Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Índice de contenido
EJERCICIOS. ...................................................................................................................................9
DERECHOS/PERMISOS DE USUARIOS..................................................................................................12
PERMISOS.....................................................................................................................................14
EJERCICIOS...................................................................................................................................19
EJERCICIOS...................................................................................................................................22
DIRECTIVAS DE GRUPO...................................................................................................................25
EJERCICIOS...............................................................................................................................27
EJERCICIOS...................................................................................................................................30
PERMISOS.....................................................................................................................................30
CONFIGURACIÓN DE PERMISOS.....................................................................................................32
NOTACIÓN SIMBÓLICA...........................................................................................................33
MÉTODO SIMBÓLICO............................................................................................................36
EJERCICIOS..........................................................................................................................37
KONQUEROR. ACL’S................................................................................................................38
EJERCICIOS...............................................................................................................................38
SOLUCIONES EJERCICIOS..................................................................................................................42
USO DE NFS...........................................................................................................................46
EL SERVIDOR NFS....................................................................................................................47
EL CLIENTE NFS......................................................................................................................48
EJERCICIOS...............................................................................................................................49
FINALIDAD DE SAMBA............................................................................................................51
EL SERVIDOR SAMBA.............................................................................................................52
EL CLIENTE SAMBA...............................................................................................................55
EJERCICIOS...............................................................................................................................57
EJERCICIOS DE REPASO...............................................................................................................58
• Además, la identificación de los usuarios debe definirse de acuerdo con una norma
homogénea para toda la organización.
Para evitar estas situaciones, es recomendable anular los permisos de acceso a las
personas que se desvincularán de la organización, lo antes posible. En caso de despido, el
permiso de acceso debería anularse previamente a la notificación de la persona sobre la
situación.
Identificación y Autentificación.
Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos de
técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser
utilizadas individualmente o combinadas:
1. Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o
password, una clave criptográfica, un número de identificación personal o PIN, etc.
2. Algo que la persona posee: por ejemplo una tarjeta magnética.
3. Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas
digitales o la voz.
4. Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
Para cada una de estas técnicas vale lo mencionado en el caso de la seguridad física en cuanto
a sus ventajas y desventajas. Se destaca que en los dos primeros casos enunciados, es frecuente
que las claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro
lado, los controles de autenticación biométricos serían los más apropiados y fáciles de
administrar, resultando ser también, los más costosos por lo dificultosos de su implementación
eficiente.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y
autenticados solamente una vez, pudiendo acceder a partir de allí, a todas las aplicaciones y
datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba
acceder en forma remota. Esto se denomina "single login" o sincronización de passwords.
Una de las posibles técnicas para implementar esta única identificación de usuarios sería la
utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se
encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder.
Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede
tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los
requerimientos de carga de tareas.
Los administradores pueden controlar el acceso a los recursos u objetos en la red. Para ello,
enumera los usuarios y grupos a los que se concede el acceso a un objeto, así como los permisos
específicos asignados a dichos usuarios y grupos. También especifica los sucesos de acceso que se
van a auditar para un objeto. Algunos ejemplos de objetos son los archivos, las impresoras y los
servicios. Al administrar las propiedades de los objetos, los administradores pueden definir
permisos, asignar los miembros y controlar el acceso del usuario.
• Usuarios globales. En un dominio, cualquier servidor que actúa como DC puede crear
cuentas de usuario global, global al dominio. Los datos de una cuenta de usuario global se
almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores
del dominio/bosque.
A un usuario global se le pueden conceder permisos sobre cualquier recurso (archivo,
directorio, impresora, etc.) de cualquier ordenador miembro del dominio, puesto que es
visible (y posee el mismo SID) en todos ellos.
Servidores Windows: Active Directory/en el dominio/users/nuevo user
• Usuarios locales. En este caso, estos usuarios son únicamente visibles en el ordenador en
el que han sido creados. Cuando una persona desea entrar en el sistema utilizando una
cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador.
Además, es importante resaltar que a dicho usuario local no se le pueden asignar
permisos sobre recursos que residan en otro sistema puesto que allí no existe.
Clientes Windows: Panel de control/usuarios y grupos o para ver más posibilidades de
configuración,ejecutar “control userpasswords2”
• Grupos. De forma análoga a los usuarios globales, existen grupos que son almacenados en
el Directorio Activo y que por tanto son visibles desde todos los ordenadores del
dominio. En el directorio pueden crearse dos tipos de grupos: grupos de distribución y
grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de
distribución de correo electrónico, mientras que los segundos son los que se utilizan con
fines administrativos.
Son grupos de seguridad: Grupos locales del dominio, Grupos globales.
Los grupos locales pueden utilizarse para conceder permisos y derechos en el equipo en
que son creados.
Ejercicios.
Red entre iguales o peer to peer: En este caso, los ordenadores son todos iguales, no hay
clientes ni servidores. Cada ordenador comparte recursos y gestiona sus recursos compartidos.
1. Configurar una red Windows entre iguales con las dos máquinas virutales XP. Sigue
los siguientes pasos:
• Iniciar sesión con userXP1 en XP1. Iniciar sesión con ese mismo usuario en XP2.
Comentar los resultados.
• Si quiero que el usuario Pepe pueda iniciar sesión en las dos máquinas de la red,
¿qué tengo que hacer?. Hazlo y documenta el proceso que seguirías para ello.
Red cliente-servidor: En este caso, los ordenadores no son todos iguales, hay clientes y
servidores. Los ordenadores clientes pueden seguir compartiendo recursos en local, pero los
recursos compartidos en red los publica y gestiona el servidor. El servidor dispone de usuarios
globales y recursos compartidos a nivel de red.
3. Crear una red cliente-servidor Windows. Para ello utilizaremos dos máquinas XP ya
instaladas como clientes de la red y debemos instalar y configurar un servidor.
• Instalar una máquina virtual Windows 2003 server.
Derechos/Permisos de Usuarios
Lo que los usuarios pueden y no pueden hacer depende de los derechos y permisos que se les
hayan concedido.
• Los derechos se pueden asignar de forma individual, pero la mayoría de las veces son
característicos de los grupos, y un usuario se asigna a un grupo particular en base a los
derechos que necesita.
• Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos
como archivos, directorios e impresoras.
Por ejemplo: un usuario que no tenga acceso a un equipo, no podrá ver los recursos
compartidos por ese equipo.
Permisos
• Los permisos individuales para las carpetas son: Control Total, Modificar, Lectura y
ejecución, Listar el contenido de la carpeta, Leer, Escribir.
• Los permisos de archivo incluyen: Control total, Modificar, Lectura y ejecución, Leer y
Escribir.
• Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permiso para
hacerlo o si pertenecen a un grupo que tiene permiso concedido.
Incluso en el caso anterior, aunque verá un mensaje de “Acceso denegado” cuando trate
de abrir la carpeta, podrá modificar la propiedad de la carpeta para acceder a ella
mediante el siguiente procedimiento: Propiedades en el menú contextual / Avanzada /
Propietario
Configuración de permisos
2. Para añadir un usuario o grupo, hay que pulsar el botón Agregar. Hay que pulsar dos
veces con el ratón en el nombre del usuario o grupo para abrir el cuadro de diálogo
Entrada de permiso.
3. Para ver o modificar o eliminar los permisos existentes, hay que resaltar el nombre
del usuario o grupo y pulsar el botón Ver o modificar o Quitar.
4. Si el botón Quitar está atenuado, hay que desactivar la casilla de verificación “Hacer
posible que los permisos heredables de un objeto primario se propaguen a este
objeto” y saltar al paso 6
Se puede ver una lista de recursos compartidos, sesiones actuales y archivos abiertos abriendo:
Administración de equipos local/Herramientas administrativas/Carpetas compartidas.
• Se puede expandir Recursos compartidos para ver una lista de las carpetas compartidas e
información sobre cada carpeta.
• Se puede expandir Sesiones en el árbol de la consola para ver información sobre los
usuarios que están actualmente conectados
• Se puede expandir Archivos Abiertos en el árbol de la consola para obtener una lista de
los archivos abiertos actualmente e información sobre ellos
Por ejemplo: Yo usuario Pepe, creo una carpeta y autorizo a Luis sólo a leer su contenido.
Sobre los recursos de los demás, sólo podrá hacer aquello para lo que el propietario del
recurso lo ha autorizado.
¡OJO! El administrador del equipo tendrá acceso a todos los recursos del equipo, sea
propietario o no de los mismos.
Un usuario verá sus recursos compartidos, de los que es propietario y para los que está
autorizado, en cualquier explorador de archivos en documentos compartidos.
Un usuario no podrá ver los recursos de un equipo si no puede acceder a éste. Entonces:
1. Primero: Ver equipos del grupo de trabajo y autentificarse contra el equipo cuyos
recursos compartidos quiere utilizar.
2.1. Si hemos accedido al equipo con un usuario con permisos sobre el recurso,
podremos acceder a él directamente. El tipo de acceso vendrá determinado por
los permisos que tenga ese usuario sobre el recurso.
2.2. Si el usuario para acceder al equipo no tiene permisos sobre el recurso, nos dará
un error.
Ejercicios.
f) Comprobad la red con un ping y viendo los equipos del grupo de trabajo.
2. Crear usuarios:
6. El usuario admonXP1 quiere compartir una carpeta en red. Tendrán acceso a la carpeta
el usuario userRed y user1xp1.
a) Comprobad si los usuarios de la máquina XP1 pueden ver la carpeta y tienen acceso a
ella. Explicad porqué.
a) Indicar los distintos modos de acceder al fichero el usuario user1xp1 y con qué
permisos accedería en cada caso.
Cuando decidamos en dónde crear el objeto, bien en el dominio directamente, bien dentro
de alguna unidad organizativa, accederemos a su menú contextual y en nuevo crearemos el
objeto deseado.
• \recurso: es la ruta completa del recurso desde c:\ que se considera el raíz.
¡OJO¡ Cuando se publica el recurso de esta forma, no se comprueba si realmente existe o no,
por lo que es responsabilidad del administrador el haberlo compartido y que su nombre coincida
con el de la publicación.
• Con un usuario del dominio: mediante búsquedas en el Directorio Activo, como el resto
de objetos del mismo. En este caso es independiente la ubicación del archivo, con el
nombre del recurso compartido es suficiente.
Otros interesantes: net use, net user, net view, net send, net file, ….
Ejercicios.
a) Crear un usuario local, user1XP1 en XP1. Comprobar que no puede ser utilizado
desde XP2.
b) Crear una carpeta compartida, CCXP1, en XP1. Publicar dicho recurso en el dominio.
2. Crear dos usuarios globales en el directorio activo, user1g y user2g. Acceder con uno de
ellos a XP1.
a) Comprobar el acceso con el usuario user1g al recurso compartido CCXP1 desde las
máquinas XP1 y XP2.
3. Crear un grupo llamado Primero, y agregar ambos usuarios globales a ese grupo.
d) Al recurso CCPDC2 quitarle permisos a todos los usuarios del grupo Primero excepto
user3g
5. Crear una carpeta compartida llamada CCadmon en una máquina XP con un usuario
administrador. La carpeta tendrá como únicos grupos con permisos los administradores.
6. Crear un usuario global Pepe en el directorio activo. Iniciar con ese usuario Pepe sesión
en la máquina XP anterior. Comprobar si puedo ver y acceder a la carpeta CCadmon.
7. Otorgar permiso de control total a Pepe sobre la carpeta CCadmon. Comprobar que
8. Dada una red Windows 2003 server, con dos clientes Windows XP (XP1,XP2):
a) Crear una carpeta compartida llamada CCserver en el Windows 2003 server y darla
de alta en el directorio. Utiliza en comando net share.
9. Dada una red Windows 2003 server, con dos clientes Windows XP (XP1,XP2):
a) ¿Un usuario local de XP1 puede acceder a los recursos del dominio?
b) ¿Un usuario global puede acceder a los recursos compartidos localmente en un XP?