Samba 4: Controlador Active Directory parte 2 de 3

por | 14 mayo, 2013

En el post anterior vimos como crear un controlador de dominio de Active Directory con Samba 4. En este segundo post, procederemos a administrar dicho dominio y realizar algunas de las tareas básica ( creación de usuarios, grupos, configuración de perfiles, etc.).

Aunque Samba 4 dispone de herramientas gráficas web como SWAT, utilizaremos para administrar el dominio, el conjunto de herramientas gratuitas que ofrece Microsoft, conocido como RSAT (Remote Server Administration Tool). Dichas herramientas, disponibles tanto para Windows 7 como Windows 8, no permitirán gestionar nuestro controlador de dominio, de forma idéntica a si estuviéramos delante de un Windows 2008R2 Server.

El primer paso será descargarnos de la página de Microsoft la versión RSAT adecuada a nuestro equipo cliente. En nuestro caso, un Windows 7 Enterprise de 32 bits:sambadc10

Una vez instalado el paquete de herramientas, procederemos a habilitar aquellas que necesitemos, para ello deberemos ir a Panel de Control, Programas y características, Activar características de Windows:

sambadc11

Aquí activaremos las herramientas de administración que sean necesarias, en nuestro caso tendremos suficiente con la administración básica del AD y la administración de políticas de grupo. Si posteriormente se necesitan herramientas adicionales, siempre se pueden activar.

Una vez hemos activado las diferentes herramientas, vamos a comenzar a administrar nuestro dominio. En primer lugar, abrimos Usuarios y Equipos de Active Directory. En esta consola podemos crear OU, grupos, usuarios y preaprovisionar máquinas al dominio. Aquí a modo de ejemplo, creamos dos usuarios que llamaremos aduser1 y aduser2.

sambadc12

Vamos a crear ahora la carpeta en el servidor donde ubicaremos las carpetas personales de los usuarios del dominio y a continuación editaremos el archivo smb.conf (recordar que lo tenemos en /usr/local/samba/etc para compartir dicho recurso. En el ejemplo que estamos realizando voy a llamar a dicha carpeta Usuaris:

# mkdir /Usuaris
sambadc13

Una vez realizada esta acción, reiniciamos el servidor y volvemos a iniciar el servicio de samba ( /usr/local/samba/sbin/samba start) para que los cambios tengan efecto.

El siguiente paso es configurar los permisos de este nuevo recurso. Esto lo haremos desde el cliente. Es muy importante recordar que debemos evitar que un usuario tenga acceso a la carpeta personal de otro, para ello, es necesario bloquear las herencias de los permisos de la carpeta Usuaris a las carpetas hijas creadas en su interior. Para acceder desde el cliente a la carpeta compartida utilizaremos el explorador de archivos.

sambadc14

Clicamos botón derecho sobre la carpeta, seleccionamos Seguridad y elegimos Opciones Avanzadas. Eliminamos todos los permisos que aparecen y procedemos ahora a crear los que necesitamos:

  • Administrator (administrador del dominio) tiene control total para esa carpeta, subcarpetas y archivos.
  • Repetimos los mismos permisos para el grupo Domain Admins.
  • Elegimos idéntica configuración para SYSTEM.
  • A CREATOR OWNER (el usuario que crea un recurso) le damos control total pero solo de subcarpetas y archivos.
  • Al grupo Domain Users les daremos permiso de Atravesar carpeta/Ejecutar archivo, mostrar carpeta/leer datos, Crear archivos/escribir datos y Cambiar permisos, pero solamente en esta carpeta.

sambadc15

sambadc16

Toca ahora configurar el perfil de los usuarios definidos anteriormente para que crear su carpeta personal. Para ello, desde la consol de Usuarios y Equipos seleccionamos el usuario y en Propiedades -> Perfil escribimos la ruta de su carpeta personal, utilizamos la variable de entorno %username% que nos permitirá que usuarios nuevos creados a partir de copiar uno de los anteriores, utilicen su nombre de usuario para crear la carpeta.

sambadc17

Si ahora iniciamos sesión en el cliente con uno de los usuarios, por ejemplo aduser1 comprobamos como nos aparece su carpeta personal.

sambadc18

Aquí finalizamos este segundo post. En la próxima entrega veremos como aplicar directivas de grupo (GPO) sobre nuestro dominio.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *