A vueltas con los dominios Samba. Configuración de clientes Windows

25 noviembre 2016

Recordemos primero cuál es el objetivo de esta serie de entradas: la implantación de una infraestructura multiplataforma AD con PDC Linux, o lo que es lo mismo, un entorno compatible con Directorio Activo con un servidor Linux: libre y gratuito, sin problemas de licencias…

En la primera entrada expliqué paso a paso cómo instalar el controlador de dominio. A continuación, pasaré a configurar clientes, usuarios y perfiles para utilizar clientes Windows en nuestra red.

El primer paso es dar de alta el cliente en nuestro dominio. Para ello, hay múltiples guías en Internet, todas ellas muy completas, yo recomiendo la de Somebooks, muy completa, clara y concisa. Como único comentario, recordar que el usuario necesario para conectarnos al dominio es el llamado “administrator”; es importante no confundirse.

Una vez tengamos el equipo dado de alta, pasamos a instalar las RSAT. Para ello, podemos seguir otro enlace de Somebooks, para clientes W8.1; o utilizar el excelente material de JGAITPRO:

en este caso para Windows 10.

Una vez instaladas, hemos de abrir la herramienta de “Usuarios y equipos de AD” y añadir los usuarios que deseemos utilizar en nuestro dominio, y darles un perfil adecuado.

Para esta parte me he ayudado de éste post: https://waytoit.wordpress.com/2013/05/14/samba-4-controlador-active-directory-parte-2-de-3/

Lo primero que hemos de hacer es compartir una carpeta en nuestro servidor. Lo más rápido es modificar el fichero correspondiente, pero si alguien desea hacerlo con interfaz gráfica, tampoco debería dar problema alguno.

Por ejemplo, en mi caso voy a crear y compartir la carpeta “/home-red“, creada exprofeso para los perfiles de usuarios en red. Si podemos usar una partición o volumen aparte para esta información, ya lo bordamos.

Modificaremos el fichero “/etc/samba/smb.conf” y añadiremos las siguientes líneas al final:

[home-red]

path = /home-red

read only = No

Y ya está. Ahora reiniciamos el servicio (“service samba restart“, por ejemplo)

A continuación, nos vamos a nuestro cliente Windows, para darle los permisos adecuados a ésta nueva carpeta. Sin esos permisos los perfiles no van a funcionar bien, así que es un paso muy importante.

sambadc14

(Nota: la imagen está sacada de otro sitio, por un problema puntual con el equipo donde almacenaba las máquinas virtuales. Simplemente, donde pone “usuaris” ponemos “home-red”, y el nombre del servidor lo cambiamos por el nuestro, en mi ejemplo sería fmpserver.fedecasa.local)

Hacemos “clic” en el botón derecho de nuestra carpeta, escogemos “Propiedades”, y en la pestaña “Seguridad” empezamos a dar permisos:

  • Primero los quitamos todos.
  • Administrator (administrador del dominio) tiene control total para esa carpeta, subcarpetas y archivos.
  • Repetimos los mismos permisos para el grupo Domain Admins.
  • Elegimos idéntica configuración para SYSTEM.
  • A CREATOR OWNER (el usuario que crea un recurso) le damos control total pero solo de subcarpetas y archivos.
  • Al grupo Domain Users les daremos permiso de Atravesar carpeta/Ejecutar archivo, mostrar carpeta/leer datos, Crear archivos/escribir datos y Cambiar permisos, pero solamente en esta carpeta.

sambadc16

Si tenemos dificultad en el último paso (Domain Users), se puede dejar que tengan permisos “totales” y punto. Es un agujero de seguridad, en verdad, pero admisible.

A continuación, cambiamos el perfil de los usuarios creados para que utilicen un perfil móvil adecuado, y una carpeta personalizada.

Repasemos un poco cada uno de esos conceptos:

  • Carpeta personalizada. Asignamos una carpeta al usuario, de forma que cuando se inicie sesión se montará en una unidad y así tendrá un espacio compartido donde almacenar sus datos, disponible desde cualquier punto de la red. Para configurarla, podemos usar el material de éste enlace: http://somebooks.es/capitulo-5-clientes-del-dominio-en-windows-server-2012-r2/3/. La carpeta personal de cada usuario, en nuestro ejemplo particular, será la siguiente ruta de red: \\fmpserver.fedecasa.local\home-red\%username%, recordando que %username% es una variable que cambiará según el usuario donde la pongamos, y que es una ruta de red. No podemos usar rutas del tipo “C:\…” porque son LOCALES.
  • Perfil de usuario: Toda la información correspondiente a un usuario: carpetas personales, datos de programas, configuraciones varias… Corresponde al directorio con el nombre del usuario dentro de la carpeta “Usuarios”.
    • Perfil local. El perfil de un usuario tal y como queda en un equipo. Sólo existe en ese equipo, si cambio de equipo perderé la información guardada en dicho perfil.
    • Perfil móvil. Es un perfil especial que se copia a través de la red al iniciar sesión cada usuario, de forma que “viajará” con nosotros al equipo en el cual nos conectemos. Para configurarlo, usaremos: http://somebooks.es/capitulo-5-clientes-del-dominio-en-windows-server-2012-r2/7/ como ayuda. La ruta será \fmpserver.fedecasa.local\home-red\%username%\perfil-win, por ejemplo; podemos incluirlo dentro nuestra carpeta personal, pero nunca usaremos la misma carpeta para ambas cosas ya que el perfil es diferente.
  • El perfil tiene unos permisos especiales, no se puede usar como una carpeta cualquiera. Además, la forma de compartirse a través de la red es diferente: mientras la carpeta personal está constantemente compartida, y transmitiendo datos a través de la red, el perfil sólo se sincroniza con el Servidor al iniciar y cerrar sesión. Si nuestro perfil es muy grande, esto puede tardar un buen rato y suponer un problema importante. Podemos solucionar ese problema mediante GPO, tal y como se hace en el enlace anterior de Somebooks, en la segunda parte del documento.

Vemos a continuación cómo inicia sesión un usuario del dominio en su carpeta personal.

VirtualBox_WinCli_03_05_2017_21_42_52.png

Algunas veces da problemas, para montar automáticamente la carpeta del usuario. Para solucionarlos, podemos repasar los permisos, o bien utilizar directivas como hacen aquí: http://www.tecmint.com/create-shared-directory-on-samba-ad-dc-and-map-to-windows-linux/

Ahora vemos cómo efectivamente se ha almacenado el perfil del usuario en nuestro servidor:

VirtualBox_Ubuntu AD_04_05_2017_08_48_49

… y con esto ya tenemos listo el dominio para trabajar con clientes Windows. En la próxima entrega, hablaré de como incluir clientes Linux en nuestro dominio y asignarles perfiles de red de forma similar a como hemos hecho aquí.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: