Professional Documents
Culture Documents
La imagen de la izquierda muestra las propiedades de un archivo individual. La imagen de la derecha las de una carpeta. La pestaa Compartir no est presente en las propiedades del archivo por lo que no podemos compartir archivos individuales sino carpetas que contengan esos archivos y otras carpetas. Centrndonos en las carpetas, existen dos pestaas que ataen a la seguridad de la carpeta: Compartir y Seguridad. Veamos que diferencia hay entre los permisos que asignamos en la pestaa Compartir y los que asignamos en la pestaa Seguridad: Los permisos de la carpeta Compartir o de comparticin se aplican cuando el acceso a esa carpeta se produce desde la red y los de la pestaa Seguridad (tambin conocidos como permisos NTFS) se aplican tanto si se accede desde la red como si se accede desde la mquina de forma local. Los permisos NTFS se dan slo en particiones NTFS y se aplican tanto a carpetas como a archivos. Los permisos de comparticin tambin se aplican en particiones FAT y FAT32 y slo son aplicables a carpetas. Cuando accedemos a una carpeta en local, los permisos de la pestaa Compartir no se aplican. Si entran en conflicto los permisos indicados en ambas pestaas, siempre se aplican los permisos ms restrictivos. Podemos ver esto en la siguiente tabla de ejemplo:
Seguridad
Slo lectura Control total Slo lectura Lectura/escritura Lectura/escritura
El equipo local
Slo lectura Control total Slo lectura Lectura/escritura Lectura/escritura
La estrategia para no equivocarse nunca es asignar control total a Todos en Compartir y restringir permisos en la pestaa Seguridad. Observad que en 2003 Server, el permiso por defecto en Compartir es leer. Esto es por si se nos olvida restringir permisos en la pestaa Seguridad y as no comprometer demasiado los archivos compartidos.
PERFILES MVILES:
Se denomina perfil de usuario a todos los elementos que configuran el entorno personal de trabajo de un usuario: favoritos, escritorio, impresoras instaladas, etc. Es importante sealar que los documentos que se almacenan en Mis Documentos, no forman parte de dicho perfil. Si queremos que un usuario pueda iniciar sesin en cualquier PC del centro accediendo a su perfil personal, necesitamos implementar perfiles mviles. Se trata de que ese entorno no se guarde localmente en la mquina donde el usuario inicia sesin sino que se guarde en una carpeta de red que estar accesible desde cualquier puesto de trabajo. Para ello debemos realizar las siguientes acciones:
1. Crear una carpeta en nuestro servidor llamada preferiblemente perfiles. Compartir esa carpeta con permisos de control total para Todos en la pestaa compartir y control total tambin para los usuarios del dominio en la pestaa Seguridad. Para compartir la carpeta que acabamos de crear, hacemos clic sobre ella con el botn derecho del ratn marcamos Compartir esta carpeta. Si quisiramos que esta carpeta no fuese visible a los usuarios, bastara con poner un smbolo $ al final del nombre del recurso compartido (PERFILES$). No debemos preocuparnos por dar permisos de control total ya que conforme se vayan creando las carpetas de los perfiles de los usuarios, los permisos sern ajustados de forma que slo el usuario propietario del perfil podr tener acceso al mismo.
2. Habilitar al administrador para que pueda acceder a los perfiles mviles de los usuarios. Si no hacemos esto, slo el usuario a quien pertenece el perfil podr acceder a l. En el caso de que el usuario tuviera algn problema para acceder a su perfil (por ejemplo, no poder iniciar sesin por haber colocado un fichero enorme en el escritorio), nadie podra borrar ese archivo con lo que el administrador se vera forzado a tomar posesin de dicho perfil por las malas. La solucin ms adecuada a este problema, sin medidas drsticas, pasa por modificar la Default Domain Policy antes de que se cree ningn perfil mvil. La ruta a seguir desde la Consola de Administracin de Polticas de Grupo (GPMC) es la siguiente: Editar la Default Domain Policy: Conf. Del equipo => Plantillas administrativas =>
Sistema => Perfiles de usuario => Agregar el grupo de seguridad de administradores a los perfiles mviles de usuarios: Habilitar
3. Para cada usuario que queramos que tenga un perfil mvil indicaremos en la pestaa Perfil de sus propiedades la ruta de acceso al perfil. En nuestro caso dicha ruta ser \\server\perfiles\%username%. Usamos la variable de sistema %username% para no tener que escribir el nombre del usuario. Cuando aceptemos, esa variable se cambiar por el nombre del usuario. Si deseamos escribirlo, tambin lo podemos hacer en vez de usar dicha variable. Tngase en cuenta que se deber sustituir \\server por el nombre de nuestro controlador de dominio. Por ejemplo, si mi controlador se llama morejonserver la ruta de acceso al perfil sera: \\morejonserver\perfiles\%username%
4. Educar a los usuarios que disponen de perfil mvil para que se acostumbren a guardar sus documentos en la carpeta Mis Documentos y no en el escritorio. La razn de esto es que los perfiles mviles se descargan desde el servidor cuando se inicia sesin y se vuelven a guardar en el servidor al cerrar sesin. Si pegamos un archivo grande en el escritorio o tenemos costumbre de guardar las cosas en l, cada vez que arranquemos y cerremos sesin, esos archivos viajarn a travs de la red y retrasarn casi eternamente los inicios y cierres de sesin. Los perfiles mviles tambin pueden ser obligatorios. Por ejemplo, nos puede interesar que los alumnos tengan este tipo de perfil para que siempre inicien sesin con un entorno de trabajo que nosotros habremos diseado previamente para ellos. Aunque el alumno podr modificarlo durante el transcurso de la sesin, ninguno de los cambios que haga se guardar. Nota: Este tema lo podis consultar en el Curso de Redes en Windows: Servicios y Aplicaciones (CNICE).
LOS
DOCUMENTOS
DE
LOS
Podemos clasificar las formas de guardar los documentos de los usuarios del dominio en dos grandes grupos: 1. Localmente en el equipo donde el usuario suele trabajar. 2. En la red, en una carpeta dedicada a tal fin. En un entorno de red, la primera opcin obliga al usuario a sentarse siempre frente al ordenador donde guarda sus documentos. Adems, al administrador le ser difcil tener control de las copias de seguridad sobre esos documentos. Por todo ello, lo mejor ser guardar los archivos de cada usuario en la red de forma centralizada. As se podr acceder a ellos desde cualquier PC de la red y el administrador podr realizar copias de seguridad de
forma sencilla. Existen dos formas de guardar en la red los documentos de un usuario (se recomienda estar delante del ordenador para entenderlas mejor): 1. Mediante conexin a una unidad de red que ser la carpeta particular de dicho usuario. Supongamos que tenemos la estructura mostrada en la captura de pantalla para los departamentos de nuestro centro. Vamos a fijarnos los usuarios del departamento de Ingls. El usuario ingles02 guardar sus documentos en un recurso compartido de red (carpeta ingles02) al que habremos asignado los permisos correspondientes para que pueda acceder a l (de forma exclusiva o compartiendo acceso con otros usuarios del departamento, segn funcione nuestro centro).
Haremos doble clic en ingles02 para acceder a sus propiedades y en la pestaa perfil indicaremos que su carpeta particular se encuentra en el recurso compartido ingles02 (carpeta ingles02) al que conectaremos a la unidad de red Z:.
Cuando el usuario inicie sesin, la unidad Z: aparecer como una unidad ms en Mi PC y es ah donde tendr que guardar sus documentos. 2. Mediante la redireccin de la carpeta Mis Documentos a travs de una poltica de grupo: Supongamos que queremos redirigir los documentos de los usuarios ubicados en una determinada unidad organizativa (UO). Estos usuarios necesariamente tendrn que pertenecer a un grupo que previamente habremos creado en esa UO. Sobre dicha unidad organizativa configuraremos la poltica de grupo a la cual se llega recorriendo el siguiente camino: Configuracin de usuario => Configuracin de Windows => Redireccionamiento de carpetas => Mis documentos (Pulsamos botn derecho => Propiedades => Pestaa Destino => Agregar)
El siguiente dilogo es el que nos aparece cuando indicamos que queremos Crear una carpeta para cada usuario en la ruta raz. Esas carpetas sern accesibles para todos los miembros del grupo:
Este es el dilogo que aparece cuando elegimos la opcin Redirigir el directorio particular del usuario. Podrn acceder a ese directorio particular slo los usuarios que tengan permisos sobre l.
En la pestaa Configuracin, desmarcamos la casilla Otorgar al usuario derechos exclusivos en Mis documentos. Si no desmarcamos la casilla, slo el usuario podr tener acceso a esa carpeta y ni siquiera el administrador la podr tocar.
Cerramos todas las ventanas aceptando los dilogos. Para forzar la propagacin de esta poltica a travs del dominio ejecutaremos gpupdate /force en Inicio => Ejecutar Cuando el usuario inicie sesin y pulse en Mis Documentos, estar accediendo a la carpeta de red que hemos indicado en la poltica, aunque la sensacin ser de estar accediendo a los documentos de forma local. Que usemos la
redireccin de la carpeta Mis documentos no es incompatible con indicar un directorio particular en Conectar a: en las propiedades del perfil del usuario que hemos citado anteriormente. Por ejemplo podemos indicar que conecte a Z: con la siguiente ruta: \\reportserver\download download sera una carpeta compartida que habramos habilitado para que los usuarios descargaran programas o documentos. reportserver sera un ejemplo de nombre para la mquina donde se aloja la carpeta compartida. Cada una de estas formas de guardar los documentos de los usuarios tiene sus matices y variantes. Deberemos por tanto analizar cual nos conviene ms, y tanto si optamos por una como por otra, hemos de tener muy clara la estructura de carpetas donde se guardarn los documentos y los permisos que daremos a los usuarios de esas carpetas.
10
Cuando un usuario quiera hacer uso de esa impresora bastar que ejecute el asistente de Agregar o quitar impresoras. Al estar la mquina desde la que se ejecuta dicho asistente unida al dominio, nos aparecer la opcin Buscar impresora en el directorio. Pulsaremos este botn y nos aparecern todas las impresoras publicadas en nuestro dominio. Seleccionaremos la que deseamos instalar y el asistente continuar como de costumbre hasta que finalicemos el proceso. No necesitaremos los drivers pues se descargarn del servidor, donde previamente los habamos instalado.
Por defecto, todos los usuarios del dominio tienen permiso de impresin en una impresora publicada en el directorio. A todos los efectos, una impresora compartida, es como una carpeta compartida y como tal, podemos usar la pestaa Seguridad para dar permisos de uso de la impresora a los usuarios que deseemos. En la siguiente captura de pantalla vemos como la impresora denominada Generica ya no puede ser usada por el grupo Todos, que ha sido suprimido, y slo puede ser usada para imprimir por el grupo Profesores. Existen otros grupos predefinidos cuyos permisos no es aconsejable tocar:
11
Mediante polticas de grupo, tambin podemos establecer otras normas para el uso de las impresoras en nuestro dominio. Estas polticas las podemos aplicar, como siempre, a todo el dominio o a una unidad organizativa (UO) en concreto y las podemos encontrar en las siguientes rutas (segn se apliquen al equipo o al usuario):
1. Configuracin del equipo => Plantillas administrativas => Impresoras 2. Configuracin del usuario => Plantillas administrativas => Panel de control => Impresoras.
12