Vamos a actualizar nuestra Política de privacidad próximamente. Te recomendamos consultar el avance.

Windows Server 2012 R2: Active Directory

Encadenamiento de permisos sobre recursos a compartir

¡Prueba gratis durante 10 días

nuestros 1289 cursos !

Prueba gratis Mostrar modalidades de suscripción
Durante el video te enseñaremos las buenas prácticas de Microsoft relacionadas con la asignación de permisos sobre objetos. Verás cómo el fabricante, tras años de experiencia y conversaciones con sus clientes, nos aconseja configurar el acceso a una carpeta de red compartida.

Transcripción

Voy a explicaros el encadenamiento de grupos para asignación de permisos en un directorio activo. Esto es tal como lo concibe Microsoft y son parte de las buenas prácticas. ¿Por qué seguir las buenas prácticas muchas veces? Porque nos llevan a situaciones en las que el prueba y error ya ha definido la solución para algo. Si somos autodidactas en nuestras formas, puede funcionar a corto plazo, pero a medio o largo plazo nos damos cuenta por qué la solución que ofrece el sector y el fabricante solía ser mejor, y es cuando pagamos las pegas o los problemas de nuestras soluciones autodidactas en nuestras propias carnes. Os voy a explicar, como he dicho, tal y como Microsoft lo concibe y además tal y como debemos configurar estas opciones ante exámenes de certificación de la compañía, por ejemplo. La norma que voy a explicaros se llama AGLP, esto significa 'ACCOUNT GLOBAL LOCAL PERMISSION'. ¿Qué significa esto? Bueno, pues que las cuentas, usuarios y equipos comúnmente pertenezcan a grupos globales –estos grupos son visibles a través de otros dominios– y los permisos de los recursos locales pertenezcan a grupos locales, para poder luego generar un encadenamiento entre ellos y garantizar que una cuenta tenga finalmente acceso y permiso a un recurso local. Vamos a verlo en la práctica. Si voy a la consola de directorio activo de Usuarios y equipos de directorio activo, observo que previamente yo tengo creado una carpeta que será la que utilizaré para tener privilegios de lectura y escritura sobre una carpeta física. Aquí hago: botón derecho, Propiedades y veo que es de Dominio local. También tengo a mis usuarios dentro de Grupos departamentales, que están en una OU concreta. Por ejemplo, los Financieros pertenecen a este grupo, aquí hay usuario que es un financiero de pertenece al grupo Financieros. Ahora me quedaría hacer que una carpeta compartida –me voy a C/, Carpetas compartidas, Financieros, botón derecho, Propiedades, Compartir, Uso compartido avanzado y comparto esta carpeta. Si quisiera que fuese oculta tendría que añadir un dólar al final, en mi caso voy a hacer que sea pública, aunque luego voy a delimitar muy bien quién puede acceder a ella–. En cuanto a los permisos de compartición, haré que Todos los usuarios del dominio, usuarios y equipos, tengan privilegio de cambiar y de leer. No tengáis miedo, aunque vayáis a crear un filtro, ese filtro lo crearemos en Permisos, no en la compartición, ya que lo otro son permisos NTFS y son más robustos. Aquí vamos a permitir a todo el mundo Cambiar y Leer. Aceptar, Aceptar. Me voy a la solapa de Seguridad y es donde voy a establecer los permisos que realmente quiero sobre el objeto. Voy a editar y voy a mantener que los administradores puedan cambiar, leer, etc. Pero voy a hacer que solo los usuarios... de hecho, voy a hacer que este grupo sea quien tiene permiso de lectura y escritura. Podrías hacer incluso un grupo que solo tuviese permiso de lectura, de tal forma que luego la granularidad sería muchísimo mayor. Y acepto. Ya he hecho que un grupo que actualmente está vacío –si lo veis aquí– tenga privilegios de lectura y de escritura. Este sería el grupo local y lo otro sería permiso, por tanto habríamos hecho la segunda parte de aquellas abreviaturas LP. Ahora vamos a utilizar el grupo que os he enseñado antes, que es Financieros, que, como os he dicho, es Global y pertenecen a Usuarios. Usuarios son cuentas, por tanto "account global". Ahora voy a hacer que este grupo sea miembro de este grupo. Un usuario financiero, que pertenece al grupo Financieros, e incluso un usuario nuevo que entre a trabajar dentro del departamento financieros, la lógica haría que lo incluyésemos dentro del grupo Financieros. Automáticamente, solo por incluir al usuario en el grupo Financieros, que es donde le pertenece, incluso podemos tener "scripting" para que al aparecer la palabra'financieros'en el apartado'departamento' se incluya automáticamente dentro del grupo, el encadenamiento haría que el usuario ya tuviese permisos sobre esa carpeta. Fijaros que damos permisos sobre recursos sin tener que salir del directorio activo y eso incluye que estemos dando permiso sobre recursos que están lejanos y que incluso no administramos nosotros mismos, como podrían ser recursos que están en otros dominios y que a esos recursos solo acceden los administradores locales de aquellos dominios y una vez, en su día, dieron privilegios de lectura y de escritura a un grupo, un grupo que es accesible por nosotros que estamos en otro dominio y que podemos provocar ese encadenamiento, que, de hecho, el encadenamiento ya está creado. Nosotros nos hemos limitado simplemente a incluir al usuario en el grupo Financieros y ya funciona todo el encadenamiento hasta llegar a aquel grupo y a aquel recurso lejano en otro dominio, incluso.

Windows Server 2012 R2: Active Directory

Aprende como sacar el máximo provecho a Active Directory para Windows Server 2012 R2, realizando todos los procesos, tanto de instalación, como configuración y administración.

58 min (15 Videos)
Actualmente no hay comentarios.
 
Fecha de publicación:3/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.