2.1 Dominio
Un dominio de Internet es una red de identificación que es asociada a un grupo de dispositivos o equipos conectados a la red Internet.
El propósito principal de los nombres de dominio en Internet y del sistema de nombres de dominio (DNS), es traducir las direcciones IP de cada nodo activo en la red, a términos memorizables y fáciles de encontrar. Esta abstracción hace posible que cualquier servicio (de red) pueda moverse de un lugar geográfico a otro en la Internet, aún cuando el cambio implique que tendrá una dirección IP diferente.
Sin la ayuda del sistema de nombres de dominio, los usuarios de Internet tendrían que acceder a cada servicio web utilizando la dirección IP del modo (por ejemplo, sería necesario utilizar http://192.0.32.10 en vez de http://example.com). Además, reduciría el número de webs posibles, ya que actualmente es habitual que una misma dirección IP sea compartida por varios dominios.
El controlador de dominio es el centro neurálgico de un dominio windows, tal como un servidor Network Information Service (NIS) lo es del servicio de información de una red Unix.
Los controladores de dominio tienen una serie de responsabilidades, y una de ellas es la autenticación: es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra máquina de la red, normalmente a través del uso de una contraseña. No es que les permita a los usuarios validar para ser partes de clientes.
Cada controlador de dominio usa un securityaccount manager (SAM), o NTDS en Windows 2003 Server (que es la forma promovida de la SAM, al pasar como controlador de dominio), para mantener una lista de pares de nombre de usuario y contraseña. El controlador de dominio entonces crea un repositorio centralizado de contraseñas, que están enlazados a los nombres de usuarios (una clave por usuario), lo cual es más eficiente que mantener en cada máquina cliente centenares de claves para cada recurso de red disponible.
En un dominio Windows, cuando un cliente no autorizado solicita un acceso a los recursos compartidos de un servidor, el servidor actúa y pregunta al controlador de dominio si ese usuario está autenticado. Si lo está, el servidor establecerá una conexión de sesión con los derechos de acceso correspondientes para ese servicio y usuario. Si no lo está, la conexión es denegada.
2.2 Relaciones
Una confianza es una relación entre dominios que hace posible a los usuarios de un dominio autenticarse por medio de un controlador de dominio en el otro dominio.
2.3 Ejemplo practico
Todas las confianzas en bosques de Windows 2000 Server, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 son relaciones transitivas y bidireccionales. Por lo tanto, ambos dominios en una relación de confianza son de confianza. Tal como se muestra en la siguiente ilustración, esto significa que si el dominio A confía en el dominio B y el dominio B confía en el dominio C, los usuarios del dominio C pueden tener acceso a los recursos del dominio A (si tienen los permisos adecuados). Únicamente los miembros del grupo Admins. del dominio pueden administrar relaciones de confianza.
2.4 Dominio Master
Una organización distinta sería la del dominio master. Supongamos que tenemos un dominio donde almacenamos todas las cuentas de los usuarios de la red (dominio master). En él definimos varios grupos globales, por ejemplo uno por departamento. Creamos ahora tantos dominios como departamentos hay, y hacemos que todos esos dominios confíen en el master.
2.5 Los grupos locales
Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos de dicho dominio y otros dominios que confíen en él. Los grupos locales también existen en servidores miembro y equipos que ejecutan Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales. La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir derechos y permisos en un dominio único (local). Un grupo local no puede contener otros grupos locales.
2.6 Los grupos globales
Un grupo global contiene una serie de cuentas de usuario de un dominio que están agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de trabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es asignar derechos y permisos a grupos locales, y usar el grupo global como método para agregar usuarios a grupos locales.
Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como servidor miembro.
La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir derechos y permisos en múltiples dominios (globales).
2.7 Gestión de usuarios
Las cuentas de usuario y de grupo permiten que los usuarios participen en un dominio y tengan acceso a los recursos de éste en función de los derechos y permisos que tengan asignados.
2.8 Cuentas de usuarios
Una cuenta de usuarios es aquella que le permite tener ciertos permisos dentro de la cuenta de un computador o un dominio.
Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la práctica.
Aquí tienes algunos consejos importantes para realizar con éxito dicha planificación:
El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los recursos (puestos, archivos, impresoras, etc.):
Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que un usuario puede pertenecer a varios grupos.
Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u organización, sin embargo también es aconsejable pensar en los grupos de usuarios en función de los recursos que van a necesitar.
Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta de grupo pero no modificaremos cada cuenta.
Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han asignado útiles conjuntos de derechos y capacidades.
En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un pequeño extracto de los manuales de ayuda.
2.9 Estrategia para utilizar grupos locales y globales
Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma independiente.
Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder permisos para usar objetos en múltiples dominios y estaciones de trabajo
.
Por ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos globales como medio para agregar usuarios a los grupos locales de dominios que confían. Para extender los derechos y permisos de los usuarios a recursos de otros dominios, agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a un grupo local de un dominio que confía.
Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el futuro, puede usar grupos globales agregados a grupos locales para conceder todos los derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos globales se pueden agregar a los grupos locales del dominio nuevo.
Los grupos globales de dominio también se pueden usar para propósitos administrativos en equipos con Windows NT Workstation o en servidores miembro con Windows NT Server. Por ejemplo, el grupo local Administradores de dominio se agrega de forma predeterminada al grupo local incorporado Administradores en todas las estaciones de trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo local Administradores de una estación de trabajo o servidor miembro permite que el administrador de red administre el equipo de forma remota creando grupos de programas, instalando software y solucionando los problemas del equipo.
No hay comentarios:
Publicar un comentario