y
especificando que usuario y que comandos podrán ejecutar dichos usuarios sin
convertirse en root.
 Ficheros SUID root: es posible seleccionar un fichero que se ejecute como si
fuese lanzado por el “root” pese a que haya sido ejecutado por cualquier otro
usuario del sistema.
- Cuentas de grupo: proporcionan un método para vincular a usuarios similares,
agrupándolos para mejorar la productividad y facilitar las tareas de administración de
cuentas, las cuentas de grupo son similares a las cuantas de usuario y se definen en un
único fichero /etc/groups, las cuentas de usuario se definen en /etc/passwd los grupos
también poseen un nombre y un GID. Las cuentas de grupo no son iguales que las
cuentas de usuario, estas sirven para agrupar un conjunto de cuentas de usuario de
características similares con el propósito de aplicar directivas de seguridad parecidas a
ellas.
- Crear y eliminar cuentas de usuario:
 adduser: el usuario root crea el resto de cuentas de usuario de sistema
mediante el comando adduser, cuando se introduce en el prompt, el SO realiza
las siguientes tareas: crea la cuenta de usuario, crea el directorio home
correspondiente y asigna los permisos por defecto.
 passwd: una vez creado una cuenta de usuario debe proporcionársele una
contraseña para loguearse en el sistema.
  deluser: forma más sencilla de liminar una cuenta de usuario es utilizar el
comando deluser, solamente puede ser ejecutado desde la cuenta root, el
comando eliminará la entrada correspondiente al nombre de usuario
especificado del fichero /etc/passwd, si se esta utilizando el formato de
contraseñas shadow, la cuenta de usuario se eliminara de /etc/shadows.
El directorio home correspondiente, con los fichros y subdirectorios que
contenga permanecerán en el sistema de ficheros si se desea eliminarlos se
debe utilizar la opción “-r” en el comando.
- Modificación de cuentas de usuario: se efectúa introduciendo comandos con
modificadores y parámetros, el comando usermod se utiliza para modificar las
características de una cuenta de usuario ya existente. Otras tareas como deshabilitar
una cuenta requieren que el administrador edite el fichero que almacena la
información del usuario en el sistema, las contraseñas de usuario se almacenan en un
fichero central denominado shadow, que están en el directorio /etc
Toda la información se ubica en una sola línea, separando los comandos entre si
mediante el símbolo “:”, para deshabilitar la cuenta lo único que hay que hacer es
colocar como primer carácter de la cadena de contraseña cifrada un “*” provocando
que el usuario no pueda loguearse.
- Creación de grupos y asignación de usuarios: los grupos en Linux pueden tener
cualquier número de usuarios, la asignación de miembros a un grupo se controla
desde el fichero /etc/group, contiene una lista con todos los grupos y sus
correspondientes miembros. Cuando un usuario se conecta al sistema Linux lo hace
dentro de su grupo primario, este es el grupo al que el usuario pertenece por defecto,
si un usuario quiere acceder a fichero so ejecutar programas que no están en su grupo
primario, debe conmutar de grupo aquel que este asociado con los ficheros a los que
quiere acceder o con los programas que quiere ejecutar. El usuario debes ser miembro
del grupo al que pretenda conmutarse. Se pueden implementar directivas de
seguridad para el acceso a fichero y programas en linux, para cambiar aun usuario
diferente se debe utilizar el comando newgrp. Solamente en root o superusuario
puede crear y administrar grupos, utilizando comandos de creación, renombrado y
borrado de grupos en el sistema. Para crear un nuevo grupo en Linux se utiliza el
comando groupadd.
Después de haber creado el grupo se pueden añadir usuarios utilizando el comando
useradd.
El comando gpasswd puede utilizarse para modificar grupos ya existentes, puede
utilizar:
-M: para asignar miembros a un determinado grupo.
-a nombreUsuario: añadir un usuario al grupo.
-d nombreUsuario: eliminar un usuario del grupo especificado.
-r: elimina la contraseña del grupo.
-R: indica que no se puedan añadir usuarios nuevos el grupo especificado con
el comando newgrp.
-A nombreUsuario [nombreUsuario]: el usuario root pueda especificar que
usuarios tienen privilegios para añadir o eliminar usuarios de los grupos, especificar las
contraseñas de grupo, este sobrescribe cualquier lista previa. Implica que todos los
nombres de usuario se deben introducir con esta opción.
El comando groups se utiliza para mostrar los grupos a los que pertenece el usuario en
un determinado momento, “root” es miembro de todos los grupos por defecto.
4. GESTION DE DISPOSITIVOS
Gestión de dispositivos en Windows Server: el almacenamiento local y de red se ha
simplificado para el usuario, proporciona soporte tanto para almacenamiento remoto como
para almacenamiento local y en medios extraíbles, todo de forma completamente
transparente al usuario, el usuario no tiene que preocuparse de si un programa o archivo se
almacena en disco, en cinta o en cualquier parte de internet, solo de que esté disponible
cuando sea necesario.

Terminología:

- Unidad física: disco duro.

- Partición: parte del disco duro.
- Unidad de asignación: parte más pequeña de espacio de disco administrado en un
disco duro o unidad lógica.
- Partición primaria: parte del disco duro que está marcada como unidad lógica
potencialmente de inicio para un SO.
- Partición extendida: partición no de inicio que se puede dividir en unidades lógicas.
- Volumen extendido: cualquier volumen dinámico que se pueda ampliar para que
ocupe todo su tamaño inicial, cuando usa partes de más de un disco físico se
denomina volumen distribuido.
- Unidad lógica: partición de un disco duro que actúa como una única unidad. Las
particiones extendidas se pueden dividir en múltiples unidades lógicas.
- Volumen lógico: unidades lógicas.
- Disco básico: disco duro tradicional se divide en una o más particiones, con una unidad
lógica en la partición primaria, y una o más unidades lógicas en las particiones
extendidas, los discos básicos no admiten las funciones más avanzadas del
administrador de discos, pero en la mayoría de los casos se pueden convertir en discos
dinámicos.
- Discos dinámicos: disco duro administrado con el administrador de discos que se
puede utilizar para crear diversos volúmenes y redimensionarlos en caliente.
- Volumen: unidad de espacio de disco compuesta por una o más secciones de uno o
más discos dinámicos.
- Volumen simple: equivalente del administrador de discos a las particiones.
- RAID (Redundant Array Independent Disks): varios discos en un array para formar un
volumen de mayor tamaño tolerante a fallos y mejor rendimiento.
- Volumen distribuido: partes de discos duros combinadas en una única unidad
direccionable, se le da formato como una unidad simple y puede tener asignada una
letra, no proporciona tolerancia a fallos.
- Volumen seccionado: combina partes de múltiples discos duros en una única entidad,
utiliza un formato especial para escribir de igual forma en cada una de las partes de las
secciones incrementando el rendimiento. Los volúmenes seccionados no proporcionan
tolerancia a fallos, pero son más rápidos que los volúmenes distribuidos o las unidades
simples, suelen ser RAID 0.
- Volumen espejo: un par de volúmenes dinámicos que contienen datos idénticos y que
aparecen en el mundo como una única entidad, en caso de errores den la parte de una
unidad, el otro disco duro se puede desdoblar para que se continúe proporcionando
acceso completo a los datos almacenados en la unidad, se denomina RAID 1.
 - Volumen RAID 5: combina partes de múltiples discos duros en una única entidad con
datos escritos por igual a través de las múltiples partes, se escribe información de
paridad para cada sección dentro de las distintas partes, proporciona un excelente
rendimiento en las operaciones de lectura, pero es sustancialmente mas lento que las
restantes opciones.
Administración de discos: RAID se puede implementar a nivel de software o hardware, cuando
es a nivel de hardware el vendedor proporciona una interfaz de administración para los arrays
y las unidades para administrar que pueda trabajar con diversos SO.

La administración de discos en Windows Server brinda una interfaz basada en la consola de

administración (MMC), permite administrar discos locales y discos remotos en otras
computadoras.

Discos dinámicos: concepto de discos dinámicos, se da la posibilidad de administrarlo sin la

necesidad de reiniciar en la mayoría de las ocasiones, ampliar un volumen de disco, extender
un volumen entre múltiples discos duros, realizar secciones de un volumen para mejorar su
rendimiento, hacer un espejo o añadirlo a un array RAID 5, todo desde MMC y sin tener que
reiniciar, la creación inicial o conversión de un disco básico a disco dinámico si necesitara
reinicio.

Tareas de administración de discos: si se ejecuta el administrador de discos se tienen la

posibilidad de administrar solo los recursos de la computadora local.

Añadir una partición o volumen: es necesario instalar y conectar físicamente el a unidad,

Windows reconocerá automáticamente el nuevo hardware y lo pondrá disponible, si el disco
ya esta particionado y dad formato se podrá utilizar de inmediato, si el nuevo disco no está
marcado será necesario prepararlo primero, se recomienda que se actualice a disco dinámico.

Creación de un volumen: entre las opciones se incluyen, simple, distribuido, seccionado (RAID
0), reflejado (RAID 1) y RAID 5. Se seleccionan los discos dinámicos a usar para el nuevo
volumen. Hay que ajustar el tamaño del nuevo volumen, por defecto, utilizara el máximo
espacio disponible de cada uno de los discos seleccionados, para volúmenes distribuidos este
será la suma de los espacios libres de los discos seleccionados; el resto de los volúmenes será
el numero de veces que aparezca en los discos el espacio disponible de la parte más pequeña
de los discos seleccionados. Los volúmenes montados se pueden utilizar para proporcionar una
mezcla de almacenamiento redundante y no redundante en una estructura lógica que cumpla
con las necesidades de negocio de la empresa, oculta a los usuarios las complejidades de la
estructura física.

Creación de una partición: si es un disco no extraíble se podrá escoger entre partición primaria
o partición extendida, los discos básicos pueden alojar hasta cuatro particiones primaria o tres
particiones primarias y una extendida, se especifica que parte del espacio disponible del disco
se desea utilizar para esta partición. Si se esta creando una partición primaria hay que
selecciona una letra de unidad o un puto de montaje para la nueva partición, el formato puede
ser FAT32, exFAT y NTFS, pero solo este ultimo admite todas las características avanzadas de
Windows. Se puede elegir entre activación de la compresión de discos y capetas, cifrado de
unidades mediante BitLocker…

Creación de unidades lógicas en una partición extendida: si se ha cread una nueva partición
extendida, el siguiente paso es crear unidades lógicas se pueden asignar una o más unidades
lógicas en una partición extendida, cada unidad lógica se puede asigna una letra de unidad y
uno o mas puntos de montaje, se puede dar formato con cualquiera de los sistemas de
archivos admitidos independientemente del formato de las otras unidades lógicas. Se
especifica el tamaño d la unidad lógica que se va a crear se puede especificar la partición
completa a una única unidad o se puede dividir la partición en múltiples unidades.

Como eliminar una partición, volumen o unidad lógica: eliminar una partición unidad o
volumen es la misma tarea, con una excepción. Cuando se elimina una unidad lógica, se
termina con espacio libre en la partición, pero el resto de las unidades lógicas de la partición
permanecen intactas, no se puede eliminar una partición extendida hasta que se haya
eliminado primero todas las unidades lógicas se puede eliminar directamente una partición o
un volumen. Cuando se elimina un volumen, unidad lógica o partición se termina con espacio
libre y no asignado y sin datos en el volumen. El espacio que no está asignado en los discos
dinámicos se puede utilizar para crear espejos, ampliar volúmenes existentes, crear u array
RAID…

Como convertir un disco a disco dinámico: las ventajas de un disco dinámico son sustanciales,
existe un inconveniente. Debido a que no se pude arrancar desde o incluso ver un disco
dinámico desde otro SO, habrá que considerar dejar al menso el disco de inicio como unidad
básica.

Como extender un volumen: se puede añadir espacio a un volumen sin tener que hacer una
copia de seguridad, reiniciar y restaurar los archivos en el volumen, si el volumen esta en un
disco dinámico y si es un volumen simple o un volumen distribuido. Se hace convirtiendo el
volumen a volumen distribuido o extendido que incorpore espacio no asignado en cualquier
disco dinámico. En un volumen distribuido (extendido) en realidades menos fiable que un
disco simple, se perderá si falla cualquier disco del volumen. Para permitir que un volumen se
extienda sobre la marcha es necesario utilizar solo volúmenes simples o distribuidos, ninguno
es redunde exponiendo a los usuarios al riesgo de que la unidad falle. Windows utiliza los
términos extendido y distribuido de forma bastante indistinta cuando técnicamente un
volumen distribuido tiene que incluir más de un disco físico mientras que un volumen
extendido también puede hacer referencia a un volumen que tiene espacio adicional añadido
en el volumen simple original del mismo disco.

Como añadir un espejo: cuando los datos son cruciales y se desea tener seguridad hay que
considerar hacer un espejo de los datos en una segunda unidad. Para hacer un espejo de un
volumen se puede seleccionar el volumen a hacer el espejo cuando se crea el volumen o se
puede añadir un espejo a un volumen existente. Para mejorar la seguridad y fiabilidad total de
los datos se debe hacer un espejo de los volúmenes en discos que usen controladores distintos
siempre que sea posible, este proceso se conoce como duplexación y elimina el controlador de
disco como único punto de fallo para el espejo a la vez que aumenta la velocidad tanto para
lectura como para escritura del espejo.

Fallo de disco en un volumen espejo: si falla uno de los discos de un volumen espejo, se
continuará teniendo acceso pleno a los datos sin perdida alguna. Windows enviara una alerta,
marcara el disco fallido y lo dejara fuera de línea, pero continuara leyendo y escribiendo desde
la otra mitad del volumen. Avisará y ya no se dispondrá de tolerancia a fallos en ese volumen y
cualquier fallo adicional se convertirá en perdida de datos. Una vez reemplazado el disco
fallido, el espejo comenzara automáticamente la regeneración.

Como quitar un espejo: los datos de uno de los discos permanecen intactos pero el otro se
convierte en espacio no asignado, se pierde toda redundancia y protección de datos.
Como romper un espejo: si un disco falla y se reemplaza con uno idéntico, se debe dividir el
espejo antes de que el reemplazo este disponible, la división de un espejo permitiendo al disco
presente continuar funcionando con normalidad hasta que este disponible el reemplazo de
disco, una de las mitades continúa teniendo la misma letra de unidad y la segunda se le asigna
la siguiente letra disponible.

Como convertir un volumen o partición de FAT a NTFS: hay que ejecutar una utilidad de la línea
de comandos “convert<nombrevolumen puntomontaje letraunidad:> /fs:ntfs” Si alguien tiene
un archivo abierto en el volumen y el programa no puede obtener acceso exclusivo a él se
ofrecerá la oportunidad de planificar la conversión para la próxima vez que se reinicie el
sistema. No existe ninguna forma de evitar la conversión una vez que nos henos
comprometido a ella.

Como dar formato a una partición o volumen: antes de que se pueda usar una partición,
unidad lógica o volumen ha de estar formateada, el formato impone la estructura necesaria
para admitir el sistema de archivos cuando se crea por primera vez y después siempre que se
desee limpiarlo se puede usar el formato para cambia el tipo de sistema de archivos de luna
unidad, partición o volumen por todos los datos se destruirán. Se recomienda utilizar NTFS a
menos que haya una razón de peso para no hacerlo, como permitir que la computadora
admita arranque dual con otros SO (FAT32). Cuando se formatea una unidad en el formato que
sea podemos usar el formato rápido, esta opción formatea la unidad en mucho menos tiempo.
La versión larga y completa del formato busca defectos en toda la unidad.

NTFS V5: Windows server ha realizado cambios sustanciales en NTFS para admitir nuevas
características incluyen cuotas de disco y la posibilidad de cifrar archivos y sistemas de archivos
completos a nivel de disco físico.

Cuotas de disco: por defecto están desactivadas, para definir los limites de uso de disco se
usan:

- Denegar espacio de disco a usuarios que excedan el limite de cuota: se hacen cumplir
las cuotas en todo uso del disco.
- Limitar espacio de disco a: especificar los límites de uso de espacio para los nuevos
usuarios del volumen.
- Establecer el nivel de advertencia en: indica el limite en el cual los usuarios recibirán
un mensaje de aviso.
- Opciones de registro: registrar cuando los usuarios excedan su limite de aviso o de uso.

Cifrado a nivel de sistemas de archivos: NTFS añade la posibilidad de cifrado de archivos

individuales o de subdirectorios completos de forma totalmente transparente, para cualquier
excepto el creador/cifrador, los archivos no están disponibles, e incluso si alguien consigue
acceso a ellos, no podrán leer la información ya que se almacenan de forma cifrada. El cifrado
es un atributo avanzado del archivo al igual que la compresión un archivo no puede estar
comprimido y cifrado al mismo tiempo se les puede realizar una copia de seguridad mediante
procedimientos normales de copia de seguridad, permanecen cifrados cuando se realiza la
copia de seguridad, y los restaurados mantienen su cifrado. Ningún usuario excepto el
verdadero creador de un archivo cifrado tiene acceso al archivo. El cifrado solo esta disponible
en el sistema de archivos NTFS versión 5, si se copia el archivo a un sistema de archivos
distinto este ya no estará cifrado. Cuando se cifra una carpeta, todos los archivos creados en
esa carpeta se cifran a partir de ese momento, si se elige cifrar los contenidos de una carpeta
cuando esta ya contiene archivos y subcarpetas, esos archivos y subcarpetas se cifrará solo
para el usuario que realiza el cifrado. Cuando se cran nuevos archivos en la carpeta cifrada, los
archivos se cifran para el uso por el creador del archivo, no para el usuario que activo el cifrado
de la carpeta.

4.1. GESTIÓN DE IMPRESIÓN EN WINDOWS SERVER

Está diseñado para la impresión en red, las aplicaciones envían los trabajos de
impresiona las impresoras conectadas aun servidor de impresión de Windows Server.
Utilizando un ordenador que esté ejecutando Windows server como el servidor de impresión
de red se puede imprimir desde cualquier SO soportado que utilicen las computadoras de red.

Terminologia:

- Impresora: la interfaz software que define donde un documento va a alcanzar el

dispositivo de impresión (un puerto local, un puerto de red, un archivo…), cuando va a
ir y como van a ser tratados. Cuando los usuarios hacen conexiones a impresoras
utilizan nombres de impreso aras que apuntan a uno o más dispositivos de impresión.
- Dispositivo de impresión: es el dispositivo hardware que produce los documentos
impresos:
 Dispositivos de impresión locales: conectados a un puerto físico, esta
conectado a la computadora. Un dispositivo de impresión local esta conectado
a la computadora mediante una interfaz local.
 Dispositivos de impresión en red: están conectados a un servidor de impresión
a través de la red en lugar de un puerto físico , requiere sus propias tarjetas de
interfaz de red y tienen sus propias direcciones de red, una impresora en red
es un nodo de la red, las computadoras le envían los trabajos de impresión a
través de un adaptador de red.
- Servidor de impresión: ordenador en la que residen las impresoras asociadas con
dispositivos de impresión locales y de red, recibe y procesa documentos en las
computadoras clientes.
- Controladora de impresión: son uno o más archivos que contienen información que
requiere Windows para convertir los comandos de impresión en un lenguaje especifico
de impresoras (PostScript).

Requisitos:

- Al menos un equipo que funcione como servidor de impresión.

- Bastante RAM: para procesar los documentos, si un servidor maneja un gran número
de impresoras o muchos documentos podría necesitar RAM supletoria.
- Espacio de disco en el servidor de impresión: asegurar que Windows pueda almacenar
documentos enviada al servidor de impresión.

Directrices para los entornos de impresión de red: conocer las necesidades de impresión de los
usuarios sin repetición innecesaria de recursos o retrasos en la impresión, directrices para
desarrollar una estrategia de red:

- Determinar los requisitos de impresión de los usuarios: numero de usuarios que

imprime y la carga de trabajo de impresión
- Requisitos de impresión de la compañía: numero y tipos de dispositivos de impresión
requeridos, tipo de cantidad de trabajo de cada dispositivo.
- Numero de servidores de impresión requeridos.
 - Donde localizar los dispositivos de impresión.

Configuraciones de impresión: so posibles varias configuraciones de clientes, servidores y

dispositivos de impresión, dependiendo de si es remoto o no, cuatro configuraciones básicas:

- Dispositivo de impresión local no remoto: esta enchufado a un puerto del ordenador,

el controlador de la impresora y la cola de trabajos están en esa computadora que
envía los datos a directamente al dispositivo de impresión.
- Pequeño grupo de equipos que comparten un dispositivo de impresión en red: una red
donde cada ordenador tienen igual acceso al dispositivo de impresión y no hay un
control central de impresión o de seguridad, cada equipo tiene su propia cola de
trabajos y no puede ver los documentos en la cola en el dispositivo de impresión por
otras computadoras.
- Configuración de red utilizando un servidor central de impresión: el acceso al
dispositivo de impresión es a través del servidor que esta conectado localmente al
dispositivo de impresión, la cola de trabajos se encuentra en el servidor y es visible
para cada cliente.
- Varios clientes que comparten un dispositivo de impresión en un dominio: el
dispositivo de impresión se conecta al servidor a través de la red, permitiendo que un
servidor de impresión que administre varios dispositivos de impresión.

Para crear y compartir impresoras, se utiliza el asistente para agregar impresoras en el servidor
de impresión, el software de la impresora debe estar ubicado en el servidor de impresión. Si el
dispositivo de impresión esta conectado en otra parte de la red, se debe crear un puerto para
el cuando se configure el software de impresora, crear una impresora significa instalar el
dispositivo de impresión o bien directamente en un servidor de impresión o bien en la red, y
luego se configura el software de la impresora que control el dispositivo de impresión en el
servidor de impresión.

Configuración de impresoras de red: configurar y compartir una impresora de red hace posible
establecer una impresora par un dispositivo de impresión conectado directamente al servidor
de impresión o se puede establecer una impresora para un dispositivo de impresión conectado
al servidor de impresión a través de red.

Instalación de dispositivos de impresión locales: se utiliza el asistente para agregar impresoras

al servicio de impresión.

Instalación de dispositivos de impresión en red: las conexiones de red transfieren los datos
mas rápidamente que las conexiones por el cable de las impresoras se añade una impresora
para un dispositivo de impresión de red utilizando el asistente para agregar impresoras.

Impresoras compartidas: si las demandas de impresión de la red aumentan y la red tiene una
impresora no compartida, se puede compartir de tal manera que los usuarios puedan imprimir
en el dispositivo de impresión, cuando se comparta una impresora:

- Es necesario asignar a la impresora un nombre compartido.

- Se puede tener disponibles los controladores para la impresora para múltiples SO de
cliente.
- Se puede publicar la impresora en los servicios de AD.

Administración de las impresoras de red: la ventana impresora permite realizar todas las
tareas administrativas, para dejar una impresora sin conexiona la red se debe acceder a la
impresora específica a través de esta ventana. Con el uso de los permisos de la impresora se
puede controlar quien puede utilizar la impresora, podría ser necesario limitar el acceso de
usuario a ciertas impresoras, tres niveles de permisos:

- Imprimir
- Administración de documentos
- Administrar impresoras

De manera predeterminada Windows asigna los permios de imprimir para cada impresora al
grupo de sistema Todos, permitiendo a todos los usuarios envía documentos a la impresora.

Gestión de las impresoras: incluye la asignación de formularios a las bandejas de papel y

definir una página de separación.

Asignación de formularios a las bandejas de papel: si un dispositivo de impresión tiene varias

bandejas se puede asignar un formulario a una bandeja específica, el formulario define el
tamaño del papel.

Definición de páginas de separación: una página de separación es un archivo que contiene

ordenes del dispositivo de impresión, dos funciones:

- Identificar y separar los documentos impresos.

- Cambiar entre los modos de impresión (se pueden utilizar paginas de separación para
determinar el lenguaje de descripción de página, PostScript o PCL).

Windows incluye cuatro archivos de páginas de separación:

 Pcl.sep: cambia el modo de impresión a PCL.

 Pscript.sep: cambia el modo de impresión a PostScript
 Sysprint.sep: imprime una página antes de cada documento, compatible con
PostScript.
 Sysprtj.sep: una versión de “Sysprint.sep” que utiliza caracteres japoneses.

Se pueden crear páginas de separación personalizadas creando un archivo “.sep”

Pausas, reanudaciones y cancelación de documentos: podría ser necesario pausar y reanudar

una impresora o cancelar todos los documentos de una impresora. También se puede “pausar”
una impresora dejándola sin conexión a la red, los documentos permanecen en la cola de
impresión.

Redirección de documentos a otra impresora: si una impresora esta conectada a un dispositivo

de impresión defectuoso se redirigen los documentos para que los usuarios no necesiten
reenviarlos, la nueva impreso debe utilizar el miso controlador de impresora que la impresora
actual. Para configurar una impresora 0para que utilice otro dispositivo de impresión local se
selecciona el puerto adecuado en el servidor de impresión y se cancela la selección del puerto
actual.

Gestión de los documentos: Windows permite gestionar documentos, incluye pausa, resumen,
reanudar y cancelar un documento si se produce un problema, se puede establecer a quien se
debería avisar, el nivel de y un tiempo determinado para que se imprima un documento.

Administración de impresoras desde un explorador web: la diferencia en la gestión con un

explorador web es la interfaz, basada en web. Para que un servidor de impresión de Windows
server soporte paginas web es necesario instalar en el servidor de impresión los servicios de
información de internet (IIS Internet Information Services). Se crea un directorio virtual
Printers debajo del sitio web predeterminado, este directorio apunta a la carpeta %systemroot
%\web\printers.

Definición de grupo de impresoras: un grupo de impresoras es una impresora que esta

conectada a múltiples dispositivos de impresión a través de múltiples puertos de un servidor
de impresión, pueden ser dispositivos de impresión locales o de red. Cuando se crea un grupo
de impresoras, los usuarios pueden imprimir documentos sin tener que averiguar que
dispositivo de impresión esta disponible, la impresora busca un puerto disponible.

Un grupo de impresoras tiene las siguientes ventajas:

- Disminuye el tiempo que esperan los documentos en el servidor de impresión.

- Simplifica la administración porque se pueden administrar múltiples dispositivos de
impresión desde una sola impresora.

Definición de prioridades entre impresoras: hace posible establecer prioridades entre grupos
de documentos que se imprimen en el mismo dispositivo de impresión, los críticos siempre se
imprimen primero. Para definir prioridades entre impresoras, se apuntan dos o más al mismo
dispositivo de impresión, al mismo puerto.

La impresión y los servicios de AD: el subsistema de impresión esta estrechamente integrado

con los servicios de AD, haciendo posible buscar impresoras en distintas ubicaciones a través
de un dominio. Los servicios de AD son una base de datos distribuida compartida por los
controladores de dominio en la red. Las características referidas a la relación entre los
servidores de impresión y los servicios de AD, incluyen:

- Cada servidor de impresión no tiene afinidad con ningún controlador de domino

especifico, encuentra dinámicamente un controlador de domino.

Las impresoras se publican en el almacén de AD como objetos printQueu, estos contienen un

subconjunto de la información almacenada en el servidor de impresión. Cualquier impresora
compartida se publica en los servicios de AD.

4.2. COMANDOS BASICOS DE MANEJO DE FICHEROS DE LINUX

Los administradores disponen de tres categorías de permisos:

- Ejecución: controla la capacidad d e un usuario para acceder a un directorio.

- Lectura: controla la capacidad de leer su contenido.

Los permisos en Linux se controlan mediante el uso de 2 comandos:

- Chown: puede ser utilizado por todos los usuarios para especificar el usuario y grupo
propietarios de un fichero o directorio “chown nombreUsr.grupoUsr nombreFichero”
El concepto de propietario de un fichero define los permisos para un fichero pueden
ser establecidos por los usuario y grupos que sean propietarios del mismo.
Si se desea que el usuario tenga acceso completo al fichero y se deniegue al resto de
usuario del grupo el comando sería: “chmod 700 nombreFichero”
Este comando garantiza al usuario los permisos de lectura, escritura y
ejecución, mientras que se los deniega al resto de usuario del grupo y al resto de
grupos, cada digito representa tres tipos de usuarios del sistema el primero se refiere
 al propietario del fichero, el central al grupo y el derecho al resto de usuarios, se
especifican mediante tres bits por digito siendo el primer bit el de lectura, el central el
de escritura y el de la derecha de ejecución.

El atributo “sticky bit”: permite que a la hora de ejecutar un fichero el proceso generado tenga
los permisos establecidos en el propio fichero en lugar de los propios del usuario que los lanza.

“chmod digitoSticky digitoPropietario digitoGrupo digitoResto”

En el caso de un directorio, los permisos establecen que si un usuario tienen permios de

escritura en el directorio, puede modificar o borrar ficheros del directorio, incluso ficheros que
no le pertenezcan, el propietario del directorio puede activar el atributo “sticky bit” solamente
el usuario propietario del fichero, el propietario del directorio y el root podrán modificar o
borrar cualquier fichero del directorio.

Se debe configurar el permiso sticky en el directorio “testdir”:

El atributo “setuid”: es asignable a ficheros ejecutables y permite que el proceso adquiera los
permisos del propietario del fichero ejecutado. El ejemplo más claro de fichero ejecutable y
con bit “setuid” es “su”, al ejecutar una Shell con identificadores de grupo y de usuario
distintos al nuestro ha de tener este bit para permitir adquirir al usuario temporalmente
permios administrativos. “chmod usuario ± u /bin/su”

“setgid” hace lo mismo, pero adquiriendo los privilegios del grupo asignado al fichero.

5. GESTION DE SISTEMAS: MONITORIZACION Y CONTROL DE TRAFICO

El inventario software y hardware permite conocer los recursos de TI de la empresa, debe
incluir información acerca de cada ordenador o dispositivo de red, una lista del software
instalado y la ubicación físicas de cada dispositivo. Un método de inventario cada vez mas
frecuente consiste en recoger información empleando la propia red a la que están conectados
los dispositivos, los inventarios basados en red reducen significativamente el tiempo y el coste
de las auditorias, permiten realizar inventario programados de forma regular y con ellos se
dispone de información mas actualizada, no pueden ofrecer datos sobre la ubicación física de
cada dispositivo, los programas de inventario y seguimiento automático operan sobre:

- Recursos de TI de los que dispone

- Lugar en el que se encuentran ubicados físicamente
- Forma en que están configurados
- Cambios en los mismos
- Que aplicaciones software están instaladas
- Quien esta utilizando y con qué frecuencia las aplicaciones

Identificación Hardware y Software: es necesario obtener un registro completo de los

dispositivos de red y del hardware y software de cada pc, esto puede determinar si el
hardware es capaz de admitir una actualización, el identificador incluye la cantidad total y tipo
de memoria instalada, bancos de memoria libres, espacio en disco y dispositivos conectados.

Control de licencias de software: es necesario saber que usuarios usan una aplicación en
concreto y con que frecuencia lo hacen, es necesario mostrar la cantidad de instalaciones de
una aplicación y compararlo con el número de licencias adquiridas.
Distribución de software y actualizaciones de hardware: es necesario actualizar un paquete
software o distribuir dicho paquete por multitud de máquinas clientes, es necesario planificar
el proceso de instalación para no incurrir en duplicidad de instalaciones de diferentes
versiones del software. Hay aplicaciones que permiten la distribución de software en
ambientes multiplataforma a todo tipo de clientes (Microsoft Systems Management Server).

Compatibilidad: es necesario hacen un seguimiento del uso de los recursos de la red por estos
motivos:

- Vigilancia en el uso de privilegios de acceso

- Uso ineficiente de la red
- Planificación de crecimiento de la red

Es necesario obtener información acerca de los inicios y cierre de sesión, el tiempo que dicho
usuario mantuvo una sesión abierta, los programas que ejecutó y los archivos a los que
accedió.

Sistemas de control remoto para proporcionar servicios help-desk: herramientas de cliente de

terminal server para conectarse a servidores que ejecuten el servicio o programas gratuitos
como VNC y del pago como Team Viewer, Citrix…

Topología y mapas de red: es necesario conocer el espacio de direcciones empleado en una

red de ordenadores, la dirección de la red IP, la mascara de subred, las divisiones de subredes
y VLAN. Un mapa grafico de conexión a dispositivo con numeraciones de capa 3, nombres de
tomas de conexión interfaces de dispositivos, direcciones físicas MAC…

Protección contra virus: es inviable mantener software de antivirus con instalaciones y

actualizaciones manuales cliente por cliente, hay mecanismo de gestión software de antivirus
centralizados, Symantec System Center, Panda Software… Proporcionan mecanismos de
instalación centralizada/distribuida de aplicaciones de control de virus in necesidad de hacer
login en la máquina. Trabaja independientemente de dominio y/o grupos de trabajo, permiten
la monitorización de actualizaciones y eventos desde una consola central.

5.1. HERRAMIENTAS Y PROTOCOLOS

Necesidad de una gestión integridad desde un solo sistema que presenta sus
interconexiones en un mapa de la red, el objetivo de la plataforma es gestionar con
funcionalidades como:

- Interfaz gráfica de usuario (GUI)

- Mapa de la red
- Sistema de gestión de bases de datos (DBMS)
- Método estándar de consulta de dispositivos (protocolo)
- Registro de eventos (event log)

Ejemplos de plataformas:

 OpenView (correlación y gestión de eventos y traps SNMP, aislamiento de

fallos y análisis de causas)
 CiscoView (gestión de dispositivos de red, configuración y monitorización de
dispositivos, aplicación basada en web)
 SunNet Manager
Los objetivos fundamentales son:

- Gestionar de manera eficiente un conjunto especifico de dispositivos

- Integrarla con la plataforma a través del API y los menús de la interfaz
- Realizar u inventario de dispositivos
- Priorizar las áreas funcionales de gestión de red
- Analizar las aplicaciones de gestión de red

Ejemplos de aplicaciones de gestión de red:

 CiscoWorks (tareas de gestión de recursos estilo campus, configuración y

topología de la red, configuración remota de dispositivos de red, base de datos
de configuración)
 BayNetworks Optivity
 3Com’s Transcend

Nodos administrables: es un dispositivo tal que puede clasificarse en una de las tres categorías:
Host, Router, Dispositivo de acceso al medio

Estación de administración de red: es una maquina que ejecuta el protocolo de administración

de red y una o más aplicaciones de administración de red.

Entidades de doble función: las estaciones de administración solo interactúan con los nodos, el
modelo agente-administrador puede construir relaciones jerárquicas entre las estaciones de
administración se puede construir un sistema de administración donde cada segmento de una
LAN tiene una aplicación de administración que controlar el sestado de los dispositivos de ese
segmento, estas aplicaciones deberían informar a aplicaciones de estaciones de administración
regionales las cuales deberían informar a estaciones de administración entre empresas, el
software de cada estación realiza un papel de administrador al monitorizar y controlar
dispositivos.

Protocolos de administración de red: SNMP, RMON, CMIP (Common Management Information

Protocol), DMI (Desktop Management Interface)…

Información de administración: es la información a intercambiar entre la estación de

administración y el nodo utilizando el protocolo de administración, se denomina objeto
administrado (managed object) y un conjunto de dichos objetos se denomina modulo de base
de información de administración (MIB). La característica mas importante de los métodos
usados es la extensibilidad, se pueda comenzar con un pequeño conjunto de definiciones para
aumentarlo según crezcan las necesidades, un efecto lateral de la extensibilidad es que los
vendedores de dispositivos pueden añadir sus propios objetos para mejorar productos.

Estándares y protocolos de gestión de red: modelos de gestión integrada, permiten la

interconexión abierta entre los recursos de telecomunicación y las aplicaciones de gestión de
red, hay tres modelos principales:

- Gestión Internet: definido por la Internet Society, para gestionar redes TCP/IP
Incluye un conjunto de estándares:
 SNMP (Simple Network Management Protocol): un protocolo para
especificar el intercambio de datos entre agentes y gestores.
 SMI (Sturture of Management Information): especificación de una
estructura de base de datos.
  º
- Gestión de red: definido por ISO, gestionar los recursos según el modelo de ref. OSI
- Arquitectura TMN: definida por la ITU-T incluye el acceso a los recursos de
telecomunicación.
- RMON (Remote Network Monitoring): extensión para administración de LANs

Los dos primeros se refieren a redes de ordenadores mientras que el último es de utilidad
para los grades operadores de redes de telecomunicación.

Protocolo SNMP: protocolo de gestión de red, conjunto de estructuras y primitivas que

permiten tener datos concretos del trafico si como quien lo produce, se sitúa en la capa de
aplicación de la pila TCP/IP, emplea como protocolo de capa de transporte tanto TCP como
UDP en los puertos 161 y 162.

El protocolo SNMPv1 fue una solución a los problemas de comunicación entre diferentes tipos
de redes, se basaba en el intercambio de información de red a través de mensajes (PDUs) y era
fácilmente extensible a toda la red. Para subsanar las carencias surgió la versión 2 con
innovaciones como:

- Introducción de mecanismos de seguridad: protegen la privacidad de los datos,

confieren autentificación a los usuarios y controlan el acceso.
- Mayor detalle en la definición de variables.
- Añaden estructuras de la tabla de datos: poder usar tablas hace aumentar el numero
de objetos capaces de gestionar con lo que el aumento de redes dejo de ser un
problema.

Versión 3:

- Añade características de seguridad como privacidad, autentificación y autorización.

- Uso de lenguajes orientados a objetos (Java, C++) para la construcción de los
elementos propios del protocolo (objetos).

Ventajas de SNMP: su diseño es simple por lo que su implementación es sencilla en

grandes redes, ocupa pocos recursos de la red, permite al usuario elegir las variables que
desea monitorizar.

Desventajas de SNMP: grandes fallos de seguridad que pueden permitir a intrusos acceder
a información que lleva la red o bloquear terminales, estos problemas se solucionaron en
la versión 2 con la inclusión de 2 nuevas PDUs orientadas a la manipulación de objetos en
tablas.

Protocolo CMIP: protocolo de gestión de red que se implementa sobre el modelo de

interconexión de redes abiertas OSI además existe una variante del mismo llamado CMOT que
se implementa sobre del modelo TCP/IP. Es una arquitectura de gestión de red que provee un
modo de que la información de control y de mantenimiento pueda ser intercambiada entre un
gestor (manager) y un elemento remoto de red. Los managers residen en las estaciones de
gestión mientras que los procesos agentes residen en los elementos de red.

CMIP define una relación igual a igual entre el gestor y el agente en lo referido al
establecimiento y cierre de conexión y a la dirección de la información de gestión, las
operaciones CMIS (Common Management Information Services) se pueden originar tano en
gestores como en agentes. Para comunicarse entre si dos entidades de aplicación pares del
gestor y del agente se utilizan APDUs (Application Protocol Data Units).

CMIP está compuesto de los protocolos OSI siguientes:

- ACSE (Association Control Service Element): establece y libera asociaciones entre

entidades de aplicación, el establecimiento lo puede realizar el agente o el gestor.
- ROSE (Remote Operation Service Element): equivalente OSI a una llamada de un
procedimiento remoto, permite la invocación de una operación en un sistema remoto.
CMIP usa los servicios orientados a conexión para todas las peticiones, respuestas y
respuestas de error.
- CMISE (Common Management Information Service Element): proporciona los servicios
básicos de gestión para reportar eventos y manipular datos de gestión.

Ventajas de CMIP: no solo se puede enviar información de gestión desde o hacia un

terminal, sino que es posible desarrollar tareas que serán imposibles bajo SNMP (si un
termina no puede encontrar un servidor CMIP notifica el evento).

Desventajas de CMIP: requiere 10 veces mas recursos que SNMP, existe tal cantidad de
variables que solo programadores habilidosos son capaces de sacar todo el potencial.