Guía de Repaso · ISO — Dominio, AD, GPOs y Permisos

Implantar un dominio

La clave del examen no es memorizar: es leer bien el enunciado y extrapolar el concepto. Si tienes el concepto, te da igual cómo te lo cuenten.

¿Quién es el controlador y quién el cliente?

Regla rápida: el Controlador de Dominio (DC) necesita Windows Server. El equipo con un Windows de escritorio será el cliente.

EQUIPO 1DC

S.O.	Windows Server 2019
IP	192.168.100.5
Máscara	255.255.255.0
DNS primario	incorrectola IP del propio servidor o 127.0.0.1 (loopback)
Grupo de trabajo	WORKGROUPdebe ser el dominio: formacion.local

EQUIPO 2CLIENTE

S.O.	Windows 10 HomeHome NO entra en dominio → mínimo Pro
IP	192.168.0.100no está en la red → 192.168.100.x
Máscara	255.255.255.0
DNS primario	88.88.88.88primario = IP del servidor (esa irá en el secundario)
Grupo de trabajo	WORKGROUPformacion.local

◆El truco del loopback: 127.0.0.1 apunta al propio equipo. En el servidor sirve como DNS primario (apunta a sí mismo). Pero en el cliente NO sirve: apuntaría al cliente, no al servidor, y no podría unirse al dominio. Cuidado, que esto lo ponen para liar.

Caza el error — interactivo

Te doy configuraciones del equipo cliente. Toca cada línea para revelar si está bien o mal y por qué. (Sin precipitarse, que hay tiempo de sobra 😉)

Active Directory

Los objetos del Directorio Activo y, sobre todo, las Unidades Organizativas (el contenedor estrella).

Tipos de objetos del AD

Usuarios (users)

Las cuentas de las personas.

Equipos (computers)

Las máquinas unidas al dominio.

Grupos (builtin)

Agrupan usuarios para dar permisos.

Unidad Organizativa (OU)

El contenedor. Dentro: usuarios, grupos, equipos, impresoras y carpetas compartidas.

▸Domain Controllers es el contenedor del equipo controlador del dominio. No lo confundas con la ventana de GPOs.

◆Recuerda: dentro de una OU puedes meter usuarios, grupos y equipos (también impresoras y carpetas compartidas). Es como una carpeta para organizar el dominio.

Perfiles de usuario

Caso típico: tres usuarios de laboratorio que cambian de equipo y necesitan su misma configuración estén donde estén.

PERFIL DE RED

Perfil móvil

El usuario tiene su misma configuración y datos en cualquier equipo. Ideal para los del laboratorio. Se guarda en red y "viaja" con el usuario.

Archivo: NTUSER.DAT

Se configura con la variable %username% para que tome el nombre de cada usuario.

PERFIL DE RED

Perfil obligatorio

El usuario no puede guardar cambios. Al cerrar sesión y volver a entrar, todo lo creado se borra: siempre arranca igual.

Archivo: renombrar NTUSER.DAT → NTUSER.MAN

MAN = Mandatory = el que MANDA. Truco para no liarte.

▸¿Dónde se guarda el perfil LOCAL? En C:\Users. Ahí se almacenan los perfiles de los usuarios de Windows. Tenlo siempre en mente.

◆Memoria rápida: .DAT = móvil (como un invitado que conserva su config) · .MAN = obligatorio (manda, no deja cambiar nada).

Auditorías

"Saber cuándo un trabajador accede a una carpeta" → la respuesta es auditoría. El chivato del sistema.

Proceso

Ir al controlador de dominio → Default Domain Policy → botón derecho → Editar (estás editando una directiva de grupo / GPO).
Activar el tipo de auditoría: acceso a objetos, acceso al servicio de directorio, cambio de directivas, seguimiento de procesos…
Después se concreta en el SACL (lista de control de acceso de seguridad) de la carpeta: propiedades → seguridad → opciones avanzadas → pestaña Auditoría.

▸El DHCP no se puede auditar. Por descarte: las auditorías van de objetos, carpetas y privilegios. Si ves DHCP en una opción de auditoría → mal.

Aciertos vs. Errores

AUDITORÍA DE ACIERTOS

Se han aplicado correctamente los derechos de usuario. Tienes permiso, entras → queda registrado el acceso correcto.

AUDITORÍA DE ERRORES

Se ha producido un error en el ejercicio de los derechos. Intentas entrar sin permiso → "acceso denegado" → queda registrado el intento erróneo.

La foto de la auditoría: 3 cosas

1 · Entidad de seguridad — el usuario o grupo al que aplicas la auditoría (arriba del todo).
2 · Tipo (Error / Correcto) — qué suceso auditas, según los permisos configurados en la ACL.
3 · Permisos — qué permisos concretos vas controlando (lectura, ejecución…).

◆Separa siempre: los permisos van por la ACL; las auditorías van por la SACL. Son cosas distintas que conviven.

Directivas de seguridad (GPOs)

"La chicha bonita": controlar a nivel de Windows qué puede y qué no puede hacer cada equipo o usuario.

Las dos directivas predeterminadas

Default Domain Controllers Policy

Configura la seguridad de todos los controladores del dominio.

Palabra clave: controllers → controladores.

Default Domain Policy

Configura la seguridad de todos los miembros del dominio.

Sin "controllers" → aplica a todos.

▸Las dos ya vienen creadas (son directivas predeterminadas). Una GPO = una directiva de grupo (te pueden llamar igual a las dos cosas).

GPOs en Unidades Organizativas

Botón derecho sobre la OU → "Crear una GPO en este dominio y vincularla aquí". Así la directiva se aplica solo a los usuarios/equipos de esa OU (ej: una GPO solo para los alumnos).

◆Ejemplos que hicimos: no poder apagar el equipo, no acceder al Panel de Control, mostrar un saludo al iniciar sesión… La flechita en la GPO es un acceso directo (vínculo): borrarlo elimina el vínculo, no la GPO original.

Permisos

Compartir vs. Seguridad (NTFS/ACL). La pregunta favorita del examen.

El truco visual

PESTAÑA COMPARTIR

Solo 3 permisos:

Control total
Cambiar
Leer

Si ves SOLO 3 permisos → estás en Compartir.

PESTAÑA SEGURIDAD (NTFS / ACL)

Muchos más permisos. Son los permisos que un usuario tiene sobre archivos y carpetas.

Si ves MÁS de 3 permisos → estás en Seguridad.

Heredados vs. Explícitos

Gris clarito / difuminado

Permisos heredados (vienen de la carpeta padre).

Negro / oscuro

Permisos explícitos (asignados directamente).

▸Regla de oro: ante un conflicto, la denegación (lo más restrictivo) SIEMPRE prevalece. Aunque tengas permiso de compartir, si en Seguridad no lo tienes, no entras.

◆¿Dónde guardar los directorios compartidos? En el servidor controlador de dominio (para que los clientes se conecten por red). Recomendable que NO sea en C:.

Eventos y monitorización

Diagnosticar qué pasa en el servidor: el Visor de eventos y las herramientas de rendimiento.

Visor de eventos

Registros de Windows (apréndetelos en orden):

Aplicación
Seguridad
Instalación
Sistema
Eventos reenviados

Tipos de suceso

Crítico

Error del que el sistema NO se puede recuperar.

Error

Problema importante.

Advertencia

Aviso (el amarillo).

Información

Suceso normal informativo.

Herramientas de rendimiento

Monitor de rendimiento — contadores (lectura/escritura, etc.).
Monitor de recursos — uso de recursos en detalle.
Administrador de tareas — Ctrl + Alt + Esc. (Cuidado, lo ponen en el examen.)

Asistencia remota · WDS · WSUS

Atender incidencias y desplegar/actualizar Windows en la red.

Asistencia y escritorio remoto

Permiten que el personal de soporte vea el escritorio del usuario en tiempo real. Al atender una incidencia es tan importante resolverla como documentarla: si se repite, ya tienes la solución.

▸Documentar siempre lo aprendido en incidencias anteriores. Es lógico y vital en entornos empresariales grandes.

WDS — Servicio de Implementación de Windows

Sirve para instalar sistemas operativos de forma remota en los ordenadores.

Necesita un servidor de implementación y un servidor de transporte.
Requisito previo: tener configurado el DHCP.

WSUS

Servicio para gestionar las actualizaciones de Windows de forma centralizada.

◆No confundas: WDS = desplegar/instalar el S.O. · WSUS = actualizaciones.

★

Flashcards

Toca cada tarjeta para girarla. Tápalas mentalmente y comprueba si te sale la respuesta.

✓

Test final

12 preguntas tipo test, como en el examen. Una sola respuesta correcta. ¡A por el notazo!