educatica!

educación, informática y demás

Sistemas Operativos en Red

Ejemplo de uso de la estrategia AGDLP

Vamos a hacer un ejemplo dónde realizaremos varias configuraciones con la estrategia AGDLP.

Vamos a compartir un par de directorios, uno ventas y otro contabilidad dentro del directorio C:\Educatica.

Creamos los directorios ventas y contabilidad

Ahora vamos a configurar cada uno de estos directorios para que tan solo los usuarios miembros de los grupos ventas y contabilidad respectivamente puedan acceder a estos directorios. En realidad el objetivo es compartirlos a través de la red como recursos compartidos.

El primer paso, será configurar los permisos locales de dichos directorios. Como ya sabemos estos permisos locales siempre se deben cumplir. Por eso, configuramos los permisos más estrictos en local.

Estamos acostumbrados a configurar los permisos usando grupos globales, lo que en sistemas operativos en red clientes son los grupos locales. Sin embargo, queremos usar la estrategia AGDLP. Por tanto, el primer paso será determinar qué operaciones vamos a permitir para cada recurso compartido o directorio.

  • Ventas. Control total (a los miembros de ventas)
  • Contabilidad. Control total (a los miembros de contabilidad)

Ahora creamos para cada recurso tantos grupos de dominio local como tipos de acceso necesitemos.

  • Ventas. DL_ControlTotalVentas.
  • Contabilidad. DL_ControlTotalContabilidad.

Vamos a crear los grupos de dominio local.

Ya tengo el grupo de dominio local que gestionará el acceso al recurso compartido Ventas.

Vamos a hacer lo mismo para Contabilidad.

Hasta ahora, lo único que hemos hecho es crear los grupos que usaremos para configurar el acceso a los recursos ventas y contabilidad.

Vamos a añadir usuarios, ya que estamos aquí… ¿Quienes podrán realizar operaciones de Control Total sobre el recurso Ventas?. Los miembros del grupo Ventas.

Metemos como miembros del grupo DL_ControlTotalVentas al grupo Ventas.

Ya hemos configurado el grupo DL que gestiona el acceso de Control Total sobre Ventas. Vamos a hacer lo mismo con el de Contabilidad. ¿Quienes tienen control total sobre Contabilidad? El grupo de Contabilidad, así que lo hacemos miembro del grupo DL_ControlTotalContabilidad.

Nos falta el último paso, configurar los permisos de cada uno de los directorios. Hasta ahora lo único que hemos hecho es crear y configurar directorios que vamos a usar para configurar los permisos, que es la parte más importante.

Añadimos al grupo administradores también para que puedan gestionar este recurso.

Ahora repetimos el proceso con Ventas usando el grupo DL que gestiona el único tipo de acceso permitido para Ventas.

El último paso, una vez configurados los permisos, será compartir los directorios como recursos compartidos en red para que los usuarios del dominio puedan acceder a dichos directorios a través de la red del dominio.

De esta forma, estos directorios estarán accesibles a los usarios del dominio que inicien sesión en cualquier equipo del dominio.

Oh, Dios mio!!! Todo el mundo puede hacer de todo en Contabilidad!!!

Con esta configuración de permisos remotos lo único que estamos haciendo es permitir cualquier operación a través de la red a los usuarios del dominio sobre el recurso compartido («te parece poco?»). No obstante, esos accesos también tienen que cumplir con los permisos locales que hemos configurado para el directorio que se está compartiendo. Como hemos dicho hace unos párrafos, los permisos locales siempre se cumplen. De esta forma, solo los Administradores y los miembros del DL_ControlTotalContabilidad podrán acceder para realizar cualquier operación.

¿Qué ventaja tiene esto?

Queremos configurar los recursos de forma que, ahora, los miembros de los grupos ventas y contabilidad tengan acceso de solo lectura a sus respectivos directorios.

Solo el usuario el usuario marinapg tendrá acceso de control total sobre Contabilidad. Solo el usuario anagp tendrá acceso de control total sobre Ventas.

¿Qué hacemos?.

Se ha añadido un nuevo tipo de acceso a cada recurso compartido y se han modificado los usuarios (grupos) que tenían acceso de control total. Necesitamos un par de grupos DL más.

  • Ventas. DL_LecturaVentas y DL_ControlTotalVentas.
  • Contabilidad. DL_LecturaContabilidad y DL_ControlTotalContabilidad.
  1. Creamos los grupos DL.
  2. Configuramos los miembros de cada grupo DL
  3. Configuramos los permisos locales de los directorios
  4. Configuramos los permisos remotos de los directorios.

Creamos los grupos DL

Configuramos los miembros de cada grupo

En función de su tipo de acceso, añadimos miembros a cada grupo.

…los miembros de los grupos ventas y contabilidad tengan acceso de solo lectura a sus respectivos directorios…

Solo el usuario el usuario marinapg tendrá acceso de control total sobre Contabilidad

Solo el usuario anagp tendrá acceso de control total sobre Ventas.

Configuramos los permisos locales de los directorios

Como hemos añadido un nuevo tipo de acceso, creando dos grupos nuevos DL tenemos que configurar los permisos de los directorios para que se apliquen accesos sobre estos grupos DL.

Configuramos los permisos remotos de los directorios

Estos permisos ahora mismo ya no hay que tocarlos, porque hemos configurado control total a los usuarios del dominio. De esta forma cualquier usuario podrá acceder a través de la red, aplicándose después los permisos configurados de forma local sobre el directorio.

Por ejemplo, con el recurso ventas

Otra vueltita….

Resulta que queremos que anagp pueda leer el contenido del recurso contabilidad. También queremos que el usuario marinapg y alfredoff puedan leer del recurso ventas.

Ahora, con los permisos ya configurados, lo único que tenemos que hacer es añadir o eliminar miembros de los grupos DL que gestionan el acceso a los recursos compartidos.

En este caso concreto, tan solo añadimos a anagp al grupo DL_LecturaContabilidad y añadimos a marinapg y alfredoff al grupo DL_LecturaVentas.

Actividad

Queremos compartir dos directorios en red de forma que estén disponibles para algunos de los usuarios del dominio. Vamos a crear dos directorios uno llamado almacen y otro llamado proyectos dentro del directorio C:\educatica.

Al directorio almacen queremos permitir dos tipos de acceso, uno de control total y otro de solo lectura. Por ahora no sabemos que usuarios del dominio tendrán acceso, pero si tenemos claro que permitiremos ambos tipos de acceso. Este directorio lo compartiremos como recurso compartido en red con el nombre almacen.

En cuanto al recurso proyectos, también vamos a gestionar dos tipos de accesos, uno de control total y otro de solo lectura. El acceso de Lectura lo tendrán los miembros del grupo Contabilidad y ventas. El acceso de control total tan solo lo tendrán marinapg y anagp. Este directorio estará disponible como recurso compartido en red con el nombre de trabajos y se permitirá acceder con los mismos permisos que estén establecidos en local.

Solución

En cuanto al recurso proyectos, también vamos a gestionar dos tipos de accesos, uno de control total y otro de solo lectura. El acceso de Lectura lo tendrán los miembros del grupo Contabilidad y ventas. El acceso de control total tan solo lo tendrán marinapg y anagp. Este directorio estará disponible como recurso compartido en red con el nombre de trabajos y se permitirá acceder con los mismos permisos que estén establecidos en local.

Deja un comentario

Tema creado por Anders Norén