Dominios, relaciones y otras cosillas.
Un dominio es un conjunto de ordenadores (servidores + estaciones de trabajo) que comparten características comunes en cuanto a accesos. Un usuario registrado en un dominio con un nombre de usuario y una palabra de paso, automáticamente es capaz de acceder a todos los servidores de dicho dominio utilizando el mismo nombre y la misma palabra de paso.
Dentro de los servidores de un dominio existen dos jerarquías: el servidor PDC (Primary Domain Controller) y los servidores BDC (Backup Domain Controller). Por cada dominio ha de haber un PDC y sólo uno, y posiblemente varios BDC. Cuando el administrador del dominio da de alta un nuevo usuario, lo hace sobre el PDC. Los datos sobre los usuarios se guardan en una base de datos llamada SAM, que la tiene cualquier servidor. El PDC se encarga de copiar esa base de datos de usuarios a todos los BDCs de su dominio de manera periódica. Notemos la liberación de trabajo que esto supone para un administrador de red. Con sólo dar de alta un usuario en el PDC, ese usuario automáticamente puede acceder a cualquier servidor del dominio y además usando el mismo nombre de usuario y la misma palabra de paso. Este proceso de copia periódica de la SAM se denomina replicación.
Windows NT Server viene preparado con los protocolos adecuados para soportar diversos tipos de clientes: MS-DOS, Windows para Trabajo en Grupo, OS/2, Windows 95 ...
Ahora que tenemos la idea intuitiva de lo que es un dominio, pasemos a ver cómo se relacionan los dominios de una red mediante el concepto de Trust o Relación de Confianza.
Se dice que un dominio A confía en otro B, o que hay establecida una relación de confianza desde A hacia B, cuando cualquier usuario autorizado en el dominio B puede entrar sin más en el dominio A.
Un grupo local es un grupo de usuarios, de manera que cualquier usuario del grupo puede entrar y acceder a los recursos del servidor PDC del dominio al que pertenece el grupo. Un grupo local se define como perteneciente a un dominio.
Un grupo global es igual que el anterior excepto en que puede ser visto también por todos los dominios que confían en el dominio al que pertenece el grupo. La diferencia entre local y global es, pues, el ámbito de visibilidad. Si A confía en B, y definimos en B un grupo global, entonces ese grupo también se puede utilizar en A.
Una organización distinta sería la del dominio master. Supongamos que tenemos un dominio donde almacenamos todas las cuentas de los usuarios de la red (dominio master). En él definimos varios grupos globales, por ejemplo uno por departamento. Creamos ahora tantos dominios como departamentos hay, y hacemos que todos esos dominios confíen en el master. Ahora, en el dominio del departamento X creamos un grupo local donde meteremos todos los globales del master cuyos usuarios nos interese que accedan a los recursos de las máquinas de X. Por tanto, en el dominio X bastará dar permisos de acceso al grupo local definido, y automáticamente heredarán esos permisos los usuarios de los globales metidos en ese local. Un mismo grupo global puede estar metido en varios locales de varios dominios. Repetiremos esta operación para cada departamento. Esto da lugar a una administración centralizada.
Otro modelo es el de múltiples masters. Un dominio en general puede albergar hasta 15000 cuentas de usuario. Cuando necesitamos más, podemos definir varios masters. Entre los masters definiremos relaciones de confianza en ambos sentidos (por ejemplo, si tenemos dos masters M1 y M2, haremos que M1 confíe en M2 y M2 confíe en M1). Si ahora hacemos que todos los restantes dominios confíen en M1 y en M2, habremos conseguido lo mismo que en el modelo de master único pero ampliando el número de cuentas de usuario hasta 30000.
Para terminar me gustaría señalar la diferencia de los dominios con los grupos de trabajo de Windows para trabajo en grupo. Un grupo de trabajo es un conjunto de ordenadores en el que cada uno puede funcionar tanto como cliente como servidor, o ambos a la vez. El administrador tiene la responsabilidad de mantener la base de datos de usuarios en cada ordenador del grupo. Además, un usuario de un ordenador podría fácilmente trastear con él y echar abajo los servicios.
Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la práctica.
Aquí tienes algunos consejos importantes para realizar con éxito dicha planificación:
El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los recursos (puestos, archivos, impresoras, etc.):
|
Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que un usuario puede pertenecer a varios grupos. |
|
Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u organización, sin embargo también es aconsejable pensar en los grupos de usuarios en función de los recursos que van a necesitar. |
|
Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta de grupo pero no modificaremos cada cuenta. |
|
Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han asignado útiles conjuntos de derechos y capacidades. |
En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un pequeño extracto de los manuales de ayuda.
Un grupo global contiene una serie de cuentas de usuario de un dominio que están agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de trabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es asignar derechos y permisos a grupos locales, y usar el grupo global como método para agregar usuarios a grupos locales.
Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como servidor miembro.
La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir derechos y permisos en múltiples dominios (globales). Un grupo global sólo puede contener cuentas de usuario; no puede contener grupos locales ni otros grupos globales.
Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos de dicho dominio y otros dominios que confíen en él.
Los grupos locales también existen en servidores miembro y equipos que ejecutan Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales.
La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir derechos y permisos en un dominio único (local). Un grupo local no puede contener otros grupos locales.
Estrategias para utilizar grupos locales y globales
Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma independiente.
Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder permisos para usar objetos en múltiples dominios y estaciones de trabajo.
Por ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos globales como medio para agregar usuarios a los grupos locales de dominios que confían. Para extender los derechos y permisos de los usuarios a recursos de otros dominios, agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a un grupo local de un dominio que confía.
Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el futuro, puede usar grupos globales agregados a grupos locales para conceder todos los derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos globales se pueden agregar a los grupos locales del dominio nuevo.
Los grupos globales de dominio también se pueden usar para propósitos administrativos en equipos con Windows NT Workstation o en servidores miembro con Windows NT Server. Por ejemplo, el grupo local Administradores de dominio se agrega de forma predeterminada al grupo local incorporado Administradores en todas las estaciones de trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo local Administradores de una estación de trabajo o servidor miembro permite que el administrador de red administre el equipo de forma remota creando grupos de programas, instalando software y solucionando los problemas del equipo.
