duda con active directory

Re: duda con active directory

Buenos días,

A ver si me centro.. tienes dos servidores win 2008. Uno hace de file server con una autenticación a nivel de red (con active directory?) y en el otro quieres montar el dominio... los recursos compartidos que autenticación usan? la local del sistema? porque eso no está bien montado.

Lo primero que estos cambios no van a ser nada transparentes...

Deberías meter los dos servidores en el mismo dominio, y usar una autenticación por AD (con los servidores replicados).

No sé las limitaciones que tenéis, o por que lo habéis montado así..

Ya me cuentas y lo vamos arreglando.

Re: duda con active directory

Gracias Dart por interesarte en mi problema. Ante que nada estoy totalmente de acuerdo en que todos mis servidores no están bien montados por eso ahora quiero empezar a arreglarlo. Hoy por hoy tengo un solo servidor win 2008 que hace de fileserver el cual posee las carpetas como recursos compartidos con autenticación local, osea que son usuarios creados en forma local en el file server (no usa active directory) estoy trabajando actualmente en un ambiente de grupo de trabajo, ahora quiero montar otro servidor para que trabaje como dominio y en este crear el active directory con todos los usuarios creados en el file server. Soy conciente que los cambios no van a ser transparente pero quisiera hacerlo lo menos traumatico posible. Mi idea es montar el dominio con todos los usuarios e ir metiendo las pc's de a poco en el dominio y la ultima pc en poner en dominio sea la del fileserver, el servidor de dominio y el fileserver están en servidores separados ya que quiero meter el fileserver al dominio a lo último ya que las pc's que están fuera del dominio no ven los recursos que están dentro del dominio pero si las que están dentro ven y pueden usar los recursos compartidos de las que están fuera del dominio, por esta razón están separados los servidores, de hecho el win 2008 que tiene las carpetas compartidas bien podría ser una Workstation si no fuera por la limitación de enlaces concurrentes. Ahora para no tener que recopilar las contraseñas de todos los usuarios quería que el usuario al ingresar al dominio por primera vez con una contraseña genérica cambie su contraseña, el tema es que si esta contraseña nueva que ingrese el usuario no coincide con la del file server pierde el recurso compartido, por eso preguntaba si había forma de que la contraseña del dominio pueda ser replicada en el file server

Re: duda con active directory

Estás mezclando conceptos...

Te digo lo que deberías hacer, si hay algún problema, lo comentas y vemos por donde lo podríamos arreglar.

- Primero debes crear el nuevo servidor con dominio y hacerlo maestro.
- Creas los usuarios (pones una clave genérica y los usuarios que la cambien en el próximo inicio de sesión).
- Si los usuarios se conectan al FS por autenticación local, podrán seguir accediendo al recurso con NOMBREEQUIPO\usuario y el PASSWORD aunque cambies al ominio...
- Deberás meter el FS en el dominio, o replicando con el primero si quieres tener un servidor en caso de fallo (con dcpromo) o como un equipo más.

A todo esto supongo que tendrás noción de administración de entornos Windows, ya que meterse en la herencia de permisos, administración de DNS, DFS, DHCP... es más complicado que autenticar una carpeta.

Re: duda con active directory

Gracias Dart, vamos por punto así te entiendo mejor
1. A que e réferis con hacerlo maestro???? mi idea en un 2008 promocionarlo a dominio y en este instalar el active directory con los mismos usuarios del FS
2.- Ok con la creación de los usuarios y la clave genérica
3.- En este punto el problema es el siguiente yo tengo en todas las pc's mapeado el recurso compartido como "F" y programas que apuntan a esta unidad, si al iniciar la pc la contraseña no es la misma el "F" se desconecta y los programas que apuntan a "F" me darían un error que el usuario final no sabría solucionarlo, es verdad puedo obligar a que enlacen al "F" poniendo en un bat NOMBREEQUIPO\usuario y les pedirían una PASSWORD, pero mi idea era justamente esta, hacerlo lo mas sencillo para el usuario final
4.- Mi idea es meter el FS al final para que nadie pierda enlace con este, si lo pongo el FS al principio tengo que salir urgente a poner a todas las pc's dentro del dominio para que vuelvan a ver al FS. En cuanto a replicar con el primero a que te réferis ?
5.- En cuanto a la administración tengo una idea, quizás no muy profunda pero la peleo, en cuanto a lo demás roles que mencionas (DNS, DFS, DHCP) calculo que a media que los vaya necesitando iré profundizando.
Gracias

Re: duda con active directory

Buenas, perdón por la tardanza, pero perdí la noción del post.

Puedes hacer lo siguiente:

Deja los permisos como están ahora en el FS, supongo que cada usuario tendrá permisos sobre una carpeta en concreto o algo similar. Deja esos permisos y aparte añádeles los equivalentes con el dominio. Por ejemplo, yo tengo permisos sobre la carpeta "Recursos" con EQUIPO1\usuario1, añádele tambien permisos con DOMINIO\usuario1.

Una vez hecho esto, solo tienes que cargar las unidades de red mapeadas a la "F" en las directivas de los grupos de usuarios.

Con eso l problema que dices con la unidad, se esfumará

Re: duda con active directory

Dart, gracias por tu respuesta y la tardanza no es nada ya que la ayuda es mas importante, no te entendí un par de cosas, efectivamente cada usuario tiene permisos a diferentes carpetas en el FS, pero a que te réferis con añadirle los equivalentes con el dominio?? y si podes explicarme un poco mas detallado lo de cargar la unidades mapeadas en las directivas de los grupos de usuarios. Disculpame si soy muy ignorante.

Re: duda con active directory

Los equivalentes en el dominio me refiero a, por ejemplo.

Tu tienes un usuario local, con permisos totales sobre una carpeta del FS, llamada "TEST", y tu usuario local es USU1. Cuando crees en el AD los usuarios, iras a la carpeta del FS y le pondrás al USU1 del dominio, permisos totales sobre la carpeta "TEST".

Las unidades se mapean a través de las directivas de grupo. Para ello tienes que tener alguna definida, la de DEFAULT por ejemplo para hacer prueba te puede servir.

Para ver esto entra en Herramientas administrativas -> Administracion de directivas de grupo -> Configuración de usuario -> preferencias -> Configuración de Windows -> Asignaciones de unidades

Ahí pone la letra de la unidad que quieres asignar una vez el usuario haya iniciado sesión, y hacia adonde apunta. En este caso al FS.

Re: duda con active directory

Dart, lo que no te entiendo es lo siguiente, tengo en el FS a pepe contraseña xyz con permiso x sobre carpeta TEST, en el AD tengo al usuario pepe pero el usuario le cambio la contraseña con el primer inicio en dominio, ahora no es mas xyz, ahora es 123, como hago para que AD enlace al usuario pepe con la carpeta TEST teniendo en el FS una contraseña diferente, ya que en el FS sigue siendo la contraseña xyz. En cuanto a las directivas de grupo, le asigne la unidad F al FS, pero la duda es la misma como se replica el usuario/contraseña_nueva del AD con el usuario/contraseña_vieja de FS

Re: duda con active directory

No te líes. Una cosa es lo que tienes configurado para que entren con usuario local, y otra es lo que tienes configurado a nivel de dominio para que accedan a la misma carpeta.

Son dos usuarios diferentes aunque el usuario final (la persona física) sea el mismo.

Olvidate de consevar las mismas credenciales, porque no vas a poder hacer eso. Una vez entren con el usuario del dominio la autenticación será la del dominio a no ser que le metas a la fuerza el conectarte a la unidad de red con un usuario especifico.

Re: duda con active directory

ok, entonces seria imposible que se replique la contraseña del dominio con la contraseña del FS. Entonces la única forma seria recopilar las contraseñas de todos los usuarios y crear las credenciales en AD tal como las tienen en el FS sin darle la posibilidad al usuario de cambiar la contraseña, de esta forma seguirian entrando al F sin problemas no????

Re: duda con active directory

Ok, entonces seria imposible poder replicar la contraseña del AD con la del FS. La única forma seria crear en el AD las mismas credenciales del FS sin que el usuario pueda cambiar la contraseña, de forma que pueda ingresar luego al F no????

Re: duda con active directory

A ver... olvidate de replicar. Tu lo que tienes al fin y al cabo es una carpeta, y unos permisos. Da igual la contraseña que tengan los usuarios, tu le asignas un permiso a un usuario. Cuando mapeas la unidad con las directivas de grupo ya no la tendrán configurada como hasta ahora, es decir, ahora la tienes mapeada con el usuario y contraseña local, cuando hagas eso no. Entiendes? formatea lo de replicar de la mente XD

Re: duda con active directory

Dart, juro que estoy intentando formatear mi mente, desde ya te agradezco el esfuerzo que estas haciendo. Pero insisto, la única forma de usar un recurso en el FS es que coincida usuario/contraseña, y yo al AD en que momento le ingreso el usuario/contraseña del FS ??? cuando configuro las directivas de grupo lo único que hago es mapear F de acuerdo a las credenciales que haya para el recurso mapeado o me equivoco

Re: duda con active directory

Dart, recién cree la política de directiva de grupo al recurso compartido, pero cuando ingreso a la pc en el dominio y trato de ir al recurso compartido me pide usuario y contraseña ya que las credenciales creadas en el AD no coinciden con las del FS