12.7. Administrar el Controlador de Dominio Resara con RSAT

Hemos insistido a lo largo de este capítulo en que Samba 4 nos permite crear dominios de Active Directory que sean completamente equivalentes a los creados con Windows Server. Además, estamos comprobando lo sencillo que resulta crear un controlador de dominio con estas características con la ayuda de Resara.

Sin embargo, quizás lo más interesante es comprobar hasta qué punto la herramienta RSAT (Remote Server Administration Tools) nos permite administrar el controlador de dominio de Samba 4 de forma idéntica a como lo hacíamos con Windows Server. Este aspecto lo cubriremos realizando algunas de las tareas que ya explicamos en el capítulo 5 sobre Windows Server 2008. En particular, aprenderemos (o más bien recordaremos) las siguientes tareas administrativas:

Si revisas los apartados correspondientes del capítulo 5 comprobarás que los procesos son prácticamente idénticos.

  • Añadir un nuevo usuario al dominio.
  • Añadir permisos a las carpetas compartidas.
  • Crear una carpeta personal para los usuarios.
  • Crear perfiles móviles.
  • Almacenar las carpetas personales de los usuarios en el servidor. En concreto lo haremos con la carpeta Documentos.

Comencemos…

Administración del servidor desde el equipo cliente

Como ocurría con Resara Server Admin Console, la instalación de Remote Server Administration Tools se puede llevar a cabo desde cualquier cuenta local del equipo cliente que tenga permisos para instalar software. Sin embargo, a diferencia de aquella, RSAT necesita que se haya iniciado sesión en el cliente con una cuenta del dominio que disponga de privilegios para administrar el servidor.

De esta forma, si tras la instalación hacemos clic en el botón Inicio, veremos que el menú nos muestra, como recién instalado, un elemento que se llama Usuarios y equipos de Active Directory. Esto nos puede hacer pensar que podemos ejecutarlo desde una cuenta cualquiera, por lo que podemos probar a …

1

… hacer clic sobre la entrada.

Sin embargo, aparece un mensaje de error que nos avisa de la situación.

2

Hacemos clic sobre el botón Aceptar.

Por lo tanto, antes de poder usar las Herramientas de administración remota del servidor necesitaremos que el equipo esté unido al dominio.

A continuación, iniciaremos sesión dentro del dominio con la cuenta Administrator y la contraseña adecuada en el controlador de dominio Resara.

3

A continuación hacemos clic sobre el botón de inicio de sesión.

Cuando se haya iniciado la sesión, podemos hacer clic sobre el botón Inicio y en la herramienta de búsqueda del Menú Inicio comenzamos a escribir el nombre de la herramienta Usuarios y equipos de Active Directory.

4

Cuando aparezca la opción en la parte superior, hacemos clic sobre ella.

Veremos que se abre una ventana titulada Usuarios y equipos de Active Directory con un aspecto prácticamente idéntico al que tenía en Windows Server 2008.

En lugar de ejecutar directamente Usuarios y equipos de Active Directory podríamos haber seguido el mismo procedimiento para abrir Herramientas administrativas y tener acceso al resto de características de administración del servidor.

Añadir un nuevo usuario al dominio Resara.

Para comprobar que todo funciona correctamente, podemos hacer clic en el panel izquierdo de la ventana Usuarios y equipos de Active Directory, sobre el nombre de la unidad organizativa que habíamos creado antes (en nuestro ejemplo, SomeBooks).

1

En su interior encontraremos tanto el usuario como el grupo que ya habíamos creado en Resara.

Ahora podemos, por ejemplo, crear un nuevo usuario en el dominio. Observa que el procedimiento es idéntico al que estudiamos en Windows Server 2008.

2

Hacemos clic con el botón derecho del ratón sobre el espacio libre de la ventana y, en el menú de contexto que aparece elegimos Nuevo > Usuario.

Aparecerá la ventana Nuevo objeto: Usuario, que ya conocíamos.

3

Rellenamos los datos del nuevo usuario y hacemos clic sobre el botón Siguiente.

En el segundo paso estableceremos la contraseña e indicaremos y las condiciones que debe cumplir la cuenta. En nuestro caso indicaremos que el Usuario debe cambiar la contraseña en el siguiente inicio de sesión.

4

Después, volvemos a hacer clic sobre el botón Siguiente.

Por último, el asistente para crear usuarios nos muestra una ventana resumen con la operación que estamos a punto de realizar.

5

Terminamos haciendo clic sobre el botón Finalizar.

De vuelta en la ventana principal de la herramienta, comprobamos que el usuario se ha creado correctamente.

6

El nuevo usuario aparece en la ventana Usuarios y equipos de Active Directory.

De nuevo, como ocurría en Windows Server 2008, podemos consultar la ventana de propiedades de cualquiera de los usuarios del dominio y completar la información que necesitemos.

7

Hacemos clic sobre el usuario, con el botón derecho del ratón, y elegimos la opción Propiedades en el menú de contexto que habrá aparecido.

 

8

En la ventana de Propiedades, podemos incluir todas las características que necesitemos en la cuenta de usuario.

Asignar permisos a la carpeta compartida

Ya hemos visto en apartados anteriores lo fácil que resulta con Resara crear una carpeta que actúe como espacio compartido entre todos los usuarios (en nuestro ejemplo la llamábamos, precisamente, Compartido). Sin embargo, puede ser muy interesante lograr que, dentro de ella, las carpetas que creen cada uno de los usuarios no herede dichos permisos de la carpeta principal. De esta forma, podríamos disponer de un lugar de almacenamiento individual para cada uno.

Una vez establecidos los permisos adecuados, veremos lo sencillo que resulta crear una unidad de red mediante la que los usuarios accedan directamente a una carpeta personal dentro de Compartido.

Para comenzar, lo primero que haremos será asegurarnos de haber iniciado sesión en el equipo cliente con Windows 7 utilizando la cuenta del administrador del dominio (Administrator). Después, abrimos el explorador de archivos de Windows.

1

… Y, en la barra de direcciones escribimos el nombre de nuestro dominio (\\somebooks.lan)

Veremos que en el área de trabajo de la ventana aparecen las carpetas que tengamos compartidas en el servidor (en este caso, únicamente la carpeta Compartido).

Para cambiar los permisos de la carpeta, comenzamos por hacer clic sobre la ella con el botón derecho del ratón.

2

En el menú de contexto que aparece elegimos la opción Propiedades.

Veremos que aparece la ventana Propiedades de la carpeta compartida.

3

Hacemos clic sobre la solapa Seguridad y, a continuación, sobre el botón Opciones avanzadas.

Aparecerá la ventana Configuración de seguridad avanzada. En ella, debemos hacer clic sobre la solapa Permisos (si no es la solapa predeterminada).

4

A continuación, hacemos clic sobre el botón Cambiar permisos.

Al hacerlo, se habilita la edición de permisos, donde podremos añadir, quitar o cambiar permisos.

Lo primero que haremos será eliminar todos los permisos de la carpeta. De esta forma, comenzaremos la asignación de los nuevos permisos desde cero.

5

Seleccionamos todos los permisos y hacemos clic sobre el botón Quitar.

A partir de ahí, comenzaremos a añadir nuevos permisos.

6

Hacemos clic sobre el botón Agregar.

Puedes escribir sólo parte del nombre y usar el botón Comprobar nombres para encontrarlo.

Aparecerá la ventana Seleccionar usuario, Equipo, Cuenta de servicio o Grupo.

Como vamos a comenzar por asignar los permisos al administrador, en el cuadro de texto Escriba el nombre de objeto para seleccionar escribimos Administrator.

7

Después, hacemos clic sobre el botón Aceptar.

Dado que la cuenta Administrator actúa como administrador del dominio, le otorgaremos Control total y en la lista Aplicar a, elegiremos Esta carpeta, subcarpetas y archivos.

8

Cuando hayamos concluido, hacemos clic sobre el botón Aceptar.

 

9

Repetimos el mismo procedimiento (y con los mismos permisos) para el grupo de usuarios Domain Admins y volvemos a hacer clic sobre el botón Aceptar.

 

10

… Y una vez más, aplicamos los mismos permisos al grupo SYSTEM.

Debemos volver a repetir el proceso dos veces más, pero debemos prestar atención porque ahora no aplicaremos los mismos permisos.

Para CREATOR OWNER (el propietario de la carpeta), en la lista Aplicar a, elegimos Sólo subcarpetas y archivos

11

… y en la lista de permisos elegimos Control total.

Por último, elegimos el grupo Domain users y en la lista Aplicar a, elegimos Sólo esta carpeta. Después, en la lista de permisos elegimos los siguientes:

  • Atravesar carpeta / ejecutar archivo.
  • Mostrar carpeta / leer datos.
  • Crear archivos / leer datos.
  • Cambiar permisos.

12

Cuando estemos listos, hacemos clic sobre el botón Aceptar por última vez.

De vuelta en la ventana Configuración de seguridad avanzada, realizamos un último repaso de los permisos que hemos asignado para asegurarnos de no haber cometido errores…

13

… Y terminamos haciendo clic sobre el botón Aceptar.

Crear una carpeta personal para los usuarios

La configuración de una carpeta personal para los usuarios del dominio Samba 4 que hemos creado con Resara es prácticamente idéntica a la que ya realizamos en el apartado 5.3. (Crear carpetas personales para los usuarios en el servidor) cuando trabajábamos con Windows Server 2008. De todos modos, vamos a refrescar la memoria, consiguiendo ahora los mismos resultados.

Comenzaremos por abrir la herramienta Usuarios y equipos de Active Directory.

1

En el menú Inicio comenzamos a escribir el nombre de la herramienta.

Cuando se abra la ventana Usuarios y equipos de Active Directory, nos dirigimos al lugar donde se encuentran las cuentas de usuario sobre las que queremos actuar y las seleccionamos. Recuerda que podemos utilizar las teclas Mayúsculas (Shift) y Control (Ctrl) combinadas con el clic del ratón para realizar selecciones múltiples.

Una vez seleccionadas las cuentas, hacemos clic sobre cualquiera de ellas con el botón derecho del ratón.

2

En el menú de contexto que aparece, elegimos Propiedades.

Veremos que aparece una ventana titulada Propiedades de múltiples elementos, esto es debido a que, como teníamos varias cuentas seleccionadas a la vez, los cambios que hagamos ahora afectarán a todas ellas al mismo tiempo.

En esta ventana, elegiremos la solapa Perfil y, dentro de ella, activaremos la opción Carpeta particular. Podríamos hacer que la carpeta compartida se mostrara como una carpeta más dentro del árbol de directorios del cliente. En ese caso, elegiríamos la opción Ruta de acceso local y elegiríamos el lugar adecuado.

Sin embargo, pienso que queda más claro si el cliente percibe el almacenamiento compartido en el servidor como una unidad de almacenamiento en red, independiente de su árbol de directorios local. Por este motivo, haremos clic sobre Conectar y elegiremos una letra de unidad en la lista. En este caso, dejaremos el valor predeterminado (Z:).

Lo siguiente será indicar el nombre y la ubicación de la carpeta compartida. Esto se hace siguiendo la siguiente sintaxis:

\\servidor\carpeta_contenedora\carpeta_compartida

Estudiemos por separado cada parte de la ruta anterior:

  • servidor es el nombre del controlador de dominio que contiene la carpeta. En nuestro caso, somebooks.lan.
  • carpeta_contenedora representa el nombre de red con el que se comparte la carpeta. En nuestro caso, tendremos que escribir: Compartido.
  • carpeta_compartida es el nombre que queremos darle a la carpeta del usuario (la carpeta que realmente contendrá sus datos y que estará dentro de la carpeta contenedora). Como estamos configurando varias cuentas a la vez, no podemos escribir un texto cualquiera, porque en ese caso, las carpetas de todos los usuarios se llamarían del mismo modo. Por ese motivo, utilizaremos la variable de entorno %username%, que representa el nombre del usuario. Así conseguiremos que el nombre de la carpeta que almacena los archivos de un usuario tenga el nombre de dicho usuario.

En resumen, la ruta completa para compartir será:

\\somebooks.lan\Compartido\%username%

3

Cuando hayamos terminado, hacemos clic en el botón Aceptar.

Con esto, habremos terminado el trabajo en el servidor. Ahora deberemos comprobar si todo funciona desde el lado cliente.

Acceder desde el equipo cliente a la carpeta compartida

Lógicamente, para acceder a la carpeta compartida de un usuario, deberemos iniciar sesión en el equipo cliente con la cuenta de dicho usuario

1

iniciamos sesión con la cuenta de usuario.

A continuación, basta con desplazarnos hasta la ventana Equipo para ver las distintas ubicaciones de red

2

Elegimos Inicio > Equipo.

Comprobamos que aparecen dos ubicaciones:

  • La carpeta Compartido, que ya estaba disponible.
  • Una nueva carpeta con el nombre de la cuenta de usuario.

Ambas incluyen la letra de unidad de red que le asociamos, el nombre de la carpeta y su ubicación en el servidor.

Aunque se vean como unidades separadas, recuerda que la carpeta del usuario se encuentra dentro de la carpeta Compartido. De hecho, podemos hacer doble clic sobre ella para ver su contenido.

3

Sin embargo, si tratamos de entrar en la carpeta de un usuario diferente, descubrimos que no tenemos permisos.

Haciendo doble clic sobre la carpeta del usuario (o sobre la unidad Z: en la ventana anterior), accedemos a su contenido, aunque de momento se encuentra vacía.

4

A modo de ejemplo, creamos un archivo…

 

5

Y comprobamos que se crea correctamente.

Crear un perfil de usuario móvil

El primer paso para crear un perfil móvil consiste en crear una carpeta compartida en el servidor donde se almacenen los perfiles de todos los usuarios que utilicen esta capacidad. Para este ejemplo, crearemos una carpeta compartida llamada Perfiles.

El proceso será idéntico al que hemos seguido más arriba para la carpeta Compartido, aunque esta vez lo hemos hecho desde Resara Server Admin Console en el equipo cliente.

También deberemos asignar permisos a la carpeta Perfiles como hicimos con la carpeta Compartido, para evitar que unos usuarios puedan acceder a los datos de otros.

1

Creamos la carpeta Perfiles con Resara Server Admin Console.

Para crear el perfil móvil, volveremos a la consola Usuarios y equipos de Active Directory. Si la hemos usado recientemente, aparecerá en el menú Inicio. Si no, bastará con comenzar a escribir su nombre el el cuadro de búsqueda.

2

Cuando aparezca, hacemos clic sobre ella.

Localizamos la cuenta (o cuentas) a las que queremos asignar el perfil móvil, las seleccionamos y hacemos clic con el botón derecho del ratón sobre ellas.

3

En el menú de contexto que aparece, elegimos Propiedades.

En la ventana de propiedades de la cuenta o cuentas, hacemos clic sobre la solapa Perfil. En ella, debemos dar valor al cuadro de texto Ruta de acceso del perfil. El contenido seguirá el siguiente formato:

\\servidor\carpeta_compartida\nombre_usuario

En nuestro caso, sustituyendo los valores anteriores, por los correspondientes al servidor que estamos utilizando como ejemplo, nos quedaría algo como esto:

\\somebooks.lan\Perfiles\%username%

Observa que, en lugar de utilizar el nombre de usuario, hemos utilizado la variable de sistema %username%. Así, podremos cambiar el perfil a varias cuentas al mismo tiempo y, en cada una de ellas, la variable será sustituida por el nombre de la cuenta correspondiente.

4

Ya sólo queda hacer clic sobre el botón Aceptar.

Ahora sólo tenemos que iniciar sesión con alguna de las cuentas que hemos configurado más arriba.


Anterior

Contenido