Mes: agosto 2006

Gpresult

Gpresult es otra herramienta de línea de comandos, que nos mostrará un conjunto de directivas que se están aplicando al iniciar sesión en un equipo para un usuario concreto.

El comando muestra los valores y el conjunto de directivas que se aplican (RSoP) para un usuario o un equipo. Podremos ver que valores son efectivos y solucionar problemas.

Su sintaxis es:

gpresult [/s equipo [/u dominio/usuario /p contraseña]] [/usuario Targetusername] [/scope {usuario | equipo}] [/v] [/z]

Parámetro	Descripción
/s equipo	Especifica el nombre o dirección IP del un equipo remoto. No usar backslashes. El equipo predeterminado es el equipo local
/u dominio/usuario	El comando se ejecuta con los permisos del usuario que se especifica. De forma predeterminada se toma al usuario con el que se ha iniciado sesión en el equipo donde se lanza el comando.
/p contraseña	Especifica la contraseña de usuario especificado mediante el parámetro /u.
/user nombre_usuario	Especifica el nombre del usuario del que se extraeran el conjunto resultante de la aplicación de directivas.
/scope {usuario|equipo}	Muestra valores del usuario o equipo. Si se omite el parámetro, muestra los de los dos.
/v	Especifica que la salida mostrará información del valor aplicado.
/z	Especifica que la salida mostrará toda la información sobre la política. Ya que este parámetro muestra más información que /v, esw recomendable redirigirla hacia un archivo de texto cuando se utilice.
/?	Muestra la ayuda referente al comando.

Gpupdate

Gpupdate es una herramienta de línea de comandos que refresca los valores de directiva de grupo local y almacenadas en AD, incluyendo los valores de seguridad. De forma predeterminada las directivas se refrescan cada 90 minutos en un equipo o servidor y cada 5 minutos en un controlador de dominio. Podemos utilizar gpupdate para comprobar las directivas o para aplicarlas de inmediato.

Como herramienta de línea de comandos tiene una sintaxis:

gpupdate [/target:{equipo | usuario}] [/Force] [/Wait:valor] [/Logoff] [/Boot] [/Sync]

Parámetro	Descripción
/Target:{equipo | usuario}	Especifica que sólo los valores de un usuario o un equipo se refrescarán. De forma predeterminada se refrescan ambos
/Force	Aplica todas las directivas de inmediato (forzar su aplicación). De forma predeterminada sólo aquéllos valores que han cambiado se aplican de nuevo
/Wait:valor	Establece el número de segundos a esperar para que el proceso de una directiva finalice. De forma predeterminada son 600 segundos. 0 significa que no se espera. -1 significa que se esperará indefinidamente.
/Logoff	Cierra sesión después de refrescar las directivas. Esto se requiere para algunos casos, como aquéllos clientes que no procesan las directivas en segundo plano y sólo lo hacen al iniciar sesión un usuario, como la instalación de software o la redirección de carpetas. No tiene efecto sin extensiones que requieran cerrar sesión.
/Boot	Reinicia el equipo después del refresco. Parecido al anterior, no tendrá efecto si no hay extensiones que requieran el reinicio
/Sync	El próximo valor de directiva de primer plano se aplicará sincronizadamente. Estas directivas se aplican cuando el equipo inicia y un usuario inicia sesión. Puede especificarse para un usuario, un equipo, o ambos, usando el parámetro /Target. Los parámetros /Force y /Wait se ignoran

Modelo hardware vs software

Software

También denominado cortafuegos-software, es un producto cortafuegos que se vende como un programa que puede instalarse en uno o más sistemas operativos y en una o más plataformas hardware. ISA Server 2004 es un Cortafuegos-Software que puede instalarse en un PC con Windows 2000 Server o Windows Server 2003.
Algunos productos cortafuegos se distribuyen como hardware-software al mismo tiempo por ser un programa software preinstalado en un dispositivo hardware. Checkpoint NG es un cortafuegos software que puede instalarse en PCs con Windows NT, 2000 o Linux, Sun Solaris o IBM AIX o una diversidad de UNIX. Es también la base de los dispositivos cortafuegos de NOKIA.

Nota: ISA Server 2004 también está disponible preinstalado en algunos dispositivos para su venta.

El punto clave es que pueden comprarse como un paquete de software e instalarse en uno de los sistemas operativos compatibles, y que puede servir para otras funciones, además de cortafuegos.
Como su homólogo de hardware, el cortafuegos software tiene ambas ventajas y desventajas.Ya que el cortafuegos software normalmente se ejecuta en un sistema operativo de red estándar de propósito general como Windows, UNIX, LinuX o Solaris,  puede que tengamos un sistema donde poder instalarlo, y con ello ahorrar el costo de compra de nuevo hardware.
Su configuración y administración suele ser fácil, comenzando porque el software se ejecuta en un sistema familiar para su administrador. Otra gran ventaja es la capacidad de actualizar el hardware sin dificultades. Puede añadirse un nuevo procesador o más memoria relativamente con poco gasto. También se puede reemplazar el PC e instalar el software de nuevo (siempre que esté en un sistema sólo y que normalmente lo permite el acuerdo de licencia).
Otra ventaja más es que, en muchos casos, puede descargarse una versión de evaluación del software para probar antes de comprarlo.
Los cortafuegos software también tienen desventajas. Generalmente son más lentos que los basados en hardware, y que al ejecutarse en sistemas operativos estándar, el sistema subyacente puede ser más vulnerable a exploits que un sistema propietario, siempre que no haya sido debidamente fortificado.

Si se quiere crear o ampliar una red, se puede escoger entre varios modelos, en los que se incluye el modelo de infraestructura denominado modelo de dieseño de tres capas. Que es un modelo de red jerárquico descrito por Cisco Systems, Inc. entre otros proveedores y que se utiliza ampliamente como referencia en el diseño de redes.

El proceso a seguir vendría a ser:
– Diseño de la capa de acceso
– Diseño de la capa de distribución
– Diseño de la capa principal

La naturaleza modular que presenta un modelo jerárquico puede simplificar la implementación, la capacidad de planeamiento y la solución de problemas en una red grande. aquí, las capas representan las capas lógicas de funcionalidad dentro de la red. Unas veces, los dispositivos sólo tienen una función; en otras, el mismo dispositivo puede funcionar con dos o más capas.

Diseño de la capa de acceso

Esta es en la que los usuarios se conectan al resto de la red, incluidos los servidores de grupo de trabajo y estaciones de trabajo individuales. Suele incluir un número relativamente grande de puertos de acceso de velocidad baja-media, mientras las otras capas incluyen menos pero de más velocidad. Esta capa debe diseñarse sin olvidar la economía y la eficacia, equilibrando el número de puertos de acceso para el mantenimiento de las solicitudes de acceso dentro de la capacidad de las capas superiores.

Diseño de la capa de distribución

Esta capa distribuye el tráfico de red entre las capas de acceso relacionadas, y separa el tráfico destinado localmente de aquél que se destina a otras capas mediante el núcleo.
Las directivas de control de acceso y de seguridad de red se suelen implementar en esta capa. Los dispositivos de red pueden incorporar tecnologías como servidores de seguridad y traductores de direcciones.
Aquí suelen definirse las subredes, y con dicha definición, los dispositivos de esta capa a menudo lo hacen como enrutadores. Todas las decisiones referente a los métodos de enrutamiento y protocolos de enrutamiento afectan a la escalabilidad y rendimiento de la red en esta capa.
Una red de servidor en la capa de distribución puede albergar servicios de red críticos y servidores de aplicación centralizados. Los equipos que ejecutan Windows Server 2003 se podrán utilizar cpn su servicio de directorio Active Directory, DNS, DHCP y algunos otros servicios de infraestructura principales.

Diseño de la capa principal

Esta capa facilita una transferencia eficaz de datos entre capas de distribución interconectadas. Suele funcionar como el núcleo de alta velocidad de la red. Puede incluir una o más redes LAN, MAN o WAN de alta velocidad.
El principal objetio del diseño consiste en la obtención de rendimiento confiable de red de alta velocidad. Como regla general, buscar cualquier característica que pueda afectar a la confiabilidad o rendimiento de esta capa en una de distribución o de acceso.
Debe seleccionarse un equipamiento confiable y diseñarse un sistema principal tolerante a errores siempre que sea posible. Diversidad de productos cumplen este criterio, y la mayoría de proveedores de red ofrecen soluciones globales que cumplan estos requisitos.

1. Editamos o creamos una directiva.


2. En el árbol de la consola de edición, extendemos Configuración de usuario, Configuración de Windows, y Redirección de carpetas. Se mostrarán los iconos de las cuatro carpetas que pueden redireccionarse.


3. Clic derecho en la carpeta que queremos redireccionar y pulsamos en propiedades.


4. En el cuadro de diálogo de propiedades, ficha configuración, escogemos una de las opciones:




1. Básico – Redireccionar todas las carpetas al mismo lugar compartido en la red. Todas las carpetas a las que afecte esta directiva se almacenarán en el mismo recurso compartido de la red.


2. Avanzado – Redireccionar las carpetas personales basadas en la pertenencia del usuario a un grupo de seguridad de Windows Server 2003. Las carpetas se redireccionan a distintos recursos compartidos dependiendo de la pertenencia a un grupo de seguridad. Por ejemplo, las carpetas de los usuarios del grupo de cuentas se redireccionan al servidor de cuentas, y las que pertenecen a usuarios del grupo ventas van al servidor de ventas.


5. En el cuadro de diálogo propiedades, pulsamos Agregar.


6. Bajo Ubicación destino carpeta, en la ruta raíz, escribimos el nombre del recurso de red compartido a usar, o pulsaremos en examinar para localizarlo.


7. En la ficha configuración, establecemos las opciones que queremos usar y entonces pulsamos en Aceptar.

Se disponen de las siguientes opciones:

• Conceder permiso exclusivo al usuario a Mis Documentos.




• Establecer permisos NTFS para los nombres de usuario a control total para el usuario y system sólo. Esto significa que los administradores y otros usuarios no tendrán acceso a la carpeta. Opción predeterminada.


• Mover el contenido de Mis documentos a la nueva ubicación.




• Se mueve cualquier documento que el usuario tiene en Mis documentos en local al recurso compartido donde se redirecciona la carpeta. Opción predeterminada.


• Dejar la carpeta en la nueva ubicación cuando la directiva se quite.




• Especifica que los archivos permanecerán en la nueva ubicación si la directiva deja de aplicarse. Opción predeterminada.


• Redireccionar la carpeta a su lugar de origen en el perfil del usuario cuando la directiva se quite.




• Especifica que la carpeta se moverá a su ubación original dentro del perfil de usuario, si la directiva no se aplica.

El cuadro de diálogo de las propiedades de Mis documentos además nos ofrece:

– Hacer que Mis imágenes sea una subcarpeta de Mis Documentos.

Cuando la carpeta Mis documentos se redirecciona, Mis imágenes permanece como una subcarpeta de Mis documentos. Esta opción es la prederteminada.

– No especificar política administrativa para Mis imágenes.

La directiva no controla la ubicación de Mis imágenes. El lugar es determinado por el perfil del usuario.

Nota: Debe permitirse al sistema operativo crear el directorio y seguridad para redirección de carpetas. No crear manualmente el directorio definido por nombre de usuario. Redirección de carpetas establece los permisos apropiados en la carpeta. Si se escoge hacerlo manualmente para cada usuario, asegurarse de establecer los permisos correctos.

La redirección de carpetas puede crear carpetas por nosotros, que es la opción recomendada. Cuando usamos esta opción, los permisos son correctamente establecidos de forma automática. Normalmente no es necesario conocer de que permisos se trata. Sin embargo, si las carpetas las creamos nosotros, entonces necesitaremos saber que permisos deben establecerse.

Nota: Aunque no se recomienda, los administradores pueden crear las carpetas redireccionadas antes de que las cree la redirección de carpetas.

Permisos NTFS a establecer a la carpeta raíz:

Cuenta de usuario	Sí, automáticamente	Mín. requeridos
Creador/propietario	Control total, carpeta, subcarpetas y archivos.	Control total, carpeta, subcarpetas y archivos.
Administradores	Sin permisos	Sin permisos
Todos	Sin permisos	sin permisos
System	Control total, carpeta, subcarpetas y archivos.	Control total, carpeta, subcarpetas y archivos.
Grupo de seguridad de usuarios que necesitan dejar datos en el recurso compartido del servidor en la red.	N/A	Listar/leer, crear carpetas/añadir datos. Esta carpeta sólo.
Permisos recurso compartido en red:
Todos	Control total	Sin permisos, usar grupo de seguridad.
Grupo de seguridad de usuarios que necesitan dejar datos en el recurso compartido del servidor en la red.	N/A	Control total
Permisos necesarios para cada usuario a su carpeta redireccionada:
Usuario	Control total propietario de la carpeta.	Control total propietario de la carpeta.
System	Control total.	Control total.
Administradores	Sin permisos	Sin permisos
Todos	Sin permisos	sin permisos

Nota:Cuando las carpetas offline se sincronizan en la red, los datos se transmiten en texto plano. En ese momento son susceptibles de intercepción mediante herramientas de monitorización de redes.

Windows Server 2003 nos permite la redirección de carpetas que son parte del perfil del usuario, desde el disco duro local a una ubicación central en un servidor. Mediante la redirección de estas carpetas pues nos aseguramos que los datos del usuario están centralizados y que disponen de ellos sin importar desde qué equipos inician sesión.

Las carpetas que podemos redireccionar son: Mis documentos, Application Data, Escritorio y menú de inicio. Windows Server crea estás carpetas de forma automática y las integra en el perfil de usuario para cada cuenta.

Cuando redireccionamos carpetas estamos cambiando su lugar de almacenaje, desde el disco duro del equipo del usuario (o del que haya iniciado sesión) a una carpeta compartida en un servidor de archivos de la red. Después de esta redirección el usuario no notará ninguna diferencia y de forma transparente será como si siguiera en el disco duro local.

Teniendo los datos en la red, los usuarios se benefician del aumento de disponibilidad y de la facilidad de copias de seguridad de sus datos, aunque podríamos decir también qué:

• Inicien sesión desde el equipo en que inicien, sus datos estarán disponibles igualmente.
• Al estar en un lugar central se administran y se les hace copia de seguridad más fácilmente.
• Los archivos que contienen las carpetas redireccionadas a diferencia de los que son parte del perfil móvil del usuario, no se copian ni guardan en el equipo donde el usuario inicia sesión. Esto significa que cuando el usuario inicia sesión en un equipo no utiliza espacio para dichos archivos y además tienen la ventaja que pudiendo contener información confidencial no permanecerán el el equipo cliente.
• A los datos almacenados en un recurso de red se les puede realizar una copia de seguridad como parte de la rutina de administración del sistema. Esto es más seguro ya que no necesita la participación del usuario.
• Como administrador, podemos usar directivas de grupo para establecer cuotas de disco, limitando la cantidad de espacio que usan las carpetas especiales de los usuarios.
• Datos específicos de un usuario se pueden redireccionar a un disco duro diferente al que tiene los archivos del sistema operativo en el equipo local. Protegiendo los datos del usuario porsí fuese necesario reinstalar el sistema.

Podemos redireccionar:

• Mis documentos
• Bastante beneficioso ya que la carpeta tiende a hacerse grande con el tiempo.
• La tecnología de archivos sin conexión da acceso al usuario a Mis documentos incluso cuando ni siquiera se está conectado a la red. Útil para aquéllos que usan portatiles.
• Application Data
• Desde una directiva de grupo se controla el comportamiento de Application Data cuando desde la parte de cliente se habilita el caché. Esta directiva sincroniza application data, que está centralizada en un servidor con el equipo local. Como resultado, el usuario puede trabajar tanto online como offline. Si se realiza cualquier cambio en application data, la sincronización actualiza application data en el cliente y en el servidor.
• Escritorio
• Podemos redireccionar el escritorio y todos sus archivos, accesos directos, y carpetas al servidor.
• Menú inicio
• Cuando redireccionamos menú inicio sus subcarpetas también lo son.

Requerimientos para configurar la redirección.

Hay tres valores disponibles para la redirección de carpetas: ninguno, básico y avanzado. Básico es para usuario quienes deben redireccionar sus carpetas a un área común o que necesitan que sus datos sean privados.

Las opciones básicas para la redirección de carpetas:

• Redireccionar la carpeta a la siguiente ubicación
• Todos los usuarios que redireccionan sus carpetas a un lugar común pueden ver o usar el resto de los datos en dicha carpeta, aunque sean de otros. Para hacer esto, se elige básico y se establece el destino de la carpeta para redireccionar la carpeta a la siguiente ubicación. Usaremos esta opción para todas las carpetas redireccionadas qeu contienen datos que no sean privados.
• Crear una carpeta para cada usuario bajo la ruta raíz
• Para usuarios que necesitan que sus carpetas redireccionadas sean privadas, se elige básico y se establece el destino de la carpeta para Crear una carpeta para cada usuario bajo… Esta opción nos servirá para que los datos sean privados a cada usuario.

Si seleccionamos avanzado – especificar ubicación para varios grupos de usuarios, las carpetas son redireccionadas a diferentes lugares basadas en la pertenencia de los usuarios a los grupos de seguridad.

Tenemos las siguientes opciones avanzadas:

• Seleccionar grupo(s). Aquí especificamos a quién deseamos implantar la redirección.
• Destino carpeta. Podemos elegir entre:
• Crear una carpeta para cada usuario bajo la ruta raíz (datos privados)
• Redireccionar al siguiente lugar. (Datos compartidos)
• Redireccionar a la posición del perfil de usuario. (Usar para usuarios que utilizan una forma mixta, equipos que no tienen habiloitado AD y equipos que si lo tienen).
• Ruta raíz. Aquí, especificamos el nombre del servidor y de la carpeta compartida donde queremos redireccionar las carpetas.

Para implementar un script, mediante una directiva y añadirlo al elemento apropiado de la plantilla de la propia directiva. Esto es, para que el script se ejecute durante el inicio, apagado, inicio de sesión o cierre de sesión:

1. Editamos la directiva


2. Desde el editor, navegamos por el árbol de la consola a la Configuración de usuario/configuración de windows/secuencia de comandos(inicio de sesión/cierre de sesión)


3. En el panel de detalles, doble-clic en Inicio de sesión


4. En el cuadro de diálogo de las propiedades de inicio de sesión, clic Agregar.


5. En el cuadro de diálogo de Agregar, configuraremos los valores que queremos usar y pulsamos Aceptar:




1. Nombre del script: Escribiremos la ruta al archivo de comandos o pulsaremos en examinar para ubicarlo en el recurso compartido NETLOGON del controlador de dominio.


2. Parámetros del script: Escribiremos cualquier parámetro que deseamos utilizar de la misma forma que los escribiríamos desde la línea de comandos.


6. Desde las propiedades de Inicio de sesión (clic derecho) podemos configurar:




• Se nos muestra una caja con una lista de todos los scripts que están actualmente asignados en la directiva seleccionada. Si asignamos múltiples scripts, se procesan en el orden que se especificamos. Para mover un script en la lista, usaremos los botones Arriba y Abajo.


• Agregar: pulsaremos agregar para especificar scripts adicionales que deseamos utilizar.


• Modificar: pulsaremos editar para modificar la información del script, nombre o parámetros, NO el contenido del script.


• Quitar: Este botón es para eliminar los scripts seleccionados de la Lista.


• Mostrar archivos: Se nos mostrará los scripts que están almacenados en la directiva seleccionada.

Nota: Los archivos de comandos (scripts) se ejecutan en un contexto de cuenta de usuario y no en el de cuenta de administrador.

Podemos utilizar las directivas para implantar scripts a los usuarios y equipos. Un script es un archivo de lotes o un vbs (Visual Basic Script) que puede ejecutar código o llevar a cabo tareas de administración. Podemos usar los valores de script de las directivas para automatizar el proceso de ejecución de scripts.

Hay valores de script bajo ambas configuraciones, de equipo y de usuario, de la directiva. Podemos usar una directiva para ejecutar un script cuando se inicia o apaga un equipo y cuando un usuario inicia o cierra sesión. Como con todos los valores de directiva podemos configurar el script en la directiva una vez y Windows Server 2003 aplicarlo e implementarlo continuamente por toda tu red.

¿Cuales son los valores de script de directiva?

Estos valores podemos usarlos para centralizar la configuración de los scripts y ejecutarlos en las situaciones mencionadas. Podemos especificar cualquier script que funcione en Windows Server 2003, archivo de lotes, ejecutables y cualesquiera script compatible por Windows Script Host (WSH).

Para ayudarnos a administrar y configurar el entorno de los usuarios, podemos:

• Ejecutar scripts que lleven a cabo tareas que no podemos hacer por medio de otros valores de directiva. Por ejemplo, entorno de usuario con conexiones de red, conexiones de impresoras, accesos directos a aplicaciones y documentos corporativos.


• Limpiar los escritorios cuando los usuarios cierran sesión o apagan el equipo. Podemos quitar conexiones que se hayan añadido con otros scripts de inicio y dejar el equipo en el mismo estado antes de que iniciase sesión el usuario.


• Ejecutar scripts ya existentes para gestión del entorno de usuarios hasta que configuremos otros valores de directiva que los replacen.

Nota: Desde usuarios y equipos de Active Directory, podemos asignar scripts de inicio de sesión individualmente a cuentas de usuario en el cuadro de diálogo de propiedades para cada cuenta. Sin embargo, implantarlos con directivas es preferible para la ejecución de scripts, porque podemos administrarlos de forma centralizada, junto al inicio, apagado, y cierre de sesión.

Centro de Scripts de Microsoft http://www.microsoft.com/technet/scriptcenter/default.mspx

Los pasos de edición son sencillos:

1. En el árbol de la consola de administración de directivas, navegamos a los objetos de directiva.


2. Clic derecho sobre una directiva y después clic en Editar.


3. Desde el Editor de directivas vamos al valor que deseamos editar y doble-clic sobre el mismo.


4. En el cuadro de diálogo de propiedades, configuramos el valor y pulsamos en Aceptar.