Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 1

PERMISOS DE CARPETAS Y ARCHIVOS:

Antes de empezar con los perfiles móviles y dónde y cómo guardar los documentos de nuestros usuarios, es vital entender cómo funcionan los permisos de los usuarios sobre carpetas y archivos. En nuestra labor de administradores, sin duda tendremos que crear carpetas a las que podrán acceder unos usuarios y otros no. Por ejemplo, a las carpetas del Departamento de Inglés podrán acceder sólo los profesores del grupo de usuarios “ingles” que previamente habremos creado.

La imagen de la izquierda muestra las propiedades de un archivo individual. La imagen de la derecha las de una carpeta. La pestaña “Compartir” no está presente en las propiedades del archivo por lo que no podemos compartir archivos individuales sino carpetas que contengan esos archivos y otras carpetas.

Centrándonos en las carpetas, existen dos pestañas que atañen a la seguridad de la carpeta: “Compartir” y “Seguridad”. Veamos que diferencia hay entre los permisos que asignamos en la pestaña “Compartir” y los que asignamos en la pestaña “Seguridad”:

• Los permisos de la carpeta “Compartir” o de compartición se aplican cuando el acceso a esa carpeta se produce desde la red y los de la pestaña “Seguridad” (también conocidos como permisos NTFS) se aplican tanto si se accede desde la red como si se accede desde la máquina de forma local.

• Los permisos NTFS se dan sólo en particiones NTFS y se aplican tanto a carpetas como a archivos. Los permisos de compartición también se aplican en particiones FAT y FAT32 y sólo son aplicables a carpetas.

• Cuando accedemos a una carpeta en local, los permisos de la pestaña “Compartir” no se aplican.

• Si entran en conflicto los permisos indicados en ambas pestañas, siempre se aplican los permisos más restrictivos. Podemos ver esto en la siguiente tabla de ejemplo:

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 2

Permisos establecidos en... Acceso a la carpeta desde...Compartir Seguridad Red El equipo localControl Total Sólo lectura Sólo lectura Sólo lectura Sólo lectura Control total Sólo lectura Control total Lectura/escritura Sólo lectura Sólo lectura Sólo lectura Sólo lectura Lectura/escritura Sólo lectura Lectura/escritura Control total Lectura/escritura Lectura/escritura Lectura/escritura

La estrategia para no equivocarse nunca es asignar control total a “Todos” en

“Compartir” y restringir permisos en la pestaña “Seguridad”. Observad que en 2003 Server, el permiso por defecto en “Compartir” es leer. Esto es por si se nos olvida restringir permisos en la pestaña “Seguridad” y así no comprometer demasiado los archivos compartidos.

PERFILES MÓVILES:

Se denomina perfil de usuario a todos los elementos que configuran el entorno personal de trabajo de un usuario: favoritos, escritorio, impresoras instaladas, etc. Es importante señalar que los documentos que se almacenan en “Mis Documentos”, no forman parte de dicho perfil.

Si queremos que un usuario pueda iniciar sesión en cualquier PC del centro accediendo a su perfil personal, necesitamos implementar perfiles móviles. Se trata de que ese entorno no se guarde localmente en la máquina donde el usuario inicia sesión sino que se guarde en una carpeta de red que estará accesible desde cualquier puesto de trabajo. Para ello debemos realizar las siguientes acciones:

1. Crear una carpeta en nuestro servidor llamada preferiblemente “perfiles”. Compartir esa carpeta con permisos de control total para “Todos” en la pestaña compartir y control total también para los usuarios del dominio en la pestaña “Seguridad”. Para compartir la carpeta que acabamos de crear, hacemos clic sobre ella con el botón derecho del ratón marcamos “Compartir esta carpeta”. Si quisiéramos que esta carpeta no fuese visible a los usuarios, bastaría con poner un símbolo $ al final del nombre del recurso compartido (PERFILES$). No debemos preocuparnos por dar permisos de control total ya que conforme se vayan creando las carpetas de los perfiles de los usuarios, los permisos serán ajustados de forma que sólo el usuario propietario del perfil podrá tener acceso al mismo.

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 3

2. Habilitar al administrador para que pueda acceder a los perfiles móviles de los usuarios. Si no hacemos esto, sólo el usuario a quien pertenece el perfil podrá acceder a él. En el caso de que el usuario tuviera algún problema para acceder a su perfil (por ejemplo, no poder iniciar sesión por haber colocado un fichero enorme en el escritorio), nadie podría borrar ese archivo con lo que el administrador se vería forzado a tomar posesión de dicho perfil por las malas. La solución más adecuada a este problema, sin medidas drásticas, pasa por modificar la Default Domain Policy antes de que se cree ningún perfil móvil. La ruta a seguir desde la Consola de Administración de Políticas de Grupo (GPMC) es la siguiente:

Editar la Default Domain Policy: “Conf. Del equipo => Plantillas administrativas => Sistema => Perfiles de usuario => Agregar el grupo de seguridad de administradores a los perfiles móviles de usuarios: Habilitar

3. Para cada usuario que queramos que tenga un perfil móvil indicaremos en la pestaña

“Perfil” de sus propiedades la ruta de acceso al perfil. En nuestro caso dicha ruta será \\server\perfiles\%username%. Usamos la variable de sistema %username% para no tener que escribir el nombre del usuario. Cuando aceptemos, esa variable se cambiará por el nombre del usuario. Si deseamos escribirlo, también lo podemos hacer en vez de usar dicha variable.

Téngase en cuenta que se deberá sustituir \\server por el nombre de nuestro controlador de dominio. Por ejemplo, si mi controlador se llama morejonserver la ruta de acceso al perfil sería: \\morejonserver\perfiles\%username%

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 4

4. “Educar” a los usuarios que disponen de perfil móvil para que se acostumbren a

guardar sus documentos en la carpeta “Mis Documentos” y no en el escritorio. La razón de esto es que los perfiles móviles se descargan desde el servidor cuando se inicia sesión y se vuelven a guardar en el servidor al cerrar sesión. Si pegamos un archivo grande en el escritorio o tenemos costumbre de guardar las cosas en él, cada vez que arranquemos y cerremos sesión, esos archivos viajarán a través de la red y retrasarán casi eternamente los inicios y cierres de sesión.

Los perfiles móviles también pueden ser obligatorios. Por ejemplo, nos puede interesar

que los alumnos tengan este tipo de perfil para que siempre inicien sesión con un entorno de trabajo que nosotros habremos diseñado previamente para ellos. Aunque el alumno podrá modificarlo durante el transcurso de la sesión, ninguno de los cambios que haga se guardará.

Nota: Este tema lo podéis consultar en el “Curso de Redes en Windows: Servicios y Aplicaciones” (CNICE). CÓMO GUARDAR LOS DOCUMENTOS DE LOS USUARIOS:

Podemos clasificar las formas de guardar los documentos de los usuarios del dominio en dos grandes grupos:

1. Localmente en el equipo donde el usuario suele trabajar. 2. En la red, en una carpeta dedicada a tal fin.

En un entorno de red, la primera opción obliga al usuario a sentarse siempre frente al

ordenador donde guarda sus documentos. Además, al administrador le será difícil tener control de las copias de seguridad sobre esos documentos. Por todo ello, lo mejor será guardar los archivos de cada usuario en la red de forma centralizada. Así se podrá acceder a ellos desde cualquier PC de la red y el administrador podrá realizar copias de seguridad de

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 5

forma sencilla.

Existen dos formas de guardar en la red los documentos de un usuario (se recomienda estar delante del ordenador para entenderlas mejor):

1. Mediante conexión a una unidad de red que será la carpeta particular de dicho usuario.

Supongamos que tenemos la estructura mostrada en la captura de

pantalla para los departamentos de nuestro centro. Vamos a fijarnos los usuarios del departamento de Inglés. El usuario “ingles02” guardará sus documentos en un recurso compartido de red (carpeta ingles02) al que habremos asignado los permisos correspondientes para que pueda acceder a él (de forma exclusiva o compartiendo acceso con otros usuarios del departamento, según funcione nuestro centro).

Haremos doble clic en “ingles02” para acceder a sus propiedades y en la pestaña perfil indicaremos que su carpeta particular se encuentra en el recurso compartido ingles02 (carpeta ingles02) al que conectaremos a la unidad de red Z:.

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 6

Cuando el usuario inicie sesión, la unidad Z: aparecerá como una unidad más en “Mi PC” y es ahí donde tendrá que guardar sus documentos.

2. Mediante la redirección de la carpeta “Mis Documentos” a través de una

política de grupo:

Supongamos que queremos redirigir los documentos de los usuarios ubicados en una determinada unidad organizativa (UO). Estos usuarios necesariamente tendrán que pertenecer a un grupo que previamente habremos creado en esa UO. Sobre dicha unidad organizativa configuraremos la política de grupo a la cual se llega recorriendo el siguiente camino: Configuración de usuario => Configuración de Windows => Redireccionamiento de carpetas => Mis documentos (Pulsamos botón derecho => Propiedades => Pestaña “Destino” => Agregar) Tenemos varias opciones para la carpeta de destino de “Mis Documentos”:

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 7

El siguiente diálogo es el que nos aparece cuando indicamos que queremos “Crear una carpeta para cada usuario en la ruta raíz”. Esas carpetas serán accesibles para todos los miembros del grupo:

Este es el diálogo que aparece cuando elegimos la opción “Redirigir el directorio particular del usuario”. Podrán acceder a ese directorio particular sólo los usuarios que tengan permisos sobre él.

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 8

En la pestaña “Configuración”, desmarcamos la casilla “Otorgar al usuario derechos exclusivos en Mis documentos”. Si no desmarcamos la casilla, sólo el usuario podrá tener acceso a esa carpeta y ni siquiera el administrador la podrá tocar.

Cerramos todas las ventanas aceptando los diálogos. Para forzar la

propagación de esta política a través del dominio ejecutaremos gpupdate /force en “Inicio => Ejecutar”

Cuando el usuario inicie sesión y pulse en “Mis Documentos”, estará

accediendo a la carpeta de red que hemos indicado en la política, aunque la sensación será de estar accediendo a los documentos de forma local. Que usemos la

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 9

redirección de la carpeta “Mis documentos” no es incompatible con indicar un directorio particular en “Conectar a:” en las propiedades del perfil del usuario que hemos citado anteriormente. Por ejemplo podemos indicar que conecte a Z: con la siguiente ruta:

\\reportserver\download“download” sería una carpeta compartida que habríamos habilitado para que los usuarios descargaran programas o documentos. reportserver sería un ejemplo de nombre para la máquina donde se aloja la carpeta compartida.

Cada una de estas formas de guardar los documentos de los usuarios tiene

sus matices y variantes. Deberemos por tanto analizar cual nos conviene más, y tanto si optamos por una como por otra, hemos de tener muy clara la estructura de carpetas donde se guardarán los documentos y los permisos que daremos a los usuarios de esas carpetas.

PUBLICAR IMPRESORAS EN EL DIRECTORIO ACTIVO:

Podemos tener todas las impresoras de nuestro centro centralizadas y publicadas en Active Directory. Lo ideal en un entorno como el nuestro es tener impresoras que se puedan conectar a la red de forma directa. Hablamos de impresoras que van a tener su propio puerto de red y a las cuales podemos poner una dirección IP como a cualquier otro ordenador. Si nuestra impresora no tiene puerto de red, podemos comprar un aparato llamado servidor de impresión que se conecta a la impresora y a la red, de forma que permite asignar una IP a aquélla.

La segunda mejor opción es tener impresoras compartidas vinculadas físicamente a un equipo. La desventaja de esto es que el ordenador al que está conectada la impresora tendrá que estar encendido para que ésta esté disponible para el resto de usuarios.

El proceso para publicar una impresora en Active Directory es similar a instalar dicha impresora en XP. Es decir, se hace desde el asistente para agregar impresoras y tendremos que tener a mano los drivers en caso de no venir nuestra impresora en el listado que incorpora 2003 Server. Por defecto, las impresoras que instalemos en nuestro controlador de dominio serán publicadas en el Directorio. Si no queremos que una impresora aparezca en Active Directory iremos a sus propiedades y en la pestaña “Compartir” desmarcaremos la casilla “Mostrar lista en el directorio”.

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 10

Cuando un usuario quiera hacer uso de esa impresora bastará que ejecute el asistente de “Agregar o quitar impresoras”. Al estar la máquina desde la que se ejecuta dicho asistente unida al dominio, nos aparecerá la opción “Buscar impresora en el directorio”. Pulsaremos este botón y nos aparecerán todas las impresoras publicadas en nuestro dominio. Seleccionaremos la que deseamos instalar y el asistente continuará como de costumbre hasta que finalicemos el proceso. No necesitaremos los drivers pues se descargarán del servidor, donde previamente los habíamos instalado.

Por defecto, todos los usuarios del dominio tienen permiso de impresión en una impresora publicada en el directorio. A todos los efectos, una impresora compartida, es como una carpeta compartida y como tal, podemos usar la pestaña “Seguridad” para dar permisos de uso de la impresora a los usuarios que deseemos. En la siguiente captura de pantalla vemos como la impresora denominada Generica ya no puede ser usada por el grupo Todos, que ha sido suprimido, y sólo puede ser usada para imprimir por el grupo Profesores. Existen otros grupos predefinidos cuyos permisos no es aconsejable tocar:

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 11

Mediante políticas de grupo, también podemos establecer otras normas para el uso

de las impresoras en nuestro dominio. Estas políticas las podemos aplicar, como siempre, a todo el dominio o a una unidad organizativa (UO) en concreto y las podemos encontrar en las siguientes rutas (según se apliquen al equipo o al usuario):

1. Configuración del equipo => Plantillas administrativas => Impresoras 2. Configuración del usuario => Plantillas administrativas => Panel de control =>

Impresoras.

Seminario Permanente de Coordinadores TIC 2008/2009 – Active Directory: Parte II 12

TOLERANCIA A FALLOS. CONTROLADOR DE DOMINIO ADICIONAL Y DNS SECUNDARIO:

Si nuestro controlador de dominio cae por algún motivo, dejaremos sin servicio a todos los usuarios de dicho dominio. Si alberga también el servicio de DNS, el problema se agrava pues tampoco tendremos resolución de nombres. Conclusión: TENEMOS QUE TENER OBLIGATORIAMENTE otro controlador de dominio y un DNS secundario en nuestra red.

La información de Active Directory se replica en todos los controladores de

dominio del dominio por lo que si falla uno de ellos, los demás seguirán prestando servicio. Lo ideal es tener un segundo servidor que preste los servicios de controlador de dominio adicional y DNS secundario. El ISFTIC (antiguo CNICE) no nos va a mandar dos servidores, por lo que tendremos que dedicar una máquina “más normalita” para esta tarea. DOCUMENTACIÓN SOBRE POLÍTICAS DE GRUPO:

A través de las políticas de grupo se puede modificar casi cualquier parámetro, no sólo de los sistemas operativos de Microsoft, sino también de otros productos como Office, Internet Explorer, o incluso Firefox. De hecho se pueden desarrollar nuevas políticas a medida a través de plantillas, aunque esto nos queda un poco grande en nuestros comienzos como administradores. Como dato curioso, indicar que existen más de 1500 configuraciones "de fabrica" para Windows 2000, 2003 y XP modificables a través políticas de grupo.

Para Windows 2000 Server, podíamos encontrar un magnífico listado de directivas de grupo en el apartado “Documentación” del Kit de Recursos de este sistema operativo. Habrá alguna diferencia que otra con las políticas de 2003 Server, pero como base de estudio, es una estupenda referencia. Para Windows 2003 Server, Microsoft publicó en el año 2005 una hoja de cálculo con todas las políticas de grupo disponibles y que podéis descargar en inglés desde el siguiente enlace: http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en