1
Download ISO. Tema 1 - Moodle IES Romero Vargas
Document related concepts
Transcript
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
CONTENIDO
INSTALACIÓN Y ADMINISTRACIÓN DE UN S.O. CLIENTE tipo Windows......... 3
Versiones de Windows 7.......................................................................................................... 3
La interfaz de Windows 7. ...................................................................................................... 4
Instalando y Configurando Windows 7. ................................................................................ 5
Revisión de la compatibilidad Hardware y Software. .......................................................................... 5
Posibilidades de la Instalación. ............................................................................................................. 5
Instalación Limpia. ............................................................................................................................... 6
La partición de 100 MB. ..................................................................................................................... 13
Instalar Windows 7 en una partición compartida por otro SO. ........................................................... 14
El proceso de arranque de Windows 7. ............................................................................... 14
Activación y validación de Windows 7................................................................................. 15
Activando una copia retail de Windows. ............................................................................................ 15
Seguridad en Windows 7. ...................................................................................................... 17
Características de Windows 7 para la seguridad. ............................................................................... 18
Seguridad, autentificación y autorización. .......................................................................................... 19
Gestión de cuentas de usuario y grupos. ............................................................................................. 20
Identificador de seguridad o SID. ....................................................................................................... 29
Listas de Control de Acceso (ACL).................................................................................................... 32
Herencia. ............................................................................................................................................ 33
Propiedad. ........................................................................................................................................... 36
Permisos ............................................................................................................................................. 38
Redes en Windows 7. ............................................................................................................. 39
Configuración de Red. ........................................................................................................................ 39
Recursos compartidos. ........................................................................................................................ 43
Restauración del sistema. ...................................................................................................... 57
Configuración del inicio del sistema. ................................................................................... 59
Administrador de Tareas. ..................................................................................................... 62
Asistencia Remota.................................................................................................................. 62
TEMA 4
Página. 1
I.E.S. Fco. Romero Vargas.
I.S.O. Instalación y administración de un SO cliente. 7.
José Antonio Carrasco Díaz.
© Creative Commons
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Escritorio Remoto. ................................................................................................................. 64
Cuestión de cuotas de disco................................................................................................... 66
Enlaces blandos y duros. ....................................................................................................... 67
Compresión y encriptación de archivos............................................................................... 69
Puntos de montaje ................................................................................................................. 70
TEMA 4
Página. 2
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
INSTALACIÓN Y ADMINISTRACIÓN DE UN S.O. CLIENTE TIPO WINDOWS
Entendemos como sistema operativo cliente al sistema que no está diseñado para actuar como servidor
en un sistema informático, sino que desempeña el papel de sistema cliente conectado a un servidor. Estos
sistemas operativos permiten trabajar tanto de forma separada sin conectarse a un servidor, como de
forma conjunta uniéndose a un sistema informático mayor que cuente con un servidor.
Como sistemas operativos clientes típicos podemos citar entre muchos a los siguientes:
Windows 10
Windows Vista
Windows 7
Windows 8
Linux (Ubuntu, LinuxMint, etc.).
Mac OS
De momento, en este tema vamos a ver como instalar y administrar someramente el sistema operativo
Windows 7 en su versión Professional. Muchos de los conceptos que veremos son compatibles con
cualquier otro sistema operativo de Microsoft, y algunos otros conceptos son incluso universales. No
vamos a estudiar Windows 10 ya que en el terreno empresarial W7 es el más usado con mucha diferencia.
VERSIONES DE WINDOWS 7
Para comprobar nuestra versión actual de Windows 7 tenemos que acceder al panel de sistema. Podemos
acceder a esta pantalla desde Panel de Control y dentro elegir Sistema, o bien pulsando botón derecho
del ratón sobre Mi PC (o equipo) y eligiendo la opción Propiedades, o bien pulsando la combinación de
teclas Windows + Pausa.
Las tres versiones principales de Windows 7 son las siguientes:
Windows 7 Home Premium.
Windows 7 Professional.
Windows 7 Ultimate.
TEMA 4
Página. 3
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Windows 7 Home Premium es la versión que se suele montar en los sistemas dirigidos al usuario medio y
tiene capadas algunas características como el escritorio remoto.
Windows 7 Professional es la versión que se suele montar en los sistemas dirigidos al sector profesional y
tiene capadas algunas características multimedia como el servidor de contenidos multimedia.
Windows 7 Ultimate. Tienes todas las características posibles.
Aparte de estas tres versiones principales, Microsoft también ha lanzado algunas versiones un tanto
extrañas, como:
Windows 7 Starter.
Windows Home Basic.
Windows 7 Starter no tiene interfaz Aero (efectos gráficos) y solo puede ejecutar 3 programas en
multitarea como máximo.
Windows Home Basic no tiene interfaz Aero aunque la multitarea es total.
LA INTERFAZ DE WINDOWS 7.
Windows 7 presenta una interfaz con algunas modificaciones importantes sobre versiones anteriores de
Windows.
La barra inferior de Windows es muy parecida a la antigua, con el botón de inicio a la izquierda, un reloj y
algunos iconos de programa a la derecha, y espacio libre en medio para alojar los iconos que representan
programas. Estos iconos son algo más grandes en Windows 7 y permiten realizar dos funciones, ejecutar
programas y cambiar entre los programas en ejecución. Podemos llevar cualquier icono de programa a la
barra, de modo que este siempre disponible, aunque el programa no esté en ejecución, y podemos
arrastrar los iconos de la barra para ordenarlos como mejor veamos.
Cuando movemos el cursor del ratón sobre un botón de la barra que representa a un programa en
ejecución, el interfaz Aero nos muestra una previsualización en pequeño de cada ventana asociada a dicho
botón. Si movemos el cursor a una de dichas visualizaciones se ocultarán todas las ventanas del escritorio
para mostrarnos únicamente la ventana seleccionada.
Haciendo clic con el botón derecho sobre estos botones obtendremos un menú que nos permite realizar
varias cosas, como abrir un documento cerrado anteriormente, abrir una nueva ventana, crear un nuevo
documento, etc.
El interfaz general de Windows 7 es muy configurable, permitiéndonos establecer comportamientos para
multitud de componentes. Podemos acceder a estas opciones desde Panel de Control – Apariencia y
personalización.
Dos opciones que merece la pena destacar sobre la interfaz de Windows 7 son:
Búsqueda de ficheros. Podemos escribir en cualquier ventana del explorador de archivos el nombre de
cualquier fichero que deseemos, y Windows 7 localizará dicho fichero. Podemos refinar estas búsquedas
para buscar por contenido, indexar localizaciones, almacenar búsquedas, etc.
TEMA 4
Página. 4
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
El botón de inicio. Podemos simplemente pulsar en el teclado la tecla Windows y a continuación escribir
el nombre de cualquier programa que queramos ejecutar, veremos cómo Windows localiza dicho
programa (muchas veces basta con introducir algunos caracteres) y nos permite lanzarlo directamente
con la tecla Intro. Esta opción también nos permite buscar documentos y no está limitada a buscar por
cadenas literales desde el inicio, sino que podemos buscar por cualquier parte del nombre, e incluso
buscar dentro de los documentos el texto deseado.
INSTALANDO Y CONFIGURANDO WINDOWS 7.
Antes de instalar cualquier sistema operativo, es conveniente asegurarnos de que los componentes de
nuestro hardware cumplen los requisitos mínimos de dicho sistema. Si lo instalamos en un sistema
moderno, no debería haber muchos problemas, pero en sistemas más antiguos si podemos encontrarnos
con incompatibilidades.
En concreto, los requisitos de hardware de Windows 7 son los siguientes:
Procesador de 32 bits (x86) o 64 bits (x64) a 1 gigahercio (GHz) o más.
Memoria RAM de 1 gigabyte (GB) (32 bits) o memoria RAM de 2 GB (64 bits).
Espacio disponible en disco duro de 16 GB (32 bits) o 20 GB (64 bits).
Dispositivo gráfico DirectX 9 con controlador WDDM 1.0 o superior.
REVISIÓN DE LA COMPATIBILIDAD HARDWARE Y SOFTWARE.
Una vez hemos determinado que los componentes del equipo cumplen los requisitos mínimos necesarios
para la instalación, debemos asegurarnos de que el hardware del equipo es compatible con Windows XP
antes de lanzar la instalación.
Una forma de hacerlo consiste en consultar la Lista de Compatibilidad de Hardware (HCL) en el sitio web
de Microsoft http://www.microsoft.com/windows/compatibility/windows-7/es-es/default.aspx
También podemos encontrar un asistente de compatibilidad en el propio disco de instalación de Windows
7.
POSIBILIDADES DE LA INSTALACIÓN.
Hay una serie de decisiones que debemos tomar antes de la instalación de Windows 7:
Edición de Windows 7 a instalar: Ya explicamos anteriormente las diferencias entre versiones. Si no
introducimos la información de registro a la hora de instalar Windows 7, Microsoft nos permitirá usar
durante 30 días el sistema sin ningún tipo de limitación. Esto puede servirnos para probar varias versiones
y escoger la que más nos convenga.
Instalación nueva o actualización: Una instalación nueva comienza desde cero, deberemos reinstalar
todos nuestros programas y configuraciones. Una actualización a Windows 7 necesita que en la maquina
tengamos ya instalada una versión anterior de Windows. Es altamente recomendable instalar siempre un
sistema desde cero, ya que si actualizamos el sistema resultante no será 100% estable en la mayoría de
las ocasiones. (Ejemplo de actualizaciones: http://www.youtube.com/watch?v=vPnehDhGa14)
TEMA 4
Página. 5
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Particionado del disco duro: Durante la instalación podremos crear y borrar particiones de cualquiera de
nuestros discos duros. Debemos escoger donde vamos a instalar Windows 7. Por defecto, veremos como
W7 intenta crear una partición primaria inicial en el disco para instalar todos sus archivos de arranque.
Como invocar el proceso de instalación: Podemos iniciar el sistema directamente desde nuestro disco de
instalación, modificando la BIOS si es necesario para que arranque el sistema desde allí. También es
posible introducir el disco de instalación en nuestro Windows anterior sin tener que reiniciar la máquina
y escoger la opción de instalar Windows 7.
Entre ambas opciones existen diferencias importantes:
Si ejecutamos la instalación desde un Windows
anterior, introduciendo el DVD de Windows 7.
Si ejecutamos la instalación arrancando el
sistema desde el DVD de Windows 7.
Podemos actualizar una versión anterior de
Windows a Windows 7.
No podemos actualizar una versión anterior de
Windows.
Podemos reinstalar Windows 7.
No podemos reinstalar Windows 7.
Podemos ejecutar un asistente que nos permite
comprobar la compatibilidad con Windows 7 el
hardware y el software actual.
No podemos acceder al asistente.
Podemos instalar Windows 7 en la misma unidad
que otro Windows.
Podemos instalar Windows 7 en la misma unidad
que otro Windows.
No podemos modificar las particiones el disco
duro.
Podemos crear y borrar particiones de cualquier
disco duro.
INSTALACIÓN LIMPIA.
Este tipo de instalaciones es el más simple y el comúnmente recomendado. Debemos conseguir que el
ordenador arranque y cargue directamente desde el DVD de Windows 7, impidiendo que arranque desde
el disco duro por si acaso en este hay algún otro sistema operativo.
Debemos estar atentos en el inicio del sistema, ya que normalmente deberemos pulsar una tecla para
que el equipo arranque desde el DVD.
Si el equipo no arranca desde el DVD, deberemos acceder a la BIOS y modificar el orden de arranque del
sistema. Sí nos encontramos con un equipo que no cuente con una unidad óptica (netbooks por ejemplo)
deberemos intentar arrancar usando el puerto USB, bien con una lectora de DVD externa, o bien
directamente desde una memoria USB donde deberemos haber copiado antes el DVD de Windows 7.
(Buscando en google podremos encontrar bastante tutoriales que nos indican como conseguir transferir
el arranque desde el DVD hasta la memoria USB).
Una vez conseguido arrancar el sistema desde el DVD, veremos un par de pantallas que nos permiten
indicar nuestras preferencias en cuanto al idioma.
TEMA 4
Página. 6
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Posteriormente veremos el EULA (End User License Agreement) o lo que es lo mismo, la licencia de uso
del sistema operativo Windows 7. Debemos indicar que estamos de acuerdo con la misma para proseguir
con la instalación.
Accederemos entonces a una pantalla donde podremos elegir el tipo de instalación que deseamos
realizar.
TEMA 4
Página. 7
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Como hemos iniciado el sistema desde el DVD la opción para actualizar el sistema no funcionara, y si
intentamos seleccionarla obtendremos un error. Debemos seleccionar la opción Personalizada (avanzada)
para continuar con nuestra instalación desde cero.
A continuación, el sistema nos preguntará donde queremos instalar Windows 7.
En este ejemplo vemos como el sistema solo cuenta con un único disco duro (disco 0) de 60 GB y que está
totalmente limpio (60 GB de espacio disponible). Si quisiéramos elegir una partición en concreto, crearla,
modificarla o eliminarla debemos escoger Opciones de unidad.
Vemos como ahora si nos permite seleccionar las opciones para Eliminar, Formatear, crear una partición
Nueva e incluso Extender una partición. Una vez creada la partición y seleccionada, pulsamos Siguiente.
TEMA 4
Página. 8
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Windows 7 intenta crear siempre una partición inicial para arranque del sistema de 100 MB. Esta partición
le sirve para almacenar los ficheros necesarios para iniciar el sistema. En caso de que sea imposible crear
esta partición, W7 instalará dichos ficheros en la propia partición donde se instala.
El DVD de Windows 7 contiene drivers (controladores) para las controladoras de disco duro más usadas,
pero podría darse la circunstancia de que el driver que utilizamos no esté incluido entre ellos. Esto hará
que W7 no pueda reconocer nuestro disco duro, y por lo tanto no aparecerá en la lista de unidades. Si se
diera este caso, vemos como hay una opción que nos permite solucionar esto: Cargar controlador. Esto
nos permite guardar el driver de la controladora en una unidad USB (normalmente lo descargaremos
desde Internet o bien lo sacaremos del CD de instalación de la placa base).
Una vez que hemos seleccionado el disco duro y la partición del mismo donde queremos instalar Windows
7, el programa de instalación comenzará a copiar los ficheros del DVD a la partición y descomprimirlos.
Una vez realizado esto configurará nuestro Hardware y realizará todas las tareas necesarias para instalar
Windows 7. Es el proceso que más tiempo ocupa y no necesita de la intervención del usuario en ningún
momento.
TEMA 4
Página. 9
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Una vez terminado el proceso anterior, Windows 7 solicitará al usuario algunos datos muy importantes.
El nombre de usuario que nos pide en este momento será el nombre de la primera cuenta creada en el
sistema. Dicha cuenta contará con permisos de administración del sistema, ya que será miembro del
grupo Administradores. El nombre de equipo se recomienda que sea conciso. Hay que evitar que el
nombre del equipo sea también el nombre de una cuenta de usuario.
A continuación, podremos introducir una contraseña para el usuario creado. Aunque no es obligatorio es
muy recomendable. (Punto importante: Un Administrador de Sistemas NUNCA debe olvidar una
contraseña, así que mucho cuidado en este punto).
Al igual que es muy recomendable utilizar contraseñas, no es nada recomendable utilizar el campo que
nos permite indicar un indicio de la contraseña, ya que este campo es público y puede ser visto por
cualquier usuario, que en un momento dado podría llegar a adivinar nuestra contraseña a partir de la
información que escribamos aquí como indicio. Dado que Windows 7 no nos permite dejar este campo
en blanco se aconseja escribir algunos caracteres al azar.
TEMA 4
Página. 10
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Ahora W7 nos pedirá que introduzcamos una clave de producto (Product Key). Esta clave será validada
contra un servidor de Microsoft una vez que tengamos activa la conexión a Internet de nuestro ordenador.
No es un campo obligatorio en este punto de la instalación, y podemos dejar dicho campo en blanco y
desactivar la casilla Activar Windows automáticamente cuando esté conectado. Esto nos permitirá usar
W7 durante unos 30 días sin tener que introducir ninguna clave. Pasados estos días de prueba, o bien
introducimos una clave valida o será imposible seguir usando Windows 7.
A continuación, W7 nos permite configurar las actualizaciones automáticas. (Muy recomendable escoger
la primera opción por motivos de seguridad).
Si no activamos estas actualizaciones automáticas, nuestra máquina no descargará los parches de
seguridad que vayan siendo lanzados por Microsoft, de modo que nuestro sistema será vulnerable a todos
los exploits o agujeros de seguridad que vayan siendo descubiertos en el software de nuestra máquina.
TEMA 4
Página. 11
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
En la siguiente pantalla W7 nos permite elegir nuestra zona horaria y la hora y fecha actuales.
Ahora Windows 7 puede presentarnos diversas pantallas, según sea capaz de reconocer nuestra red y
conectarse automáticamente a Internet o no. Es posible por ejemplo que en este punto nos pregunte la
clave de nuestra red Wifi para poder conectarse, o que nos muestre un mensaje indicando que no esta
disponible ninguna conexión a Internet.
Si vemos la anterior pantalla, es que la conexión ha podido ser realizada sin problemas. Las dos primeras
opciones nos permiten conectarnos a la red sin ningún tipo de problemas.
La opción de Red doméstica permite además configurar un grupo de trabajo para compartir nuestros
documentos.
La opción de Red de trabajo no configura automáticamente dicho grupo de trabajo.
La opción Red pública le indica a W7 que estamos conectados en un entorno inseguro (una Wifi pública
en la calle, por ejemplo) y activa un sistema de seguridad mayor que no permite compartir documentos y
nos protege de posibles ataques.
TEMA 4
Página. 12
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Vemos aquí la pantalla que nos muestra W7 si le indicamos que queremos pertenecer a una Red
doméstica. Podemos seleccionar los tipos de documentos que queremos compartir automáticamente y
definir una contraseña para proteger la conexión. Si ponemos esta misma contraseña en varios equipos
de W7 tendremos montada una red doméstica bastante funcional y sin tener que configurar nada en los
equipos. (Todos los equipos deben ejecutar Windows 7).
LA PARTICIÓN DE 100 MB.
Si instalamos Windows 7 en un disco duro sin particiones, veremos que crea una partición de 100 MB y la
reserva para el sistema. A esta pequeña partición no se le asigna ninguna letra de unidad así que el usuario
normalmente ni siquiera se da cuenta de que esta creada a menos que usemos el gestor de discos
(DISKMGMT.MSC).
Esta partición sirve para dos funciones. En primer lugar, almacena los ficheros de inicio del sistema y la
base de datos de configuración del inicio (BCD). En segundo lugar, almacena la información requerida para
usar la encriptación de volúmenes BitLocker (se explicará posteriormente).
TEMA 4
Página. 13
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Si decidimos que nunca vamos a usar la encriptación de volúmenes podemos evitar que W7 cree esta
partición, pero para ellos deberemos crear las particiones con un programa distinto al que viene incluido
en el DVD de instalación de W7. Si al instalar le indicamos que use una partición ya creada anteriormente,
W7 no creará la partición de 100 MB.
INSTALAR WINDOWS 7 EN UNA PARTICIÓN COMPARTIDA POR OTRO SO.
Una opción muy interesante que Microsoft añadió a Windows Vista y que sigue presente en Windows 7
es la de permitir instalar Windows en una partición donde ya existe una versión de Windows, pero sin
actualizarla, sino desde la instalación limpia.
El programa de instalación de W7 moverá automáticamente los directorios Windows, Archivos de
programas y Usuarios a una carpeta nueva con el nombre de Windows.old.
Esto nos permitirá tener nuestro nuevo sistema W7 instalado desde cero, pero sin tener que sacar copias
de seguridad de los datos del Windows anterior. Simplemente tendremos que acceder a esta carpeta
Windows.old e ir copiando los archivos que nos interesen a sus nuevas ubicaciones.
Es importante hacer constar que ese Windows antiguo no podrá volver a ser usado para arrancar el
sistema, solo se guarda para asegurarnos de no perder nada y no tener que sacar copias de seguridad a
un medio externo normalmente muy lento.
Una vez que hemos recuperado todos los archivos deseados, podemos borrar esa carpeta Windows.old
sin ningún tipo de problemas.
EL PROCESO DE ARRANQUE DE WINDOWS 7.
En un tema anterior ya vimos cómo era el proceso de arranque de Windows 7, pero sin incluir todas las
opciones del mismo. Vamos a ver ahora dicho proceso añadiendo estas opciones:
1) BOOTSTRAP – POST – MBR. (Todo este sistema ya lo hemos estudiado ampliamente).
2) El MBR lee el sector de arranque de la primera partición activa. Este sector de arranque carga el
programa Bootmgr.
3) Bootmgr lee el contenido de la base de datos BCD, que contiene información sobre la
configuración de todos los sistemas operativos instalados en el equipo. Si es necesario muestra
un menú por pantalla para que el usuario pueda escoger el SO a cargar.
4) Cuando escojamos una opción de este menú (o el sistema lance automáticamente la entrada del
menú por defecto) el sistema realizara una de las siguientes acciones:
a. Si escogemos un SO Windows 7 o Vista, Bootmgr ejecuta Winload.exe desde el
directorio %SystemRoot%\System32.
b. Si el sistema comprueba que hemos hibernado Windows 7 o Vista, Bootmgr ejecuta el
programa Winresume.exe y restaura la sesión hibernada.
c. Si escogemos una versión anterior de Windows, Bootmgr le cede el control al programa
Ntldr.exe, que a su vez leerá el fichero boot.ini y puede mostrarnos por pantalla un
menú para elegir entre distintos Windows (todos anteriores a Vista).
El programa Winload.exe que se encarga de ejecutar Windows 7, comienza ejecutando los programas que
se encargan de cargar el núcleo (Ntoskrnl.exe y Hal.dll), leyendo las configuraciones del registro de
Windows, y cargando los drivers necesarios para inicializar el hardware. A continuación, inicia la aplicación
TEMA 4
Página. 14
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
que se encarga de iniciar nuestro propio Windows 7 (Wininit.exe) que a su vez inicia un programa que se
encarga de gestionar toda la seguridad local (Lsass.exe) y también inicia un programa que se encarga de
iniciar los servicios (Services.exe). Una vez ejecutados todos estos procesos, el sistema ya está preparado
para que iniciemos sesión en el sistema (o lo que es lo mismo, que hagamos login en el sistema).
ACTIVACIÓN Y VALIDAC IÓN DE WINDOWS 7.
Vimos como la instalación de Windows 7 nos pedía una clave de producto (Product Key). Estas PK son
cadenas de 25 caracteres alfanuméricos que son únicas por cada equipo en todas las versiones de las
claves menos en las de licencia por volumen.
Esta clave de producto viene ya introducida en cualquier copia de Windows que venga ya preinstalada al
comprar un ordenador nuevo. Si usamos el DVD de Windows 7 suministrado por el fabricante
comprobaremos que no nos pide de nuevo la clave.
Cada clave es dependiente de la edición de Windows adquirida. Es decir, al introducir la clave el propio
sistema sabe si dicha clave es para un Windows 7 Professional, Home, etc. Si introducimos una clave que
no pertenece a la versión de Windows 7 que estamos instalando, el sistema nos indicara que dicha clave
es incorrecta.
Vimos en el punto anterior referente a la instalación de Windows 7 como no era obligatorio introducir la
clave en el momento de la instalación. Podremos usar la copia instalada de Windows 7 sin ningún tipo de
restricciones durante 30 días. Antes del fin de este periodo de prueba debemos entrar una PK valida y
activar nuestra copia de Windows en Internet. Si no activamos W7 el sistema nos pedirá que lo activemos
(cada vez de forma más vehemente) hasta que nos impida utilizarlo por completo.
Existe una forma de ampliar el periodo de prueba de 30 a 60 días, llegando incluso a ampliarlo hasta 120
días. Para hacer esto debemos abrir el prompt del sistema (cmd) con permisos de administrador y escribir
el siguiente comando: slmgr –rearm. Cuando completemos este comando debemos reiniciar el sistema
y veremos como el sistema nos permite seguir usándolo 30 días más. Este “truco” podemos utilizarlo
hasta un total de 3 veces, con lo que conseguimos un periodo de prueba de 120 días.
ACTIVANDO UNA COPIA RETAIL DE WINDOWS.
Desde Windows XP Windows obliga a que activemos online cualquier copia de Windows, ya sea
conectándonos por Internet al servidor de activaciones de Microsoft (proceso transparente para el
usuario) o bien mediante una llamada telefónica gratuita a una centralita automatizada de Microsoft.
Cada licencia de Windows 7 normalmente admite ser activada en un único equipo, y al activarlo online en
el servidor de activación de Microsoft queda almacenado un registro con la clave de licencia introducida
y un código que identifica a nuestro ordenador. Si intentamos activar Windows en otro equipo con esa
misma licencia, se detectará en el servidor de activaciones que ya existe un registro con esa clave y que
está asignada a un equipo distinto al que estamos usando.
Existen licencias especiales de Microsoft que permiten ser activadas en más de un equipo al mismo
tiempo. Unas son las conocidas como licencias para la familia, que permiten ser activadas en 3
ordenadores distintos con un coste inferior al que representaría comprar 3 licencias retail.
TEMA 4
Página. 15
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Otras licencias que permiten ser activadas varias veces son las licencias por volúmenes, normalmente
usadas por las empresas.
Hemos comentado que en los servidores de activación de Microsoft queda almacenado un registro donde
se almacenan la clave de la licencia y un código que identifica nuestro ordenador. Si cambiamos alguna
pieza importante de nuestro ordenador, cuando lo iniciemos y el sistema se conecte online detectará que
el código del ordenador ha cambiado. Normalmente no tendremos ningún problema con esto, pero si el
servidor de activaciones entiende que hemos cambiado varias veces de equipo, nos pedirá que
reactivemos nuestra copia de Windows rellenado un simple formulario y si las anomalías continúan
poniéndonos en contacto telefónico con un operador mediante un número de teléfono gratuito.
La licencia retail nos permite borrar Windows de un equipo e instalar Windows en un equipo nuevo, esto
será tratado por el servidor de activaciones de Microsoft y no nos mostrará ningún mensaje, siempre y
cuando el antiguo equipo nunca intente activarse con la clave de Windows que estamos usando en
nuestro nuevo equipo. Es por esto que si usamos una clave de W7 para activar más de un equipo será
rápidamente detectada por Microsoft, y normalmente dicha clave pasará a la lista negra de claves y
quedará inutilizada.
Las licencias OEM no permiten borrar Windows de un equipo e instalarlo en otro. Si el servidor de
activaciones detecta una licencia OEM que ha cambiado de equipo directamente la considerará inválida.
Nuestros equipos se ponen en contacto habitualmente con estos servidores de activación de Microsoft,
es decir, que no se limitan a conectarse en el proceso de activación, sino que la comunicación es bastante
frecuente.
Si nuestra clave se desactiva en alguna de estas comprobaciones, comprobaremos como el fondo de
pantalla se queda en negro, un mensaje recordándonos que tenemos que activar el sistema ya que este
no es una copia genuina de Windows aparecerá en el escritorio, y un formulario pidiéndonos que
activemos el software aparecerá de vez en cuando en primer plano. Al mismo tiempo las actualizaciones
automáticas quedaran restringidas, permitiendo únicamente descargar los parches de seguridad. A pesar
de todo esto, la copia de Windows podrá seguir siendo usada durante un tiempo, y en algunas ocasiones
Microsoft puede permitir que estas copias puedan ser usadas indefinidamente.
Para comprobar si nuestro Windows 7 es original y está activado, podemos acceder a las propiedades del
Sistema (Windows + Pausa).
TEMA 4
Página. 16
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
SEGURIDAD EN WINDOWS 7.
Windows 7 es el sistema operativo más utilizado en la actualidad, esto conlleva que es el sistema
operativo más atacado. En un entorno doméstico no tenemos por qué preocuparnos excesivamente de
la seguridad del sistema, pero en un entorno empresarial la seguridad cobra un papel importantísimo.
Windows 7 es un sistema mucho más seguro que versiones anteriores de Windows como XP. El sistema
ha sido diseñado y su arquitectura modificada para conseguir esto.
Cuando hablamos de amenazas a la seguridad de nuestro sistema, normalmente nos estamos refiriendo
a virus, gusanos, troyanos y spyware (software espía).
Virus. Es un programa que se auto replica, normalmente incrustándose en otros ejecutables. La
infección se extiende cuando un usuario lanza un ejecutable que ha sido infectado, momento en
el que el virus aprovecha para incrustarse en más ejecutables del sistema atacado. Hoy en día no
son una gran amenaza, ya que son fácilmente detectados por los antivirus.
Gusanos. Son programas que se replican de un ordenador a otro utilizando la red. Son mucho
más peligrosos que los virus ya que los antivirus no son demasiado efectivos contra ellos, sin
embargo, necesitan para su funcionamiento que tengamos abierto un puerto en nuestro sistema
y que ese posea un fallo de seguridad importante para que el gusano pueda introducirse. Si
nuestro sistema esta actualizado es bastante improbable que seamos atacados por un gusano.
Troyanos. Son programas que se introducen en nuestro sistema con permiso del usuario. Suelen
hacerse pasar por programas inofensivos y son los más peligrosos hoy en día, ya que existen
muchas formas de ejecutar uno de estos troyanos desde una página web, ya sea haciéndose
pasar por un visor de videos o programa parecido, o incluso aprovechando fallos de seguridad
de los navegadores web para ejecutarse directamente sin que el usuario pueda hacer nada para
evitarlo una vez que ha visitado una página preparada a tal fin.
Spyware. Son programas que no deseamos en nuestro sistema, que se suelen encargar de
mostrarnos publicidad, de rastrear las páginas que vistamos en internet, mostrarnos ventanas
emergentes (pop-ups) de anuncios, poneros barras en los exploradores de internet, modificar las
configuraciones de Windows para que no podamos eliminarlos, etc. Normalmente se suelen
introducir con permiso del usuario, por lo que muchos antivirus no los eliminan, ya que se
comportan como programas legales.
A todas estas amenazas se las suele conocer con el nombre genérico de malware. En el peor de los casos,
son capaces de instalar en nuestro equipo un servidor que servirá como puerta trasera, permitiendo que
el atacante ejecute código en nuestro sistema siempre que quiera. Estos sistemas afectados de esta
manera se conocen como equipos zombis o bots (de robot) y los que controlan dichos sistemas montan
lo que se conoce como botnets, redes de miles de estos ordenadores zombis, controlados para realizar
atacas sobre distintos servidores de Internet.
TEMA 4
Página. 17
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
CARACTERÍSTICAS DE WINDOWS 7 PARA LA SEGURIDAD.
Las principales características que se han añadido o mejorado en Windows 7 (y algunas en Vista)
referentes a la seguridad son:
Firewall de Windows. El firewall o cortafuegos de Windows ha sido mejorado ampliamente
sobre el cortafuego que utilizábamos en XP. Ahora es un firewall de dos sentidos, monitorizando
tanto el tráfico de entrada como el de salida de nuestra red, y soporta en su totalidad el protocolo
IP en su versión 6 (IPv6). Se añaden en Windows 7 múltiples perfiles lo que permite que tengamos
distintas configuraciones para distintas redes. Dispone además de una consola de configuración
avanzada lo que nos permite establecer nuestras propias reglas para el cortafuego, y a un nivel
muy bajo, además.
Control de Cuentas de Usuario (UAC). Nos permite usar una cuenta de usuario normal para
utilizar Windows, ya que cuando el usuario desee realizar una acción que necesite permisos de
administración UAC se encargará de pedirnos dichas credenciales mediante un pop-up en
pantalla. En Windows 7 se ha mejorado el sistema de modo que veremos menos veces estos
avisos, que eran excesivamente frecuentes en Windows. No es nada recomendable desactivar
UAC como hacen algunos usuarios, ya que es una barrera bastante útil contra el malware.
Podemos configurar el nivel de alerta de esta herramienta escribiendo UAC directamente desde
el Inicio.
Windows Defender. Es un antispyware gratuito de Microsoft, que monitoriza el sistema para
prevenir la instalación de los spyware más famosos, y de avisarnos si algún programa se
comporta como un spyware.
Internet Explorer. IE se ejecuta en modo protegido, que limita la capacidad de cualquier código
malicioso para instalarse en el sistema.
Encriptación. Windows 7 incluye en sus versiones Enterprise y Ultimate la posibilidad de cifrar
volúmenes completos de datos NTFS mediante el “Bitlocker Drive Encryption”. Podemos cifrar
particiones del disco duro, memorias USB, discos externos, etc.
Windows Security Essentials. Aunque no es una característica de Windows 7 debemos reseñarla
aquí, ya que es un antivirus de Microsoft totalmente gratuito (para versiones originales de
Windows) y bastante funcional. Este programa también realiza las funciones de Windows
Defender, por lo que no funcionaran ambos juntos.
En Windows 7 podemos acceder al Centro de Actividades, que nos da un vistazo rápido sobre la seguridad
del sistema. Nos informa de las posibles amenazas detectadas en el equipo. Este centro de actividades no
solo funciona con software de Microsoft, sino que también reconocerá los principales programas de
seguridad de otras compañías.
Un apartado tremendamente importante la seguridad de nuestro sistema es activar las actualizaciones
automáticas, ya que si nuestro equipo no está actualizado será mucho más vulnerable al no tener
corregidos todos los agujeros de seguridad que se vayan descubriendo.
TEMA 4
Página. 18
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
SEGURIDAD, AUTENTIFICACIÓN Y AUTORIZACIÓN.
En la mayoría de los sistemas operativos actuales, aparecen dos conceptos relacionados con la seguridad
del sistema: Autentificación y Autorización.
Autentificación: Para usar el sistema es necesario abrir una sesión de trabajo (login) para lo cual
tendremos que autentificarnos, proporcionando al sistema un nombre de usuario y una
contraseña. En caso de no tener una cuenta de usuario abierta en el sistema, será imposible
entrar en el mismo. Veremos cómo gestionar las cuentas de usuario en el siguiente punto.
Autorización: Una vez que el usuario se ha autentificado y abierto sesión, cada vez que quiera
usar un recurso (un fichero, una carpeta, una impresora, etc.) el sistema comprobará si está
autorizado o no para realizar esa acción. Los administradores del sistema pueden modificar estas
autorizaciones mediante unas listas de acceso.
TEMA 4
Página. 19
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
GESTIÓN DE CUENTAS DE USUARIO Y GRUPOS.
Podemos crear, borrar y modificar cuentas de usuario en Windows usando varias técnicas distintas.
1.
Asistente para cuentas de usuario desde Panel de Control.
2.
Gestión de cuentas de usuario y grupo locales mediante consola.
3.
Gestión de cuentas de usuario mediante consola especial.
4.
Gestión de cuentas de usuario desde el interfaz de línea de comandos de Windows. (CLI).
ASISTENTE PARA CUENTAS DE USUARIO DESDE PANEL DE CONTROL.
Para abrir la herramienta Cuentas de usuarios, hay que abrir el Panel de control desde el menú Inicio Cuentas de usuario.
Desde aquí podemos crear cuentas, modificarlas, cambiar contraseñas, gráficos asociados a la cuenta, etc.
TEMA 4
Página. 20
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Esta es la opción más simple para crear cuentas de usuario, es fácil de usar pero muy poco potente.
Aunque con distintas prestaciones, básicamente esta aplicación es igual entre XP, 2008, Vista y 7.
GESTIÓN DE CUENTAS DE USUARIOS Y GRUPOS LOCALES MEDIANTE CONSOLA.
Otra opción que tenemos para gestionar cuentas de usuario, es la consola de usuarios locales y grupos.
Podemos llegar a dicha consola de varias formas, aunque la más rápida es invocándola directamente
desde Inicio – Ejecutar y escribir LUSRMGR.MSC
Veremos que tenemos dos carpetas, una para los
usuarios y otra para los grupos.
Podemos crear usuarios nuevos accediendo a las
propiedades de la carpeta usuarios (botón derecho
sobre ella) y seleccionando la opción de Usuario
Nuevo. Podemos modificar un usuario accediendo a
sus propiedades (botón derecho sobre el usuario y
escogiendo propiedades, o directamente realizando
doble clic sobre el usuario).
Del mismo modo que trabajamos con usuarios, podemos hacerlo con los grupos, creando grupos nuevos
o modificando los ya existentes.
Un usuario puede pertenecer a todos los grupos que deseemos, y un grupo puede contener tantos
usuarios como necesitemos.
Podemos crear todas las cuentas de usuarios que queramos, pero aparte de estas cuentas normales,
existen dos cuentas de usuario especiales en Windows, ya creadas y que no pueden (no deben) ser
modificadas o eliminadas.
La cuenta del Administrador del sistema (Administrador). Todos los sistemas Windows tienen
una cuenta especial conocida como Administrador. Esta cuenta tiene todos los derechos sobre
todo el equipo. Puede crear otras cuentas de usuario y es el responsable de gestionar el sistema.
Muchas funciones del sistema están limitadas para que solo puedan ser ejecutadas por el
Administrador, es posible crear cuentas de usuario y darles los mismos derechos que la cuenta
Administrador (integrándolas como miembros del grupo Administradores) aunque
Administrador solo puede haber uno. Esta cuenta siempre debe contar con contraseña y se crea
en el momento de la instalación del sistema (aunque se crea normalmente sin contraseña). En
TEMA 4
Página. 21
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Windows 7 esta cuenta Administrador no dispone de contraseña por defecto y esta deshabilitada
para que no pueda ser usada.
La cuenta de Invitado (Guest). Es la contraria a la cuenta de Administrador, está totalmente
limitada, no cuenta apenas con ningún permiso o derecho, pero permite que cualquier usuario
pueda entrar en nuestro sistema sin contraseña (lo que se denomina acceso anónimo) y darse
un “paseo” por el mismo. Por defecto, en Windows 7 esta cuenta esta desactivada. Es altamente
recomendable nunca activar dicha cuenta a menos que sea indispensable, ya que representa un
riesgo altísimo de seguridad.
Si comprobáis el título de esta consola con la que estamos trabajando, veréis que aparece la palabra local
en el mismo (Usuarios y grupos locales). Esto es así porque se distinguen dos ámbitos al hablar de usuarios:
Los usuarios y grupos locales y los usuarios y grupos de dominio. Mientras no tengamos instalado un
dominio (para lo cual necesitaremos algún servidor Windows como NT, 2000, 2003 o 2008) siempre
estaremos trabajando con cuentas locales.
Si accedemos a las propiedades de un usuario, veremos cómo tenemos tres pestañas con las que trabajar:
General: Podemos indicar el nombre completo de la
cuenta, una descripción, e indicar algunas opciones de
la cuenta.
TEMA 4
o
El usuario debe cambiar la contraseña en el
siguiente inicio de sesión. Cuando el usuario
inicie sesión la próxima vez se verá obligado a
cambiar su contraseña.
o
El usuario no puede cambiar la contraseña.
Prohibimos que el usuario pueda cambiar su
contraseña.
o
La contraseña nunca caduca. En Windows las
contraseñas se consideran material fungible,
es decir, que tras un cierto tiempo de uso el
sistema obligará a cambiar dichas contraseñas.
Mediante esta opción indicamos que la contraseña podrá usarse sin que caduque
nunca.
o
Cuenta deshabilitada: No borra la cuenta, pero impide que sea usada. Es el estado por
defecto de la cuenta Invitado.
o
La cuenta está bloqueada: Mediante determinados mecanismos de seguridad que ya
veremos, se puede llegar a bloquear una cuenta, impidiendo su uso. Desde esta opción
podemos volver a desbloquearla, simplemente desmarcando la casilla.
Página. 22
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Miembro de: Desde esta pestaña podemos introducir al usuario en grupos. Los grupos se usan
para dar permisos y derechos a los usuarios fácilmente, sin tener que ir usuario por usuario. Así
por ejemplo si introducimos a un usuario como miembro del grupo Administradores, le
estaremos dando todos los permisos del grupo Administradores.
En la pestaña miembro de veremos todos los grupos a los que el usuario
pertenece actualmente. Si le damos al botón agregar podremos escribir
directamente el nombre de un grupo donde agregarlo. Si queremos
escoger dicho grupo de una lista de los grupos posibles, hay que escoger la
opción Avanzada y luego Buscar ahora, que nos mostrará una lista de todos
los grupos del sistema. Basta con seleccionar el que queramos (o los que
queramos) y pulsar aceptar.
Perfil: Nos permite indicar la ruta del perfil, los archivos de inicio de sesión y las carpetas
personales del usuario. Como en un apunte posterior (Windows 2008) veremos el tema de los
perfiles, de momento lo dejamos pendiente.
Esta consola LUSRMGR.MSC es la forma típica de gestionar usuarios y grupos en Windows. También
podemos llegar a ella realizando botón derecho sobre Mi PC (o Equipo) y seleccionado Administrar.
Si nos vamos a la gestión de grupos, veremos cómo Windows 7 ya incluye por defecto unos cuantos grupos
creados:
El grupo más importante es el de Administradores, ya que cualquier usuario al que hagamos miembro de
dicho grupo pasará a tener los poderes de un Administrador.
Otro grupo interesante es Invitados, ya que cualquier usuario al que hagamos miembro de dicho grupo
pasará a tener todas las limitaciones del grupo Invitados.
Podemos crear todos los grupos que queramos, sin ningún tipo de limitación y hacer miembros de los
mismos a los usuarios que deseemos. Esto suele ser muy cómodo a la hora de asignar permisos, ya que
nos evita tener que ir asignándolos usuario a usuario.
TEMA 4
Página. 23
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
GESTIÓN DE CUENTAS DE USUARIO MEDIANTE CONSOLA ESPECIAL.
Podemos también gestionar las cuentas de usuario mediante una consola especial, normalmente oculta.
Para acceder a dicha consola, hay que ejecutar la siguiente orden desde una ventana del intérprete de
comandos:
CONTROL USERPASSWORDS2 o también se puede ejecutar NETPLWIZ
Con este gestor de cuentas de usuario, tenemos un control especial
sobre los usuarios, permitiéndonos realizar algunas acciones que no
son accesibles desde ningún otro sitio.
La primera opción que vemos en pantalla, “Los usuarios deben escribir
su nombre y contraseña para usar el equipo” nos permite indicar si
queremos usar la autentificación o no. Si lo desactivamos,
obtendremos un Windows que se iniciará automáticamente con la
cuenta que indiquemos sin mostrarnos siquiera la pantalla de
bienvenida. Si tenemos varios usuarios, en el momento en que
desactivemos dicha casilla y pulsemos aceptar o aplicar, nos
preguntará el sistema por el usuario a cargar automáticamente.
Obviamente, esta opción solo debería usarse en ambientes domésticos
donde solo un usuario usa el ordenador.
Para agregar cuentas de usuario usamos el botón agregar, para eliminar cuentas el botón quitar, etc. Si
seleccionamos una cuenta de usuario y pulsamos el botón propiedades, pasamos a sus propiedades.
Desde esta pantalla de propiedades, podemos observar cómo podemos incluir al usuario en algún grupo
de usuarios, bien uno de los dos incluidos en el gestor (usuarios estándar y usuarios restringidos) o bien
seleccionando otro grupo como puede ser el de administradores, etc.
En la pestaña opciones avanzadas de este gestor, podemos ver opciones
muy interesantes como la administración de nuestras contraseñas, un
botón que nos lleva a LUSRMGR.MSC, obligar a utilizar el inicio de sesión
seguro, etc.
Una opción muy interesante, (y muy peligrosa y poco segura) que nos
podemos encontrar en la primera pantalla es la posibilidad de cambiar la
contraseña de cualquier usuario, incluido el usuario administrador. Para
hacerlo, basta con que nos hayamos autentificado con una cuenta de
usuario que pertenezca al grupo Administradores. Esta opción ha sido
incluida ya que a veces los usuarios olvidan con el tiempo la contraseña
que le asignaron a la cuenta de Administrador en el momento de la
instalación del equipo, y es a su vez la causante de que Microsoft oculte
esta consola para que no sea ejecutada por los usuarios normales.
TEMA 4
Página. 24
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
GESTIÓN DE CUENTAS DE USUARIO DESDE EL INTERFAZ DE LÍNEA DE COMANDOS DE
WINDOWS. (CLI).
La última opción para gestionar las cuentas de usuario, es hacerlo directamente desde el Shell de texto o
interfaz de línea de comandos (CLI). Esta opción puede parecer la más engorrosa, pero resulta ser la más
práctica y potente en muchísimas ocasiones, sobre todo si conocemos como hacer scripts de sistema.
Para ello disponemos de una orden que nos permiten gestionar las cuentas de usuario:
net user
Este comando nos permite consultar, agregar o modificar cuentas de usuario.
Su sintaxis es la siguiente:
o
net user [nombredeusuario [contraseña | *] [opciones]] [/domain]
o
net user nombredeusuario [contraseña | *] /add [opciones] [/domain]]
o
net user [nombredeusuario [/delete] [/domain]]
Expliquemos los parámetros de la orden que hemos visto en la sintaxis.
nombredeusuario Específica el nombre de la cuenta de usuario que se desea agregar, eliminar, modificar
o consultar. El nombre de la cuenta de usuario puede tener hasta 20 caracteres.
contraseña Asigna o cambia una contraseña para la cuenta de usuario. Escribimos un asterisco (*) si
deseamos que se nos pida la contraseña. Los caracteres de la contraseña no se muestran en la pantalla a
medida que los escribimos, así que hay que tener cuidado.
/domain Realiza la operación en el controlador principal del dominio del equipo.
/add Agrega el usuario al sistema.
/delete Borra el usuario del sistema.
Si al ejecutar la orden desde la línea de comandos (CMD) obtenemos el error de sistema 5 (acceso
denegado) es porque estamos ejecutando una línea de comandos sin ser administrador. Para evitar esto,
haced un acceso directo a CMD en el escritorio, y lanzadlo con botón derecho – Ejecutar como
Administrador. (Truco: También podemos escribir CMD en el botón inicio (Windows – escribir CMD) y en
lugar de pulsar INTRO pulsamos CONTROL – MAYUSCULAS – INTRO con lo que conseguiremos que lo que
ejecutemos se ejecute como Administrador).
Ejemplo:
NET USER PAQUITO /ADD
TEMA 4
Página. 25
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Vemos en la sintaxis, como además de los elementos anteriores podemos escribir algunas opciones. Las
opciones más utilizadas son las siguientes:
Opción
Descripción
/active:{no | yes}
Habilita o deshabilita la cuenta de usuario. Si no está activa, el usuario no
puede tener acceso a los recursos del equipo. La opción predeterminada
es yes (activa).
/comment:"texto"
Proporciona un comentario descriptivo acerca de la cuenta de usuario.
Puede tener hasta 48 caracteres. Escribimos el texto entre comillas.
/expires:{{mm/dd/aaaa
|
dd/mm/aaaa | mmm,dd ,aaaa} |
never}
Provoca que la cuenta de usuario caduque en la fecha especificada. Las
fechas de caducidad pueden tener el formato [mm/dd/aaaa],
[dd/mm/aaaa] o [mmm,dd ,aaaa], según el código de país o región.
/fullname:"nombre"
Especifica un nombre de usuario completo en lugar de un nombre de
usuario normal. Escribimos dicho nombre entre comillas.
/passwordchg:{yes | no}
Especifica si los usuarios pueden cambiar su contraseña. La opción
predeterminada es yes.
/times:{día[-día][,día[-día]] ,hora[hora][,hora[-hora]] [;…] | all}
Específica las horas en las que se permite al usuario el uso del equipo. El
parámetro Hora está limitado a incrementos de 1 hora.
Para los valores de día, se puede escribir el día o usar abreviaturas.
Para las horas se puede usar la notación de 12 horas o de 24 horas. Para
el formato de 12 horas, usamos am, pm, a.m. o p.m.
El valor all significa que un usuario puede iniciar una sesión en cualquier
momento.
Un valor nulo (en blanco) significa que un usuario nunca puede iniciar la
sesión.
Separamos el día de la hora mediante comas y las unidades de día y hora
con punto y coma.
Obviamente la mayor potencia de la interfaz de línea de comandos, (shell de texto o CLI) aparece cuando
usamos scripts. Estos scripts son pequeños programas que podemos realizar con un editor de texto y que
se ejecutan directamente en nuestro sistema operativo.
TEMA 4
Página. 26
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Imaginemos el siguiente ejemplo:
Decido crear una cuenta de usuario en mi equipo por cada uno de los alumnos a los que doy clase, quiero
indicar que solo puedan abrir sesión de lunes a viernes entre las 16 y las 22 horas, quiero usar como
contraseña de cada usuario “caballo” pero obligando a cambiar dicha contraseña en el primer inicio de
sesión del alumno.
Si tengo unos 90 alumnos entre varios grupos, está claro que el tiempo que voy a usar en crear dichas
cuentas va a ser importante. (Imaginad que ocurriría si quisiera hacer algo parecido pero en una empresa
con 900 empleados). Todo este proceso podría automatizarse y realizarse casi instantáneamente
utilizando el CLI y un script. Podría solucionar todo el problema de la siguiente forma:
Creo un fichero de texto (alumnos.txt) donde en cada línea aparece el nombre del alumno (sin espacios
en blanco). Dicho fichero naturalmente podría obtenerlo de la lista de clase, de un programa de horario,
etc.
Creo un proceso por lotes que vaya leyendo dicho fichero de texto y vaya creando una cuenta de usuario
por cada línea. Sería algo así:
Rem ------ creacuen.bat ------@Echo Off
Cls
Echo ------ Creando cuentas de alumnos -------For /F %%A In (.\ALUMNOS.TXT) Do (
NET USER %%A caballo /ADD /TIMES:L-V,16:00-22:00
)
Echo ------ Proceso Finalizado -----------------
Una vez ejecutado este simple script, tendría creadas todas las cuentas de usuario que necesito. Si un
buen día quisiera borrar todas las cuentas de usuario creadas, simplemente tendría que utilizar otro script
como el siguiente:
Rem ------ borracuen.bat ------For /F %%A In (.\ALUMNOS.TXT) Do (NET USER %%A /DELETE)
TEMA 4
Página. 27
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
GESTIÓN DE LAS CONTRASEÑAS.
Windows es un sistema operativo muy configurable por parte del usuario, aunque algunas de las
configuraciones más potentes suelen estar algo ocultas para que no sean accesibles por los usuarios
normales y solo pueden ser modificadas por usuarios avanzados.
En concreto, desde la consola de Configuración de Directivas de Seguridad Local, podemos gestionar
varios aspectos sobre las contraseñas. Esta consola se denomina SECPOL.MSC, y para gestionar las
contraseñas, debemos entrar en Configuración de Seguridad, Directivas de Contraseña.
Las configuraciones más útiles que podemos gestionar desde aquí son:
Historial de contraseñas. Impide que un usuario cambie su contraseña por una contraseña que
haya usado anteriormente, el valor numérico indica cuantas contraseñas recordará XP.
Las contraseñas deben cumplir los requerimientos de complejidad. Obliga a que las contraseñas
deban cumplir ciertos requerimientos, como son mezclar letras mayúsculas y minúsculas junto
con números, no parecerse al nombre de la cuenta, etc.
Longitud minina de la contraseña. Indica cuantos caracteres debe tener la contraseña como
mínimo, un valor cero en este campo indica que pueden dejarse las contraseñas en blanco.
Vigencia máxima de la contraseña. Las contraseñas de los usuarios caducan y dejan de ser válidas
después del número de días indicados en esta configuración. El sistema obligará al usuario a
cambiarla. (Recordemos que al crear una cuenta de usuario podemos indicar que la contraseña
nunca caduca para esa cuenta).
Vigencia minina de la contraseña. Indica cuanto tiempo debe transcurrir desde que un usuario
se cambia la contraseña, hasta que puede volver a cambiarla.
Como ejercicio, estableced que el historial de contraseñas es de 5 y la longitud mínima es de 4 caracteres.
Cread una cuenta de usuario EVARISTO34 desde la consola de usuarios locales indicando que debe
cambiar de contraseña en el primer inicio de sesión. Ponedle de contraseña CABALLO, e inmediatamente
después intentar cambiar la contraseña a otra cualquiera.
TEMA 4
Página. 28
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Intentad volver a ponerle de contraseña CABALLO de nuevo. Evidentemente como queremos que la
contraseña sea CABALLO, debemos deshabilitar la complejidad exigible en las contraseñas.
Desde la consola de configuración de seguridad local (secpol.msc) también podemos gestionar el
comportamiento del sistema cuando un usuario intente abrir sesión y se equivoque repetidamente con
la contraseña. Podemos indicar que una cuenta de usuario quede bloqueada si alguien intenta abrir sesión
con dicha cuenta y se equivoca un número determinado de veces. Esta configuración la encontramos en
Configuración de Seguridad – Directivas de Cuenta – Directivas de Bloqueo de Cuentas)
Aquí podemos configurar:
Duración del bloqueo de cuenta. (Durante cuánto tiempo permanecerá una cuenta bloqueada si
se supera el umbral de bloqueo. Un valor cero indica que la cuenta se bloqueará hasta que un
Administrador la desbloquee).
Restablecer la cuenta de bloqueos después de (Indica cada cuanto tiempo se pone el contador
de intentos erróneos a cero).
Umbral de bloqueo de la cuenta. (Indica cuantos intentos erróneos se permiten antes de
bloquear la cuenta).
IDENTIFICADOR DE SEGURIDAD O SID.
Imaginad que creamos una cuenta en nuestro equipo con nombre PACO y contraseña P1c4. Creamos
varias carpetas que solo le pertenecen a PACO, ciframos archivos para que solo los pueda leer PACO, etc.
Un día por error borramos la cuenta PACO y todas esas informaciones quedan “huérfanas”. Ni cortos ni
perezosos decidimos crear otra vez la cuenta PACO con contraseña P1c4, para intentar acceder a dichos
ficheros y carpetas. Pues bien, comprobaremos que nuestro sistema sabe perfectamente que ese nuevo
PACO no tiene nada que ver con el antiguo PACO, y los considera usuarios totalmente distintos y no le
deja acceder a los ficheros.
Esto es así porque el sistema operativo no usa para referirse a las cuentas su nombre y su contraseña,
esos son campos que usamos nosotros, al igual que nos llamamos entre nosotros con nuestro nombre,
pero la administración nos conoce por nuestro DNI. El DNI que usa el sistema para referirse a las cuentas
de usuario se denomina SID. (Security IDentifier o Identificador de Seguridad).
TEMA 4
Página. 29
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Un SID es algo parecido a lo siguiente:
S-1-5-21-448539723-413027322-839522115-1003
El último número, en este caso 1003 se conoce como RID (identificador relativo del usuario) y todo lo que
está delante del mismo identifica el dominio al que pertenece ese usuario. En concreto, esos tres grandes
números que se observan (448539723-413027322-839522115) se generan automáticamente y al azar
cada vez que instalamos un Windows, y aparecerán en todas las cuentas que creemos en dicho sistema.
En Windows anteriores a XP no se podía clonar un equipo debido al SID, sin embargo Windows desde la
versión Vista no presenta problemas en repetir el SID en varias máquinas.
La parte del SID S-1-5-21 nos da información sobre el objeto con el que estamos trabajando. Así por
ejemplo si hablamos de algunos grupos o usuarios especiales tenemos:
S-1-1-0 es el SID del grupo Todos (Everyone)
S-1-2-0 es el SID del grupo Usuarios locales
S-1-3-1 es el SID de Creator – Owner
S-1-5 Este inicio de SID nos indica que estamos trabajando con un usuario o grupo normal.
El RID del Administrador siempre es el 500.
Los RID de usuarios suelen comenzar por el 1000.
Desde Windows es posible ver los SID que se le asignan a nuestros usuarios y grupos con la orden
whoami.exe.
Abrid un shell, y ejecutad la siguiente orden:
whoami /USER
Que os responderá algo como lo siguiente:
SIS\Joancadi S-1-5-21-448539723-413027322-839522115-1003
Podemos ver aquí como nos dice el nombre de nuestro usuario actual y además nos indica que SID le ha
sido otorgado por el sistema.
Si queremos ver no solo el SID que se le ha otorgado a nuestro usuario, sino el SID de todos los grupos a
los que pertenece nuestro usuario, usad la orden con los parámetros /GROUPS.
El comando whoami solo nos muestra información sobre el usuario actual, así que si queremos ver los SID
de distintos usuarios, tendremos que ejecutar dicha orden como dichos usuarios. Aprovecho aquí para
comentaros una orden que a veces es muy útil. En lugar de tener que ir cerrando y abriendo sesión con
cada usuario, podemos “hacernos pasar” por dicho usuario sin tener que cerrar sesión, ni abrir sesión, ni
nada. Para ello usaremos la orden runas (ejecutar como si fuera).
TEMA 4
Página. 30
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Para ellos, abrid un shell y ejecutad la orden:
runas /user:usuario_a_suplantar cmd
Con esto conseguiremos abrir una nueva shell en la que seremos el usuario que estamos suplantando,
por lo que si ejecutamos en dicha ventana whoami nos responderá con el nuevo usuario.
Abrimos una nueva sesión de cmd ya que si ejecutamos directamente runas whoami se ejecutaría la
orden, pero no veríamos nada.
Hasta aquí hemos visto algunos conceptos relacionados con la autentificación. Pasemos ahora a ver otros
conceptos relacionados con la autorización.
TEMA 4
Página. 31
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
LISTAS DE CONTROL DE ACCESO (ACL).
Un recurso local es cualquier elemento del sistema que permite ser usado por los usuarios. Así, una
impresora, una carpeta, un fichero o una conexión de red son recursos. Por cada recurso el sistema cuenta
con una lista donde apunta los usuarios que pueden usar dicho recurso y de qué forma pueden usarlo. Si
un usuario no está en esta lista, el sistema le impedirá usar el recurso.
Ya hemos visto que el sistema no ve usuarios y grupos, realmente ve Identificadores de Seguridad (SID),
de modo que lo que dicha lista realmente tiene en su interior es una serie de SIDs y los permisos que cada
uno de esos SIDs tiene sobre el recurso. Esta lista con la que cuenta cada recurso se conoce como ACL
(Access Control List, o Lista de Control de Acceso).
Cuando un usuario intenta acceder a un recurso, pide autorización al sistema para hacerlo. El sistema
comprobará entonces si en el ACL de dicho recurso aparece el SID del usuario, y en caso contrario,
comprobará si aparece el SID de algún grupo al que pertenezca el usuario.
Si no aparece en la ACL ningún SID del usuario o de algún grupo del que sea miembro, el sistema niega el
acceso al usuario a dicho recurso.
Si aparece en la ACL algún SID del usuario, el recurso comprueba si la acción que quiere realizar el usuario
(leer, borrar, escribir, etc.) está permitida para ese SID en la ACL, si lo está le autoriza para hacerlo, en
caso contrario se lo impide.
Puede ocurrir que un usuario tenga permisos contradictorios… imaginemos que en el ACL de la carpeta
FOTICOS aparece que el SID del usuario PACO puede escribir en la carpeta, pero PACO pertenece al grupo
PROFESORES que aparece en el ACL de FOTICOS como que no tiene derecho a escribir. Bien, en este caso
se aplica la siguiente regla:
1.
Lo que más pesa en cualquier ACL es la denegación
implícita de permisos. Si un permiso esta denegado, no
se sigue mirando, se deniega inmediatamente.
2.
Basta con que un permiso este concedido en cualquier
SID para que se considere concedido. (A excepción de
la regla 1, es decir, que no esté denegado
implícitamente en ningún sitio)
Esto se entiende mejor gestionando el ACL de algún recurso.
Por ejemplo, creemos en la raíz de nuestro volumen (en NTFS)
una carpeta con nombre DIRECTORIO. Una vez creada,
accedemos a sus propiedades y en ellas a la pestaña Seguridad.
Podemos ver como en la parte superior tenemos las SID a las
que concedemos permisos (usuarios y grupos) y en la parte
inferior tenemos los permisos concretos que le concedemos a
dicha SID.
Si veis las dos columnas por cada permiso, podemos tanto
Permitir como Denegar un permiso.
TEMA 4
Página. 32
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
La denegación de un permiso es la que más pesa, y se aplica
inmediatamente. De hecho, se aconseja no denegar
permisos NUNCA, a menos que sea absolutamente
necesario.
Si no vemos esta pestaña de seguridad puede ser porque
estemos en un volumen de datos FAT, en lugar de NTFS. Las
ACL necesitan ser almacenadas en el volumen de datos
conjuntamente con el recurso al que pertenecen, y esto es
algo que solamente se puede realizar con el sistema de
ficheros NTFS.
Si hacemos clic en botón Editar pasaremos a la pantalla de
la derecha. Más o menos todo lo que se ve en la ACL
deberíais entenderlo sin problemas. Con los botones
agregar y quitar podemos añadir o quitar SID de la ACL. En
la parte inferior podemos pulsar en las casillas de Permitir
y Denegar para dar y quitar permisos.
Intentad quitar por ejemplo el grupo Administradores, y
veréis como aparece un mensaje como el siguiente:
Veremos como no podemos realizar este tipo de acciones debido a que el objeto heredó permisos de su
objeto primario. Veamos en profundidad este concepto de herencia.
HERENCIA.
Imaginemos que creamos una carpeta por ejemplo CONTABLES, y la preparamos minuciosamente para
que pueden leer y escribir en ella los usuarios que sean miembros del grupo CONTABLES, también la
configuramos para que solo puedan leer los del grupo JEFES pero no escribir, y que los demás usuarios no
puedan ni leer en ella ni escribir. Bien, si ahora dentro de la carpeta CONTABLES creamos una nueva
carpeta INFORMES, ¿no sería lógico que esta carpeta INFORMES “heredara” la ACL de su carpeta madre
CONTABLES para que no tuviéramos que configurarla nuevamente?
Pues precisamente eso es lo que hace Windows. Cualquier recurso que se crea hereda automáticamente
la ACL de su recurso padre si es que existe. En nuestro caso, la carpeta DIRECTORIO ha heredado la ACL
de su padre, es decir, la raíz de nuestro volumen H. De modo que no podremos ni agregar ni quitar
usuarios, quitar permisos, etc.
TEMA 4
Página. 33
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Para realizar cambios en la ACL de una carpeta, debemos indicarle que “rompa” con la herencia, es decir,
que deseamos retocar manualmente su ACL.
Para ello, accedemos al botón de Opciones Avanzadas que está en la pestaña Seguridad.
Podemos ver en estas opciones avanzadas cuatro pestañas (Permisos, Auditoria, Propietario, Permisos
efectivos), de momento nos quedamos en la primera, permisos.
Para poder acceder a las opciones de Herencia, debemos hacer clic sobre el botón Cambiar permisos que
vemos en la parte inferior de esta ventana.
TEMA 4
Página. 34
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Vemos como en la parte inferior de esta ventana, está marcada la opción de “Incluir todos los permisos
heredables del objeto primario de este objeto”. Esta es la opción que hace que nuestra carpeta herede
todos los permisos de su carpeta padre. Para desheredar esta carpeta, hemos de deseleccionar la casilla
de verificación que aparece en esta opción.
Cuando lo hagamos, veremos que nos aparece una ventana donde Windows nos pide que elijamos entre
dos opciones principales:
Si escogemos la opción Agregar, la herencia se interrumpirá y podremos retocar la ACL como nos plazca,
pero dicha ACL será la que ahora mismo tiene el recurso, heredada de su objeto principal. Es decir,
seguiremos viendo los usuarios que veíamos antes con sus permisos tal como estaban, pero ahora ya
podremos retocarlos como nos venga en gana.
Si escogemos la opción Quitar, la ACL se borrará totalmente, se interrumpirá la herencia y la podremos
crear desde cero. Es decir, la lista de usuarios y permisos quedará en blanco y la tendremos que crear a
pelo.
Si elegimos quitar y empezar desde cero, hay que tener en cuenta que en las ACL no solo deben aparecer
nuestras SID normales, sino que grupos como Creator Owner o System son necesarios para que el sistema
pueda trabajar sin problemas con dichas carpetas. Si quitamos estos SID tendremos problemas en el
futuro (copias de seguridad, auditorias, etc.).
Vemos como debajo de la opción de Heredar del objeto principal, tenemos otra opción con el texto
“Reemplazar todos los permisos de objetos secundarios por permisos heredables de este objeto” que nos
permite activar que los objetos por debajo del nuestro hereden las modificaciones que hagamos en
nuestra ACL. Esto es importante tenerlo en cuenta si queremos que los cambios que hagamos en la ACL
se repliquen en los objetos hijos del nuestro.
Realizad el siguiente ejercicio:
1.
Cread 4 usuarios con nombre MELINDA, BELINDA, ROSALINDA y DESIDERIA.
2.
Introducid los 4 usuarios anteriores en el grupo DANZA, que también tendréis que crear.
3.
Cread una carpeta en la raíz de vuestro volumen de datos con nombre BAILE, y dentro de lla crear
una carpeta con nombre CLASICO. Modificad el ACL de BAILE para que sólo puedan leer y escribir
en dicha carpeta los miembros del grupo BAILE. Quitad el grupo Administradores, Usuarios, etc.
Dejad los que aparecen en mayúsculas (creator owner y system) para que no tengamos
problemas con la carpeta.
TEMA 4
Página. 35
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
4.
Comprobad abriendo sesión con los usuarios nuevos que efectivamente ellos pueden entrar y
escribir en la carpeta BAILE y los demás usuarios del sistema no. (Podéis hacerlo bien cerrando y
abriendo sesión o con Runas, lo que os resulte más cómodo).
Comprobareis como para realizar el anterior ejercicio habéis tenido que romper la herencia de la carpeta
BAILE.
Comprobad ahora el ACL de la carpeta CLASICO. Si cuando tocasteis los permisos de BAILE marcasteis la
opción de “Reemplazar todos los permisos de objetos secundarios por permisos heredables de este
objeto” la carpeta CLASICO habrá heredado todos los permisos de la carpeta BAILE.
PROPIEDAD.
En Windows, todo recurso que se cree tiene un propietario, normalmente el usuario que creó dicho
recurso, ya sea este una carpeta, una impresora, etc. Este propietario lo solemos ver en las ACL como
creator owner.
El propietario es el dueño absoluto del recurso, y tiene el derecho concedido de retocar la ACL como
quiera. Aunque el usuario creador del objeto no esté presente en la pestaña de seguridad (no cuenta con
entrada en la ACL del objeto), siempre podrá retocar la pestaña de seguridad para añadirse a sí mismo o
borrar a los demás ya que es el propietario del objeto.
Si en el ejercicio anterior por ejemplo, creamos la carpeta BAILE con nuestro usuario normal, este usuario
será el propietario de la carpeta, de modo que incumpliríamos el enunciado del problema, que indicaba
que los únicos con poderes sobre dicha carpeta deberían ser los usuarios del grupo DANZA.
Para solucionar esto, bastaría que creáramos la carpeta BAILE con la sesión iniciada de un usuario de dicho
grupo, de modo que el propietario de la carpeta fuera por ejemplo MELINDA.
Como ejercicio, haced lo siguiente:
1)
2)
3)
4)
Cread un usuario EGOISTA.
Abrid sesión con dicho usuario.
Cread en la raíz de vuestro volumen de datos una carpeta con nombre MITESORO.
Modificad el ACL de dicha carpeta para que únicamente EGOISTA tenga permisos sobre ella.
Bien, ahora tendremos una carpeta creada en el sistema con nombre MITESORO, de la cual es propietario
el usuario EGOISTA, y donde además solo tiene permisos para acceder dicho usuario EGOISTA. Se supone
entonces que ni el propio Administrador podría ser capaz de acceder a dicha carpeta.
En realidad, sí que el administrador podrá acceder a dicha carpeta, gracias que todos los miembros del
grupo Administradores tienen un “poder” especial concedido en el sistema, que es el poder de tomar
posesión de cualquier recurso.
Es imposible que un usuario en un sistema impida que el Administrador realice alguna función, (siempre
que el Administrador sepa lo que es administrar un sistema, claro). En este caso como Administrador (o
miembro del grupo Administradores) podemos hacer lo siguiente:
TEMA 4
Página. 36
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
1) Accedemos a las propiedades de la carpeta “rebelde”, si bien en ella no podemos modificar nada,
sí que podemos acceder a sus propiedades avanzadas, y dentro de dichas propiedades
accedemos a Propietario.
2) Vemos desde aquí el propietario actual de la carpeta, pulsamos el botón Editar para cambiarlo.
3) Podéis ver como desde aquí podemos cambiar el propietario actual del objeto (owner), e indicar
que el propietario actual es el grupo Administradores (o el usuario actual si es del grupo
Administradores). Es recomendable siempre darle la propiedad al grupo Administradores, y no
al usuario actual.
4) Basta con que seleccionemos el grupo Administradores y marquemos abajo Reemplazar
propietario en sub contenedores y objetos y demos aplicar – aceptar. Seremos propietarios de
la carpeta.
Esto no nos permite acceder a la carpeta directamente, pero si nos permite modificar su ACL donde
tendremos que introducir el SID del grupo Administradores para así poder acceder a la carpeta con los
permisos que indiquemos. Es decir, deberemos salir de las propiedades de la carpeta, volver a entrar en
las mismas y modificar seguridad para añadirnos como ya hemos visto anteriormente.
Otro ejercicio más para comprobar todo lo visto hasta ahora:
1.
Abrid sesión con vuestro usuario, que debe ser miembro del grupo Administradores.
2.
Crear 4 usuarios con nombre Alumno01, Alumno02, Alumno03 y Alumno04.
3.
Crear un grupo Alumnos e introducid dentro los 4 usuarios anteriores.
4.
Abrid sesión como Alumno01 y cread una carpeta en la raíz de vuestro volumen con nombre
ALUMNADO.
5.
Modificad sus permisos para que solo los miembros del grupo Alumnos puedan leer, escribir,
etc., en dicha carpeta. Quitad todas las demás SID de su ACL, incluidas las SID especiales esta vez.
6.
Comprobad que nadie fuera del grupo Alumnos puede acceder a la carpeta ALUMNADO.
TEMA 4
Página. 37
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
7.
Abrid sesión como Alumno02, cread dentro de ALUMNADO un subdirectorio con nombre
PRIVADO. Modificad los permisos de dicha carpeta para que solo pueda acceder Alumno02.
8.
Dentro de Privado, cread un fichero de texto con nombre contraseñas.txt y escribid algún texto
dentro de dicho fichero. Comprobad la ACL de dicho fichero, debería dejar únicamente a
Alumno02 acceder al mismo.
9.
Abrid sesión con vuestro usuario normal de siempre.
10. Cread un usuario con nombre CURIOSO y hacedlo miembro del grupo Administradores pero no
del grupo Alumnos.
11. Abrid sesión como el usuario CURIOSO y conseguid acceder a ALUMNADO. Comprobad que
podéis leer el fichero contraseñas.txt.
PERMISOS
Los distintos permisos que se pueden aplicar para cada SID en la ACL no son únicamente los que vemos
en las propiedades de la carpeta, si entramos en opciones avanzadas y allí en permisos – agregar veremos
cómo podemos indicar otro tipo de permisos.
El permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para
llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas
recorridas (sólo se aplica a carpetas).
El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo
o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de
archivos NTFS..
El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un
archivo o de una carpeta.
El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la
carpeta, como Control total, Leer y Escribir.
El permiso Tomar posesión permite o impide que el usuario tome posesión del archivo o de la
carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos
correspondientes, cualesquiera que sean los permisos existentes que protegen el archivo o la
carpeta.
Un permiso muy especial es el de Control Total. Si este permiso se lo otorgamos a un usuario en
una carpeta, este usuario podrá eliminar cualquier cosa que haya en esa carpeta, incluso si le
denegamos el permiso de eliminación en esos recursos. Hay que tener mucho cuidado al
conceder este permiso.
TEMA 4
Página. 38
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
REDES EN WINDOWS 7.
Para poder hacer uso de todas las posibilidades que nos ofrecen las redes locales, es imprescindible
dedicar un poco de tiempo a la configuración de los equipos. A continuación aprenderemos a identificar
el equipo para que pueda ser distinguido (tanto por los usuarios de la red como por el propio sistema
operativo) del resto de equipos de la red. Posteriormente veremos cómo compartir recursos en red y
varias posibilidades más que estas redes nos brindan en Windows 7.
CONFIGURACIÓN DE RED.
Lo primero que debemos hacer antes de proceder a configurar un equipo para conectarlo a una red de
área local, es comprobar que la tarjeta de red se encuentra correctamente configurada y, en caso
contrario, instalar los controladores necesarios.
Tenemos que acceder a formulario del sistema (Windows – Pausa) y allí seleccionar Administrador de
dispositivos. (Lo veremos en la barra que aparece
a la izquierda de la ventana).
En esta consola de Administrador de dispositivos
podremos ver el estado de todos y cada uno de
los dispositivos físicos conectados al sistema y, si
procede, reinstalar los controladores para su
óptimo funcionamiento.
Debemos comprobar que en Adaptadores de red
aparece nuestra tarjeta de red y no tiene ningún
símbolo que indique que está funcionando mal.
Una vez comprobada que la tarjeta de red está
instalada correctamente, debemos especificar un
nombre y un grupo de trabajo para el equipo.
El grupo de trabajo actuará a modo de filtro en la
red, de forma que los equipos conectados tan
sólo tendrán acceso directo a aquellos
ordenadores que tengan definido un grupo de
trabajo igual al suyo. En realidad si navegamos a
través de los equipos de red, podremos acceder a
cualquier grupo de trabajo, aunque los equipos que veremos al principio por defecto son solamente los
de nuestro grupo.
Para configurar estos datos, volvemos a lanzar el formulario del sistema (Windows Pausa) y buscamos la
sección “Configuración de nombre, dominio y grupo de trabajo” y pulsamos sobre “Cambiar
configuración” que nos aparecerá a la derecha de dicha sección. En la nueva ventana que nos aparece
volvemos a pulsar “Cambiar”, y por fin accederemos al formulario desde donde podemos cambiar el
nombre del equipo, el nombre del grupo de trabajo al que se conecta, y la posibilidad de conectarnos a
un dominio.
TEMA 4
Página. 39
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Como nombre de equipo podemos poner cualquiera siempre que no cuente con caracteres especiales y
tenga menos de 15 caracteres. No debe haber en la red dos equipos con el mismo nombre, y no se
recomienda que el nombre del equipo coincida con el nombre de una cuenta de usuario.
En nombre del grupo de trabajo podemos poner cualquiera, pero se recomienda que todos los equipos
de un segmento de la red local tengan el mismo nombre de grupo de trabajo. Nosotros por ejemplo vamos
a trabajar en el grupo ASIR1.
Una vez comprobado que nuestra tarjeta de red está correctamente instalada, y que nuestro equipo
cuenta con un nombre único en la red y con un grupo de trabajo, tenemos que pasar a configurar el
protocolo TCP/IP de nuestra tarjeta de red.
Para cambiar la dirección y demás parámetros básicos del protocolo TCP/IP en Windows 7 una forma
posible es ir desde:
1) Botón Inicio, Panel de Control y seleccionar Redes e Internet
2) Una vez allí ingresar al Centro de Redes y Recursos Compartidos
3) Hacemos clic en la opción de la barra lateral izquierda que dice Cambiar configuración del adaptador.
Se abrirá una vista con los distintos adaptadores/conexiones de red que posee el sistema, donde
deberemos hacer clic derecho y seleccionar Propiedades sobre el que nos interese.
Luego seleccionamos Protocolo de Internet versión 4 (TCP/IPv4) y hacemos clic en el botón Propiedades.
En el diálogo que aparece seremos capaces de poder cambiar parámetros del adaptador como su
dirección IP, máscara, puerta de enlace y servidores DNS.
TEMA 4
Página. 40
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Una forma más rápida de llegar al centro de redes y recursos compartidos es pulsando botón derecho
sobre el icono de la tarjeta de red que aparece en la barra de Windows a la izquierda del reloj, y
escogiendo la opción pertinente.
En esta ventana elegimos si queremos que nuestra tarjeta de red obtenga sus direcciones IP y sus
direcciones de DNS automáticamente o manualmente.
La opción por defecto suele ser dejarlo en automático, contando que en nuestra red de área local existirá
un servidor DHCP encargado de configurar automáticamente el equipo.
En nuestro caso, vamos a usar como dirección IP manual la 192.168.XX.NN (siendo XX un número indicado
por el departamento y NN el número de nuestro equipo).
Como máscara de red pondremos 255.255.255.0, como puerta de enlace la 192.168.111.111 y como
servidores DNS las direcciones 8.8.8.8 y 8.8.4.4.
Una vez colocados todos los campos como hemos indicado, pulsamos sobre aceptar, y tras unos instantes
nuestro equipo quedará configurado con estas nuevas direcciones.
TEMA 4
Página. 41
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Para comprobar nuestra configuración de red, debemos acceder al símbolo del sistema (Inicio y
escribimos cmd) y en esta terminal de texto que nos aparecerá, escribir la orden IPCONFIG que es el
comando con el que vemos la configuración de nuestro protocolo TCP/IP.
Hay que prestar especial atención cuando nuestro equipo tenga varias tarjetas de red, como por ejemplo
una de cable, y otra inalámbrica. Tenemos que configurar la tarjeta de red que usemos para conectarnos
a la red de área local. Suele ser conveniente para asegurarnos de que no nos conectamos por error con
otra tarjeta, desactivar todas las tarjetas excepto la que queramos usar. (Botón derecho sobre el
adaptador de red y escogemos Desactivar).
Con IPCONFIG comprobamos que nuestra configuración de red se ha establecido, para comprobar que
realmente estamos conectados en red, se utiliza la orden PING. Esta orden envía una serie de paquetes
de “eco” hacia un equipo y nos indica si los paquetes han llegado a su destino o no. Para ello por ejemplo
escribid PING 192.168.111.111 y deberíais recibir unos mensajes por pantalla indicando que se han
enviado 4 paquetes, que se han recibido los 4 y que no se ha perdido ninguno.
Si ejecutáis la orden PING con una dirección IP de una maquina distinta a la vuestra que cuente con
Windows 7 comprobareis que normalmente no devolverá ningún paquete, dado que el cortafuegos de
Windows 7 protege la conexión no respondiendo a este tipo de paquetes.
Para habilitarlo la repuesta a los ecos en el cortafuego, debemos seguir estos pasos:
1- Ir a Inicio, y escribir firewall, y pulsamos sobre “Firewall de Windows con seguridad
avanzada”.
2- Seleccionamos Reglas de entrada, hacemos clic con el botón derecho sobre Reglas de
entrada y seleccionamos la opción Nueva Regla.
3- Seleccionamos regla personalizada y presionamos siguiente. Seleccionamos todos los
programas y luego presionamos siguiente.
4- En tipo de protocolo debemos seleccionar ICMPv4, presionamos siguiente.
5- Dejamos las dos configuraciones en Cualquier dirección IP y presionamos siguiente.
6- Seleccionamos permitir la conexión y presionamos siguiente.
7- Dejamos las tres opciones marcadas y presionamos siguiente.
8- Elegimos un nombre para la nueva regla por ejemplo RESSPONDER PING y presionamos
finalizar.
Comprobad ahora que ya podéis hacer ping entre las máquinas.
TEMA 4
Página. 42
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
RECURSOS COMPARTIDOS.
En un punto anterior hemos visto cómo podemos modificar las ACL de los recursos locales para que sean
usadas por los usuarios y grupos locales, es decir, aquellos que residen en nuestra propia máquina. Vamos
a ver ahora como modificamos esas ACL para permitir el uso por parte de usuarios y grupos que no
pertenecen a nuestra propia máquina, sino que van a entrar en nuestro sistema a través de nuestra red
local.
Windows presenta dos posibilidades a la hora de usar una red, trabajar en lo que se conoce como grupo
de trabajo en la que todas las maquinas son iguales en derechos y obligaciones (red entre pares, red entre
iguales, o peer to peer) o bien trabajar en una red centralizada, donde existe una máquina que ejecuta un
rol de control (Dominio) sobre las demás y que corre un sistema operativo servidor como Windows 2008.
Dejaremos el tema de cómo trabajar en un Dominio para los apuntes sobre Windows 2008, y nos
centraremos ahora en los grupos de trabajo.
Antes de comenzar con este punto tenemos que tener la red correctamente configurada en el equipo, y
debemos tener conexión con los demás equipos de clase. Aseguraos de ello con las herramientas que
hemos visto en el punto anterior.
Ahora debemos comprobar que nuestro cortafuego ha activado la compartición de recursos en la red.
Para ello, pulsad Inicio y escribid firewall. Escogemos la opción de firewall de Windows que nos aparecerá
en dicho menú, y seleccionamos la opción “Permitir un programa o una característica a través de firewall
de Windows”. Comprobad que la opción de Compartir archivos e impresoras” está permitida.
En este momento estamos usando una red NetBIOS, este tipo de redes presentan una gran cantidad de
problemas como pueden ser la lentitud en la respuesta de los equipos, fallos en la identificación de
máquinas, etc.
TEMA 4
Página. 43
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Para ver los nombres de las maquinas NetBIOS que son conocidas por nuestro sistema en la red, usamos
la orden NET VIEW. (NET VIEW ver las máquinas de la red que están en mi grupo de trabajo).
Es probable que la única máquina que podamos ver al principio sea la nuestra, esto es así porque este
tipo de rede son muy lentas a la hora de encontrar equipos. Podemos forzar a Net View a que busque una
maquina en concreto para mostrárnosla de las siguientes formas:
Net View \\Nombre_Maquina
Net View \\Dirección_IP_remota
Podemos ver como Net View (en este caso la dirección IP es 127.0.0.1 que se conoce como local host, es
decir, nuestra propia maquina) nos muestra que recursos compartidos tiene esa máquina en la red, y de
qué tipo son. Esos son los recursos a los que podemos acceder de forma “normal”.
Es posible que en este punto ya no funcionen algunas cosas… vayamos por partes:
Si al hacer un net view \\127.0.0.1 nos dice que no hay entradas en lista, es evidente que no estamos
compartiendo nada. Compartid alguna carpeta (propiedades de carpeta, compartir) y comprobadlo de
nuevo.
Si aun compartiendo cosas, somos incapaces de ver nada, comprobad de nuevo el estado del cortafuegos
(Panel de Control – Cortafuegos – Excepciones – Compartir).
Comprobad que vuestra configuración IP es correcta, dirección IP, mascara de red, etc.
Comprobad que el cable de red está correctamente conectado, que tenéis conexión a Internet, etc.
Obviamente, para acceder a un recurso desde la red, debemos recibir autorización. Es decir, al igual que
vimos en el punto anterior, el usuario que intenta usar el recurso debe estar incluido en la ACL del recurso.
Así, es seguro que si intentamos acceder directamente a otro equipo con Net View recibiremos el error 5
probablemente, acceso denegado. Esto es así porque el equipo remoto no nos autoriza a ver sus
contenidos compartidos, ya que Windows no permite por defecto que alguien entre por la red al equipo
si no se autoriza, mediante un nombre de usuario y contraseña correctos.
Otra cuestión son las carpetas públicas que se crean en algunos Windows, estas carpetas si pueden ser
accedidas desde cualquier maquina sin nombre de usuario ni contraseña.
TEMA 4
Página. 44
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Al igual que usamos Net View para ver lo que un equipo comparte, podemos hacerlo desde el explorador
de archivos. Para ello, iros al explorador y escribid en su barra de direcciones \\dirección_IP_del_equipo
o bien \\Nombre_del_Equipo.
Vemos como obtenemos el mismo resultado que desde Net View, pero de forma gráfica (Por favor,
intentad no entrar en la opción de Red o de Grupo del hogar o de trabajo, os reitero que es lenta,
engorrosa y genera errores).
Esta máquina nos ha dado permiso porque es la nuestra, claro (127.0.0.1, localhost) pero ¿qué ocurre si
le damos la dirección de otra máquina?
Pensemos un poco…. El equipo remoto al que queremos conectarnos tiene sus recursos, con sus ACL y
demás como vimos anteriormente. De repente ve como un usuario intenta acceder, autorizarse, pero no
desde el equipo local (con su SID) sino desde la red. Es obvio que en este ambiente no se pueden usar las
SID (recordar que la SID incluye dentro un numero aleatorio que depende de cada equipo, por lo que una
maquina no reconoce los SID normales de otra máquina). Vamos a ver cómo se pueden gestionar los
permisos de estos recursos compartidos.
TEMA 4
Página. 45
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
PERMISOS EN RED Y PERMISOS NTFS.
Los permisos NTFS son los permisos que hemos visto en los puntos anteriores, los que podíamos gestionar
desde la pestaña seguridad de un recurso.
Los permisos en red son complementarios a los anteriores y deben ser establecidos para que los usuarios
puedan acceder desde la red a los recursos compartidos por nuestro equipo. Un usuario no podrá acceder
a un recurso compartido a menos que tenga asignados permisos NTFS y permisos en red, no basta con
que posea de un único tipo, tiene que tener de los dos.
Permisos en red:
Solo se aplican para usuarios que aceden a nuestro equipo desde la red. No se aplican a los
usuarios que accedan localmente, como puede ser abriendo sesión o a través de un terminal.
Se aplican a todos los ficheros y directorios del recurso compartido. No se puede tocar su
herencia, por lo que no se pueden asignar distintos permisos a distintos niveles de directorios.
Para hacer esto se deben usar los permisos NTFS.
Si el recurso se crea sobre un volumen de datos con sistema de ficheros FAT o FAT32, estos
permisos serán los únicos a tener en cuenta, ya que los permisos normales solo se pueden aplicar
en volúmenes de datos NTFS.
Permisos NTFS o de seguridad.
Se aplican a todos los usuarios, tanto los que acceden por la red, como a los que acceden
localmente.
Pueden establecerse por subniveles, permitiéndonos un ajuste muy fino de los mismos.
Solo se pueden utilizar en volúmenes de datos NTFS.
Podíamos decir que los permisos en red permiten que un usuario acceda al recurso desde la red, pero una
vez que ha accedido se le aplican los permisos NTFS.
Los permisos NTFS o de Seguridad utilizan para identificar a los usuarios el SID de cada uno de ellos,
comprobando si dicho SID aparece en ACL del recurso.
Los permisos de red sin embargo no pueden utilizar el SID del usuario, ya que el usuario proviene de otra
máquina de la red local, y el SID de dicho usuario no será reconocido por el equipo que comparte el
recurso. Estos permisos de red únicamente comprobaran el nombre de usuario y la contraseña del mismo,
intentado así identificar si es un usuario del sistema.
TEMA 4
Página. 46
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
NOVEDADES EN WINDOWS 7.
Windows 7 incluye varios asistentes que de forma fácil permiten compartir recursos en red. Estos
asistentes forman parte de la idea del grupo en el hogar y permitir que los usuarios que no tengan
conocimientos informáticos puedan montar una pequeña red local de forma simple.
Si no estamos usando grupo en el hogar, siempre podemos escoger compartir con Usuarios específicos
que nos presenta un formulario como el siguiente:
Los únicos dos permisos que se pueden establecer desde aquí son los “Lectura” y “Lectura/Escritura”.
Windows 7 también incorpora en el centro de redes y recursos compartido una serie de nuevas
características que deberemos configurar para usar los recursos compartidos.
TEMA 4
Página. 47
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
En primer lugar debemos comprobar que nuestro tipo de Red está establecida como Red de trabajo, o
en último caso como Red doméstica. Lo que nunca debe estar configurada es como Red pública, ya que
en este tipo de redes Windows 7 automáticamente deshabilita toda posibilidad de compartir recursos.
Posteriormente debemos acceder a “Cambiar configuración de uso compartido avanzado” que veremos
en la parte izquierda del Centro de redes y recursos compartidos.
Desde allí, accederemos a las configuraciones del tipo de red de Casa o trabajo y debemos realizar
algunos cambios. Las opciones más interesantes que podemos tocar son:
Detección de redes: Es conveniente activarla.
Compartir archivos e impresoras: Evidentemente debe estar activada.
Uso compartido de la carpeta pública: Windows 7 incorpora por defecto una carpeta pública
que será accesible por todos los usuarios de la red. Podemos dejar esta configuración como nos
interese.
Uso compartido por protección por contraseña: Si activamos esta opción, el usuario siempre
utilizara una combinación de nombre de usuario/contraseña para acceder al equipo. Si la
desactivamos, los usuarios entraran en nuestro equipo directamente sin contraseña, usando
para ello la cuenta de Invitado. Debemos dejarla activada.
Las demás opciones dan igual como las configuremos.
TEMA 4
Página. 48
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
COMPARTIR RECURSOS DE FORMA AVANZADA.
El método normal de compartir recursos nos presenta más opciones como pueden ser la de compartir
recursos utilizado alias, limitando el número de conexiones simultaneas, configurando caches de
memoria, etc.
Para llegar a este método normal debemos usar la opción “Uso compartido avanzado” que nos aparece
en las propiedades de un recurso, dentro de la pestaña compartir.
Si hacemos clic en esa opción de “Uso compartido avanzado” (necesitamos ser miembros del grupo
administradores) veremos un nuevo formulario donde nos aparecen las siguientes opciones:
-
Compartir esta carpeta: Validamos esta casilla si queremos compartir la carpeta.
Nombre del recurso compartido. El alias con el que el recurso compartido va a ser visto en la red.
No tiene por qué ser el nombre real del recurso.
Establecer el límite de usuarios simultáneos en: Podemos indicar que al recurso solo puedan
acceder a la vez un número determinado de usuarios, a fin de evitar sobrecargar el sistema.
Comentarios: Comentarios sin más.
Permisos: Nos permite establecer los permisos de red. Quien puede acceder, y qué puede hacer.
Caché: Podemos hacer que aunque la carpeta no esté disponible en la red, los equipos que se
hayan conectado a la misma sigan pudiendo acceder a los archivos.
TEMA 4
Página. 49
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Los permisos que podemos otorgar a los usuarios son:
-
Control total: Permite realizar cualquier acción sobre el recurso compartido.
Cambiar: Permite al usuario escribir en el recurso, crear tanto ficheros como directorios, y borrar
cualquier cosa en el recurso.
Leer: Permite al usuario leer los ficheros, directorios y subdirectorios. También permite ejecutar
programas.
Por defecto al compartir algo en Windows 7, veremos cómo se agrega automáticamente al grupo Todos
(Todos los usuarios) con el permiso de Leer.
Recordemos que estos permisos por si solos no nos permiten indicar que usuarios podrán acceder a los
recursos. Además de agregar los usuarios y permisos aquí, también tendremos que hacerlo en seguridad
con los permisos NTFS.
Así por ejemplo, si aquí agregamos al usuario JUAN con permisos de Control Total a un recurso, pero en
Seguridad indicamos que JUAN solo tiene permisos de lectura sobre la carpeta que realmente se ha
compartido, JUAN solo podrá leer.
De igual forma, que si el usuario MANUEL tiene en Seguridad (permisos NTFS) asignado el permiso de
lectura, pero en permisos de red no aparece en la lista de usuarios que pueden acceder, MANUEL no
podrá acceder a la carpeta.
Por regla general, siempre que se aplican los permisos más restrictivos. Para otorgar un permiso debe
aparecer tanto en permisos de red como en permisos de seguridad.
Como prueba de lo que hemos visto hasta ahora, realizad la siguiente prueba:
1) Cread una carpeta en un equipo con Windows 7 (equipo 1) y compartidla en red con el nombre
COMPARTIDO. Dejad todas las opciones por defecto, de modo que se comparta para Todos con
permisos de lectura.
TEMA 4
Página. 50
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
2) Ahora, en otro equipo de la red (equipo 2), cread una cuenta de usuario que tenga el mismo
nombre y la misma contraseña que el usuario con el que se ha realizado el punto 1.
3) Abrid sesión en el equipo 2 con el usuario recién creado.
4) Abrid el explorador de archivos y en su barra de direcciones escribid \\DIRECCIÓN_IP_EQUIPO1
5) Debería mostrarnos automáticamente la carpeta COMPARTIDO, y debería dejarnos acceder a
ella para poder leer el contenido de la misma.
6) Cerrad el explorador de archivos en el equipo 2, y ahora volved al equipo 1.
7) Modificad la contraseña del usuario en el equipo 1 con el que estamos realizando el ejercicio.
8) Volemos al equipo 2 y repetimos el paso 4. Al no coincidir ya las contraseñas no debería
dejarnos acceder al recurso COMPARTIDO, y debería pedirnos por pantalla un nombre de
usuario y una contraseña para poder acceder (imagen inferior). No introducid ninguna y
cancelad la operación.
9) Volved a dejar la contraseña del usuario del equipo 1 como estaba anteriormente.
10) Repetid el paso 4 en el equipo 1 de nuevo, y comprobad como ahora si deja acceder a la
carpeta de nuevo, ya que las contraseñas vuelven a coincidir.
TEMA 4
Página. 51
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
ACCESO ANÓNIMO A LOS RECURSOS COMPARTIDOS.
Como hemos indicado anteriormente, cuando un usuario intenta acceder a un recurso compartido en
nuestro equipo, el sistema lo identifica por la pareja “Nombre de Usuario/Contraseña” que está utilizando
en la máquina remota, y comprueba si existe algún usuario en nuestro sistema con ese mismo nombre de
usuario y contraseña.
Si se encuentra una cuenta de usuario igual, el sistema considera que es un usuario local que está
accediendo remotamente, y se comprueba primero si tiene permiso para acceder al recurso de red, y
posteriormente se comprueba en seguridad si tiene permisos NTFS para acceder al recurso.
Si el usuario que intenta acceder a nuestro sistema no utiliza una cuenta de usuario/contraseña que sea
reconocible por nuestro equipo, el sistema comprueba el valor que le hemos dado a la opción “Uso
compartido por protección por contraseña”. Si hemos activado dicha opción denegará la entrada del
usuario a nuestro sistema. Si en los permisos del recurso aparece el grupo “Todos” o bien el usuario
“Invitado” le permitirá el acceso como Invitado.
Si la cuenta del usuario invitado esta desactivada en el equipo que comparte recursos, es obvio que no
podrá usarse para acceder al equipo. Cuando alguien intente acceder con una cuenta desconocida a
nuestro sistema en este caso, verá un formulario donde se le pedirá un nombre de usuario y contraseña
para acceder al recurso.
Si la cuenta del usuario invitado esta activada en el equipo que comparte recursos, será usada
inmediatamente para cualquier cuenta desconocida. En este caso el sistema que intente acceder a
nuestra maquina verá un formulario indicándole que no tiene permisos para acceder, siempre que
hayamos activado la opción de “Uso compartido por protección por contraseña”.
Vamos a solucionar esto, de tal modo que podamos acceder como usuario anónimo (sin nombre de
usuario y contraseña) a los recursos de nuestro equipo, pero teniendo activado el uso compartido por
protección por contraseña, que es la opción más segura.
Para solucionar este problema, debemos ejecutar la consola de políticas de seguridad de Windows, es
decir SECPOL.MSC.
TEMA 4
Página. 52
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Dentro de esta consola debemos acceder a Directivas locales – Asignación de derechos de usuario –
Denegar el acceso a este equipo desde la red.
Vemos como en esta opción de Denegar el acceso a este equipo desde la red aparece el usuario Invitado.
Es por esto por lo que no podemos acceder anónimamente a nuestro equipo desde la red. Modificad esta
opción eliminado la cuenta de usuario Invitado.
Si ahora volvemos a intentar entrar en nuestro equipo desde la red con una cuenta desconocida, veremos
como ya no recibimos un mensaje de acceso denegado general, sino que nos permite en un primer
momento entrar, aunque lo más probable es que no tengamos permisos para usar los recursos.
Esto es así porque el usuario Invitado no aparecerá en la lista de permisos NTFS (ACL) del recurso
compartido, y tampoco en los permisos de red del mismo. En Windows 7 el usuario Invitado no forma
parte del grupo Todos, de modo que aunque veamos en los permisos a dicho grupo, el invitado sigue sin
tener permisos.
En este momento podemos hacer dos cosas:
1) añadir al usuario invitado en los permisos de red y en los permisos NTFS.
2) Indicarle a Windows 7 que considere que Invitado forma parte del grupo Todos.
Cualquiera de las dos opciones es correcta. La primera nos obliga a trabajar un poco más ya que
tendremos que ir añadiendo Invitado a cada recurso en el que queremos que acceda, mientras que en la
segunda por defecto Invitado ya podrá acceder a todas las carpetas, ya que por defecto se asigna al grupo
Todos con permisos de Lectura.
Sin embargo, la primera opción nos permite indicar dónde queremos que se acceda anónimamente y
donde no. Depende lo que queramos hacer, hay que utilizar una opción u otra.
TEMA 4
Página. 53
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Para añadir al usuario Invitado en los permisos, solo tenemos que añadirle en permisos de red y en
permisos NTFS o de Seguridad.
La otra opción es indicarle a Windows que añada al usuario Invitado al grupo Todos. Esto lo hacemos
desde la consola de políticas de seguridad, SECPOL.MSC.
Vemos cómo debemos Habilitar la opción “Acceso a redes: permitir la aplicación de los permisos Todos a
los usuarios anónimos” que encontraremos en Directivas locales – Opciones de seguridad.
TEMA 4
Página. 54
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Hay que tener en cuenta que Todos solo aparece en permisos de red, por lo que tendremos que añadir
también el grupo Todos a los permisos NTFS antes de que los usuarios anónimos puedan acceder al
recurso.
Propongamos ahora un ejercicio para reforzar el tema de compartición de recursos:
En una tienda disponen de 2 ordenadores conectados en red. Uno de ellos está en el mostrador y es donde
corre el programa de ventas y el otro ordenador está en el despacho del responsable de la tienda. En el
equipo mostrador tienen cuenta creada los siguientes usuarios:
Juan (es el responsable de la tienda)
María (trabajador)
Ana (trabajador)
Paco (trabajador)
Luisa (pertenece a una compañía informática que asesora a la empresa)
En el equipo despacho solo tienen cuenta creada Juan y Luisa.
A luisa le encargan lo siguiente:
Juan quiere tener en su escritorio unos iconos que le permitan consultar las carpetas “facturación” y
“ventas” que existen en el ordenador del mostrador para llevar un control de la tienda.
Juan quiere tener una carpeta en el ordenador del mostrador donde él pueda grabar sus archivos, pero
no quiere que ningún usuario pueda entrar en dicha carpeta.
En el ordenador del mostrador, cada trabajador quiere tener una carpeta propia donde guardar sus
archivos, pero no quieren que dichas carpetas puedan ser leídas por nadie más.
En el ordenador del despacho, Juan quiere tener una carpeta donde él pueda guardar cosas, y quiere que
todos los trabajadores puedan leer las cosas que el guarde allí.
En el ordenador del despacho, Juan quiere tener una carpeta que sirva como buzón de sugerencias, quiere
que todo el mundo pueda escribir y leer en dicha carpeta.
Juan quiere que nadie que no sea el o Luisa en todo caso, puedan abrir sesión en los ordenadores los
domingos durante todo el día, y el resto de los días por la noche (de 22:00 a 07:00 horas).
Juan no quiere que sus trabajadores usen contraseñas simples, ya que el ordenador del mostrador está
muy expuesto al público, así que quiere asegurarse de que sus trabajadores usen contraseñas complicadas
y que tengan que cambiarlas cada 30 días sin poder volver a usar las que ya tenían. Obviamente el no
desea tener que cambiar su contraseña de esa manera.
MONTAR RECURSOS COMPARTIDOS.
Podemos montar recursos compartidos de la red como unidades de volumen en nuestro equipo. Esto lo
podemos hacer bien utilizando el comando NET USE o bien desde el explorador de archivos.
Así, si por ejemplo queremos que el recurso compartido \\192.168.102.46\Almacen este montado en
nuestra maquina como el volumen X: la orden sería:
TEMA 4
Página. 55
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
NET USE X: \\192.168.102.46\Almacen
Vemos aquí un ejemplo de cómo montamos en un equipo como volumen M un recurso compartido de
red con nombre Huerta_en_red.
Una vez realizada la anterior orden, en nuestro explorador de archivos vemos como nos ha aparecido un
volumen M.
Este montaje es temporal, solo existirá mientras no cerremos sesión. Si queremos que el montaje sea
persistente, debemos añadir a la orden el parámetro /PERSISTENT:YES.
NET USE X: \\192.168.102.46\Almacen /PERSISTENT:YES
TEMA 4
Página. 56
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Estas mismas opciones las podemos realizar desde el explorador de archivos. Simplemente abrir desde
el explorador Equipo y usar la opción que aparece en la barra superior denominada “Conectar a unidad
de red”.
RESTAURACIÓN DEL SISTEMA.
Un driver mal diseñado, un programa malicioso o mal programado, un error por nuestra parte, una
corrupción del registro… existen muchas causas por las que nuestro sistema puede volverse inestable o
incluso dejar de funcionar totalmente. En estos casos, una ayuda imprescindible es la capacidad de
Windows de Restaurar el sistema a un punto anterior, lo que eliminara automáticamente todos los
cambios que hayamos realizado en nuestro equipo desde el momento en que se creó dicho punto de
restauración.
Para restaurar nuestro equipo a un punto anterior, debemos irnos a Inicio → Panel de control → Sistema
y seguridad -> Centro de actividades - Restaurar el equipo a un punto anterior en el tiempo.
(Existen otros modos de llegar a esta utilidad, como por ejemplo Inicio – escribir restaurar – pulsar Intro).
TEMA 4
Página. 57
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Desde esta herramienta, podemos restaurar el equipo a un punto anterior.
Cada punto de restauración de sistema que se crea, consume un espacio en disco. Cada cierto tiempo,
Windows crea sus propios puntos de restauración, y también son creados automáticamente cuando
instalamos nuevo software o drivers siempre que estos sean considerados importantes por el sistema.
El total del espacio en disco que pueden ocupar entre todos los puntos restauración, así como el
funcionamiento general del programa de restauración, pueden ser ajustados desde la configuración de
Restaurar Sistema. A esta configuración podemos llegar desde las propiedades del sistema en la pestaña
Protección del sistema.
Un problema que puede suceder en Windows es que se reciban mensajes de que una unidad no tiene
espacio disponible sin razón aparente. En estos casos, a veces basta con acceder a estas propiedades y
TEMA 4
Página. 58
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
desactivar restaurar sistema en esa unidad. No es buena idea desactivar toda la restauración del sistema,
ya que nos quedaremos sin posibilidad de dar marcha atrás cuando se produzca algún error en el equipo.
Vemos como desde esta ventana también podemos forzar a que se cree un punto de restauración en este
mismo momento, usando el botón “Crear”.
Cuando se crea un punto de restauración, y no existe espacio suficiente, Windows elimina el punto de
restauración más antiguo que encuentre. No existe forma de salvaguardar un punto de restauración en
concreto.
Por cada punto de restauración podemos indicar si queremos que se salvaguarden los archivos
únicamente, o bien los archivos y la configuración del propio sistema.
Siempre que nos encontremos un equipo con problemas, es buena idea restaurar el sistema a un punto
anterior, para descartar que sea problema del algún software instalado recientemente.
CONFIGURACIÓN DEL INICIO DEL SISTEMA.
Una vez que iniciamos sesión en nuestro equipo, una buena cantidad de programas se ejecutan
automáticamente. Si queremos controlar que programas se ejecutan en el inicio, podemos ejecutar el
comando msconfig.
Aquí, en la pestaña General podremos establecer que la próxima vez que reiniciemos el equipo se inicie
cargando solo los dispositivos y servicios básicos. Esta opción es interesante si vemos que el equipo no
TEMA 4
Página. 59
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
está funcionando correctamente, ya que podemos asegurarnos de si el error esta en algún dispositivo o
servicio.
En las pestaña arranque podremos modificar las opciones de winload, el programa que se encarga de
cargar Windows. Podemos seleccionar el sistema operativo que se carga por defecto, si queremos
arranque a prueba de errores cargando una versión mínima de Windows, si queremos desactivar el
entorno gráfico (GUI), el tiempo de espera en el que aparecerá el menú para escoger un sistema operativo,
etc.
Desde la pestaña Servicios, veremos todos los servicios que están disponibles en nuestro sistema, y el
estado del mismo. Los servicios son procesos que se ejecutarán en nuestra máquina, pero que no serán
lanzados por nosotros, sino por el mismo sistema. Se ejecutan siempre, aunque ningún usuario inicie
TEMA 4
Página. 60
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
sesión y están protegidos por el sistema. Desde esta ventana, podemos deshabilitar servicios que no
deseemos que se ejecuten en nuestro sistema.
Desde la pestaña Inicio de Windows veremos los programas que se ejecutan en nuestro sistema cada vez
que un usuario inicia sesión. Es importante recordar que Windows no necesita ni uno solo de estos
programas para funcionar, de modo que si los desactivamos el sistema no se resentirá, aunque
evidentemente algunos de estos programas pueden ser interesantes para nosotros y no conviene
desactivarlos. Es importante que esta lista este lo más limpia posible, pues el rendimiento del sistema se
resiente mucho si cargamos demasiados programas al inicio.
Una buena práctica consiste en comprobar todos los programas que se cargan en el inicio, cosa que
podemos hacer escribiendo el nombre del ejecutable directamente en google, el que nos informará
normalmente de qué tipo de programa es, y si es conveniente desactivarlo o no.
Desde la pestaña herramientas podremos acceder rápidamente a algunas de las configuraciones más
útiles de Windows, como puede ser la configuración de UAC (control de usuarios) el visor de eventos, las
propiedades del sistema, etc.
TEMA 4
Página. 61
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
ADMINISTRADOR DE TAREAS.
Podemos acceder al administrador de tareas de Windows pulsando CTRL + MAYUSCULAS + ESCAPE una
vez en nuestro Windows. (Esta combinación funciona en cualquier versión de Windows, sin embargo, la
combinación CTRL – ALT – SUPR no funciona a partir de Windows Vista para llegar directamente al
administrador de tareas).
Desde el administrador de tareas podemos ver las aplicaciones propias que se están ejecutando en
nuestro sistema, los procesos que están en memoria así como los recursos hardware que estos procesos
están usando, los usuarios conectados al sistema, el uso de la memoria de nuestro sistema, el uso de la
CPU, etc.
Desde los menús superiores, podemos añadir columnas a las vistas, ordenar por distintos criterios los
procesos, etc. Proceso inactivo del sistema, no es un proceso en sí mismo, sino que muestra los recursos
libres de nuestra máquina.
El formulario del administrador de tareas tiene bastante más potencia de la que parece en un principio:
Desde Archivo – Nueva tarea podemos iniciar cualquier programa que deseemos. Un error muy común
que se produce en Windows es que deja nuestro sistema sin la barra de herramientas, viendo únicamente
el fondo de pantalla. Si lanzamos el administrador de tareas y como nueva tarea indicamos Explorer.exe
conseguiremos volver a funcionar nuestro sistema con normalidad.
Desde Ver – Seleccionar columnas podemos presentar mucho tipo de información en pantalla, como las
lecturas que los programas han realizado en disco duro, etc.
Desde la pestaña Usuarios podemos ver todos los usuarios que han iniciado sesión en nuestro sistema
(veremos por ejemplo los que estén conectados mediante escritorio remoto, los que hayan dejado una
sesión abierta, etc.) y podemos con botón derecho enviarles un mensaje, cerrar su sesión, etc.
ASISTENCIA REMOTA.
La asistencia remota es una utilidad incorporada en Windows que nos permite obtener asistencia (o
prestarla) directamente en nuestro equipo a través de la red local o de Internet. Es una opción
tremendamente cómoda para solucionar problemas informáticos a distancia, siempre y cuando el
problema no afecte a la capacidad del sistema para conectarse a la red.
Para activar esta opción, debemos hacer lo siguiente:
Nos vamos a Propiedades del Sistema, y en la pestaña Acceso Remoto nos aseguramos de que la opción
“Permitir conexiones de Asistencia Remota a este equipo” este activada. Desde configuración avanzada,
podemos elegir si vamos a permitir el control remoto de nuestro equipo, y el tiempo que vamos a permitir
que una invitación que cursemos sea válida.
TEMA 4
Página. 62
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Tanto para prestar asistencia como para recibirla, tenemos que acceder a la asistencia remota de
Windows (podemos escribir directamente asistencia en Inicio),
Desde aquí podemos invitar a una persona para que nos ayude, o bien ayudar a una persona que haya
solicitado nuestra asistencia.
Las invitaciones las podemos realizar de dos formas, bien creando una invitación (que es un archivo que
debemos hacer llegar por cualquier medio al usuario que queremos que nos ayude) o bien mediante la
conexión fácil (siempre que ambos equipos estén conectados a internet al mismo tiempo).
Una vez que se ha establecido la conexión, veremos cómo se ejecuta un programa que permite usar el
ordenador del solicitante de ayuda a distancia, incluso llegando a tomar el control del mismo, y que al
mismo tiempo permite que el usuario que está recibiendo ayuda revise las operaciones que se están
llevando a cabo. El programa también incluye opciones de chat, de interrumpir el control en cualquier
momento, etc.
TEMA 4
Página. 63
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
ESCRITORIO REMOTO.
Windows XP también cuenta con la opción de controlar una maquina remotamente, desde cualquier
punto de nuestra red local o incluso desde Internet. De este modo, podemos por ejemplo controlar
nuestro PC situado en nuestra casa desde nuestro PC del instituto, pudiendo realizar las mismas acciones
o casi si estuviéramos sentados delante de nuestra máquina.
Para realizar esto, primero debemos configurar el equipo a controlar para que utilice escritorio remoto.
Para ello, si el equipo trabaja con Windows XP debemos abrir Sistema en Panel de Control. En la pestaña
Remoto debemos activar alguna de las casillas de verificación Permitir conexiones. La diferencia entre
ambas es que en la primera permitiremos la conexión con cualquier versión del software de escritorio
remoto, mientras que en la segunda obligaremos a que usen la nueva versión del software (incorporada
en Windows 7).
Para que podamos activar esta opción, debemos haber entrado en el sistema como un usuario con
permisos de administración. Vemos también como desde aquí podemos seleccionar los usuarios de
nuestro sistema que podrán acceder desde el exterior (es imposible acceder desde el exterior con una
cuenta de usuario que no tenga contraseña).
Una vez que hemos activado en la maquina a controlar el acceso remoto a la máquina, ya podemos
controlarla remotamente. Para ello, nos situamos en la maquina desde la que queremos controlar nuestro
PC y ejecutamos el asistente “Conexión a Escritorio Remoto”.
Para abrir Conexión a Escritorio remoto, hacemos clic en Inicio, seleccionamos Programas o Todos los
programas, Accesorios, y a continuación, clic en Conexión a Escritorio remoto.
En el formulario que nos aparece, debemos antes que nada pulsar en opciones, para que nos aparezcan
todas las opciones del software, ya que por defecto este software nos pedirá muy poca información.
TEMA 4
Página. 64
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
Si usamos la versión simple del software, debemos indicarle a conexión a escritorio remoto a que equipo
nos queremos conectar (podemos usar el nombre del equipo o su dirección IP). Una vez conectado al
equipo, nos pedirá que iniciemos sesión (para lo que necesitaremos un nombre de usuario y contraseña
usado en la maquina a controlar). Si en la maquina a controlar existe alguna sesión abierta, se cerrará
para permitir abrir nuestra sesión.
Si en Conexión a Escritorio Remoto, pulsamos Opciones podremos modificar la configuración de la
conexión, indicando un nombre de usuario y contraseña que se utilizaran directamente, cambiando la
resolución de la pantalla de control, etc. Incluso podemos hacer que los volúmenes de datos de ambos
sistemas funcionen a la vez con lo que podemos copiar archivos de un sistema a otro, modificar las
opciones de rendimiento, usar las tarjetas de sonido, etc.
Todas las versiones de Windows clientes, sufren una limitación, por la cual sólo un usuario podrá usar
Windows al mismo tiempo, de modo que si nos conectamos mediante escritorio remoto a un equipo, si
un usuario está usando ese mismo equipo tendrá que parar su sesión mientras nosotros controlamos la
máquina. Del mismo modo, si alguien inicia sesión en una maquina en la que se esté trabajado
remotamente, la conexión remota se cerrará. Esta limitación es solo comercial, en Windows Server
pueden trabajar al mismo tiempo muchos usuarios sobre la misma máquina, tanto en sesión local
(sentado delante de la maquina) como con escritorio remoto.
El usuario que entra en nuestro equipo por escritorio remoto es un usuario estándar del sistema a todos
los efectos. De hecho el sistema trata a dicho usuario como si estuviera sentado delante del ordenador y
hubiera abierto sesión de forma interactiva normal y corriente.
El protocolo que se utiliza para estas conexiones es el RDP (Remote Desktop Protocol) y el software que
hemos visto es un servidor RDP (instalado en el propio Windows) y un cliente RDP (conexión a escritorio
remoto). Podemos encontrar servidores y clientes RDP en todos los sistemas operativos, y son totalmente
compatibles entre sí.
TEMA 4
Página. 65
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
CUESTIÓN DE CUOTAS DE DISCO
Los usuarios que utilizan un ordenador comparten numerosos recursos, entre ellos un espacio de
almacenamiento que es limitado.
En versiones previas de NTFS, que es el principal sistema de archivos que utiliza Windows, las operaciones
que un usuario podía efectuar sobre los archivos y carpetas estaban controladas o restringidas por los
correspondientes atributos de seguridad. Nada impedía, no obstante, que un usuario con posibilidad de
escritura en una carpeta utilizase todo el espacio disponible en la unidad de almacenamiento llegando,
incluso, a llenarla y bloquear el sistema.
En las nuevas versiones de NTFS existe un concepto, denominado cuota de disco, mediante el cual el
administrador del sistema puede limitar el espacio de forma genérica, a todos los usuarios, o bien de
manera selectiva a algunos en concreto.
Esta limitación puede ser “blanda”, un simple aviso indicándole que está ocupando más espacio del que
debería, o bien “dura”, negándole más espacio en disco del que tiene asignado.
La administración del sistema de cuotas de NTFS se efectúa desde la página de propiedades del disco
correspondiente, como puede apreciarse en la figura anterior. Inicialmente el control de cuotas está
desactivado, pero basta con marcar en Habilitar la administración de cuotas para activarlo y poder
configurarlo. En caso de no habilitarse, hay que buscar la política de grupo correspondiente y habilitarla.
Las cuotas que se establecen en la página principal de este formulario son cuotas que afectan a todos los
usuarios del sistema. Desde el botón valores de cuotas podemos establecer cuotas que afectan
únicamente a usuarios específicos.
TEMA 4
Página. 66
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
ENLACES BLANDOS Y DUROS.
En los sistemas de archivos Linux (ext2, ext3, ext4, etc.) existe el concepto de enlace de un fichero. Un
enlace no es más que una entrada en el directorio del sistema de archivos. La diferencia es que en sistemas
como FAT sólo puede existir una entrada de ese tipo para cada archivo, mientras que en otros sistemas
se pueden crear tantos enlaces como se necesiten. De esta forma, un mismo archivo puede aparecer en
distintas carpetas o directorios incluso con un nombre distinto.
INDICE DEL DISCO
DURO
DISCO DURO
DATOS DE LA PELICULA (600 MB)
ENLACES DUROS
PELICULA.AVI
FILM.AVI
Con la aparición de Windows 95 se incorporó como novedad al sistema operativo de Microsoft el
concepto de acceso directo (enlace blando). A diferencia de un enlace duro, un acceso directo es un
archivo y no sólo una entrada de directorio. Ese archivo, no obstante, contiene la información necesaria
para apuntar a otro, independientemente de dónde se encuentre, su nombre o su tipo. Un acceso directo
puede, además, apuntar a otro tipo de recursos, y no sólo a archivos o carpetas como los enlaces clásicos.
INDICE DEL DISCO
DURO
DISCO DURO
DATOS DE LA PELICULA (600 MB)
ACCESO DIRECTO (10 KB)
ENLACE BLANDO
PELICULA.AVI
FILM.AVI
Así, si copiamos a un llavero USB un enlace duro a un fichero, estamos copiando realmente el fichero, sin
embargo, si copiamos a un llavero USB un enlace blando, estamos copiando el acceso directo y no el
fichero real.
En NTFS también pueden crearse enlaces duros, ya que este sistema de archivos se ajusta al estándar
POSIX. La familia Windows NT (NT, 2000, 2003, 2008, XP, Vista y 7) incluyen una utilidad para crear
enlaces duros (fsutil) que además, permite realizar una gran cantidad de acciones administrativas
avanzadas sobre los sistemas de ficheros.
Por ejemplo:
fsutil file createnew ficherito 12000
TEMA 4
Página. 67
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
crea un fichero con nombre ficherito con un tamaño de 12.000 Bytes.
fsutil
hardlink
create
c:\jose\pelicula.avi
c:\peliculas\transformers2.avi
crea en la carpeta jose un fichero película.avi, que es en realidad el fichero transformers2.avi. No hay que
confundir esto con un acceso directo o enlace blando, porque realmente en la carpeta jose hay una
película completa (la puede copiar, ver, borrar, etc.). Sin embargo la película solo esta almacenada una
vez en el volumen de datos, lo único que hemos duplicado es la entrada de ficheros en el sistema de
ficheros (en el índice de ficheros).
Como práctica:
1.
Dentro de la carpeta ISO de vuestra raíz de datos, crear tres carpetas “hermanas” con nombres
LUIS, JUAN y CARMEN.
2.
Crear un fichero dentro de LUIS con nombre COUNTER.EXE de 10 MB.
3.
Crear un enlace duro a dicho fichero (COUNTER.EXE) dentro de las carpetas JUAN y CARMEN.
4.
Crear un enlace blando (acceso directo) a dicho fichero (COUNTER.EXE) dentro de las carpetas
JUAN y CARMEN.
5.
Comprobad las diferencias que existen entre los enlaces duros y blandos copiados.
TEMA 4
Página. 68
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
COMPRESIÓN Y ENCRIPTACIÓN DE ARCHIVOS
Un archivo en una unidad NTFS puede albergar varios flujos de datos separados, algo que no es posible
en otros sistemas de archivos como FAT. Esos flujos de datos pueden almacenarse en la unidad tal cual,
pero también existe la alternativa de comprimir o cifrar dichos flujos de datos. Dichas opciones son
excluyentes entre sí, es decir, podemos comprimir o cifrar, pero no ambas cosas al mismo tiempo.
El mecanismo de encriptación de archivos de NTFS se basa en el uso de una clave pública de usuario y da
lugar al sistema de archivos conocido como EFS (Encrypted File System). En la figura anterior se puede ver
la opción que permite cifrar un archivo o todo el contenido de una carpeta. Dicha opción se encuentra en
las propiedades del fichero o directorio.
Los datos cifrados por un usuario no son visibles para los demás usuarios, que podrán ver los ficheros,
pero no podrán ver su contenido. Esto permite un nivel de seguridad en los datos almacenados en disco
bastante alto, al tiempo que todo el proceso de cifrado y descifrado se efectúa de manera transparente a
medida que se leen o escriben los flujos de datos en los archivos. La única indicación de que un archivo
está cifrado, la encontrará entre sus atributos o en el color que le suele dar Windows, verde en el caso de
los ficheros cifrados.
También podemos comprimir del mismo modo ficheros o carpetas. Ya que esta compresión se realiza
directamente por el sistema de ficheros a la hora de almacenar cada clúster, es prácticamente
imperceptible para el usuario. Windows suele dar un color azul a los directorios y ficheros comprimidos y
un color verde a los directorios y ficheros cifrados.
TEMA 4
Página. 69
I.S.O. Instalación y administración de un SO cliente tipo Windows
IMPLANTACIÓN DE SISTEMAS OPERATIVOS. CURSO 16/17
PUNTOS DE MONTAJE
Los usuarios de Windows nunca han tenido que preocuparse de montar las unidades de almacenamiento
que iban a utilizar conectándolas al sistema de archivos,
ya que de esto se ocupaba el propio sistema operativo,
no como en los sistemas Linux.
En la familia Windows NT es el propio sistema el que se
ocupa de montar automáticamente las unidades de
almacenamiento, pero también existe la posibilidad de
que el usuario monte y desmonte las unidades, según le
convenga. Por defecto, Windows identifica las unidades
asignándoles una letra a cada una, (A, B, C,…).
Si observamos la siguiente figura vemos la página de
propiedades de una carpeta llamada DATOS que se
encuentra en la unidad D:\. En la página de propiedades
se indica que DATOS es un Volumen montado, es decir,
su contenido no está físicamente en la unidad donde
aparece la carpeta (D), sino en otro volumen. (En este
caso, el marcado como destino, un disco duro con
nombre ALMACEN).
Estos puntos de montajes se pueden realizar, bien mediante funciones de programación o mediante el
administrador de discos usado en la familia Windows (Inicio – Ejecutar - diskmgmt.msc).
Podemos crear nuevos volúmenes, y en lugar de darles “letra” podemos montarlos en directorios de otro
volumen. También podemos crear “letras” que en realidad no apuntan a ningún volumen, sino a un simple
directorio.
TEMA 4
Página. 70
I.S.O. Instalación y administración de un SO cliente tipo Windows
