Introducción
En esta entrada vamos a practicar con los distintos elementos de AD a lo largo de un caso práctico que se desarrollará en sucesivas entradas. Para evitar daños colaterales, sería conveniente crear una instantánea a la que podamos volver después de haber realizado las diferentes configuraciones que llevaremos a cabo en este caso práctico guiado.
Vamos a ir siguiendo la entrada sobre Administración de elementos de un dominio.
Usuarios y equipos de active directory
Unidades organizativas
Las unidades organizativas son contenedores que nos permiten organizar los objetos del dominio para facilitarnos su administración.
Podríamos hacer una analogía con el sistema de ficheros, y pensar en ellos como en directorios que nos permiten organizar ficheros y directorios. En este caso, las UOs nos permiten organizar los objetos de forma jerarquica.
Siguiendo los contenidos acerca de UOs vamos a crear varias UOs que nos permitan gestionar los departamentos de nuestra empresa. Para ello, primero creamos una UO principal con el mismo nombre que nuestro dominio.
Caso práctico
Para poder organizar los objetos de la organización en la que trabajamos vamos a crear tantas UOs como departamentos tiene la organización. En nuestro caso tenemos los siguientes departamentos:
- Informatica
- Marketing
- Diseño
- Publicidad
- Multimedia
- RecursosHumanos
Dentro de la UO principal que hemos creado para nuestro dominio, vamos a crear una a una cada una de las UOs que contendrán los objetos del dominio relativos a cada departamento.
Fijate en la ruta dónde se creará la nueva UO.
Podemos hacer clic con el botón secundario o derecho sobre la UO principal, educatica.ex en mi caso, y seleccionar nueva unidad organizativa.
De nuevo podemos observar en el cuadro de dialogo en qué UO se creará la nueva UO.
Seguimos el mismo proceso para crear el resto de UOs teniendo cuidado de crear las UOs dentro de la UO principal y no dentro de otra UO.
Como hemos visto, una UO tan solo sirve para organizar objetos del dominio. Una UO puede contener, a su vez, otras UO que nos permitan organizar más todavía, si fuera necesario, los objetos del dominio.
Grupos del dominio
Caso práctico
Vamos a crear un grupo de usuarios del dominio para cada departamento de la organización. Cada grupo lo crearemos dentro de la UO adecuada.
Para ello, accedemos a la UO de informática y, de nuevo, con el botón secundario seleccionamos opción nuevo | grupo.
Repetimos el proceso con cada UO, creando un grupo de ámbito global, puesto que representa a una organización de usuarios presente en el mundo real, y de tipo seguridad.
Creando usuarios
Cuando tenemos que crear muchos usuarios que comparten una configuración concreta, lo ideal es utilizar plantillas. Una plantilla es una cuenta de usuario que no se utiliza para iniciar sesión en el sistema, pero que está configurada con la configuración solicitada para un tipo de usuario concreto, por ejemplo de un departamento de la empresa. Una vez configurada la cuenta plantilla, podemos crear nuevas cuentas de usuario a partir de dicha plantilla. Para ello, tan solo tenemos que copiarla.
Creando la plantilla.
Con esto hemos creado un usuario que utilizaremos como plantilla. Para usarlo como plantilla, primero tendremos que configurar la cuenta de usuario para que se adapte a nuestras necesidades.
Una cuenta de administrador será de un usuario del departamento de informática que podrá utilizar los sistemas todos los días de la semana menos los domingos. Así que tendremos que añadir esta cuenta al grupo informatica y además configurar los límites de tiempo.
Vamos a añadir el usuario _plantillaAdministradores al grupo de Informática.
Ahora vamos a configurar la limitación de tiempo de uso de esta cuenta. Para ello nos vamos a
Caso práctico
Ahora crea una plantilla de desarrolladores cuyo nombre sea _plantillaDesarrolladores que solo pueda iniciar sesión de lunes a viernes de 8:00 a 15:00 y el sábado de 10 a 14:00. Además deberá pertenecer al grupo Informática y estar dentro de la UO Informática.
Ahora configuramos las restricciones horarias.
Crea una cuenta de usuario llamado alfredoff a partir de la plantilla de usuarios Administradores. Para ello tendrás que utilizar la opción de copiar nuevo usuario.
La nueva cuenta de usuario se ha creado copiando la configuración de la cuenta de usuario _plantillaAdministradores. De esta forma, de base tiene la misma configuración de restricciones de tiempo y de membresía de grupos. Vamos a comprobarlo.
Crea una cuenta de usuario llamada marinapg a partir de la plantilla de usuarios Desarrolladores.
Repetimos el proceso, pero ahora copiando de la plantilla de desarrolladores.
Podemos comprobar que la nueva cuenta de usuario ha copiado la configuración de la cuenta de usuario _plantillaDesarrollo.
Perfil local vs perfil móvil
Como ya sabemos, en el contexto de los sistemas operativos de Microsoft, un perfil de usuario es un directorio que contiene toda la información del usuario, es decir, contiene los ficheros de dicho usuario, así como información de configuración tanto del sistema como de aplicaciones para ese usuario.
Sabemos que en los SO Monopuesto con los que hemos trabajado hasta ahora, por defecto este perfil se almacena en un directorio con el nombre de la cuenta del usuario en el directorio C:\Users. Por ejemplo, para marinapg la ruta sería C:\Users\marinapg.
No obstante, en esta arquitectura de SOR dónde tenemos usuarios del dominio, como marinapg, que pueden utilizar cualquier equipo del dominio, no tenemos claro dónde se almacenará su perfil de usuario.
Perfil local de usuario del dominio
Un perfil local de usuario del dominio es un perfil que se crea o está de forma local en un equipo del dominio. Este perfil se crea la primera vez que se inicia sesión con ese usuario del dominio en el equipo. Este perfil no está compartido, es propio del equipo local en el que se haya creado.
Es decir, si marinapg inicia sesión en el equipo1.educatica.ex se creará un perfil local en dicho equipo para el usuario marinapg. Si después inicia sesión en el equipo2.educatica.ex se creará un nuevo perfil local en dicho equipo para el usuario marinapg, distinto del perfil del equipo1.educatica.ex. Es decir, cada perfil es local al equipo.
Esta es la configuración por defecto para las cuentas de usuario del dominio.
Esto genera un problema, los datos de cada perfil local son locales a cada equipo no pudiendo compartirlos entre equipos.
Una solución puede ser utilizar perfiles móviles.
Perfil móvil
Un perfil móvil de una cuenta de usuario del dominio es un tipo de perfil que se almacena dentro de un directorio compartido en red. Cuando se inicia sesión en un equipo del dominio, el equipo se descarga o actualiza el perfil guardado en el directorio compartido para que pueda ser utilizado por el usuario. Una vez cierra sesión el usuario, el perfil se actualiza en el directorio compartido.
La ventaja es que los ficheros del perfil de usuario estarán siempre disponibles en cualquier equipo del dominio una vez inicie sesión. La desventaja es la cantidad de datos que se puede tener que descargar / actualizar.
¿Cómo se configura un perfil móvil?
1. Crear una carpeta compartida apropiada
Para ello, primero creamos un directorio con un nombre significativo, por ejemplo Perfiles.
Una vez con el directorio creado, ahora lo compartimos en red con la siguiente configuración: Los usuarios del dominio tendrán control total a través de la red.
Deberíamos elegir un nombre adecuado para el recurso compartido, por ejemplo: perfiles.
Quitamos al grupo Todos
Agregamos a los usuarios del dominio
Vamos a comprobar que tenemos acceso a través de la red a dicho recurso compartido. Escribimos la ruta del servidor dc01.educatica.ex con las dos barras iniciales para indicar al explorador de windows que nos queremos conectar a los recursos compartidos de este equipo.
2. Configurar los perfiles de los usuarios
El siguiente paso será configurar los perfiles de los usuarios que queramos que utilicen perfiles móviles. En nuestro caso, vamos a configurar, por ahora, las cuentas de los administradores con perfiles móviles.
Vamos a Usuarios y Equipos del dominio. Dentro de la UO de Informática seleccionamos a alfredoff y la plantilla de administradores, que por ahora son las únicas cuentas de administradores.
Escribimos la ruta del recurso compartido seguido del nombre de la cuenta de usuario,. Como estamos configurando varios elementos utilizamos la variable de entorno %username% para que el sistema operativo utilice el nombre del usuario concreto.
Vamos a probar si ha funcionado la configuración de perfiles y de cuentas de usuario
Iniciamos sesión con la cuenta de alfredoff@educatica.ex que es una cuenta de usuario del dominio con perfil móvil.
Es la primera vez que el usuario inicia sesión… así que se está creando su perfil de usuario en el servidor.
Vamos a ver el directorio de perfiles en el servidor
Además podemos irnos a propiedades del sistema y comprobar el tipo de perfil de usuario que estamos usando para esta cuenta.
Si ahora cerramos sesión e iniciamos con marinapg, nos encontraremos con un perfil local.
Dejar una respuesta