Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

PERMISOS DE CARPETAS Y ARCHIVOS:

Antes de empezar con los perfiles mviles y dnde y cmo guardar los documentos de nuestros usuarios, es vital entender cmo funcionan los permisos de los usuarios sobre carpetas y archivos. En nuestra labor de administradores, sin duda tendremos que crear carpetas a las que podrn acceder unos usuarios y otros no. Por ejemplo, a las carpetas del Departamento de Ingls podrn acceder slo los profesores del grupo de usuarios ingles que previamente habremos creado.

La imagen de la izquierda muestra las propiedades de un archivo individual. La imagen de la derecha las de una carpeta. La pestaa Compartir no est presente en las propiedades del archivo por lo que no podemos compartir archivos individuales sino carpetas que contengan esos archivos y otras carpetas. Centrndonos en las carpetas, existen dos pestaas que ataen a la seguridad de la carpeta: Compartir y Seguridad. Veamos que diferencia hay entre los permisos que asignamos en la pestaa Compartir y los que asignamos en la pestaa Seguridad: Los permisos de la carpeta Compartir o de comparticin se aplican cuando el acceso a esa carpeta se produce desde la red y los de la pestaa Seguridad (tambin conocidos como permisos NTFS) se aplican tanto si se accede desde la red como si se accede desde la mquina de forma local. Los permisos NTFS se dan slo en particiones NTFS y se aplican tanto a carpetas como a archivos. Los permisos de comparticin tambin se aplican en particiones FAT y FAT32 y slo son aplicables a carpetas. Cuando accedemos a una carpeta en local, los permisos de la pestaa Compartir no se aplican. Si entran en conflicto los permisos indicados en ambas pestaas, siempre se aplican los permisos ms restrictivos. Podemos ver esto en la siguiente tabla de ejemplo:

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

Permisos establecidos en... Compartir

Control Total Slo lectura Lectura/escritura Slo lectura Control total

Acceso a la carpeta desde... Red

Slo lectura Slo lectura Slo lectura Slo lectura Lectura/escritura

Seguridad
Slo lectura Control total Slo lectura Lectura/escritura Lectura/escritura

El equipo local
Slo lectura Control total Slo lectura Lectura/escritura Lectura/escritura

La estrategia para no equivocarse nunca es asignar control total a Todos en Compartir y restringir permisos en la pestaa Seguridad. Observad que en 2003 Server, el permiso por defecto en Compartir es leer. Esto es por si se nos olvida restringir permisos en la pestaa Seguridad y as no comprometer demasiado los archivos compartidos.

PERFILES MVILES:
Se denomina perfil de usuario a todos los elementos que configuran el entorno personal de trabajo de un usuario: favoritos, escritorio, impresoras instaladas, etc. Es importante sealar que los documentos que se almacenan en Mis Documentos, no forman parte de dicho perfil. Si queremos que un usuario pueda iniciar sesin en cualquier PC del centro accediendo a su perfil personal, necesitamos implementar perfiles mviles. Se trata de que ese entorno no se guarde localmente en la mquina donde el usuario inicia sesin sino que se guarde en una carpeta de red que estar accesible desde cualquier puesto de trabajo. Para ello debemos realizar las siguientes acciones:

1. Crear una carpeta en nuestro servidor llamada preferiblemente perfiles. Compartir esa carpeta con permisos de control total para Todos en la pestaa compartir y control total tambin para los usuarios del dominio en la pestaa Seguridad. Para compartir la carpeta que acabamos de crear, hacemos clic sobre ella con el botn derecho del ratn marcamos Compartir esta carpeta. Si quisiramos que esta carpeta no fuese visible a los usuarios, bastara con poner un smbolo $ al final del nombre del recurso compartido (PERFILES$). No debemos preocuparnos por dar permisos de control total ya que conforme se vayan creando las carpetas de los perfiles de los usuarios, los permisos sern ajustados de forma que slo el usuario propietario del perfil podr tener acceso al mismo.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

2. Habilitar al administrador para que pueda acceder a los perfiles mviles de los usuarios. Si no hacemos esto, slo el usuario a quien pertenece el perfil podr acceder a l. En el caso de que el usuario tuviera algn problema para acceder a su perfil (por ejemplo, no poder iniciar sesin por haber colocado un fichero enorme en el escritorio), nadie podra borrar ese archivo con lo que el administrador se vera forzado a tomar posesin de dicho perfil por las malas. La solucin ms adecuada a este problema, sin medidas drsticas, pasa por modificar la Default Domain Policy antes de que se cree ningn perfil mvil. La ruta a seguir desde la Consola de Administracin de Polticas de Grupo (GPMC) es la siguiente: Editar la Default Domain Policy: Conf. Del equipo => Plantillas administrativas =>
Sistema => Perfiles de usuario => Agregar el grupo de seguridad de administradores a los perfiles mviles de usuarios: Habilitar

3. Para cada usuario que queramos que tenga un perfil mvil indicaremos en la pestaa Perfil de sus propiedades la ruta de acceso al perfil. En nuestro caso dicha ruta ser \\server\perfiles\%username%. Usamos la variable de sistema %username% para no tener que escribir el nombre del usuario. Cuando aceptemos, esa variable se cambiar por el nombre del usuario. Si deseamos escribirlo, tambin lo podemos hacer en vez de usar dicha variable. Tngase en cuenta que se deber sustituir \\server por el nombre de nuestro controlador de dominio. Por ejemplo, si mi controlador se llama morejonserver la ruta de acceso al perfil sera: \\morejonserver\perfiles\%username%

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

4. Educar a los usuarios que disponen de perfil mvil para que se acostumbren a guardar sus documentos en la carpeta Mis Documentos y no en el escritorio. La razn de esto es que los perfiles mviles se descargan desde el servidor cuando se inicia sesin y se vuelven a guardar en el servidor al cerrar sesin. Si pegamos un archivo grande en el escritorio o tenemos costumbre de guardar las cosas en l, cada vez que arranquemos y cerremos sesin, esos archivos viajarn a travs de la red y retrasarn casi eternamente los inicios y cierres de sesin. Los perfiles mviles tambin pueden ser obligatorios. Por ejemplo, nos puede interesar que los alumnos tengan este tipo de perfil para que siempre inicien sesin con un entorno de trabajo que nosotros habremos diseado previamente para ellos. Aunque el alumno podr modificarlo durante el transcurso de la sesin, ninguno de los cambios que haga se guardar. Nota: Este tema lo podis consultar en el Curso de Redes en Windows: Servicios y Aplicaciones (CNICE).

CMO GUARDAR USUARIOS:

LOS

DOCUMENTOS

DE

LOS

Podemos clasificar las formas de guardar los documentos de los usuarios del dominio en dos grandes grupos: 1. Localmente en el equipo donde el usuario suele trabajar. 2. En la red, en una carpeta dedicada a tal fin. En un entorno de red, la primera opcin obliga al usuario a sentarse siempre frente al ordenador donde guarda sus documentos. Adems, al administrador le ser difcil tener control de las copias de seguridad sobre esos documentos. Por todo ello, lo mejor ser guardar los archivos de cada usuario en la red de forma centralizada. As se podr acceder a ellos desde cualquier PC de la red y el administrador podr realizar copias de seguridad de

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

forma sencilla. Existen dos formas de guardar en la red los documentos de un usuario (se recomienda estar delante del ordenador para entenderlas mejor): 1. Mediante conexin a una unidad de red que ser la carpeta particular de dicho usuario. Supongamos que tenemos la estructura mostrada en la captura de pantalla para los departamentos de nuestro centro. Vamos a fijarnos los usuarios del departamento de Ingls. El usuario ingles02 guardar sus documentos en un recurso compartido de red (carpeta ingles02) al que habremos asignado los permisos correspondientes para que pueda acceder a l (de forma exclusiva o compartiendo acceso con otros usuarios del departamento, segn funcione nuestro centro).

Haremos doble clic en ingles02 para acceder a sus propiedades y en la pestaa perfil indicaremos que su carpeta particular se encuentra en el recurso compartido ingles02 (carpeta ingles02) al que conectaremos a la unidad de red Z:.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

Cuando el usuario inicie sesin, la unidad Z: aparecer como una unidad ms en Mi PC y es ah donde tendr que guardar sus documentos. 2. Mediante la redireccin de la carpeta Mis Documentos a travs de una poltica de grupo: Supongamos que queremos redirigir los documentos de los usuarios ubicados en una determinada unidad organizativa (UO). Estos usuarios necesariamente tendrn que pertenecer a un grupo que previamente habremos creado en esa UO. Sobre dicha unidad organizativa configuraremos la poltica de grupo a la cual se llega recorriendo el siguiente camino: Configuracin de usuario => Configuracin de Windows => Redireccionamiento de carpetas => Mis documentos (Pulsamos botn derecho => Propiedades => Pestaa Destino => Agregar)

Tenemos varias opciones para la carpeta de destino de Mis Documentos:

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

El siguiente dilogo es el que nos aparece cuando indicamos que queremos Crear una carpeta para cada usuario en la ruta raz. Esas carpetas sern accesibles para todos los miembros del grupo:

Este es el dilogo que aparece cuando elegimos la opcin Redirigir el directorio particular del usuario. Podrn acceder a ese directorio particular slo los usuarios que tengan permisos sobre l.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

En la pestaa Configuracin, desmarcamos la casilla Otorgar al usuario derechos exclusivos en Mis documentos. Si no desmarcamos la casilla, slo el usuario podr tener acceso a esa carpeta y ni siquiera el administrador la podr tocar.

Cerramos todas las ventanas aceptando los dilogos. Para forzar la propagacin de esta poltica a travs del dominio ejecutaremos gpupdate /force en Inicio => Ejecutar Cuando el usuario inicie sesin y pulse en Mis Documentos, estar accediendo a la carpeta de red que hemos indicado en la poltica, aunque la sensacin ser de estar accediendo a los documentos de forma local. Que usemos la

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

redireccin de la carpeta Mis documentos no es incompatible con indicar un directorio particular en Conectar a: en las propiedades del perfil del usuario que hemos citado anteriormente. Por ejemplo podemos indicar que conecte a Z: con la siguiente ruta: \\reportserver\download download sera una carpeta compartida que habramos habilitado para que los usuarios descargaran programas o documentos. reportserver sera un ejemplo de nombre para la mquina donde se aloja la carpeta compartida. Cada una de estas formas de guardar los documentos de los usuarios tiene sus matices y variantes. Deberemos por tanto analizar cual nos conviene ms, y tanto si optamos por una como por otra, hemos de tener muy clara la estructura de carpetas donde se guardarn los documentos y los permisos que daremos a los usuarios de esas carpetas.

PUBLICAR IMPRESORAS EN EL DIRECTORIO ACTIVO:

Podemos tener todas las impresoras de nuestro centro centralizadas y publicadas en Active Directory. Lo ideal en un entorno como el nuestro es tener impresoras que se puedan conectar a la red de forma directa. Hablamos de impresoras que van a tener su propio puerto de red y a las cuales podemos poner una direccin IP como a cualquier otro ordenador. Si nuestra impresora no tiene puerto de red, podemos comprar un aparato llamado servidor de impresin que se conecta a la impresora y a la red, de forma que permite asignar una IP a aqulla. La segunda mejor opcin es tener impresoras compartidas vinculadas fsicamente a un equipo. La desventaja de esto es que el ordenador al que est conectada la impresora tendr que estar encendido para que sta est disponible para el resto de usuarios. El proceso para publicar una impresora en Active Directory es similar a instalar dicha impresora en XP. Es decir, se hace desde el asistente para agregar impresoras y tendremos que tener a mano los drivers en caso de no venir nuestra impresora en el listado que incorpora 2003 Server. Por defecto, las impresoras que instalemos en nuestro controlador de dominio sern publicadas en el Directorio. Si no queremos que una impresora aparezca en Active Directory iremos a sus propiedades y en la pestaa Compartir desmarcaremos la casilla Mostrar lista en el directorio.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

10

Cuando un usuario quiera hacer uso de esa impresora bastar que ejecute el asistente de Agregar o quitar impresoras. Al estar la mquina desde la que se ejecuta dicho asistente unida al dominio, nos aparecer la opcin Buscar impresora en el directorio. Pulsaremos este botn y nos aparecern todas las impresoras publicadas en nuestro dominio. Seleccionaremos la que deseamos instalar y el asistente continuar como de costumbre hasta que finalicemos el proceso. No necesitaremos los drivers pues se descargarn del servidor, donde previamente los habamos instalado.

Por defecto, todos los usuarios del dominio tienen permiso de impresin en una impresora publicada en el directorio. A todos los efectos, una impresora compartida, es como una carpeta compartida y como tal, podemos usar la pestaa Seguridad para dar permisos de uso de la impresora a los usuarios que deseemos. En la siguiente captura de pantalla vemos como la impresora denominada Generica ya no puede ser usada por el grupo Todos, que ha sido suprimido, y slo puede ser usada para imprimir por el grupo Profesores. Existen otros grupos predefinidos cuyos permisos no es aconsejable tocar:

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

11

Mediante polticas de grupo, tambin podemos establecer otras normas para el uso de las impresoras en nuestro dominio. Estas polticas las podemos aplicar, como siempre, a todo el dominio o a una unidad organizativa (UO) en concreto y las podemos encontrar en las siguientes rutas (segn se apliquen al equipo o al usuario):
1. Configuracin del equipo => Plantillas administrativas => Impresoras 2. Configuracin del usuario => Plantillas administrativas => Panel de control => Impresoras.

Seminario Permanente de Coordinadores TIC 2008/2009 Active Directory: Parte II

12

TOLERANCIA A FALLOS. CONTROLADOR DE DOMINIO ADICIONAL Y DNS SECUNDARIO:

Si nuestro controlador de dominio cae por algn motivo, dejaremos sin servicio a todos los usuarios de dicho dominio. Si alberga tambin el servicio de DNS, el problema se agrava pues tampoco tendremos resolucin de nombres. Conclusin: TENEMOS QUE TENER OBLIGATORIAMENTE otro controlador de dominio y un DNS secundario en nuestra red. La informacin de Active Directory se replica en todos los controladores de dominio del dominio por lo que si falla uno de ellos, los dems seguirn prestando servicio. Lo ideal es tener un segundo servidor que preste los servicios de controlador de dominio adicional y DNS secundario. El ISFTIC (antiguo CNICE) no nos va a mandar dos servidores, por lo que tendremos que dedicar una mquina ms normalita para esta tarea.

DOCUMENTACIN SOBRE POLTICAS DE GRUPO:

A travs de las polticas de grupo se puede modificar casi cualquier parmetro, no slo de los sistemas operativos de Microsoft, sino tambin de otros productos como Office, Internet Explorer, o incluso Firefox. De hecho se pueden desarrollar nuevas polticas a medida a travs de plantillas, aunque esto nos queda un poco grande en nuestros comienzos como administradores. Como dato curioso, indicar que existen ms de 1500 configuraciones "de fabrica" para Windows 2000, 2003 y XP modificables a travs polticas de grupo. Para Windows 2000 Server, podamos encontrar un magnfico listado de directivas de grupo en el apartado Documentacin del Kit de Recursos de este sistema operativo. Habr alguna diferencia que otra con las polticas de 2003 Server, pero como base de estudio, es una estupenda referencia. Para Windows 2003 Server, Microsoft public en el ao 2005 una hoja de clculo con todas las polticas de grupo disponibles y que podis descargar en ingls desde el siguiente enlace: http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D8E48-45915CD2BC14&displaylang=en