El trabajo de un administrador de red consiste en una gran cantidad de detalles y, si hay que hacerles frente, es necesario buscar formas de gestionarlos y controlarlos. Microsoft Windows 2000 proporciona muchas herramientas para ello, incluyendo las que permiten delegar tareas a otros usuarios o grupos, utilizar archivos de comandos para automatizar tareas y tareas programadas para ejecutarse periódicamente. De todas formas, administrar una red es aún así un enorme proceso de planificación y organización, y en este área no hay sustituto para el poder de la mente.

Inicio de sesión secundario

La práctica administrativa recomendada dicta que un administrador sólo debe iniciar sesión con una cuenta privilegiada (una con derechos administrativos) cuando esté realizando tareas que requieran privilegios. Para el trabajo ordinario, se supone que el administrador cierra la sesión de la cuenta privilegiada e inicia otra con una cuenta ordinaria. Por supuesto, no es inusual que diez minutos más tarde surja una situación que requiera el uso de la cuenta privilegiada. Entonces es necesario cerrar la sesión de la cuenta ordinaria e iniciar sesión de nuevo en la cuenta de administrador, repitiéndose el proceso a la inversa diez minutos más tarde.

Después de que se repita esto durante varios días, incluso la persona más preocupada por la seguridad empieza a darle vueltas a la idea de iniciar sesión con la cuenta de administrador y quedarse en ella. Y, con el tiempo, muchos administradores sucumben a la tentación y permanecen en la cuenta privilegiada la mayor parte del tiempo.

Esta práctica hace que los sistemas Microsoft Windows NT sean altamente susceptibles a ataques del tipo «caballo de Troya». Simplemente ejecutar Microsoft Internet Explorer y acceder a un sitio Web sin confianza puede ser muy arriesgado si se hace desde una cuenta de administrador. Se puede descargar y ejecutar en el sistema una página Web con código caballo de Troya. La ejecución, realizada en el contexto de los privilegios administrativos, será capaz de hacer un daño considerable, incluyendo cosas como volver a dar formato al disco duro, eliminar todos los archivos o crear un nuevo usuario con acceso administrativo. Si se piensa, es como darle las llaves de la red a un completo (y malicioso) desconocido.

Este problema ya se trata en Windows 2000 por medio del servicio RunAs. Este servicio permite trabajar en una cuenta normal sin privilegios y aún así acceder a funciones administrativas sin tener que cerrar la sesión e iniciarla de nuevo. Para configurar el servicio RunAs hay que seguir estos pasos:

1. Desde una sesión con derechos administrativos, hay que escoger Servicios en el menú Herramientas administrativas.
2. En la lista de servicios, hay que pulsar dos veces en el Servicio RunAs.
3. Comprobar que el Tipo de inicio está establecido a Automático y que el Estado del servicio es Iniciado. (Si no es así, hay que pulsar el botón Iniciar.) Pulsar Aceptar para cerrar el cuadro de diálogo.

Después de realizar estos pasos hay que crear una cuenta de usuario ordinaria para uso particular (si no se dispone ya de una). Conviene asegurarse de que la cuenta de usuario tiene el derecho de iniciar sesión localmente en la máquina que se vaya a utilizar.

Windows 2000 ve todos los controladores de dominio como casos especiales. En un controlador de dominio, por ejemplo, toda la gestión de usuarios y grupos se debe hacer por medio del complemento Usuarios y equipos de Active Directory. Además, de forma predeterminada, los usuarios no pueden iniciar sesión localmente en un controlador de dominio. 

Apertura de una ventana de línea de comandos para administración

Cuando el servicio RunAs está iniciado, se puede iniciar sesión con la cuenta de usuario habitual y abrir después una ventana del intérprete de comandos para realizar tareas administrativas, como sigue:

1. Después de iniciar sesión como usuario normal, hay que abrir una ventana de comandos e introducir el comando runas /user: <dominio\nombreusuario> cmd. En este caso, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesión como usuario local, el comando es runas /user: <nombremáquina\nombreusuario> cmd.
2. Aparece una ventana con el símbolo del sistema y se solicita la contraseña de la cuenta administrativa.
3. Después de introducir la contraseña, aparece una segunda ventana en la que la barra de título indica claramente que se está ejecutando la cuenta seleccionada.

Se puede realizar cualquier tarea de línea de comandos que se desee desde esta ventana. Por supuesto, existen algunas tareas administrativas que no se pueden llevar a cabo desde la línea de comandos o que sólo se pueden hacer con grandes dificultades. Algunas aplicaciones, como el Panel de control y la carpeta Impresoras, las ejecuta el entorno operativo (shell) en el inicio de la sesión, por lo que, si se inicia sesión como usuario ordinario, las funciones del Panel de control permanecen en ese contexto.

Para detener el entorno operativo e iniciarlo de nuevo como un administrador de forma que se puedan utilizar funciones como el Panel de control, hay que seguir estos pasos:

1. Pulsar con el botón derecho del ratón en la barra de tareas y escoger Administrador de tareas en el menú.
2. Pulsar en la pestaña Procesos. Resaltar Explorer.exe y pulsar Terminar proceso. Aparecerá un mensaje de advertencia. Hay que pulsar Sí. Todo el escritorio, excepto la ventana Administrador de tareas de Windows y cualquier aplicación activa, desaparecerá.
3. Seleccionar la pestaña Aplicaciones en el Administrador de tareas de Windows y, después, pulsar Nueva tarea.
4. En el cuadro Crear una tarea nueva hay que introducir runas /user: <dominio\nombreusuario> explorer.exe. Como antes, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesión localmente, hay que utilizar el comando runas /user: <nombremáquina\nombreusuario> explorer.exe.
5. Introducir la contraseña para el nombre del usuario. El escritorio junto con la barra de tareas vuelve a aparecer. Este escritorio se encuentra en el contexto de seguridad del nombre usuario que se especificó en el comando.

Para volver al escritorio del usuario ordinario, hay primero que cerrar sesión del administrador con lo que se quedará en la sesión del usuario por lo que tendremos que volver a utilizar el Administrador de tareas de nuevo iniciar una nueva instancia escribiendo explorer.exe (sin runas, de forma que se vuelva a iniciar Internet Explorer en el contexto de seguridad original) en el cuadro de diálogo Crear una tarea nueva.

No se debe cerrar el Administrador de tareas mientras se está trabajando en el contexto del escritorio administrativo, basta con minimizarlo en la barra de tareas. Cerrar el Administrador de tareas puede producir resultados impredecibles y puede costar más tiempo que el que posiblemente se ahorraría utilizando RunAs.

Herramientas de Administración

Muchas de las herramientas que se necesitarán para gestionar una red Windows 2000 están incluidas como parte de los paquetes Windows 2000 Server y Windows 2000 Advanced Server, pero sólo unas pocas de ellas se instalan automáticamente junto con el sistema operativo.

Las Herramientas de las que dispone Windows 2000 Server son:

• Administración de equipos: Administra discos, recursos compartidos, usuarios, grupos y servicios en el equipo local.
• Administración del servidor Telnet: Inicia, detiene y devuelve información sobre el servidor Telnet.
• Administrador de clústeres (sólo Advanced Server): Gestiona la configuración de clústeres y nodos.
• Administrador de Extensiones de servidor: Gestiona las extensiones de servidor de Front Page.
• Administrador de servicios Internet: Gestiona los Servicios de Internet Information Server (IIS).
• Administrador de Servicios de Terminal Server: Muestra los servidores de terminal de los dominios en que se confía.
• Almacenamiento remoto: Gestiona el almacenamiento de los archivos a los que no se accede con frecuencia.
• Configuración de Servicios de Terminal Server: Configura las conexiones nuevas de los Servicios de Terminal Server; modifica y elimina las conexiones existentes.
• Configurar el servidor: Define y configura los servicios de Windows.
• Control de admisión QoS (Calidad de servicio): Asigna ancho de banda de red a cada subred.
• Creador de cliente de Servicios de Terminal Server: Crea disquetes para instalar el software cliente de los Servicios de Terminal Server.
• DHCP: Gestiona los servicios del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol).
• Directiva de seguridad local: Muestra y configura los derechos de los usuarios, la directiva de auditoria y otros parámetros de seguridad del equipo local.
• DNS: Gestiona los servicios DNS.
• Dominios y confianzas de Active Directory: Administra las confianzas de los dominios, cambia el modo del dominio y agrega y cambia los sufijos del nombre principal de los usuarios.
• Enrutamiento y acceso remoto: Administra las conexiones telefónicas, las redes privadas virtuales y las conexiones a Internet.
• Entidad emisora de certificados: Administra los Servicios de Certificate Server, que expide certificados para la seguridad de clave pública.
• Kit de administración de Connection Manager: Gestiona y personaliza las conexiones locales y remotas.
• Licencia: Gestiona las licencias de los clientes.
• Monitor de red: Captura tramas de información de la red para detectar y analizar los problemas de la red.
• Orígenes de datos: Agrega, elimina y configura bases de datos y controladores de Conectividad abierta de bases de datos (ODBC, Open Database Connectivity).
• Rendimiento: Muestra gráficos del rendimiento del sistema; configura los registros y alertas de rendimiento.
• Servicio de autenticación de Internet: Configura la seguridad y la autenticación para los usuarios que se conectan telefónicamente.
• Servicios: Inicia, detiene y configura los servicios.
• Servicios de componentes: Configura y administra los componentes y aplicaciones del Modelo de objetos componentes (COM, Component Object Model).
• Sistema de archivos distribuidos: Gestiona la instalación, topología y réplica del Sistema de archivos distribuido (DFS, Distributed File System).
• Sitios y servicios de Active Directory: Establece y administra sitios, la réplica y los servicios de seguridad.
• Telefonía: Gestiona clientes y servidores telefónicos.
• Usuarios y equipos de Active Directory: Administra usuarios, equipos y grupos dentro de un dominio.
• Visor de sucesos: Muestra los registros de aplicación, de seguridad y del sistema.
• WINS: Administra WINS.

Instalación local de las herramientas de administración

Para instalar el conjunto completo de Herramientas de administración localmente hay que abrir la carpeta ¡386 del CD-ROM de Windows 2000 Server o Windows 2000 Advanced Server y, después, pulsar dos veces en el archivo Adminpak.msi. Esto inicia el Asistente para instalación de Herramientas de administración que instalará las herramientas (y más tarde las eliminará y las volverá a instalar, si se desea). Hay que pulsar Siguiente para que proceda con la instalación.

Puesta a disposición de Herramientas de administración de manera remota

Para hacer que Herramientas de administración esté disponible para otros en la red, se pueden asignar las herramientas a otros equipos o publicarlas en Active Directory.

Herramientas de soporte

Las Herramientas de soporte de Windows 2000 son inmensamente valiosas porque proporcionan funcionalidad no disponible en otro caso en el sistema operativo. Se puede obtener una lista completa escogiendo Tools Help en el menú Windows 2000 Support Tools.

Si no se encuentran las Herramientas de soporte de el menú Programas, será necesario instalarlas. Para instalar las Herramientas de soporte de Windows 2000, hay que introducir el CD-ROM de Windows 2000. Hay que abrir la carpeta Support y después la carpeta Tools. Hay que pulsar dos veces en Setup.

Las herramientas proporcionadas en el CD-ROM de Windows 2000 son un subconjunto de las que se pueden obtener adquiriendo el Kit de recursos de Microsoft Windows 2000 Server completo. El Kit de recursos es un producto independiente con su propio CD adjunto.

Network Connectivity Tester (Comprobador de la conectividad de red)

Las conexiones de red pueden fallar en un espectacular número de formas: en cualquier número de servidores y en variedad de configuraciones de cliente. Determinar el origen de un problema puede ser un proceso desalentador. Netdiag.exe puede informar sobre un número igualmente espectacular de funciones, ejecutando comprobaciones en el servidor DNS, el servidor WINS, Kerberos, los vínculos, la WAN, las relaciones de confianza, la configuración IP, la tabla de enrutamiento, IPX, NetWare, DHCP, la puerta de enlace predeterminada y más. Netdiag.exe se puede ejecutar en Windows NT y Windows 95/98 además de Windows 2000, por lo que se puede utilizar esta excelente herramienta de solución de problemas del mismo modo en servidores que en clientes.

Windows 2000 Domain Manager (Administrador de dominios de Windows 2000)

Con Netdom.exe se pueden gestionar muchas formas de administración de dominios desde la línea de comandos. Se pueden añadir, eliminar, cambiar el nombre o trasladar a otro dominio las cuentas de la máquina. Netdom.exe también recupera información sobre las confianzas y permite establecer confianzas, sincronizar el tiempo y verificar las contraseñas de los canales seguros. La sintaxis de Netdom.exe es sencilla, pero el rango de posibles parámetros es extenso.

Active Directory Replication Monitor (Monitor de réplicas de Active Directory)

Active Directory Replication Monitor (Replmon.exe) no sólo monitoriza la réplica a bajo nivel entre servidores, sino que informa sobre un amplio rango de funciones de Active Directory. Muestra la topología del sitio al tiempo que informa sobre las propiedades del servidor, indicando si es un servidor de Catálogo Global y mostrando sus asociados de réplica, su historial de réplica y los atributos replicados.

Las unidades de réplica entre controladores de dominio son particiones de directorio que deben contener la información más reciente sobre los objetos del dominio. Si un servidor cae o la red se interrumpe, la información podría no estar completamente actualizada. Replication Monitor puede sincronizar un servidor monitorizado con un asociado de réplica específico para hacer que todo vuelva a estar en orden. También genera informes de estado de servidores del bosque para poder solucionar los errores de réplica.

Disk Probe

Disk Probe (Dskprobe.exe) es indispensable cuando un disco duro crítico va mal. Es un editor de sectores que se puede utilizar para reparar tablas de partición dañadas, reemplazar el registro de inicio principal y reparar o reemplazar los sectores de inicio de la partición. Incluso mejor, Disk Probe guardará los registros de inicio principal y los sectores de inicio de la partición como archivos que se podrán utilizar para recuperar los sectores si se dañan en el futuro. Esto puede aportar un gran beneficio porque estas estructuras de datos no son parte del sistema de archivos y no se puede hacer copia de seguridad de ellas con ningún programa de copias de seguridad.

Fundamentos de Microsoft Managenent Console

Microsoft Management Console (MMC) es un poderoso añadido al arsenal del administrador del sistema. MMC trabaja como un empaquetador de herramientas del sistema, permitiendo al administrador del sistema crear herramientas especializadas que se pueden utilizar después para delegar tareas administrativas específicas a usuarios o a grupos. Estas herramientas personalizadas, que se almacenan como archivos MMC (.MSC), se pueden enviar por correo electrónico, compartir en una carpeta de red o publicar en la Web. Mediante la configuración de la directiva del sistema también se pueden asignar a usuarios, grupos o equipos. Las herramientas son lo suficientemente flexibles como para que se puedan modificar, ampliar o reducir y darles forma con normalidad para cualquier uso que se les desee dar.

Para construir una herramienta personalizada se puede partir de una consola existente y modificarla o partir de cero. En una red desarrollada se utilizará posiblemente el primer método, tomar consolas predefinidas y añadir o quitar complementos.

Creación de una consola basada en MMC con complementos

La construcción de herramientas personales con la interfaz de usuario estándar de MMC es un proceso sencillo.

1. Pulsar el botón inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, hay que escribir MMC y después pulsar Aceptar. Se abre una ventana MMC vacía, lista para que se añadan complementos.
2. En el menú Consola, hay que seleccionar Agregar o quitar complemento. (Los comandos de menú de la barra de menú de la parte superior de la ventana MMC se aplican a toda la consola.) Se abre el cuadro de diálogo Agregar o quitar complemento. Aquí se puede escoger qué complementos estarán en el archivo de la consola además de activar las extensiones. En el cuadro Complementos agregados, a hay que aceptar el valor predeterminado Raíz de la consola.
3. Pulsar el botón Agregar. Esto abre un cuadro de diálogo que muestra los complementos instalados en el equipo.
4. Resaltar un complemento para ver una descripción de su función. Pulsar dos veces en un complemento para añadirlo a la consola. Para este ejemplo se añadirá Administración de equipos. El cuadro de diálogo Administración de equipos pide que se seleccione el equipo a administrar.
5. Seleccionar la opción Equipo local y seleccionar la casilla de verificación Permitir cambiar el equipo seleccionado al iniciar desde la línea de comandos. Estas opciones son comunes a muchos de los complementos. Hay que pulsar Finalizar.
6. En el cuadro de diálogo Agregar un complemento independiente, hay que seleccionar Visor de sucesos y pulsar Agregar. Como antes, hay que seleccionar la opción Equipo local y seleccionar la casilla de verificación. Pulsar Finalizar y cerrar después la lista de complementos disponibles. El cuadro de diálogo Agregar o quitar complemento muestra dos complementos: Administración del equipo (local) y Visor de sucesos (local).
7. Pulsar en la pestaña Extensiones. De forma predeterminada, el cuadro con etiqueta Agregar todas las extensiones está marcado, lo que significa que cuando se abra esta consola en una máquina particular, se utilizarán todas las extensiones que se instalen localmente. Si esta casilla no está marcada, sólo se cargarán las extensiones seleccionadas en la lista de extensiones disponibles.
8. Pulsar Aceptar para cerrar el cuadro de diálogo Agregar o quitar complemento. La ventana Raíz de la consola tiene ahora dos complementos que parten de la carpeta Raíz de la consola.

Hay que guardar la consola escogiendo Guardar en el menú Consola. Se pedirá un nombre: conviene ser tan descriptivo como sea posible. El archivo se almacena en la carpeta Herramientas administrativas de forma predeterminada. Esta carpeta forma parte del perfil, por lo que tiene el beneficio añadido de que, si se utilizan perfiles móviles, todas las herramientas creadas siguen al administrador.

Personalización del diseño de una consola

Una vez añadidos los complementos, se pueden proporcionar diferentes vistas administrativas a la consola añadiendo ventanas. Para crear una ventana para cada uno de los complementos, hay que seguir estos pasos:

1. En el panel izquierdo de la ventana de la consola, hay que pulsar con el botón derecho en la carpeta Administración del equipo y seleccionar Nueva ventana desde aquí. Esto abre una nueva ventana Administración del equipo con el complemento Administración del equipo como raíz.
2. En la ventana Raíz de la consola, hay que pulsar con el botón derecho del ratón en la carpeta Visor de sucesos y seleccionar Nueva ventana desde aquí. Hay que pulsar el botón de la barra de herramientas Muestra u oculta Árbol de consola en cada ventana para ocultar el árbol de la consola.
3. Cerrar la ventana Raíz de consola original. Desde el menú Ventana hay que escoger Mosaico horizontal.

Obsérvese que los botones y menús de cada ventana sólo se aplican a esa ventana. No se debe olvidar guardar el trabajo después de completar los cambios.

Cuando se crean consolas para administradores de grupos de trabajo u otros usuarios, se puede restringir el uso de la consola. Se pueden establecer opciones de la consola para que los usuarios sólo puedan acceder a las herramientas que permita el administrador. Para establecer las opciones de la consola, hay que seguir estos pasos:

1. Con el archivo de consola abierto, hay que pulsar en el menú Consola y escoger Opciones. Esto abre el cuadro de diálogo Opciones.
2. Pulsar en la pestaña Consola. Escoger el modo de consola:
   1. Modo autor: Sin restricciones. El usuario puede acceder a todas las partes del árbol de la consola además de cambiar este archivo de consola a voluntad.
   2. Modo usuario: acceso completo El usuario puede acceder a todas las partes del árbol de la consola, pero no puede hacer cambios que afecten a la funcionalidad. Los cambios estéticos, como la disposición de las ventanas, se guardan automáticamente.
   3. Modo usuario: acceso delegado, ventanas múltiples El usuario sólo puede acceder a las partes de la consola que eran visibles cuando se guardó el archivo de consola.
   4. Modo usuario: acceso delegado, ventana única Igual que el modo anterior, excepto por que sólo es visible una ventana.
3. En todos excepto en Modo autor, también se puede seleccionar la opción No guardar los cambios de esta consola de forma que la consola se abra siempre en la misma vista.
4. Pulsar Aceptar y guardar el archivo de consoló.

Modificación de archivos de consola

Después de haber guardado un archivo de consola en un modo distinto del modo autor, el menú Consola ya no estará visible, ni siquiera para los Administradores. Esto impide al usuario cambiar las opciones. Para modificar un archivo de consola, hay que abrir una ventana con el símbolo del sistema y escribir mmc la. El modificador /a establece al Modo autor, sustituyendo cualquier configuración de Modo usuario, y abre la ventana de la consola desde la cual se puede abrir cualquier archivo de consola y realizar los cambios.

El administrador del sistema puede establecer perfiles de usuarios para anular el uso del modificador /a, y debería hacerlo para asegurarse de que no se realicen modificaciones inapropiadas.

Distribución y uso de consolas

Como se mencionó antes, la ubicación predeterminada para los archivos de consola que se guardan es la carpeta Herramientas administrativas. Los archivos de consola se pueden distribuir de varias formas. Se puede copiar un archivo de consola a una carpeta compartida en la red, o se puede enviar por correo electrónico a otra persona pulsando con el botón derecho del ratón, señalando Enviar a y seleccionando Destinatario de correo. Cuando se asigna una consola para su uso a una persona en particular, hay que asegurarse de que el perfil de usuario de la persona incluya el permiso para acceder a las herramientas y servicios de la consola. El usuario también tendrá que tener todos los permisos administrativos necesarios para utilizar los componentes del sistema administrados por la consola.

Si se conoce la ubicación de una consola es posible abrirla desde el Explorador de Windows pulsando sobre ella como se haría con cualquier otro archivo. También se puede abrir desde la línea de comandos. Por ejemplo, para abrir la consola Servicio de fax (que reside en una carpeta del sistema) desde la línea de comandos, hay que escribir mmc %systemroot%\systema32\faxserv.msc.

MMC para administración remota

Las herramientas basadas en MMC son admirablemente adecuadas para la administración remota. Se puede construir fácilmente una consola para administrar varios equipos o una única máquina. Esta sección describe cómo crear una consola que se pueda utilizar para administrar remotamente un controlador de dominio. La consola incluirá el complemento Servicios, que gestiona los servicios del sistema y el complemento Visor de sucesos, que permite acceder a los distintos registros de sucesos. Para crear esta consola de administración remota, hay que seguir estos pasos:

1. Pulsar el botón Inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, escribir MMC y después, pulsar Aceptar. Se abre una ventana MMC vacía.
2. En el menú Consola hay que seleccionar Agregar o quitar complemento. Se abre el cuadro de diálogo Agregar o quitar complemento.
3. Pulsar Agregar para abrir el cuadro de diálogo Agregar un complemento independiente.
4. Seleccionar Servicios y, después, pulsar Agregar.
5. En el área Este componente administrará siempre, hay que seleccionar Otro equipo y después pulsar Examinar. Esto abre el cuadro de diálogo Seleccionar Equipo.
6. Resaltar el equipo que se desea que gestione este complemento y después pulsar Aceptar. Pulsar Finalizar.
7. Repetir los pasos 4 a 6, escogiendo el complemento Visor de sucesos. Cerrar el cuadro de diálogo Agregar un complemento independiente. Pulsar Aceptar en Agregar o quitar complemento.
8. Hay que guardarla con un nombre descriptivo. Se puede utilizar esta consola para ver sucesos en la maquina remota y para iniciar o detener servicios.

Como se puede observar, las consolas se pueden configurar de docenas o de cientos de formas diferentes y después distribuir. Cada vez habrá más complementos disponibles para cada función imaginable tanto por parte de Microsoft como de terceros suministradores.

Automatización de tareas con las secuencias de comandos

Por necesidad, muchos administradores de red adquieren rápidamente habilidad con las secuencias de comandos. El día no tiene suficientes horas para hacer todo manualmente, incluso aunque fuera conveniente. Además, las buenas secuencias de comandos son como cualquier programa: una vez que la información se ha introducido correctamente, no es necesario preocuparse hasta que algo externo cambie.

Por medio de ActiveX, Windows 2000 permite escribir secuencias de comandos en Visual Basic, Scripting Edition (VBScript), JScript o Perl. Anteriormente, el único lenguaje nativo para secuencias de comandos que soportaba Windows era el lenguaje de comandos MS-DOS e, indudablemente, muchos administradores continuarán utilizando secuencias de comandos MS-DOS porque son muy pequeñas y muy rápidas. ¿Por qué utilizar otra cosa si una secuencia de comando: MS-DOS puede hacer el trabajo? La respuesta es que no se debería. Sin embargo, en una gran empresa o para secuencias de comandos más complicadas, lo indicado es un lenguaje de secuencias de comandos más sofisticado.

Windows Scripting Host (WSH) está incorporado en Windows 2000 y Windows 98. Además Windows 95 y Windows NT pueden ejecutar WSH, de forma que las secuencias de comandos son transportables a lo largo de todo el espectro Windows. Las secuencias de comandos se ejecutan bajo WSH utilizando Wscript.exe y Cscript.exe. Wscript.exe se ejecuta en segundo plano y Cscript.exe se ejecuta desde el símbolo del sistema. Para ejecutar una secuencia de comandos desde la línea de comandos, la sintaxis es:

Cscript <nombresecuencia.extensión> [opciones] [argumentos]

Para ver la lista completa de opciones del host, hay que introducir Cscript /? en el símbolo del sistema. Las opciones más importantes son:

• //B Especifica el modo por lotes; los errores de secuencias de comandos y los mensajes de entrada no se muestran.
• //D Activa el depurador.
• //T:nn Indica el tiempo máximo en segundos que la secuencia de comandos puede ejecutarse.

WSH es útil para crear secuencias de comandos de inicio y cierre de sesión que se pueden asignar a usuarios -individualmente o como grupo- o a equipos. El otro uso importante de WSH es la creación de cuentas de usuario, un proceso tedioso en el mejor de los casos y, en una gran empresa, completamente imposible sin secuencias de comandos.

Auditoría de sucesos

La auditoria de ciertos equipos, usuarios y sucesos del sistema operativo es una parte necesaria de la administración de una red. Hay que escoger lo que se desea auditar y después, revisando los registros de sucesos, controlar los patrones de uso, los problemas de seguridad y las tendencias de tráfico en la red. No obstante, hay que tener cuidado con el impulso de auditarlo todo. Cuantos más sucesos se auditen, más grandes serán los registros. Revisar enormes registros de sucesos es una tarea desagradable y, al final, nadie los vuelve a mirar. Por lo tanto, resulta crítico decidir una directiva de seguridad que proteja la red sin crear una gran carga administrativa. Tampoco conviene olvidar que cada suceso auditado provoca un pequeño aumento de la sobrecarga del sistema.

De forma predeterminada, todas las categorías de auditoria están desactivadas cuando se instala Windows 2000. Las categorías de sucesos que se pueden auditar son.

• Acceso a objetos: Se activa cuando se accede a un objeto. 
• Acceso a servicio de directorio: Se activa cuando se accede a un objeto Active Directory. 
• Administración de cuentas: Se activa cuando una cuenta de usuario o un grupo se crea o modifica. 
• Cambio de directiva: Se activa cuando se modifica una directiva que afecta a la seguridad, a los derechos de usuario o a la auditoria. 
• Seguimiento de proceso: Se activa cuando una aplicación ejecuta una acción que se está registrando. 
• Sucesos de inicio de sesión: Se activa cuando un usuario inicia o cierra una sesión. 
• Sucesos de inicio de sesión de cuenta: Se activa cuando un controlador de dominio recibe una petición de inicio de  sesión. 
• Sucesos del sistema: Se activa cuando un equipo se reinicia o se apaga u ocurre otro suceso que afecta a la seguridad. 
• Uso de privilegios: Se activa cuando se utiliza un derecho de usuario para realizar una acción.

Cada suceso auditado dice algo, pero no siempre es algo que sea necesario saber. Por ejemplo, la auditoria de inicios y cierres de sesión con éxito puede revelar el uso de una contraseña robada, pero también puede simplemente producir interminables páginas que muestran que los usuarios debidamente autorizados están iniciando y cerrando sesiones como era de esperar. Sin embargo, la auditoria de los fallos al iniciar sesión recompensará definitivamente si alguien intenta un ataque con contraseñas aleatorias.

Antes de poder auditar el acceso a los objetos de Active Directory, se debe activar la configuración Directiva de auditoria por medio de Directiva de grupo. Para hacerlo hay que seguir estos pasos:

1. Escoger Usuarios y equipos de Active Directory en el menú Herramientas administrativas.
2. Pulsar con el botón derecho del ratón en el nombre del dominio en el árbol de la consola y escoger Propiedades en el menú contextual.
3. Pulsar en la pestaña Directiva de grupo y después en el botón Modificar.
4. En el panel izquierdo de la consola Directiva de grupo, hay que pulsar a lo largo de Configuración del equipo, Configuración de Windows, Configuración de seguridad y directivas locales hasta alcanzar Directiva de auditoria.
5. Pulsar con el botón derecho del ratón en la categoría de sucesos que se desea auditar y escoger Seguridad.
6. En el cuadro de diálogo que se abre, hay que seleccionar la casilla de verificación que define la configuración y seleccionar la opción para auditar los intentos correctos y/o erróneos.

Parámetros de seguimiento de los objetos

Asumiendo que se ha activado una configuración de directiva para auditar un objeto de Active Directory, se puede crear una configuración de auditoria siguiendo estos pasos:

1. Pulsar con el botón derecho del ratón en el objeto que se desea auditar y escoger propiedades en el menú contextual. Pulsar en la pestaña Seguridad.
2. Pulsar el botón Avanzada y después en la pestaña auditoria.
3. Pulsar Agregar para configurar la auditoria para un nuevo grupo o usuario. Hay que realizar la selección y pulsar Aceptar.
4. En el cuadro de diálogo Entrada de auditoria para Collwin, hay que seleccionar los objetos que se desean auditar en la lista desplegable Aplicar en. Después, en la ventana Acceso, hay que seleccionar cada tipo de acceso que se desea auditar. Pulsar Aceptar cuando se haya terminado.

De forma predeterminada, los objetos secundarios heredan la configuración de auditoria. En la pestaña auditoria del cuadro Configuración de control de acceso para Collwin  hay una casilla de verificación para permitir heredar los valores de auditoria. Hay que desactivar este cuadro para que la configuración de auditoria de este objeto permanezca constante, incluso si se cambia la configuración de auditoria del objeto primario. Además, la desactivación del cuadro eliminará cualquier configuración de auditoria que ya se hubiera heredado. La segunda casilla de verificación de esta pestaña reestablece la auditoria existente y permite que los valores de auditoria se hereden de nuevo desde el objeto principal.

Los sucesos del sistema de archivos que se pueden auditar son:

• Recorrer carpeta/Ejecutar archivo: Se activa cuando se recorre una carpeta (es decir, alguien pasa por la carpeta camino de una carpeta superior o inferior) o una aplicación se ejecuta.
• Listar carpeta/Leer datos:  Se activa cuando se abre una carpeta o se examina la información de los archivos.
• Atributos de lectura: Se activa cuando se examinan los atributos de un archivo o carpeta.
• Atributos extendidos de lectura: Se activa cuando se examinan los atributos extendidos (definidos y creados por los programas) de un archivo o carpeta.
• Crear archivos/Escribir datos: Se activa cuando se crea un archivo dentro de una carpeta o se modifica un archivo, sobrescribiendo la información que contiene.
• Crear carpetas/Anexar datos: Se activa cuando se crea una carpeta dentro de la carpeta auditada o se añade información a un archivo existente.
• Atributos de escritura: Se activa cuando se cambia un atributo de un archivo o carpeta.
• Atributos extendidos de escritura: Se activa cuando se cambian los atributos extendidos (definidos y creados por los programas) de un archivo o carpeta.
• Eliminar subcarpetas y archivos: Se activa cuando se elimina un archivo o una subcarpeta.
• Eliminar: Se activa cuando se elimina un archivo específico.
• Permisos de lectura: Se activa cuando se examinan los permisos de un archivo o carpeta.
• Cambiar permisos: Se activa cuando se modifican los permisos de un archivo o carpeta.
• Tomar posesión: Se activa cuando se cambia la propiedad de un archivo o carpeta.

Examen de los registros de sucesos

Se deben examinar los registros de sucesos regularmente para que la auditoria tenga algún efecto. Para examinar el registro de seguridad, hay que abrir el Visor de sucesos desde el menú Herramientas administrativas y después pulsar Registro de seguridad. Se puede pulsar dos veces en cualquier entrada para obtener más información sobre ella. Se configuró la carpeta para auditar los sucesos de Listar carpeta/Leer datos correctos. Un usuario que abrió la carpeta una única vez generó todas las entradas que aparecen. Por supuesto, normalmente se aprenderá más de la auditoria de eventos incorrectos que de la auditoria de los correctos, pero esto demuestra la necesidad de escoger las batallas de auditoria con cuidado.

Búsquedas de los registros de sucesos

No importa lo selectivo que se sea, los registros de sucesos mezclarán todo tipo de información, dificultando la búsqueda de información específica. Para buscar un tipo específico de suceso, hay que resaltar el registro en el Visor de sucesos y escoger Buscar en el menú Ver. En el cuadro de diálogo Buscar, hay que seleccionar el tipo o tipos de sucesos que se desea obtener. 

Archivo de los registros de sucesos

Si se van a utilizar los registros de sucesos para hacer un seguimiento de las pautas de uso del sistema, hay que guardarlos. Para almacenar un registro de sucesos, hay que abrir el Visor de sucesos desde el menú Herramientas administrativas y pulsar en el registro que se desea almacenar. Después, en el menú Acción, hay que escoger Guardar archivo de registro como. Si se guarda el archivo en el formato de los registros de sucesos (.EVT), se puede abrir de nuevo en el Visor de sucesos y toda la información binaria de cada suceso se mantendrá. También se pueden guardar los registros como archivos .TXT o en el formato delimitado por comas (.CSV), pero en estos casos la información binaria no se guarda. Para aprender más sobre la red y ajustar su rendimiento.

Delegación del control

Obviamente, una de las formas más simples de minimizar las tareas administrativas es delegarlas. En una red Windows NT, la forma usual de conceder amplios derechos administrativos es hacer a los usuarios miembros del grupo Administradores del dominio. O se pueden repartir los derechos administrativos por medio de alguna combinación de otros grupos como Operadores de impresión y Operadores de servidores.

Estos grupos todavía están disponibles, pero Windows 2000 hace que la delegación sea incluso más simple: permite asignar la responsabilidad para administrar alguna porción del espacio de nombres a otro usuario o grupo. El destinatario de la autoridad delegada puede tener un control administrativo completo dentro del área escogida, pero no los amplios derechos administrativos inherentes al hecho de ser miembro del grupo Administradores del dominio.

Hay que asignar el control por unidades organizativas (OU) siempre que sea posible, porque la asignación de permisos a nivel de objetos se vuelve rápidamente demasiado complicada para merecer la pena. Los registros de las asignaciones de seguridad tienen una importancia fundamental, por lo que hay que estar al corriente de todas las delegaciones. Para delegar el control, hay que utilizar el Asistente para delegación de control, que siempre asigna los permisos a nivel de OU.

Para utilizar el asistente, hay que seguir estos pasos:

1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.
2. Pulsar dos veces en el nodo del dominio y, después, pulsar con el botón derecho del ratón en el contenedor que se desea delegar y escoger Delegar control en el menú contextual. Esto inicia el Asistente para delegación de control. Pulsar Siguiente.
3. Pulsar el botón Agregar para seleccionar el usuario o grupo al que se concederá el control. Hay que realizar la selección en la pantalla Seleccionar Usuarios, Equipos o Grupos.
4. En la pantalla Tareas para delegar, hay que seleccionar las tareas que se desean delegar. Se pueden seleccionar las tareas predefinidas o pulsar Crear una tarea personalizada. Pulsar Siguiente.
5. Si se seleccionó una tarea predefinida, esencialmente se ha terminado. Hay que revisar el resumen y pulsar Finalizar.

Si se seleccionó Crear una tarea personalizada, se permite elegir de forma más específica de qué objetos se está delegando el control y qué permisos específicos se van a conceder. Cuando se hayan hecho las elecciones se mostrará un resumen de la delegación. Pulsar Finalizar.

El programador de tareas

Aunque es cierto que se podrían -y aún se pueden- programar tareas utilizando el comando AT, el Programador de tareas proporciona una interfaz gráfica y es mucho más fácil de utilizar. Las tareas se pueden programar durante horas fuera de oficina y para que se ejecuten periódicamente. El servicio Programador de tareas se inicia en el inicio del sistema y se ejecuta en segundo plano. Para utilizar el Programador de tareas, hay que abrir el Panel de control, pulsar dos veces en la carpeta Tareas programadas y seguir después estos pasos:

1. En la ventana Tareas programadas, hay que pulsar dos veces en la entrada Agregar tarea programada. Esto inicia el Asistente para tarea programada nueva. Pulsar Siguiente.
2. Seleccionar un programa en la pantalla o pulsar el botón Examinar para localizar otro programa. Pulsar Siguiente.
3. Suministrar un nombre para la tarea e indicar después con qué frecuencia se desea que se realice. Pulsar Siguiente.
4. Seleccionar la hora del día a la que ha de realizarse la tarea. Dependiendo de la frecuencia seleccionada, será necesario especificar una de las siguientes opciones:
   • Tarea diaria: Cada día, cada n días o sólo en días laborables.
   • Tarea semanal: Cada n semanas; hay que indicar el día de la semana.
   • Tarea mensual: Hay que seleccionar el día del mes y los meses.
5. Suministrar el nombre y la contraseña del usuario que realizará las tareas programadas. Pulsar Siguiente. Obsérvese que la cuenta especificada ha de tener los privilegios necesarios para realizar la tarea. Por ejemplo, si se programa una copia de seguridad, el usuario debe tener derechos de copia de seguridad.
6. Si es necesario especificar parámetros para la tarea programada, hay que seleccionar el cuadro junto a Abrir propiedades avanzadas y, después, pulsar Finalizar.
7. Hacer los cambios necesarios y pulsar Aceptar.

Para que las tareas se ejecuten como se espera, es importante que la fecha y hora del equipo sean correctas.

Muchos programas comenzarán su ejecución en el Programador de tareas y después se pararán, esperando una introducción de datos que nunca llega, o que llega mucho más tarde, cuando alguien mira la máquina para ver que está haciendo. Para asegurarse de que se dispone de todos los parámetros para que la tarea se puede ejecutar correctamente, hay que abrir una ventana con el símbolo del sistema y escribir nombre-programa /?. Después hay que pulsar en la tarea con el botón derecho del ratón en la ventana tareas programadas y escoger Propiedades. Hay que introducir los parámetros necesarios en el cuadro de texto Ejecutar y pulsar Aceptar. Se puede programar una tarea para que se ejecute inmediatamente de forma que se pueda comprobar su rendimiento. Si una tarea está programa por un usuario que no ha iniciado sesión en el momento programado, la tarea todavía se ejecuta, pero en segundo plano y de forma no visible.

Cambio de un programa

Incluso la mejor programación puede tropezar con la realidad de vez en cuando, por lo que se necesita la posibilidad de ajustar los sucesos planificados.

• Para ejecutar una tarea inmediatamente, hay que pulsar con el botón derecho del ratón en el icono de la tarea en la ventana Tareas programadas y escoger Ejecutar en el menú contextual.
• Para detener una tarea que se está ejecutando, hay que pulsar con el botón derecho del ratón en el icono de la tarea en la ventana Tareas programadas y escoger Finalizar tarea. Si la tarea programada se había configurado para iniciar otra tarea, el comando Finalizar tarea sólo detendrá la tarea programada original.
• Para detener temporalmente todas las acciones del Programador de tareas, hay que abrir el menú Avanzado de la ventana Tareas programadas y escoger Pausar Programador de tareas. Cualquier tarea que no se inicie porque el Programador de tareas esté pausado, sólo se ejecutará de nuevo en su siguiente hora programada. Para iniciar el Programador de tareas de nuevo, hay que pulsar en el mismo menú y escoger Continuar con Programador de tareas.
• Para dejar de utilizar el Programador de tareas, hay que abrir el menú Avanzado de la ventana Tareas programadas y escoger No seguir usando Programador de tareas. No se. ejecutará ninguna tarea programada y el servicio Programador de tareas ya no se iniciará automáticamente cuando se reinicie el sistema.

Seguimiento del Programador de tareas

El sistema mantiene un registro detallado de las actividades del Programador de tareas. Para examinar el registro, hay que pulsar dos veces en Tareas programadas en el Panel de control. En el menú Avanzado hay que escoger Ver registro.

Si una tarea programada no se ejecuta como se espera, hay que pulsar con el botón derecho del ratón en la tarea en la ventana del Programador de tareas y escoger propiedades en el menú contextual. Hay que comprobar que la tarea está de hecho habilitada. (La casilla de verificación Habilitada de la ventana Propiedades de la tarea debería estar seleccionada).

Examen de las tareas de equipos remotos

Un administrador de un equipo remoto que ejecuta Windows NT o Windows 2000 puede examinar y modificar la configuración del Programador de tareas de ese equipo. Hay que buscar el equipo en la ventana Mis sitios de red (en Windows 2000) o en la ventana Entorno de red (en Windows NT) y, después, pulsar dos veces en la carpeta Tareas programadas.

Para examinar y modificar las tareas programadas en equipos que ejecutan Windows 95 o posterior, el equipo remoto debe:

• Tener habilitada la administración remota.
• Especificar que la cuenta del usuario tiene acceso administrativo remoto.
• Compartir el disco duro en el que reside la carpeta Tareas programadas.

Windows 2000 incluye mejoras en las funciones de la línea de comandos, como la escritura automática de los nombres de archivos y carpetas. Para activar esta característica, hay que abrir una ventana de línea de comandos y escribir cmd /f:on. Ahora se puede evitar el escribir los nombres de archivos o carpetas largos en la línea de comandos. Por ejemplo, para navegar dentro de la carpeta Archivos de programa desde la raíz de la unidad de disco del sistema (generalmente C:\) se puede escribir c:\cd a y pulsar entonces CTRL+D. El comando se expandirá inmediatamente a c:\cd «Archivos de programa». Se puede pulsar INTRO para elegir esta ruta de acceso.

Esta característica también funciona con archivos. Digamos que estamos en C:\Archivos de programa\Windows Media Player y se desea ejecutar Mplayer.exe. En la línea de comandos hay que escribir mp y pulsar entonces CRTL.+F. La ruta de acceso se ampliará para incluir Mplayer.exe. Se puede pulsar INTRO para ejecutar realmente el archivo.

Para obtener la documentación completa, hay que abrir una ventana de comandos y escribir help cmd.

El comando AT

También se puede utilizar el comando AT para programar tareas. De forma predeterminada, el comando AT se ejecuta utilizando la cuenta LocalSystem, que requiere privilegios administrativos. Para especificar otra cuenta como usuario del comando AT, hay que seguir estos pasos:

1. Abrir el Panel de control y pulsar dos veces en Tareas programadas.
2. En la ventana Tareas programadas, hay que abrir el menú Avanzado y después escoger Cuenta de servicios AT.
3. Pulsar Esta cuenta y especificar un usuario particular y su contraseña. Pulsar Aceptar.

Sintaxis del comando AT

La estructura de comando para el comando AT es como sigue:

AT [\\nombreequipo] [id] [[/delete]I/delete [/yes]] 
AT [\\nombreequipo] hora [/interactive] [/every:fecha[,...] I /next :fecha [ , . . . ] 
| comando

Se pueden utilizar los siguientes parámetros con el comando AT. Utilizado sin parámetros, el comando AT devuelve una lista de comandos programados.

• \\nombreequipo: Especifica un equipo remoto. Sin este parámetro, se asume el equipo local.
• id: Indica el número de identificación, si se ha asignado uno.
• /delete: Cancela un comando programado. Si no se especifica un número de identificación, se cancelan todos los comandos programados del equipo.
• /yes: Fuerza una respuesta afirmativa a todas las consultas del sistema cuando se cancelan todos los comandos.
• hora: Especifica cuándo se ejecuta el comando, expresado como horas:minutos en el formato de 24 horas.
• /interactive: Permite que la tarea interactúe con el escritorio del usuario que haya iniciado sesión en el momento de ejecutarse el trabajo.
• /every:fecha[,...]: Ejecuta el comando en la fecha especificada. La fecha se puede especificar como uno o más días de la semana (L, M, Mi, J, V, S, D) o como uno o más días del mes (mediante los números del 1 al 31). Hay que separar las diferentes fechas con comas. Si se omite este parámetro, se asume el día actual del mes.
• /next:fecha[,...] Ejecuta el comando la siguiente vez que se presente el día especificado. Si se omite este parámetro, se asume el día actual del mes.
• comando: Indica el programa, archivo de proceso por lotes o comando que debe ejecutarse. Si se requiere una ruta de acceso, hay que utilizar una ruta de acceso en el formato del Convenio de denominación universal (UNC, Uniform Naming Convention).

Algunas particularidades a la hora de usar el comando AT:

• El comando AT no carga Cmd, el intérprete de comandos, automáticamente, por lo que si el parámetro comando no apunta a un archivo ejecutable, se debe especificar explícitamente Cmd, seguido del modificador /c, al comienzo del comando.
• Los comandos programados utilizando AT se ejecutan como procesos en segundo plano, de forma que no muestra ninguna salida. Para redirigir la salida a un archivo, hay que utilizar el símbolo de redirección (>). El símbolo de redirección debe estar precedido por el símbolo de escape (^), así que un comando de ejemplo podría ser at recuperar:bat ^>c:\registro.txt.
• Si es necesario utilizar una letra de unidad para conectarse a un directorio compartido, hay que incluir un comando AT para desconectar la unidad cuando se haya completado la tarea. En otro caso, la letra de unidad asignada no estará disponible ni se mostrará en el símbolo del sistema.

Se puede cambiar una y otra vez entre el comando AT y el Programador de tareas, aunque existen algunas limitaciones. Por ejemplo, si se programa una tarea utilizando AT y más adelante se modifica esa misma tarea utilizando el Programador de tareas, la tarea pertenece entonces al Programador de tareas y ya no se puede acceder a ella utilizando AT