INSTITUTO TECNOLOGICO
SUPERIOR DE COATZACOALCOSPROFESORA:
I.S.C LIZBETH HERNÁNDEZ OLÁN
DIVISION:
INGENIERÍA INFORMÁTICA
MATERIA:
ADMINISTRACIÓN DE SERVIDORES
7° “B”
INTEGRANTES:
CRUZ FERNANDEZ ALBERTOAVENDAÑO LOPEZ CARLOS IZQUIERDO CRUS PATRICIA
MARTINEZ ANTONIO IRIDIANPERES HERNANDEZ MISAEL
REYES GARCIA ALAN
Cuentas de usuarios locales
Cuentas de usuario definidas en el equipo local, con acceso solamente a l
equipo loca l y, por tanto, a los recursos dl i e l mismo
• Los usuarios pueden tener acceso a los recursos de otro equipo de la red sí
disponen de una cuenta en dicho equipo
• Para poder acceder a los recursos que un equipo comparte, es necesario
autenticarse en él
•Se pueden crear en estaciones de trabajo o en servidores Se pueden crear en
estaciones de trabajo o en servidores miembros pero NO en controladores de
dominio
• Al usar cuentas locales de un servidor miembro, el usuario no podrán usar los
recursos del dominio (al n o estar autenticadas en él).
Permiten a los usuarios iniciar sesión y acceder
a recursos en un equipo específico
Residen en SAM Cuentas de usuario de dominio
Permiten a los usuarios iniciar sesión en el dominio para tener acceso a los recursos
de red y tener acceso a los recursos de red
Residen en Active Directory C d ii d Cuentas de usar e usuario integradas
Permiten a los usuarios realizar tareas administrativas o tener acceso temporal a
recursos de red acceso temporal a recursos de red
Residen en SAM (cuentas de usuario integradas locales)
Residen en Active Directory (cuentas de usuario integradas del dominio)
Los privilegios de Acceso A Usuario
Un aspecto muy importante en los Sistema Operativo es el de los permisos en los
perfiles. Como en Linux está el súper usuario root, aquí existe la posibilidad de contar
con distintas sesiones de menor cantidad de privilegios; en Windows estas se pueden
crear y establecer permisos para lo que cada uno necesita usar. Esto permite dejar el
usuario Administrador solo para fines de administración del equipo como instalación
de aplicaciones o actualizaciones, entre otros.
Este tipo de configuraciones son las que hacen que el Sistema Operativo se vuelva
más fuerte y robusto, sobre todo cuando el equipo es utilizado por varias personas y si
su dueño desconoce la actividad que cada una de estas realizan con el ordenador.
También es una muy buena forma de reducir las infecciones de malware en el
equipo, permitiendo controlar qué aplicaciones utilizan las demás personas.
Esto puede volverse muy útil a la hora de aplicar restricciones en aplicaciones para
el cuidado de los más pequeños, ya que desde esta sección se puede bloquear el
uso de aplicaciones podrían poner en riesgo la integridad del equipo o el mundo
digital de los niños.
Horario:
Denegar el acceso a ciertos en ciertos horarios permite hacer un uso más racional
del ancho de banda con el que se dispone. El funcionamiento es verdaderamente
simple y consiste en denegar el acceso en horarios y días de la semana.
Procedimientos
Edite el archivo /etc/squid/squid.conf:
La sintaxis para crear Listas de control de acceso que definan horarios, es la
siguiente:
vim /etc/squid/squid.conf
acl [nombre del horario] time [días de la semana] hh:mm-hh:mm
Los días de la semana se definen con letras, las cuales corresponden a la primera
letra del nombre en inglé, de modo que se utilizarán del siguiente modo:
S - Domingo
M - Lunes
T - Martes
W - Miércoles
H - Jueves
F - Viernes
A - Sábado
Ejemplo:
acl semana time MTWHF 09:00-21:00
EJEMPLO
Esta regla define a la lista semana, la cual comprende un horario de 09:00 a 21:00 horas desde el lunes hasta el viernes.
Este tipo de listas se aplican en las Reglas de Control de Acceso con una mecánica similar a la siguiente: se permite o deniega el acceso en el horario definido en la Lista de Control de Acceso denominada X para las entidades definidas en la Lista de Control de Acceso denominada Y. Lo anterior expresado en una Regla de Control de Acceso, quedaría del siguiente modo:
Ejemplo: Se quiere establecer que los miembros de la Lista de Control de Acceso denominada localnet tengan permitido acceder hacia Internet en un horario que denominaremos como matutino y que comprende de lunes a viernes de 09:00 a 15:00 horas.
La definción para el horario correspondería a:
La definición de la Regla de Control de Acceso sería:
http_access [allow | deny] [nombre del horario] [lista de entidades]
acl localnet src 192.168.1.0/24
acl matutino time MTWHF 09:00-15:00
http_access allow matutino localnet
EJEMPLO
Lo anterior, en resumen, significa que quienes conformen localnet podrán acceder a
Internet de Lunes a Viernes de 09:00-15:00 horas.
Más ejemplos.
Restringiendo el tipo de contenido.
Es posible denegar acceso a cierto tipo de contenido de acuerdo a su extensión. Se
requiere una Lista de Control de Acceso y una Regla de Control de Acceso
Si se necesita una lista denominada extensiones que defina a todos los archivos con
extensión .mp3, utilizaríamos lo siguiente:
Si queremos denegar el acceso al todo contenido con extensión .mp3, la regla quedaría
del siguiente modo:
Combinando reglas de tiempo y contenido.
acl localnet src 192.168.1.0/24
acl extensiones urlpath_regex \.mp3$
http_access allow localnet !extensiones
EJEMPLO
acl localnet src 192.168.1.0/24
acl matutino time MTWHF 09:00-15:00
acl extensiones urlpath_regex .mp3$
http_access allow matutino localnet !extensiones
Si por ejemplo queremos restringir parcialmente el acceso a cierto tipo de contenido a ciertos
horarios, pueden combinarse distintos tipos de reglas.
La Regla de Control de Acceso anterior especifica acceso permitido, en el horario definido
como matutino, a quienes integran la Lista de Control de Acceso denominada localnet, para acceder
hacia todo tipo de contenido, excepto a los contenidos que coincidan con los definidos en la Lista de
Control de Acceso denominada extensiones.
Finalizando procedimiento.
Finalmente, sólo bastará recargar la configuración de Squid para que tomen efecto los
cambios y se puedan realizar pruebas.
service squid reload
EJEMPLO
Grupos de Ámbito Local al Dominio
Son grupos que permitirán definir y administrar el
acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros
a los siguientes el
elementos: grupos de ámbito global, grupos de ámbito universal, usuarios del
dominio, otros grupos de ámbito local de dominio, una mezcla de los anteriores.
Grupos de Ámbito Local
Estos grupos se utilizan para administrar objetos de directorio que
requieren mantenimiento diario, como las cuentas de usuarios y equipos.
Grupos de Ámbito Universal Son grupos utilizados cuando la pertenencia ha dicho grupo
no
cambia frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que
todos
los datos de pertenencia del grupo se repliquen en todos los catálogos globales del bosq
ue del dominio.
Perfil Móvil
Perfil de usuario que se descarga desde el servidor en el equipo donde el
usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente.
cambios en el perfil se almacenarán en el servidor en el espacio destinado para tal fin pa
ra dicho usuario.
Perfil Obligatorio
Perfil de usuario que se descarga desde el servidor en el equipo donde elusuario e
n cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente los
cambios en el perfil NO se almacenarán en el servidor, de modo que el usuario si
empre dispondrá del mismo perfil.
Grupos Globales y Locales
Un grupo es un conjunto de cuentas de usuario. La asignación de una cuenta de
usuario a un grupo concede a éste todos los derechos y permisos concedidos al
grupo.
Los grupos simplifican la administración al proporcionar un método fácil para
conceder derechos comunes a múltiples usuarios simultáneamente
Por ejemplo:
si los usuarios Profesor_1, Profesor_2 y Profesor_3 necesitan acceder a un recurso
compartido de nuestra red llamado Cursos, en lugar de asignar a cada uno de
ellos derechos sobre el recurso nos podemos crear un grupo llamado Monitores,
añadir a dicho grupo los tres usuarios y darle al grupo derechos para acceder al
recurso Cursos.
Grupos Locales
Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un
recurso de la red. Recordemos que los permisos son normas que regulan qué usuarios
pueden emplear un recurso como, por ejemplo, una carpeta, un archivo o una
impresora.
Los grupos locales también se utilizan para proporcionar a los usuarios los derechos
para realizar tareas del sistema tales como el cambio de hora de un equipo o la
copia de seguridad y la restauración de archivos. Los grupos locales están formados
por usuarios y grupos que pueden proceder tanto del dominio en que se crearon y
residen las cuentas, como de otros dominios, si tenemos establecidas relaciones de
confianza.
Grupos Globales
Los grupos globales se utilizan para organizar cuentas de usuario del dominio,
normalmente por función o ubicación geográfica. Se suelen usar, en redes con múltiples
dominios.
Cuando los usuarios de un dominio necesitan tener acceso a los recursos existentes en
otro dominio, se agregarán a un grupo local del otro dominio para conceder derechos a
sus miembros. Se tienen que crear en un controlador del dominio en el que residen las
cuentas de los usuarios.
Los grupos globales están formados sólo por usuarios de un mismo dominio (del mismo en
que reside el grupo) y no pueden contener ningún tipo de grupos.
Administración de cuentas
Existen procedimientos y herramientas que un administrador puede utilizar para realizar sustareas diarias de forma eficiente y mantener la red en perfecto funcionamiento.
Estos son algunos de esos procedimientos y herramientas:
Crear plantillas para agregar nuevas cuentas de usuario.
Realizar cambios simultáneamente en varias cuentas de usuario.
Diseñar e implementar un plan de cuentas para proteger la red.
Mantener los controladores de dominio de forma que las cuentas de usuario se puedanvalidar siempre y sin problemas.
Solucionar los problemas que puedan tener los usuarios con sus cuentas, suelen serproblemas de inicio de sesión.
Distribuir algunas de las tareas administrativas mediante la creación de un Administradoradicional o un Operador de cuentas:
Los miembros del grupo Administradores tienen todas las capacidades administrativas. Sonresponsables del diseño y el mantenimiento de la seguridad de la red.
Los miembros del grupo Operadores de cuentas pueden crear, eliminar y modificar cuentasde usuario, grupos globales y grupos locales. No obstante, no pueden modificar los gruposAdministradores y Operadores de servidores.
Control de acceso a un sistema
informático
En el espacio de trabajo, todos los equipos conectados a un servidor pueden
considerarse como un gran sistema multifacético. Usted es responsable de la seguridad
de este sistema más grande. Debe proteger la red contra los desconocidos que
intentan obtener acceso. También debe garantizar la integridad de los datos en los
equipos de la red.
En el nivel de archivos, Oracle Solaris proporciona funciones de seguridad estándar que
usted puede utilizar para proteger archivos, directorios y dispositivos. En los niveles de
sistema y de red, los problemas de seguridad son generalmente los mismos. La primera
línea de defensa de seguridad es controlar el acceso al sistema.
Puede controlar y supervisar el acceso
al sistema con las siguientes medidas:
Mantenimiento de la seguridad física
Mantenimiento del control de inicio de sesión
Control de acceso a dispositivos
Control de acceso a recursos del equipo
Control de acceso a archivos
Control de acceso a la red
Comunicación de problemas de seguridad
Ciclos de procesador.
Para realizar las tareas, las transacciones deben competir con otras tareas y
trabajos en el sistema. En distintos momentos, estas tareas deben esperar a que se
realicen actividades como, por ejemplo, la entrada y salida de archivos. En esos
momentos, las transacciones dejan de utilizar el procesador y deben competir
para utilizarlo de nuevo una vez se ha completado la actividad.
Las prioridades de asignación afectan a las transacciones o trabajos que utilizan el
procesador, y los procesos por lotes u otros sistemas en línea pueden afectar al
tiempo de respuesta al recibir acceso preferencial para el procesador.
Los programas de proceso por lotes que acceden a las bases de datos en línea
también bloquean los registros de las bases de datos durante periodos de tiempo
más largos si su prioridad de asignación es baja. Con usos elevados, el tiempo de
espera para poder acceder al procesador puede ser significativo.
Contención de hardware asociado a la base de datos
Cuando se acceden a datos para proporcionar información necesaria para una
transacción, una operación de E/S pasa por el procesador, una unidad de control de
disco y el dispositivo real de disco en el que se encuentran los datos.
Si alguno de estos dispositivos está sobre utilizado, el tiempo que se tarda para acceder a
los datos puede aumentar significativamente.}
Este uso excesivo puede ser el resultado de la actividad en un archivo o en una
combinación de archivos activos. El porcentaje de errores también afecta a la utilización
y el rendimiento del dispositivo.
En entornos de disco compartido, la contención entre procesadores también afecta al
rendimiento. Esto, a su vez, aumenta el tiempo que la transacción ocupa memoria física,
espacio de intercambio y otros recursos. Si utiliza proceso distribuido y el servidor SFS está
en un procesador distinto, puede producirse una contención.