Contenidos
Continuamos con la serie de casos prácticos SOR-2401 en la que ya hemos creado y configurado una serie de cuentas de usuario y grupos en el dominio. A continuación vamos a compartir una serie de recursos compartidos en red configurando el control de acceso a través de la estrategia AGDLP.
Lo primero que deberíamos tener claro es en qué consiste la estrategia AGDLP. Para ello, si todavía tienes dudas, echa un vistazo a los contenidos de SOR en www.educatica.es, en concreto puedes mirar Planificación de un servicio de directorio con SOR Cliente / Servidor o leer directamente las entradas dedicadas a AGDLP que se reproducen a continuación para facilitar su acceso:
Enunciado
Vamos a crear y configurar una serie de recursos compartidos en red para agilizar el trabajo de los usuarios del dominio de nuestra organización. Para ello, vamos a crear un recurso compartido específico para cada uno de los departamentos al que solo podrán acceder los miembros de cada departamento. Además vamos a crear un par de recursos compartidos más a los que podrán acceder ciertos usuarios del sistema.
Toda esta información está resumida en la siguiente tabla.
Todos estos recursos compartidos son directorios almacenados en algún sistema de ficheros que configuramos como recurso compartido, así que necesitamos conocer dónde se almacenan estos recursos compartidos.
Queremos que todos los recursos compartidos sean visibles a los usuarios del dominio cuando accedan a través de la red a la lista de recursos compartidos en el servidor, que es dónde se compartirán.
Primer paso, creando los directorios
En este caso práctico estamos creando los directorios a compartir en el sistema de ficheros del servidor WS2016 que es el controlador de dominio de nuestro dominio. Esto no tiene porque ser así, no obstante por simplicidad lo vamos a realizar de esta manera.
Creamos el directorio C:\educatica\2024 y dentro de él creamos cada uno de los directorios que vamos a utilizar como recursos compartidos.
Una vez creados, vamos a ir recurso a recurso llevando a cabo el proceso propuesto para aplicar estructura AGDLP:
- Identificar los tipos de acceso de un recurso.
- Crear un grupo DL para cada tipo de acceso
- Configurar los permisos de acceso locales utilizando solo los grupos DL que gestionan los tipos de acceso y configurar los permisos remotos abiertos.
- Añadir a cada grupo DL de gestión de acceso los grupos globales de usuarios o usuarios del dominio individuales que deban tener permiso de acceso sobre ese recurso.
Primer recurso compartido: mecanica
Identificamos los accesos. Tenemos dos tipos de acceso, de lectura y de control total.
Creamos los grupos de Dominio Local que gestionen cada uno de los accesos identificados. Utilizando la nomenclatura propuesta:
- DL_mecanicaL. Para el recurso mecanica operaciones de Lectura
- DL_mecanicaCT. Para el recurso mecanica operaciones de Control Total
Configuramos los permisos de acceso locales con AGDLP, es decir tan solo utilizaremos los grupos de Dominio Local creados expresamente para gestionar los tipos de acceso al recurso compartido mecanica.
Deshabilitamos la herencia para poder modificar abiertamente la lista de control de acceso.
Quitamos los grupos de usuarios que no deberían tener permisos y añadimos, a continuación aquellos grupos DL que hemos creado para gestionar los accesos.
Podemos dejar el grupo administradores y sistema para agilizar operaciones de administración futuras en este directorio. Esto es opcional.
Agregamos el grupo DL para las operaciones de lectura.
Escribimos parte del nombre del grupo y le damos permisos
Configuramos el siguiente grupo DL para gestionar el otro tipo de acceso.
Con todo esto, la configuración de ACL nos quedaría de la siguiente forma:
Con esto tan solo hemos configurado los permisos de acceso sobre un directorio local. Tenemos que compartir el directorio para crear el recurso compartido.
Ahora le damos el nombre del recurso compartido que queramos utilizar y configuramos los permisos de acceso en red, que serán muy permisivos para que se apliquen realmente los permisos configurados en local.
Configuramos permisos de acceso en remoto.
Aceptamos y ya tenemos compartido el recurso compartido en la red de la organización.
Una pequeña aclaración sobre los permisos, si nos fijamos hemos configurado que cualquier usuario del dominio tenga control total sobre el recurso si accede a través de la red.
No obstante, si nos fijamos en los permisso que hemos configurado en el directorio a través de las ACL tenemos que tan solo los miembros de DL_mecanicaL y DL_mecanicaCT podrán acceder para realizar operaciones de lectura y control total respectivamente, sin contar con los administradores.
De nuevo recordar que los permisos que se aplicarán será la conjunción de los permisos remotos y locales, que en este caso serán los locales al ser tan permisivos los remotos.
Por último, tenemos que añadir a los usuarios y grupos que queramos que tengan cada tipo de acceso definido. Con permiso de lectura estarán los miembros del departamento mecanica, que se representan en el dominio con el grupo mecanica, y con acceso de control total los miembros del departamento dirección, que se representan en el dominio con el grupo dirección.
Ya está configurado 🙂
Configurar el resto de recursos compartidos
Segunda parte. Modificaciones
Llevamos un tiempo trabajando con esta configuración de recursos compartido y se han detectado ciertos problemas que habría que solucionar. Se quiere que ciertos usuarios de los departamentos tengan acceso de control total sobre los recursos compartidos de su departamento. Estos usuarios son los jefes de cada departamento.
Queremos, por tanto, que en los recursos de mecánica, electrónica y gestión tengan acceso de control total los siguientes usuarios:
- mecánica: rgomezr
- electrónica: rdelgados
- gestión: mmoralesr
Dejar una respuesta