educatica!

educación, informática y demás

Recomendaciones para la implantación de un servicio de directorio Active Directory

Ya hemos visto gran parte de los elementos con los que podemos trabajar en el servicio de directorio de Microsoft Active Directory. Ahora queda la parte más importante, utilizarlos de forma adecuada para poder gestionar de la mejor forma posible los recursos de una red en una empresa u organización.

Para facilitar la implantación de una arquitectura de Sistemas Operativos en Red Cliente / Servidor utilizando un servicio de directorio como Active Directory se dan las siguientes recomendaciones.

Primero analizar bien la organización para obtener información relevante de su funcionamiento y de lo que se quiere conseguir con la implantación de la arquitectura SOR Cliente / Servidor. Se debe poner especial interés en obtener la siguiente información:

  1. Infraestructura de red. Información sobre la red de área local con la que ya se está trabajando y si se puede alterar algún parámetro o no. Nos interesa conocer la dirección de red con la que se trabaja y si ya existe una arquitectura de red implementada para configurar la red en los equipos y en el servidor. La información mínima necesaria, si no se pueden cambiar los parámetros de red, sería la dirección de red y máscara de subred con la que se trabaja, la dirección de la puerta de enlace y si existen direcciones IP estáticas ya asignadas a algunos de los dispositivos o equipos conectados a la red que deban mantenerse, así como servicios en red ya implementados.
  2. Los usuarios que utilizarán el sistema desde los equipos disponibles.
  3. Las agrupaciones de usuarios que existen en la empresa.
  4. Los recursos que se compartirán en la red como equipos, impresoras o directorios compartidos y las restricciones de uso para determinar el control de acceso de cada uno de estos recursos. A ser posible, buscar las restricciones por agrupaciones de usuarios ya establecidas en la empresa, como miembros de departamentos, etc.
    1. En equipos qué usuarios pueden utilizarlos y en qué horarios.
    2. En impresoras, qué usuarios pueden imprimir, cuáles podrían llegar a administrar y quienes no podrán hacer nada (el resto).
    3. En directorios compartidos qué usuarios podrán acceder para leer, quienes con control total y quienes no podrán hacer nada (el resto). También sería interesante conocer si tienen que estar ubicados estos directorios compartidos en algún equipo concreto y la razón.

Con toda esta información anotada, podemos pasar a planificar cómo se implantaría la arquitectura SOR Cliente / Servidor, instalando un Sistema Operativo en Red Servidor, como Windows Server 2016 en un equipo servidor e instalando y configurando el Rol de Servicios de Dominio de Active Directory en él.

La parte de planificación conllevará tomar ciertas decisiones de diseño iniciales antes de comenzar con el servicio de directorio como la asignación de direcciones IP a los equipos y dispositivos de la red, nomenclatura de los equipos del dominio (equipoXX, hostXX, PCXX, etc) y nomenclatura de las cuentas de usuario. También será necesario decidir el nombre del dominio y si se utilizará un servidor DNS interno en la red de área local privada o si se considera utilizar un nombre de dominio público con conexión a Internet. Por simplicidad, nos decantaremos por dominios privados.

Con esta información inicial, se recomienda seguir los siguientes pasos a la hora de planificar y después implementar el servicio de directorio en la empresa.

Instalar y configurar Windows Server

Este sería el primer paso que habría que dar, instalar y configurar el servidor Windows Server 2016 para que lleve a cabo las tareas de controlador de dominio.

Habría que seguir las instrucciones dadas en los contenidos de este documento sobre Sistemas Operativos en Red, como:

  1. Seleccionar la edición de Windows Server que se adapte a nuestras necesidades presentes y de un futuro a corto/medio plazo.
  2. Adquirir un equipo informático adecuado que cumpla con los requisitos mínimos y, mucho mejor, recomendados para trabajar con el sistema operativo.
  3. Instalar la edición seleccionada del Sistema Operativo Windows Server.
  4. Realizar las configuraciones iniciales como cambiar el nombre del equipo, configurar la interfaz de red de forma adecuada, actualizar el sistema, etc.

Una vez todo preparado pasaríamos al siguiente paso.

Instalación del Rol de servicios de dominio de Active Directory

Una vez instalado y preparado el servidor Windows Server, pasaríamos a instalar el Rol de servicios de dominio de Active Directory. Antes de esto debemos tener claro el nombre de dominio que utilizaremos para nuestro dominio. No se recomienda utilizar el dominio privado .local, puesto que da problemas con la integración de sistemas GNU/Linux en un dominio Active Directory.

Por ejemplo, en nuestro caso, hemos utilizado en todos los casos prácticos de apoyo un dominio de alto nivel ficticio .ex (Extremadura), que no existe en la actualidad como dominio de alto nivel en Internet (TLD).

El proceso es sencillo como ya hemos visto anteriormente, solo hay que seguir los asistentes y elegir la creación de un nuevo bosque, puesto que este sistema será el controlador de dominio de un nuevo dominio en la red.

Configuración del servicio de directorio

Una vez está instalado el Rol de servicios de dominio de Active Directory, el siguiente paso será añadir y configurar los distintos elementos del dominio como unidades organizativas, usuarios, grupos, equipos y recursos compartidos (impresoras y directorios).

Antes de ponerse manos a la obra con la herramienta de usuarios y equipos de Active Directory, se recomienda planificar los pasos a dar en base a la información obtenida en el análisis de la empresa.

Con esta información se recomienda dar son los siguientes pasos en orden:

  1. Crear las Unidades Organizativas en las que se estructurarán todos los elementos del dominio. Una Unidad Organizativa (UO) principal con el mismo nombre del dominio y dentro de ésta crear tantas Unidades Organizativas como departamentos haya en la empresa.
  2. Crear los Grupos Globales que representen las agrupaciones que se usen en la empresa dentro de la Unidad Organizativa que corresponda. Si un grupo no está en ninguna de las UOs y no tiene sentido crear una UO para él o está en varias UOs, se podría dejar en la UO principal.
  3. Si se van a utilizar perfiles móviles y carpeta particular o de datos, crear los directorios, compartirlos en red y configurar el control de acceso de forma adecuada como se ha estudiado en los contenidos.
  4. Crear plantillas de usuario. Para cada UO que represente una agrupación de la empresa donde se vayan a crear cuentas de usuario crear una plantilla de usuario con la configuración base que deben tener todos los usuarios de dicha UO. Las restricciones o configuraciones básicas suelen ser: grupos a los que pertenecerá, restricciones de equipos, restricciones horarias, perfil de usuario y carpeta particular.
  5. Crear las cuentas de usuario del dominio a partir de las plantillas de usuario. Si debemos crear muchas cuentas de usuario, crearlas a partir de plantillas de usuario reducirá mucho las tareas de configuración que debemos realizar y limitará los errores humanos.

Si no se van a compartir recursos en red, con esto habríamos terminado de configurar los principales elementos del dominio.

Podríamos añadir los equipos de forma manual al contenedor Computers o bien a las UOs respectivas o bien podríamos esperar a que la información de los equipos se añadan al directorio de forma automática al añadirlos al dominio desde el SOR Cliente, que tendremos que hacerlo de una u otra forma.

Si se van a compartir recursos en red, se recomienda utilizar la estrategia AGDLP estudiada. Para ello, debemos seguir los siguientes pasos para cada recurso compartido.

  1. Crear tantos grupos de dominio local como tipos de acceso se den sobre el recurso compartido. Se debe utilizar la nomenclatura estudiada: DL_TipoAccesoNombreRecurso.
  2. Configurar los miembros de cada grupo de dominio local que controle el acceso al recurso compartido. Se añaden como miembros los grupos globales y, solo si no queda más remedio porque es un usuario individual que no pertenece a ninguna agrupación concreta, añadir cuentas de usuario del dominio que deban tener ese tipo de acceso sobre el recurso.
  3. Compartir el recurso, directorio o impresora, y configurar el control de acceso local (NTFS) y remoto utilizando solo los grupos de dominio local creados para dicho recurso. Habrá que ceñirse a las restricciones dadas para cada recurso compartido si el acceso es local o remoto, pudiendo ser las restricciones iguales en ambos caso.

Tema creado por Anders Norén