GUIÓN DE INSTALACIÓN DE ACTIVE DIRECTORY – SEMINARIO

Transcripción

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II
1
PERMISOS DE CARPETAS Y ARCHIVOS:
Antes de empezar con los perfiles móviles y dónde y cómo guardar los documentos
de nuestros usuarios, es vital entender cómo funcionan los permisos de los usuarios sobre
carpetas y archivos. En nuestra labor de administradores, sin duda tendremos que crear
carpetas a las que podrán acceder unos usuarios y otros no. Por ejemplo, a las carpetas del
Departamento de Inglés podrán acceder sólo los profesores del grupo de usuarios “ingles”
que previamente habremos creado.
La imagen de la izquierda muestra las propiedades de un archivo individual. La
imagen de la derecha las de una carpeta. La pestaña “Compartir” no está presente en las
propiedades del archivo por lo que no podemos compartir archivos individuales sino
carpetas que contengan esos archivos y otras carpetas.
Centrándonos en las carpetas, existen dos pestañas que atañen a la seguridad de la
carpeta: “Compartir” y “Seguridad”. Veamos que diferencia hay entre los permisos que
asignamos en la pestaña “Compartir” y los que asignamos en la pestaña “Seguridad”:
•
•
•
•
Los permisos de la carpeta “Compartir” o de compartición se aplican cuando
el acceso a esa carpeta se produce desde la red y los de la pestaña
“Seguridad” (también conocidos como permisos NTFS) se aplican tanto si
se accede desde la red como si se accede desde la máquina de forma local.
Los permisos NTFS se dan sólo en particiones NTFS y se aplican tanto a
carpetas como a archivos. Los permisos de compartición también se aplican
en particiones FAT y FAT32 y sólo son aplicables a carpetas.
Cuando accedemos a una carpeta en local, los permisos de la pestaña
“Compartir” no se aplican.
Si entran en conflicto los permisos indicados en ambas pestañas, siempre se
aplican los permisos más restrictivos. Podemos ver esto en la siguiente tabla
de ejemplo:
2
Permisos establecidos en...
Acceso a la carpeta desde...
Compartir
Seguridad
Red
El equipo local
Control Total
Sólo lectura
Sólo lectura
Sólo lectura
Sólo lectura
Control total
Sólo lectura
Control total
Lectura/escritura
Sólo lectura
Sólo lectura
Sólo lectura
Sólo lectura
Lectura/escritura
Sólo lectura
Lectura/escritura
Control total
Lectura/escritura
Lectura/escritura
Lectura/escritura
La estrategia para no equivocarse nunca es asignar control total a “Todos” en
“Compartir” y restringir permisos en la pestaña “Seguridad”. Observad que en 2003
Server, el permiso por defecto en “Compartir” es leer. Esto es por si se nos olvida restringir
permisos en la pestaña “Seguridad” y así no comprometer demasiado los archivos
compartidos.
PERFILES MÓVILES:
Se denomina perfil de usuario a todos los elementos que configuran el entorno
personal de trabajo de un usuario: favoritos, escritorio, impresoras instaladas, etc. Es
importante señalar que los documentos que se almacenan en “Mis Documentos”, no forman
parte de dicho perfil.
Si queremos que un usuario pueda iniciar sesión en cualquier PC del centro
accediendo a su perfil personal, necesitamos implementar perfiles móviles. Se trata de que
ese entorno no se guarde localmente en la máquina donde el usuario inicia sesión sino que
se guarde en una carpeta de red que estará accesible desde cualquier puesto de trabajo. Para
ello debemos realizar las siguientes acciones:
1. Crear una carpeta en nuestro servidor llamada preferiblemente “perfiles”. Compartir
esa carpeta con permisos de control total para “Todos” en la pestaña compartir y
control total también para los usuarios del dominio en la pestaña “Seguridad”. Para
compartir la carpeta que acabamos de crear, hacemos clic sobre ella con el botón
derecho del ratón marcamos “Compartir esta carpeta”. Si quisiéramos que esta
carpeta no fuese visible a los usuarios, bastaría con poner un símbolo $ al final del
nombre del recurso compartido (PERFILES$). No debemos preocuparnos por dar
permisos de control total ya que conforme se vayan creando las carpetas de los
perfiles de los usuarios, los permisos serán ajustados de forma que sólo el usuario
propietario del perfil podrá tener acceso al mismo.
3
2. Habilitar al administrador para que pueda acceder a los perfiles móviles de los
usuarios. Si no hacemos esto, sólo el usuario a quien pertenece el perfil podrá
acceder a él. En el caso de que el usuario tuviera algún problema para acceder a su
perfil (por ejemplo, no poder iniciar sesión por haber colocado un fichero enorme en
el escritorio), nadie podría borrar ese archivo con lo que el administrador se vería
forzado a tomar posesión de dicho perfil por las malas. La solución más adecuada a
este problema, sin medidas drásticas, pasa por modificar la Default Domain Policy
antes de que se cree ningún perfil móvil. La ruta a seguir desde la Consola de
Administración de Políticas de Grupo (GPMC) es la siguiente:
Editar la Default Domain Policy: “Conf. Del equipo => Plantillas administrativas =>
Sistema => Perfiles de usuario => Agregar el grupo de seguridad de
administradores a los perfiles móviles de usuarios: Habilitar
3. Para cada usuario que queramos que tenga un perfil móvil indicaremos en la pestaña
“Perfil” de sus propiedades la ruta de acceso al perfil. En nuestro caso dicha ruta
será \\server\perfiles\%username%. Usamos la variable de sistema %username%
para no tener que escribir el nombre del usuario. Cuando aceptemos, esa variable se
cambiará por el nombre del usuario. Si deseamos escribirlo, también lo podemos
hacer en vez de usar dicha variable.
Téngase en cuenta que se deberá sustituir \\server por el nombre de nuestro
controlador de dominio. Por ejemplo, si mi controlador se llama morejonserver la
ruta de acceso al perfil sería:
\\morejonserver\perfiles\%username%
4
4. “Educar” a los usuarios que disponen de perfil móvil para que se acostumbren a
guardar sus documentos en la carpeta “Mis Documentos” y no en el escritorio. La
razón de esto es que los perfiles móviles se descargan desde el servidor cuando se
inicia sesión y se vuelven a guardar en el servidor al cerrar sesión. Si pegamos un
archivo grande en el escritorio o tenemos costumbre de guardar las cosas en él, cada
vez que arranquemos y cerremos sesión, esos archivos viajarán a través de la red y
retrasarán casi eternamente los inicios y cierres de sesión.
Los perfiles móviles también pueden ser obligatorios. Por ejemplo, nos puede interesar
que los alumnos tengan este tipo de perfil para que siempre inicien sesión con un entorno
de trabajo que nosotros habremos diseñado previamente para ellos. Aunque el alumno
podrá modificarlo durante el transcurso de la sesión, ninguno de los cambios que haga se
guardará.
Nota: Este tema lo podéis consultar en el “Curso de Redes en Windows: Servicios y
Aplicaciones” (CNICE).
CÓMO GUARDAR
USUARIOS:
LOS
DOCUMENTOS
DE
LOS
Podemos clasificar las formas de guardar los documentos de los usuarios del dominio
en dos grandes grupos:
1. Localmente en el equipo donde el usuario suele trabajar.
2. En la red, en una carpeta dedicada a tal fin.
En un entorno de red, la primera opción obliga al usuario a sentarse siempre frente al
ordenador donde guarda sus documentos. Además, al administrador le será difícil tener
control de las copias de seguridad sobre esos documentos. Por todo ello, lo mejor será
guardar los archivos de cada usuario en la red de forma centralizada. Así se podrá acceder a
ellos desde cualquier PC de la red y el administrador podrá realizar copias de seguridad de
5
forma sencilla.
Existen dos formas de guardar en la red los documentos de un usuario (se recomienda
estar delante del ordenador para entenderlas mejor):
1. Mediante conexión a una unidad de red que será la carpeta particular de
dicho usuario.
Supongamos que tenemos la estructura mostrada en la captura de
pantalla para los departamentos de nuestro centro. Vamos a fijarnos los
usuarios del departamento de Inglés. El usuario “ingles02” guardará sus
documentos en un recurso compartido de red (carpeta ingles02) al que
habremos asignado los permisos correspondientes para que pueda acceder a
él (de forma exclusiva o compartiendo acceso con otros usuarios del
departamento, según funcione nuestro centro).
Haremos doble clic en “ingles02” para acceder a sus propiedades y
en la pestaña perfil indicaremos que su carpeta particular se encuentra en el
recurso compartido ingles02 (carpeta ingles02) al que conectaremos a la
unidad de red Z:.
6
Cuando el usuario inicie sesión, la unidad Z: aparecerá como una
unidad más en “Mi PC” y es ahí donde tendrá que guardar sus documentos.
2. Mediante la redirección de la carpeta “Mis Documentos” a través de una
política de grupo:
Supongamos que queremos redirigir los documentos de los usuarios
ubicados en una determinada unidad organizativa (UO). Estos usuarios
necesariamente tendrán que pertenecer a un grupo que previamente
habremos creado en esa UO. Sobre dicha unidad organizativa
configuraremos la política de grupo a la cual se llega recorriendo el siguiente
camino:
Configuración de usuario => Configuración de Windows =>
Redireccionamiento de carpetas => Mis documentos (Pulsamos botón
derecho => Propiedades => Pestaña “Destino” => Agregar)
Tenemos varias opciones para la carpeta de destino de “Mis Documentos”:
7
El siguiente diálogo es el que nos aparece cuando indicamos que
queremos “Crear una carpeta para cada usuario en la ruta raíz”. Esas carpetas
serán accesibles para todos los miembros del grupo:
Este es el diálogo que aparece cuando elegimos la opción “Redirigir
el directorio particular del usuario”. Podrán acceder a ese directorio
particular sólo los usuarios que tengan permisos sobre él.
8
En la pestaña “Configuración”, desmarcamos la casilla “Otorgar al usuario
derechos exclusivos en Mis documentos”. Si no desmarcamos la casilla, sólo el
usuario podrá tener acceso a esa carpeta y ni siquiera el administrador la podrá
tocar.
Cerramos todas las ventanas aceptando los diálogos. Para forzar la
propagación de esta política a través del dominio ejecutaremos gpupdate /force en
“Inicio => Ejecutar”
Cuando el usuario inicie sesión y pulse en “Mis Documentos”, estará
accediendo a la carpeta de red que hemos indicado en la política, aunque la
sensación será de estar accediendo a los documentos de forma local. Que usemos la
9
redirección de la carpeta “Mis documentos” no es incompatible con indicar un
directorio particular en “Conectar a:” en las propiedades del perfil del usuario que
hemos citado anteriormente. Por ejemplo podemos indicar que conecte a Z: con la
siguiente ruta:
\\reportserver\download
“download” sería una carpeta compartida que habríamos habilitado para que los
usuarios descargaran programas o documentos. reportserver sería un ejemplo de
nombre para la máquina donde se aloja la carpeta compartida.
Cada una de estas formas de guardar los documentos de los usuarios tiene
sus matices y variantes. Deberemos por tanto analizar cual nos conviene más, y
tanto si optamos por una como por otra, hemos de tener muy clara la estructura de
carpetas donde se guardarán los documentos y los permisos que daremos a los
usuarios de esas carpetas.
PUBLICAR IMPRESORAS EN EL DIRECTORIO ACTIVO:
Podemos tener todas las impresoras de nuestro centro centralizadas y publicadas en
Active Directory. Lo ideal en un entorno como el nuestro es tener impresoras que se puedan
conectar a la red de forma directa. Hablamos de impresoras que van a tener su propio
puerto de red y a las cuales podemos poner una dirección IP como a cualquier otro
ordenador. Si nuestra impresora no tiene puerto de red, podemos comprar un aparato
llamado servidor de impresión que se conecta a la impresora y a la red, de forma que
permite asignar una IP a aquélla.
La segunda mejor opción es tener impresoras compartidas vinculadas físicamente a
un equipo. La desventaja de esto es que el ordenador al que está conectada la impresora
tendrá que estar encendido para que ésta esté disponible para el resto de usuarios.
El proceso para publicar una impresora en Active Directory es similar a instalar
dicha impresora en XP. Es decir, se hace desde el asistente para agregar impresoras y
tendremos que tener a mano los drivers en caso de no venir nuestra impresora en el listado
que incorpora 2003 Server. Por defecto, las impresoras que instalemos en nuestro
controlador de dominio serán publicadas en el Directorio. Si no queremos que una
impresora aparezca en Active Directory iremos a sus propiedades y en la pestaña
“Compartir” desmarcaremos la casilla “Mostrar lista en el directorio”.
10
Cuando un usuario quiera hacer uso de esa impresora bastará que ejecute el asistente
de “Agregar o quitar impresoras”. Al estar la máquina desde la que se ejecuta dicho
asistente unida al dominio, nos aparecerá la opción “Buscar impresora en el directorio”.
Pulsaremos este botón y nos aparecerán todas las impresoras publicadas en nuestro
dominio. Seleccionaremos la que deseamos instalar y el asistente continuará como de
costumbre hasta que finalicemos el proceso. No necesitaremos los drivers pues se
descargarán del servidor, donde previamente los habíamos instalado.
Por defecto, todos los usuarios del dominio tienen permiso de impresión en una
impresora publicada en el directorio. A todos los efectos, una impresora compartida, es
como una carpeta compartida y como tal, podemos usar la pestaña “Seguridad” para dar
permisos de uso de la impresora a los usuarios que deseemos. En la siguiente captura de
pantalla vemos como la impresora denominada Generica ya no puede ser usada por el
grupo Todos, que ha sido suprimido, y sólo puede ser usada para imprimir por el grupo
Profesores. Existen otros grupos predefinidos cuyos permisos no es aconsejable tocar:
11
Mediante políticas de grupo, también podemos establecer otras normas para el uso
de las impresoras en nuestro dominio. Estas políticas las podemos aplicar, como siempre, a
todo el dominio o a una unidad organizativa (UO) en concreto y las podemos encontrar en
las siguientes rutas (según se apliquen al equipo o al usuario):
1. Configuración del equipo => Plantillas administrativas => Impresoras
2. Configuración del usuario => Plantillas administrativas => Panel de control =>
Impresoras.
12
TOLERANCIA A FALLOS. CONTROLADOR DE DOMINIO
ADICIONAL Y DNS SECUNDARIO:
Si nuestro controlador de dominio cae por algún motivo, dejaremos sin servicio a
todos los usuarios de dicho dominio. Si alberga también el servicio de DNS, el problema se
agrava pues tampoco tendremos resolución de nombres. Conclusión: TENEMOS QUE
TENER OBLIGATORIAMENTE otro controlador de dominio y un DNS secundario en
nuestra red.
La información de Active Directory se replica en todos los controladores de
dominio del dominio por lo que si falla uno de ellos, los demás seguirán prestando servicio.
Lo ideal es tener un segundo servidor que preste los servicios de controlador de dominio
adicional y DNS secundario. El ISFTIC (antiguo CNICE) no nos va a mandar dos
servidores, por lo que tendremos que dedicar una máquina “más normalita” para esta tarea.
DOCUMENTACIÓN SOBRE POLÍTICAS DE GRUPO:
A través de las políticas de grupo se puede modificar casi cualquier parámetro, no
sólo de los sistemas operativos de Microsoft, sino también de otros productos como Office,
Internet Explorer, o incluso Firefox. De hecho se pueden desarrollar nuevas políticas a
medida a través de plantillas, aunque esto nos queda un poco grande en nuestros comienzos
como administradores. Como dato curioso, indicar que existen más de 1500
configuraciones "de fabrica" para Windows 2000, 2003 y XP modificables a través
políticas de grupo.
Para Windows 2000 Server, podíamos encontrar un magnífico listado de directivas
de grupo en el apartado “Documentación” del Kit de Recursos de este sistema operativo.
Habrá alguna diferencia que otra con las políticas de 2003 Server, pero como base de
estudio, es una estupenda referencia. Para Windows 2003 Server, Microsoft publicó en el
año 2005 una hoja de cálculo con todas las políticas de grupo disponibles y que podéis
descargar en inglés desde el siguiente enlace:
http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D8E48-45915CD2BC14&displaylang=en

GUIÓN DE INSTALACIÓN DE ACTIVE DIRECTORY – SEMINARIO

Transcripción

Documentos relacionados

Activación pestaña Seguridad en propiedades de carpeta