Sei sulla pagina 1di 68

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1 WI DOWS XP

1.1.1 Instalación de Windows XP

1-2

1-2

Requisitos de Hardware

1-2

Revisión de la compatibilidad Hardware y Software

1-2

Actualización de Windows XP

1-3

Instalación limpia desde un Windows anterior

1-3

Instalación limpia desde el CD de Windows XP

1-5

1.1.2 El gestor de arranque de Windows XP. tldr

1-5

Orden de instalación de los sistemas operativos

1-6

Estructura del archivo boot.ini

1-6

Recuperación de

1-11

La consola de

1-12

2 Configuración de Windows

2-14

2.1.1 Windows Update y Service Packs

2-14

2.1.2 Opciones de

2-15

2.1.3 Añadir y eliminar componentes de Windows XP

2-15

2.1.4 Restauración del Sistema

2-16

2.1.5 Configurando el inicio del

2-17

2.1.6 Asistencia

2-19

2.1.7 Escritorio

2-21

2.1.8 Administrador de

2-22

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1 WINDOWS XP

Vamos a tratar en este tema la instalación, mantenimiento y administración de un sistema operativo cliente, y en lo siguientes temas entraremos ya con sistemas operativos que realicen funciones de servidor. Como sistema cliente, podemos utilizar cualquier sistema operativo como Windows 98, Linux, Windows 2000, etc. Escogemos en este apartado el sistema Windows XP Professional dado que funciona realmente bien como sistema cliente y que es el más implementado en la actualidad.

1.1.1 Instalación de Windows XP

Antes de instalar Windows XP, es conveniente asegurarnos de que los componentes de nuestro hardware cumplen los requisitos mínimos y que todo nuestro sistema informático es compatible con XP. Si lo instalamos en un sistema moderno, no debería haber muchos problemas, pero en sistemas más antiguos si podemos encontrarnos con incompatibilidades.

Requisitos de Hardware

CPU: Microprocesador Pentium 2 de 233 MHz o equivalente. (Recomendado Pentium 2 a 300 MHz o equivalente).encontrarnos con incompatibilidades. Requisitos de Hardware RAM: Se recomienda 128 megabytes (MB). 64 MB de RAM

RAM: Se recomienda 128 megabytes (MB). 64 MB de RAM es el mínimo de y 4 gigabytes (GB) de RAM es el máximo.(Recomendado Pentium 2 a 300 MHz o equivalente). Disco duro: Partición con un tamaño mínimo de

Disco duro: Partición con un tamaño mínimo de 2GB, disponiendo al menos de 1,5 GB de espacio libre en el disco duro.es el mínimo de y 4 gigabytes (GB) de RAM es el máximo. Monitor: Resolución VGA

Monitor: Resolución VGA o superior.al menos de 1,5 GB de espacio libre en el disco duro. Accesorios: Teclado y Ratón

Accesorios: Teclado y Ratón o dispositivos compatibles.libre en el disco duro. Monitor: Resolución VGA o superior. Dispositivos: Unidad de CD-ROM o DVD.

Dispositivos: Unidad de CD-ROM o DVD.Accesorios: Teclado y Ratón o dispositivos compatibles. En términos generales, cualquier equipo adquirido después

En términos generales, cualquier equipo adquirido después del año 2000, cumplirá estos requisitos mínimos de hardware, lo que nos permitirá instalar en él el sistema operativo Mcrosoft Windows XP Home Edition o Professional. (La edición Home es una versión especial del sistema operativo que tiene recortadas diversas capacidades).

Revisión de la compatibilidad Hardware y Software

Una vez hemos determinado que los componentes del equipo cumplen los requisitos mínimos necesarios para la instalación, debemos asegurarnos de que el hardware del equipo es compatible con Windows XP antes de lanzar la instalación.

Esta operación podemos realizarla de dos maneras:

En primer lugar, podemos consultar la Lista de Compatibilidad de Hardware (HCL) en el siguiente sitio Web de Microsoft: http://www.microsoft.com/hcl/,

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Una segunda opción consiste en emplear el Asistente para la Instalación de Windows XP, que se encarga de comprobar automáticamente el hardware y el software existente en la máquina (especialmente importante cuando nos enfrentamos a una actualización), e informar de los posibles conflictos. Para ello, introducimos en nuestro sistema actual el CD de instalación de Windows XP, y en la primera pantalla del asistente que nos aparece hacemos click en la opción ‘Comprobar compatibilidad del sistema’ y, posteriormente, click sobre la opción ‘Comprobar mi sistema automáticamente’

Actualización de Windows XP

Al instalar Windows XP Professional, tenemos dos posibilidades. Realizar una instalación limpia del mismo, o bien actualizar un Windows anterior. Los sistemas operativos que pueden actualizarse a Windows XP Professional son:

Windows 98que pueden actualizarse a Windows XP Professional son: Windows Millennium Edition Windows NT 4.0 Workstation

Windows Millennium Editionactualizarse a Windows XP Professional son: Windows 98 Windows NT 4.0 Workstation Windows 2000 Professional Windows

Windows NT 4.0 WorkstationXP Professional son: Windows 98 Windows Millennium Edition Windows 2000 Professional Windows XP Home Edition Si

Windows 2000 Professional98 Windows Millennium Edition Windows NT 4.0 Workstation Windows XP Home Edition Si tenemos un sistema

Windows XP Home EditionEdition Windows NT 4.0 Workstation Windows 2000 Professional Si tenemos un sistema operativo de los indicados,

Si tenemos un sistema operativo de los indicados, podemos introducir el CD de Windows XP y actualizar nuestro sistema operativo a XP Professional. De esta manera no perderemos ni los programas instalados, ni las configuraciones de los mismos, etc. Sin embargo esta forma de instalación de Windows XP esta totalmente desaconsejada, ya que al basarse la instalación sobre un registro anterior, lo que obtenemos no es realmente XP Professional sino un hibrido que suele funcionar bastante mal.

Instalación limpia desde un Windows anterior.

Si sistema operativo actual no es compatible o no deseamos conservar una instalación previa, podemos realizar una instalación limpia desde el sistema operativo actual. Con este tipo de instalación conseguiremos un sistema operativo mucho más eficiente y efectivo.

Podemos hacer una instalación limpia de Windows XP de dos formas. O bien podemos arrancar la maquina con el CD de instalación, o bien podemos insertar el CD con el sistema operativo actual en funcionamiento, y escoger la opción de instalar Windows XP.

En general, para instalar una copia nueva mediante el disco compacto en un sistema que ya este en funcionamiento seguiremos los siguientes pasos:

1. Iniciamos el equipo con el sistema operativo actual e insertamos el CD de Windows XP Professional en la unidad de CD-ROM.

2. Si Windows detecta automáticamente el CD, aparecerá el cuadro de diálogo del CD de Windows XP Professional. Para iniciar la actualización, hacemos clic en ‘Instalar Windows XP’. Se iniciará el asistente para la instalación.

3. Si Windows no detecta automáticamente el disco compacto, hacemos clic en Inicio y, después, en Ejecutar. A continuación, escribimos la ruta de acceso al archivo de instalación, tal y como se indica a continuación. D:\setup. (Obviamente, D se sustituye por la letra de nuestra unidad óptica).

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

4. Cuando se nos pide que elijamos un tipo de instalación, seleccionamos ‘Instalación Nueva’ y, después, hacemos clic en ‘Siguiente’.

5. Tras aceptar el contrato e introducir la clave de producto, y si disponemos de

conexión a Internet, podemos descargarnos archivos actualizados de la instalación,

a fin de disponer de las últimas actualizaciones disponibles para nuestro sistema operativo.

6. A continuación se iniciará la fase de copia de archivos, la cual requerirá algún reinicio.

7. Seleccionar opciones especiales. Podemos personalizar la instalación de Windows XP, el idioma y la configuración de accesibilidad para instalaciones nuevas.

8. Seleccionar un sistema de archivos. Escogeremos el sistema de archivos NTFS a menos que tengamos una razón de peso para escoger FAT 32.

9. Configuración regional. Podemos cambiar la configuración regional del usuario y el sistema para los distintos idiomas y regiones.

10. Personalice su software. Escribimos el nombre completo de la persona que hará uso del equipo y, opcionalmente, de la organización a quien se concede la licencia de esta copia de Windows XP Professional. Estos campos son simplemente informativos, pero hay que recordar que podrán ser vistos en la red local y en Internet.

11. Nombre de equipo y contraseña de administrador. Escribimos un nombre de equipo

único, que sea diferente de otros nombres de equipo, grupo de trabajo o dominio de

la red. El asistente propone un nombre de equipo, pero podemos cambiarlo (durante

la instalación o posteriormente). NOTA.- Es muy peligroso utilizar un nombre de equipo que coincida con el nombre de algún usuario. En nuestro caso utilizaremos como nombre de equipo ASI1A05 por ejemplo. (Ordenador número 5 del grupo 1ªA de ASI).

12. También durante la instalación, el asistente crea automáticamente una cuenta de administrador. Cuando utilicemos esa cuenta tendremos todos los derechos sobre la configuración del equipo y podremos crear cuentas de usuario. Es decir, al iniciar sesión como administrador después de instalar Windows XP Professional recibiremos los privilegios administrativos necesarios para iniciar sesión y administrar el equipo. Por motivos de seguridad siempre se debe asignar una contraseña a la cuenta de administrador. Hay que asegurarse de recordar y proteger esta contraseña. Por regla general, nunca se debe dejar esa contraseña en blanco.

13. Configuración de fecha y hora.

14. Configuración de red. Es recomendable seleccionar la opción de configuración ‘Típica’ para la configuración de red. Posteriormente ya modificaremos la configuración de red, pero con el sistema ya instalado.

15. Grupo de trabajo o dominio del equipo. Durante el proceso de instalación, debe unirse a un grupo de trabajo o a un dominio. El tema de dominios lo veremos en los apartados de Windows 2003, con lo que de momento utilizaremos un grupo de trabajo. Es recomendable que todo el grupo utilice un mismo nombre de grupo. ASI1A o ASI1B en nuestro caso.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Nota: Aunque vayamos a conectarnos a un dominio, en recomendable unirse a un grupo de trabajo durante la instalación y después, una vez finalizada la instalación de Windows XP Professional, configurar la unión al dominio. Para trabajar en un dominio, es imprescindible que exista en algún punto de la red, un controlador principal de dominio. Este controlador debe estar montado con una versión servidor de Windows NT, Windows 2000 o Windows 2003.

Durante estos pasos, se nos ofrecerá la opción de entrar en opciones avanzadas. Desde estas opciones podremos indicar si queremos particionar el disco, elegir la partición donde se instalará Windows, elegir el directorio donde se instalará, etc. Si escogemos estas opciones, tenemos una instalación aun mas controlada.

Instalación limpia desde el CD de Windows XP.

Esta es la mejor manera posible de instalar Windows XP en la mayoría de los casos.

Si usamos el CD de Windows XP para arrancar la maquina, conseguiremos siempre una instalación limpia de Windows XP. Para arrancar la maquina desde el CD de Windows XP debemos asegurarnos de que la BIOS esta configurada para arrancar antes desde el CD que desde el HD.

Durante este tipo de instalación, tendremos la posibilidad de elegir en que partición y en que disco duro deseamos instalar Windows XP, y podremos crear nuevas particiones y borrar particiones ya existentes si es necesario. Hay que tener mucho cuidado al eliminar particiones, y asegurarnos siempre de que no borramos una partición necesaria. Desde este punto también podemos elegir instalar Windows XP en cualquier disco duro disponible en el sistema.

Los pasos a seguir son muy parecidos a los que vimos anteriormente en la instalación de Windows XP desde un sistema operativo anterior.

1.1.2 El gestor de arranque de Windows XP. Ntldr.

Ya hemos visto en el tema anterior, que la familia NT de Windows incluye su propio gestor de arranque, el ntldr. Este gestor de arranque cuando comprueba que hemos instalado un Windows NT en un disco duro donde ya existía un sistema operativo anterior de Microsoft modifica el fichero boot.ini para permitirnos arrancar bien desde uno o de otro.

Recordemos que el orden normal de inicio de un sistema informático es: POST -> MBR -> SECTOR_DE_ARRANQUE. El gestor de arranque de Windows XP (ntldr) reside en el sector de arranque.

Aunque Windows XP, Windows 2000 y Windows 2003 usan el mismo gestor, cada uno tiene su propia versión. Hay que tener cuidado con esto, ya que podemos tener un ntldr incorrecto en nuestro sistema. Lo ideal es tener almacenada una copia de cada uno de ellos, para evitar posibles errores.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Orden de instalación de los sistemas operativos.

Si vamos a instalar varios sistemas operativos en nuestra máquina, debemos observar ciertas precauciones. Vamos a realizar la enumeración de los sucesos al instalar cada sistema y en función de ellos, sacaremos nuestras conclusiones:

MS-DOS, W9X y Windows ME, necesitan que la partición activa del disco de arranque, sea FAT o FAT 32.y en función de ellos, sacaremos nuestras conclusiones: Al instalar W9X, este sobrescribe el boot (sector

Al instalar W9X, este sobrescribe el boot (sector de arranque) de la partición, dejando un boot que únicamente puede arrancar MSDOS o W9X.partición activa del disco de arranque, sea FAT o FAT 32. Windows ME, Vista, 7, 2003

Windows ME, Vista, 7, 2003 y 2008 respeta el Boot (sector de arranque) de la partición, no como el punto anterior.dejando un boot que únicamente puede arrancar MSDOS o W9X. Windows XP puede arrancar todos los

Windows XP puede arrancar todos los sistemas operativos previos. (En general, cualquier sistema operativo es capaz de arrancar todos los sistemas operativos anteriores al mismo). Es decir, XP puede arrancar W.98 o W.,2000 pero no Vista, 7, 2003 o 2008.de arranque) de la partición, no como el punto anterior. El cargador (ntldr) de XP es

El cargador (ntldr) de XP es capaz de arrancar W2000 pero no W2003.puede arrancar W.98 o W.,2000 pero no Vista, 7, 2003 o 2008. Ejercicio: En función de

Ejercicio:

En función de las premisas anteriores, definir en que orden tenemos que instalar los sistemas operativos W.XP, W2003, Vista y Siete en un mismo disco duro para que todos puedan convivir en nuestro sistema. Razonar la respuesta.

Respuesta:

Deben instalarse precisamente en el orden propuesto. Simplemente en orden del más antiguo al más moderno.

(Nota: más adelante veremos cómo podemos instalar “a posteriori” cualquiera de los sistemas anteriores saltándonos ese orden, pero tomando previamente las precauciones necesarias.)

Estructura del archivo boot.ini

El archivo boot.ini que reside siempre, al igual que los que hemos citado previamente, en la partición activa del sistema (normalmente C, aunque la podemos encontrar con otra letra en sistemas donde se haya actualizado a XP), es un fichero de texto, que podemos ver y modificar.

No es aconsejable modificar directamente el archivo boot.ini, dado que esta protegido con los atributos de archivo rhs (read only, hidden, System) y hay que desactivarlos para editarlo y volver a activarlos tras la edición.

En XP, en propiedades de Mi PC (Windows + Pausa) en la pestaña de “avanzado” podemos modificar sus opciones, e incluso podemos editarlo sin tener que cambiar sus atributos.

También podemos modificar algunos aspectos de este archivo desde aquí.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Veamos una estructura normal del boot.ini:

[boot loader]

timeout=5

default=multi(0)disk(0)rdisk(0)partition(4)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(4)\WINDOWS="Wind XP Prof" /fastdetect

multi(0)disk(0)rdisk(3)partition(1)\WINDOWS="Wind XP Prof" /fastdetect

multi(0)disk(0)rdisk(1)partition(6)\WINDOWS="Wind XP Home" /fastdetect

multi(0)disk(0)rdisk(3)partition(2)\WINNT="Wind 2003 Serv" /fastdetect

C:\="Microsoft Windows Millennium Edition"

Podemos ver que el boot.ini consta de dos secciones. En la primera [boot loader], encontramos dos líneas. El número de la línea timeout especifica el tiempo que esperará el sistema antes de arrancar la opción que está definida en la línea default

La siguiente sección [operating systems] contiene los sistemas operativos y sus ubicaciones en nuestro sistema. Más adelante, comentaremos como “enumera” Windows NT, W2000/2003 o XP los discos y particiones para poder entender con detalle qué es lo que está especificando dicha línea.

Aunque el número de sistemas operativos que tengamos instalados en nuestra máquina no está limitado, el cargador de Windows únicamente nos mostrará en la pantalla inicial de arranque del sistema las 10 primeras líneas especificadas en la sección [operating systems] del boot.ini.

Veamos otro ejemplo de boot.ini, en este caso el de una maquina que tiene instalado MS- DOS y Windows XP únicamente:

[boot loader]

timeout=5

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Wind XP Prof" /fastdetect

C:\bootsect.dos="MS-DOS"

Nos damos cuenta que si el sistema operativo es de núcleo NT, el boot.ini almacena la información referente al disco y a la partición en la que esta instalado. Sin embargo, si el sistema operativo es MSDOS o Windows 9x, no hace falta hacer esta referencia, dado que estos sistemas deben tener su arranque en C: forzosamente (es una limitación de estos sistemas operativos, deben estar instalados en la primera partición activa forzosamente, o lo que es lo mismo en C). En estos casos, el archivo que se cargará es el bootsect.dos que esta en el raíz de C. Este archivo bootsect.dos es en realidad el sector de arranque de los antiguos sistemas operativos de Microsoft. Es decir, el orden de inicio del sistema informático seria:

POST -> MBR -> SECT.ARR. (NTLDR) -> BOOTSECT.DOS (SEC.ARR.MSDOS).

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

En el boot.ini aparecen líneas del estilo:

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Wind XP Prof" /fastdetect

C:\bootsect.dos="MS-DOS"

Estas líneas responden a rutas ARC, un estándar de Microsoft. Veamos el significado de cada uno de los términos. El formato general es:

multi(n)disk(n)rdisk(n)partition(n)\<dir. windows> = “Texto” /opciones

Esta sintaxis usada por Microsoft se denomina ARC. En su primera forma, se divide en 5 partes:

1. multi(n). Aquí puede venir o bien multi o bien scsi. Multi significa que el sistema usará la BIOS para acceder al disco duro mediante un controlador IDE o SATA. El valor que sigue a multi es siempre 0. En caso de que tengamos un disco duro SCSI en lugar de IDE, ponemos scsi seguido del numero del adaptador SCSI del que queremos arrancar.

2. disk(n). Si en la parte anterior hemos puesto multi, aquí siempre va un disk(0). Si hemos puesto SCSI aquí ponemos el ID del dispositivo SCSI.

3. rdisk(n). El número representa el número del disco duro dentro del controlador IDE o SATA. (0 representa el 1º disco).

4. partition(n). Aquí siempre se pone partition. El número indica en que partición esta instalado el sistema operativo. ATENCION. El número de partición comienza por 1, no por 0 como en las otras opciones y se numera de forma especial, luego lo veremos.

5. directorio = “texto”. Indicamos en que directorio se instaló Windows XP y ponemos un texto cualquiera que aparecerá en el menú al reiniciar el sistema.

Así, por ejemplo, ¿que estará indicando esta línea?:

multi(0)disk(0)rdisk(1)partition(2)\WINNT = "Mi Sistema"

NTLDR al leer esta línea, accederá al segundo disco duro de la controladora IDE o SATA, y se irá a la segunda partición de ese disco duro, se dirigirá al directorio \WINNT e intentará cargar el sistema operativo allí situado (ntoskrnl.exe). Por pantalla la línea que el usuario verá en el menú de arranque, pondrá Mi Sistema.

Ahora bien, partition(2) no indica la segunda partición física del disco duro, sino la segunda partición usando el formato de enumeración de Windows. Veamos esta enumeración como se realiza:

NTLDR lee la tabla de particiones para el disco apropiado, y numera cada partición siguiendo esta lógica:

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1. Busca en la tabla de particiones, todas las particiones que no tengan como ID 00 (no usada) o 05 (extendida). Es decir, busca todas las particiones primarias.

2. A cada partición encontrada le asigna un número secuencial, comenzando por 1.

3. Busca la tabla de particiones de nuevo, y lee las particiones con ID 05 (extendidas).

4. Sólo con la primera partición extendida, asigna números correlativos a las unidades lógicas que existan dentro de esa partición.

Es decir: Empieza a numerar desde 1 a todas las particiones primarias, y luego sigue dándole números a todas las unidades lógicas de la 1ª partición extendida. (Puede haber más particiones extendidas, pero Windows sólo usa la 1ª).

Entonces imaginemos el siguiente disco duro:

Primaria (activa) Extendida Un Lógica Un Lógica Primaria
Primaria (activa)
Primaria (activa)

Primaria

(activa)

Extendida

Un Lógica

Un Lógica

Primaria

¿Qué numeración recibiría cada volumen?

Obviamente la Primaria activa recibiría el número 1, la 2ª Primaria el 2, la 1ª unidad lógica el 3 y la 2ª unidad lógica el 4.

1 Extendida 3 4 2
1

1

Extendida

3

4

2

Esta numeración se usa en sistemas Windows, pero no en sistemas Linux. En un sistema Linux los números del 1 al 4 se reservan para las primarias, asi que las unidades lógicas comienzan por el número 5. De hecho, el disco anterior se numera en Windows 1 3 4 2 pero en Linux se numeraría 1 5 6 2. Hay que recordar esto, ya que si instalamos ambos sistemas en la misma maquina podremos liarnos al usar distintos tipos de numeraciones.

Veamos un ejemplo:

Número dentro de la MBR

ID de la partición

Número que le asigna NTLDR

 

1

05 (extendida)

3

a

la

unidad lógica, 4

a

la

 

siguiente, etc.

 

2

06 (ntfs)

1

3

00 (no usada)

No la cuenta

 

4

81 (Linux)

2

Nos falta por explicar sobre las rutas ARC las opciones que se pueden poner al final de cada línea. Aunque hay muchas opciones posibles, vamos a resumir aquí las más importantes y que son las que veremos habitualmente:

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

/basevideo Arrancará nuestra maquina usando el adaptador estándar VGA. Es útil en caso de que nuestra maquina se niegue a arrancar después de instalar un nuevo driver de vídeo.SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO /fastdetect Desactiva la detección de ratón en los puertos serie. Se

/fastdetecta arrancar después de instalar un nuevo driver de vídeo. Desactiva la detección de ratón en

Desactiva la detección de ratón en los puertos serie. Se incluye este

modificador en todas las entradas del boot.ini por defecto.

/maxmen:n Especifica la cantidad de memoria que Windows va a usar. Debe usarse este modificador si sospechamos que un chip de memoria está dañado.modificador en todas las entradas del boot.ini por defecto. /noguiboot Arranca sin sacar la pantalla gráfica

/noguiboot Arranca sin sacar la pantalla gráfica de inicio del sistema.si sospechamos que un chip de memoria está dañado. /sos Nos muestra por pantalla los nombres

/sos Nos muestra por pantalla los nombres de los controladores de dispositivos que se van cargando. Debemos usar este modificador cuando falla el arranque para poder determinar que driver es el causante del error.sin sacar la pantalla gráfica de inicio del sistema. /bootlog Crea un fichero en %SYSTEMROOT%\NTBTLOG.TXT donde

/bootlog Crea un fichero en %SYSTEMROOT%\NTBTLOG.TXT donde va escribiendo los nombres de todos los drivers que se cargan en la carga de Windows.para poder determinar que driver es el causante del error. /safeboot Hace que el sistema se

/safeboot Hace que el sistema se inicie en modo a prueba de errores. En este modo Windows se inicia sin cargar los archivos de inicio, se suele usar cuando no podemos iniciar Windows de forma normal para reparar errores. Esta opción permite usar distintos operadores, como por ejemplo:de todos los drivers que se cargan en la carga de Windows. /safeboot:minimal /sos /bootlog /noguiboot

/safeboot:minimal /sos /bootlog /noguibootopción permite usar distintos operadores, como por ejemplo: /safeboot:network /sos /bootlog /noguiboot

/safeboot:network /sos /bootlog /noguibootcomo por ejemplo: /safeboot:minimal /sos /bootlog /noguiboot /safeboot:minimal(alternateshell) /sos /bootlog /noguiboot

/safeboot:minimal(alternateshell) /sos /bootlog /noguiboot (usa shell de texto)/noguiboot /safeboot:network /sos /bootlog /noguiboot /safeboot:dsrepair /sos (usado para restaurar controladores

/safeboot:dsrepair /sos (usado para restaurar controladores de Dominio)/sos /bootlog /noguiboot (usa shell de texto) Por ultimo, recordemos los archivos que intervienen en el

Por ultimo, recordemos los archivos que intervienen en el inicio de Windows, y que deberíamos tener guardados en algún sitio por si acaso se pierden o borran accidentalmente. (Por cierto, si grabamos los archivos de inicio en un disco formateado como disco de sistema, nos permitirá iniciar nuestro Windows XP desde disquete).

Archivos que intervienen el arranque de Windows NT, 2000/3, y XP.

1. C:\BOOT.INI

2. C:\NTLDR

3. C:\NTDETECT.COM

4. C:\NTBOOTDD.SYS

5. C:\WINDOWS\SYSTEM32\NTOSKRNL.EXE

6. C:\WINDOWS\SYSTEM32\HAL.DLL

7. C:\WINDOWS\SYSTEM32\SYSTEM.DRV

8. C:\WINDOWS\SYSTEM32\DRIVERS\*

(únicamente si tenemos SCSI)

Conociendo bien los procesos de arranque de los sistemas operativos, seremos capaces de instalar varios de ellos en una sola maquina, y lo que es más importante, reparar el arranque de un sistema cuando nos falle. Esta operación suele ser simple, si sabemos lo que estamos haciendo, o bien tremendamente complicada y peligrosa si no lo sabemos.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Recuperación de errores.

Si hemos entendido bien los anteriores puntos, habremos visto como para el arranque de un sistema operativo es necesario procesar:

El programa del MBRel arranque de un sistema operativo es necesario procesar: El programa del Sector de Arranque Los

El programa del Sector de Arranquesistema operativo es necesario procesar: El programa del MBR Los ficheros de inicio propios del sistema

Los ficheros de inicio propios del sistema operativo.El programa del MBR El programa del Sector de Arranque También nos habremos dado cuenta que

También nos habremos dado cuenta que hay sistemas operativos que comparten parte de estos programas y otros sistemas que cuentan con su propia versión. Por lo tanto, un fallo que se puede cometer y con el que hay que tener muchísimo cuidado es el de sobrescribir estos programas de un sistema operativo anterior con un nuevo sistema operativo que instalemos.

Pongamos un ejemplo para ver por que se producen estos errores y como podemos arreglarlos:

CASO A) Tenemos un sistema informático con un único disco duro, en el que tenemos una partición creada con Windows VISTA y queremos instalar Windows XP en otra partición que crearemos en el espacio disponible del disco duro. Es decir, tenemos

W. VISTA (part. 1 activa)

y pasamos a tener

W. VISTA (part. 1 activa)

WINDOWS XP (partición 2)

Al instalar Windows XP, va a sobrescribir EL MBR DEL 1º DISCO DURO DEL SISTEMA, por lo que el actual MBR del disco duro (el MBR de Windows VISTA) va a desaparecer. Puesto que los MBR no forman parte del sistema operativo, puede usarse cualquier programa MBR sin problemas de compatibilidad, así que esto no provocará ningún tipo de problema.

Pero XP va a escribir su propio sector de arranque en el sector de arranque de la PARTICION ACTIVA de ese disco duro, para cargar su propio gestor de arranque ntldr.

Esto quiere decir que Windows XP va a sobrescribir el sector de arranque de la partición 1 y por lo tanto, va a borrar el sector de arranque de Windows VISTA. El sector de arranque de XP no reconoce a VISTA como sistema operativo, así que cuando cargue su propio gestor de arranque, no respetará el VISTA instalado, y por lo tanto cuando reiniciemos la maquina arrancara XP, sin que quede rastro visible del VISTA instalado anteriormente.

¿Quiere decir esto que en este sistema ya no funcionará Windows VISTA nunca o que se ha borrado?. No.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Lo único que tendremos que hacer es instalar el gestor de arranque de VISTA (que si es capaz de cargar XP) y si acaso, modificar las líneas del boot.ini para añadir tanto VISTA como XP (que obviamente estarán cada uno en su propia partición).

Para solucionarlo, tendremos que usar la consola de recuperación del VISTA, y volver a instalar el MBR, el sector de arranque y el ntldr de Windows VISTA, que permitirá arrancar VISTA y XP. Es posible que perdamos la estructura del archivo boot.ini al hacer operaciones de este tipo, por lo que es importante que comprendamos como funciona para poder editarlo, o incluso crearlo a mano.

Para ello, en el caso del VISTA basta con arrancar el equipo desde el CD y nos dará una opción para corregir automáticamente el inicio, con lo que instalará una copia correcta del MBR, del sector de arranque, del gestor de arranque y nos creará un boot.ini con todos los sistemas operativos Windows que reconozca en el disco duro.

La consola de recuperación.

Windows 2000, XP y 2003 incorporan una Consola de Recuperación. Basta con tener a mano el propio CD de instalación del sistema operativo. (y conocer la contraseña de Administrador del sistema).

Imaginemos que navegando por el disco duro, se nos ocurre la feliz idea de borrar el fichero NTLDR que se encuentra en el directorio raíz de nuestra partición activa en el primer disco duro, (total, es un fichero con un nombre muy raro). Cuando reiniciemos la maquina, nos encontraremos con la sorpresa de que el sistema no arranca, y se queja de que no encuentra el fichero NTLDR.

Lo que tenemos que hacer, como es obvio, es copiar de nuevo el fichero NTLDR a nuestra partición raíz, pero dado que nuestro sistema no se inicia, deberemos arrancar la maquina de otro modo. En un caso como este, podemos acceder a la consola de recuperación.

La consola de recuperación presenta de un entorno de trabajo que podríamos definir como un cruce entre la línea de comandos que ya conocemos y algunas opciones de configuración de Windows, con utilidades de partición de discos, y que puede leer y escribir sin problemas en particiones NTFS y FAT.

Una cosa importante a tener en cuenta, es que al usar la consola de recuperación no tendremos el teclado configurado al idioma castellano, asi que las barras, signos especiales, etc, no estarán en su ubicación habitual.

Lo primero que hay que hacer, como es obvio, es entrar en la consola de recuperación. Iniciamos nuestra maquina desde el CD de Windows XP, y esperamos que nos aparezca la opción de “Pulse R para Reparar una instalación de Windows XP usando la consola de recuperación”.

Una vez que entremos en la consola, podremos seleccionar cualquiera de las instalaciones de Windows XP. Escribimos el número de la instalación que queremos recuperar y pulsamos Intro.

El paso siguiente es la validación. Una de las principales diferencias entre los sistemas de ficheros FAT y NTFS es la seguridad. La consola nos pedirá que introduzcamos la contraseña del ADMINISTRADOR (no vale cualquier otra, y como ya sabemos, olvidar esta contraseña es pecado mortal de los gordos).

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Tras introducir esta contraseña, se nos presentará un indicador de sistema para la introducción de comandos en el directorio raíz de la instalación que hayamos escogido.

¿Y ahora que? ¿Cómo trabajamos desde una línea de comandos? Siempre que nos encontremos en una de estas, lo mejor es teclear la orden HELP y ver que nos dice. Podemos ver en la ayuda del sistema que podemos realizar operaciones típicas del DOS (COPY, DEL, ATTRIB, FORMAT, etc.). Para resolver el problema con el que empezamos este punto, solo tendríamos que copiar el archivo NTLDR de nuestro CD de XP al directorio raíz de nuestro disco duro. (Podemos encontrar este fichero en el directorio I386 del CD).

Además en esta consola podemos ejecutar otros comandos. Los dos más importantes son:

FIXBOOT – Instala el sector de arranque de Windows. Para usar esta orden, deberemos indicar la unidad que queremos arreglar (FIXBOOT C: etc.)ejecutar otros comandos. Los dos más importantes son: FIXMBR – Instala el programa de MBR de

FIXMBR – Instala el programa de MBR de Windows XP en el MBR del disco duro.indicar la unidad que queremos arreglar (FIXBOOT C: etc.) Otras órdenes que podemos usar son: DISKPART

Otras órdenes que podemos usar son:

DISKPART – Es un programa muy parecido al que se utiliza en la instalación de Windows XP para realizar particiones. Permite crear particiones, eliminarlas, etc.el MBR del disco duro. Otras órdenes que podemos usar son: LISTSVC – Nos muestra una

LISTSVC – Nos muestra una lista de los dispositivos y servicios que carga nuestro Windows XP en el arranque.particiones. Permite crear particiones, eliminarlas, etc. DISABLE – Si Windows XP no arranca del todo por

DISABLE – Si Windows XP no arranca del todo por causa de un dispositivo, digamos que es porque accidentalmente hemos cambiado algún parámetro critico del mismo, o bien por que hemos instalado un servicio que bloquea el sistema, mediante este comando podemos deshabilitar este dispositivo o servicio para que nuestro sistema pueda arrancar sin problemas. En DISABLE hay que indicar el nombre del dispositivo o servicio que obtenemos con la orden LISTSVC.y servicios que carga nuestro Windows XP en el arranque. ENABLE – El opuesto de DISABLE.

ENABLE – El opuesto de DISABLE.dispositivo o servicio que obtenemos con la orden LISTSVC. EXPAND – Es un descompresor, útil muchas

EXPAND – Es un descompresor, útil muchas veces ya que muchos de los archivos del CD de Windows XP vienen comprimidos. (Archivos con extensión .CAB)con la orden LISTSVC. ENABLE – El opuesto de DISABLE. FORMAT – Formatea un volumen. MAP

FORMAT – Formatea un volumen.XP vienen comprimidos. (Archivos con extensión .CAB) MAP – Muestra la asignación de volúmenes y letras

MAP – Muestra la asignación de volúmenes y letras de nuestros discos.con extensión .CAB) FORMAT – Formatea un volumen. /ARC – Muestra la información usando la nomenclatura

/ARC – Muestra la información usando la nomenclatura ARC.la asignación de volúmenes y letras de nuestros discos. BOOTCFG – Permite modificar el archivo boot.ini.

BOOTCFG – Permite modificar el archivo boot.ini. Dispone de varias opciones:/ARC – Muestra la información usando la nomenclatura ARC. /LIST – Muestra las entradas actuales de

/LIST – Muestra las entradas actuales de boot.inimodificar el archivo boot.ini. Dispone de varias opciones: /SCAN – Busca en nuestros discos duros las

/SCAN – Busca en nuestros discos duros las instalaciones de Windows que pueden añadirse a boot.ini/LIST – Muestra las entradas actuales de boot.ini /ADD – Añade una entrada al archivo boot.ini

/ADD – Añade una entrada al archivo boot.ini de las encontradas con /SCAN.las instalaciones de Windows que pueden añadirse a boot.ini /DEFAULT – Nos permite indicar la entrada

/DEFAULT – Nos permite indicar la entrada que se cargará por defecto.entrada al archivo boot.ini de las encontradas con /SCAN. SYSTEMROOT – Cambia el directorio actual al

SYSTEMROOT – Cambia el directorio actual al directorio de Windows.con /SCAN. /DEFAULT – Nos permite indicar la entrada que se cargará por defecto. TEMA 6

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

2 Configuración de Windows XP.

2.1.1 Windows Update y Service Packs.

Periódicamente, Microsoft realiza cambios sobre sus sistemas operativos. Estos cambios se lanzan como parches y pueden solucionar problemas que se hayan detectado en el sistema operativo o añadirle nuevas funcionalidades. Cada cierto tiempo, se lanzan los Paquetes de Servicio (Service Packs) que suelen agrupar todos los parches que se han lanzado anteriormente.

En Windows XP, se puede escoger que el propio sistema descargue automáticamente estos parches cuando vayan apareciendo, de modo que nuestro sistema siempre este actualizado. Desde el punto de vista de la seguridad, es muy importante tener actualizado el sistema, para minimizar los riesgos de que alguien explote una inseguridad del sistema.

Esta característica de actualización automática se conoce como Windows Update,

y puede ser configurada en cualquier momento,

accediendo a Propiedades del Sistema. (Se puede llegar a estas propiedades de diversas maneras, una es escoger Panel de Control en menú Inicio y allí hacer click sobre Sistema, otra es hacer click derecho en mi PC y escoger propiedades, etc.). Una vez en propiedades del sistema hay que escoger la pestaña Actualizaciones Automáticas:

Si queremos forzar estas actualizaciones, podemos hacerlo mediante Windows Update.

Para ejecutar esta herramienta, debemos irnos a Inicio – Ayuda y soporte técnico – y elegir la tarea – Mantenga actualizado su equipo con Windows Update. Es necesario tener acceso

a Internet para poder ejecutar Windows Update.

(http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=es)

Cuando el número de parches aparecidos para un sistema operativo es muy alto, Microsoft suele unirlos en un solo parche de gran tamaño conocido como Service Pack. En el caso de Windows XP, y a la hora de escribir estos apuntes esta disponible el Service Pack 2 para Windows XP que incluye todas las actualizaciones aparecidas para este sistema operativo hasta el momento.

En la actualidad, para acceder a Windows Update, hay que pasar un proceso de Validación de Windows Original, que comprobará online si nuestro sistema es original o bien una copia pirata. En el caso de que no se detecte la legalidad del sistema, será imposible descargar nada de Windows Update. Sin embargo, la actualización automática del equipo no pasa por este filtro de validación.

la actualización automática del equipo no pasa por este filtro de validación. TEMA 6 Página. 2-14

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

2.1.2 Opciones de accesibilidad.

Windows incluye varias características especialmente pensadas para usuarios con discapacidades. Entre ellas se encuentran el ampliador (que nos permite ver una zona de la pantalla en gran tamaño) y el teclado en pantalla. Para iniciar y configurar estas opciones, podemos ir a Inicio - Todos los programas - Accesorios - Accesibilidad o bien pulsar la combinación de teclas Windows + U.

2.1.3 Añadir y eliminar componentes de Windows XP.

En anteriores versiones de Windows, se podía elegir en el momento de la instalación que componentes deseábamos instalar. Esto ha cambiado en Windows XP que siempre se instala con una selección determinada de componentes. Vamos a ver como podemos revisar lo que esta instalado, y añadir o eliminar componentes de Windows XP.

instalado, y añadir o eliminar componentes de Windows XP. Hay que llegar al icono de Agregar
instalado, y añadir o eliminar componentes de Windows XP. Hay que llegar al icono de Agregar

Hay que llegar al icono de Agregar o quitar programas del panel de control y allí elegir Agregar o quitar componentes de Windows. Podremos ver que en esta pantalla no aparecen todos los componentes de Windows, sino solo los más comunes. Si queremos ver todos los componentes, tendremos que realizar la siguiente operación:

Desde el Windows Explorer (Windows + E) ir a la carpeta Inf que cuelga del SystemRoot (donde instalamos Windows XP, normalmente X:\WINDOWS) y seleccionar el fichero Sysoc.Inf (se recomienda hacer una copia de seguridad de dicho fichero). Editar dicho fichero (Botón derecho sobre el fichero, escoger abrir con, y seleccionar block de notas).

Por cada componente de Windows, existe una línea en este fichero. Algunas de estas líneas contienen la palabra hide (oculto), lo que impide que dichos componentes se vean en agregar o quitar.

Eliminar únicamente la palabra hide de las líneas, de modo que

com=comsetup.dll,OcEntry,comnt5.inf,hide,7

se convierta en

com=comsetup.dll,OcEntry,comnt5.inf,,7

(Mucho cuidado con eliminar las comas).

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Ahora ya aparecerán todos estos componentes cuando vayamos a Agregar o Quitar componentes de Windows, y podremos elegir instalar cualquiera de ellos. No se recomienda eliminar ningún componente de nuestra instalación, a menos que sepamos muy bien que estamos haciendo, ya que pueden provocar fallos en otros componentes instalados.

Es posible que no veamos el anterior fichero correctamente desde nuestro explorador. Esto es debido a que por defecto, las opciones para ver las carpetas están muy limitadas por motivos de seguridad. Para solucionar esto, podemos irnos al menú herramientas de cualquier carpeta (en la línea superior de la pantalla) y allí escoger el elemento opciones de carpeta, para posteriormente elegir la pestaña Ver.

Las opciones que deberíamos tocar para poder ver sin problemas todos los archivos son:

Mostrar todos los archivos y carpetas ocultos. SI.

Mostrar el contenido de las carpetas de Sistema. SI.

Ocultar archivos protegidos del Sistema. NO.

Ocultar

conocidos. NO.

Hay que tener cuidado una vez aplicados estos cambios, ya que podremos ver en el explorador de Windows TODOS LOS ARCHIVOS, incluidos algunos que no pueden ser modificados o eliminados bajo ningún concepto, como los archivos de arranque del propio sistema.

concepto, como los archivos de arranque del propio sistema. las extensiones para tipos 2.1.4 Restauración del
concepto, como los archivos de arranque del propio sistema. las extensiones para tipos 2.1.4 Restauración del
concepto, como los archivos de arranque del propio sistema. las extensiones para tipos 2.1.4 Restauración del

las

extensiones

para

tipos

2.1.4 Restauración del Sistema.

Un driver mal diseñado, un programa malicioso o mal programado, un error por nuestra parte, una corrupción del registro… existen muchas causas por las que nuestro sistema puede volverse inestable o incluso dejar de funcionar totalmente. En estos casos, una ayuda imprescindible es la capacidad de Windows de Restaurar el sistema a un punto anterior, lo que eliminara automáticamente todos los cambios que hayamos realizado en nuestro equipo desde el momento en que se creó dicho punto de restauración.

Para restaurar nuestro equipo a un punto anterior, debemos irnos a Inicio Ayuda y soporte técnico Restaurar Sistema.

(Existen otros modos de llegar a esta utilidad, como casi siempre suele ocurrir en Windows).

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Vemos como desde esta herramienta, podemos restaurar el equipo a un punto anterior, y también crear un punto de restauración nuevo.

Si miramos en el panel de la derecha de dicha herramienta, veremos como también podemos

acceder a la configuración de restauración de sistema.

Cada punto de restauración de sistema que creemos, consume un espacio en disco. Cada cierto tiempo, Windows crea automáticamente sus propios puntos de restauración, y también son creados automáticamente cuando instalamos nuevo software o drivers siempre que estos sean considerados importantes por el sistema.

El total del espacio en disco que pueden ocupar entre todos los puntos restauración, así como el funcionamiento general del programa de restauración, pueden ser ajustados desde la configuración de Restaurar Sistema.

Un problema que puede suceder en Windows XP es que se reciban mensajes de que una unidad no tiene espacio disponible sin razón aparente. En estos casos, a veces basta con acceder a estas propiedades y desactivar restaurar sistema en esa unidad. No es buena idea desactivar toda la restauración del sistema, ya que nos quedaremos sin posibilidad de dar marcha atrás cuando se produzca algún error en el equipo.

Cuando se crea un punto de restauración, y no existe espacio suficiente, Windows elimina el punto de restauración más antiguo que encuentre. No existe forma de salvaguardar un punto de restauración en concreto.

forma de salvaguardar un punto de restauración en concreto. 2.1.5 Configurando el inicio del Sistema. Cuando

2.1.5 Configurando el inicio del Sistema.

Cuando se inicia Windows (y no estamos conectados a un dominio) nos aparece la pantalla de bienvenida. Desde esta pantalla, podemos elegir cualquier usuario que hayamos dado de alta en el sistema, a excepción del Administrador, que no puede ser seleccionado desde esta pantalla.

Esta pantalla es conocida como pantalla

de bienvenida, y tiene la ventaja de que

no hay que escribir el nombre de usuario,

sino solo elegirlo de una lista de usuarios,

y que cada cuenta de usuario puede

contener un pequeño grafico. Sin embargo esta pantalla tiene el inconveniente de no poder entrar en el sistema usando muchas cuentas que el sistema oculta automáticamente.

Si no queremos usar esta pantalla de bienvenida, tenemos la posibilidad de usar la pantalla de entrada al sistema de Windows 2000. Para ello debemos irnos

de usar la pantalla de entrada al sistema de Windows 2000. Para ello debemos irnos TEMA

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

a Panel de Control – Cuentas de Usuario y escoger la opción de “Cambiar la forma en la que los usuarios inician y cierran sesión”.

Veremos como existe una casilla, donde podemos activar o desactivar la pantalla de bienvenida.

Si desactivamos la pantalla de bienvenida, entraremos en el sistema con la pantalla clásica de Windows 2000.

Esta forma de entrar en el sistema tiene el inconveniente de tener que escribir el nombre de la cuenta de usuario (aunque esto refuerza la seguridad del sistema). Contamos con la ventaja en este método de que podemos usar todas las cuentas del sistema, incluida la de Administrador para abrir sesión en Windows XP.

Habremos notado en la pantalla donde cambiamos la forma en la que los usuarios inician y cierran sesión, que también podíamos activar o desactivar “Usar cambio rápido de usuario”.

El cambio rápido de usuario nos permite cambiar del usuario de la sesión actual, a otra sesión de otro usuario sin tener que cerrar la misma. Esto es útil cuando otro usuario necesita usar la maquina, pero nosotros tenemos un programa en ejecución. Podemos usar el cambio rápido de usuario para abrir otra sesión en nuestra maquina, sin tener que cerrar la nuestra y por lo tanto, detener el programa.

El cambio rápido de usuarios, se hace con la combinación de teclas WINDOWS + L

Si el cambio rápido de usuarios esta desactivado, contamos con la posibilidad de pulsar CTRL + ALT + SUPR en la pantalla de bienvenida del sistema (la que usa los dibujitos) para cambiar la entrada del sistema a la pantalla clásica.

Si solo tenemos un usuario dado de alta en el sistema, aparte del Administrador, y a este

usuario no le asignamos contraseña, veremos como las pantallas de bienvenida no son mostradas, y el sistema se inicia automáticamente.

Una vez que iniciamos sesión en nuestro equipo, una buena cantidad de programas se ejecutan automáticamente. Si queremos controlar que programas se ejecutan en el inicio, podemos ejecutar la consola msconfig. Aquí, en la pestaña inicio veremos todos los programas que

Aquí, en la pestaña inicio veremos todos los programas que se inician automáticamente instalados (a consciencia
Aquí, en la pestaña inicio veremos todos los programas que se inician automáticamente instalados (a consciencia

se

inician

automáticamente

instalados (a consciencia

o no) por el usuario, y

podemos desactivar los

que queramos.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Si queremos saber que se ejecuta en nuestro sistema, debemos prestar atención a todas las pestañas, y no solo a la última de inicio. Por ejemplo, existen vario virus que utilizan para ejecutarse en el inicio de nuestro sistema el System.Ini, colocando en el las líneas:

[boot]

shell=explorer.exe load.exe -dontrunold

con lo que consiguen que se ejecute load.exe (o cualquier otro archivo) que es la carga del Virus.

2.1.6 Asistencia Remota.

La asistencia remota es una utilidad incorporada en Windows XP por primera vez. Esta utilidad nos permite obtener asistencia (o prestarla) directamente en nuestro equipo a través de la red local o de Internet. Para activar esta opción, debemos hacer lo siguiente:

Nos vamos a Propiedades del Sistema, y en la pestaña Acceso Remoto nos aseguramos de que la opción “Permitir envío de invitaciones de Asistencia Remota desde este equipo” esta activada. Desde configuración avanzada, podemos elegir si vamos a permitir el control remoto de nuestro equipo, y el tiempo que vamos a permitir que una invitación que cursemos sea valida.

Ahora debemos enviar una invitación a algún usuario, que consideremos que puede prestarnos la asistencia técnica que necesitemos. Es obligatorio que el usuario que invitemos este también usando alguna versión de Windows XP. Para mandar la invitación debemos ir a Inicio – Ayuda y Soporte Técnico - y escoger Invitar a un amigo a conectarse a su equipo mediante asistencia remota. Podemos enviar la invitación mediante el Messenger de Windows o por correo electrónico. Al hacer la invitación, indicaremos cuanto tiempo va a ser efectiva, y también podemos indicar una contraseña para asegurarnos de que el que tome el control de nuestra maquina, sea el invitado y no otro. Obviamente esta contraseña debe ser indicada al usuario que invitemos. Una vez enviada la invitación, desde esta misma pantalla podemos consultar el estado de la misma.

Cuando el usuario invitado acepte la invitación, podremos ver en pantalla una ventana de asistencia remota, en la cual se puede chatear con el invitado, y este puede acceder a nuestra maquina, y usarla sin limite para encontrar el problema que tenemos. En cualquier momento podemos cancelar la asistencia cerrando la ventana de asistencia remota. Por motivos de seguridad, el asistente no podrá usar nuestra maquina hasta que nosotros no se lo indiquemos en un cuadro de dialogo que nos aparecerá.

hasta que nosotros no se lo indiquemos en un cuadro de dialogo que nos aparecerá. TEMA

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Esta es la pantalla que ve el usuario que esta recibiendo la asistencia remota. El usuario que esta dando la asistencia remota, verá una ventana parecida, pero con un apartado en el que se ve el escritorio completo de la maquina que se esta controlando. En este apartado podemos usar la maquina controlada exactamente igual que la nuestra. Podemos utilizar características avanzadas como charla por voz, envíos de archivos de una maquina a la otra, etc. Esta característica funciona incluso en una red local, bastando con enviar un correo electrónico. (Hay que tener cuidado con aceptar invitaciones de control, ya que el fichero adjunto que hay que ejecutar, podría contener un virus si es enviado por un usuario malicioso).

En la próxima pagina, vemos la pantalla de control que se ve en la maquina que presta la asistencia. En cualquier momento se puede interrumpir el control desde cualquiera de las sistemas.

cualquier momento se puede interrumpir el control desde cualquiera de las sistemas. TEMA 6 Página. 2-20
cualquier momento se puede interrumpir el control desde cualquiera de las sistemas. TEMA 6 Página. 2-20

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

2.1.7 Escritorio Remoto.

Windows XP también cuenta con la opción de controlar una maquina remotamente, desde cualquier punto de nuestra red local o incluso desde Internet. De este modo, podemos por ejemplo controlar nuestro PC situado en nuestra casa desde nuestro PC del instituto, pudiendo realizar las mismas acciones o casi si estuviéramos sentados delante de nuestra maquina.

Para realizar esto, primero debemos configurar el equipo a controlar para que utilice escritorio remoto. Para ello, si el equipo trabaja con Windows XP debemos abrir Sistema en Panel de Control. En la pestaña Remoto debemos activar la casilla de verificación Permitir a los usuarios conectarse remotamente a este equipo.

Para que podamos activar esta opción, debemos haber entrado en el sistema como un usuario con permisos de administración. Vemos también como desde aquí podemos seleccionar los usuarios de nuestro sistema que podrán acceder a el desde el exterior, y se nos informa que es imposible acceder desde el exterior con una cuenta de usuario que no tenga contraseña.

Si el equipo que queremos controlar no es Windows XP, debemos introducir el CD de Windows XP y cuando aparezca la página de bienvenida, hacemos clic en Realizar tareas adicionales y, a continuación, clic en Configurar conexión a Escritorio remoto.

Una vez que hemos activado en la maquina a controlar el acceso remoto a la misma, ya podemos controlarla remotamente. Para ello, nos situamos en la maquina desde la que queremos controlar nuestro PC y ejecutamos el asistente “Conexión a Escritorio Remoto”. Para abrir Conexión a Escritorio remoto, hacemos clic en Inicio, seleccionamos Programas o Todos los programas, Accesorios, Comunicaciones y, a continuación, clic en Conexión a Escritorio remoto.

En el formulario que nos aparece, indicamos a que equipo nos queremos conectar (podemos usar el nombre del equipo o su dirección IP). Una vez conectado al equipo, nos pedirá que iniciemos sesión (para lo que necesitaremos un nombre de usuario y contraseña usado en la maquina a controlar). Si en la maquina a controlar existe alguna sesión abierta, se cerrará para permitir abrir nuestra sesión.

abierta, se cerrará para permitir abrir nuestra sesión. Si en Conexión a Escritorio Remoto, pulsamos Opciones
abierta, se cerrará para permitir abrir nuestra sesión. Si en Conexión a Escritorio Remoto, pulsamos Opciones

Si en Conexión a Escritorio Remoto, pulsamos Opciones >> podremos modificar la configuración de la conexión, indicando un nombre de usuario y contraseña que se utilizaran

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

directamente, cambiando la resolución de la pantalla de control, etc. Incluso podemos hacer que los volúmenes de datos de ambos sistemas funcionen a la vez, con lo que podemos copiar archivos de un sistema a otro, etc.

Conexión Web a Escritorio remoto es una aplicación Web compuesta por un control ActiveX, páginas ASP de ejemplo y otros archivos. Cuando se implementa en un servidor Web, Conexión Web a Escritorio remoto permite a los usuarios crear una conexión con el escritorio remoto de otro equipo dentro de Internet Explorer, aunque el programa Conexión a Escritorio remoto, antes conocido como el cliente de Servicios de Terminal Server, no esté instalado en el equipo del usuario.

Windows XP sufre una limitación, por la cual sólo un usuario podrá usar Windows XP al mismo tiempo, de modo que si nos conectamos mediante escritorio remoto a un equipo, si un usuario esta usando ese mismo equipo tendrá que parar su sesión mientras nosotros controlamos la maquina. Del mismo modo, si alguien inicia sesión en una maquina en la que se este trabajado remotamente, la conexión remota se cerrará. Esta limitación es solo comercial, en Windows 2003 por ejemplo, pueden trabajar al mismo tiempo muchos usuarios sobre la misma maquina, tanto en sesión local (sentado delante de la maquina) como con escritorio remoto.

2.1.8 Administrador de Tareas.

Podemos acceder al administrador de tareas de Windows pulsando CTRL + ALT + SUPR una vez en nuestro Windows XP.

Desde el administrador de tareas podemos ver las aplicaciones propias que se están ejecutando en nuestro sistema, los procesos que están en memoria así como los recursos hardware que estos procesos están usando, los usuarios conectados al sistema, el uso de la memoria de nuestro sistema, el uso de la CPU, etc.

Desde los menús superiores, podemos añadir columnas a las vistas, ordenar por distintos criterios los procesos, etc.

NOTA.- Proceso inactivo del sistema, no es un proceso en si mismo, sino que muestra los recursos libres de nuestra maquina.

El formulario del administrador de tareas tiene bastante más potencia de la que parece en un principio:

Desde Archivo – Nueva tarea podemos iniciar cualquier programa que deseemos. Un error muy común de Windows nos deja nuestro sistema sin la barra de herramientas, y viendo únicamente el fondo de pantalla. Si lanzamos el administrador de tareas y como nueva tarea indicamos el Explorer.exe conseguiremos volver a funcionar con normalidad.

Desde Ver – Seleccionar columnas podemos presentar mucho tipo de información en pantalla, como las lecturas que los programas han realizado en disco duro, etc.

Desde Apagar – podemos apagar el sistema, suspenderlo, reiniciarlo, etc.

Desde la pestaña Usuarios podemos ver todos los usuarios que han iniciado sesión en nuestro sistema (veremos por ejemplo los que estén conectados mediante escritorio remoto, los que hayan dejado una sesión abierta, etc) y podemos con botón derecho enviarles un mensaje, cerrar su sesión, etc.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1 Principios de Seguridad en Windows

1.1 Gestión de Cuentas de Usuario y Grupos

1-2

1-2

Asistente para cuentas de usuario desde Panel de Control

1-2

Gestión de cuentas de usuario mediante consola

1-3

Gestión de cuentas de usuarios locales y grupo mediante

1-4

Desde el shell de texto

1-6

Gestión de las contraseñas

1-8

Bloqueo de las

1-9

1.2 SID

1-10

1.3 Recursos Locales. Gestión de ACL

1-12

1.4 Recursos

1-17

Recursos compartidos mediante cuenta

1-20

Recursos compartidos y acceso

1-21

Recursos compartidos.

1-22

Recursos compartidos. Ejercicios

1-23

1.5 Perfiles de Usuario

1-24

Perfiles comunes

1-25

Gestionando Perfiles

1-25

Asignando Perfiles

1-26

Tipos de

1-27

1.6 Directivas de Grupo

1-27

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1 Principios de Seguridad en Windows

En la mayoría de los sistemas operativos actuales, aparecen dos conceptos relacionados con la seguridad del sistema: Autentificación y Autorización.

Autentificación: Para usar el sistema es necesario abrir una sesión de trabajo (login) para lo cual tendremos que autentificarnos, proporcionando al sistema un nombre de usuario y una contraseña. En caso de no tener una cuenta de usuario abierta en el sistema, será imposible entrar en el mismo.la seguridad del sistema: Autentificación y Autorización. Autorización: Una vez que el usuario se ha autentificado

Autorización: Una vez que el usuario se ha autentificado y abierto sesión, cada vez que quiera usar un recurso (un fichero, una carpeta, una impresora, etc) el sistema comprobará si esta autorizado o no para realizar esa acción. Los administradores del sistema pueden modificar estas autorizaciones mediante unas listas de acceso.abierta en el sistema, será imposible entrar en el mismo. 1.1 Gestión de Cuentas de Usuario

1.1 Gestión de Cuentas de Usuario y Grupos.

Podemos crear, borrar y modificar cuentas de usuario en Windows usando varios programas distintos.

Asistente para cuentas de usuario desde Panel de Control.de usuario en Windows usando varios programas distintos. Gestión de cuentas de usuario mediante consola especial.

Gestión de cuentas de usuario mediante consola especial.Asistente para cuentas de usuario desde Panel de Control. Gestión de cuentas de usuarios locales y

Gestión de cuentas de usuarios locales y grupo mediante consola.Gestión de cuentas de usuario mediante consola especial. Desde el shell de texto. Asistente para cuentas

Desde el shell de texto.de cuentas de usuarios locales y grupo mediante consola. Asistente para cuentas de usuario desde Panel

Asistente para cuentas de usuario desde Panel de Control

Para abrir la herramienta Cuentas de usuarios, hay que abrir el Panel de control desde el menú Inicio y, a continuación Cuentas de usuario.

Desde aquí podemos crear cuentas, modificarlas, cambiar contraseñas, gráficos asociados a la cuenta, etc.

Nota: No se puede borrar una cuenta de un usuario si tiene sesión abierta en el sistema.

Aunque con distintas prestaciones, básicamente esta aplicación es igual entre XP, 2008, Vista y 7.

esta aplicación es igual entre XP, 2008, Vista y 7. TEMA 5-2 Página. 1-2 Principios de

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Gestión de cuentas de usuario mediante consola especial.

Podemos también gestionar las cuentas de usuario mediante una consola. Si estamos conectados a un dominio, este es el gestor de usuarios que usaremos por defecto. Para acceder a dicho gestor, hay que ejecutar la siguiente orden desde Inicio – Ejecutar, o bien desde una ventana del intérprete de comandos:

CONTROL USERPASSWORDS2

ventana del intérprete de comandos: CONTROL USERPASSWORDS2 Con este gestor de cuentas de usuario, tenemos un
ventana del intérprete de comandos: CONTROL USERPASSWORDS2 Con este gestor de cuentas de usuario, tenemos un

Con este gestor de cuentas de usuario, tenemos un control mucho mayor sobre las cuentas de usuario que el que obtenemos con el asistente.

La primera opción que vemos en pantalla, “Los usuarios deben escribir su nombre y contraseña para usar el equipo” nos permite indicar si queremos usar la autentificación o no. Si lo desactivamos, obtendremos un Windows que se iniciará automáticamente con la cuenta que indiquemos sin mostrarnos siquiera la pantalla de bienvenida.

Obviamente, esta opción solo debería usarse en ambientes domésticos donde solo un usuario usa el ordenador.

Para agregar cuentas de usuario usamos el botón agregar, para eliminar cuentas el botón quitar, etc. Si seleccionamos una cuenta de usuario y pulsamos el botón propiedades, pasamos a la siguiente pantalla.

Desde esta pantalla, podemos observar como podemos incluir al usuario en algún grupo de usuarios, bien uno de los dos incluidos en el gestor (usuarios estándar y usuarios restringidos) o bien seleccionando otro grupo como puede ser el de administradores, etc.

Vemos que este control de grupos es mucho más amplio que el que nos ofrece el asistente donde las opciones son usuarios administradores o usuarios restringidos.

En las distintas pestañas de este gestor, podemos ver opciones muy interesantes como el Passport de MSN, opciones para modificar el inicio del sistema, opciones para almacenar las contraseñas de nuestro equipo, etc.

Una opción muy interesante que nos podemos encontrar en la primera pantalla es la posibilidad de cambiar la contraseña del Administrador. Para hacerlo, basta con que nos hayamos autentificado con una cuenta de usuario que pertenezca al grupo Administradores. Esta opción ha sido incluida ya que a veces los usuarios no recuerdan con el tiempo la contraseña que le asignaron a la cuenta de Administrador en el momento de la instalación del equipo.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Gestión de cuentas de usuarios locales y grupo mediante consola.

La tercera opción que tenemos para gestionar cuentas de usuario, es la opción más interesante de todas las que nos ofrece Windows, y la más potente. Es la consola de usuarios locales y grupos. Podemos llegar a dicha consola de varias formas, aunque la más rápida es_

escribir

de varias formas, aunque la más rápida es_ escribir Inicio – Ejecutar y LUSRMGR.MSC Lleguemos desde

de varias formas, aunque la más rápida es_ escribir Inicio – Ejecutar y LUSRMGR.MSC Lleguemos desde

Inicio

Ejecutar

y

LUSRMGR.MSC

Lleguemos desde donde lleguemos, veremos que tenemos dos carpetas, una para los usuarios y otra para los grupos. Podemos crear usuarios nuevos accediendo a las propiedades de la carpeta usuarios (botón derecho sobre ella) y seleccionando la opción de Usuario Nuevo. Podemos modificar un usuario accediendo a sus propiedades. Del mismo modo podemos crear nuevos grupos y modificar los ya existentes.

Podemos tanto asignar a un usuario varios grupos, como asignar a un grupo varios usuarios.

Podemos crear todas las cuentas de usuarios que deseemos, pero aparte de estas cuentas normales, existen dos cuentas de usuario especiales en Windows, ya creadas y que no pueden (no deben) ser modificadas o eliminadas.

y que no pueden (no deben) ser modificadas o eliminadas. La cuenta del Administrador del sistema

La cuenta del Administrador del sistema (Administrador). Todos los sistemas Windows tienen una cuenta especial conocida como Administrador. Esta cuenta tiene todos los derechos sobre todo el equipo. Puede crear otras cuentas de usuario y es el responsable de gestionar el sistema. Muchas funciones del sistema están limitados para que solo puedan ser ejecutadas por el Administrador. Es posible crear cuentas de usuario y darles los mismos derechos que la cuenta Administrador (integrándolas como miembros del grupo Administradores), aunque Administrador solo puede haber uno. Esta cuenta siempre debe contar con contraseña y se crea en el momento de la instalación del sistema.y que no pueden (no deben) ser modificadas o eliminadas. La cuenta de Invitado. (Guest). Es

La cuenta de Invitado. (Guest). Es la contraria a la cuenta de Administrador, esta totalmente limitada, no cuenta apenas con ningún permiso o derecho pero permite que cualquier usuario pueda entrar en nuestro sistema sin contraseña (lo que se denomina acceso anónimo) y darse un “paseo” por el mismo. Por defecto, en Windows XP Profesional esta cuenta esta desactivada. Es altamente recomendable nunca activar dicha cuenta, ya que representa un riesgo altísimo de seguridad.y se crea en el momento de la instalación del sistema. TEMA 5-2 Página. 1-4 Principios

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Si comprobáis el titulo de esta ultima consola, veréis que aparece la palabra local en el mismo. Esto es asi por que se distinguen dos ámbitos al hablar de usuarios: Los usuarios locales y los usuarios de dominio. Mientras no tengamos instalado un dominio (para lo cual necesitaremos algún servidor Windows como NT, 2000, 2003 o 2008) siempre estaremos trabajando con cuentas locales.

Si accedemos a las propiedades de un usuario, veremos cómo tenemos tres pestañas con las que trabajar:

veremos cómo tenemos tres pestañas con las que trabajar: General : Podemos indicar el nombre completo

General: Podemos indicar el nombre completo de la cuenta, una descripción, e indicar algunas opciones : Podemos indicar el nombre completo de la cuenta, una descripción, e indicar algunas opciones de la cuenta.

El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Cuando el usuario inicie sesión la próxima vez se verá obligado a cambiar su contraseña.

El usuario

Prohibimos que el usuario pueda cambiar su

contraseña.

La contraseña nunca caduca. Ya veremos como en Windows XP las contraseñas se consideran material fungible, es decir, que tras un cierto tiempo de uso el sistema obligará a cambiar dichas contraseñas. Mediante esta opción indicamos que la contraseña podrá usarse sin que caduque nunca.

Cuenta deshabilitada: No borra la cuenta, pero impide que sea usada. Es el estado por defecto de la cuenta Invitado.

La cuenta está bloqueada: Por determinados mecanismos de seguridad que ya veremos, se puede llegar a bloquear una cuenta, que implicará que dicha cuenta estará deshabilitada. Desde esta opción podemos volver a desbloquearla, simplemente desmarcando la casilla.

no puede cambiar la contraseña.

desmarcando la casilla. no puede cambiar la contraseña. Miembro de : Desde esta pestaña podemos introducir

Miembro de: Desde esta pestaña podemos introducir al usuario en grupos. Los grupos se usan para : Desde esta pestaña podemos introducir al usuario en grupos. Los grupos se usan para dar permisos y derechos a los usuarios fácilmente, sin tener que ir usuario por usuario. Asi por ejemplo, si introducimos a un usuario como miembro del grupo Administradores, le estaremos dando todos los permisos del grupo Administradores.

En la pestaña miembro de veremos todos los grupos a los que el usuario pertenece actualmente. Si le damos al botón agregar podremos escribir directamente el nombre de un grupo donde agregarlo. Si queremos escoger dicho grupo de una lista de los grupos posibles, hay que escoger la opción Avanzada y luego Buscar ahora, que nos mostrará una lista de todos los grupos del sistema. Basta con seleccionar el que queramos (o los que queramos) y pulsar aceptar.

Perfil: Nos permite indicar la ruta del perfil, los archivos de inicio de sesión y : Nos permite indicar la ruta del perfil, los archivos de inicio de sesión y las carpetas personales del usuario. Como en un apunte posterior veremos el tema de perfiles, de momento lo dejamos pendiente.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Desde el shell de texto.

La ultima opción para gestionar las cuentas de usuario, es hacerlo directamente desde el Shell de texto o línea de comandos (CLI). Esta opción puede parecer la más engorrosa, pero resulta ser la mas practica en muchísimas ocasiones, sobre todo si conocemos como hacer scripts de sistema.

Para ello disponemos de una orden que nos permiten gestionar las cuentas de usuario:

Net user

Agrega o modifica cuentas de usuario o muestra información acerca de ellas.

Sintaxis

net user [nombreDeUsuario [contraseña | *] [opciones]] [/domain]

net user nombreDeUsuario {contraseña | *} /add [opciones] [/domain]]

net user [nombreDeUsuario [/delete] [/domain]]

Parámetros

NombreDeUsuario Específica el nombre de la cuenta de usuario que se desea agregar, eliminar, modificar o ver. El nombre de la cuenta de usuario puede tener hasta 20 caracteres.

Contraseña Asigna o cambia una contraseña para la cuenta de usuario. Escriba un asterisco (*) si desea que se le pida la contraseña. Los caracteres de la contraseña no se muestran en la pantalla a medida que los escribe.

/domain Realiza la operación en el controlador principal del dominio principal del equipo.

opciones

Especifica una opción de la línea de comandos. La tabla siguiente enumera las opciones válidas de la línea de comandos que puede utilizar:

Sintaxis de las opcionesDescripción

Descripción

/active:{no | yes}Habilita o deshabilita la cuenta de usuario. Si no está activa, el usuario no puede

Habilita o deshabilita la cuenta de usuario. Si no está activa, el usuario no puede tener acceso a los recursos del equipo. La opción predeterminada es yes (activa).

/comment:"texto"Proporciona un comentario descriptivo acerca de la cuenta de usuario. Puede tener hasta 48 caracteres.

Proporciona un comentario descriptivo acerca de la cuenta de usuario. Puede tener hasta 48 caracteres. Escriba el texto entre comillas.

/countrycode:nnnUsa los códigos de país o región del sistema operativo para instalar los archivos de

Usa los códigos de país o región del sistema operativo para instalar los archivos de Ayuda y mensajes de error en el idioma especificado. 0 significa el código de país predeterminado.

/expires:{{mm/dd/aaaa | dd/mm/aaaa | mmm,dd ,aaaa} | never}Provoca que la cuenta de usuario caduque si s especifica fecha . Las fechas de

Provoca que la cuenta de usuario caduque si s especifica fecha. Las fechas de caducidad pueden tener el formato [mm/dd/aaaa], [dd/mm/aaaa] o [mmm,dd ,aaaa], según el código de país o región. Tenga en cuenta que la cuenta caduca al comienzo de la fecha especificada.

/fullname:"nombre"Especifica un nombre de usuario completo en lugar de un nombre de usuario normal. Escriba

Especifica un nombre de usuario completo en lugar de un nombre de usuario normal. Escriba dicho nombre entre comillas.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

/homedir:rutaDeAccesoEstablece la ruta de acceso del directorio particular del usuario. Dicha ruta de acceso debe

Establece la ruta de acceso del directorio particular del usuario. Dicha ruta de acceso debe ser una ya existente.

/passwordchg:{yes | no}Especifica si los usuarios pueden cambiar su contraseña. La opción predeterminada es yes .

Especifica si los usuarios pueden cambiar su contraseña. La opción predeterminada es yes.

/passwordreq:{yes | no}Especifica si una cuenta de usuario debe tener una contraseña. La opción predeterminada es yes

Especifica si una cuenta de usuario debe tener una contraseña. La opción predeterminada es yes.

/profilepath:[rutaDeAcceso]Establece una ruta de acceso al perfil de inicio de sesión del usuario. Esta ruta

Establece una ruta de acceso al perfil de inicio de sesión del usuario. Esta ruta de acceso señala a un perfil de registro.

/scriptpath:rutaDeAccesoEstablece una ruta de acceso a la secuencia de

Establece una ruta de acceso a la secuencia de

comandos de inicio de sesión del usuario. El parámetro rutaDeAcceso no puede ser una ruta de acceso absoluta. RutaDeAcceso es relativa

a

%raízSistema%\System32\Repl\Import\Scripts.

/times:{día[-día][,día[-día]] ,hora[- hora][,hora[-hora]] [;…] | all}

Específica las horas en las que se permite al usuario el uso del equipo. El parámetro Hora está limitado a incrementos de 1 hora. Para los valores de día, puede

escribir el día o usar abreviaturas (L, Ma, Mi, J, V, S, D). Para las horas puede usar la notación de 12 horas

o

de 24 horas. Para el formato de 12 horas, use am,

pm, a.m. o p.m. El valor all significa que un usuario puede iniciar una sesión en cualquier momento. Un valor nulo (en blanco) significa que un usuario nunca puede iniciar la sesión. Separe el día y la hora mediante comas y las unidades de día y hora con punto y coma (por ejemplo, L,4AM-5PM;M,1AM- 3PM). No use espacios en la especificación de horas.

/usercomment:"texto"Especifica que un administrador puede agregar o cambiar el "Comentario de usuario" de la cuenta.

Especifica que un administrador puede agregar o cambiar el "Comentario de usuario" de la cuenta. Escriba el texto entre comillas.

/workstations:{nombreDeEquipo[,

]

|

Enumera hasta ocho estaciones de trabajo desde las que un usuario puede iniciar una sesión en la red. Separe los nombres de las estaciones con una coma. Si /workstations no es una lista o ésta es igual a un

*}

*,

el usuario puede iniciar una sesión desde cualquier

equipo.

La contraseña debe tener la longitud mínima establecida con net accounts /minpwlen. Puede tener hasta 127 caracteres.

Ejemplos

Para mostrar una lista de todas las cuentas de usuario del equipo local, escriba:

net user

Para ver información acerca de la cuenta de usuario juanh, escriba:

net user juanh

Para agregar una cuenta de usuario para Enrique Pérez, con derechos de inicio de sesión desde las 8 a.m. a 5 p.m. de lunes a viernes (sin espacios en las especificaciones de las horas), una contraseña obligatoria (enriquep) y el nombre completo del usuario, escriba:

net user enriquep enriquep /add /passwordreq:yes /times:lunes- viernes,8am-5pm /fullname:"Enrique Pérez"(enriquep) y el nombre completo del usuario, escriba: TEMA 5-2 Página. 1-7 Principios de seguridad en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Obviamente la mayor potencia del shell de texto aparece cuando usamos scripts. Imaginemos el siguiente ejemplo:

Necesito crear una cuenta de usuario por cada uno de los alumnos del grupo, quiero indicar que solo puedan abrir sesión de lunes a viernes entre las 16 y las 22 horas, quiero usar como contraseña de cada usuario “caballo” pero obligando a cambiar dicha contraseña en el primer inicio de sesión del alumno.

Si tengo unos 40 alumnos entre varios grupos, esta claro que el tiempo que voy a usar en crear dichas cuentas va a ser importante. (Imaginad que ocurriría en una empresa con 600 empleados).

Podría solucionar todo el problema de la siguiente forma:

Creo un fichero de texto (alumnos.txt) donde en cada línea aparece el nombre del alumno (sin espacios en blanco). Dicho fichero naturalmente podría obtenerlo de la lista de clase, de un programa de horario, etc.

Creo un proceso por lotes que vaya leyendo dicho fichero de texto y vaya creando una cuenta de usuario por cada línea. Sería algo asi:

Rem ------ creacuen.bat -------

@Echo Off

Cls

Echo ------ Creando cuentas de usuario --------

For /F %%A In (.\ALUMNOS.TXT) Do (

Echo ------ Creando cuenta para %%A

NET USER %%A caballo /ADD /TIMES:LUNES-VIERNES,4PM-10PM

)

Echo ------ Proceso Finalizado -----------------

Si probamos este proceso, se nos crearán varias cuentas en el sistema. Para borrarlas automáticamente podríamos crear un script como el siguiente:

Rem ------ borracuen.bat -------

For /F %%A In (.\ALUMNOS.TXT) Do (NET USER %%A /DELETE)

Gestión de las contraseñas.

Windows es un sistema operativo muy configurable por parte del usuario. Aunque estas configuraciones suelen estar algo ocultas para que no sean accesibles por los usuarios normales, y solo pueden ser modificadas desde las consolas del sistema.

En concreto, desde la consola de Configuración de Seguridad Local, podemos gestionar varios aspectos sobre las contraseñas. Esta consola se denomina SECPOL.MSC, y para gestionar las contraseñas, debemos entrar en Configuración de Seguridad, Directivas de Contraseña.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO Las configuraciones más útiles que podemos gestionar desde aquí son:

Las configuraciones más útiles que podemos gestionar desde aquí son:

Forzar el historial de contraseñas. Impide que un usuario cambie su contraseña por una contraseña que haya usado anteriormente, el valor numérico indica cuantas contraseñas recordará XP.más útiles que podemos gestionar desde aquí son: Las contraseñas deben cumplir los requerimientos de

Las contraseñas deben cumplir los requerimientos de complejidad. Obliga a que las contraseñas deban cumplir ciertos requerimientos, como son mezclar letras mayúsculas, minúsculas y números, no parecerse al nombre de la cuenta, etc.valor numérico indica cuantas contraseñas recordará XP. Longitud minina de la contraseña. Indica cuantos caracteres

Longitud minina de la contraseña. Indica cuantos caracteres debe tener la contraseña como mínimo, un valor cero en este campo indica que pueden dejarse las contraseñas en blanco.y números, no parecerse al nombre de la cuenta, etc. Vigencia máxima de la contraseña. Las

Vigencia máxima de la contraseña. Las contraseñas de los usuarios caducan y dejan de ser validas después del número de días indicados en esta configuración, y el sistema obligará al usuario a cambiarlas. (Recordemos que al crear una cuenta de usuario podemos indicar que la contraseña nunca caduca para esa cuenta).campo indica que pueden dejarse las contraseñas en blanco. Vigencia minina de la contraseña. Indica cuanto

Vigencia minina de la contraseña. Indica cuanto tiempo debe transcurrir desde que un usuario se cambia la contraseña, hasta que puede volver a cambiarla.indicar que la contraseña nunca caduca para esa cuenta). Bloqueo de las cuentas. Desde la Configuración

Bloqueo de las cuentas.

Desde la Configuración de seguridad local (secpol.msc) también podemos gestionar el comportamiento de las cuentas de usuario relacionado con las contraseñas, y por ejemplo bloquear las cuentas si se intenta acceder al sistema con las mismas pero usando contraseñas incorrectas. Esta configuración la encontramos en Configuración de Seguridad – Directivas de Cuenta – Directivas de Bloqueo de Cuentas)

Directivas de Cuenta – Directivas de Bloqueo de Cuentas) TEMA 5-2 Página. 1-9 Principios de seguridad

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Aquí podemos configurar:

Duración del bloqueo de cuenta. (Durante cuanto tiempo permanecerá una cuenta bloqueada si se supera el umbral de bloqueo. Un valor cero indica que la cuenta se bloqueará hasta que un Administrador la desbloquee).MONOUSUARIO Y MULTIUSUARIO Aquí podemos configurar: Restablecer la cuenta de bloqueos después de. (Indica cada

Restablecer la cuenta de bloqueos después de. (Indica cada cuanto tiempo se pone el contador de intentos erróneos a cero).se bloqueará hasta que un Administrador la desbloquee). Umbral de bloqueo de la cuenta. (Indica cuantos

Umbral de bloqueo de la cuenta. (Indica cuantos intentos erróneos se permiten antes de bloquear la cuenta).tiempo se pone el contador de intentos erróneos a cero). 1.2 SID Imaginad que creamos una

1.2

SID

Imaginad que creamos una cuenta en nuestro equipo con nombre PACO y contraseña P1c4. Creamos varias carpetas que solo le pertenecen a el, ciframos archivos para que solo los pueda leer el, etc. Un día sin embargo por error borramos la cuenta PACO y todas esas informaciones quedan “huérfanas”. Ni cortos ni perezosos decidimos crear otra vez la cuenta PACO con contraseña P1c4, para intentar acceder a dichos ficheros y carpetas. Pues bien, comprobaremos que nuestro sistema sabe perfectamente que ese nuevo PACO no tiene nada que ver con el antiguo PACO, y los considera usuarios totalmente distintos.

Esto es asi por que el sistema operativo no usa para referirse a las cuentas su nombre o su contraseña, esos son campos que usamos nosotros, al igual que nos llamamos entre nosotros con nuestro nombre, no con nuestro DNI. El DNI que usa el sistema para referirse a las cuentas de usuario se denomina SID. (Security IDentifier o Identificador de Seguridad).

Un SID está formado de la siguiente manera:

S-1-5-21-448539723-413027322-839522115-1003

El último número, en este caso 1003 se conoce como RID (identificador relativo del usuario) y todo lo que está delante del mismo identifica el dominio al que pertenece ese usuario. En concreto, esos tres grandes números que se observan (448539723-413027322-839522115) se generan automáticamente y al azar cada vez que instalamos un Windows, y aparecerán en todas las cuentas que creemos en dicho sistema. (Esta es la razón por la que no se debe simplemente “clonar” o copiar un Windows entero de una maquina a otra, puesto que este número será igual y esos sistemas no podrán trabajar adecuadamente en red).

La parte del SID S-1-5-21 nos da información sobre el objeto con el que estamos trabajando. Así por ejemplo si hablamos de algunos grupos o usuarios especiales tenemos:

S-1-1-0 es el SID del grupo Todos (Everyone)

S-1-2-0 es el SID del grupo Usuarios locales

S-1-3-1 es el SID de Creator – Owner

S-1-5 Este inicio de SID nos indica que estamos trabajando con un usuario o grupo normal. Dentro de este grupo algunos SID conocidos son:

S-1-5-32-544 SID del grupo Administradores

S-1-5-32-545 SID del grupo Usuarios

El RID del Administrador siempre es el 500.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Desde Windows es posible ver los SID que se le asignan a nuestros usuarios y grupos con la orden whoami.exe. Si veis que Windows no reconoce este comando, se puede instalar desde el CD de Windows o bien desde Internet. Esto es así por que esta orden no es de las que vienen incluidas en una instalación típica de Windows XP (si normalmente en Vista), para instalar esta orden (y otras varias también bastante interesantes) debéis instalar las herramientas de soporte de Windows.

Para ello, introducid el CD de Windows XP Profesional en la unidad de CD con el sistema en marcha, explorad dicho CD y ejecutar el programa SETUP que está en la carpeta \SUPPORT\TOOLS. Esto instalará en vuestro sistema varias herramientas, entre las cuales estará el comando WHOAMI.EXE.

También se pueden instalar desde Microsoft por internet varios paquetes de herramientas en las que se incluye este comando.

Una vez instalado, abrid un shell, y ejecutad la siguiente orden:

whoami /USER

Que os responderá algo como lo siguiente:

[User]="SIS\Joan" S-1-5-21-448539723-413027322-839522115-1003

Podemos ver aquí como nos dice el nombre de nuestro usuario actual y además nos indica que SID le ha sido otorgado por el sistema.

Si queremos ver no solo el SID que se le ha otorgado a nuestro usuario, sino el SID de todos los grupos a los que pertenece nuestro usuario, usad la orden con los parámetros /GROUPS.

Whoami solo nos muestra información sobre el usuario actual, así que si queremos ver los SID de distintos usuarios, tendremos que ejecutar dicha orden como dichos usuarios. Aprovecho aquí para comentaros una orden que a veces es muy útil. En lugar de tener que ir cerrando y abriendo sesión con cada usuario, podemos “hacernos pasar” por dicho usuario sin tener que cerrar sesión, ni abrir sesión, ni nada. Para ello usaremos la orden runas (ejecutar como si fuera).

Para ellos, abrid un shell y ejecutad la orden: RunAs /user:usuario_a_suplantar cmd

Con esto conseguiremos abrir una nueva shell en la que seremos el usuario que estamos suplantando, por lo que si ejecutamos en dicha ventana whoami nos responderá con el nuevo usuario.

Abrimos una nueva sesión de cmd ya que si ejecutamos directamente runas whoami se ejecutaría la orden, pero no veríamos nada.

En caso de que tampoco contemos con la orden runas en nuestro equipo, podemos instalarla con algunos de los métodos que explicamos para whoami.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1.3 Recursos Locales. Gestión de ACL

Llamamos recursos de un sistema a los distintos elementos con los que ese sistema cuenta para que sean usados por los usuarios. Así, una impresora, una carpeta, una impresora, un fichero, una conexión de red, son recursos.

Bien, pues cada recurso cuenta con una lista donde aparecen los usuarios que pueden usar dicho recurso y de qué forma pueden usarlo.

Ya hemos visto que el sistema no ve usuarios y grupos, realmente ve Identificadores de Seguridad (SID), de modo que dicha lista realmente tendrá en su interior una serie de SIDs y los permisos que cada uno de esos SIDs tiene sobre el recurso.

Esta lista con la que cuenta cada recurso se conoce como ACL (Access Control List, o Lista de Control de Acceso).

Cuando un usuario intenta acceder a un recurso, pide autorización al recurso para hacerlo. El recurso comprobará entonces si en su ACL aparece el SID del usuario, y en caso contrario, comprobará si en su ACL aparece el SID de algún grupo al que pertenezca el usuario.

Si no aparece en la ACL ningún SID del usuario, el recurso niega el acceso al usuario.

Si aparece en la ACL algún SID del usuario, el recurso comprueba si la acción que quiere realizar el usuario (leer, borrar, escribir, etc.) está permitida para ese SID en su ACL, si lo está le autoriza para hacerlo, en caso contrario se lo impide.

Puede ocurrir que un usuario tenga permisos contradictorios… imaginemos que en el ACL de la carpeta margarita aparece que el SID del usuario PACO puede escribir en la carpeta, pero PACO pertenece al grupo PROFESORES que aparece en el ACL de margarita como que no tiene derecho a escribir. Bien, en este caso se aplica la siguiente regla:

Lo que más pesa en cualquier ACL es la denegación implícita de permisos. Si un permiso esta denegado, no se sigue mirando, se deniega inmediatamente.

Basta con que un permiso este concedido en cualquier SID para que se considere concedido. (A excepción de la regla 1, es decir, que no esté denegado implícitamente en ningún sitio)

Esto se entiende mejor gestionando el ACL de algún recurso.

Por ejemplo, creemos en el raíz de nuestro volumen (en NTFS) una carpeta con nombre MARGARITA. Una vez creada, accedemos a sus propiedades y en ellas a la pestaña Seguridad:

Podemos ver como en la parte superior tenemos las SID a las que concedemos permisos (usuarios y grupos) y en la parte inferior tenemos los permisos concretos que le concedemos a dicha SID. Si veis las dos columnas por cada permiso, podemos tanto Permitir como Denegar un permiso. La denegación de un permiso es la que más pesa, y se aplica inmediatamente. De hecho, se aconseja no denegar permisos NUNCA, a menos que sea absolutamente necesario.

permisos NUNCA, a menos que sea absolutamente necesario. TEMA 5-2 Página. 1-12 Principios de seguridad en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Puede ocurrir que en las propiedades de vuestro recurso no aparezca la pestaña Seguridad. Esto ocurre porque aún tendréis activado el uso compartido simple de archivos de Windows XP, que es una forma de olvidarnos de las ACL y trabajar de una forma muy simple, indicada para usuarios que no desean preocuparse por estos temas.

Para desactivar este uso compartido simple, accedemos a Mi PC, y allí en el menú Herramientas – Opciones de carpeta – Ver accedemos al final de la lista y allí encontramos dicha opción que hay que desactivar.

Más o menos todo lo que se ve en la ACL deberíais entenderlo sin problemas. Con los botones agregar y quitar podemos añadir o quitar SID de la ACL.

En la parte inferior podemos pulsar en las casillas de Permitir y Denegar para dar y quitar permisos.

¿Pero… por que aparece la columna de Permitir en gris y no nos deja cambiarla? Bien, ha llegado el momento de hablar de la herencia.

Imaginemos que creamos una carpeta por ejemplo CONTABLES, y la preparamos minuciosamente para que pueden leer y escribir en ella los usuarios que sean miembros del grupo CONTABLES, para que solo puedan leer los del grupo JEFES pero no escribir, y que los demás usuarios no puedan ni leer en ella ni escribir. Bien, si ahora dentro de la carpeta CONTABLES creamos una nueva carpeta INFORMES, ¿no sería lógico que esta carpeta INFORMES “heredara” la ACL de su carpeta madre CONTABLES para que no tuviera que configurarla nuevamente?

Pues precisamente eso es lo que hace Windows, cualquier recurso que creemos, heredará automáticamente la ACL de su recurso padre si es que existe. En nuestro caso, la carpeta MARGARITA ha heredado la ACL de la raíz de nuestro volumen. De modo que no podremos quitar usuarios, quitar permisos, etc.

Para realizar cambios en la ACL de nuestra carpeta MARGARITA, debemos indicarle que “rompa” la herencia, es decir, que deseamos retocar manualmente su ACL.

Para ello, accedemos al botón de Opciones Avanzadas que está en la pestaña Seguridad.

Podemos ver en estas opciones avanzadas cuatro pestañas, de momento nos quedamos en la primera, permisos.

Vemos como en la parte inferior de esta ventana, está marcada la opción de “Heredar del objeto principal las entradas de permiso relativas a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita”. Si desmarcamos dicha opción mataremos la relación de herencia de nuestro recurso, y podremos gestionar su ACL “a pelo”. Hagámoslo.

Cuidado ahora, una vez quitada la herencia, el sistema nos da a elegir entre dos opciones:

Si escogemos la opción Copiar, la herencia se interrumpirá, y podremos retocar la ACL como nos plazca, pero dicha ACL será la que ahora mismo tiene el recurso, heredada de su objeto principal.

Si escogemos la opción Quitar, la ACL se borrará totalmente, se interrumpirá la herencia y la podremos crear desde cero.

se interrumpirá la herencia y la podremos crear desde cero. TEMA 5-2 Página. 1-13 Principios de
se interrumpirá la herencia y la podremos crear desde cero. TEMA 5-2 Página. 1-13 Principios de

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Si elegimos quitar y empezar desde cero, hay que tener en cuenta que en las ACL no solo deben aparecer nuestras SID normales, sino que grupos como Creator Owner o System son necesarios para que el sistema pueda trabajar sin problemas con dichas carpetas. Si quitamos estos SID tendremos problemas en el futuro (copias de seguridad, auditorias, etc.).

Vemos como debajo de la opción de Heredar del objeto principal, tenemos otra opción que nos permite activar que los objetos por debajo del nuestro hereden las modificaciones que hagamos en nuestra ACL. Esto es importante tenerlo en cuenta si queremos que los cambios que hagamos en la ACL se repliquen en los objetos hijos del nuestro, ya que hemos roto la herencia y a veces tendremos que forzar dichos cambios.

Realizad el siguiente ejercicio:

Cread 4 usuarios con nombre MELINDA, BELINDA, ROSALINDA y DESIDERIA.

Introducid los 4 usuarios anteriores en el grupo DANZA.

Cread una carpeta en la raíz de vuestro volumen con nombre BAILE. Modificad su ACL para que sólo puedan leer y escribir en dicha carpeta los miembros del grupo BAILE. Quitad el grupo Administradores, Usuarios, etc. Dejad los que aparecen en mayúsculas (creator owner y system) para que no tengamos problemas con la carpeta.

Comprobad abriendo sesión con los usuarios nuevos que efectivamente ellos pueden entrar y escribir en dicha carpeta y los demás usuarios del sistema no. (Podéis hacerlo bien cerrando y abriendo sesión o con Runas, lo que os resulte más cómodo).

Ahora bien, esa entrada en la ACL que se ve como Creator Owner indica el usuario que creó la carpeta y que por lo tanto es su propietario. Si dicha carpeta la creamos por ejemplo con el usuario Jose, el usuario Jose veremos cómo tiene permisos sobre dicha carpeta. Para evitar esto, repetid el ejercicio pero cread la carpeta con MELINDA por ejemplo. (En vez de con una carpeta BAILE hacedlo con la carpeta BAILAD por ejemplo).

Bien, ahora tendremos una carpeta donde ni los miembros del grupo Administradores ni el Administrador pueden entrar, leer o escribir. Es solamente para los usuarios del grupo DANZA… ¿o no?

Es imposible que un usuario en un sistema impida que el Administrador realice alguna función, (siempre que el Administrador sepa lo que es Administrar un sistema, claro). En este caso como Administrador (o miembro del grupo Administradores) podemos hacer lo siguiente:

Accedemos a las propiedades de la carpeta “rebelde”, si bien en ella no podemos modificar nada si podemos acceder a sus propiedades avanzadas, y dentro de dichas propiedades accedemos a Propietario.

Podéis ver como desde aquí podemos

cambiar el propietario actual del objeto,

e indicar que el propietario actual es el

grupo Administradores (o el usuario actual si es del grupo Administradores).

Basta con que seleccionemos el grupo Administradores y marquemos abajo Reemplazar propietario en sub

contenedores y objetos y demos aplicar

– aceptar. Seremos propietarios de la carpeta.

IMPORTANTE. Siempre que hagamos algo así, dejad como propietario al GRUPO administradores, nunca al usuario Administrador. De esta forma la carpeta no se estropeará si es un perfil.

De esta forma la carpeta no se estropeará si es un perfil. TEMA 5-2 Página. 1-14

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Basta con que actualicemos la ventana de permisos y ya podremos modificar la ACL del recurso como queramos.

Ojo, esto no nos permite acceder a la carpeta directamente, nos permite modificar su ACL, donde tendremos que introducir el SID del grupo Administradores para así si, poder acceder a la carpeta con los permisos que indiquemos.

Otro ejercicio más para comprobar todo lo visto hasta ahora:

Crear 20 usuarios con nombre Al_ASI_01, Al_ASI_02…………. Al_ASI_20 (os aconsejo que lo hagáis desde shell de texto y con un proceso por lotes).ejercicio más para comprobar todo lo visto hasta ahora: Crear un grupo AL_ASI e introducid dentro

Crear un grupo AL_ASI e introducid dentro los 20 usuarios anterioreslo hagáis desde shell de texto y con un proceso por lotes). Abrid sesión como AL_ASI_01

Abrid sesión como AL_ASI_01 y cread una carpeta en el raíz de vuestro volumen con nombre A_S_I.grupo AL_ASI e introducid dentro los 20 usuarios anteriores Modificad sus permisos para que solo los

Modificad sus permisos para que solo los miembros del grupo AL_ASI puedan leer, escribir, etc., en dicha carpeta. Quitad todas las demás SID de su ACL, incluidas las SID especiales.una carpeta en el raíz de vuestro volumen con nombre A_S_I. Comprobad que nadie fuera del

Comprobad que nadie fuera del grupo AL_ASI puede acceder a la carpeta A_S_Ilas demás SID de su ACL, incluidas las SID especiales. Cread un usuario con nombre HACKER

Cread un usuario con nombre HACKER y hacedlo miembro del grupo Administradores pero no del grupo A_S_Ifuera del grupo AL_ASI puede acceder a la carpeta A_S_I Abrid sesión como el usuario HACKER

Abrid sesión como el usuario HACKER y modificar los permisos de A_S_I para que se DENIEGUE el acceso a los miembros del grupo AL_ASI y se permita el acceso total al grupo Todos.miembro del grupo Administradores pero no del grupo A_S_I Los distintos permisos que se pueden aplicar

Los distintos permisos que se pueden aplicar para cada SID en la ACL no son únicamente los que vemos en las propiedades de la carpeta, si entramos en opciones avanzadas y allí en permisos – agregar veremos cómo podemos indicar otro tipo de permisos.

el permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas recorridas (sólo se aplica a carpetas).

El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS

El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS.

El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la carpeta, como Control total, Leer y Escribir.

El permiso Tomar posesión permite o impide que el usuario tome posesión del archivo o de la carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos correspondientes, cualesquiera que sean los permisos existentes que protegen el archivo o la carpeta.

permisos existentes que protegen el archivo o la carpeta. TEMA 5-2 Página. 1-15 Principios de seguridad

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Un permiso muy especial es el de Control Total. Si este permiso se lo otorgamos a un usuario en una carpeta, este usuario podrá eliminar cualquier cosa que haya en esa carpeta, incluso si le denegamos el permiso de eliminación en esos recursos. Hay que tener mucho cuidado al conceder este permiso.

También podemos gestionar las ACL desde shell de texto, con la instrucción CACLS.EXE (mismo caso que runas y whoami).

Usando cacls al mismo tiempo que runas, podemos crear carpetas usando varios usuarios, modificar sus permisos, etc. Si esto mismo lo hacemos abriendo y cerrando las distintas sesiones nos ocupará mucho más tiempo.

Veamos cómo se usa esta orden mediante un pequeño ejercicio.

Creamos un usuario desde shell de texto con nombre Nami y contraseña 1234.cómo se usa esta orden mediante un pequeño ejercicio. NET USER NAMI 1234 /ADD Creamos un

NET USER NAMI 1234 /ADD

Creamos un usuario desde shell de texto con nombre Zoro y contraseña 1234.con nombre Nami y contraseña 1234. NET USER NAMI 1234 /ADD NET USER ZORO 1234 /ADD

NET USER ZORO 1234 /ADD

Lanzamos un shell de texto usando la cuenta de usuario Nami. (A partir de aquí todo lo realizaremos desde este shell, usando la cuenta Nami).con nombre Zoro y contraseña 1234. NET USER ZORO 1234 /ADD RUNAS /USER:NAMI CMD Creamos una

RUNAS /USER:NAMI CMD

Creamos una carpeta TESORO. (Puede que nos tengamos que ir al raíz para tener permisos para crear carpetas).este shell, usando la cuenta Nami). RUNAS /USER:NAMI CMD MKDIR TESORO Visualizamos los permisos de dicho

MKDIR TESORO

Visualizamos los permisos de dicho carpeta, su ACL.raíz para tener permisos para crear carpetas). MKDIR TESORO CACLS TESORO Indicamos con cacls que añadimos

CACLS TESORO

Indicamos con cacls que añadimos al usuario Zoro a la ACL de la carpeta, con permisos de lectura.los permisos de dicho carpeta, su ACL. CACLS TESORO CACLS TESORO /G ZORO:R /E Comprobamos que

CACLS TESORO /G ZORO:R /E

Comprobamos que se han modificado los permisos.carpeta, con permisos de lectura. CACLS TESORO /G ZORO:R /E CACLS TESORO Le quitamos a los

CACLS TESORO

Le quitamos a los Administradores los permisos sobre esta carpeta.Comprobamos que se han modificado los permisos. CACLS TESORO CACLS TESORO /R ADMINISTRADORES /E Comprobamos que

CACLS TESORO /R ADMINISTRADORES /E

Comprobamos que se han modificado los permisos.sobre esta carpeta. CACLS TESORO /R ADMINISTRADORES /E CACLS TESORO Lo último que vamos a ver

CACLS TESORO

Lo último que vamos a ver sobre las ACL es el concepto de Creator Owner. El propietario de un recurso es aquel usuario que creó el recurso, y este propietario siempre tiene el poder ultimo sobre el recurso. No importa que dicho usuario desaparezca de su ACL, o incluso que se le deniegue el acceso al recurso; su propietario siempre podrá modificar su ACL.

Uno de los principales poderes del Administrador del sistema (y de hecho, de cualquier miembro del grupo Administradores) es que puede tomar posesión de cualquier recurso. Es decir, que el Administrador puede indicarle a cualquier recurso que él es el creador o propietario del recurso, por lo que pasa a tener todos los poderes sobre el mismo.

por lo que pasa a tener todos los poderes sobre el mismo. TEMA 5-2 Página. 1-16

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Para conseguir esto, tenemos que entrar en las opciones avanzadas de la pestaña Seguridad del recurso, y allí irnos a la pestaña Propietario.

Veremos cómo aunque no tengamos ningún permiso sobre el recurso, desde esta pestaña podemos indicar que el propietario del recurso será el grupo Administradores (recomendado antes que asignar el propietario al usuario individual), bastará entonces actualizar las propiedades del recurso para ver como pasamos a tener todos los poderes.

Como ejercicio, cread un usuario nuevo en el sistema, abrid sesión como dicho usuario (o usar runas), crear una carpeta cualquiera y configurad su ACL para que únicamente el usuario nuevo tenga algún permiso sobre dicha carpeta. Abrid sesión ahora como un miembro del grupo de Administradores y conseguid acceder a la carpeta, para por ejemplo crear un archivo dentro. (Tendremos que tomar posesión de la carpeta para el grupo Administradores, y posteriormente modificar su ACL para insertar nuestra cuenta con permisos de escritura).

1.4 Recursos Compartidos.

En el punto anterior hemos visto como podemos modificar las ACL de los recursos para que sean usadas por los usuarios y grupos LOCALES, es decir, aquellos que residen en nuestra propia maquina.

Vamos a ver ahora como modificamos esas ACL para permitir el uso por parte de usuarios y grupos que no pertenecen a nuestra propia maquina, sino que van a entrar en nuestro sistema a través de la red.

Windows presenta dos posibilidades a la hora de usar una red, trabajar en lo que se conoce como grupo de trabajo en la que todas las maquinas son iguales en derechos y obligaciones (red entre pares, rede entre iguales, o peer to peer) o bien trabajar en una red centralizada, donde existe una maquina que ejecuta un rol de control sobre las demás y que corre un sistema operativo servidor como Windows 2003 (Dominio).

Dejaremos el tema de cómo trabajar en un Dominio para los apuntes sobre Windows 200X, y nos centraremos ahora en los grupos de trabajo.

Obviamente para poder trabajar en un grupo de trabajo, debemos tener nuestro Windows XP bien configurado para trabajar en red. Para ello comprobad que:

Aseguraros que en propiedades de red, estáis usando una conexión TCP/IP, y que se encuentra en ella configurada una dirección IP valida, una máscara de red, una puerta de enlace y un servidor DNS correctos.

Aseguraros que vuestra maquina tiene un nombre descriptivo, y que estáis trabajando en el mismo grupo de trabajo que el resto de vuestros compañeros.

Aseguraros que no estáis corriendo ningún cortafuegos que impida el acceso a vuestra maquina desde la red. En el caso de usar el cortafuegos incorporado en Windows, aseguraros que está permitida la compartición en red.

Para comprobar si hemos metido bien los datos podemos usar la orden IPCONFIG, que nos muestra nuestros valores de configuración en la red.

IPCONFIG

Para asegurarnos que estamos en red, podemos utilizar la orden PING, que envía paquetes a una dirección IP y nos responde si dichos paquetes llegan a su destino y vuelven sin problemas.

PING Dirección-IP-destino

Si todas las maquinas responden al PING, sabemos que al menos la red TCP/IP está trabajando sin problemas. (Cuidado con los cortafuegos, por defecto muchos prohíben responder a los PING).

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Por favor, huid siempre que sea posible de acceder a la red desde el explorador de archivos mediante la opción toda la red o explorar red, es un sistema que precisa para su buen funcionamiento un servidor WINS en la red, y si este no existe es un procedimiento enormemente lento y engorroso. Mucho mejor el PING para comprobar si estamos conectados. (Windows usa su propio protocolo para compartir recursos en un grupo de trabajo, este protocolo es conocido como NetBios y usa un localizador para encontrar los nombres de las maquinas conocido como Wins. Si estamos en un Dominio, el protocolo usado es únicamente TCP/IP y el localizador es DNS).

Una vez que estamos en red, podemos intentar acceder a las otras maquinas de la red para comprobar si están compartiendo algún tipo de información en la red, e intentad acceder a dicha información.

Para ver los nombres de las maquinas NetBios que son conocidas por nuestro sistema en la red, escribid la orden NET VIEW.

Net View

Es probable que la única maquina que podamos ver al principio sea la nuestra, esto es así por que estos son nombres NetBios y no estamos usando un servidor Wins. Podemos forzar a Net View a que busque una maquina en concreto para mostrárnosla:

Net View \\Nombre_Maquina

Net View \\Dirección_IP_remota

Net View \\Nombre_Maquina Net View \\Dirección_IP_remota Podemos ver como Net View (en este caso la dirección

Podemos ver como Net View (en este caso la dirección IP es 127.0.0.1 que se conoce como localhost, es decir, nuestra propia maquina) nos muestra que recursos compartidos tiene esa máquina en la red, y de qué tipo son. Esos son los recursos a los que podemos acceder de forma “normal”.

Es posible que en este punto ya no funcionen algunas cosas… vayamos por partes:

Si al hacer un net view \\127.0.0.1 (localhost) nos dice que no hay entradas en lista, es evidente que no estamos \\127.0.0.1 (localhost) nos dice que no hay entradas en lista, es evidente que no estamos compartiendo nada. Compartid alguna carpeta (propiedades de carpeta, compartir) y comprobadlo de nuevo.

Si aun compartiendo cosas, somos incapaces de ver nada, comprobad de nuevo el estado del cortafuegos (Panel de Control – Cortafuegos – Excepciones – Compartir).(propiedades de carpeta, compartir) y comprobadlo de nuevo. Comprobad que vuestra configuración IP es correcta,

Comprobad que vuestra configuración IP es correcta, dirección IP, mascara de red, etc.de Control – Cortafuegos – Excepciones – Compartir). Comprobad que el cable de red esta correcto,

Comprobad que el cable de red esta correcto, que tenéis conexión a Internet, etc.IP es correcta, dirección IP, mascara de red, etc. Obviamente, para acceder a un recurso desde

Obviamente, para acceder a un recurso desde la red, debemos recibir autorización. Es decir, al igual que vimos en el punto anterior, el usuario que intenta usar el recurso debe estar incluido en la ACL del recurso.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Así, es seguro que si intentamos acceder directamente a otro equipo con Net View recibiremos

el error 5 probablemente, acceso denegado. Esto es así por que el equipo remoto no nos

autoriza a ver sus contenidos compartidos, ya que Windows no permite por defecto que alguien

entre por la red al equipo si no se autoriza, mediante un nombre de usuario y contraseña correctos. Otra cuestión son las carpetas publicas que se crean en algunos Windows, estas carpetas si pueden ser accedidas desde cualquier maquina sin nombre de usuario ni contraseña.

Al igual que usamos Net View para ver lo que un equipo comparte, podemos hacerlo desde el

explorador de archivos. Para ello, iros al explorador y escribid en su barra de direcciones

\\Nombre_Maquina

\\Dirección_IP_remota

barra de direcciones \\Nombre_Maquina \\Dirección_IP_remota Vemos como obtenemos el mismo resultado que desde Net View,

Vemos como obtenemos el mismo resultado que desde Net View, pero de forma gráfica (Por favor, intentad no entrar en esa opción de Ver equipos del grupo de trabajo, os reitero que es lenta, engorrosa y genera errores).

Esta máquina nos ha dado permiso por que es la nuestra, claro (127.0.0.1, localhost) pero ¿qué ocurre si le damos la dirección de otra máquina?

Pensemos un poco…. El equipo remoto al que

queremos conectarnos tiene sus recursos, con sus ACL

y demás como vimos anteriormente. De repente ve

como un usuario intenta acceder, autorizarse, pero no

desde el equipo local (con su SID y demás) sino desde

la red.

Es obvio que en este ambiente no se pueden usar las SID (recordar que la SID incluye dentro un numero aleatorio que depende de cada equipo, por lo que una maquina no reconoce los SID normales de otra máquina).

Así que la maquina remota a la que intentamos acceder, insiste en autorizarnos, y lo hace de la siguiente forma:

1. Comprueba el nombre de usuario y la contraseña que está usando en su máquina el usuario que intenta colarse por la red. Si ese nombre de usuario y contraseña coinciden con un nombre de usuario y contraseña locales de la propia maquina, supone que es el usuario indicado y le deja pasar.

2. En caso de que el punto 1 no se cumpla, comprueba si en la maquina en que intenta entrar esta activa la cuenta de Invitado y el sistema está configurado para permitir

de Invitado y el sistema está configurado para permitir TEMA 5-2 Página. 1-19 Principios de seguridad

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

que se use la cuenta Invitado para red, y los permisos de red y la seguridad del recurso también lo permiten.

3. Si no se cumplen el punto 1 ni 2, aparece una pantalla como la indicada arriba que pregunta directamente un nombre de usuario y contraseña para entrar en el equipo.

Un punto importante que hay que conocer: Una vez que un equipo nos deja acceder al mismo nos concede una credencial, esta credencial no se borra inmediatamente, sino que es recordada en el equipo durante un tiempo. Esto es importante saberlo por que podremos encontrarnos con un equipo que nos concede el paso, borramos la cuenta que permite ese paso, y sin embargo al volver a probar resulta que seguimos entrando sin problemas. Simplemente ocurre que las credenciales siguen estando activas, aunque la situación que las genero haya desaparecido. Para actualizar estas credenciales la forma más segura es reiniciando el equipo.

Recursos compartidos mediante cuenta local.

Bien, creemos una carpeta y compartámosla en red, para ir viendo punto por punto como se realiza esta acción.

Creamos un usuario en nuestro sistema con el nombre RINO y contraseña 1234.

Cread una carpeta ALMACEN en la raíz de vuestro volumen.

Accedemos a sus propiedades y a la pestaña Compartir. (Si no se ve esta pestaña, es que tenéis activado la opción de uso compartido simple de archivos y habrá que desactivarla (Mi PC – Herramientas – Opciones de Carpeta – Ver).

Allí indicamos que queremos compartir el archivo, le ponemos como nombre ALMACENRED y un comentario, y entramos en la opción de Permisos. Esta opción será la que nos indique que usuarios pueden entrar desde la red a dicho recurso.

que usuarios pueden entrar desde la red a dicho recurso. Agregamos al usuario RINO en Permisos,
que usuarios pueden entrar desde la red a dicho recurso. Agregamos al usuario RINO en Permisos,

Agregamos

al

usuario

RINO

en

Permisos, con

control total.

Accedemos a la pestaña Seguridad de ALMACEN. Añadimos al usuario Rino con todos los permisos (No es suficiente con añadir al usuario en Permisos para la red, también hay que añadirlo en Seguridad).

Ahora que le hemos concedido al usuario RINO el derecho a entrar en la carpeta ALMACEN, nos situamos en otro ordenador.

Creamos la cuenta RINO con contraseña 1234

Abrimos sesión con dicha cuenta RINO en esa máquina.

Desde shell de texto escribid lo siguiente (vale el nombre de la maquina o su dirección IP):

Net View \\Nombre_Maquina_donde_esta_Almacen

Deberíamos ver el recurso compartido ALMACENRED

Escribimos:

Net Use X: \\Nomb_Maqu_Almacen\ALMACENRED

Si lo hemos realizado todo bien, con esto veremos que tenemos un nuevo volumen en el sistema, con la letra X y que corresponde al recurso compartido.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Para hacer lo mismo desde el explorador, escribid en la barra de direcciones del explorador \\Nombre_Maquina_Almacen

Hacemos clic con el botón derecho en la carpeta ALMACENRED y escogemos la opción conectar a unidad de red, con lo que crearemos otro volumen para dicho recurso en nuestro sistema.

Si escribimos directamente \\Nombre_Maquina_Almacen\ALMACENRED accederemos al recurso, sin crear ninguna letra de volumen.

Vemos cómo accedemos usando la cuenta del usuario RINO, ya que le hemos dado los permisos necesarios, tanto en permisos como en seguridad.

Si queremos que esos volúmenes (X) que hemos creado se conecten automáticamente cada vez que iniciemos sesión, añadimos el parámetro /persistent:yes desde shell de texto en el net use, o bien indicamos volver a conectar si lo hacemos desde el explorador.

Net Use X: \\Nombre_Maquina_Almacen\ALMACENRED /persistent:yes

Si queremos borrar la asociación del recurso con la letra, basta con escribir NET USE * /DELETE y los borrara todos. (Si solo queremos uno, en lugar de * poned su nombre).

Recursos compartidos y acceso anónimo.

Hasta aquí hemos visto como acceder usando una cuenta de usuario común en los dos equipos. Veamos ahora como podemos activar el acceso de usuarios anónimos usando la cuenta Invitado. Esto nos permitirá ofrecer recursos compartidos en red para que pueda usarlo cualquier maquina sin preocuparnos de las cuentas locales que dicha maquina tenga. Esta opción la tenemos directamente accesible desde algunos Windows mediante las carpetas de acceso Público, pero veamos cómo podemos hacerlo con cualquier carpeta del sistema.

1. Compartimos un recurso en nuestra maquina.

2. Nos aseguramos de que la cuenta Invitado esta activa.

3. Accedemos a secpol.msc para tocar algunas directivas de grupo que deben ser cambiadas para permitir el acceso anónimo de usuarios:

4. Desde directivas locales – Asignación de derechos de usuario:

a. Denegar el acceso desde la red a este equipo. Nos aseguramos que la cuenta Invitado no esta incluida en esta directiva.

b. Tener acceso a este equipo desde la red. Nos aseguramos que la cuenta Invitado esta incluida en esta directiva.

5. Desde directivas locales – Opciones de seguridad.

a. Acceso de red: deja los permisos de Todos para aplicarse a usuarios anónimos. Si la habilitamos, basta con que en permisos al compartir agreguemos el grupo Todos. Si esta deshabilitado el grupo Todos no incluye la cuenta Invitado, por lo que habrá que agregar específicamente la cuenta Invitado.

Con estos pasos, conseguiremos un sistema en el cual, si compartimos un recurso, en sus propiedades en permisos indicamos que puede ser usada por Todos y en su seguridad incluimos el usuario Invitado, cualquier usuario de la red podrá entrar en el recurso con los permisos que indiquemos para la cuenta Invitado. Esto se conoce como acceso anónimo.

Modificando otras directivas de grupo, es posible crear otros esquemas de compartición y trabajo en red, pero este es uno de los más útiles y simples, ya que permite recursos nominales y recursos anónimos.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

La forma de crear un recurso compartido oculto en Windows es muy simple, basta con terminar el nombre de dicho recurso con el símbolo $. Asi, si creamos una carpeta VIDEOS y la compartimos en red con AVI$, dicha carpeta no será visible ni con Net View ni desde el explorador, sin embargo dicho recurso se podrá usar sin ningún problema indicando su nombre completo \\Equipo\Avi$.

De hecho, Windows comparte de forma predeterminada TODOS nuestros volúmenes completos, con los nombres C$, D$, etc. Estos recursos compartidos se usan desde la Administración de sistemas, y no deben ser desactivados. Esta forma de trabajar es muy cómoda, puesto que un Administrador siempre podrá acceder a sus equipos desde red, sin tener que compartir implícitamente ningún recurso.

Si queremos ver nuestros recursos compartidos, incluidos ocultos, lo podemos hacer desde la consola COMPMGMT.MSC.

Desde esta consola también podemos ver las sesiones abiertas por usuarios remotos en nuestro equipo (e incluso desconectar dichas sesiones y también podemos ver que archivos están abiertos por dichas sesiones).

El recurso compartido IPC$ es un recurso utilizado para funciones avanzadas de Administración de sistemas.

para funciones avanzadas de Administración de sistemas. Recursos compartidos. Impresoras. Compartir una impresora es

Recursos compartidos. Impresoras.

Compartir una impresora es prácticamente igual que compartir una carpeta. Basta con que accedamos a nuestra impresora (Inicio – Impresoras y Faxes, o bien accedemos desde Panel de Control), y en sus propiedades indiquemos compartir.

Desde esta opción podemos compartir la impresora, indicar un nombre de recurso compartido, y podemos instalar en el sistema controladores adicionales.

Estos controladores permiten que cuando una maquina remota quiera acceder a nuestra impresora no tenga que instalar ningún driver (controlador) adicional, sino que se los bajara automáticamente desde nuestra propia maquina.

se los bajara automáticamente desde nuestra propia maquina. TEMA 5-2 Página. 1-22 Principios de seguridad en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Recursos compartidos. Ejercicios.

Se propone ahora un ejercicio completo sobre compartición de recursos.

Crear la cuenta de usuario PAVO.

Crear una carpeta en el raíz de nuestro volumen con nombre AVE.

Preparad dicha carpeta para que el usuario PAVO pueda acceder desde la red (para lo cual tendrá que abrir sesión como PAVO en una maquina remota) y tenga permisos totales sobre dicha carpeta.

Probad que efectivamente el usuario PAVO puede entrar desde otra maquina a la carpeta AVE.

Preparad dicha máquina para que de forma predeterminada cada vez que el usuario PAVO abra sesión en dicha maquina se conecte a la carpeta AVE y la muestre como unidad Y:

Crear en el equipo una carpeta en el raíz de nuestro volumen con nombre P2P.

Preparad dicha carpeta para que cualquier usuario de cualquier maquina pueda acceder desde la red a la carpeta P2P, con permisos de solo lectura.

Cread un fichero de texto en la carpeta P2P, ahora comprobad que desde cualquier maquina de la red y desde cualquier usuario se puede conectar a la carpeta P2P del primer equipo y se puede leer el fichero de texto pero no se puede borrar o modificar.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1.5 Perfiles de Usuario.

Un perfil de usuario contiene todas las características y ficheros que forman parte de entorno de trabajo de un usuario. Esto incluye los parámetros especiales de ese usuario en el registro del sistema para multitud de aspectos, desde el aspecto del cursor del ratón, a la forma en que configura el Word, las cookies que utiliza, los favoritos de Internet, sus carpetas de documentos, accesos directos a carpetas de red, etc.

Por defecto, cada usuario que inicia sesión en nuestra maquina cuenta con un perfil de usuario, que se crea cuando dicho usuario inicia sesión por primera vez en nuestra maquina. Los perfiles de usuario locales se almacenan en distinto sitio según el sistema Windows con el que trabajemos:

En Windows XP, 2000, 2003 bajo la carpeta DOCUMENTS AND SETTINGS que se crea en el mismo volumen donde instalamos Windows XP, y en una carpeta con el nombre de la cuenta del usuario.sitio según el sistema Windows con el que trabajemos: En Windows Vista, 2008 y 7 bajo

En Windows Vista, 2008 y 7 bajo la carpeta USERS que se crea en el mismo volumen donde instalamos Windows Vista.XP, y en una carpeta con el nombre de la cuenta del usuario. Podemos usar la

Podemos usar la variable de entorno %SystemDrive% que indica en que volumen se instaló Windows. La variable %UserName% nos devuelve el nombre de usuario actual. La ruta al perfil esta almacenada en una variable de entorno %UserProfile%.

Dentro de cada perfil de usuario, encontramos una jerarquía de directorios o carpetas. El raíz de dicho perfil contiene un fichero NTUSER.DAT, que contiene la porción de información del registro del sistema inherente a dicho usuario. Dentro del perfil se incluyen entre otras las siguientes carpetas (puede que no las tengamos todas):

Datos de programa. (Application Data) Esta carpeta oculta contiene datos específicos para programas, comos los diccionarios de los procesadores de textos, bases de datos de los CDs, certificados de Internet Explorer, etc. La información que se almacena en esta carpeta depende de los programas.las siguientes carpetas (puede que no las tengamos todas): Cookies. Esta carpeta contiene las cookies del

Cookies. Esta carpeta contiene las cookies del Internet Explorer. (Galletas, pequeños ficheros de textos usados por las páginas Web para proporcionar diversos servicios).que se almacena en esta carpeta depende de los programas. Favoritos. Los favoritos del Internet Explorer.

Favoritos. Los favoritos del Internet Explorer.por las páginas Web para proporcionar diversos servicios). Configuración Local. Esta carpeta oculta contiene

Configuración Local. Esta carpeta oculta contiene configuraciones y ficheros que no se mueven con el perfil del usuario, bien por que sean específicos de la maquina local o por que sean excesivamente grandes y no merezcan la pena ser mantenidos junto con el perfil. Por ejemplo, aquí se encuentran los históricos de Internet Explorer, los ficheros temporales del mismo, etc.servicios). Favoritos. Los favoritos del Internet Explorer. Mis Documentos. (Documents). Esta carpeta es la que

Mis Documentos. (Documents). Esta carpeta es la que realmente se usa, cuando en cualquier programa almacenamos algo en la carpeta Mis Documentos. Así, si en un programa almacenamos algo en Documentos de Ana, por ejemplo, lo estamos almacenando en la carpeta Mis Documentos del perfil Ana. Si almacenamos algo en Mis Documentos directamente, lo estamos almacenando en la carpeta Mis Documentos del perfil del usuario actual.Internet Explorer, los ficheros temporales del mismo, etc. Entorno de Red. Tenemos aquí los accesos directos

Entorno de Red. Tenemos aquí los accesos directos que aparecen en Mis sitios de Red.en la carpeta Mis Documentos del perfil del usuario actual. Impresoras. Tenemos aquí accesos directos a

Impresoras. Tenemos aquí accesos directos a impresoras y faxes.los accesos directos que aparecen en Mis sitios de Red. Documentos Recientes. Accesos directos a los

Documentos Recientes. Accesos directos a los últimos documentos con los que hemos trabajado.Tenemos aquí accesos directos a impresoras y faxes. Send To. (Enviar a) Esta carpeta contiene accesos

Send To. (Enviar a) Esta carpeta contiene accesos directos a las carpetas y aplicaciones que aparecen en el menú contextual de un objeto en el explorador de archivos, bajo laa los últimos documentos con los que hemos trabajado. TEMA 5-2 Página. 1-24 Principios de seguridad

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

opción Enviar a. Podemos añadir en esta carpeta, nuevos destinos para nuestros programas y documentos.

Menú Inicio. Esta carpeta contiene los objetos personales (como accesos directos a aplicaciones y documentos) que vemos aparecer en el Menú Inicio.nuevos destinos para nuestros programas y documentos. Plantillas. Tenemos aquí accesos directos a plantillas de

Plantillas. Tenemos aquí accesos directos a plantillas de documentos. Estas plantillas son usadas por el comando Nuevo en el explorador.y documentos) que vemos aparecer en el Menú Inicio. Escritorio. (Desktop). Tenemos en esta carpeta los

Escritorio. (Desktop). Tenemos en esta carpeta los accesos directos que se muestran en el escritorio del usuario.plantillas son usadas por el comando Nuevo en el explorador. Perfiles comunes. En la carpeta de

Perfiles comunes.

En la carpeta de perfiles podemos encontrar dos perfiles que no están asociados a ninguna cuenta de usuario en particular. Estos son All Users (Todos los usuarios) y Default User (Usuario por defecto). Además en algunos sistemas podemos encontrar un perfil Public, que está preparado para compartir cosas en red de forma anónima. Hay que tener en cuenta que dichos perfiles pueden estar ocultos.

Perfil All Users. El contenido de este perfil, se añade a los contenidos de los perfiles de cada usuario. Por ejemplo, si ponemos algún acceso directo en All Users\Escritorio, este acceso le aparecerá a todos nuestros usuarios en sus escritorios. Por defecto, solo los administradores pueden añadir objetos al escritorio y al menú inicio del perfil All Users. Sin embargo, todos los usuarios pueden añadir objetos en la carpeta de documentos compartidos.tener en cuenta que dichos perfiles pueden estar ocultos. Perfil Default User. Cuando un usuario inicia

Perfil Default User. Cuando un usuario inicia sesión en nuestro sistema por primera vez (y no tiene un perfil móvil u obligatorio), Windows crea un nuevo perfil local para dicho usuario, copiando el contenido de la carpeta Default User a una nueva carpeta con el nombre del usuario. Por lo tanto, podemos configurar los perfiles de nuestros nuevos usuarios, modificando el contenido de la carpeta Default User. Por defecto, solo los administradores pueden hacer cambios en esta carpeta.añadir objetos en la carpeta de documentos compartidos. Es interesante conocer bien el funcionamiento de estos

Es interesante conocer bien el funcionamiento de estos perfiles especiales, ya que pueden simplificar enormemente la vida a los administradores. Podemos, por ejemplo, incluir enlaces directos a las páginas Web de la empresa, a documentos donde se expliquen las características de seguridad que se han de seguir, etc.

Hay que tener cuidado con un error que se suele cometer con los permisos de los ficheros al usar estos perfiles. Si copiamos un fichero a la carpeta de perfil para Default User, este fichero obtiene los permisos de la carpeta. Sin embargo, si movemos un fichero a la carpeta de perfil para Default User, este fichero conserva sus permisos propios. Esto hace que si como administrador creamos un fichero y lo movemos a la carpeta Default User (o a cualquier carpeta en realidad) este fichero nos pertenecerá a nosotros, y es muy probable que el usuario no tenga permiso ni siquiera para verlo.

Gestionando Perfiles.

Una vez comprendido que es un perfil y donde se encuentran ubicados, es tentador para un administrador gestionarlos directamente desde el explorador de archivos, copiarlos, borrarlos, etc.

Sin embargo, esta NO es una práctica recomendada, ya que se corre el riesgo de dejar perfiles inutilizables. De hecho, salvo las carpetas escritorio y menú inicio, las demás carpetas no deben ser modificadas desde el explorador de archivos.

Para gestionar estos perfiles, debemos usar el formulario de perfiles de usuario que XP incorpora. Para llegar a este formulario debemos ir al formulario Sistema (Panel de Control – Sistema o Propiedades de Mi PC) y allí Opciones Avanzadas – Perfiles de Usuario:

Configuración.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Los miembros que no sean miembros del grupo Administrador no podrán ver otros perfiles diferentes al suyo, y no pueden modificar ningún perfil. No se puede gestionar un perfil que tenga sesión abierta en el sistema.

Desde aquí podemos borrar perfiles dejando el registro del sistema actualizado, copiar perfiles de un usuario a otro y cambiar el tipo de dicho perfil, pasándolo de local a móvil, etc.

El concepto de cambiar tipo de local a móvil, etc, lo veremos con posterioridad.

Asignando Perfiles.

Normalmente, cuando creamos una nueva cuenta de usuario su perfil se crea automáticamente la primera vez que dicha cuenta de usuario inicia sesión en nuestro sistema (es ese rato largo que se llevan las nuevas cuentas en las que aparece en pantalla algo como aplicando su configuración personal). Sin embargo, como Administrador del sistema podemos asignar directamente un perfil a una cuenta de usuario. Para ello debemos usar la consola LUSRMGR.MSC. Si desde allí escogemos un usuario y hacemos doble clic, veremos como nos aparecen las propiedades de dicho usuario, y tenemos una pestaña para gestionar su perfil.

usuario, y tenemos una pestaña para gestionar su perfil. Desde este formulario, podemos configurar lo siguiente:

Desde este formulario, podemos configurar lo siguiente:

Ruta de acceso al perfil. Si no queremos que el perfil este localizado en su ubicación por defecto, podemos indicar aquí donde queremos que se cree dicho perfil. Hay que tener en cuenta que el usuario que use el perfil debe tener derechos totales sobre dicha carpeta. De esta forma veremos como podemos crear tres tipos distintos de perfiles: locales, móviles y obligatorios.Desde este formulario, podemos configurar lo siguiente: Archivo de comandos de inicio de sesión. Aquí podemos

Archivo de comandos de inicio de sesión. Aquí podemos colocar el nombre y localización de un fichero de comandos (Script) que se ejecutará cada vez que el usuario inicie sesión.distintos de perfiles: locales, móviles y obligatorios. Carpeta particular (Home). Ruta de acceso local. La carpeta

Carpeta particular (Home). Ruta de acceso local. La carpeta particular (Home) es una carpeta en la que el usuario puede almacenar sus ficheros y programas. Aunque la mayoría de los programas usan la carpeta Mis Documentos para almacenar los ficheros del usuario, podemos necesitar crear una carpeta alternativa para dicho usuario. Si hemos creado un Script de inicio de sesión para el usuario, su directorio por defecto inicial es esta carpeta Home. Aquí indicamos en que directorio de nuestro sistema hemos creado la carpeta para dicho usuario.que se ejecutará cada vez que el usuario inicie sesión. Carpeta particular (Home). Conectar. Desde aquí

Carpeta particular (Home). Conectar. Desde aquí podemos indicar una carpeta particular para ese usuario, e indicar una letra de volumen para que dicha carpeta sea referenciada.nuestro sistema hemos creado la carpeta para dicho usuario. TEMA 5-2 Página. 1-26 Principios de seguridad

letra de volumen para que dicha carpeta sea referenciada. TEMA 5-2 Página. 1-26 Principios de seguridad

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

El Script de inicio de sesión, es un programa que se ejecuta automáticamente cada vez que el

usuario inicia sesión en nuestra maquina. Cualquier fichero ejecutable (bat, cmd, vbs, js, wsf,

exe, com,

utilizar para conectarnos a sitios de red, para iniciar ciertos programas de control, etc. Este es simplemente uno de los sitios donde podemos obligar a las cuentas de usuario a ejecutar un programa, en XP tenemos varios lugares más desde donde hacer esto. Podemos obligar a que se ejecuten programas cuando un usuario inicia sesión, cuando la cierra, cuando se enciende el sistema, cuando se apaga, a intervalos de tiempo, a horas programadas, etc.

puede ser usado como Script de inicio. Normalmente estos scripts se pueden

)

Toda esta gestión de perfiles que hemos visto, solo funciona adecuadamente si estamos unidos a un dominio. En un ámbito de grupo de trabajo, no es recomendable trabajar con perfiles que no sean locales.

Tipos de perfiles.

Windows admite tres tipos distintos de perfiles.

Perfiles de usuarios locales. Son los que se almacenan en %SystemDrive%\Documents And Settings en el disco duro local. Si un usuario cambia algo en su perfil, esos cambios solo se registran en nuestra maquina local, como es obvio. Es el único tipo de perfil usado si no estamos en un dominio.perfiles. Windows admite tres tipos distintos de perfiles. Perfiles de usuario móviles. Estos perfiles no se

Perfiles de usuario móviles. Estos perfiles no se almacenan en el disco duro local de la maquina, sino en un servidor de red. Esto implica que esos perfiles están disponibles para los usuarios sin importar en que maquina abran sesión, siempre que dichas maquinas tengan acceso a ese servidor. El perfil se encuentra almacenado en un servidor, de modo que al iniciar sesión se copia dicho perfil a la maquina en la que se encuentre el usuario. Si el usuario modificar algo del perfil, dichos cambios son introducidos también en el servidor. Estos perfiles móviles pueden ser utilizados si contamos con un servidor en la red que cuente con Windows Server (2000, 2003, etc).el único tipo de perfil usado si no estamos en un dominio. Perfiles de usuario Obligatorios.

Perfiles de usuario Obligatorios. Estos perfiles solo pueden ser cambiados por los administradores. Inicialmente, es igual que un perfil de usuario móvil, ya que el perfil se encuentra almacenado en un servidor, y se crea una copia de dicho perfil en la maquina en la que el usuario inicia sesión. Pero a diferencia el perfil móvil, los cambios que el usuario efectué en su perfil no se copian en el servidor. Es decir, aunque el usuario puede cambiar su perfil una vez abierta sesión, la próxima vez que inicie otra sesión verá que no se han almacenado ninguno de los cambios que ha introducido. Una ventaja de los perfiles de usuario obligatorios, es que pueden ser usados por múltiples usuarios sin que se afecten los unos a los otros. Obviamente, el administrador si puede modificar estos perfiles como le parezca.en la red que cuente con Windows Server (2000, 2003, etc). Todo este tema de perfiles

Todo este tema de perfiles esta pensando principalmente para trabajar en un dominio, usando un servidor Windows donde estén almacenados dichos perfiles. Intentar trabajar con ellos en un ámbito de grupo de trabajo es altamente desaconsejable.

1.6 Directivas de Grupo.

Las directivas de grupo forman parte de la estructura de Windows desde el Windows 2000. En estos sistemas, las políticas de grupo son una herramienta muy poderosa que permite a los administradores configurar equipos de forma local o remota, instalando aplicaciones, restringiendo los derechos de los usuarios, eliminando aplicaciones, instalando y ejecutando scripts, y redirigiendo carpetas del sistema a red o viceversa. Pero también tienen utilidad las políticas de grupo en entornos pequeños, incluso en una sola maquina. Usando las políticas de grupo en una maquina corriendo Windows XP, podemos:

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Modificar políticas que se encuentran en el registro del sistema. El registro del sistema es una gran base de datos en la que se configuran cientos de comportamientos de Windows XP. Desde las políticas de grupo podemos acceder a estas características y modificarlas, de una forma mucho más simple que mediante la edición pura del registro.SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO Asignar scripts que se ejecutaran automáticamente cuando el sistema se

Asignar scripts que se ejecutaran automáticamente cuando el sistema se encienda, se apague, un usuario inicie sesión o cierre sesión.más simple que mediante la edición pura del registro. Especificar opciones especiales de seguridad. Si estamos

Especificar opciones especiales de seguridad.se apague, un usuario inicie sesión o cierre sesión. Si estamos trabajando bajo un dominio (con

Si estamos trabajando bajo un dominio (con un servidor en la red administrando dicho dominio)

las políticas de grupo cobran mayor protagonismo. En un ambiente de grupo de trabajo, las

políticas de grupo de cada maquina, controlan los aspectos únicamente de dicha maquina y en algunos casos es imposible sacarles el rendimiento esperado.

La consola desde donde podemos gestionar las directivas de grupo es el gpedit.msc. (Inicio –

Ejecutar – gpedit.msc).

es el gpedit.msc. (Inicio – Ejecutar – gpedit.msc). Para poder trabajar con el gpedit.msc necesitamos estar

Para poder trabajar con el gpedit.msc necesitamos estar usando una cuenta de usuario que pertenezca al grupo Administradores. Esta consola es muy configurable, permitiéndonos añadir y quitar opciones según deseemos. De momento, vamos a trabajar con las opciones que aparecen por defecto.

Si nuestro equipo esta unido a un dominio, podemos configurar directivas del dominio

completo, que afectaran a varias maquinas. Sin embargo, nos vamos a centrar aquí en

las directivas locales, ya que no estamos

trabajando en un dominio de momento.

Principalmente, veremos que dentro las directivas de grupo locales tenemos dos opciones:

Configuración del equipo y Configuración del usuario. En el caso de estar trabajando en grupo

de trabajo es prácticamente indistinto trabajar con una opción u otra.

La mejor forma de comprender que

podemos hacer desde esta herramienta, es ir leyendo todas las posibles configuraciones que nos permiten las directivas de grupo. Contamos con más

de 240 configuraciones que podemos

perfilar para la configuración del equipo,

y más de 440 configuraciones o

directivas que podemos asignar para los usuarios. Obviamente, la gran mayoría de estas directivas pueden ser ignoradas por su escasa utilidad.

Para aprender más de una directiva en concreto, simplemente tendremos que seleccionarla con el ratón, y veremos una descripción detallada de dicha directiva en el panel central.

Algunas directivas aparecen tanto en la configuración del equipo como en la configuración del usuario. En caso de conflicto, la configuración del equipo siempre tiene preferencia.

Para modificar el estado o configuración de una directiva, simplemente tenemos que realizar doble clic sobre dicha directiva para que nos aparezca el cuadro de dialogo que nos permite modificar dicha directiva. Si en dicho cuadro de dialogo pulsamos sobre la pestaña Explicación, nos mostrará una explicación de la funcionalidad de dicha directiva.

Si escogemos la pestaña Configuración, veremos como podemos:

escogemos la pestaña Configuración, veremos como podemos: TEMA 5-2 Página. 1-28 Principios de seguridad en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

No configurar la directiva, con lo que se comportará según el criterio por defecto para dicha directiva.SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO Habilitarla, con lo que la pondremos en marcha en el sistema.

Habilitarla, con lo que la pondremos en marcha en el sistema.según el criterio por defecto para dicha directiva. Deshabilitarla, con lo que impediremos que se ponga

Deshabilitarla, con lo que impediremos que se ponga en marcha dicha directiva.con lo que la pondremos en marcha en el sistema. Algunas directivas especiales permiten especificar otras

Algunas directivas especiales permiten especificar otras informaciones.

Hay que tener cuidado en leer muy bien la directiva y su explicación antes de modificarla, ya que podemos entender justo lo contrario de lo que hace. Por ejemplo, si habilitamos la directiva que deshabilita el contenido extra en el escritorio, estamos deshabilitando dicha opción. (¿Esta claro, no?).

Probad a deshabilitar la directiva que hemos tomado como ejemplo (gpedit.msc – Configuración de Usuario – Plantillas Administrativas – Sistema - Impedir el acceso al símbolo del sistema) e intentad ejecutar una ventana de símbolo de comandos (cmd.exe)

Como ejercicio, probad a habilitar la directiva (gpedit.msc – Configuración de Usuario – Plantillas Administrativas – Sistema – No ejecutar aplicaciones de Windows especificadas) e insertar en la lista de aplicaciones prohibidas el nombre del ejecutable de la calculadora y el del block de notas de Windows. Probad a ejecutar cualquiera de estos programas.

Vemos como desde las directivas de grupo podemos modificar el comportamiento de Windows, dándonos una gran potencia en la administración del equipo.

Ahora bien, habremos notado que cuando activamos directivas de grupo, tanto desde configuración del equipo, como desde configuración del usuario, estas directivas se aplican a todos los usuarios, incluidos nosotros mismos. Esto esta bien si lo que queremos es proteger una maquina de un ciber, por ejemplo, pero si estamos en una maquina que usamos normalmente nos interesa buscar un método que nos permita “saltarnos” las directivas.

Para conseguir esto, tenemos que tener en cuenta lo siguiente:

1. Las directivas de grupo se almacenan en una carpeta de nuestro sistema, concretamente en la carpeta %SystemRoot&\System32\GroupPolicy.

2. Cada vez que un usuario inicia sesión en nuestro equipo, el usuario lee automáticamente las directivas que encuentre en dicha carpeta

3. Todas las directivas que son leídas desde dicha carpeta se aplican al usuario que acaba de entrar en el sistema.

¿Teniendo en cuenta lo anterior, se os ocurre alguna manera de impedir que las directivas se apliquen, por ejemplo, a los miembros del grupo Administradores?

Es bastante simple, basta con impedir que los usuarios del grupo Administradores puedan leer dicha carpeta. Es decir, modificamos los permisos de seguridad de la carpeta donde están las directivas, %SystemRoot&\System32\GroupPolicy de modo que impidamos que los Administradores tengan permiso de lectura. (Aquí usamos por primera vez la entrada DENEGAR de los permisos, cosa que ya dijimos que no es recomendable).

Cerrar sesión y volver a abrirla como un usuario del grupo Administradores. Podremos comprobar como a dicho usuario ya no se le aplican las directivas, dado que no puede leerlas.

De este modo, podemos conseguir que las directivas del sistema no se nos apliquen, pero si nos damos cuenta, al denegarnos a nosotros mismos los permisos sobre la carpeta GroupPolicy, estamos consiguiendo también que sea imposible que modifiquemos las directivas de grupo.

que sea imposible que modifiquemos las directivas de grupo. TEMA 5-2 Página. 1-29 Principios de seguridad

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Esto implica que siempre que vayamos a modificar una directiva de grupo tendremos que tomar el control sobre la carpeta GroupPolicy, para poder leer y escribir en ella antes de poder modificar la directiva, y una vez que hayamos modificado la directiva, volver a quitarnos el permiso de lectura sobre dicha carpeta. Todo esto lo tenemos que hacer sin cerrar sesión, ya que podemos correr importantes riesgos en caso contrario.

Esta complejidad de los permisos sobre GroupPolicy vienen dados por que en cierta forma estamos “forzando” el uso de las directivas, que están pensadas para trabajar generalmente en un dominio, y no en un grupo de trabajo.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1 Técnicas avanzadas en Windows

1.1 El Registro del Sistema

1-2

1-2

El Editor del

1-3

Claves del Editor del Registro

1-3

Editando el

1-4

Utilidad de la edición del Registro de

1-7

Modificación de un registro

1-8

1.2 Monitorizando el Sistema con el visor de

Auditando

1.3 Servicios en Windows XP

Configurando los

1-8

1-10

1-12

1-13

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

1 Técnicas avanzadas en Windows.

Windows XP es un sistema operativo altamente configurable y que cuenta con una gran cantidad de técnicas avanzadas normalmente no usadas por los usuarios genéricos pero que como Administradores de Sistemas debemos conocer. Tratemos algunas de ellas.

1.1 El Registro del Sistema.

En las versiones anteriores a Windows 95, cada programa que se instalaba en el sistema (incluyendo los propios programas de Windows) contaba con una serie de ficheros donde se almacenaban las configuraciones de dichos programas. Estos ficheros solían tener la extensión .ini y se contaban por miles los que en un momento dado podían estar instalados. A partir de Windows 95, aunque no se prohibieron los ficheros .ini se ideo otra forma de trabajar. Se creó una base de datos jerárquica central donde se guardan todas las configuraciones de todos los programas, incluidas las configuraciones del sistema operativo. Esta base de datos es conocida como el Registro de Windows.

Esta base de datos es conocida como el Registro de Windows. Cualquier opción que escojamos en

Cualquier opción que escojamos en el panel de control, en un menú de Word, una preferencia que escojamos en un juego que instalemos, cualquier directiva de grupo que activemos, etc., en realidad hace referencia a un cambio que se produce en una clave del Registro. Asimismo, existen miles de posibles configuraciones que no están a nuestro alcance usando medios normales, pero se pueden configurar desde el Registro.

Hay que tener mucho cuidado a la hora de editar el Registro. Es potencialmente posible destruir absolutamente todo nuestro sistema. Cualquier cambio que se realice, debe estar meditado con anterioridad, y nunca debe realizarse ningún cambio sin contar con una copia de seguridad actualizada del Registro. Tocar el registro viene a ser como tocar directamente las piezas del motor de un coche, nos da la máxima potencia posible a la hora de modificar el coche, pero si cometemos un error no hay marcha atrás, no hay ningún sistema que nos vigile para asegurarnos de que no metemos la pata.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

El Editor del Registro.

El Editor del Registro (REGEDIT.EXE) es la herramienta que Microsoft pone a nuestra disposición en el sistema para editar el contenido del Registro. Ejecutad este programa y comprobad su aspecto, parecido al del explorador de archivos.

Las carpetas representan claves del Registro y se muestran en el área de exploración en el lado izquierdo de la ventana Editor del Registro. En el área de temas de la derecha, se muestran las entradas de una clave. Al hacer doble clic en una entrada, se abre un cuadro de diálogo de edición.

en una entrada, se abre un cuadro de diálogo de edición. Como es obvio, esta herramienta

Como es obvio, esta herramienta de edición del registro sólo puede ser usada por usuarios avanzados de nuestro equipo, como todos los miembros del grupo Administradores.

Claves del Editor del Registro

El registro del sistema esta estructurado en forma arborescente (como los directorios de un volumen). En primer lugar tenemos las carpetas principales que cuelgan de la raíz del registro. Estas carpetas principales son:

Clave

Descripción

HKEY_CURRENT_USER

Información sobre el usuario actual.

HKEY_USERS

Información sobre todos los usuarios.

HKEY_LOCAL_MACHINE

Información sobre el equipo.

HKEY_CLASSES_ROOT

Información sobre las extensiones y sus asociaciones.

HKEY_CURRENT_CONFIG

Información sobre la configuración actual que se esta usando.

En cada una de estas carpetas, y en sus sucesivas subcarpetas o subdirectorios, podemos crear tanto carpetas en la parte izquierda, como entradas en la parte derecha. Estas entradas pueden ser variables de cuatro tipos distintos de datos.

Tipos de datos

Descripción

REG_BINARY

Datos binarios en formato hexadecimal.

REG_DWORD

Datos de doble palabra.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

REG_EXPAND_SZ

Cadena de texto de longitud variable.

REG_MULTI_SZ

Lista o array separados por espacios.

REG_SZ

Cadena de texto de longitud fija.

REG_FULL_RESOURCE_DESCRIPTOR Tablas anidadas.

Normalmente, cuando tengamos que crear una entrada para realizar algo, se nos indicara de qué tipo tiene que ser.

Editando el Registro.

Al editar el registro hay que tener en cuenta una serie de cuestiones

Cualquier cambio que se realice en el registro, se aplicará de inmediato y no existe ninguna función deshacer. Es decir, no existe ninguna forma automática de dar marcha atrás.

2) Cualquier cosa que se borre en el registro, se borra automáticamente. El registro no espera a que pulsemos Guardar (save) para guardar el registro en disco, los cambios se guardan automáticamente.

1)

Una forma relativamente segura de editar el registro, consiste es realizar una copia de seguridad antes de modificar nada, de forma que si deseamos volver atrás, siempre podamos cargar la copia de seguridad. En el menú Archivo del programa Regedit, tenemos la opción Exportar que nos permite grabar todo el Registro, o simplemente una porción del mismo.

Es conveniente exportar a un sitio seguro la rama del registro que vamos a modificar, de modo que siempre podamos restaurarla en caso de necesidad desde el menú Archivo con la opción Importar. Hay que tener en cuenta una cosa a la hora de importar y exportar partes del registro. Si exportamos un archivo .reg (archivo de registro) realizamos una copia parcial únicamente, de modo que si exportamos, añadimos una clave nueva al registro, y luego importamos, nuestra clave nueva seguirá existiendo. Sin embargo, un archivo de subárbol realiza una copia total, de modo que si exportamos, añadimos una clave nueva al registro, y luego importamos, veremos como nuestra nueva clave desaparece dejando el registro tal y como estaba a la hora de realizar la exportación.

Mientras que los archivos .reg se guardan en modo texto, y por lo tanto son editables, los archivos de subárbol se guardan en formato especial, y no pueden ser editados ni visualizados por métodos normales.

Windows presenta un comportamiento anómalo cuando se importan subárboles grandes, llegando a presentar problemas de memoria baja e incluso llegando a corromper partes del registro. Se recomienda no utilizar subárboles siempre que sea posible.

Para mayor seguridad, también podemos crear un punto de restauración del sistema en Windows, lo que nos asegura que en el peor de los casos siempre podremos volver al punto anterior a la modificación del registro, es el método recomendado para modificar el registro. (Creamos un punto de restauración, modificamos el registro, si algo falla restauramos).

El tamaño del Registro es considerable, por lo que el programa Regedit cuenta con una serie de comandos para facilitarnos la tarea de manejar el registro. El comando Buscar, que se encuentra en el menú Edición nos permite localizar un valor concreto dentro de registro, Buscar siguiente nos permite ir navegando entre los distintos valores encontrados.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

También cuenta con una opción de Favoritos, como la de Internet Explorer para almacenar accesos

a las ramas y valores a los que solemos acceder.

Para cambiar el valor de una clave del registro, normalmente solo tenemos que hacer doble clic sobre dicha clave (en el panel de la derecha) lo que nos mostrará un formulario donde podremos indicar el nuevo valor.

un formulario donde podremos indicar el nuevo valor. Vamos a realizar un pequeño ejercicio para comprobar

Vamos a realizar un pequeño ejercicio para comprobar como encontramos y modificamos un valor. Si vamos al formulario propiedades del sistema (botón derecho – propiedades sobre el icono de Mi PC

ó bien Tecla Windows + Pause) veremos como aparece “Registrado a nombre de” y el nombre del

usuario que ha registrado la copia de Windows (todo esto en Windows XP). Este dato se pidió en el

momento de la instalación, y no es posible cambiarlo.

Sin embargo, esta información esta almacenada como no podía ser de otra forma en el Registro. Abrid el editor de registro (Regedit.Exe) y en el menú edición escoged la opción Buscar (Control – B). Como buscar el nombre que aparece en Registrado puede ser complicado ya que puede aparecer multitud de veces, vamos a buscar el número que aparece debajo del nombre en propiedades de Mi PC. Para ello introducir el número en buscar, y marcar que busque sólo en Datos.

El valor que nos interesa es uno llamado ProductId, si encontráis el número en otro valor basta con que indiquéis “Seguir Buscando” o pulséis la tecla F3 para que busquéis la próxima vez que aparece el valor.

F3 para que busquéis la próxima vez que aparece el valor. En la misma carpeta (clave)

En la misma carpeta (clave) en que encontramos ProductId veremos que aparecen dos valores RegisteredOwner y RegisteredOrganization. Estos son los campos donde se guardan los textos que vemos en propiedades de Mi PC. Cambiad estos valores por otros cualesquiera. Cerrad la ventana de propiedades de Mi PC si es que la tenéis abierta, y volver a abrirla. Mirad si ha cambiado algo.

Comprobareis como cualquier cambio que se hace en el registro es automáticamente ejecutado por el sistema, sin tener siquiera que cerrar el editor del registro. Esto hace que tengamos que andar con pies de plomo a la hora de modificar valores en el registro.

Si miramos en el registro ese valor que hemos modificado, el de RegisteredOwner, veremos como existe una ruta para llegar a ese valor, al igual que existe una ruta para llegar a un archivo. En concreto, la ruta completa de RegisteredOwner es:

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Mi PC\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner

Comprobad como al hacer click derecho sobre una entrada del registro, el sistema nos da las opciones para eliminar una entrada, y como también podemos crear entradas nuevas en el registro dentro de cualquier clave.

Bien, ahora veamos como exportar ramas. Volved a colocaros en dicha rama, sino estáis ya allí, y en el menú Archivo del editor del registro, escoged la opción Exportar. Marcad en la zona inferior del formulario de grabación Rama Seleccionada, y aseguraros de que la rama es la que hemos indicado arriba. (No importa que no comience con Mi PC). Ponerle un nombre al fichero .reg que se va a grabar y guardarlo en cualquier directorio. Abrid ahora dicho fichero .reg con el block de notas, y comprobad su contenido.

El archivo resultante es bastante grande, ya que esta rama que hemos exportado contiene mucha información, sin embargo lo que a nosotros nos interesa se encuentra al principio de dicho fichero, que será algo parecido a:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]

"CurrentBuild"="1.511.1 () (Obsolete data - do not use)"

"InstallDate"=dword:3c6674ea

"ProductName"="Microsoft Windows XP"

"RegDone"=""

"RegisteredOrganization"="Luna"

"RegisteredOwner"="Luis Enrique"

Vemos como es una estructura típica de un archivo de registro en Windows. Vamos a realizar nuestro propio archivo de registro. Para ello, cread con el block de notas un fichero con nombre HOLA.REG y el siguiente contenido.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]

"RegisteredOwner"="ERNESTO MATE"

En dicho fichero como veis, indicamos simplemente la versión que usamos (5.0) la ruta completa donde quiero trabajar y el valor que le quiero dar a la entrada. Una vez grabado dicho fichero con el contenido arriba indicado (contenido exacto), haced doble click sobre dicho fichero HOLA.REG. Veremos como Windows nos pide confirmación para insertar la información del fichero HOLA.REG en el registro.

la información del fichero HOLA.REG en el registro. Confirmar que se agregue HOLA.REG al registro. Ahora,

Confirmar que se agregue HOLA.REG al registro. Ahora, pulsad Tecla Windows + Pause para ver que ha ocurrido con el usuario registrado del sistema.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Este es un método muy simple de modificar valores del registro. Basta escribir un fichero con la cabecera arriba indicada, escribir la ruta completa del valor a modificar entre corchetes, y posteriormente, y entre comillas la entrada a cambiar y el valor al que se va a cambiar.

Una ultima cosa, las claves del registro (en el panel izquierdo) tienen también permisos para usuarios, al igual que las carpetas. Dando botón derecho sobre una clave, y escogiendo la opción permisos podremos indicar que usuarios de nuestro sistema tienen derecho a modificar dicha clave (pensad en esto, si existe una clave que indica el nombre del fondo de pantalla, por ejemplo, y quitamos permisos a todos los usuarios menos al Administrador para modificar esta clave…

Utilidad de la edición del Registro de Windows.

Hemos visto (por encima) como se puede editar el registro y en que consiste. ¿Es esto realmente útil?

Existen infinidad de configuraciones en un entorno Windows, a muchas de ellas podremos acceder desde las directivas de grupo o desde las propias opciones de configuración que nos dan los programas, pero a muchas otras es imposible acceder desde otro sitio que no sea desde el propio registro. Un usuario avanzado de informática, debe conocer como editar el Registro, ya que tarde o temprano se verá forzado a “bajar” al nivel de registro para solucionar determinadas cosas.

Por ejemplo, podemos configurar Windows para que nos muestre un mensaje cada vez que iniciamos Windows. Para ello habrá que modificar los valores de legalnoticecaption y legalnoticetext en la clave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon]

Otro ejemplo, sabemos que la cuenta Administrador no aparece en la pantalla de bienvenida de usuario. Si queremos que aparezca, basta que creemos (o modifiquemos si existe) una entrada del tipo DWord con el nombre Administrador y con valor 1 en:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]

También es bastante interesante explorar las claves HKEY_LOCAL_MACHINE\SOFTWARE\ y HKEY_CURRENT_USER\SOFTWARE donde veremos una lista de todo el software que tenemos instalado en la maquina. Incluido el software “oculto” que no se muestra en ningún otro sitio de Windows. Un usuario avanzado debe consultar esta lista para comprobar que se ha instalado en la maquina, muchas veces sin pedir permiso (programas que se instalan junto con otros programas a modo de troyanos).

Puede ocurrir, por ejemplo, que veamos que en esta lista de software aparece una clave con el valor Cydoor (conocido troyano “legal” que espía la información que esta en nuestra maquina y la envía a Internet, incluyendo contraseñas, páginas visitadas, números de serie, etc.). En general, cualquier clave que encontremos aquí que nos parezca extraña debe ser estudiada cuidadosamente.

En Internet podéis encontrar cientos de “trucos” que pueden realizarse desde el registro. Hay que tener mucho cuidado con estos “trucos”, pues muchos de ellos, amen de no servir absolutamente para nada, pueden tener efectos negativos.

Imaginemos que en un equipo instalamos un juego (podría ser cualquier otra aplicación). Este juego se instala en un directorio de nuestro disco duro, y como no necesita el cd para funcionar, perdemos dicho cd. ¿Es posible en estas circunstancias copiar el juego a otro ordenador?. En la mayoría de las ocasiones, esto es imposible puesto que al instalar el juego en realidad estamos instalando dos cosas en el sistema: El juego en si en un directorio (que podemos copiar a otro ordenador), y una serie de líneas, valores y claves en el registro, que no podremos copiar directamente. Pero ahora que

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

sabemos como exportar e importar ramas del registro, no tendríamos problemas en realizar esta copia.

Como ejercicio: en el registro existen varias ramas desde donde se puede indicar que se ejecuten programas en el inicio de Windows XP. Buscar desde que posiciones del registro se puede hacer esto. (Anteriormente vimos algunas utilidades que nos permitían ver que aplicaciones se ejecutaban en el inicio). Una vez encontradas dichas ramas, introducir una nueva entrada para ejecutar un programa cualquiera en el inicio de Windows XP.

Modificación de un registro remoto.

Podemos modificar el registro de otro ordenador, por ejemplo, para repararlo o hacerle algún tipo de mantenimiento. Es parecido a la administración remota de otra equipo que hacemos desde Administración de equipos, aunque podemos perfilar algo más la administración directamente desde el registro.

Para ello, veremos que en el programa Regedit.exe tenemos una opción en el menú para conectar a un registro de red. Solo podemos modificar las ramas HKEY_USERS y HKEY_LOCAL_MACHINE remotamente, que suelen ser las más interesantes.

Imaginemos que queremos cambiar el fondo de pantalla que esta usando un usuario, su combinación de colores, el salvapantallas que usa o cualquier otro aspecto que no podemos modificar directamente desde Administración de Equipos. Esto lo podemos modificar tocando la rama de HKEY_USERS que se refiere al usuario al que deseamos modificar. (Para que esta rama exista realmente, el usuario debe tener abierta sesión en el equipo a controlar remotamente). Estos cambios no se producirán automáticamente, y solo serán llevados a cabo cuando el usuario del equipo remoto cierre la sesión actual y abra una nueva.

1.2 Monitorizando el Sistema con el visor de Sucesos.

Un suceso es cualquier incidencia que se produce en un sistema, que puede ser potencialmente interesante para un administrador.

Windows permite llevar un registro de los sucesos que se producen en el sistema. Estos registros son almacenados automáticamente en tres ficheros:

Seguridad (Secevent.evt),registros son almacenados automáticamente en tres ficheros: Aplicación (Appevent.evt) Sistema (Sysevent.evt). El visor

Aplicación (Appevent.evt)automáticamente en tres ficheros: Seguridad (Secevent.evt), Sistema (Sysevent.evt). El visor de sucesos, es un añadido

Sistema (Sysevent.evt).Seguridad (Secevent.evt), Aplicación (Appevent.evt) El visor de sucesos, es un añadido de consola que se

El visor de sucesos, es un añadido de consola que se instala conjuntamente con el Windows XP y que nos permite visualizar estos tres archivos.

Los sucesos se dividen en categorías o tipos, y estos pueden ser:

Error.- Representan posibles perdidas de datos o rendimiento.se dividen en categorías o tipos, y estos pueden ser: Advertencia.- Posibilidad de que se produzca

Advertencia.- Posibilidad de que se produzca un error en un futuro.Representan posibles perdidas de datos o rendimiento. Información.- Informan de un tipo de actividad, y pueden

Información.- Informan de un tipo de actividad, y pueden ser configurablesPosibilidad de que se produzca un error en un futuro. TEMA 5-3 Página. 1-8 Técnicas avanzadas

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Para ejecutar el Visor de Sucesos, podemos ir Herramientas Administrativas – Visor de Sucesos o directamente ejecutar la consola mediante la orden eventvwr.msc.

ejecutar la consola mediante la orden eventvwr.msc. Las 8 columnas que podemos ver por cada suceso

Las 8 columnas que podemos ver por cada suceso son:

Tipo. Indica si es Información, Advertencia o Error.Las 8 columnas que podemos ver por cada suceso son: Fecha. Indica la fecha en que

Fecha. Indica la fecha en que se produjo el suceso.son: Tipo. Indica si es Información, Advertencia o Error. Hora. Indica la hora en que se

Hora. Indica la hora en que se produjo el suceso.o Error. Fecha. Indica la fecha en que se produjo el suceso. Origen. La aplicación o

Origen. La aplicación o componente del sistema que genero dicho suceso.el suceso. Hora. Indica la hora en que se produjo el suceso. Categoría. Algunos sucesos pertenecen

Categoría. Algunos sucesos pertenecen a alguna categoría especial. La mayoría de los sucesos no pertenecen a ninguna categoría especial.o componente del sistema que genero dicho suceso. Suceso. Todos los sucesos son identificados mediante un

Suceso. Todos los sucesos son identificados mediante un valor numérico. Este valor corresponde a la descripción del suceso.de los sucesos no pertenecen a ninguna categoría especial. Usuario. La cuenta de usuario asociada con

Usuario. La cuenta de usuario asociada con cada suceso. No todos los sucesos están asociados con una cuenta de usuario particular. Muchos sucesos, especialmente los de sistema, no son generados por ningún usuario. Estos sucesos muestran en esta columna No disponible.Este valor corresponde a la descripción del suceso. Equipo. El equipo donde ocurrió el suceso. TEMA

Equipo. El equipo donde ocurrió el suceso.usuario. Estos sucesos muestran en esta columna No disponible. TEMA 5-3 Página. 1-9 Técnicas avanzadas en

No disponible. Equipo. El equipo donde ocurrió el suceso. TEMA 5-3 Página. 1-9 Técnicas avanzadas en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Al hacer doble clic sobre un suceso, veremos una información detallada del mismo. También podemos acceder a esta información pulsando la tecla Enter o desde el menú del visor de sucesos.

Podemos gestionar algunas configuraciones sobre estos tres archivos de sucesos, como el tamaño máximo que queremos que tengan, o establecer un tiempo de caducidad. Para ello, hay que dar botón derecho sobre Aplicación, Seguridad o Sistema en el panel de la izquierda y escoger la opción Propiedades del menú contextual que aparecerá. Desde aquí, también podemos realizar otras opciones como filtrar los sucesos o borrar los archivos.

Desde estas propiedades también indicaremos al sistema la forma en la que queremos que se comporte cuando los registros lleguen a su tamaño máximo permitido. Hay que tener mucho cuidado con esta opción, ya que si estos archivos llegan a su tamaño máximo y le indicamos al sistema que no puede borrarlos, el sistema no permitirá que inicie sesión ningún usuario en nuestro sistema, a excepción del Administrador.

Auditando sucesos.

Hemos visto anteriormente como podemos ver los sucesos que se producen en el sistema, pero la principal utilidad del visor de sucesos es la de auditar nuestros propios sucesos. Existe la posibilidad de añadir a esas listas de auditoria, una serie de sucesos que nosotros establezcamos. Esto se conoce como establecer auditorias sobre dispositivos.

Habremos comprobado anteriormente, que el archivo de sucesos seguridad no tiene ninguna entrada. Este archivo se reserva para las auditorias que nosotros establezcamos. Para comenzar a utilizar estas auditorias de seguridad:

Nos vamos a Herramientas Administrativas – Directivas de seguridad local. (SECPOL.MSC).

Nos vamos a Directivas Locales – Directivas de Auditoria.

Aquí veremos los posibles sucesos que podemos auditar. Por cada suceso, podemos habilitar que se auditen tanto los intentos correctos como los erróneos.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Por ejemplo, para que nuestro sistema audite los inicios de sesión basta que activemos desde SECPOL.MSC – Directivas locales – Directivas de Auditorias – Auditar sucesos de inicio de sesión de cuenta – Correctos. De este modo, cada vez que un usuario inicie sesión en nuestro sistema se crearán varios sucesos en el registro de seguridad de sucesos. (Si marcamos ambos sucesos, los erróneos y los correctos, es normal que se nos produzcan en muchas ocasiones ambos).

La opción que nos aparece en la configuración de seguridad local sobre el acceso a objetos, nos va a permitir auditar el acceso a cualquier objeto del sistema que deseemos. Para comprobarlo, activar

objeto del sistema que deseemos. Para comprobarlo, activar dicha opción (Auditar el acceso a objetos –

dicha opción (Auditar el acceso a objetos – Correcto) en la configuración de seguridad local.

Ahora, creamos una carpeta con nombre VIGILAR por ejemplo, en el systemdrive. Si accedemos a las propiedades de dicha carpeta, pestaña Seguridad – Opciones Avanzadas, (el mismo sitio desde donde cambiábamos la herencia de los objetos) veremos que también tenemos aquí una pestaña Auditoria. En dicha opción de auditoria, podemos indicar si queremos auditar el acceso a este recurso u objeto, e incluso indicar a que usuarios queremos auditar. Para nuestro ejemplo, vamos a insertar en la lista de usuarios de la Auditoria de la carpeta VIGILAR al meta grupo TODOS. (Con lo que auditaremos los accesos a dicha carpeta para todos los usuarios de nuestro sistema).

Cuando hagamos esto, veremos que nos aparece un nuevo formulario, en el que podemos indicar que tipo de acceso queremos auditar para el usuario TODOS en la carpeta VIGILAR.

De este modo, podemos auditar sobre un objeto, los intentos de cambiar sus permisos, de tomar posesión de la misma, de crear carpetas dentro, etc.

Para nuestro ejemplo, vamos a auditar los intentos (tanto correctos como incorrectos) de recorrer carpeta y listar carpeta.

Si ahora nos vamos a el visor de sucesos y miramos en su apartado seguridad, veremos como aparecen varios accesos a la carpeta VIGILAR, indicando que nosotros mismos estamos accediendo a dicha carpeta. Si dejamos la carpeta abierta en una ventana del explorador, veremos además como estamos generando sucesos continuos, pues el explorador relee la carpeta cada pocos segundos.

Esto nos indica que tenemos que tener mucho cuidado a la hora de auditar sucesos, pues es muy fácil que acabemos con una cantidad tal de sucesos auditados que sea casi imposible buscar el que realmente

auditados que sea casi imposible buscar el que realmente TEMA 5-3 Página. 1-11 Técnicas avanzadas en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

queremos ver. Por suerte, tenemos en el visor de sucesos, en sus menús, la opción de buscar un suceso determinado por varios campos.

Vamos a perfilar la auditoria de esta carpeta VIGILAR. Cambiar su auditoria, de tal modo que audite sólo los intentos de acceso de un usuario de vuestro sistema. Abrid sesión como dicho usuario, intentad acceded a la carpeta, y comprobar como se crea el registro de sucesos adecuado.

1.3 Servicios en Windows.

Un servicio es un programa especializado que normalmente desarrolla una función de soporte para otros programas y que corre en segundo plano o Background. Muchos servicios operan a niveles muy bajos (interactuando directamente con el hardware, por ejemplo); por esta razón, suelen ejecutarse directamente por la cuenta de Sistema (una cuenta automática que usa nuestro sistema para ejecutar aplicaciones con privilegios totales), en lugar de ejecutarse desde la cuenta de un usuario particular. Existen muchos servicios que se ejecutan en Windows XP, veamos como podemos verlos, iniciarlos, pararlos, añadir servicios y en general, configurarlos.

De momento, si pulsamos Control – Alt. – Suprimir (para acceder al Administrador de Tareas) y accedemos a los procesos que actualmente están corriendo en nuestro sistema, veremos como se están ejecutando gran cantidad de ellos. La mayoría de dichos procesos son servicios, que XP pone en marcha al iniciar el sistema y solo detiene cuando vayamos a apagar el sistema.

sistema y solo detiene cuando vayamos a apagar el sistema. Para gestionar los servicios, usamos la

Para gestionar los servicios, usamos la consola services.msc (como siempre, podemos ejecutar directamente la consola, o llegar a ella desde Herramientas Administrativas – Servicios.

Esta consola de servicios, ofrece mucha información sobre cada uno de los servicios que actualmente se están usando. Desde esta consola podemos parar, iniciar, detener y reiniciar cualquier servicio. Para ello, basta con dar botón derecho sobre un servicio y escoger la opción deseada desde el menú contextual que aparece.

La mayoría de los servicios son iniciados automáticamente cuando iniciamos el sistema (aunque ningún usuario haya iniciado sesión), y son parados cuando le indicamos al sistema que se cierre. Sin embargo, algunas veces nos podemos ver forzados a parar o iniciar manualmente algún servicio. No todos los servicios permiten que los iniciemos o paremos manualmente, esto suele ser debido a que existen servicios que dependen de otros servicios.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO Otra manera de iniciar o detener un servicio, es utilizar los

Otra manera de iniciar o detener un servicio, es utilizar los comandos NET START y NET STOP desde el símbolo de sistema. El modo de usar estos comandos es NET START/STOP nombre del servicio.

Configurando los servicios.

Para revisar o modificar la forma en que un servicio se inicia, o que sucede cuando no funciona correctamente, podemos acceder a las propiedades de dicho servicio. (Doble clic sobre el servicio en la consola de servicios).

Desde este formulario, podemos modificar una gran variedad de aspectos sobre dichos servicio. En la pestaña general del formulario, podemos especificar las opciones de inicio del servicio. La más interesante es la que se refiere al tipo de inicio. Las opciones son:

Automático. El servicio se inicia conjuntamente con el sistema.es la que se refiere al tipo de inicio. Las opciones son: Manual. El servicio no

Manual. El servicio no se inicia hasta que nosotros (usuario) se lo indiquemos.El servicio se inicia conjuntamente con el sistema. Deshabilitado. El servicio nunca será iniciado. Desde la

Deshabilitado. El servicio nunca será iniciado.no se inicia hasta que nosotros (usuario) se lo indiquemos. Desde la pestaña Iniciar sesión, podemos

Desde la pestaña Iniciar sesión, podemos indicar que el servicio se inicie desde una cuenta de usuario y no desde la cuenta del sistema. En caso de usar esta opción, debemos asegurarnos de que el usuario indicado tiene derecho para iniciar dicho servicio.

Desde la pestaña recuperación, podemos indicar que queremos que se realice si dicho servicio deja de funcionar. (Que re reinicie automáticamente el servicio, que se reinicie todo el sistema, que lo deshabilite, que se ejecute un programa determinado, etc.).

La ultima pestaña, de Dependencias, nos indica si este servicio depende de otro, de modo que podamos ver la jerarquía de servicios, y sepamos que ocurrirá si paramos dicho servicio.

Hay que tener en cuenta, que los nombres de servicios que vemos desde esta consola, no se corresponden normalmente con los nombres de los servicios que vemos desde el administrador de tareas de Windows (pulsando Control – Alt. – Suprimir). Así, veremos en el administrador de tareas que existe un Proceso en funcionamiento denominado SVCHOST.EXE. Este proceso en realidad es el servicio de alerta, como podemos comprobar si hacemos clic sobre dicho servicio y vemos la ruta de

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

ejecución del mismo, que hace referencia al programa SVCHOST.EXE. (Veremos en varios servicios, como todos ellos utilizan el servicio SVCHOST.EXE como servidor (host) para ejecutarse).

También podemos gestionar los servicios desde el símbolo del sistema, mediante las órdenes NET START, NET STOP, NET PAUSE y NET CONTINUE.

Como ejemplo, para que la orden NET SEND mensaje funcione, debemos tener activo el servicio MENSAJERO. Podemos activar dicho servicio desde la consola de servicios o directamente con la orden NET START MENSAJERO. De igual modo, podemos pararlo desde la consola o con NET STOP MENSAJERO. (Probad como funciona dicho NET SEND) ;-)

Hay que tener en cuenta que si dicho servicio lo dejamos en manual, tendremos que iniciarlo siempre cada vez que iniciemos sesión en la maquina. Sin embargo, si lo dejamos en automático, el servicio siempre estará activo, aunque no haya ningún usuario usando nuestra maquina mediante una sesión abierta.

Existen determinados programas, como puede el ICS (Conexión compartida a Internet) que corren como servicios automáticos. Esto permite, que baste con encender nuestro equipo para que dichos programas funcionen, sin que sea necesario que abramos ninguna sesión en la maquina. Esto es una ventaja de Windows 2000 sobre otros sistemas como Windows 98, donde no se ejecuta ningún programa hasta que no comencemos a utilizar directamente el sistema.

Hay que tener mucho cuidado al parar servicios, ya que muchos de ellos son imprescindibles para el funcionamiento del sistema. Sin embargo, en muchos casos es conveniente parar sistemas que sepamos que no son imprescindibles, bien para ganar rendimiento o para solucionar problemas.

Por ejemplo, si tenemos una cola de impresión que se niega a vaciarse, podemos parar un momento el servicio de cola de impresión, para iniciarlo posteriormente, con lo que vaciaremos toda la cola de impresión.

Como hemos visto en este tema, un servicio presenta muchas ventajas sobre un programa normal.

Se inicia automáticamente en cuanto que se enciende el sistema, sin necesidad de iniciar sesión con ninguna cuenta.servicio presenta muchas ventajas sobre un programa normal. Podemos indicar que se ponga en marcha de

Podemos indicar que se ponga en marcha de nuevo si surge algún problema y se para, recuperando dicho servicio.sin necesidad de iniciar sesión con ninguna cuenta. Siempre se va a ejecutar si lo ponemos

surge algún problema y se para, recuperando dicho servicio. Siempre se va a ejecutar si lo

Siempre se va a ejecutar si lo ponemos en Automático.surge algún problema y se para, recuperando dicho servicio. De este modo, podría ser ventajoso poder

De este modo, podría ser ventajoso poder transformar un programa normal y corriente en un servicio. Ahora bien, podemos comprender fácilmente que solo determinado tipo de programas puede ser convertido en un servicio; aquellos que no necesitan interactividad con el operario, puesto que un servicio se va a ejecutar en segundo plano, y no puede emitir formularios por pantalla.

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Desgraciadamente, Microsoft no incluye en su sistema operativo directamente ninguna utilidad que nos permita realizar esta conversión, sin embargo, la propia Microsoft si incluye dicha utilidad (srvany) “Kit de recursos de Windows 2000”. También necesitamos para este fin la utilidad instsrv que nos permite instalar un servicio mediante srvany.

Para ello, copiamos en un directorio (por ejemplo C:\SERV) los archivos necesarios, que podemos bajarnos directamente de Internet realizando una búsqueda sobre srvany download. Estos archivos son: srvany.exe, srvany.wri e instsrv.exe.

Desde un símbolo de comandos, nos vamos al directorio anterior (C:\SERV) y escribimos la orden

INSTSRV MISERVICIO C:\SERV\SRVANY.EXE

Con esto, hemos creado un nuevo servicio, con el nombre que le hayamos indicado (MISERVICIO en este ejemplo, pero puede ser cualquiera) para comprobarlo, ejecutamos la consola services.msc y veremos como efectivamente se ha creado un servicio con el nombre que le hayamos dado. Desde aquí, podemos indicar el tipo de inicio que deseamos para nuestro servicio, la cuenta a la que vamos a asociarlo, etc.

Bien, ahora tenemos que indicar a dicho servicio que es programa es el que queremos que se ejecute como servicio. Para ello, nos vamos al editor del registro del sistema (Regedit) y nos vamos a la ruta HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services y veremos como se ha creado una carpeta con el nombre que le hayamos dado al servicio.

una carpeta con el nombre que le hayamos dado al servicio. Bajo esta carpeta MISERVICIO, tenemos

Bajo esta carpeta MISERVICIO, tenemos que crear una clave con nombres Parameters, y en dicha clave tenemos que crear un nuevo valor alfanumérico con nombre Application. El valor de Application debe ser el nombre del programa que queremos ejecutar como un servicio, utilizando la RUTA COMPLETA del ejecutable.

como un servicio, utilizando la RUTA COMPLETA del ejecutable. TEMA 5-3 Página. 1-15 Técnicas avanzadas en

SISTEMAS INFORMATICOS MONOUSUARIO Y MULTIUSUARIO

Podemos crear también aparte del valor Application, los valores AppParameters y AppDirectory para indicar los parámetros que va a usar el programa y el directorio donde se va a ejecutar el programa. Ambos valores también son alfanuméricos.

Una vez realizado esto, ya tenemos nuestro programa funcionando continuamente en la maquina como servicio. Si queremos poner en marcha o parar el servicio, podemos usar bien la consola que vimos anteriormente (services.msc) o podemos usar las ordenes del símbolo de comandos NET START MISERVICIO y NET STOP MISERVICIO.

Si queremos desinstalar un servicio que hayamos instalado con instsrv podemos utilizar el formato:

INSTSRV MISERVICIO remove

Podemos instalar tantas instancias de srvany como queramos, siempre que utilicemos un nuevo nombre para cada servicio distinto que instalemos.

Normalmente este procedimiento se suele utilizar para transformar en servicios programas que actúan de servidor de algún tipo, ya sea de FTP, Web, News, P2P, etc.

Si el programa que transformamos en servicio no funciona, o no puede ser ejecutado como servicio (cosa que ocurre con algunos programas, por la forma en la que están programados) el servicio podrá ser iniciado, pero se detendrá automáticamente. Asi por ejemplo, un programa tipo emule es casi imposible de correr como servicio (aunque se puede conseguir con mucho esfuerzo) dado que es un programa que cuenta con una pesada interfaz grafica y no esta diseñada para trabajar en segundo plano, sin acceso a la pantalla.