La mayor responsibilidad de un administrador de sistemas es como su nombre indica, administrar los servidores de una empresa, organización, ¿en casa? jejeje. Ya que muchos de dichos administradores no suelen encontrarse en el mismo sitio, físicamente, que los servidores que administran, deben entender como hacerlo de forma remota.
Veamos como usar Windows Server 2003 para administrar servidores remotamente, que herramientas utilizar y qué permisos se requieren para éllo. También como administrar las conexiones remotas y porque este aspecto es importante para la administración de un sistema.
——
Pertenencia a grupos usada para administrar
Para la administración de un servidor deben tenerse los permisos apropiados para la tarea a realizar. Es muy importante familiarizarse con los permisos que se asignan a los grupos locales de dominio que permiten a sus miembros llevar a cabo funciones específicas, ya que los usaremos para realizar las tareas administrativas comunes.
Cuando un servidor promociona a controlador de dominio, los grupos íntrinsecos se crean en el servicio de directorio de Active Directory. De forma predeterminada estos grupos poseen permisos predefinidos que determinan las tareas del sistema cuyos miembros pueden llevar a cabo. Estos grupos no pueden suprimirse.
- Administradores. Los miembros del grupo de Administradores pueden realizar todas las funciones compatibles con el sistema operativo. Pueden asignar ellos mismos a cualquier usuario derechos que no tienen de forma predeterminada. La pertenencia a este grupo debe estar dirigida a sólo aquéllos usuarios que necesiten un acceso total. Inicie sesión sólo cuando sea necesario.
Se aconseja precaución sobre la agregación de otros usuarios al grupo de administradores. Por ejemplo, si hay un técnico dedicado a las impresoras en la organización, agréguelo al grupo de Operadores de impresión en lugar del grupo de administradores.
- Operadores de copia de seguridad. Sus miembros pueden realizar copias de seguridad y restaurar todos los archivos mediante la herramienta de copia de seguridad.
- Operadores de cuentas. Sus miembros pueden administrar cuentas de usuarios y grupos. La excepción es que sólo un miembro del grupo de administradores pueden modificar un grupo de administradores o cualquier grupo de Operadores.
- Operadores de servidores. Sus miembros pueden compartir los recursos de disco, iniciar sesión en el servidor interactivamente, crear y suprimir recursos de red, iniciar y detener servicios, formatear el disco duro del servidor y apagar el equipo. Asímismo pueden realizar copias de seguridad y restaurar archivos mediante la herramienta de copia de seguridad.
- Operadores de impresión. Los miembros del grupos de Operadores de impresión pueden instalar las impresoras locales y de red para asegurarse que los usuarios podrán fácilmente conectar y usar recursos de impresión.
Utilizando una variedad de grupos locales de dominio y sus niveles de permisos asociados pueden proteger los recursos de posibles agujeros de seguridad. Un Administrador de sistemas debe siempre pertenecer al grupo más restringido que le proporcione los derechos apropiados y permisos necesarios para cumplir su tarea. Por ejemplo, un administrador de sistema que administra sólo impresoras y realiza copias de seguridad, debe pertenecer sólo al grupo de Operadores de impresión y tener autoridad para la copia de seguridad.
A los miembros de los grupos locales de dominio le son asignados permisos para realizar tareas del sistema, como realizar copia de seguridad de archivos, restaurar archivos, o, cambiar la hora del sistema. Use estos grupos para administrar recursos, como archivos del sistema o impresoras que se ubican en cualquier equipo en el dominio donde sólo se necesitan permisos de acceso común.
Cuando inicia un equipo como miembro del grupo de administradores se corren ciertos riesgos de seguridad. Una simple visita a una página en internet o abrir el adjunto de un correo pueden dañar seriamente el sistema, ya que nunca sabemos si dicha página o correo tienen código malévolo y que se ejecutará en el sistema.