Alberto Mendez Garcia

Practica 5 Derechos y permisos

A la hora de especificar qu se puede hacer y qu no en el directorio activo, y su organizacin y asignacin a las cuentas de usuario. En esta prctica vamos a definir los permisos y los derechos.

Derechos
Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de seguridad de archivos o de iniciar sesin en un servidor, por ejemplo, es un derecho que el administrador concede o retira. Los derechos se pueden asignar de forma individual, pero la mayora de las veces son caractersticos de los grupos, y un usuario se asigna a un grupo particular en base a los derechos que necesita. Los derechos estn divididos en dos tipos: Privilegios Derechos de inicio de sesin. Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o forzar el apagado desde un sistema remoto (son dos cosas que no suelen hacer los usuarios normales). Los derechos de inicio de sesin se explican por si mismos; implican la capacidad de conectarse a un equipo de formas especficas. Los derechos se asignan automticamente a los grupos predefinidos en el Directorio Activo, aunque se pueden asignar a usuarios individuales adems de a grupos. Es preferible la asignacin por grupos, ya que , en la medida de lo posible, se deberan asignar los derechos por pertenencia a un grupo para simplificar la administracin. Cuando la pertenencia a grupos define derechos, se pueden eliminar los derechos de un usuario eliminando simplemente al usuario del grupo A continuacin vemos algunos de los privilegios y derechos existentes en el Directorio Activo: Privilegios Nombre Agregar estaciones de trabajo a un dominio Realizar copias de seguridad Cambiar la hora del sistema Depurar programas Forzar apagado desde sistema remoto Aumentar cuotas Cargar y descargar controladores de dispositivo Administrar los registros de auditoria y seguridad Hacer perfil de un proceso

Descripcin

Permite especificar opciones de auditoria, y ver y borrar el registro de seguridad en el visor de sucesos. Permite tomar muestras de rendimiento de

1 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Hacer perfil del sistema Apagar el sistema

un proceso Permite tomar muestras de rendimiento del sistema

Derechos de inicio de sesin Nombre Tener acceso a este equipo desde la red Iniciar sesin local Iniciar sesin con servicios de terminal

Descripcin Permite la conexin al equipo a travs de la red Permite iniciar sesin desde el teclado del equipo Permite iniciar sesin como un cliente de servicios de terminal

Permisos
Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos especficos como archivos, directorios e impresoras. Por ejemplo, la pregunta de si un usuario puede leer un directorio en particular o acceder a una impresora de red es un permiso. Hay que distinguir entre los permisos de las carpetas compartidas y los permisos NTFS. NTFS es el sistema de ficheros que se utiliza en los sistemas operativos Windows 2000 y Windows 2003 y en Windows Xp si el administrador lo especifica durante la instalacin del mismo, y debido a sus caractersticas avanzadas con respecto a los sistemas de ficheros FAT permite definir polticas de seguridad de acceso, cuotas de asignacin de disco y encriptacin a nivel del sistema de ficheros. Cuando se decide asignar unos determinados permisos a un recurso compartido, hay que definir primero los permisos NTFS, y posteriormente se definirn los permisos del recurso compartido.

Permisos NTFS
A continuacin vamos a ver los tipos de permisos NTFS: Dentro de los permisos NTFS distinguimos entre permisos estndar y permisos especiales. Los permisos estndar son: Para los archivos: control total, modificar, lectura y ejecucin, leer y escribir Para las carpetas: control total, modificar, lectura y ejecucin, lista el contenido de la carpeta, leer y escribir Cada uno de estos permisos estndar son conjuntos de permisos especiales. En las siguientes tablas vemos una relacin de los permisos especiales que se corresponden con cada uno de los permisos estndar.

2 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Permisos especiales para las carpetas

Permisos especiales para los archivos

3 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Reglas Para Permisos

Las reglas ms importantes para los permisos se pueden resumir en: De forma predeterminada, las carpetas heredan los permisos de su carpeta principal. Los archivos heredan los permisos de la carpeta en la que se hallan. Los usuarios pueden tener acceso a las carpetas o a los archivos si se les ha concedido permiso para hacerlo o si pertenecen a un grupo que tenga concedido ese permiso. Los permisos son acumulativos, pero el permiso Denegar anula al resto. Por ejemplo, si el grupo Escritores tcnicos tiene acceso Leer a una carpeta, el grupo Proyecto tiene permiso Modificar para esa misma carpeta y Alejandro es miembro de los dos grupos, tendr el nivel de permiso ms alto, que es Modificar. No obstante, si el permiso del grupo Escritores tcnicos se modifica de manera explicita Denegar, Alejandro no podr utilizar la carpeta, a pesar de su pertenencia (y nivel de acceso evidentemente superior) al grupo Proyecto. El usuario que crea cada archivo o cada carpeta es el propietario de ese objeto y puede definir los permisos para controlar el acceso. Los administradores pueden tomar posesin de cualquier archivo o carpeta. Los miembros de los grupos Administradores, operadores de copia, y operadores de servidor pueden tomar posesin de cualquier objeto y reasignar esa posesin.

Configuracin de los permisos

Lo primero es crear una carpeta. Una vez creada accedemos a las propiedades de la misma para configurar los permisos NTFS.

En la siguiente ventana vemos los usuarios y grupos de usuarios que tienen definidos permisos sobre la carpeta

4 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Para aadir un grupo o usuario que tenga permisos sobre esta carpeta pulsamos el botn agregar.

Si no recordamos el nombre exacto del usuario o grupo de usuarios podemos hacer una bsqueda avanzada pulsando en el botn Avanzadas.

5 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Seleccionamos el usuario alumno1 y pulsamos el botn Aceptar. Ahora volveremos a ver la pestaa seguridad de las propiedades de la carpeta, en la cual ya aparece el usuario seleccionado y los permisos estndar asignados por defecto. Si se quiere modificar alguno de estos permisos basta con clickear sobre los checkbox que aparecen en la ventana.

6 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Si deseamos ver los permisos especiales pulsamos en el botn Opciones Avanzadas y nos movemos a la pestaa Permisos efectivos.

Una vez seleccionados los permisos especiales se pulsa el botn Aplicar, y despus el botn Aceptar, quedando los permisos NTFS de la carpeta configurados. El siguiente paso es configurar los permisos de la carpeta compartida.

Permisos Carpeta Compartida

Los permisos de los recursos compartidos definen tres tipos de acceso, de menos restrictivo a ms restrictivo: Leer Permite ver los nombres de los archivos y de las subcarpetas, ver los datos de los archivos y ejecutar programas. Modificar Permite el mismo acceso que leer y, adems, agregar archivos y subdirectorios a la carpeta compartida, modificar los datos de los archivos y eliminar archivos y subdirectorios. Control total Permite el mismo acceso que modificar y, adems, modificar permisos y tomar posesin de la carpeta. Para definir una carpeta compartida tenemos que pulsar con el botn derecho del ratn en la carpeta y seleccionar el men Compartir. Tambin es posible pulsar en propiedades y seleccionar la pestaa compartir.

7 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Seleccionamos la opcin Compartir esta carpeta y establecemos el nombre que queremos que tenga la carpeta como recurso compartido.

Para asignarle los permisos pulsamos en el botn Permisos.

8 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Administracin de recursos compartidos locales

Para realizar una administracin centralizada de los recursos compartidos locales accedemos a la herramienta administrativa Administracin de equipos

La siguiente ventana nos permite administrar distintos aspectos del equipo, en este caso vamos a centrarnos en las carpetas compartidas.

9 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Pulsamos en carpetas compartidas:

10 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Nos aparecen tres secciones: Recursos compartidos Aparecen ciertos recursos compartidos que estn definidos por defecto en el sistema, como son documentos c, IPC$ y print$ (soporta las impresoras compartidas)

Sesiones

11 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Archivos Abiertos

12 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Practica 7 Directivas de Grupo

En los sistemas operativos Windows Server 2000 y 2003 las polticas de grupo definen las configuraciones para usuarios, grupos de usuarios y ordenadores. Se puede crear una configuracin especfica de escritorio para cualquier grupo particular de usuarios. Estas configuraciones de polticas de grupo que se crean se encuentran ene le objeto polticas de grupo (GPO) que a su vez est asociado con objetos seleccionados del Directorio Activo, tales como sitios, dominios o unidades organizativas. Se denominan directivas de grupo al conjunto de valores de configuracin utilizados por el administrador para gestionar objetos que actan durante la inicializacin y la finalizacin de los equipos y durante el inicio y final de sesin de los usuarios. Por medio de estas directivas, el administrador controla los entornos de trabajo de los usuarios del dominio y el comportamiento de un objeto determinado. Las directivas de grupo se pueden utilizar para administrar las caractersticas que incluye la familia Microsoft Windows Server 2003, tales como instalacin de software, plantillas administrativas, configuracin de seguridad, secuencias de comandos, etc Las directivas de grupo afectan a usuarios y a equipos. Las directivas de grupo de usuario se activan en el momento que el usuario inicia su sesin, mientras que, por su parte, las directivas de grupo de equipo se activan al inicio de sistema. Las directivas de grupo constan de varios componentes configurables: Instalacin de software Plantillas administrativas Secuencia de comandos Redireccin de carpetas Configuraciones de seguridad

Configuracin de directiva de grupo

Dentro de las directivas de grupo hay dos nodos principales: Configuracin de la computadora: Incluyen polticas que especifican el comportamiento del sistema operativo, la apariencia del escritorio, la configuracin de las aplicaciones, las aplicaciones asignadas, las opciones de implementacin de archivo, las configuraciones de seguridad y los scripts de iniciar y apagar el ordenador. Configuracin del usuario Incluyen toda la informacin especfica del usuario tal como el comportamiento del sistema operativo, las configuraciones de escritorio, las configuraciones de aplicaciones, aplicaciones asignadas, configuraciones de seguridad, scripts de conexin y desconexin de usuarios. Se aplican las polticas de grupo relacionadas con los usuarios cuando estos se conectan al ordenador.

13 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Dentro de la configuracin del ordenador y de la configuracin del usuario existen las siguientes carpetas: Plantillas administrativas: o Sistema: controla caractersticas como el escritorio, las conexiones de red, las carpetas compartidas y el panel de control. o Internet Explorer: permite configurar caractersticas como las zonas de seguridad, la configuracin de proxy, las bsquedas y los archivos temporales de internet. o Reproductor de Windows Media: controla caractersticas como la configuracin proxy, cdec y el buffer de red. o NetMeeting: permite controlar caractersticas como compartir aplicaciones, audio, video y chat. o Windows update: permite configurar caractersticas como las actualizaciones automticas de software a travs de internet. Configuracin del software o La carpeta configuracin del equipo/configuracin de software contiene los valores de configuracin de software que se aplican a todos los usuarios que inician sesin en el equipo. Esta carpeta contiene la configuracin de software y puede incluir otros valores de configuracin procedentes de proveedores independientes de software. o La carpeta configuracin de usuario/configuracin de software contiene la configuracin de software aplicada a los usuarios, independientemente del equipo en el que inician sesin. Esta carpeta contiene tambin la configuracin de instalacin de software y puede incluir otros valores de configuracin procedentes de proveedores independientes de software. Configuracin de Windows o La carpeta configuracin de equipo/configuracin de Windows contiene los valores de configuracin de Windows que se aplican a todos los usuarios que inician sesin en el equipo. Esta carpeta tambin contiene los siguientes elementos: configuracin de seguridad y secuencias de comandos. o La carpeta configuracin de usuario/configuracin de Windows contiene la configuracin de Windows que se aplica a los usuarios, independientemente del equipo en el que se inician sesin. Esta carpeta contiene adems: redireccin de carpetas, configuracin de seguridad y secuencias de comandos.

14 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Prctica
En esta prctica vamos a ver primero cual es la directiva de seguridad que se aplica por defecto cuando se crea un dominio, y que usuarios y grupos de usuarios tienen permisos sobre el dominio. Para ello abrimos la herramienta administrativa: Equipos y usuarios de directorio activo. Una vez abierta, pulsamos con el botn derecho del ratn encima del dominio y seleccionamos la opcin Propiedades.

Seleccionamos la pestaa Directiva de grupo:

15 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Seleccionamos la directiva creada por defecto y pulsamos en el botn propiedades:

16 de 23

IES PIRINGALLA

Alberto Mendez Garcia

En la ventana que se ha abierto nos vamos a la pestaa seguridad, donde podemos ver los usuarios y grupos de usuarios y sus permisos asociados sobre el dominio (el objeto donde se est aplicando la directiva de seguridad):

Si deseamos especificar un mayor control sobre las operaciones que puede hacer en el dominio un determinado grupo de usuarios pulsamos en el botn de Opciones avanzadas, mostrndonos la siguiente ventana:

Para modificar los permisos de un determinado grupo de usuarios seleccionamos el grupo y pulsamos el botn modificar:

17 de 23

IES PIRINGALLA

Alberto Mendez Garcia

18 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Practica 2
En la siguiente prctica vamos a ver como podemos crear una nueva poltica de grupo y asignrsela a una unidad organizativa creada por nosotros. Lo primero es abrir la herramienta administrativa Usuarios y equipos de Directorio Activo, y seleccionamos la unidad organizativa sobre la que vamos a aplicar la directiva de grupo (UOPrimero). Para ello pulsamos con el botn derecho del ratn en la unidad organizativa y seleccionamos la opcin Propiedades:

Vemos que por defecto no tiene asignada ninguna directiva de grupo, con lo que lo primero que vamos a hacer es crear una nueva llamada aulaPrimero:

19 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Una vez creada, pulsamos el botn editar, abrindose la ventana de configuracin de directivas de grupo. (Obsrvese como se muestran los nodos explicados al principio de la prctica)

En este ejemplo vamos a configurar la poltica de grupo para que a los objetos usuarios contenidos dentro de la unidad organizativa UOPrimero se le aplique la restriccin de ocultar la ficha Escritorio de las propiedades de la Pantalla cuando inicien sesin en cualquier equipo. Para ello seguimos el siguiente camino en la ventana de edicin de directiva de grupo: Configuracin de usuario/Plantillas administrativas/Panel de control/Pantalla. Seleccionamos la opcin Ocultar la ficha de Escritorio:

20 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Pulsamos con el botn derecho del ratn sobre Ocultar la ficha Escritorio, y seleccionamos Propiedades

21 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Nos aparecen tres posibles opciones: No configurada: Toma por defecto lo configurado en la poltica de grupo superior, en este caso, la definida para el dominio. Habilitada: Habilita la opcin seleccionada, independientemente de lo que diga la poltica de grupo superior. Deshabilitada: Deshabilita la opcin seleccionada, independientemente de lo que diga la poltica de grupo superior.

Si no estamos seguros de lo que significa la opcin seleccionada, podemos ver uns descripcin en la pestaa Explicacin

22 de 23

IES PIRINGALLA

Alberto Mendez Garcia

Seleccionamos la opcin Deshabilitada, y pulsamos el botn Aplicar y el botn Aceptar.

Aunque en este ejemplo solamente se ha creado una poltica de grupo para el objeto UOPrimero, es posible definir varias polticas de grupo aplicndose todas ellas al objeto seleccionado.

23 de 23

IES PIRINGALLA

Administracin de Sistemas Operativos

30 de Mayo del 2005

Prctica 7: Administracin del sistema de ficheros (5 parte)

Continuaremos con el sistema de ficheros en esta 5 parte, y trataremos aspectos tan variados como son las carpetas compartidas y la programacin de tareas en el sistema.

Administracin de carpetas compartidas

Podramos definir recurso como cualquier dispositivo, conjunto de datos o programa usado por ms de un dispositivo o programa. En Windows, un recurso compartido es cualquier recurso disponible para los usuarios de la red, como carpetas, archivos, impresoras y canalizaciones con nombre (pipes con nombre). Un recurso compartido tambin puede ser un recurso de un servidor disponible para los usuarios de la red. Mediante la herramienta de Carpetas compartidas se puede ver un resumen de las conexiones y el uso de los recursos en equipos locales y remotos. Mediante Carpetas compartidas, se puede: crear, ver y establecer permisos para recursos compartidos. ver una lista de todos los usuarios conectados al equipo a travs de una red y desconectar alguno de ellos o todos. ver una lista de los archivos abiertos por usuarios remotos y cerrar alguno de ellos o todos.

Es necesario iniciar una sesin como miembro del grupo Administradores, grupo Operadores de servidores o grupo Usuarios avanzados para utilizar Carpetas compartidas. Para administrar de forma visual las carpetas compartidas, se accede desde Herramientas administrativas-> Administracin de equipos->Herramientas del sistema>Carpetas compartidas. O desde lnea de comandos con la orden net. Las subcarpetas de Carpetas compartidas contienen informacin, ordenada en columnas, acerca de todos los recursos compartidos, sesiones y archivos abiertos en el equipo. Los encabezados de las columnas de estas carpetas se definen de la siguiente manera: Recursos compartidos En la siguiente tabla se muestra la informacin que contiene Carpetas compartidas acerca de los recursos compartidos disponibles en el equipo. Columna Nombre de recurso compartido Descripcin Enumera los recursos compartidos disponibles en el equipo. En algunos casos, se supervisa una conexin de impresora como una conexin a una canalizacin con nombre. Recurso compartido puede ser un directorio compartido, una canalizacin con nombre, una impresora compartida o un recurso de tipo no reconocido. 1

Prctica 7: Administracin del sistema de ficheros (5 parte)

Administracin de Sistemas Operativos

30 de Mayo del 2005

Ruta de acceso a la carpeta Tipo Conexiones de cliente Descripcin Sesiones

Muestra la ruta del recurso compartido. Muestra el tipo de conexin de red: Windows, NetWare o Macintosh. Muestra el nmero de usuarios que estn conectados al recurso compartido. Describe el recurso compartido.

En la siguiente tabla se muestra la informacin que contiene la carpeta Sesiones acerca de todos los usuarios de red que estn conectados al equipo. Columna Usuario Equipo Descripcin Enumera los usuarios de la red conectados al equipo. Muestra el nombre del equipo del usuario conectado. Muestra el tipo de conexin de red: Windows, NetWare o Tipo Macintosh. Nmero de archivos Muestra el nmero de recursos abiertos por el usuario en este equipo. abiertos Muestra las horas y los minutos transcurridos desde que se Tiempo conectado estableci la sesin. Muestra las horas y los minutos transcurridos desde que este Tiempo de usuario inici una accin por ltima vez. inactividad Especifica si este usuario est conectado al equipo como Invitado invitado (se muestra S o No). Archivos abiertos En la siguiente tabla se muestra la informacin que la subcarpetas Archivos abiertos contiene acerca de todos los archivos abiertos en el equipo. Columna Archivo abierto Abierto por Tipo N de bloqueos Modo de apertura Descripcin Enumera los nombres de los archivos abiertos. Un archivo abierto puede ser un archivo, una canalizacin con nombre, un trabajo de impresin en una cola de impresin o un recurso de un tipo no reconocido. En algunos casos, un trabajo de impresin se muestra como una canalizacin con nombre abierta. El nombre del usuario que abri el archivo o tuvo acceso al recurso. El tipo de conexin de red: Windows, NetWare o Macintosh. Muestra el nmero de bloqueos de archivos de aplicaciones iniciadas en el recurso. Muestra el permiso concedido cuando se abri el recurso.

Prctica 7: Administracin del sistema de ficheros (5 parte)

Administracin de Sistemas Operativos

30 de Mayo del 2005

Permisos de recursos compartidos

Un recurso compartido proporciona acceso a aplicaciones, datos o datos personales de un usuario. Se pueden asignar o denegar permisos para cada recurso compartido. Se puede controlar el acceso a recursos compartidos mediante diversos mtodos. Utilizando permisos de recurso compartido, que son sencillos de aplicar y administrar. O bien, utilizando el control de acceso en el sistema de archivos NTFS, que proporciona control ms detallado del recurso compartido y su contenido. Tambin se puede utilizar una combinacin de esos mtodos. Si se utiliza una combinacin de esos mtodos, siempre se aplica el permiso ms restrictivo. Por ejemplo, si el permiso de un recurso compartido est definido como Todos = Lectura (que es el valor predeterminado), y el permiso NTFS permite que los usuarios realicen cambios en un archivo compartido, se aplica el permiso de recurso compartido y el usuario no puede realizar cambios en el archivo. No siempre es necesario denegar explcitamente un permiso a un recurso compartido. Normalmente, la denegacin de permisos slo es necesaria cuando se desea suplantar permisos especficos que ya estn asignados. En la familia de Windows Server 2003, cuando se crea un nuevo recurso compartido, se asigna automticamente el permiso de lectura, que es el ms restrictivo, al grupo Todos.

Permisos
Slo se aplican a los usuarios que obtienen acceso al recurso a travs de la red. No se aplican a los usuarios que inician una sesin localmente, como en un servidor Terminal Server. En esos casos, es necesario utilizar el control de acceso en NTFS para establecer permisos. Se aplican a todos los archivos y carpetas del recurso compartido. Si se desea proporcionar un nivel de seguridad ms detallado a las subcarpetas u objetos de una carpeta compartida, hay que utilizar el control de acceso en NTFS. Son la nica forma de proteger los recursos de red en volmenes FAT y FAT32, porque los permisos NTFS no estn disponibles en estos volmenes. Es necesario especificar el nmero mximo de usuarios que pueden tener acceso al recurso compartido a travs de la red. Esta caracterstica es adicional a la seguridad que proporciona NTFS. Se pueden asignar los siguientes tipos de permisos de acceso a las carpetas o unidades compartidas: Lectura Lectura es el permiso predeterminado que se asigna al grupo Todos. Lectura permite: Cambio Prctica 7: Administracin del sistema de ficheros (5 parte) 3 ver los nombres de archivos y de subcarpetas ver los datos de los archivos ejecutar archivos de programa

Administracin de Sistemas Operativos

30 de Mayo del 2005

Cambiar no es un permiso predeterminado para ningn grupo. El permiso de cambio proporciona todos los permisos de lectura, as como: agregar archivos y subcarpetas cambiar datos en archivos eliminar subcarpetas y archivos Control total Control total es el permiso predeterminado asignado al grupo Administradores en el equipo local. Proporciona todos los permisos de lectura y cambio, as como: cambiar permisos (slo en archivos y carpetas NTFS)

Configuracin sin conexin para recursos compartidos

Se puede utilizar Archivos sin conexin para trabajar con recursos compartidos aunque no se est conectado a la red. Al crear un recurso compartido, se puede especificar si desea que los archivos del recurso compartido se almacenan en cach de forma local en equipos cliente cuando otros usuarios tengan acceso a los archivos. Para hacer que los recursos compartidos estn disponibles sin conexin, Archivos sin conexin almacena una versin de los recursos compartidos en una parte reservada de espacio en disco del equipo cliente, que se llama cach del sistema de archivos. El equipo cliente puede tener acceso a esta cach aunque el equipo cliente no est conectado a la red. Se puede elegir una de las siguientes opciones de cach para cada recurso compartido: Slo estarn disponibles sin conexin los programas y archivos que especifique el usuario. Esta opcin proporciona control a los usuarios de los archivos que estn disponibles sin conexin. Todos los programas que el usuario abra desde el recurso compartido estarn disponibles sin conexin automticamente. Esta opcin permite que todos los archivos que los usuarios abran desde la carpeta compartida estn disponibles sin conexin de forma automtica. Si se activa la casilla de verificacin Rendimiento mejorado, todos los programas se almacenarn en cach de forma automtica para que puedan ejecutarse localmente. Esta opcin resulta especialmente til para los servidores de archivos que alojan aplicaciones, porque reduce el trfico de red y mejora la escalabilidad del servidor. Los archivos o programas desde el recurso compartido no estarn disponibles sin conexin. Esta opcin impide que los usuarios almacenen archivos sin conexin.

Cuando se crea un nuevo recurso compartido, el acceso sin conexin est permitido de manera predeterminada, lo que significa que pueden almacenarse recursos compartidos seguros sin conexin en equipos potencialmente inseguros. Para garantizar la mayor seguridad, es recomendable no permitir que los usuarios almacenen archivos sin conexin. Si se hace, hay que asegurarse de establecer los permisos adecuados mediante permisos de recurso compartido o control de acceso en el sistema de archivos NTFS.

Prctica 7: Administracin del sistema de ficheros (5 parte)

Administracin de Sistemas Operativos

30 de Mayo del 2005

Archivos sin conexin

Mediante Archivos sin conexin, se puede seguir trabajando con archivos y programas de la red aunque no se est conectado a ella. Si se pierde la conexin a la red o se desconecta el equipo porttil, la vista de los recursos de red compartidos que estn disponibles sin conexin permanece igual que cuando estaba conectado. Se puede continuar trabajando con ellos como normalmente se hace. Los permisos de acceso a esos archivos y carpetas son los mismos que los que tendra si se estuviera conectado a la red. Cuando el estado de la conexin cambia, aparece un icono de Archivos sin conexin en el rea de notificacin y se muestra un globo de recordatorio sobre el rea de notificacin para informar del cambio. Cuando se restaura la conexin a la red o se conecta el equipo porttil, todas las modificaciones realizadas mientras trabajaba sin conexin se actualizarn en la red de manera predeterminada. Si se realiza cambios en un archivo que tambin ha sido modificado por otra persona en la red, existe la opcin de guardar la versin de su archivo en la red, conservar la otra versin o guardar ambas versiones. La sincronizacin se puede iniciar manualmente o se puede configurar el Administrador de sincronizacin (mobsync) de manera que controle cundo se sincronizan los archivos sin conexin con la red. Archivos sin conexin controla si se realiza una sincronizacin completa o rpida. Una sincronizacin completa asegura que se tendr la versin ms actual de cada archivo de red disponible sin conexin. Una sincronizacin rpida es mucho ms rpida que una sincronizacin completa, pero no proporciona la versin ms actual de cada archivo de red disponible sin conexin. Sin embargo, una sincronizacin rpida asegura que una versin completa de cada archivo est disponible de manera que pueda continuar trabajando. Todos las carpetas o archivos compartidos en una red Microsoft pueden hacerse disponibles sin conexin. Se puede hacer que estn disponibles sin conexin archivos de cualquier equipo que admita el uso compartido de archivos e impresoras basado en bloques de mensajes del servidor (SMB), incluidos los equipos que ejecuten Microsoft Windows 95, Windows 98, Windows NT versin 4.0, Microsoft Windows XP y la familia Windows Server2003. Archivos sin conexin no est disponible en redes Novell NetWare. El administrador del sistema puede configurar carpetas compartidas de manera que los archivos de red que se abran en esas carpetas compartidas estn disponibles automticamente sin conexin o que solamente estn disponibles sin conexin los archivos de red que elija. Si se hace que un acceso directo a un archivo est disponible sin conexin, el archivo estar disponible sin conexin. Si se hace que un acceso directo a una carpeta est disponible sin conexin, el contenido de la carpeta no estar disponible sin conexin. En la familia Windows Server 2003, Archivos sin conexin no se habilita de manera predeterminada, por tanto para poder habilitarlo hay que acudir a Opciones de carpeta y pestaa de Archivos sin conexin, desde el explorador de Windows. Conflictos de archivos compartidos Cuando se sincronizan archivos, los archivos abiertos o actualizados mientras se estaba desconectado de la red se compararn con los archivos guardados en la red. Las Prctica 7: Administracin del sistema de ficheros (5 parte) 5

Administracin de Sistemas Operativos

30 de Mayo del 2005

modificaciones se copiarn en la red siempre y cuando los archivos que se hayan modificado mientras se encontraba sin conexin no los haya modificado otra persona. A continuacin, se ofrecen algunas situaciones habituales de conflictos de archivos: Si otra persona realiz modificaciones en el mismo archivo de red actualizado mientras estaba sin conexin, se tendr la opcin de conservar su versin, conservar la versin de la red o conservar ambas versiones. Si se decide guardar las dos versiones del archivo, se deber proporcionar un nombre de archivo diferente para su versin del archivo. Si se elimina un archivo de red en su equipo mientras trabaja sin conexin pero, al mismo tiempo, otra persona en la red est realizando modificaciones en ese archivo, el archivo se eliminar de su equipo pero no de la red. Si se modifica un archivo de red mientras trabaja sin conexin y otra persona en la red elimina ese archivo, puede elegir guardar su versin en la red o eliminarla de su equipo. Si est desconectado de la red cuando se agrega un nuevo archivo a la carpeta de red compartida que ha hecho que est disponible sin conexin, el nuevo archivo se agregar a su equipo cuando vuelva a conectarse y se realice la sincronizacin.

El administrador de sincronizacin
Mediante el Administrador de sincronizacin se puede controlar el momento en que los archivos sin conexin se sincronizan con los archivos de red. Esto garantiza que dispone de la informacin ms reciente de la red o de Internet cuando se necesita, al tiempo que se reducen las interrupciones al trabajar en el equipo. Se puede utilizar el Administrador de sincronizacin para sincronizar automticamente la informacin disponible sin conexin de las formas siguientes: Cada vez que inicie o cierre una sesin en el equipo. A intervalos especficos mientras el equipo est inactivo. A horas programadas.

Se puede aplicar esas opciones combinadas de varias maneras para archivos sin conexin en cada recurso compartido. El Administrador de sincronizacin compara los elementos de la red con los que han sido abiertos o actualizados mientras se trabajaba sin conexin y, despus, hace que est disponible la versin ms reciente tanto en el equipo como en la red. Entre los elementos que se pueden sincronizar se encuentran archivos individuales, carpetas y su contenido, y pginas Web sin conexin. El Administrador de sincronizacin proporciona una nica ubicacin en la que pueden sincronizarse archivos compartidos disponibles sin conexin, independientemente del tipo de archivo o programa empleado para hacer que el archivo se pueda usar sin conexin.

Recursos compartidos especiales

Segn la configuracin del equipo, se crean algunos o todos los recursos compartidos siguientes para uso administrativo y del sistema. Estos recursos compartidos no se pueden ver en Mi PC, pero se pueden ver mediante Carpetas Prctica 7: Administracin del sistema de ficheros (5 parte) 6

Administracin de Sistemas Operativos

30 de Mayo del 2005

compartidas. En la mayora de casos, se recomienda que no se elimine ni modifique recursos compartidos especiales. Se puede ocultar otros recursos compartidos a los usuarios si se escribe $ como ltimo carcter del nombre del recurso compartido (el signo $ pasa a formar parte del nombre del recurso). Esas carpetas compartidas se ocultan a Windows Explorer como recursos compartidos especiales, pero por lo dems no son especiales. Si se cambian los permisos en recursos compartidos especiales, como ADMIN$, puede que las opciones de configuracin predeterminadas se restauren cuando el servicio Server se detiene y se reinicia o cuando el equipo se reinicia.Hay que tener en cuenta que esto no es aplicable a los recursos compartidos creados por el usuario cuyo nombre termina en $. Puede que se vean algunos o todos los recursos compartidos administrativos siguientes en la carpeta Recursos compartidos en Carpetas compartidas: Otras aplicaciones pueden crear recursos compartidos especiales adicionales. letra de unidad$ : Recurso compartido que permite a los administradores conectar al directorio raz de una unidad. ADMIN$: Recurso que se utiliza durante la administracin remota de un equipo. La ruta de acceso a este recurso es siempre la raz del sistema (el directorio en el que est instalado el sistema operativo, por ejemplo, C:\Windows). IPC$: Recurso que comparte canalizaciones con nombre fundamentales para la comunicacin entre programas. IPC$ se utiliza durante la administracin remota de un equipo y al ver sus recursos compartidos. Este recurso no se puede eliminar. NETLOGON: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una prdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio. SYSVOL: Recurso necesario que se utiliza en los controladores de dominio. Si se elimina este recurso compartido, se produce una prdida de funcionalidad en todos los equipos cliente a los que da servicio el controlador de dominio. PRINT$: Recurso que se utiliza para la administracin remota de impresoras. FAX$: Carpeta compartida en un servidor utilizada por los clientes de fax durante el proceso de envo de fax. La carpeta compartida se utiliza para almacenar archivos en cach temporalmente y tener acceso a las portadas almacenadas en el servidor. Proteger los recursos compartidos Se puede controlar el acceso a los recursos compartidos mediante diversos mtodos. Se puede utilizar permisos de recurso compartido, que son sencillos de aplicar y administrar. Se puede utilizar el control de acceso en el sistema de archivos NTFS, que proporciona control ms detallado del recurso compartido y su contenido. Tambin se puede utilizar una combinacin de esos mtodos. Si se utiliza una combinacin de esos mtodos, siempre se aplica el permiso ms restrictivo. Prcticas recomendadas Prctica 7: Administracin del sistema de ficheros (5 parte) 7

Administracin de Sistemas Operativos

30 de Mayo del 2005

Los discos duros del equipo, como las unidades C o D, se comparten automticamente con la sintaxis letra unidad$, como C$ o D$. Estas unidades no se muestran con el icono de mano que indica la comparticin en Mi PC o en el Explorador de Windows y tambin estn ocultas cuando los usuarios se conectan a su equipo de forma remota. Si el equipo no est protegido por un servidor de seguridad y alguna persona conoce el nombre de usuario y contrasea de algn miembro del grupo Administradores, del grupo Operadores de copia o del grupo Operadores de servidor, esa persona tendr el mismo acceso al equipo que un administrador. Carpetas compartidas desde lnea de comandos Adems de Carpetas compartidas y el Explorador de Windows, se puede usar las utilidades de la lnea de comandos de la siguiente tabla para administrar recursos compartidos. Nombre Se utiliza para Permite ver y controlar los recursos compartidos en la red. Para poder utilizar net file este comando, el servicio Servidor debe estar en ejecucin. Permite ver el nmero mximo de usuarios que pueden tener acceso a un net recurso compartido y el nmero mximo de archivos abiertos por sesin. config net use Permite conectar un equipo a o desconectarlo de un recurso compartido. net Administrar conexiones de servidor. session net Permite crear, eliminar, administrar o mostrar recursos compartidos. share Muestra informacin acerca de los dominios, equipos o recursos compartidos Net view por el equipo especificado, incluida la configuracin de almacenamiento en cach de cliente sin conexin. net help Ver ayuda para los comandos de red.

Cifrar archivos sin conexin

Con Archivos sin conexin, se puede especificar que se cifren los archivos sin conexin. Si se decide cifrar los archivos sin conexin, slo se cifrarn los archivos del equipo local. Los archivos de la red no se cifrarn.

Programacin de tareas
Introduccin al programador de tareas
Con el Programador de tareas se puede programar secuencias de comandos, programas o documentos para ejecutarlos a la hora ms adecuada. Al instalar por primera vez un sistema operativo de la familia Windows Server 2003, el servicio Programador de tareas queda habilitado. De forma predeterminada, se deber pertenecer al grupo Administradores, Operadores de copia u Operadores de servidores en el equipo local para poder ver, agregar, modificar o eliminar tareas programadas, as como deshabilitar, pausar o reiniciar el servicio Programador de tareas. Con el Programador de tareas se puede hacer lo siguiente: Prctica 7: Administracin del sistema de ficheros (5 parte) 8

Administracin de Sistemas Operativos

30 de Mayo del 2005

Programar una tarea para que se ejecute diaria, semanal o mensualmente, o a determinadas horas (como al iniciarse el sistema). Cambiar la programacin de una tarea. Detener una tarea programada. Personalizar la forma en que se ejecutar una tarea a la hora programada.

Cada tarea programada que cree se almacena como un archivo .job en la carpeta \Windows\Tasks. El archivo .job contiene las propiedades y la informacin de configuracin de la tarea. Se Puede crear una tarea programada en un equipo y, a continuacin, arrastrar el objeto .job a un equipo remoto. Despus de arrastrar una tarea de un equipo a otro, se debe actualizar la informacin de cuenta relativa a la tarea antes de que se ejecute. Al quitar una tarea programada, slo se anula la programacin del archivo .job. El archivo de programa que ejecuta la tarea no se quita del disco duro.

El programador de tareas y la seguridad

Accesible desde Panel de control->Tareas programadas o bien desde lnea de comandos con las rdenes at y schtasks. Al crear una tarea programada se debe especificar un nombre de usuario y una contrasea en el Asistente para agregar tarea programada o en el cuadro Ejecutar como de la ficha Tarea, en el cuadro de dilogo de propiedades de la tarea programada. Al ejecutar la tarea programada, el programa se ejecutar como si hubiera sido iniciado por el usuario especificado y con el contexto de seguridad de ese usuario. Por ejemplo, si el usuario especificado para una tarea programada es miembro del grupo Operadores de copia del equipo local, el programa especificado en el archivo de tareas programadas se ejecutar como si un miembro de ese grupo hubiera iniciado sesin en el equipo local. Si otro usuario inicia sesin en el equipo cuando se est ejecutando una tarea programada especificada para otro usuario, la tarea se ejecuta pero no es visible para el usuario actual. De forma predeterminada, para programar una tarea se debe ser miembro del grupo Administradores, Operadores de copia u Operadores de servidores en el equipo local. Tambin de forma predeterminada, al crear una tarea programada, no se puede especificar un usuario que pertenezca a un grupo con ms derechos que el grupo al que se pertenece. Por ejemplo, si se es miembro del grupo Operadores de copia en el equipo local, no se puede especificar un miembro del grupo Administradores cuando cree una tarea programada. Sin embargo, un miembro del grupo Administradores puede habilitar un miembro de cualquier grupo para crear o modificar tareas programadas si utiliza el comando cacls y modifica la lista de control de acceso discrecional (DACL) en la carpeta Tasks DACL: Parte del descriptor de seguridad de un objeto que concede o deniega a usuarios especficos o grupos el permiso para tener acceso al objeto. Slo el propietario de un objeto puede cambiar los permisos concedidos o denegados en una DACL; en consecuencia, el acceso al objeto se realiza en funcin del criterio del propietario). De forma predeterminada, la carpeta Tasks est ubicada en la carpeta \Windows de la unidad de disco duro del equipo local, por ejemplo, C:\Windows\Tasks. Un usuario al que se asigne permisos sobre la carpeta Tasks mediante cacls podr tener acceso a las tareas programadas de todos los usuarios. Se debe elegir con prudencia los usuarios a los que se va a proporcionar acceso a la carpeta Tasks. Prctica 7: Administracin del sistema de ficheros (5 parte) 9

Administracin de Sistemas Operativos

30 de Mayo del 2005

En los sistemas operativos de la familia Windows Server 2003, las contraseas tienen fecha de caducidad. Si se programan tareas peridicas que se ejecutan indefinidamente, se debe conocer la fecha de caducidad de las contraseas. Si se cambia la contrasea de una cuenta en un dominio, se debe actualizar las tareas programadas para su ejecucin con esa cuenta. Cuando se crea un trabajo mediante el Programador de tareas, nicamente se almacena una vez la informacin de cuenta para todas las tareas que utilicen la misma cuenta ejecutar como. El Programador de tareas valida la cuenta ejecutar como cuando se crea un trabajo, lo que evita que se guarde informacin incorrecta de dicha cuenta y, como resultado, evita que se vean afectados otros trabajos existentes que utilizan la misma cuenta. Si se produce un error al validar la contrasea, se crea un archivo de trabajo, pero no se ejecuta. Si la contrasea de la cuenta ejecutar como ha caducado o la cuenta se ha eliminado y se ha vuelto a crear, debe actualizarse la contrasea para que se ejecuten los trabajos. Al actualizar la contrasea para un trabajo se actualiza automticamente para todos trabajos que utilizan la misma cuenta ejecutar como. Al crear una tarea programada, las credenciales de usuario que se especifiquen para esa tarea especfica se almacenan de forma segura en el equipo local.

Ejercicios propuestos
Gestionar carpetas compartidas, establecer permisos y configuracin desde la herramienta grfica y desde la lnea de comandos (net) 1. Crear recursos compartidos 2. Configurar los permisos de los recursos compartidos, con permisos NTFS, con permisos de recursos compartidos y combinando ambos. 3. Crear un recurso compartido en una unidad FAT32 y comprobar la asignacin de permisos sobre dicho recurso 4. Crear un recurso compartido configurndolo como archivo sin conexin y configurando las distintas opciones de cach 5. Configurar los archivos sin conexin para que se sincronicen a intervalos especficos, a una determinada hora o al iniciar o cerrar sesin en un equipo Realizar la programacin de alguna tarea, especificar cuentas vlidas, cambiar la contrasea de una cuenta con una tarea ya planificada (at y schtasks). Usar el comando cacls para modificar las listas de distribucin de acceso a la carpeta Tasks Detener, reiniciar y pausar el servicio de programacin de tareas Configurar tareas para recibir notificaciones de las tareas no ejecutadas Configurar tareas estableciendo las opciones de administracin de energa Acceder al registro de las tareas programadas ya realizadas

Prctica 7: Administracin del sistema de ficheros (5 parte)

10