Introducción
En esta publicación seguimos desarrollando el caso práctico sobre configuración de un dominio AD para una organización.
Hasta ahora, hemos configurado algunos usuarios del dominio con perfiles móviles y otros con perfiles locales. Hemos creado y compartido un directorio como un recurso compartido en red para que ciertos usuarios tengan acceso a él.
Pero esta solución no resuelve la necesidad de que los usuarios que tienen perfiles locales puedan almacenar información propia y privada, es decir que solo pueda ser accedida por ellos, a través de la red. Podríamos crear un directorio, configurarlo y compartirlo como recurso compartido manualmente para cada uno de los usuarios que necesitara este tipo de acceso, pero esto no es algo sencillo y nos llevaría mucho tiempo.
Para poder tener esta configuración de forma casi automática podemos usar la configuración de carpetas de usuario.
Enunciado
Se necesita que ciertos usuarios del dominio, por ahora los usuarios desarrolladores del departamento de informática, tengan una carpeta de datos o carpeta de usuario personal en el servidor accesible a través de la red en la que puedan acceder para almacenar información desde cualquier equipo del dominio.
Configura los usuarios para que esto funcione.
Desarrollo
Para hacer esto vamos a utilizar la herramienta Carpeta particular. Una carpeta particular es un recurso compartido en red al que tendrá acceso el usuario. Ese recurso es propio de ese usuario, solo lo puede utilizar ese usuario y para facilitar mucho el acceso a su carpeta particular, el sistema creará una unidad de red que parecerá, para el usuario, como una unidad lógica de su equipo.
Para entenderlo bien, vamos a configurar carpetas particulares.
Vamos a crear primero un recurso compartido que será dónde se almacenen las carpetas particulares de los usuarios que queramos que cuenten con una.
Ahora tenemos que compartirlo en red, utilizaremos el mismo nombre, es decir Datos y configuramos los permisos igual que hicimos con el recurso compartido de perfiles móviles: Usuarios del dominio – Control total.
Una vez configurado el directorio tan solo tenemos que configurar la carpeta particular de los usuarios afectados, en nuestro caso la plantilla de desarrolladores y marinapg.
Nota: Tened en cuenta que esto es un caso práctico con fines didácticos. En realidad todo esto deberíamos tenerlo planificado desde el principio y no tener que ir configurando cada elemento a posteriori. Este caso práctico nos sirve para practicar con las herramientas y darnos cuenta de lo importante que es contar con una planificación previa.
Nos vamos al panel Perfil y activamos carpeta particular.
Ahora, seleccionamos conectar, puesto que nos vamos a conectar a un recurso compartido en red que estará almacenado en este caso en el servidor que hace de controlador del dominio. Le asignamos la letra que queremos que tenga la unidad lógica que representará a este recurso compartido, en este caso hemos dejado la letra Z:, pero podríamos elegir otra. Por último ultimo tenemos que especificar la ruta del recurso compartido para la carpeta particular del usuario.
Si nos fijamos, cada usuario distinto debería tener una ruta distinta para su carpeta particular, con su nombre de usuario. Para poder configurar esto en muchas cuentas, sobre todo en las plantillas o para configurar varias cuentas a la vez, podemos utilizar la variable de entorno username. De esta forma, en nuestro caso práctico, la ruta sería:
\\dc01.educatica.ex\Datos\%username%
Al pulsar aceptar, el sistema ha creado un directorio para cada uno de lo usuarios configurados.
Si iniciamos sesión con el usuario marinapg en algún equipo del dominio, debería aparecer la unidad en red Z:
Vamos a abrir el explorador de Windows.
El usuario puede acceder a la unidad en red y trabajar con ella como si fuera una unidad lógica local.
La diferencia es que todo lo que se escriba en esta unidad en red estará disponible para el usuario en cualquier equipo de dominio bajo una misma unidad en red Z:. Si accedemos desde el servidor, veremos como se ha creado el directorio y el fichero.
Posible problema de seguridad
Como hemos visto, marinapg ha accedido a su carpeta particular a través de la unidad de red que tiene asignado el recurso compartido que almacena su carpeta particular. No obstante, al ser un recurso compartido podríamos acceder a él si conocemos su ruta o URL. \\dc01.educatica.ex\datos\marinapg.
El problema está en que un usuario podría tratar de acceder a la carpeta particular de otro usuario. Vamos a ver si esto es posible.
Ahora vamos a acceder a la carpeta particular de _plantillaDesarrolladores y trataremos de crear un directorio y un fichero.
¡Parece que podemos escribir en el directorio particular de otro usuario!. ¿Por qué sucede esto?. Por los permisos. Vamos a ver la configuración de permisos de las carpetas particulares de los usuarios que se han creado automáticamente.
Según estos permisos, marinapg no debería haber podido hacer esto… Marinapg pertenece a usuarios, como mucho podría haber leido el contenido del directorio compartido.
Vamos a ver los permisos efectivos de marinapg.
Ahí está el detalle, no debería poder tener estos permisos. Estos permisos los tiene por la configuración de permisos heredados. Si no queremos que suceda esto, deberíamos configurar los permisos locales de los directorios para que los usuarios no tengan ese tipo de acceso…
Dejar una respuesta