Organización y Seguridad en Active Directory: Guía Completa

Organización y Seguridad en Active Directory

Organización de Active Directory

¿Cuál es la manera óptima de organizar el Active Directory?

Para organizar mejor los objetos del dominio, existen las Unidades Organizativas que facilitan su administración. Contienen objetos como grupos, usuarios, equipos e impresoras.

¿En qué consiste?

Consiste en organizar los objetos del dominio. Los objetos se pueden mover a otras unidades organizativas, pero nunca pueden copiarse porque son únicos.

Autenticación en Windows Server 2008 R2

¿Cuáles son las técnicas de autenticación con las que cuenta Windows 2008 Server R2?

  • Por certificados digitales: si un usuario viene de Internet, puede usarlos junto a los protocolos SSL y TLS.
  • Por contraseñas: es el sistema más débil, ya que los usuarios las olvidan, se las dicen a otros o son robadas.
  • Por Smartcard: se utiliza una tarjeta física para autenticarse.
  • Dispositivos biométricos: se leen huellas dactilares, iris del ojo, etc. para realizar la autenticación.

Estrategias para la Creación de Grupos

¿Cuáles son las estrategias a seguir a la hora de realizar grupos?

  • Asignar usuarios de un dominio con responsabilidades comunes a grupos globales. Utilizar los grupos locales para permitir a los usuarios acceder a recursos de otros dominios.
  • Asignar usuarios y grupos globales con responsabilidades similares, pero de diferentes dominios a grupos universales.
  • Crear grupos de dominio local para dar permisos a los recursos que se van a compartir.
  • Incluir los grupos globales y los universales en un grupo de dominio local.
  • Asignar permisos a grupos de dominio local donde se encuentra el recurso. Si se asignan los usuarios a grupos de dominio local, estos grupos no se podrán administrar desde otro dominio.
  • Utilizar grupos universales para superar la barrera del dominio, es decir, asignar permisos de varios dominios a usuarios de varios dominios.
  • En un servidor miembro de un dominio se desaconseja usar grupos locales para así tener una gestión centralizada, almacenar la información del grupo en servidores del dominio y tener su correspondiente réplica para ser tolerante a fallos.

Equipos en Grupos de Trabajo y Dominios

¿Puede un equipo pertenecer a un grupo de trabajo y a un dominio a la vez? ¿Por qué?

Sí, porque si pertenece a un grupo de trabajo comparte los recursos de red con el resto y pertenece a un dominio porque confía en la administración de usuarios de un equipo que es el servidor.

Delegación de Administración

¿En qué consiste la delegación de administración?

Da permiso a usuarios del dominio para realizar algunas tareas que le corresponden al administrador de sistemas sobre objetos como usuarios, equipos, unidades organizativas y otros objetos ubicados en una unidad organizativa de Active Directory.

Perfiles de Usuario

¿Qué son los perfiles de usuario?

Son la forma en que Windows almacena la información sobre los usuarios creados en el sistema.

¿Qué tipos hay y en qué se diferencian?

  • Local: se crea la primera vez que el usuario inicia sesión en un equipo concreto.
  • Obligatorio: permite a los administradores disponer de escritorios que no pueden cambiarse.
  • Móvil: la configuración de un usuario se muestra en cualquier equipo del dominio.

¿Cuáles son las ventajas y desventajas de cada uno?

  • Local:
    • Ventajas: se crea la primera vez que el usuario ha iniciado sesión.
    • Desventaja: solo sirve en el equipo que haya iniciado sesión.
  • Obligatorio:
    • Ventaja: permite a los administradores tener escritorios que no pueden cambiarse.
    • Desventaja: todos los cambios realizados por el usuario se borran al cerrar sesión.
  • Móvil:
    • Ventaja: Permiten que el escritorio y otras características del entorno le aparezcan con la misma configuración al usuario.
    • Desventaja: la configuración de un usuario se muestra en cualquier equipo del dominio.

Compartir la Carpeta de Perfiles

¿Por qué crees que hay que compartir la carpeta Perfiles dando permiso de control total?

Para que los usuarios puedan trabajar con cualquier ordenador de los otros usuarios que tengan la carpeta Perfiles con permiso de control total.

¿Por qué se debe eliminar el usuario Todos de la carpeta que contendrá los perfiles y añadir el usuario Usuarios del dominio?

Porque así se pueden seleccionar los usuarios que quieres que pertenezcan a los perfiles de usuario, creando así Usuarios del dominio.

Al compartir la carpeta con los perfiles con Control total para todos los usuarios del dominio, ¿podría entonces un usuario entrar en dicha carpeta y borrar los perfiles de otros usuarios? Compruébalo.

No, porque eliminar es un permiso especial que solo el administrador puede hacerlo o que se lo haya concedido a otro usuario.

Registro de Eventos del Sistema

Eliminar una Tarea del Registro de Eventos

De pronto te das cuenta de que te has equivocado al realizar la tarea de la actividad anterior y deseas eliminar esta tarea asociada al Registro de eventos del sistema. Indica los pasos que debes seguir para hacerlo.

Para eliminar una tarea mediante la interfaz de Windows:

  1. Si el Programador de tareas no está abierto, inicie el Programador de tareas. Para obtener más información, consulte Iniciar el Programador de tareas.
  2. Busque y haga clic en la carpeta de tareas del árbol de la consola que contenga la tarea que desea eliminar.
  3. En la ventana de la consola, haga clic en la tarea que desea eliminar.
  4. En el panel Acciones, haga clic en Eliminar.
  5. En el cuadro de diálogo Confirmar eliminación, haga clic en Sí.

Ejemplos de Acciones Auditables

Indica ejemplos de posibles acciones que se puedan auditar en tu servidor.

-Analizar con regularidad el equipo.-Analizar la red para detectar posibles intrusos. -Instalar antivirus en el servidor.