Ya vimos como crear usuarios y carpetas en el directorio activo, aquí analizaremos un problema práctico que nos servirá de ejemplo. Primero se realizará de forma gráfica y después con comandos.
Se desea crear la estructura de control de accesos a los recursos del sistema de información de una organización. En la organización trabajan 6 personas en 3 departamentos distintos. Se desea crear un usuario por cada persona y un grupo por cada departamento. A continuación se indican los nombres de las personas y el departamento al que pertenecen.
Persona Departamento
Alfredo García Producción
Olga Pérez Ventas
Hernesto López Ventas
Jesús Palacios Producción
María Martínez Producción
Raquel Loureiro Calidad
Se debe crear cada usuario con la inicial del nombre y el primer apellido, sin espacios en blanco entre ellos y sin usar vocales acentuadas. Se utilizará el nombre y apellidos para la propiedad Nombre Completo. Los usuarios deben cambiar su contraseña en el primer inicio de sesión. La contraseña hasta ese momento debe ser su primer apellido.
Los grupos se denominarán igual que el departamento al que representan.
En el equipo ya tenemos creado el directorio activo. Para hacerlo gráficamente desde herramientas administrativas -> Usuarios y equipos de Active Directory.
Sobre Usuarios y equipos vamos al directorio activo y pulsamos botón derecho del ratón -> nuevo -> grupo.
Ponemos el nombre del grupo en el ámbito global y tipo seguridad.
Repetimos para los otros dos grupos. Ahora creamos los usuarios, nos colocamos sobre la carpeta usuarios y pulsamos botón derecho del ratón -> nuevo -> usuario.
Rellenamos los datos del usuario tal y como se especifica en el formulario.
Le ponemos el apellido de contraseña y marcamos que la cambie al iniciar la sesión.
Nos sale una pantalla de confirmación.
Una vez creado el usuario, lo vemos en la consola del directorio activo ahora sobre el usuario, botón derecho del ratón -> agregar a un grupo.
Nos pide en que grupo queremos añadirlo, podemos escribir parcialmente el nombre del grupo y pulsar el botón comprobar nombres.
Y nos sale un mensaje final de confirmación.
Si ahora vamos a grupos y sobre el grupo pulsamos botón derecho del ratón -> propiedades nos abre un cuadro de diálogo y en la pestaña miembros podemos que nuestro usuario está agregado.
Repetimos estas operaciones con el resto de usuarios.
Con comandos
Net User es una herramienta en línea de comandos que permite a los administradores de sistemas poder administrar cuentas de usuario en PCs con Windows.
Se puede utilizar el comando para mostrar información de las cuentas de usuario o hacer cambios en las mismas. Es necesario realizar las operaciones con una cuenta con privilegios de administración.
Creamos los grupos.
Net group produccion /add /comment:”grupo de dominio de producción” /domain
Net group ventas /add /comment:”grupo de dominio de ventas” /domain
Net group calidad /add /comment:”grupo de dominio de calidad” /domain
Creamos los usuarios.
Net User agarcia Garcia@@@@ /add /fullname:”Alfredo García” /logonpasswordchg:yes /domain
Net User operez Perez@@@@ /add /fullname:”Olga Pérez” /logonpasswordchg:yes /domain
Net User hlopez Lopez@@@@ /add /fullname:”Hernesto López” /logonpasswordchg:yes /domain
Net User jpalacios Palacio@@@@ /add /fullname:”Jesús Palacios” /logonpasswordchg:yes /domain
Net User mmartinez Martinez@@@@ /add /fullname:”María Martínez” /logonpasswordchg:yes /domain
Net User rloureiro loureir@@@@ /add /fullname:”Raquel Loureiro” /logonpasswordchg:yes /domain
Asignamos los grupos a los usuarios.
Net group produccion agarcia jpalacios mmartinez /add
Net group ventas operez hlopez /add
Net group calidad rloureiro /add
Carpetas y permisos
En el sistema de archivos se deben crear las siguientes carpetas y asignarles los permisos locales indicados. Ningún grupo predeterminado tiene que tener permisos sobre ellas, excepto Administradores y SYSTEM, que tienen Control total.
Los permisos locales son los que se dan a la carpeta en propiedades -> seguridad.
Carpeta D:\Datos Producción
Control total para el grupo Producción. Lectura y ejecución para el grupo Calidad.
Creamos la carpeta con el botón derecho del ratón sobre el volumen de datos elegimos Nuevo -> Carpeta y le damos el nombre pedido.
Una vez creada la carpeta, sobre ella pulsamos el botón derecho del ratón-> propiedades.
Y en propiedades vamos a la pestaña seguridad. Pulsamos el botón editar.
Esto nos abre un nuevo cuadro de diálogo y pulsamos agregar.
Si escribimos las primeras letras y pulsamos comprobar nombres.
Nos abre otro cuadro donde podemos elegir el nombre del usuario o grupo deseado y aceptar.
Aceptamos de nuevo hasta llegar al cuadro de seguridad, donde elegimos el grupo deseado y le asignamos los permisos correspondientes y pulsamos al botón aplicar.
Ahora agregamos el grupo Calidad y le asignamos permisos de lectura y ejecución.
Ahora le quitamos los permisos a CREATOR OWNER.
Repetimos la operación anterior a los usuarios. Para el resto de carpetas repetimos el proceso con los parámetros pedidos a continuación.
Carpeta D:\Ventas Control total para el grupo Ventas.
Carpeta D:\Calidad Control total para el grupo Calidad. Lectura y ejecución para el grupo Producción.
Carpeta D:\Valoración Servicio Lectura y ejecución para los grupos Producción y Ventas. Control total para el grupo Calidad.
Carpeta D:\Plantillas Lectura para todos los usuarios del sistema.
Del mismo modo que antes elegimos los usuarios y les damos permisos de sólo lectura.
Carpeta D:\Datos Comunes Control total para los grupos Producción, Ventas y Calidad. Se debe denegar el permiso de Escritura al usuario Jesús Palacios. Elegido el usuario jpalacios, En la columna denegar chequeamos en escritura.
Crear una carpeta personal para cada usuario y concederle Control total solo a él. Por ejemplo para hlopez sería:
Y luego se los quitamos al resto de usuarios
 |
Por comandos
Creamos las carpetas
mkdir “D:\Datos Produccion”
mkdir D:\Ventas
mkdir D:\calidad
mkdir “D:\Valoracion Servicio”
mkdir D:\Calidad
mkdir D:\Plantillas
mkdir “D:\Datos comunes”
mkdir D:\usuarios\agarcia
mkdir D:\usuarios\operez
mkdir D:\usuarios\hlopez
mkdir D:\usuarios\mmartinez
mkdir D:\usuarios\jpalacios
mkdir D:\usuarios\rloureiro
Damos los permisos correspondientes a las carpetas.
Icacls “D:\Datos Produccion” /inheritance:d /T
Icacls “D:\Datos Produccion” /remove:g usuarios
ICACLS “D:\Datos Produccion” /remove:g “CREATOR OWNER”
ICACLS “D:\Datos Produccion” /grant:r produccion:(OI)(CI)F /T
ICACLS “D:\Datos Produccion” /grant:r calidad:(OI)(CI)RX /T
Ahora damos permisos al resto de carpetas
Icacls D:\Ventas /inheritance:d /T
Icacls D:\Ventas /remove:g usuarios
ICACLS D:\Ventas /grant:r ventas:(OI)(CI)F /T
Icacls D:\Calidad /inheritance:d /T
Icacls D:\Calidad /remove:g usuarios
ICACLS D:\Calidad /grant:r calidad:(OI)(CI)F /T
ICACLS D:\Calidad /grant:r produccion:(OI)(CI)RX /T
Icacls “D:\Valoracion Servicio” /inheritance:d /T
Icacls “D:\Valoracion Servicio” /remove:g usuarios
ICACLS “D:\Valoracion Servicio” /grant:r calidad:(OI)(CI)F /T
ICACLS “D:\Valoracion Servicio” /grant:r produccion:(OI)(CI)RX /T
ICACLS “D:\Valoracion Servicio” /grant:r ventas:(OI)(CI)RX /T
Carpeta D:\Plantillas lectura para todos los usuarios del sistema.
Icacls D:\Plantillas /inheritance:d /T
Icacls D:\Plantillas /remove:g usuarios
ICACLS D:\Plantillas /grant:r usuarios:(OI)(CI)R /T
Carpeta D:\Datos Comunes Control total para los grupos Producción, Ventas y Calidad
Icacls “D:\Datos Comunes” /inheritance:d /T
Icacls “D:\Datos Comunes” /remove:g usuarios
Icacls “D:\Datos Comunes” /grant:r calidad:(OI)(CI)F /T
Icacls “D:\Datos Comunes” /grant:r produccion:(OI)(CI)F /T
Icacls “D:\Datos Comunes” /grant:r ventas:(OI)(CI)F /T
Se debe denegar el permiso de Escritura al usuario Jesús Palacios
Icacls “D:\Datos Comunes” /deny jpalacios:(OI)(CI)F /T
Concedemos control total a cada usuario en su carpeta y denegamos al resto.
icacls "D:\Usuarios\agarcia" /inheritance:d /T
icacls "D:\Usuarios\agarcia" /remove:g usuarios
icacls "D:\Usuarios\agarcia" /grant:r agarcia:(CI)(OI)F /T
icacls "D:\Usuarios\hlopez" /inheritance:d /T
icacls "D:\Usuarios\hlopez" /remove:g usuarios
icacls "D:\Usuarios\hlopez" /grant:r hlopez:(CI)(OI)F /T
icacls "D:\Usuarios\mmartinez" /inheritance:d /T
icacls "D:\Usuarios\mmartinez" /remove:g usuarios
icacls "D:\Usuarios\mmartinez" /grant:r mmartinez:(CI)(OI)F /T
icacls "D:\Usuarios\operez" /inheritance:d /T
icacls "D:\Usuarios\operez" /remove:g usuarios
icacls "D:\Usuarios\operez" /grant:r operez:(CI)(OI)F /T
icacls "D:\Usuarios\jpalacios" /inheritance:d /T
icacls "D:\Usuarios\jpalacios" /remove:g usuarios
icacls "D:\Usuarios\jpalacios" /grant:r jpalacios:(CI)(OI)F /T
icacls "D:\Usuarios\rloureiro" /inheritance:d /T
icacls "D:\Usuarios\rloureiro" /remove:g usuarios
icacls "D:\Usuarios\rloureiro" /grant:r rloureiro:(CI)(OI)F /T
Permisos de Red
Se deben compartir en red las carpetas del ejercicio anterior. Asignarles el nombre indicado y los permisos de red indicados a continuación.
Los permisos de red son los que se dan al compartir la carpeta.
Carpeta D:\Datos Producción
Nombre de red: Dpto Producción.
Control total para el grupo Administradores.
Cambiar para el grupo Producción. Leer para el grupo Calidad.
Carpeta D:\Ventas
Nombre de red: Dpto Ventas.
Control total para el grupo Administradores.
Cambiar para el grupo Ventas.
Carpeta D:\Calidad
Nombre de red: Dpto Calidad.
Control total para el grupo Administradores.
Cambiar para el grupo Calidad. Leer para el grupo Produccion.
Carpeta D:\Valoración Servicio
Nombre de red: Valoración Servicio.
Control total para el grupo Administradores.
Leer para los grupos Produccion y Ventas. Cambiar para el grupo Calidad.
Carpeta D:\Plantillas
Nombre de red: Plantillas Documentos.
Control total para el grupo Administradores.
Leer para todos los usuarios.
Carpeta D:\Datos Comunes
Nombre de red: Datos Comunes.
Control total para el grupo Administradores.
Cambiar para los grupos Produccion, Ventas y Calidad.
Carpetas Personales
Nombre de red: El nombre completo de cada usuario.
Control total para el grupo Administradores.
Cambiar para cada usuario.
Vamos a la carpeta Datos Producción y pulsamos el botón derecho del ratón y elegimos compartir.
Compartimos la carpeta.
Una vez compartida nos posicionamos sobre ella y con el botón derecho del ratón -> propiedades. En la pestaña General se pone Dpto. Producción.
Y en la pestaña seguridad comprobamos que los permisos dados sean correctos, si no es así los modificamos.
Para el resto de carpetas procedemos de forma similar a la anterior.
Por comandos
net share "Dpto Produccion"="D:\Datos Produccion" /grant:Administradores,full /grant:Produccion,change /grant:Calidad,read
net share "Dpto Ventas"=D:\Ventas /grant:Administradores,full /grant:Ventas,change
net share "Dpto Calidad"=D:\Calidad /grant:Administradores,full /grant:Calidad,change /grant:Produccion,read
net share "Valoracion Servicio"="D:\Valoracion Servicio" /grant:Administradores,full /grant:Calidad,change /grant:Produccion,read /grant:Ventas,read
net share "Plantillas Documentos"=D:\Plantillas /grant:Administradores,full /grant:Todos,read
net share "Datos Comunes"="D:\Datos Comunes" /grant:Produccion,change /grant:Ventas,change /grant:Calidad,change
Conectar a unidades de red
Iniciar sesión con cada uno de los usuarios del ejercicio 3 y crear una conexión de red por cada una de las carpetas de red a las que tiene acceso el usuario.
Se deben mapear las siguientes unidades.
Esto se hace en los equipos cliente que se conectan al servidor.
Dpto Producción Unidad U
Dpto Ventas Unidad V
Dpto Calidad Unidad W
Valoración Servicio Unidad X
Plantillas Documentos Unidad Y
Datos Comunes Unidad Z
Carpeta Personal Unidad P
Todas las conexiones deben ser permanentes, esto es, se deben conectar con cada inicio de sesión automáticamente. El usuario no debe intentar mapear carpetas de red a las cuales no tiene permisos de al menos lectura, pues producirá un error de denegación de permiso.
Gráficamente
Pulsamos en equipo y conectar a unidad de red.
Y elegimos la carpeta del equipo externo de la red que mapearemos. Marcamos conectar de nueva al iniciar sesión para que sea persistente.
Si no tenemos credenciales nos pedirá el usuario y la contraseña, finalmente nos mostrará en el equipo la nueva unidad mapeada.
Por comandos
net use U: "\\servidor\Dpto Produccion" /persistent:yes
net use V: "\\servidor\Dpto Ventas" /persistent:yes
net use W: "\\servidor\Dpto Calidad" /persistent:yes
net use X: "\\servidor\Valoracion Servicio" /persistent:yes
net use Y: "\\servidor\Plantillas Documentos" /persistent:yes
net use Z: "\\servidor\Datos Comunes" /persistent:yes
net use P: "\\servidor\Datos Alfredo Garcia" /persistent:yes
REM net use P: "\\servidor\Datos Hernesto Lopez" /persistent:yes
REM net use P: "\\servidor\Datos Maria Martinez" /persistent:yes
REM net use P: "\\servidor\Datos Olga Perez" /persistent:yes
REM net use P: "\\servidor\Datos Jesus Palacios" /persistent:yes
REM net use P: "\\servidor\Datos Raquel Loureiro" /persistent:yes
No hay comentarios:
Publicar un comentario