Dominios.pdf

11
FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jiménez Piedrahita 1 Dominios Hasta el momento hemos visto a Windows Server 2008 como una estación de trabajo o equipo independiente en la Red. De ahora en adelante lo vamos a ver en la faceta de servidor. En este orden de ideas, vamos a comenzar con la definición de lo que es un Directorio Activo. Directorio Activo Active Directory (AD) Introducción a Directorio Activo El directorio activo lo podemos definir con una estructura en árbol en donde el sistema operativo permite administrar todos los elementos que componen la Red de una empresa, es un lugar similar a un directorio telefónico en donde vamos a encontrar todos los objetos relacionados con la Red. Toda esta información se almacena en una Base de Datos Central de tal forma que los administradores pueden utilizar esta información para establecer políticas de acceso a los recursos de la Red. El directorio activo se utilizar para administrar todos los recursos públicos localizados en la Red. Característica El directorio activo se caracteriza por lo siguiente: Escalabilidad - Puede crecer y soportar un elevado número de objetos Integración con el DNS - Los nombres de dominio son nombres DNS y tienen que estar registrados en él - Active Directory usa DNS como servicio de nombres y de localización - Es necesario instalar DNS antes de poder instalar Active Directory Extensible - Permite personalizar las Clase s y objetos que están definidas dentro de Active Directory según las necesidades propias Seguridad - Incorpora las características de seguridad de W2008-Server, por ejemplo, se puede controlar el acceso a cada objeto Multimaestro - No distingue entre controladores de dominio primarios o secundarios - Cualquier controlador de dominio puede procesar cambios del directorio - Las actualizaciones o modificaciones realizadas en un controlador se replican al resto, siendo todos “iguales” Flexible - Permite reflejar la organización lógica y física de la empresa u organización donde se instala - Permite que varios dominios se conecten en una estructura de árbol o de bosque Definición de Dominio.

Transcript of Dominios.pdf

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    1

    Dominios

    Hasta el momento hemos visto a Windows Server 2008 como una estacin de trabajo o equipo independiente en la Red. De ahora en adelante lo vamos a ver en la faceta de servidor.

    En este orden de ideas, vamos a comenzar con la definicin de lo que es un Directorio Activo.

    Directorio Activo Active Directory (AD)

    Introduccin a Directorio Activo El directorio activo lo podemos definir con una estructura en rbol en donde el sistema operativo permite administrar

    todos los elementos que componen la Red de una empresa, es un lugar similar a un directorio telefnico en donde vamos a encontrar todos los objetos relacionados con la Red.

    Toda esta informacin se almacena en una Base de Datos Central de tal forma que los administradores pueden

    utilizar esta informacin para establecer polticas de acceso a los recursos de la Red. El directorio activo se utilizar para administrar todos los recursos pblicos localizados en la Red.

    Caracterstica El directorio activo se caracteriza por lo siguiente: Escalabilidad

    - Puede crecer y soportar un elevado nmero de objetos Integracin con el DNS

    - Los nombres de dominio son nombres DNS y tienen que estar registrados en l - Active Directory usa DNS como servicio de nombres y de localizacin - Es necesario instalar DNS antes de poder instalar Active Directory

    Extensible

    - Permite personalizar las Clase s y objetos que estn definidas dentro de Active Directory segn las necesidades propias

    Seguridad

    - Incorpora las caractersticas de seguridad de W2008-Server, por ejemplo, se puede controlar el acceso a cada objeto

    Multimaestro

    - No distingue entre controladores de dominio primarios o secundarios - Cualquier controlador de dominio puede procesar cambios del directorio

    - Las actualizaciones o modificaciones realizadas en un controlador se replican al resto, siendo todos iguales Flexible - Permite reflejar la organizacin lgica y fsica de la empresa u organizacin donde se instala - Permite que varios dominios se conecten en una estructura de rbol o de bosque

    Definicin de Dominio.

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    2

    En las redes actuales, con la aparicin de los nuevos sistemas operativos para redes, aparecen nuevos conceptos, estos conceptos revolucionan el mundo de las redes y debemos adoptarlos y hacer uso de ellos en nuestras funciones diarias.

    Uno de los conceptos nuevos es Dominio. Resulta que el Dominio es un nombre con el cual identificamos la Red de

    una empresa. Recordemos que un Red est conformado por el Servidor, las estaciones de trabajo, usuarios, impresoras, el mismo sistema operativo, etc. Todo lo anterior estara referenciado por un nombre y ese nombre es el Dominio.

    Entonces, los Dominios en la actualidad, fuera de representar el nombre de una Red corporativa, hace referencia en

    Internet a un Servidor que aloja un Sitio Web(Web Site) al cual accedemos desde Internet, bsicamente el nombre del Dominio de una Red corporativa es igual al nombre o Sitio Web en Internet de la misma empresa. De todas formas no es necesario que sean iguales, se puede tener un Dominio diferente en Internet y otro diferente para la Red corporativa.

    Composicin de los Nombres de Dominio. Los nombres de Dominio tiene la siguiente estructura de nombres: Nombre: es el nombre que le vamos a dar al Dominio. Clase de Dominio: es una identificacin que se hace a nivel mundial utiliza para clasificar los diferentes tipos de

    Dominios, en la actualidad existen diversos tipos de Dominio como por ejemplo:

    Clase de Dominio Utilizacin

    .es Para servicios de Espaa

    .eu Regin de Europa

    .ru Servicios en Rusia

    .mx Servicios en Mxico

    .co Servicios en Colombia

    .edu Orientado al sector de la educacin

    .gov y .gob Referente a sitios del Gobierno y entidades publicas

    .mil Ejrcito Americano

    .net Servicios de Red

    .fm Estaciones de Radio

    .tv Estaciones de Televisin

    Sufijo del Pas: es parte de la Clase de Dominio y algunos de ellos son utilizados como sufijo indicador del pas al

    cual pertenece el Dominio.

    Ejemplo de nombres de Dominios.

    Nombre Clase de Dominio Sufijo Pas

    Cocacola .Com Ninguno

    ElColombiano .Com .co (Opcional)

    Cesde .Edu .co

    Eafit .Edu .co

    Para solo colocar algunos, existe un Dominio que se llama .Local, el cual resulta de no colocarle la Clase de Dominio

    al Dominio, entonces lo que hace el sistema operativo es que le coloca el .Local. Ejemplo: EmpresaXYZ.local

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    3

    Microsoft recomienda colocarle la Clase de Dominio al Dominio de la Red corporativa, ya que podra convertirse en algn momento en un Servidor Conectado a Internet y por ende, ser un Web Site o Sitio Web.

    La nica diferencia que vamos a encontrar entre un Dominio de Internet con un Dominio Empresarial es el hecho de

    que el Dominio de Internet comienza con WWW y el de la empresa o Red no. Podemos entonces representa un Dominio de la siguiente forma o figura:

    Dominio A

    Dominio B

    Cada una de las figuras anteriores representa un Dominio, segn esto, entonces tendramos dos Dominios Dominio A y Dominio B. Otro de los trminos que debemos entender es el de Controlador de Dominio, es la figura central de la Red, es decir, es el Servidor, es el equipo principal de la Red, el que contiene toda la informacin de la Red, informacin como la de los usuarios que estn creados, as como los grupos de trabajo, unidades organizativas, equipo conectados al Dominio, Impresoras y dems objetos que se pueden registrar en un Dominio. Entonces un Dominio debe tener un Controlador de Dominio, entendiendo bien la cosa, tenemos entonces que una Red corporativa est representada por un nombre y a ese nombre le llamaremos Dominio el cual posee como mnimo un Controlador de Dominio, sea, un Servidor.

    Dominio A

    CD=Controlador de Dominio

    Dominio B CD=Controlador de Dominio

    Por ltimo tenemos el termino Servidores Miembros, estos son servidores o equipos con sistema operativo instalado pero que no ejercen ninguna funcin de control en la Red, son simplemente equipos cuya funcin es limitada o nula, solo hace parte de la Red como servidores prestadores de servicios bsicos como almacenamiento de datos, servidor de archivos o de impresoras, etc.

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    4

    Active Directory

    Instalacin de Active Directory (Directorio Activo), Dominio o Controlador de Dominio principal.

    Continuando con lo que ya hemos hecho, vamos entonces a proceder a la instalacin del Directorio Activo, Dominio o Controlador de Dominio en nuestro PC, en su defecto lo podemos hacer en el PC Virtual creado con VirtualBOX.

    Pasos iniciales. Antes de proceder con la instalacin, se debe realizar lo siguiente:

    - Configuracin de la Tarjeta de Red.

    a. Presionamos clic el icono red y luego seleccionamos Centro de Redes y Recursos Compartidos

    b. Luego seleccionamos Ver Estado, el cual nos lleva la ventana de estado de la conexin de rea local y de ah seleccionamos propiedades de la tarjeta de Red.

    c. En esta ventana de propiedades del TCP/IP, seleccionamos el protocolo de Internet versin 4

    (TCP/IPv4) y desactivamos el de la versin 6 (TCP/IPv6).

    Nota: en su defecto podemos seleccionar la opcin Administrar conexiones de red y sobre la conexin de red que tenemos, presionamos clic derecho y seleccionamos Propiedades/Procolo de Internet Versin 4(TCP/IPv4) y llegamos a la misma ventana.

    d. Seleccionamos la opcin Usar la siguiente direccin IP. Y podemos usar la siguiente:

    i. Direccin IP: 192.168.1.100 ii. Mascara de Subred: 255.255.255.0 iii. Puerta de Enlace: 192.168.1.100 iv. Servidor DNS Preferido: 192.168.1.100 v. Servidor DNS Alternativo: Vacio.

    e. Presionamos clic en Aceptar, Cerrar y en Cerrar, y por ltimo cerramos la ventana de Centro de Redes y Recursos Compartidos.

    Explicacin: resulta compaeros que cuando estamos creando el Directorio Activo, el servidor necesita de una

    direccin IP fija con la cual configura todos los servicios en el servidor en especial, el servicio de DNS que es de vital importancia en una Red.

    Ms adelante se hablara del mismo tema, por ahora procedamos a colocar los datos anteriores.

    Luego de configurar la tarjeta de Red con la IP fija, seguimos con procedimiento de instalacin del Dominio con su

    Active Directory que es muy sencillo.

    Icono de Red

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    5

    1. Seleccionamos la opcin ejecutar o bsqueda y escribimos el comando DCPROMO, este comando nos permite instalar nuestro Controlador de Dominio y de una vez nos instala el Active Directory y el DNS.

    2. El asistente verifica que los Servicios del Active Directory esten instalados y en caso de no estarlos, procede a realizar la instalacin.

    3. Desde pues de instalar los servicios del Active Directory, da comienzo al asistente de instalacion del Dominio, al

    cual presionamos clic en Siguiente para continuar. 4. El asistente no presenta una ventana informandonos de la compatibilidad del sistema operativo con las versiones

    anteriores, presionamos clic en Siguiente. 5. Determinamos la configuracin de Dominio a instalar, Bosque Existente o Crear un Dominio nuevo en un

    Bosuqe nuevo, en nuestro caso seria la segunda opcin y luego presionamos clic en Siguiente. 6. Debemos escribir el nombre de nuestro Dominio con la extensin que hayamos elegido para el mismo, para

    nuestro ejemplo se llamara Clase .Net y luego presionamos clic en Siguiente. 7. El asistente procede a veficar que el nombre seleccionado para nuestro Dominio no este usandose en la red. 8. Determinamos el nivel de funcionalidad del Dominio, es para determinar si vamos a trabajar solo con servidores

    Windows 2008 o vamos a trabajar con otras versiones anteriores, por defecto esta el nivel funcional con Windows 200 Server, nosotros vamos a utilizar Windows Server 2008 y luego presionamos clic en Siguiente.

    9. Debemos verificar que la opcion DNS este seleccionada ya que es muy importante instalarlo a inicio, presionamos entonces clic en Siguiente.

    10. El asistente nos muestra un mensaje informandonos que no se puede crear una delegacion para el servidor DNS porque no encuentra un DNS que se este ejecutando en el equipo y que debemos crear una manualmente, este mensaje sale porque es primera vez que se esta instalando, para continuar presionamos clic en Si

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    6

    11. Se nos permite indicar el lugar en donde se van a instalar la Base de Datos del Active Directory y todos sus compomentes que por defecto es en la carpeta C:\Windows\... dejamos tal y cual esta y presionamos clic en Siguiente.

    12. Se pide una contrasea a utilizar en caso de tener que reparar el Active Directory, debemos colocar una la cual puede ser la misma que se le coloco al usuario Administrador. Presionamos clic en Siguiente.

    13. Por ultimo llegamos al resumen de la instalacin y presionamos clic en Siguiente ya que estamos listos y seguros de lo que vamos a instalar.

    El proceso de instalacin comienza y nos coloca una ventana indicando todo lo que el asistente va instalando,

    finalizado el proceso de instalacin, el asistente reinciar el computador. Una vez reiniciado el computador, el Dominio ya queda instalado y nos presenta la siguiente ventana en la cual se

    aprecia el nombre del Dominio (Clase) instalado y seguido el nombre del usuario Adminsitrador. En estos momentos tenemos ya listo uno de los elementos que conforman una Red, el servidor, claro est que antes de

    convertirlo era una estacin de trabajo que paso a ser servidor de la Red. Verificacin de su correcta creacin e instalacin del Active Directory. Una vez creado e instalado el Directorio Activo, debemos verificar si quedo correctamente instalado y funcionando, para

    esto debemos realizar la siguiente verificacin.

    Verificar que la configuracin de la tarjeta de red no se haya modificado, en caso tal, debemos volver a colocar los datos previamente ingresados. Recordemos entonces, que para hacer hay que hacer los siguiente:

    Configuracin de la Tarjeta de Red.

    a. Debemos entrar a las propiedades del protocolo TCP/IP y verificar que los datos suministrados

    anteriormente este iguales, en caso de haber alguna cambio, debemos corregirlos. b. Los datos de la tarjeta de Red debes ser los siguientes:

    Direccin IP: 192.168.1.100

    Mascara de Subred: 255.255.255.0

    Puerta de Enlace: 192.168.1.100

    Servidor DNS Preferido: 192.168.1.100, posiblemente la configuracin que aparece es 127.0.0.1, debemos cambiarla a la sugerida.

    Servidor DNS Alternativo: Vacio. c. Presionamos clic en Aceptar, Cerrar y en Cerrar.

    Luego vamos a activar la consola de comandos o smbolo del sistema, al realizar esto se abre una ventana tipo DOS, es decir, una ventana de fondo negro y letra blanca y en la cual vamos a escribir lo siguiente con el fin de verificar si el Dominio, Directorio Activo o controlador de Dominio qued bien creado y funcionando correctamente.

    o Ping Clase .Net y presionamos Enter, el comando realiza una peticin al DNS para verificar que el

    nombre del Dominio est bien registrado y nos debe dar respuesta(4) positiva(s) en su defecto nos da una respuesta(4) negativa(s) indicando que no encuentra el Domino respectivo. Salimos entonces de la ventana de comandos o smbolo del sistema escribiendo el comando EXIT y presionamos luego Enter.

    Vemos entonces que tenemos respuesta satisfactoria por ende el Dominio quedo bien creado e instalado.

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    7

    Tambin debemos verificar que las funciones del Active Directory y DNS estn instaladas, para esto abrimos el programa Administrador del Servidor.

    Desinstalacin del Dominio y el Active Directory

    Desinstalacin del Directorio Activo.

    Bueno ya hemos visto como se instala un Controlador de Dominio, Active Directory o Dominio, ahora debemos ver como se desmonta o se elimina un Dominio. El proceso es sencillo, basta con seguir el procedimiento inicial para la creacin de un Dominio pero en lugar de instarlo se selecciona que se va a quitar y se contina con el proceso de desinstalacin.

    Procedimiento a Seguir

    1. Quitar los servicios de Active Directory 2. Quitar el DNS 3. Desmontar el Controlador de Dominio 4. Eliminar la carpeta de DNS del disco duro.

    Tips.

    1. Otra forma de desinstalar el Directorio Activo es por medio del comando DCPROMO desde la ventana de Ejecutar y le adicionamos el parmetro /forceremoval.

    Usuarios del Active Directory

    Usuarios en Directorio Activo

    Ya hemos visto la introduccin, definicin y creacin de usuarios en forma local, bsicamente cuando tenemos instalado

    el Directorio Activo o Dominio, el manejo de los usuario es lo mismo. Vamos a ver en qu se diferencian. Todo se administra dentro de la herramienta Usuarios y Equipos del Active Directory, en esta herramienta podemos

    tener acceso a la base de datos en donde se va a almacenar todos los objetos que van a conformar la Red corporativa, estos objetos son Usuarios, Grupos de Trabajo, Unidades Organizativas, Estaciones de Trabajo, Controladores de Dominio, etc.

    Expliquemos un poco el contenido de la ventana de Usuarios y Equipos del Active Directory como primera

    instancia, en esta ventana encontramos el nombre del Dominio (en este caso AcmeVirtual.Com), seguido de unas carpetas que por defecto se crean cuando se instala el Directorio Activo, estas carpetas son Builtin, Computers, Domain Controllers, ForeignSecurityPrincipals y Users. Desde que no se especifique otra cosa, todo la administracin de una Red se realiza con estas carpetas.

    Para efecto de nuestra Clase , vamos a estar trabajando en la carpeta Users, en ella vamos a crear nuestros usuarios y

    grupos de trabajo, esta carpeta por defecto contiene unos usuarios propios del Directorio Activo y unos Grupos de Trabajo que ms adelante vamos a estudiar.

    Esta herramientas la vamos a estar trabajando bastante de ahora en adelante en la mayora de nuestras actividades

    administrativas de la Red.

    Creacin de Usuarios

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    8

    Vamos a ver la creacin de usuario en Windows Server 2008 como Controlador de Dominio o Servidor de la Red. Una vez determinada el formato de nombres a utilizar, se procede de la siguiente forma.

    1. Haga clic en Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory.

    2. Haga clic en Users. En la ventana de la derecha, ver una lista de los usuarios actuales del Controlador de Dominio. Normalmente los nicos usuarios que deben de estar son el Administrador y el usuario Invitado y este debe tener una X indicando que esta deshabilitado.

    3. Haga clic derecho en Users y seleccione Nuevo, Usuario.

    4. Introduzca la siguiente informacin:

    Inicialmente la ventana nos permite ingresar los datos bsicos del usuario que vamos a crear y debemos ingresar esta informacin que ms adelante nos puede servir cuando estemos realizando alguna gestin administrativa que lo requiera, la informacin a ingresar es: Nombre, Apellidos, Nombre Completo e Iniciales(Opcional).

    Nombre de Inicio de Sesin de Usuario: este es en realidad el nombre del usuario que vamos a utilizar para iniciar sesin de trabajo en el Controlador de Dominio o en las Estaciones de trabajo para acceder a los recursos de la Red desde una estacin de trabajo. Como pueden ver, el nombre del usuario va a quedar asociado a el nombre de Dominio actual y automticamente se le va a crear una alias para el

    buzn del Correo electrnico cuando lo instalemos ([email protected]). En la parte de abajo vemos que tambin se crea un nombre de usuario compatible con sistemas anteriores al

    actual.

    Luego presionamos Clic en Siguiente, y procedemos a ingresar la contrasea, esta contrasea tiene las caractersticas, debe ser de mnimo 7 caracteres, debe tener letras, nmeros y caracteres especiales. Por ejemplo, ft5yH7 o qwe123*.

    5. Establezca las opciones que se adapte a sus necesidades:

    El usuario debe cambiar la contrasea en el siguiente inicio de sesin: Si est activada, el usuario debe cambiar su contrasea la prxima vez que inicio de sesin. Le recomendamos que desactive este modo que usted tenga el control total de la contrasea.

    El usuario no puede cambiar la contrasea: si la primera opcin no est marcada, podr establecer esta opcin. Le recomendamos consultar esta opcin de manera que slo el administrador de la mquina puede modificar la contrasea de los usuarios.

    La contrasea nunca caduca: esto indica que la contrasea que se le coloque al usuario nunca va a caducar.

    Cuenta deshabilitada: cuando est activada, el usuario ya no ser vlido.

    Y siguiendo con el ejercicio, chequearemos la opcin la contrasea no caduca

    6. Haga clic en Crear para agregar el nuevo usuario y por ultimo clic en Finalizar.

    De forma predeterminada, los usuarios nuevos se agregan al grupo de Usuarios del Dominio.

    7. El procedimiento se realizar para cada uno de los usuario que se vayan a crear en el Dominio.

    Usuarios equivalentes al Administrador. Es bueno tener siempre a la mano un usuario diferente al Administrador, con las mismas caractersticas, con el fin de

    tener una segunda alternativa o usuario para administrar el Dominio y seguir trabajando con este usuario en lugar de usar el usuario Administrador, es un buen mtodo de seguridad que actualmente usamos.

    El procedimiento para crear un usuario equivalente al Administrador es el siguiente:

    1. Activamos la herramienta Usuarios y Equipos del Active Directory.

    mailto:[email protected]

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    9

    2. Seleccionamos la carpeta Users, sobre el usuario Administrador, presionamos clic derecho y seleccionamos la opcin Copiar, el sistema procede a pedirnos los datos para el nuevo usuario (la misma forma vista anteriormente) la diferencia es que el nuevo usuario queda con todas las caractersticas del usuario Administrador, con todos los privilegios, permisos, derechos y funciones.

    Propiedades de los usuarios de Directorio Activo Ya teniendo instalado el Dominio, las propiedades de los usuarios cambian sustancialmente, se incrementan las

    opciones o propiedades que sobre ellos recaen. Vamos a describir algunas de ellas, las que nos interesaran por el momento y las otras las vemos despus en su

    debido momento. Ficha de Cuenta: esta ficha de propiedades contiene la informacin de la cuenta del usuario que anteriormente

    vimos, esta informacin es el nombre del usuario, opciones de la cuenta, si caduca o no caduca la cuenta, la hora de inicio de sesin e iniciar sesin en

    De esta ventana nos interesa ms que todo la opcin Hora de Inicio de Sesin que nos permite indicar el horario de

    trabajo para el usuario de tal manera que fuera de dicho horario no pueda ingresar a la Red. La caducidad de la cuenta, el indicar desde donde puede el usuario iniciar sesin, ya que es muy til para encasillar

    o restringir al usuario para que su inicio de sesin solo sea desde loso equipos que nosotros lo indiquemos. Ficha Perfil: la cual utilizaremos cuando veamos un poco ms los perfiles para los usuarios. De resto, las dems fichas son ms bien de informacin que veremos ms adelante por medio de un ejercicio.

    Grupos en Directorio Activo Los grupos dentro del Directorio Activo, se diferencian de los grupos locales en que estos se utilizan para mejorar la

    administracin de la Red y sus recursos. Ver introduccin a los Grupos de Trabajo en el Mdulo Anterior.

    Creacin de grupos

    Para la creacin de grupos de trabajo en el Directorio Activo, vamos a realizar el siguiente procedimiento.

    1. Haga clic en Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory.

    2. Haga clic en Users. En la ventana de la derecha, ver una lista de los grupos actuales del Controlador de Dominio.

    3. Haga clic derecho en Users y seleccione Nuevo, Grupo.

    4. El sistema nos presenta una ventana, ver imagen 41, en la cual se debe colocar el nombre del grupo de trabajo as como su descripcin y debemos, adicionalmente, indicar el mbito del grupo (Dominio Local o Global) y el tipo de grupo de trabajo que va a ser (Seguridad o Distribucin), normalmente cuando trabajamos con un Dominio, el mbito es Global y el Tipo es Seguridad.

    5. Luego de indicar lo anterior, presionamos clic en Aceptar.

    El grupo de trabajo ya queda creado, lo nico que nos hace falta es asignar los usuarios que van a pertenecer a dicho grupo de trabajo.

    Asignacin de Usuario a un Grupo de Trabajo

    1. Primero que todo debemos presionar doble clic en el nombre del grupo de trabajo

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    10

    2. Seleccionar la ficha Miembros, y presionar clic el botn Agregar, el asistente nos presenta la siguiente ventana en la cual escribimos el nombre del usuario y:

    Despus de escribir el nombre podemos presionar clic en el botn comprobar nombre para que el sistema busque o valide el nombre del usuario que se escribi.

    O, podemos presionar clic en el botn Avanzadas y luego el botn Buscar y el sistema nos mostrara todos los usuario que estn registrados y de los cuales podemos seleccionar todos los que van a pertenecer al grupo. Luego presionamos clic en Aceptar y luego otra vez Aceptar y vemos ya el usuario o usuarios agregados al grupo, en nuestro caso se agreg el usuario Estudiante.

    Como podemos ver, el procedimiento es similar al antes visto, nico que cambiara es el mbito, ya deja de ser local y pasa a ser de Dominio.

    Unidades Organizativas

    Una Unidad Organizativa (Organizational Unit, OU), es un contenedor de objetos, es similar a una carpeta o directorio en un sistema de archivos tradicional. Dentro de una Unidad Organizativa pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., adems de otras unidades organizativas.

    El objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupndolos de forma coherente. En el Directorio Activo, las unidades organizativas permiten:

    1. Delegar la administracin. Cada Unidad Organizativa puede administrarse de forma independiente. Se puede otorgar la administracin total o parcial de una Unidad Organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administracin de subconjuntos del Dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada.

    2. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada Unidad Organizativa pueden vincularse polticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en funcin exclusivamente de la Unidad Organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de nomina para que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica.

    En muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (polticas) diferentes.

    Creacin de Unidades Organizativas

    La creacin de una Unidad Organizativa es similar a la creacin de un grupo de trabajo, para nuestro trabajo veamos cmo se crea una y lo que podemos hacer con ella.

    Los pasos son bastante sencillos.

    1. Debemos abrir la herramienta Usuario y Equipos del Active Directory. Inicio, Programas, Herramientas administrativas y Usuarios y Equipos del Active Directory.

    2. Nos ubicamos en el Dominio y presionamos clic derecho Nuevo/Unidad Organizativa.

    3. Vemos entonces una ventana en la cual debemos colocar el nombre de la Unidad Organizativa, recordemos que la idea o el objetivo de las unidades organizativas es la de agrupar administrativamente la informacin de la Red, as que debemos dar un nombre acorde a lo que deseamos hacer. Para nuestro caso, le daremos el nombre de SISTEMAS, y presionamos clic en aceptar.

    4. Como podemos observar en la Imagen 47, la Unidad Organizativa, quedo creada a nivel del Dominio (Como se recomienda) y est vaca.

    5. Procedemos entonces, a crear dentro de ella los usuarios y grupos de trabajo necesarios para conformar la divisin empresarial.

    Veamos por medio de un ejercicio tomando como base el organigrama de una empresa cualquiera. Por ejemplo.

  • FUNDAMENTOS DE SEGURIDAD Y HACKING ETICO Profesor: Luis Alfonso Jimnez Piedrahita

    11

    En el organigrama anterior, podemos entonces dividir la empresa en varias unidades organizativas y dentro de ellas

    crear los diferentes usuarios y/o grupos de trabajo. Veamos entonces como hacerlo.

    Unidades Organizativas a crear

    - Direccin General

    - Direccin Comercial

    - Produccin

    - Direccin de Finanzas

    - Departamento de Tecnologa de la Informacin

    Y para nuestra mejor administracin, en cada una de las Unidades Organizativas creadas, procedemos a crear los usuario y/o grupo de trabajo que a cada una de ellas pertenecen, e inclusive, se puede crear otras unidades organizativas, si es el caso.

    En la imagen anterior vemos sealadas las unidades organizativas creadas, lo nico que nos faltara seria agregar los usuario y/o grupos que van a pertenecer a cada una de ellas. El procedimiento es sencillo, lo nico que cambiara seria que en lugar de hacerlo dentro de la carpeta Users lo haramos dentro de cada una de las Unidades