Active Directory, perfiles y Windows 7: configuración de controladores, grupos y políticas

Clasificado en Informática

Escrito el en español con un tamaño de 6,36 KB

Active Directory: conceptos y estructura

Active Directory: un dominio tiene su controlador; varios dominios forman un árbol dentro de Active Directory (AD).

Controlador de dominio y roles

En el servidor hay que agregar funciones (roles) y seleccionar los servicios apropiados para Active Directory Domain Services (AD DS). Para configurar un controlador de dominio se requiere:

  • Cuenta de sesión administrador.
  • Configuración de la dirección de red y tener conexión.
  • IP estática en el servidor.
  • Instalación de la base de datos de Active Directory.

Conexión de clientes al dominio

Conexión cliente al dominio: en un equipo cliente (por ejemplo Windows XP) hay que configurar el DNS hacia la IP de nuestro servidor, añadir el equipo como miembro del dominio y proporcionar usuario y credenciales para unirse al dominio.

LDAP

LDAP: es la base de datos que permite realizar consultas sobre Active Directory y acceder a la información de usuarios, equipos y otros objetos.

Grupos y tipos de grupos

Grupo server (grupo de servidores) y demás tipos de grupos en AD:

  • Dominio local: grupo de seguridad que puede contener grupos universales, globales, otros locales y cuentas de cualquier bosque.
  • Grupo global: su ámbito es el dominio; se utiliza para conceder permisos dentro del bosque.
  • Grupo universal: tiene ámbito de bosque; se pueden conceder derechos y permisos a los grupos de seguridad universales.

Perfiles de usuario

Tipos de perfiles:

  • Perfil local: perfil normal guardado localmente en el equipo.
  • Perfil móvil: no se almacena en local de forma permanente; al iniciar sesión se carga el perfil desde el servidor y guarda una copia en el cliente. Los documentos guardados localmente no se almacenan en el servidor automáticamente; al cerrar sesión el perfil se sincroniza con el servidor.
  • Perfil obligatorio (obli): es un perfil móvil, pero no guarda ningún documento ni cambios del usuario una vez cerrada la sesión. Se usa para perfiles con configuración fija.
  • Perfil "super": equivalente al perfil obligatorio, pero además impide iniciar sesión en el dominio si el servidor de perfiles no está disponible.

Creación y ruta de perfiles

Creación: crear el usuario, asignar el perfil y especificar la ruta de acceso al perfil (por ejemplo: \\n1.asir1.com\ruta_perfiles\NombrePerfil), que es una ruta de red. En el controlador de dominio existe la carpeta SYSVOL y otras carpetas relacionadas con el nombre del dominio que se pueden acceder en red.

Perfil obligatorio: proceso

Proceso habitual para crear un perfil obligatorio:

  1. Crear el usuario.
  2. Añadirlo al grupo de administradores si procede.
  3. Crear una nueva carpeta compartida en SYSVOL con permisos NTFS y compartidos adecuados para la red.
  4. Desactivar la caché de recurso compartido si procede.
  5. Copiar el perfil creado a la carpeta compartida anterior.
  6. Borrar las carpetas locales temporales (Local y Locallow) dentro del perfil creado.
  7. Verificar estructura de aplicaciones y directorios dentro del perfil (por ejemplo: AppData, ...\Perfil nombre.V2).
  8. En el registro (regedit) comprobar HKEY_USERS y que el archivo NTUSER.DAT esté asociado al perfil; este archivo crea la rama de perfil en HKEY_USERS al cargarse la sesión.
  9. Ajustar permisos y, si se requiere, convertir NTUSER.DAT a un perfil .MAN (perfil obligatorio).

Políticas de grupo (GPO)

Políticas de grupo: administración de directivas mediante la creación de una nueva GPO vinculada al dominio o a una unidad organizativa (OU). Se seleccionan las restricciones o configuraciones deseadas y luego se añaden a la unidad organizativa donde se han colocado los usuarios o equipos.

Windows 7: versiones y licencias

Windows 7 - Versiones: Home Premium, Professional (con centro multimedia), Ultimate (todas las características), Starter (limitado: sin algunos gráficos, máximo 3 programas simultáneos en la edición para netbooks).

Licencias:

  • Retail: permite desinstalar y volver a instalar la licencia en otro equipo.
  • OEM: no permite mover la licencia a otro equipo (está ligada al hardware original).

Comandos y ejemplos

Ejemplo para mapear una unidad de red persistente:

NET USE X: \\10.32.1.1\compartida /PERSISTENT:YES

Cuotas de disco y arranque

Cuota de disco: mecanismo para limitar el uso de disco duro por usuario.

Después de Windows 7 y Windows Server 2008, el gestor de arranque de Windows suele residir en la instalación que se instaló primero. Al instalar Windows 7 suele crearse automáticamente una partición de 100 MB para almacenar el gestor de arranque.

Enlaces duros y simbólicos

Enlace duro (hard link): ejemplo con fsutil (crear un enlace duro llamado enlaceduro_peli.avi apuntando a peli.avi):

fsutil hardlink create enlaceduro_peli.avi peli.avi

Enlace blando / crear archivo (ejemplo de crear un archivo nuevo con fsutil):

fsutil file createnew fich 1200

Notas finales

  • Conservar las rutas UNC con doble barra invertida (\\servidor\recurso).
  • Cuando se trabaja con perfiles móviles u obligatorios, probar siempre la experiencia de inicio de sesión con cuentas de usuario estándar para verificar permisos y sincronización.
  • Documentar los permisos NTFS y compartidos para evitar problemas de acceso.
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
DNS LDAP Windows 7 perfiles locales perfil obligatorio licencias Windows Server 2008 controlador de dominio GPO enlace duro perfiles móviles NET USE cuota de disco Active Directory grupos de seguridad