Monografias | Microsoft Windows NT Server

Microsoft Windows NT Server posee avanzadas utilidades deadministración que lo hacen un poderoso Sistema Operativo de Red.

Incluye los siguientes servicios:

Potente Server para Empresas

En grandes entornos de redes, Windows NT Server da soporte alos siguientes entornos de computación:

Soporte a múltiples plataformas.

- Intel 80386, 80486, Pentium y procesadores futuros.

- PowerPC.

- MIPS .

- DEC Alpha AXP.

-Computadoras con simple o múltiple procesador (SMP).

Administración Centralizada

Las herramientas de administración de Windows NT Server haceposible trabajar con toda la red desde computadoras corriendo:

El modelo de workgroup es un esquema de red en donde losrecursos, la administración y la seguridad están distribuidas a través detoda la red. Muchas computadoras pueden ser utilizadas como server y workstationa la vez, con sus propias cuentas de usuarios, administración y políticas deseguridad.

Un workgroup puede contener computadoras basadas en WindowsNT Server. Estos servers pueden funcionar como servers de aplicación, con laventaja que provee NT de RAS y las posibilidades de tolerancia a fallas. Aligual que las otras computadoras del workgroup, la administración de Windows NTestá separada de la adminstración de los otros equipos del workgroup. Cadacomputadora del workgruoup que corra bajo Windows NT necesitará de unadministrador para crear las cuentas de usuarios y los recursos compartidos.

Ventajas del modelo de workgroup:

- Facilidad para compartir recursos.

- Recursos distribuídos

- Bajo mantenimiento para los adminstradores

- Diseño e implementación simples

- Conveniente para un numero limitado de computadoras.

- Conveniente para computadoras instaladas en un ambiente cercano.

Desventajas del modelo workgroup:

- Administración no centralizada

- Gestión de cuentas de usuarios no centralizada

- Gestión de acceso a los recursos no centralizada.

- Gestión de la configuración y seguridad de las workstations nocentralizada

- Ineficiente para redes con muchas máquinas

- Las cuentas deben ser monitoreadas en cada computadora

- Numerosas cuentas en cada computadora y cuentas duplicadas a través de lared

El modelo de dominio es un esquema de red en donde lasadministración y la seguridad son centralizadas. Un domino consiste deworkstatios y servers en red que:

- Proveen validación de las cuentas de usuario en una basede datos SAM (Security Accounts Manager) común y compartida.

- Definición de permisos a los usuarios para acceder a losrecursos en la SAM

- Puede ser administrado como un grupo

En un dominio, las computadoras basadas en Windows NT Servercomo controladores de dominio o servers. El administrador del dominio crea lascuentas de usuario solamente una vez, en el Controlador Primario del Domino(PDC). La información de las cuentas se copia automáticamente a losControladores de Dominio de Backup (BDC). Cuando un usuario se logonea aldominio, un controlador de dominio valida el logon, lo chequea en una copia dela base de datos de cuentas de usuarios del dominio para verificar si escorrecto el nombre del usuario, el password y las restricciones de logon.

Cuando un administrador de alguna computadora con NT deldominio comparte un recurso de la misma, los permisos pueden ser asignadosdirectamente desde la base de datos de cuentas de usuario del dominio.

Los administradores de red deben determinar cuando esnecesario implementar un esquema de dominio. Las computadoras del grupo queconforman el dominio son organizadas básicamente para seguir un propósito común.En una compañía, por ej, cada departamento puede crear su propio dominio. Enla práctica, el límite de usuarios para cada dominio depende del hardwaredestinado para controlar ese dominio (computadoras controladores de dominio).

Dos puntos importantes en el establecimiento de un dominioson:

- Administración centralizada, cuya ventaja es que todas lascuentas de usuario y las políticas de seguridad para toda la red pueden sermanejadas desde un único punto .

- Recursos compartidos, en done la asignación de los permisos para acceder alos recursos en mas estructurada. Esto es muy importante cuando la informacióncritica esta distribuída en muchos puntos de la red.

Hay varios puntos a tener en cuenta:

Requerimientos mínimos del sistema

- CPU, uno de los siguientes procesadores:

- basados en 32 bits x86 (80386/25 o superior)

- Pentium

- Basado en RISC, como PReP Power PC, MIPS, y DEC Alpha AXP

- Soporta computadoras hasta con cuatro procesadores

- Monitor:

- VGA o de mayor resolución

- Espacio de disco:

- Memoria:

- Mínimo de 16 MB para sistemas x86 y RISC

Nota: Windows NT no puede ser instalado en una partición queha sido comprimida utilizando productos de compresión no basados en Windows NTcomo Drive Space por ejemplo.

El server ofrece:

- 402 millones de TB de máxima capacidad de almacenamiento en disco

- hasta 4 GB de tamaño máximo de RAM

- hasta 256 conexiones simultáneas por acceso remoto

A) Selección del Sistema de Archivos

NT soporta los siguientes File Systems:

- FAT:

- NTFS:

Solamente es soportado por NT. Cuando la computara esbooteada con otro sistema operativo entonces no se podrá acceder a lasparticiones NTFS.

Si en la computadora solamente se usará NT o si se tienenalguno de estos requerimientos, entonces utilizar NTFS:

Planificación

Es muy importante planificar la instalación del File Systemde NT. Si se necesita cambiar el file system en alguna partición luego decorrer el Setup, se deberá:

Se puede convertir FAT o HPFS a NTFS sin realizar los pasosprevios usando el programa CONVERT.EXE

Consideraciones:

B) Los roles de los severs del dominio

Antes de instalar Windows NT en alguna computadora de laorganización es importante planificar la configuración de la red. Un dominiobasado en Windows NT Server puede tener tres tipos de servers:

Estos roles se determinan durante la instalación.

Primary Domain Controller (PDC)

Una computadora en cada dominio se debe instalar como PDC, lacuál es responsable del mantenimiento de las cuentas de usuarios. El PDC sedefine durante la instalación y debe estar en línea antes de que un BDC seainstalado.

El PDC contiene la lista primaria de cuentas y políticas deseguridad para el dominio. Si algunas de las cuentas sufre modificaciones, lasmismas serán incorporadas en el PDC.

Backup Domain Controller (BDC)

El PDC periódicamente replica (copia) la base de datos decuentas a otras computadoras con Windows NT Server en el dominio designadasdurante la instalación como BDC. Un BDC puede autenticar y logonear a usuariosdel dominio. Es común tener mas de un BDC.

Si el PDC falla, el administrador puede promover a alguno delos BDC del dominio como PDC. En este caso se pierden aquellas cuentas que hancambiado recientemente y no se habían replicado a los BDC del dominio.

Cualquier BDC puede validar logons de usuarios desde lossiguientes clientes:

- Windows NT

- Windows for Workgroups

- Microsoft LAN Manager OS/2

- Clientes MS-DOS con el redirector de red instalado

Otros servers del dominio, conocidos simplemente comoservers, se pueden usar como servidores de archivos, impresión y aplicación.No participan en la replicación de cuentas ni en la validación de logons deusuarios, por lo que de esta forma no tienen el overhead que posee loscontroladores de dominio.

Un server tiene todas las posibilidades que brinda Windows NTServer, incluyendo:

- Soporte para RAS Server hasta 256 conexiones simultáneas

- Tolerancia a fallas

- Servicios para archivos e impresión Macintosh

- Servicios para booteo remoto que soporta clientes MS-DOS y Windows 3.x

Estos servers no pueden ser promovidos a BDC o PDC, sinreinstalar Windows NT Server.

C) Planificando los Controladores del dominio

Antes de decidir que Servers Windows NT instalar como PDC oBDC en un dominio en particular, hay que identificar cuantos dominios vamos atener en nuestra red. Esto se debe a que cada dominio es identificado por un SID(Separate Security Identifier) para el dominio. Este SID, es usado por todas lascuentas en el dominio.

Importancia de la planificación

En algunos casos , debido a cambios organizacionales, esnecesario mover los servidores PDC o BDC de un dominio a otro dominio existente.Solamente hay una manera de cambiar el SID de un controlador de dominio,reinstalando Windows NT Server. La mejor manera de evitar los problemasasociados con la migración es planificar que servidores van a ser PDC o BDC enel dominio. Ya que un Server tiene su propia base de datos de cuentas y supropio SID, puede ser migrado de un dominio a otro.

Creación e instalación de un dominio

En el momento del Setup se muestra un cuadro de diálogopara:

- Instalar la computadora con PDC o BDC, o Server en un dominio

- Instalar la computadora en un Workgroup o en un dominio

Cambiando nombres de dominios

Ya que el SID del dominio identifica unívocamente aldominio, el administrador puede cambiar el nombre del dominio sin dificultad. Elnuevo nombre se asociará al SID existente.

Luego de cambiar el nombre en el PDC, el nombre del dominiodeberá ser cambiado en las demás computadoras del dominio.

Instalando en un dominio

Si el Windows NT Server será un BDC o server en un dominio,será necesario colocar un nombre de un dominio existente durante el proceso deinstalación. El administrador del dominio tendrá que:

- Agregar al dominio, una cuenta para la computadora antes de la instalación

- Darle privilegios al server para que pueda generar automáticamente lacuenta en

el momento de la instalación.

Nombrando un dominio

Si está instalando la computadora como PDC en un nuevo dominio, hay queasegurarse de poner como nombre de dominio alguno que no coincida con nombresexistentes de computadora, workgroup o dominio. Dos nombres idénticos en lared, pueden ocasionar serios conflictos.

Modo de licenciamiento

- Licenciamiento por server: cada licencia para acceso decliente se asigna a un server en particular y permite acceder a este equipo parausar y así utilizar los servicios de red (archivos, impresión,comunicaciones). La conexión se establece a un server, y no a un recursocompartido individual.

Si se especifica este tipo de licenciamiento, entoncesdurante la instalación, debemos ingresar el número de licencias para accesosde clientes (corresponden al número de conexiones concurrentes) para eseserver.

- Licenciamiento por sitio: una licencia para acceso decliente es aplicada a una estación de trabajo en particular. De esta manera, unilimitado número de computadoras pueden acceder al server. Si la computadoraestá ejecutando alguno de los sistemas operativos clientes de Microsoft comoWFW, W95, W NT WKS, se requiere una licencia de acceso al server por cada uno deellos antes de que el cliente se conecte y utilice los recursos del server.

Nota: Por la opción Licenciamiento del Panel de Control unopuede cambiar del modo de Licenciamiento por Server, al modo de Licenciamientopor Sitio (la recíproca no está permitida)

Modos de instalación

- CD-ROM

- Sobre una red

- Diskettes

Instalación sobre una red

Antes de instalar Windows NT Server sobre la red, ustednecesitará los archivos de instalación de Windows NT Server en un recursocompartido de la red, esto se puede hacer de dos maneras:

- Copiando la carpeta \I386, \MIPS, o \ALPHA desde el CDROMal recurso compartido.

- Compartir la carpeta \I386, \MIPS, o \ALPHA en el CDROM delserver de

Sigue los siguientes pasos: (WINNT.EXE)

- crea un set de diskettes para poder bootear la computadora.

- genera un directorio temporal en donde se copian desde elrecurso compartido todos los archivos necesarios para la instalación .

- permite al usuario rearrancar desde el primer diskette debooteo

Modificación del proceso de instalación:

En el proceso de instalación se debe utilizar WINNT.EXE (en caso de realizaruna instalación desde un servidor de red a otro que ya tiene Windows NT, sedeberá utilizar WINNT32.EXE)

Parámetros opcionales de WINNT.EXE y WINNT32.EXE:

Instalación sobre una partición FAT:

Si la computadora fue instalada con arranque dual entreMS-DOS y Windows NT Server en una partición FAT, es posible retornar a unsistema MS-DOS solamente.

Pasos:

1- Bootear la computadora con un disquete con el sistema DOS.El disco debe contener el SYS.COM

2- Desde el drive A, tipear sys c: (transfiere losarchivos de sistema DOS desde el disquete al disco)

3- Bootear la máquina

4- Para liberar espacio del disco borrar:

- C:\PAGEFILE.SYS

- C:\BOOT.INI (h,s,r)

- C:\NT*.* (h,s,r)

- C:\BOOTSECT.DOS (h,s,r)

- Directorio \WINNT

Instalación sobre una partición NTFS:

Pasos:

1- Arrancar la computadora con el disquete de instalación deNT.

2- Cuando la instalación solicita crear o cambiar unapartición, seleccionar la partición NTFS donde los archivos de Windows NT, yluego presionar D para deletear la partición.

3- Luego presionar F3 para salir de la instalación.

Server Manager

Es una herramienta utilizada para administrar computadoras ydominios en una red Windows NT Server. Para administrar un dominio local oremoto, seleccionar el dominio desde la opción Computer del menú. Usted debeser miembro del grupo Administrators (del dominio seleccionado) para poderadministrar las computadoras del dominio

Nota: no confundir la aplicación Server en el Panel deControl con el Server Manager. La aplicación Server puede manejar laspropiedades solamente de la computadora local. El Server Manager puede manejarlas propiedades de la computadora local y las computadoras remotas

Funciones del Server Manager:

- Mostrar las computadoras del dominio

- Manejar las propiedades y los servicios de una computadora seleccionada

- Agregar y remover computadoras del dominio

- Promover BDC a PDC

- Sincronizar los BDC con el PDC

- Administrar los recursos compartidos (directorios, impresoras, etc)

- Enviar mensajes a usuarios conectados

Iconos del Server Manager

Agregar una computadora al dominio

Eliminar una computadora del dominio

Cambiar una computadora de dominio

Promoviendo un BDC a PDC

Se necesita promover un BDC a PDC por ejemplo cuando el PDCdebe ser apagado por rutinas de mantenimiento. Si el PDC está activo es posibleintercambiar los roles con algún BDC.

Importante: el promover un BDC a PDC implica que el PDCexistente pasa a ser BDC. Si el PDC está inactivo en la red y no se promovióningún BDC, los cambios en las cuentas de usuarios y en las políticas deseguridad no podrán ser implementados, sin embargo los usuarios podrás serlogoneados y validados al dominio.

Si el PDC está inactivo, un BDC podrá ser promovido a PDC, pero algunoscambios recientes no tendrán efecto. Cuando el PDC original ser vuelve aactivar, NT le avisa que ya hay otro PDC en la red, entonces su Net LogonService fallará al arrancar y el Server Manager lo mostrará grisado. Senecesita del administrador para volver al PDC a su condición original

Sincronizando BDCs con el PDC

La sincronización de la base de datos de cuentas de usuariocopia las nuevas cuentas de usuario, grupos o información de passwords desde elPDC al BDC(s).

Dependiendo de la computadora seleccionada, se puedesincronizar en una o en dos vías:

- Si se selecciona algún BDC, se puede sincronizar el BDCseleccionado con el PDC.

- Si se selecciona el PDC, se sincronizará desde el PDC atodos los BDC en el dominio.

La sincronización con el PDC es necesaria cuando se están realizandocambios en la base de datos de usuarios y los mismos deben ser testeadosinmediatamente. Los BDC pueden validar logons y brindar información de lascuentas pero si los cambios hechos en la base de cuentas de usuarios del PDC nohan sido copiados a los BDC que validan logons los tests sobre ellos fallaran.

La sincronización de BDCs resuelve problemas relacionados a contraseñas queno coinciden y accesos que han sido creados por usuarios que no corresponden.También ayuda a resolver problemas relacionados a el acceso a recursos o atareas de red.

- Sesiones de usuarios: el hecho de poder observar para cada server lassesiones de usuarios conectados al mismo, nos puede ayudar a monitorear laperformance de la red.

El administrador puede observar:

- todos los usuarios de la red conectados a la computadora.

- los recursos abiertos por cada usuario.

Además podrá saber:

- que recursos compartidos están en uso

- cuantos usuarios están conectados a ese recurso

- cuanto tiempo ha estado conectado el usuario a ese recurso

El administrador puede desconectar a uno o a todos losusuarios, la razón para hacerlo puede ser el bajar el servicio de server oapagar la computadora.

Nota: debe recordar que la desconexión de los usuarios es"pasiva", ya que los mismos podrán reconectarse usando nuevamente unaconexión. Para prevenir esto, se debe pausar el servicio de server.

Usuarios conectados: muestra la lista de los usuariosconectados a la computadora. Al seleccionar un usuario muestra los recursoscompartidos a los que el usuario está conectado.

Campos:

- Connected Users: el nombre de usuario del usuario conectado.

- Computer:el nombre de la computadora donde el usuario está logoneado.

- Opens:el número de recursos que el usuario ha abierto en la computadora.

- Time: el tiempo transcurrido desde que se ha establecido la conexión.

- Idle: el tiempo transcurrido desde el último acceso del usuario.

- Guest:cuando el usuario se conecta a la máquina como invitado.

Recursos: al seleccionar el usuario se visualizan losrecursos a los que él está conectado.

Campos:

- Resource el nombre del recurso compartido al que el usuario estáconectado.

- Opens:el numero de "abiertos" que tuvo el usuario para elrecurso.

- Time:el tiempo transcurrido desde que el recurso fue abierto por primeravez.

Envío de mensajes a los usuarios conectados: en algunoscasos es necesario que los usuario conectados a la máquina se enteren porejemplo, que serán desconectados de un determinado recurso o que el servicio deserver será cerrado.

Para enviar un mensaje a todos los usuarios conectados a lacomputadora, desde el menú Computer seleccionar Send Message. El MessagerService deberá estar corriendo para enviar mensajes. Este servicio está activopor default en NT.

Nota: para enviar un mensaje a un usuario en particular,utilizar el comando net send username message .

- Administración de recursos compartidos:

Campos:

- Sharename:el nombre del recurso compartido (directorio, impresora, namedpipe)

- Uses:el número de conexiones al recurso compartido

- Path: el path del directorio compartido

- Connected Users:el nombre de usuario de los usuarios conectados al recursocompartido seleccionado

- Time:el tiempo transcurrido desde la primer conexión del usuario alrecurso

- InUse:cuando el usuario tiene algunos archivos abiertos en el recursocompartido

Un administrador puede usar esta herramienta para desconectaruno o todos los usuarios conectados a todos los recursos compartidos de lacomputadora. Esto es apropiado si el administrador necesita que otro usuario seconecte a un directorio compartido que actualmente está en el máximo permitidoen cuanto a conexiones de usuarios. También es útil en el caso que losusuarios hayan apagado sus computadoras sin cerrar la sesión de logon o sindesconectar conexiones a los recursos compartidos de la computadora.

- Administración de recursos en uso: el administrador puede cerrar uno otodos los recursos.

Campos:

- Open Resources:el número total de recursos abiertos en la computadora.

- File Locks:el número total de archivos bloqueados en los recursosabiertos.

- Opened by:el nombre de usuario que está abriendo el recurso.

- For:los permisos garantizados para el recurso abierto por usuario.

- Locks:el número de bloqueos en el recurso para el usuario.

- Path: el path del recurso abierto.

- Alertas: se pueden enviar a varios usuarios. Usted puedeentrar un nombre de usuario en el New Computer o Username box, y agregarlo a lalista de destinatarios del alerta administrativa. Cuando ocurre una alertaadministrativa, como la caída del servicio de la UPS, el destinatario en lalista recibe el mensaje para poder actuar sobre el alerta ocurrido.

La comunicación que se establece entre dominios es gobernadapor el servicio de Net Logon. El servicio de Net Logon es iniciado por defaulten el arranque de Windows NT. Este servicio provee tres funciones:

- Validación de logons: cuando algún usuario se logonea aldominio Windows NT Server, el servicio de Net Logon valida el usuario.

- Autenticación por Pass-through: cuando una cuenta deusuario debe ser validada, pero la computadora o dominio local no pueden validarla cuenta. En este caso, el nombre de usuario y la password son enviadas a uncontrolador de dominio Windows NT Server que pueda validar el usuario, y lainformación del usuario es retornada a la computadora que realizó elrequerimiento.

- Sincronización del BDC(s) con el PDC: permite que lasbases de datos de cuentas de usuario y de seguridad sean sincronizadas entre elcontrolador de dominio primario y los controladores de dominio de backup.

La sincronización (replicación) de base de datos de cuentas ocurre cuandoun PDC copia o replica la base de datos con los BDCs del mismo dominio. Unasincronización full ocurre cuando el PDC envía la base de datos entera al BDC.Una sincronización parcial ocurre cuando el PDC envía solo los cambios en labase de datos de usuarios. El servicio de Net Logon controla este proceso desincronización.

Cuando la sincronización ocurre, el PDC anuncia que uncambio en la base de datos de usuarios ha ocurrido. Un BDC entonces llama alPDC, solicitándole al PDC que le envíe los cambios.

No es necesario realizar una sincronización full cuando lala información del PDC cambia. El PDC puede variar el nivel de sincronizaciónpara cada BDC.

El PDC envía un mensaje anunciando un cambio en la base de datos de cuentasde usuarios solamente a los BDC que necesita el cambio, no a todos los BDC.Estos mensajes son enviados a un subconjunto de controladores de dominio en cadapulso (el subconjunto es definido por el parámetro PulseConcurrency). Estopreviene que todos los BDC respondan simultáneamente, y ayuda a reducir eltrafico de red y también asegura que el PDC no sea saturado por los BDC.

Sincronización sobre un acceso WAN de baja velocidad: Un BDC usa elparámetro ReplicationGovernor, en la Registry para incrementar la performancede la sincronización sobre un acceso WAN lento.

Por cada BDC , ReplicationGovernor define el tamaño de losdatos a transferir en cada llamada al PDC, y la frecuencia de esas llamadas. Elajuste de este parámetro afecta en dos sentidos. Primero, reduce el tamaño delbuffer usado en cada llamada desde el BDC al PDC, asegurando que una simplellamada no consuma todo el ancho de banda del acceso. Segundo, afecta alservicio de Net Logon en el sentido que le hace hacer una pausa entre unallamada y otra, permitiendo de esta manera, que otra aplicación pueda hacer usodel vinculo WAN.

Este parámetro puede ser agregado a la Registry del BDC bajola siguiente clave:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

Para agregar este parámetro, asignar REG_DWORD con un valorentre 0 y 100. Este valor define y porcentaje para la cantidad de información atransmitir en cada llamada al PDC y la frecuencia entre esas llamadas. Porejemplo con un valor de 0 el Net Logon nunca sincronizará.

Una cuenta de usuario de Windows NT consiste en le nombre delusuario y la contraseña requerida para que el usuario se pueda logonear, losgrupos en donde el usuario es miembro, y los derechos que posee el usuario parautilizar el sistema.

También incluye mas información como el nombre completo delusuario, la descripción de la cuenta, la información del perfil del usuario,un lista de workstations logoneadas, un schedule de horas de logon, y mas.

Dos de las cuentas de usuario, Administrator y Guest soncreadas cuando un dominio Windows NT es instalado. Usted puede crear cuentasadicionales para otros usuarios que deberán logonearse al dominio, y además sepueden modificar cuentas existentes. Por otro lado, se puede crear y administrargrupos de usuarios, al igual que administrar las políticas de seguridad.

Nota: no confundir el User Manager for Domains con el User Manager de WindowsNT WKS. User Manager for Domains puede administrar las propiedades para eldominio local como para dominios remotos, al igual que puede administrar ServersNT que no son controladores de dominio.

Cada dominio tiene una base de datos de seguridad, ubicada enel PDC, que:

- Contiene las cuentas de usuarios y grupos

- Define las políticas de seguridad para el dominio

Para poder utilizar User Manager for Domains usted debe ser:

- Un administrator y así tener total funcionalidad de la herramienta

- Miembro del grupo global Domain Admins - Tiene total funcionalidad en estaherramienta, ya que este grupo es miembro del grupo local Administrators.

Si el usuario no posee suficiente autoridad para ejecutar unadeterminada acción, el comando y opción aparece como no disponible. En algunoscasos los comando está disponibles, pero al invocarlos da un mensaje de accesodenegado.

User Account Properties

- Datos generales

- Groups: permite que la cuenta seleccionada pueda sermiembro de algún grupo del dominio o de alguna WorkStation.

- Profile: para definir el path al perfil del usuario, nombredel logon script y home directory de las cuentas de usuarios seleccionadas.

- Hours: para restringir los días y horas durante los cuales el usuariopuede logonearse al dominio y conectarse al server. El default es todas lashoras de todos los días de la semana. Esto no afecta a que el usuario puedautilizar la cuenta de la Workstation.

- Logon to: para restringir las Workstations de donde elusuario podrá logonearse al dominio. El dafault es que todos los usuariospuedan logonearse a cualquier workstation.

- Account: para definir un tiempo de expiración de la cuentay especificar el tipo de cuenta para las cuentas seleccionadas. Cuando unacuenta posee fecha de expiración, la cuenta se desactivará al final del díade expiración.

Nota: si tenemos un vinculo de baja velocidad en nuestra red(RAS) se deberá seleccionar la opción Low Speed Connection (en el menúOptions). Esto optimiza la administración remota al no mostrar la siguienteinformación:

- Lista de usaurios

- Lista de grupos

- La opción Select User

- La opción View menu

Profiles

El perfil de usuario guarda información usuario por usuariopara cada computadora con Windows NT. La información almacenada incluyecaracterísticas del escritorio, grupos de programas personales y los programasen estos grupos, colores de pantalla, protectores de pantalla, conexiones dered, conexiones de impresoras, seteos del mouse, y posición y tamaño de laventanas.

Como administrador del dominio, puede usar el User ProfileEditor,ubicado en la carpeta Administrative Tools para poder configurar losperfiles de usuario.

Es muy ventajoso para un administrador estructurar el entornode red para el usuario. Esto es necesario si se requiere un control de seguridadtotal o parcial, o si los usuarios no están familiarizados con el uso decomputadoras y redes.

Controlando el entorno default para el usuario o bloqueandoun entorno específico, los perfiles pueden asegurar que varias cuentas deusuarios pueden utilizar el mismo entorno.

Por ejemplo, si se pretende mantener un estándar de escritorio de trabajopara toda la empresa, se pueden usar los perfiles para prevenir que el usuariocambien la apariencia del escritorio.

Tipos de Perfiles

- System default:Configura el monitor hasta que el usuario se logonea en lacomputadora local. Esta información se almacena el archivo:\winnt_root\SYSTEM32\CONFIG\DEFAULT

- User default: La configuración default del escritoriousadas desde el momento que el usuario se logonea en la máquina. Esto se copiaen un perfil local para el usuario. Esta información es almacenada en elarchivo: \winnt_root\SYSTEM32\CONFIG\USERDEF

- Local: Es un perfil almacenado localmente y nombrado luegode que el usuario se halla logoneado en la computadora. Esto se copia desde elperfile User default cuando el usuario se logonea.

- Server-based: Perfil creado por el Profile Editor y esalmacenado en el server para controlar la configuración de los escritorios delos usuarios y sus workstations.

Pefiles Server-based

El usar estos perfiles en Windows NT tiene tres implicanciasen lo que hace a la administración de una red.

- La ubicación del perfile Server-based está especificadaen la base de datos de cuentas de usuario para cada cuenta de usuario. En lascomputadoras con Windows NT el perfil antes de que el usuario se logonee es elmismo. Luego de que se logonee el perfil se ajusta a cada usuario.

- El administrador puede crear un perfil de usuario pararestringir o estructurar el acceso de los usuarios a la workstation y preveniral usuario de que pueda cambiar el entorno de la workstation.

- Un perfil server-based puede se asignado a muchos usuarios. Esto permiteque al cambiar un perfil, el administrador puede cambiar para varios usuarios elacceso a aplicaciones y entornos de trabajo

Tipos de perfiles Server-based:

Hay dos tipos de estos perfiles, personal (.USR) y genérico(.MAN). Un usuario puede tener uno de los dos perfiles, pero no ambos.

Una cuenta de usuario puede tener solamente un perfilasignado al mismo tiempo. Se puede asignar el tipo de perfil a un usuarioespecificando la ubicación y el nombre del archivo del perfil en la cuenta delusuario.

Estos perfiles deben ser almacenados en un server al igualque los seteos y referencias para el usuario. Si un usuario entra en una nuevacomputadora (por ejemplo, en el caso de una actualización), un perfil personalrecupera el perfil del usuario en la nueva computadora.

Perfiles personales

Los usuario pueden cambiar sus perfiles personales. Cada vezque el usuario se logonea, el perfil es actualizados con los actuales seteos.Cuando el mismo usuario se logonea nuevamente, el perfil es cargado tal cual fueguardado por última vez.. Ya que los usuarios pueden modificar el contenido deun perfil personal, es recomendado que cada perfil personal sea asignadosolamente a un usuario. Si más de un usuario es asignado a un perfil personal,los seteos del perfil personal se ajustarán siempre a la configuración del últimousuario que utilizó el perfil personal.

La extensión de los archivos de estos perfiles es .USR

Perfiles genéricos

Los usuarios no pueden cambiar un perfil genérico. Loscambios realizados por los usuarios durante una sesión no son grabados en elperfil genérico. Cuando los usuarios se logonean y luego se logonean, elentorno que el usuario había creado mientras estuvo trabajando queda sin efectoy el entorno original es recuperado.

Los perfiles genéricos son utilizados por losadministradores para restringir la habilidad de los usuarios para cambiar losentornos de trabajo.

Los archivos de perfiles genéricos tienen la extensión .MAN

Creando perfiles de usuarios con el User Profile Editor

Los perfiles de usuarios se pueden crear usando lassiguientes herramientas:

- El User Profile Editor (crea el perfil)

- User Manager for Domains (asigna perfiles existentes a los usuarios)

El primer paso en crear un perfil es logonearse como un usuario conprivilegios de administrador. Se recomienda que utilize una cuentaadministrativa que no se Administrator para poder crear los perfiles. Cuando secrea un perfil, una copia de los seteos del entorno existente es gravado como elperfile del usuario para la computadora.

Para crear perfiles de usuario

1- Entrar el User Profile Editor y usarlo para implementarlos seteos y las restricciones que el usuario va a tene desde el momento que selogonee en la workstation. Los seteos que originalmente se presentan son loscorrespondientes al usuario que en esos momentos está logoneado.

2- Usar el User Profile Editor para garantizar permisos parausar el perfil.

3- Grabar la configuración como un perfil según lossiguientes lineamientos:

- Si el perfile es genérico, grabarlo con un nombresignificativo para el grupo donde se va a aplicar. Se debe grabar con extensión.MAN

- Si es un perfil personal, nombrarlo como el usuario y conextension .USR

4- Usar el User Manager for Domains para asignar los perfilesa las cuentas de usuarios. Si la cuenta todavía no ha sido creada, copiar unacuenta de usuario que ya tenga asignado el perfile correspondiente. Esto creaautomáticamente el perfil para el usuario.

5- Para verificar que el perfil está configuradocorrectamente se debe logonear con algún usuario al que se le haya asignado elperfil.

Parámetros de configuración:

- Pulse: define la frecuencia del pulso en segundos. Todoslos cambios hechos en la base de cuentas de usuarios a partir del último pulsoson agrupados. Entonces, luego de que tiempo del pulso ha expirado, un pulso esenviado a cada BDC que necesite los cambios; no se envían pulso a los BDC queestán actualizados. El rango de valores es de 60 (1 minuto) - 3600 (1 hora)

PulseConcurrency: define el máximo número de BDCs que el PDC notificará enalgún momento determinado. El servicio de Net Logon envía pulsos individualesa los BDCs, lo que causa que el BDC responda requiriendo algún cambio de labase de datos de cuentas. Para controlar la máxima carga de respuestas de losBDCs sobre el PDC, el PDC tiene solamente el número de pulsos pendientesespecificado bajo el parámetro PulseConcurrency en algún determinado momento.El incrementar este parámetro implica mayor carga en el PDC. Decrementar esteparámetro aumentará el tiempo -para un dominio con muchos BDC- en que loscambios lleguen a los BDC.

Introduccion a grupos

Un grupo es una cuenta que contiene otras cuentas de usuarioy de grupos. Las cuentas contenidas en un grupo se dicen miembros del grupo.

Los grupos se usan para:

- Permitir asignar derechos a a los usuarios para poderejecutar ciertas tareas como realizar backup o restore de archivos. Por default,las cuentas de usuario no poseen derechos. Estos derechos los obtienen al sermiembros de algún grupo específico.

- Garantizar el acceso a los recursos como archivos,directorios e impresoras.

Los permisos y derechos garantizados al grupo son automáticamenteaplicados a sus miembros, de esta manera, para un administrador es mas sencillosadministrar a una sola cuenta, en lugar de hacerlo para muchos usuarios.

El termino local refiere a que el grupo es "local"a la base de datos de la computadora en la cual reside. El grupo puede serdefinido en una base de datos, y de esta manera pueden ser asignados derechos ypermisos a recursos en la computadora que contiene esta base de datos.

En computadoras corriendo sobre Windows NT Workstation oServer (instalado como un server), los grupos locales se limitan a lacomputadora en donde ellos fueron creados. En controladores de dominio WindowsNT, los grupos locales se limitan a la base de datos y a todas las copias de lamisma (BDCs).

Entonces:

- Un grupo local creado en un Windows NT WKS o SERVER(stand-alone) solamente podrá ser utilizado únicamente en esa computadora.

- Un grupo local creado en un controlador de dominio WindowsNT podrá ser utilizado en otro controlador de dominio que pertenezca al dominioen donde el grupo fue creado.

Grupos locales incluídos en el server

Estos grupos se utilizan para otorgar derechos a los usuariospara realizar tareas del sistema como, realizar backups o restore d archivos,cambiar la hora del sistema y también administrar los recursos del sistema.

Estos grupos se dividen en tres categorías:

- Administrators - los miembros de este grupo poseencapacidad full sobre la computadora.

- Operator - los miembros de estos grupos tiene capacidadesadministrativas limitadas para ejecutar ciertas tareas específicas.

- Otros - los miembros de estos grupos tienen capacidadespara ejecutar ciertas tareas.

Grupos:

- Administrators: Crear, borrar, administrar cuentas de usuarios, gruposglobales y grupos locales.

Compartir directorios e impresoras, garantizar permisos y derechos a losrecursos.

Instalar archivos del sistema operativo y programas.

- Users: Ejecutar tareas en las que tienen derechos.

Acceder a recursos en los que tienen permisos

- Guests: Ejecutar tareas en las que tienen derechos.

Acceder a recursos en los que tienen permisos.

- Server Operators: Compartir y dejar de compartir recursos

Bloquear o desbloquear un server.

Formatear los discos del server.

Logonearse a los servers.

Realizar backups o restore de archivos.

Apagar el server.

- Print Operators: Compartir y dejar de compartir impresoras.

Administrar impresoras.

Logonearse localmente al server y apagar servers.

 

• Backup Operators:Realizar backups y restore de los servers.

   

• Logonearse localmente.
• Apagar el server.

- Account Operators: Crear, borrar y modificar usuarios,grupos globales y grupos locales.

- Replicator: Usado en conjunto con el Directory ReplicatorService.

Nota: el grupo Power Users es un grupo local provisto específicamentepara computadoras corriendo Windows NT Workstation y Server (instalado comoserver y no como controlador de dominio). Los Power Users pueden crear ymodificar cuentas de usuarios y compartir recursos.

Los grupos incluidos no puede ser borrados o renombrados.

Miembros de grupos locales

En un entorno de Workgroup, una computadora con Windows NTpuede incluir en grupos locales solamente cuentas de usuario de la base de datosde cuentas de la misma computadora.

Un grupo local en una computadora corriendo Windows NT Workstation o Server(instalado como Server o como Controlador de dominio) en un dominio puedeincluir los siguientes miembros:

- Cuentas de usuario de la propia computadora

- Usuarios y grupos globales de las computadoras del dominio

- Usuarios y grupos globales de otros dominios en confianza con lascomputadoras del dominio.

Nota: los grupos locales no pueden contener otros gruposlocales.

El termino "global" refiere a que el grupo puede ser utilizadoglobalmente. Un grupo global reside en los controladores de dominio y contienecuentas de usuario de esedominio. Pero, el uso de un grupo global no estárestringido a la base de datos en la cuál reside; un grupo global puede sermiembro de un grupo local definido en el mismo dominio o en otros dominios através de la relaciones de confianza. Los grupos globales son un mecanismo paracolectar cuentas de usuarios dentro de los grupos que van a ser utilizados en eldominio y en toda la empresa.

Según el gráfico, en lugar de asignar permisos a cada grupoglobal, el administrador asigna permisos al grupo local en donde el grupo globala sido agregado. Si se deben asignar más usuarios, el administrador simplementeagrega los nuevos usuarios al grupo global apropiado que es parte del grupolocal.

Por default, cuando una cuenta es creada en un dominio, esautomáticamente asignada al grupo global Domain Users.

Importante: los grupos locales y globales no pueden usar elmismo nombre. Los nombres de grupos deben ser únicos en la base de datos.

Miembros de los grupos globales

Los Grupos Globales solamente pueden contener cuentas de usuarios comomiembros. No pueden contener grupos locales u otros grupos globales.

Ya que los grupos locales están limitados a las base dedatos en la cuál residen, se recomienda introducir los usuarios en gruposglobales y los grupos globales dentro de los grupos locales para minimizar laadministración en las computadoras con NT Workstation y Server.

Grupos Globales incluídos en Controladores de dominioWindows NT.

- Domain Admins

- Domain Users

- Domain Guests

Los grupos Globales no tienen la autoridad para poderejecutar funciones de red que los grupos Locales hacen. Para ejecutar tareasadministrativas, los grupos globales deben ser agregados al grupo local, comopor ejemplo agregar el grupo global Domain Admins al grupo local Administrators.

Estrategias de grupos

Puede ser posible utilizar grupos globales y localesincluidos en NT. El método recomendado para implementar grupos en un dominioes:

1. En dominios, crear los usuarios y agregarlos a los gruposglobales existentes o a nuevos grupos globales para que puedan acceder a losrecursos del dominio.

2. Agregar los grupos globales a los grupos locales.

3. Asignar el grupo local a los derechos de los usuarios y alos permisos a los recursos.

Esta estrategia requiere un mínimo mantenimiento cuando sedeben realizar cambios. Todos los cambios son hechos para los miembros del grupoglobal en el controlador de dominio, no se necesita tocar a los grupos locales olos permisos y derechos asignados para esos grupos locales.

Los controladores de dominio de Windows NT utilizan estaestrategia por default. Por ejemplo:

- Cuando una cuenta es creada, es automáticamente agregadacomo miembro del grupo global Domain Users.

- Domain Users es miembro del grupo local Users. Entonces, elnuevo usuario creado es un miembro del grupo local Users.

- Entonces, cuando una computadora Windows NT Workstation oServer se instala en dominio, el grupo global, Domain Users, es automáticamenteagregado como miembro del nuevo grupo local de la computadora, Users.

Para usar grupos locales y globales efectivamente como unaherramienta para administrar una red, un administrador deber seguir lossiguientes puntos:

1- Determinar que se necesita:

Responsabilidad sobre la red (asignando tareas administrativas, creación deusuarios)

Asignar permisos a los recursos.

2- Ver si hay algún grupo local que puede ejecutar la tarea.Si no, crear uno.

3- Asignar permisos al grupo local si es necesario.

4- Asignar los usuarios apropiados al grupo local existente oal nuevo grupo.

5- Asignar grupos globales a los apropiados grupos locales.

¿Que tipos de grupos usar para cada tarea administrativa?

- El grupo de usuarios del dominio como una simple unidad enotro dominio (Global): Un grupo global puede ser puesto dentro de grupos localesy así poder tener permisos y derechos directamente en otros dominios.

- Administrar permisos y derechos en un dominio particular(Local): el grupo local puede contener usuarios y grupos globales del mismodominio o de otros dominios que poseen relación de confianza.

- Se necesitan permisos en una computadora con Windows NT Workstation oServer en un dominio (Global): los grupos locales en un dominio solamentetrabajan en Controladores de dominio Windows NT Server.

- Contener otro grupos (Local): los grupos locales puedenincluir usuarios y grupos globales.

- Incluir muchos usuarios desde muchos dominios (Local): ungrupo local puede incluir usuarios y grupos globales del mismo dominio o deotros dominios que mantienen relaciones de confianza.

Creación de Grupos.

 

0. Se utiliza la herramienta User Manager for Domains.

    

 

0. Los grupos globales son creados en un Controlador de dominio.

    

 

0. Los grupos locales son creados en al computadora local (NT Workstation, Server como controlador de dominio o no).

    

Introducción a Relaciones de Confianza (Trust Relationship)

Una relación de confianza es un link de comunicación entre dos dominios,donde los usuarios de otro dominio pueden llegar a tener los accesos necesariospara acceder al dominio en donde no tienen cuenta de usuario. Cuando lasrelaciones están bien establecidas entre los dominios de una red, los usuariosposeen solamente una sola cuenta para acceder a todos los dominios de toda lared. Todas las computadoras de la red pueden reconocer la cuenta de usuario. Unusuario necesita logonearse y proveer una contraseña solamente al acceder a unacomputadora de la red.

Las relaciones de confianza llevan a la conveniencia decentralizar la administración al nivel de empresa, mas que ajustarla al nivelde dominio.

Ventajas para los administradores.

La confianza simplifica la administración al enlazar dosdominios en una simple unidad administrativa. Usar relaciones de confianza paracentralizar la administración de cuentas de usuarios en un solo dominio enlugar de administrar dos dominios en forma separada.

Una relación de confianza entre dos dominios permitirá quelas cuentas de usuarios y grupos globales podrán ser utilizados en otrosdominios distintos al dominio en donde las cuentas están definidas.

Ventajas para los usuarios.

Permite que los usuarios de un dominio puedan utilizarrecursos en otro dominio, sin necesidad que le usuario tenga una cuenta definidaen el lugar en donde está definido el recurso.

Todos los Windows NT en una red pueden reconocer la cuenta de usuario. Unusuario tiene que logonearse y proveer una contraseña solamente una vez paraacceder al recurso compartido en la red donde la cuenta del usuario poseepermisos de acceso.

Confianza entre dos dominios

Todas las relaciones de confianza trabajan con dos dominios.

 

1. Confianza en un sentido: solamente un dominio le permite al otro confiar en él.

    

    

2. Confianza en dos sentidos: ambos dominios confían uno del otro.

    

Trusting vs. Trusted Domains.

El concepto de trusted versus trusting puede ser visto en términos deusuarios y recursos. El dominio con los recursos confía en los usuarios de undominio remoto y le permite que puedan acceder a los recursos si las relacionesde confianza están bien establecidas y los permisos fueron asignados.

Consideraciones para la planificación.

- Las relaciones de confianza puede ser establecidas solamente entre dominiosWindows NT.

- Determinar el nro de relaciones en un sentido.

- La ubicación física o lógica de los usuarios no esimportante. Solamente interesa en donde residen las cuentas. Como la cuenta delusuario está definida en dominio que permite confiar, entonces el usuario puedelogonearse en cualquiera de los otros dominios, siempre y cuando haya una relaciónde confianza con el dominio en donde las cuentas están registradas.

Estrategias de grupo para establecer confianzas

El usar grupos locales y globales sobre relaciones deconfianza es una manera de facilitar la administración y el mantenimiento de lared.

Los roles de la confianza.

Cuando se establecen relaciones de confianza entre dominios,los grupos globales en los dominios trusted pueden ser miembros de ungrupo local en un dominio trusting. Los grupos locales del dominio trustingpueden tener asignados permisos a los recursos o de poder realizar tareasadministrativas, en el dominio trusting.

El efecto de esta estrategia es que los miembros del grupoglobal del dominio trusted tengan los permisos que les fueron garantizados algrupo local del dominio trusting.

En un entorno de múltiples dominios con relaciones de confianza laestrategia de grupo primario es la misma que la de un dominio simple: colocarlos usuarios dentro de grupos globales y los grupos globales dentro de losgrupos locales. Luego de establecer las relaciones de confianza, los gruposglobales son definidos en el dominio trusted, y los grupos locales en todos losdominios existentes. El uso apropiado de las relaciones de confianza, y losgrupos globales y locales, puede facilitar la administración centralizada en unentorno de múltiples dominios.

Estrategia para la planificación de los grupos.

En un entorno de múltiples dominios conectados porrelaciones de confianza, usar los siguientes lineamientos para la implementaciónde grupos:

 

0. Determinar que es necesario hacer:

    

 

0. Responsabilidades en la red (asignar tareas administrativas, crear usuarios).

    

 

0. Asignación de permisos a los recursos.

    

 

0. Usar los grupos globales y locales incorporados en NT. Determinar si alguno de los grupos existentes pueden ejecutar la tarea.

    

 

0. En el PDC de algún dominio trusted:

    

 

0. Crear nuevas cuentas de usuario y los grupos globales que fueran necesarios.

    

 

0. Asignar los usuarios apropiados a los grupos globales existentes o a los nuevos grupos globales.

    

 

0. En las computadoras con Windows NT del dominio o del dominio trusting:

    

 

0. Crear algún grupo local nuevo si es necesario.

    

 

0. Adicionar los grupos globales del dominio trusted al grupo local apropiado.

    

 

0. Asignar al grupo local los derechos de usuario y permisos a los recursos.

    

Estableciendo relaciones de confianza.

El menú Policies dentro de User Manager for Domains proveeuna opción de Trust Relationships. Mediante esta opción el administrador puedecrear relaciones de confianza.

Hay dos pasos claves para establecer relaciones de confianzaen una vía:

 

1. El dominio trusted permite a otros dominios a confiar en él.

    

    

2. El dominio trusting debe agregarse al dominio trusted.

    

Agregar dominios Trusting al dominio Trusted.

Ya que las relaciones de confianza son esencialmente unaherramienta para administrar cuentas de usuario, se debe primero identificar eldominio donde las cuentas residen. Este dominio se conoce como dominio decuentas o trusted.

Una vez que el dominio de cuentas (trusted) ha sidoidentificado, éste permitirá que otros dominios puedan confiar en él.

Para completar la confianza, el dominio de los recursos otrusting permitirá que los usuarios del dominio de cuentas (trusted) tenganpermisos para acceder a los recursos en el dominio de los recursos (trusting).

Configuración de la confianza en un sentido.

Arrancar el User Manager for Domains, y seleccionar la opcióncorrespondiente a la configuración de relaciones de confianza desde el menúPolicies. Hay dos secciones en el cuadro de dialogo de Relaciones de Confianza:

 

0. El cuadro para incorporar dominios trusted es completado en el domino trusting. Esta sección especifica "en que dominios el dominio trusting va a confiar".

    

 

0. El cuadro para incorporar dominios trusting es completado por el dominio trusted. Esto especifica "que dominios confían en el dominio trusted".

    

El orden en que se establece la relación no es crítico. Sinembargo, es mejor establecer la relación que hace referencia al segundo paso enprimer lugar, para luego definir la relación restante. En la definición de unanueva relación de confianza esto toma efecto inmediatamente. Si se establece larelación al revés de lo propuesto anteriormente, para que tenga efecto setendrá que esperar por le menos 15 minutos.

Entonces, para definir la relación se debería proceder dela siguiente manera:

 

0. El administrador del dominio de cuentas (trusted) inicia la relación incorporando el nombre del dominio de los recursos (trusting) en el cuadro "trusting domains".

    

0. El administrador del dominio de recursos (trusting) completa la relación incorporando el dominio de cuentas (trusted) en el cuadro "trusted domains".

Esta secuencia es la preferida cuando se implementa unarelación de confianza ya que el administrador del dominio de los recursos(trusting) recibirá un mensaje en donde se le indica que la relación deconfianza fue establecida satisfactoriamente.

Configuración de la confianza en dos sentidos.

 

1. Establecer la confianza en un sentido.

    

2. Configurar otra relación de confianza en un sentido pero cambiando los roles anteriores en cuanto a los dominios trusted y trusting .

Cuando se establece una relación de este tipo, el mismonombre de dominio aparece en ambos cuadros de diálogo, el de los dominiostrusted y trusting.

Contraseñas.

El administrador en el dominio de cuentas (trusted) puedeproveer una contraseña como parte de la implementación de la confianza. Eladministrador en el dominio de los recursos (trusting) debe ingresar estacontraseña en el momento apropiado para que el dominio trusting pueda completarla relación de confianza. Solamente una vez el administrador del dominiotrusting debe ingresar la contraseña.

Esta contraseña es otra forma de seguridad. El administradordel dominio de cuentas usa la contraseña para controlar que dominios participaránen las relaciones de confianza.

Otorgar permisos a través de la relación de confianza.

Luego de establecer la relación de confianza, unadministrador puede garantizar permisos utilizando esta relación.

En el momento de otorgar permisos, al agregar usuarios ogrupos a una lista de seguridad sobre un recurso aparece la opción deseleccionar desde que dominio vamos a realizar la selección de los usuarios ogrupos. De la misma manera, es posible seleccionar el dominio en el momento deotorgar políticas de derechos a los usuarios. Esto es posible gracias a lasrelaciones de confianza.

Autenticación de usuarios por Pass-Through.

Esto posibilita a los usuarios a logonearse a computadoras odominios en donde ellos no posee cuenta de usuario. Gracias a este tipo deautenticación, un usuario puede tener una cuenta solamente en un dominio y asípodrá acceder a toda la red incluyendo todos los dominios que confían en eldominio donde el usuario posee la cuenta. Una vez logoneado, el usuario seráconocido en la red como Nombre de dominio\Nombre de usuario, donde Nombre dedominio es el dominio que contiene la cuenta del usuario y que autentica elrequerimiento de logon del usuario.

Ocurrencia de la autenticación por Pass-Through.

Esta autenticación ocurre en alguna de las siguientescircunstancias:

 

0. El logon comienza desde la workstation cuando algún usuario se logonea en un dominio de cuentas (trusted).

    

 

0. En la conexión a un recurso en un dominio de recursos (trusting).

    

El proceso de logon en un dominio de cuentas (trusted) serealiza en la siguiente secuencia:

 

1. La computadora con Windows NT arranca. Cuando arranca el servicio de Net Logon, este realiza el proceso de detección de un controlador de dominio Windows NT Server en su dominio (Dominio_B).

    

2. Usuario_2 intenta logonearse en una computadora en el Dominio_B con una cuenta de usuario del Dominio_A. Esto lo hace desde el cuadro de logon de la computadora, en el campo From se le indica el dominio (en este caso Dominio_A).

    

3. El controlador de domino del Dominio_B no puede autenticar el requerimiento de logon ya que el mismo se realizó sobre un cuenta de usuario del Dominio_A.

    

    

4. El requerimiento de autenticación es pasado a través de la confianza (pass_through) a un controlador de dominio en el Dominio_A. Este controlador de dominio Windows NT chequea en la base de datos de cuentas si la cuenta Usuario_2 existe y si la misma posee una correcta información de password.

    

    

5. El controlador de domino en el Dominio_A autentica el requerimiento de Usuario_2 y pasa la información del SID y grupo desde el Usuario_2 al controlador de dominio en el Dominio_B. El controlador de dominio en el Dominio_B entonces pasa la información al Usuario_2 que se está logoneado en la computadora con Windows NT.

    

Confianza No transitiva.

Una relación de confianza envuelve solamente dos dominios,por lo que una relación de confianza es no transitiva. Por ejemplo, si eldominio Ventas mantiene confianza con el dominio Producción, y el dominioProducción mantiene confianza con el dominio Marketing, entonces el dominioVentas no mantiene confianza en forma automática con el dominio Marketing.

Un usuario con una cuenta en el dominio Marketing que intentalogononearse físicamente en una máquina del dominio Ventas no seráautenticado ya que entre estos dominios no se puede establecer una autenticaciónpor Pass_through. Marketing y Ventas deben setear la respectivas relaciones deconfianza antes de poder realizar autenticación por pass-through entre ellos.

Posibles Problemas de las Relaciones de Confianza.

 

0. No se puede establecer una relación de confianza:

    

 

0. verificar el PDC en cada dominio esté corriendo

    

 

0. No se puede verificar la relación de confianza:

    

 

0. el dominio de cuenteas (trusted) deber permitir la relación al dominio de recursos (trusting), antes de que el domino trusting intente realizar la relación de confianza.

    

 

0. Se ha roto una relación de confianza:

    

 

0. Si una relación de confianza se ha roto, las cuentas trusted no estarán disponibles para se utilizadas. En este caso se debe restablecer la relación.

    

 

0. No se puede restablecer la relación rota:

    

 

0. Windows NT automáticamente cambiará la password inicial asignada luego de que la relación de confianza ha sido establecida. En este caso, se debe cortar la relación desde los dos dominios, y luego se debe restablecer una nueva relación.

    

 

0. No se pueden utilizar cuentas trusted:

    

0. La relación de confianza ha sido establecida con una dirección errónea. Parar la relación existente, y luego permitir al dominio trusted que dominio trusting confiará en él, y al dominio trusting en que dominio trusted podrá confiar. Si la confianza se rompe, restablecerla.

 

0. No se puede administrar otro dominio:

    

 

0. Verificar que el grupo Domain Admins del dominio trusted, ha sido agregado al grupo local Administrators del dominio trusting.

    

 

0. Acceso denegado al utilizar una cuenta trusted:

    

0. Chequee si el nombre de la cuenta existe en ambos dominios. En un relación de confianza, cada cuenta debe aparecer sólo en un dominio, en el dominio trusted o en el dominio local, pero no en ambos.

 

0. Puede acceder a recursos de otro dominio utilizando una cuenta local:

    

 

0. Chequee si el nombre de la cuenta existe en ambos dominios. En un relación de confianza, cada cuenta debe aparecer sólo en un dominio, en el dominio trusted o en el dominio local, pero no en ambos.

    

Antes de determinar el modelo de dominio a implementar,considerar lo siguiente:

 

0. Número de cuentas de usuarios - Una cuenta de usuario debe ser definida solamente una vez en la red. Si esta regla no se respeta, la misma cuenta de usuario puede dos o mas diferentes SIDs. Esto puede causar inconsistencias administrativas en la asignación de permisos o derechos de usuarios.

    

 

0. Número de departamentos de la organización o grupos - Determinar si es factible tener centralizada la administración de las cuentas y los recursos.

    

 

0. Los recursos disponibles tendrán que ser accedidos a través de las relaciones de confianza.

    

 

0. El modelo de dominio que se decida implementar determinará la ubicación de las cuentas.

    

Los recursos podrán ser localizados en el modelo de variasmaneras:

Modelo Single Domain

Este modelo consiste de solamente un dominio, con un PDC yuno o mas BDC. Este modelo es apropiado en alguna de las siguientes situaciones:

 

0. Número limitado de usuarios.

    

 

0. Administración centralizada de cuentas y recursos.

    

 

0. El número exacto de usuarios y grupos en un dominio depende del número de servers en el dominio y el hardware que provee a los mismos.

    

Ventajas:

 

0. Ideal para compañías con pocos usuarios y recursos.

    

 

0. Administración centralizada de cuentas de usuarios.

    

 

0. Administración centralizada de recursos.

    

 

0. No es necesario mantener relaciones de confianza.

    

Desventajas:

0. Performance pobre si el dominio tiene muchos usuarios y grupos para el hardware del controlador de dominio.

 

0. No agrupación de usuarios en departamentos.

    

 

0. No agrupación de recursos.

    

 

0. El browsing del dominio es pobre si es grande el número de servers.

    

El modelo Master Domain

Este modelo consiste de dos dominios. Cada dominio tiene suspropios controladores de dominio, pero toda la información de cuentas permaneceen el PDC del master domain. Este modelo ofrece los beneficios de múltiplesdominios, administración de cuentas centralizada, administración de recursosdescentralizada, y logoneo simple para cada cuenta de usuario.

Este modelo es aplicable a compañías que poseen un complejoordenamiento en departamentos y divisiones, cada uno con su propia administraciónde los recursos, pero con una administración centralizada de las cuentas deusuarios.

Ventajas:

0. Optimo para compañías que no tienen muchos usuarios en relación al hardware del dominio y deben tener recursos compartidos agrupados según propósitos de administración.

 

0. Las cuentas de usuarios pueden estar ubicadas en forma centralizada.

    

 

0. Los recursos se agrupan logicamente en los dominios de recursos (trusting).

    

 

0. Los dominios de recursos (trusting) pueden tener sus propios administradores para administrar los recursos en el dominio.

    

 

0. Los grupos globales necesitan ser definidos solamente un vez (en el master domain).

    

Desventajas:

 

0. Performance pobre si el dominio posee muchos usuarios y grupos para el hardware disponible.

    

 

0. Los grupos locales deben ser definidos en cada dominio donde serán utilizados.

    

 

0. Los administradores locales de los dominios de recursos (trusting) deben confiar en la administración del master domain en lo que hace a los grupos globales.

    

Relaciones de confianza en el Modelo Master Domain

El Master domain es un dominio de cuentas (trusted). Todoslos demás dominios son de recursos (trusting), los cuáles se relación con elMaster domain a través de una relación de confianza en un sentido.

Este modelo separa la red en dos areas diferentes deadministración:

 

1. Cuentas de usuarios - localizadas y administradas en el master domain (trusted).

    

    

2. Recursos - localizados y administrados en los dominios de recursos (trusting).

    

Solamente los controladores de dominio en el master domaintienen copias de la base de datos de cuentas del master domain.

Grupos en modelo Master Domain

En un modelo Master Domain, la regla es mantener solamente una cuenta paracada ususario. Esto es posible si todas las cuentas están localizadas en elmaster domain. Si la confianza está implementada correctamente, un usuariopuede logonearse desde cualquier dominio ya que la autenticación porpass-through envía el requerimiento de logon al master domain donde el usuarioserá verificado.

Grupos locales y globales

Los grupos globales son importantes en el master domainporque son solamente grupos que pueden ser accedidos fuera del dominio dondefueron creados.

Para simplificar la administración, un administrador deldominio de recursos (trusting) incorporará el grupo global, desde el masterdomain, dentro de los grupos locales de los dominios trusting.

Cuando los grupos globales se incorporan a los gruposlocales, el administrador del master domain tiene que adicionar solamente elgrupo global para que pueda tomar el acceso de usuario que posee el grupo localsobre los recursos del dominio.

De esta manera el administrador solamente maneja solamente unnivel de grupos - grupos globales. La red entera y todos los dominios y grupospueden ser administrados desde una computadora.

El modelo Muliple Master Domain

Para grandes compañías que pretenden administracióncentralizada, este modelo es el apropiado ya que resulta el mas escalable.

Este modelo tiene un número pequeño de master domains. Cada server delmaster domain tiene una cuenta en el dominio, y cada cuenta de un usuario de lared es creada en alguno de esos master domains. Otros dominios en la red son losdominios de recursos, que son típicamente creados a nivel de departamento.

Ventajas:

 

0. Ideal para empresas con muchos usuarios y con una administración centralizada de cuentas.

    

 

0. Escalable para redes con diversa cantidad de usuarios.

    

 

0. Los recursos son agrupados lógicamente.

    

 

0. Los dominios departamentales pueden tener sus propios administradores para poder administrar los recursos en el departamento.

    

Desventajas:

 

0. Los grupos locales y globales podrían ser definidos varias veces.

    

 

0. Mas relaciones de confianza por administrar.

    

 

0. No todas las cuentas de los usuarios estarían ubicadas en un dominio.

    

Relaciones de confianza en el modelo Multiple Master Domain

Cada master domain está asociado a otro master domain conuna relación de confianza en dos sentidos. Todos los dominios de recursos confíanen los master domains, pero no tiene establecida la confianza con otros dominiosde recursos.

Como en los otros modelos, cada cuenta de usuario se define sólo una vez. Yaque cada cuenta de usuario en el modelo existe en uno de los master domain ytodos los dominios en el modelo confían en el master domain, cada cuenta deusuario en el modelo está disponible en todos los dominios.

Los usuarios se logonean en el master domain que contiene lacuenta del usuario. Cada master domain debe contener dos o mas controladores dedominio Windows NT (para redundancia) para validar logons de usuarios. Luego delogonearlos en los master domain, los usuarios pueden acceder a algún recursopara los cuales tienen permisos. Esto se extiende a cualquier dominio de la redporque todos los recursos confían en los master domains.

Grupos en el Modelo Multiple Master Domain

Con este modelo, un administrador puede crear múltiples grupos globales (unoen cada master domain) de manera de poder distribuir todos los usuarios en lared.

El uso de grupos globales es más complejo en este modelo que el modelomaster domain. Si un grupo local necesita contener grupos de usuarios de dos o másmaster domains, múltiples grupos globales pueden ser creados para el mismo propósito(uno en cada uno de los master domains). Los grupos globales de los múltiplesdominios serán miembros del grupo local.

Para minimizar la complejidad, se puede planificar lossiguiente:

 

0. Distribuir los usuarios entre los master domains según funciones organizacionales dentro de la compañía.

    

 

0. Crear grupos locales en los dominios de recursos, y hacer que los grupos globales (de los dominios de cuentas) sean miembros de los grupos locales.

    

El Modelo de Confianza Completo entre dominios

Si usted necesita administrar los usuarios y recursos enforma distribuida entre diferentes departamentos, en lugar de administrar demanera centralizada, usted debe utilizar este modelo. Con este modelo, cadadominio en la red confía en otro dominio; ningún dominio ejerce control sobrealguno de los otros. El modelo de confianza completa distribuye la administraciónde los usuarios, grupos, dominios, y recursos entre los diferentes departamentosen lugar de centralizarla.

Ventajas:

 

0. Ideal para empresas con un grupo de administración no centralizado.

    

 

0. Escalable para redes con cualquier número de usuarios.

    

 

0. Cada departamento tiene control total sobre las cuentas de usuarios y los recursos.

    

 

0. Los recursos y las cuentas de usuarios son agrupadas en unidades departamentales.

    

Desventajas:

 

0. Ya que la administración de usuarios no es centralizada, este modelo no es práctico para empresas donde la administración de los departamentos es centralizada.

    

 

0. Muchas relaciones de confianza para administrar.

    

 

0. Cada departamento debe confiar en los otros departamentos, en realidad debe confiar en que los adminstradores de los otros departamentos no coloquen usuarios inapropiados en los grupos globales.

    

Relaciones de confianza en un Modelo de Confianza Completa

En el este modelo, cada dominio de la red confía en losotros dominios. Cada departamento administra su propio dominio y define losusuarios y los grupos globales. Los usuarios y grupos globales pueden ser usadosen todos los dominios en el modelo de confianza completa.

Determinación del número de Confianzas

El número de relaciones de confianza requerida para unacompañía con n dominios: n * (n-1)

Por ejemplo, 4 dominios requieren 12 relaciones de confianzay 10 dominios requieren 90 relaciones de confianzas. El agregar un dominio a unared existente de 10 dominios requiere establecer 20 nuevas relaciones deconfianza.

Seguridad

Ya que la administración es no centralizada, los usuarios deotros dominios que tengan acceso a los recursos podrían incrementar el riesgosobre la seguridad.

Este modelo requiere un alto grado de confianza en los gruposglobales de otros dominios trusted. Cuando se le asignan permisos a un grupoglobal de otro dominio (o se incorpora el grupo global dentro de un grupo localen el dominio), usted está confiando en que el administrador de otro dominio noagregará usuarios no autorizados o inapropiados al grupo global.

Windows NT ofrece tres tipos de opciones de tolerancia afallas basadas en software:

- Disk mirroring

- Disk striping with parity

- Sector sparing

Sistemas RAID

Las opciones de tolerancia a fallas son estándar y secategorizan en seis niveles, de nivel 0 a nivel 5 conocidos como RAID (RedundantArrays of Inexpensive Disks. Estos niveles ofrecen varias combinaciones deperformance, confiabilidad y costo. Windows NT Server soporta RAID 0, 1 y 5. Losniveles 2, 3 y 4 fueron parte de la evolución al nivel 5.

Soluciones de Hardware

La tolerancia a fallos, pueden ser aplicada también conhardware. Algunos vendedores implementan RAID 5 directamente en el hardware,esto lo hacen posible con tarjetas controladoras de discos múltiples. Ya queestos métodos son específicos de cada vendedor, pueden proveer algunasventajas adicionales a la protección por software. En algunos casos, ciertasimplementaciones de hardware permiten reemplazar unidades de discos dañadas sinapagar el equipo. Las desventajas de la implementación de la protección porhardware son en principio el costo y la necesidad de quedar atado a algúnvendedor en especial.

RAID 0 - Disk Striping

Divide los datos en bloques de 64 Kb y los esparce en unorden fijo entre todos los discos en un arreglo.

Graba los datos a todas las particiones a la misma velocidady al mismo tiempo. Ya que no provee redundancia, este método no puede seraplicado como método para tolerancia a fallas. Si alguna partición en elconjunto de discos falla, se perderán todos los datos.

Nota: para implementar este método, se necesitan como mínimosdos discos y hasta 32 discos pueden ser soportados. También las controladorasde discos múltiples pueden agregar performance a esta tarea.

No se puede utilizar sobre una partición de booteo o delsistema.

RAID 1 - Disk Mirroring

Es la duplicación de la partición de datos en otro disco físico.Cualquier partición, incluyendo las particiones del sistema o de booteo, puedenser espejadas. Esta estrategia sirve para simplificar la manera de proteger elsistema ante la falla de un disco.

En términos de costos de pesos por megabyte, el espejado dedisco es mas caro que otras formas de tolerancia a fallas ya que la utilizaciónde espacio de disco es solamente 50 por ciento. De todas manera, para pequeñasredes peer-to-perr , el espejado de discos puede ser una buena alternativa porsu bajo costo de puestas en marcha, ya que se requieren solamente dos discos.

Disk duplexing

Este método toma un par de discos espejados y agrega unacontroladora de disco al segundo disco del espejado. Esto reduce el trafico delcanal y aumenta la performance. Duplexing permite la protección del sistemaante la falla de una controladora como bien puede fallar un disco.

RAID 5 - Striping with Parity

En estos momento es el método más popular para el diseñode la tolerancia a fallas. Difiere de los otros niveles en que la escritura dela información de paridad se escribe a través de todos los discos en unarreglo. La información de paridad y los datos son almacenados de manera quepermanezcan siempre sobre discos diferentes.

Nota: un mínimo de tres y un máximo de treinta y dos discosson soportados

Un bloque de paridad existe para cada fila de datos a travésde los discos. El block de paridad es usado para reconstruir los datos ante unafalla física del disco.

Si un disco falla, entonces la información que permanece enlos demás discos, junto con la información de paridad permite que sereconstruya la información faltante. Por ejemplo, si el disco 3, en el gráfico,falla y necesita ser reemplazado, los datos del nuevo disco pueden serregenerados usando los datos y la información de paridad en cada fila o bloquede los cuatro discos restantes.

Todas las particiones, excepto la partición del sistema o debooteo pueden ser utilizadas para aplicar este método.

Ofrece la mejor performance para operaciones de lectura.Pero, cuando un disco falla, la performance de lectura se degrada, ya que losdatos son recuperados utilizando la información de paridad.

Las operaciones normales de escritura requieren tres veces mas memoria paracalcular la información de paridad.

Disk Mirroring vs. Striping with Parity

La implementación de la estrategia de tolerancia a fallasrequiere una comparación entre los distintos métodos según el nivel deprotección deseado.

Las diferencias mas notables entre disk mirroring y stripingwith parity son la performance y el costo.

Características del Espejado de discos

- Soporta FAT, HPFS y NTFS

- Se puede espejar la partición del booteo o del sistema

- Requiere dos discos rígidos

- Alto costo por Megabyte (50% de la utilización)

- Buena performance para lectura y escritura

- Baja utilización de memoria.

Características del RAID 5

- Soporta FAT, HPFS y NTFS

- No se puede armar sobre una partición de booteo o delsistema

- Requiere como mínimo tres discos

- Bajo costo por megabyte (para cuatro discos se pierde un 25% de la capacidad)

- Performance de escritura moderada (por el calculo de laparidad)

- Excelente performance de lectura

- Requiere mas memoria (para calcular la información deparidad)

- Soporta hasta 32 discos

Sector Sparing

En conjunción con las opciones de soporte para tolerancia afallas en el RAID, Windows NT Server brinda posibilidades recuperación desectores del file system durante la operación del sistema. El file systemverifica todos los sectores cuando un volumen es formateado, y cualquier sectordefectuoso es retirado de servicio.

Nota: El Sector Sparing es aplicable para dispositivos SCSI(Small Computer System Interface), pero los dispositivos IBM PC/AT (ESDI e IDE)no pueden utilizar esta propiedad.

Cuando un volumen es formateado, el sistema de archivosverifica los sectores en la partición y deja sin efecto cualquier sectordefectuoso.

Como trabaja este sistema

En un sistema tolerante a fallas con copias redundantes delos datos, todas las operaciones de lectura/escritura al disco son verificadas.Si se detecta un sector con fallas, ocurre los siguiente:

1- El driver de tolerancia a fallas de NT remueve el datodesde el sector defectuoso

2- El driver coloca el dato en un sector bueno

3- El driver marca al sector como inutilizable. Si estoocurre sin problema, el sistema de archivos no es avisado del problema.

Luego, el driver de tolerancia a fallas le solicita el driverdel disco que obtenga el dato desde el nuevo sector (una vez que el dato fueescrito)

Implementación de la Tolerancia a Fallas

El programa de Administración de discos es la principalherramienta para configurar la tolerancia a fallas de Windows NT Server. Lainterface gráfica del Administrador de discos hace sencillo configurar yadministrar las particiones de discos y la tolerancia a fallas.

El Administrador de discos es utilizado para configurardistintas configuraciones de discos, incluyendo:

- Stripe sets with parity (RAID 5): acumula múltiples áreasde discos en una partición mas grande, distribuyendo los datos almacenadosentre todos los discos simultáneamente, agregando la información de paridad ala tolerancia a fallas.

- Mirror sets (RAID 1): se hace un duplicado de una particióny el mismo se graba en otro disco separado

- Volume sets: acumula las áreas de múltiples discos en unapartición mas grande, el set se arma en secuencia.

- Stripe sets (RAID 0): acumula múltiples áreas de disco enuna partición mas grande, los datos se distribuyen entre todos los discossimultáneamente.

Recuperación de datos

Fallas en la partición: cuando el disco es miembro de sistemas de Espejado yRAID 5

Un miembro de un set de espejado, o de un RAID 5, es unapartición de un disco físico que pertenece al set. Cuando un miembro de estossistemas falla (como una caída de energía o la ruptura del disco), el driverde tolerancia a fallas direcciona todas las entradas/salidas al miembro activodel volumen tolerante a fallas. Esto asegura la continuidad del servicio, almenos hasta que el sistema sea reiniciado. Si la falla envuelve a la particióndel sistema en el disco físico primario, un disco de booteo tolerante a fallases requerido para reiniciar el sistema. El procedimiento para crear este discode booteo es discutido mas adelante.

Rearmado del espejado

Cuando un miembro del set de espejado falla, usar eladministrador de discos para:

1- Cortar la relación del set de espejado y colocar lapartición que queda (sin problemas) como un volumen separado.

2- Si no lo hace automáticamente, asignar al miembro del setque queda trabajando la letra de la unidad que previamente estaba asignada alset de espejado completo.

3- Asignar a la partición que falló la próxima letradisponible o cualquier letra disponible

Opcionalmente, se puede usar el espacio libre en otro discopara crear un nuevo set de espejado. Cuando la computadora es reiniciada, eldato de la partición buena es copiado al nuevo miembro del set de espejado.

Regeneración de un RAID 5:

Cuando un miembro de un sistema RAID 5 falla, se puedecontinuar utilizando la computadora y acceder a los datos. Sin embargo cuando seleen datos, se deben regenerar los datos en la RAM utilizando los bits deparidad, y la performance del sistema bajará considerablemente.

Para que la computadora retorne al estado original del RAID 5luego de que un miembro del sistema ha fallado, se puede regenerar el dato delmiembro con fallas desde los miembros del set que quedan sin problemas.

Para que la computadora regrese al estado original:

1- Usar el Administrador de discos, seleccionar el set deRAID 5, y luego seleccionar una nueva área de espacio libre de disco (en undisco diferente) del mismo tamaño, o mas grande, que los otros miembros delRAID 5.

2- Seleccionar el comando Regenerate del menú FaultTolerance.

Cuando se reinicia la computadora, el driver de tolerancia afallas lee la información desde los otros miembros del set del RAID 5. Entoncesrecrea el dato del miembro con fallas y escribe el dato regenerado al nuevomiembro.

Creación de un disco de booteo tolerante a fallas

Cuando se espeja la partición de booteo de una computadoracon Windows NT Server, se necesita crear un disco de booteo tolerante a fallaspara se utilizado en caso de que un disco físico falle. Este disco puede sercreado en cualquier momento con la computadora en línea; y debe ser formateadoen una computadora con Windows NT Server.

Creación del disco de booteo:

1- Formatear un disquete usando Windows NT Server. Estoescribe información a la pista de booteo del disquete para que se puedan leerlos archivos de arranque cuando el sistema arranca

2- Copiar los siguientes archivos desde la particiónprimaria de la computadora al disquete de booteo. Algunos de estos archivos estánocultos en el directorio raíz.

Archivos: NTLDR, NTDETECT.COM, NTBOOTDD.SYS (para disco SCSIcon la BIOS SCSI no cargada), BOOT.INI

3- Modificar el BOOT.INI para que apunte a la copia espejadade la partición de booteo

4- Testear el disquete de booteo para asegurarse de quetrabaje correctamente booteando desde la copia espejada de la partición debooteo.

Cualquier información de la partición que sea modificada,debe se contemplada actualizando el archivo BOOT.INI.

Recuperación de un Set Espejado

Si la partición del sistema en un set espejado falla, el setespejado no booteará. Sin embargo, el datos no se pierde, y puede serrecuperado.

Para recuperar un set espejado:

1- Reemplazar el disco con fallas

2- Bootear el sistema con un disquete de booteo Windows NTque cargue el sistema operativo desde la partición espejada.

3- Romper el espejado existente.

4- Colocar otra unidad de disco de backup

5- Restablecer el espejado con el nuevo disco

6- Rebootear el sistema sin el disquete de booteo.

Importante: El disco de booteo con NT no puede ser creadocuando el sistema esta bajo. Debe ser creado antes de la falla. Puede sergenerado en otra computadora corriendo Windows NT Server que mantenga unaconfiguración idéntica a la que se está manejando.