educación, informática y demás

Sistemas Operativos en Red

Ejemplo de recurso compartido con AGDLP

En este caso práctico vamos a configurar un recurso compartido en una organización que utiliza una Arquitectura de Sistemas Operativos en Red basada en el servicio de directorio Active Directory en un Controlador de dominio WS 2016.

Previo

En nuestra organización tenemos los siguientes departamentos:

  • Almacén
  • Ventas
  • Marketing
  • Taller
  • Diseño
  • Contabilidad
  • Informatica
  • Tecnico

Crea las UOs y los grupos de ámbito global necesarios para gestionar esta organización.

Ejercicio 1. Recurso compartido presupuestos – AGDLP

Se desea compartir el directorio C:\Proyectos\Presupuestos con el nombre Presupuestos. A este recurso compartido podrán acceder para realizar operaciones de lectura los grupos de usuario: Taller, diseño, informática y técnico. Podrán acceder para realizar operaciones de lectura y escritura, control total, los usuarios miembros de almacen y contabilidad.

Para configurar el control de acceso al recurso compartido vamos a utilizar la estrategia AGDLP.

Proceso de configuración con AGLP

Para cada recurso compartido que queramos compartir utilizando la estrategia AGDLP deberíamos seguir estos pasos. En este caso, solo tenemos un recurso compartido que se llama Presupuestos.

1. Determinar los tipos de accesos al recurso

En nuestro caso, vamos a tener dos tipos de acceso, uno de solo lectura y otro de control total o lectura y escritura.

2. Creamos los grupos de Dominio Local necesarios

Tenemos que crear un grupo de Dominio Local para cada tipo de acceso. Usamos la nomenclatura DL_ seguida del nombre del recurso compartido y del tipo de acceso.

  • DL_Presupuestos_R. R de Lectura.
  • DL_Presupuestos_RW. RW de Lectura y escritura.

Podemos crearlos dentro de una UO propia para facilitar la gestión, aunque no es obligatorio.

3. Configuramos los permisos locales en el directorio a compartir.

Ahora solo utilizando los grupos de dominio local creados en el apartado anterior, configuramos los permisos en el directorio.

Con esto tenemos configurados los permisos de acceso en local. Según la ACL, aparte del sistema y de los Administradores, tan solo podrán acceder para lectura los miembros del grupo DL_Presupuestos_R y con control total, los miembros del grupo DL_Presupuestos_RW.

Ahora mismo, estos grupos no tienen ningún miembro. Por tanto, nadie podrá acceder… hasta que los configuremos.

4. Configuramos los miembros de cada grupo DL

Añadimos los usuarios y grupos que tendrá permiso de lectura sobre el recurso presupuesto en el grupo DL_Presupuesto_R

Hacemos lo mismo con los usuarios que tengan permiso de control total.

5. Compartir el directorio y configurar acceso remoto

Si los permisos en remoto son iguales que en local, que en una arquitectura SOR suele ser así casi siempre, la configuración de los permisos es muy muy sencilla. Tan solo tenemos que configurar que los Usuarios del dominio tendrán control total.

Configuramos los permisos del recurso compartido

Al final, los permisos que se aplicarán sobre el recurso compartido serán los más restrictivos de entre los permisos locales y los remotos. Como los remotos no restringen casi nada, solo que los usaurios sean usuarios del dominio, los permisos que se aplicarán serán los locales.

Modificación: Cambiar permisos de acceso

Supongamos que con el paso del tiempo, nos piden que el grupo Marketing tenga acceso de lectura y escritura sobre el recurso presupuestos, que el grupo ventas tenga acceso de lectura y que el grupo taller tenga acceso de lectura y escritura.

Con AGDLP es tan sencillo como cambiar los miembros de los grupos DL que creamos para gestionar los tipos de acceso.

No tenemos que tocar los permisos ni locales del directorio ni del recurso compartido.

Agregamos al grupo ventas en el grupo DL_Presupuestos_R

Quitamos al grupo taller del grupo DL_Presupuesto_R, porque no lo vamos a meter en DL_Presupuesto_RW más tarde.

Ahora añadimos Marketing y Taller al grupo DL_Presupuesto_RW.

Solo hemos modificado los miembros de los grupos, la configuración de permisos sigue siendo válida, no hemos tenido que modificarla:

El mundo sin AGDLP

Ejercicio 2. Nuevo usuario con control total

Crea un nuevo usuario llamado javiergp que pertenecerá al grupo Informatica que tendrá acceso de control total sobre el recurso Presupuestos.

Primero creamos el usuario en la UO de informatica y lo añadimos al grupo global informatica.

Creamos el usuario y lo añadimos al grupo global informatica

Una vez creado, tan solo tenemos que añadir la cuenta de usuario al grupo de dominio local que utilizamos para permitir accesos de control total sobre el recurso presupuesto: DL_Presupuesto_RW

Añadimos el usuario al grupo DL_Presupuestos_RW

Ejercicio 3. Nuevo recurso compartido

Vamos a compartir otro nuevo recurso compartido con el nombre de publicidad. El recurso compartido será un directorio almacenado en C:\Educatica\publicaciones\publicidad y tendrá como nombre publicidad.

A este recurso compartido podrán acceder todos los usuarios del dominio para realizar operaciones de lectura, pero tan solo podrá acceder para realizar operaciones de control total el usuario javiergp.

Configura este recurso compartido utilizando la estrategia AGDLP.

Solución propuesta

1. Determinamos los tipos de accesos.

Tendremos dos tipos: Lectura y control total.

2. Creamos los grupos DL

3. Configuramos permisos en el directorio

4. Añadimos usuarios a los grupos DL

5. Compartir y permisos remotos

¿Comandos?

Esto se podría hacer con comandos de powershell… Vamos a buscar información para ver cómo crear Unidades organizativas y grupos en un dominio utilizando PowerShell.

Dejar una respuesta