Contenidos
Vamos a realizar un pequeño caso práctico en el que vamos a compartir un recurso compartido en la red de un dominio Active Directory
En este caso se tratará de un directorio que compartiremos para que algunos usuarios del sistema puedan acceder para descargar documentos (acceso de solo lectura) y otros usuarios puedan acceder para subir, modificar y eliminar ficheros.
Enunciado
Se desea contar con un directorio compartido como recurso compartido en la red del dominio para almacenar los proyectos con los que se está trabajando actualmente en la empresa.
Los empleados del grupo de Profesores serán los únicos que tendrán acceso sin restricciones para poder crear, eliminar o modificar documentos en este recurso compartido. El resto de usuarios de la empresa tan solo podrá acceder para realizar operaciones de lectura.
El directorio se creará en una unidad lógica distinta de la unidad lógica donde se encuentra el sistema operativo, unidad C:, dentro del directorio empresa con el nombre proyectos.
1. Crear el directorio
2. Crear grupos de Dominio Local
Estos grupos son los grupos que utuilizaremos para configurar las ACL del directorio que vamos a compartir en red. Por tanto, crearemos tantos grupos DL como tipos de acceso tengamos.
En este caso, tenemos dos tipos de acceso.
- Solo lectura. Usuarios que podrán acceder a este recurso compartido para descargar documentos (según el enunciado).
- Control total. Usuarios que gestionarán el contenido de este recurso compartido a través de la red.
Ahora creamos un grupo para cada uno de estos tipos de acceso:
En este caso, tenemos dos tipos de acceso.
- Solo lectura. DL_LecturaProyectos
- Control total. DL_ControlTotalProyectos
Ahora solo tenemos que crear estos dos grupos de Dominio Local en nuestro dominio Active Directory.
3. Configurar los permisos de acceso en la ACL del directorio
Esta configuración, si no cambian los requisitos o los tipos de acceso al directorio, no se va a modificar nunca más. Es decir, vamos a configurar la ACL del directorio una sola vez.
El resto de cambios en los accesos, es decir quienes pueden acceder solo para lectura, con control total o, simplemente, no pueden acceder, lo haremos a través de los grupos de dominio local que hemos creado.
En opciones avanzadas, como vamos a cambiar la ACL, tendremos que deshabilitar la herrencia.
Copiamos los permisos y eliminamos lo que no queramos (es mejor que partir de cero).
Ahora eliminamos lo que no queremos, dejando solo a Administradores y System en la ACLs para facilitar la administración de este recurso.
Ahora añadimos DL_LecutaProyectos y configuramos este grupo para que tenga solo acceso de lectura.
Al final, los permisos quedarán de la siguiente forma
Aparte de Administradores y System, tan solo podrán acceder a este directorio los miembros de los grupos DL_LecturaProyectos y DL_ControlTotalProyectos, cada uno de ellos con un tipo distintos de acceso, tal y como habíamos planificado en el apartado anterior.
4. Compartir el recurso en red
Según el enunciado no nos indican ningún permiso específico para el acceso a través de la red. Es decir, los usuarios que tengan permiso de control total o de lectura tendrán los mismos permisos si acceden a través de la red o en local.
Por tanto, la forma más sencilla de configurar este recurso compartido será dando control total a todos los usuarios del dominio,. Esto es así puesto que los permisos que se aplicarán cuando se acceda a través de la red serán los más restrictivos entre los permisos locales NTFS o ACLs y los permisos que tengamos en el recurso compartido.
Establecemos como nombre del recurso compartido proyectos, puesto que es un nombre significativo y no nos habían indicado nada en el enunciado sobre el nombre del recurso compartido en red.
Además, tenemos que configurar los permisos de acceso, para que los permisos de acceso desde la red sean los mismos que los configuramos en la ACL del directorio Proyectos.
Configuramos los permisos de acceso a través de la red con Control Total para todos los Usuarios del dominio.
Recuerda que los permisos que se aplicarán realmente será la composición de los permisos de acceso locales (ACL) y los permisos en red, quedando los permisos más restrictivos. Al haber configurado los permisos de acceso local a través de la ACL tal cuál se pedía en el enunciado, podemos configurar los permisos de acceso a través de la red de forma abierta, limitando el acceso solo a usuarios del dominio.
Al final, los permisos que se aplicarán serán los más restrictivos, es decir, los establecidos en las ACL.
Una vez configurados los permisos, aceptamos y podemos ver información sobre el recurso compartido.
5. Añadimos a cada grupo DL los miembros que necesitemos
Ya hemos configurado los permisos tanto en local a través de ACL y en el recurso compartido para que se adapte a los dos tipos de accceso que se solicitan, utilizando los grupos de Dominio Local.
Ahora falta añadir como miembros de cada grupo de Dominio Local a los grupos de usuarios que deben tener cada tipo de acceso.
Según el enunciado nos indican que todos los usuarios de la empresa podrán acceder con permiso de lectura. Así que añadimos como miembros del grupo DL_LecturaProyectos a los Usuarios del dominio.
Según el enunciado, los Profesores tendrán tipo de acceso de control total sobre el recurso. Como tenemos el grupo global que modela a la agrupación de la empresa Profesores, añadimos el grupo Profesores como miembro del grupo DL_ControlTotalProyectos.
6. Modificación
Si, por ejemplo nos pidieran una modificación en el acceso, que usuarios pueden o no acceder al recurso, tan solo tendríamos que modificar los miembros de los grupos de dominio local.
Por ejemplo, si nos piden que solo los miembros del grupo alumno puedan acceder al recurso proyecto para realizar operaciones de lectura. Solo los miembros del grupo profesores podrán acceder para realizar cualquier tipo de operación de lectura o escritura.
Tan solo tendremos que modificar los miembros del grupo DL_LecturaProyectos de la siguiente forma:
No tenemos que volver a modificar ni las ACLs del directorio, que no tenemos porque saber dónde está físicamente, ni los permisos del recurso compartido.
El mantenimiento de los accesos para los recursos compartidos utilizando esta estrategia es mucho más sencillo de llevar a cabo.
Dejar una respuesta