Samba 4: Controlador Active Directory parte 2 de 3

En el post anterior vimos como crear un controlador de dominio de Active Directory con Samba 4. En este segundo post, procederemos a administrar dicho dominio y realizar algunas de las tareas básica ( creación de usuarios, grupos, configuración de perfiles, etc.).

Aunque Samba 4 dispone de herramientas gráficas web como SWAT, utilizaremos para administrar el dominio, el conjunto de herramientas gratuitas que ofrece Microsoft, conocido como RSAT (Remote Server Administration Tool). Dichas herramientas, disponibles tanto para Windows 7 como Windows 8, no permitirán gestionar nuestro controlador de dominio, de forma idéntica a si estuviéramos delante de un Windows 2008R2 Server.

El primer paso será descargarnos de la página de Microsoft la versión RSAT adecuada a nuestro equipo cliente. En nuestro caso, un Windows 7 Enterprise de 32 bits:sambadc10

Una vez instalado el paquete de herramientas, procederemos a habilitar aquellas que necesitemos, para ello deberemos ir a Panel de Control, Programas y características, Activar características de Windows:

sambadc11

Aquí activaremos las herramientas de administración que sean necesarias, en nuestro caso tendremos suficiente con la administración básica del AD y la administración de políticas de grupo. Si posteriormente se necesitan herramientas adicionales, siempre se pueden activar.

Una vez hemos activado las diferentes herramientas, vamos a comenzar a administrar nuestro dominio. En primer lugar, abrimos Usuarios y Equipos de Active Directory. En esta consola podemos crear OU, grupos, usuarios y preaprovisionar máquinas al dominio. Aquí a modo de ejemplo, creamos dos usuarios que llamaremos aduser1 y aduser2.

sambadc12

Vamos a crear ahora la carpeta en el servidor donde ubicaremos las carpetas personales de los usuarios del dominio y a continuación editaremos el archivo smb.conf (recordar que lo tenemos en /usr/local/samba/etc para compartir dicho recurso. En el ejemplo que estamos realizando voy a llamar a dicha carpeta Usuaris:

# mkdir /Usuaris
sambadc13

Una vez realizada esta acción, reiniciamos el servidor y volvemos a iniciar el servicio de samba ( /usr/local/samba/sbin/samba start) para que los cambios tengan efecto.

El siguiente paso es configurar los permisos de este nuevo recurso. Esto lo haremos desde el cliente. Es muy importante recordar que debemos evitar que un usuario tenga acceso a la carpeta personal de otro, para ello, es necesario bloquear las herencias de los permisos de la carpeta Usuaris a las carpetas hijas creadas en su interior. Para acceder desde el cliente a la carpeta compartida utilizaremos el explorador de archivos.

sambadc14

Clicamos botón derecho sobre la carpeta, seleccionamos Seguridad y elegimos Opciones Avanzadas. Eliminamos todos los permisos que aparecen y procedemos ahora a crear los que necesitamos:

  • Administrator (administrador del dominio) tiene control total para esa carpeta, subcarpetas y archivos.
  • Repetimos los mismos permisos para el grupo Domain Admins.
  • Elegimos idéntica configuración para SYSTEM.
  • A CREATOR OWNER (el usuario que crea un recurso) le damos control total pero solo de subcarpetas y archivos.
  • Al grupo Domain Users les daremos permiso de Atravesar carpeta/Ejecutar archivo, mostrar carpeta/leer datos, Crear archivos/escribir datos y Cambiar permisos, pero solamente en esta carpeta.

sambadc15

sambadc16

Toca ahora configurar el perfil de los usuarios definidos anteriormente para que crear su carpeta personal. Para ello, desde la consol de Usuarios y Equipos seleccionamos el usuario y en Propiedades -> Perfil escribimos la ruta de su carpeta personal, utilizamos la variable de entorno %username% que nos permitirá que usuarios nuevos creados a partir de copiar uno de los anteriores, utilicen su nombre de usuario para crear la carpeta.

sambadc17

Si ahora iniciamos sesión en el cliente con uno de los usuarios, por ejemplo aduser1 comprobamos como nos aparece su carpeta personal.

sambadc18

Aquí finalizamos este segundo post. En la próxima entrega veremos como aplicar directivas de grupo (GPO) sobre nuestro dominio.

22 comentarios en “Samba 4: Controlador Active Directory parte 2 de 3

  1. Exelentes tutoriales…
    Tengo pregunta. si quiero darle un permiso a un usuario debo registrarlo en la red cierto?
    asi que esto debo hacerlo desde el cliente que voy a registrar

      • Gracias por responder Carlos
        Tu sabes si puedo bloquear desde el webmin algun puerto en especial los de los torrents estoy utilizando centos 6.5.
        Gracias por tu respuesta

  2. Hola.

    Muchas gracias por el tutorial.

    He iniciado sesión en la máquina Win7 Professional con el usuario “administrator” del dominio. Desde este usuario con “usuarios y equipos de AD” he podido crear el usuario, también he creado la carpeta usuarios en el servidor y reinciado samba, cuando voy a entorno de red en win7 y tecleo \\casa.local para acceder al dominio veo la carpeta “usuarios”, pero al hacer click derecho sobre ella aparecen varias opciones pero en ninguna de ellas pone “seguridad”

    ¿Qué está pasando? ¿qué hago mal?

    Gracias y un saludo

    • Hola.
      A mi tambien me pasa lo mismo quiero acceder a la carpeta de Usuarius y me dice que no tengo permisos. Hago click sobre la carpeta y busco la pestaña de seguridad pero no esta.
      Espero que me ayuden porque estoy haciendo unas practicas de Sistemas Operativos en Red y tengo que entregarlas ya mismo.

      Gracias🙂

      • En primer lugar, siento no poder responder los comentarios con la rapidez que me gustaría, pero la verdad que estoy muy liado últimamente. Respecto a tu cuestión, si has podido iniciar sesión el cliente como administrador del dominio, deberías comprobar si has compartido bien la carpeta y asegurarte de reiniciar el servicio de samba.

      • Hola.
        Si todo eso lo he hecho pero me sigue saliendo el mismo error.
        Es una casa muy rara porque hasta mi profesor de Sistemas tampoco lo sabe por es. Yo he preguntado por aqui porque como as podido tu realizar todos los pasos, era para que me explicaras que errores puede haber pasado.
        Gracias🙂

  3. Hola
    Ya he podido dar con el problema
    El problema era que al poner la ruta (\\casa.local\Usuaris) esa ruta no es la especifica si se necesita la pestaña de seguridad la ruta correcta es la siguiente (\\nombreusuariodeubuntuserver.casa.local\Usuaris) me explico, el nombre “nombreusuariodeubuntuserver” es el nombre que tiene de usuario en Ubuntu Server, por ejemplo (\\manolito.malolito.local\Usuaris)
    Espero que añada esta corrección en el manual, por lo demas esta muy bien el manual.
    Gracias

  4. Hola se ve muy bueno el tuto, lo estoy pensando aplicar pero me surge una duda, porque no se administra el dominio desde linux? es necesario hacerlo desde windows? Existe alguna manera de hacerlo por linux? Muchas gracias

    • En mi caso es una práctica de sistemas heterogéneos donde mis alumnos ya conocen la administración de un dominio Active Directory. Por tanto, lo más práctico y cómodo es emplear una la consola de administración de Windows, aún más cuando el objetivo es plantear el equipo Samba como una alternativa o complemento a Windows Server.

  5. Hola.
    Gracias por el tutorial. Ami me funciona todo bastante bien. La pega, es que no puedo cambiar la clave de un usuario desde la maquina windows, me dice que no cumple los requisitos. Y desde el servidor PDC linux Debian con el comando “samba-tool user password -U juan” me dice:
    ERROR: Failed to change password : samr_ChangePasswordUser3 for ‘MICASA\juan’ failed: NT_STATUS_PASSWORD_RESTRICTION
    que parece que tiene que ver con las restricciones.
    Pero por mas complicada que hago la clave sigue sin dejarme cambiar la password.
    Haber si me puedes dar alguna pista de donde puede estar el problema.
    Gracias y un saludo.

  6. Que tal, de que manera podria hacer para que los usuarios que creo en el samba tomen los permisos del usuario de unix, o sea si una carpeta tiene permiso 750 que me los tome desde el usuario samba.

  7. Como inicio sesion con otros usuarios?? en windows porque los he añadido con adduser y smbpasswd al servidor samba y después inicio en el dominio con nombreservidor\usuario y me dice que no exsiste. como añado usuarios .

  8. Excelente tus tutoriales Carlos muchisimas gracias, sabes porque razon no me deja instalar la actualizacion para el rsat?, en una me dice que no es la version (si es la version) y en otra directamente me dice no se pudo instalar. Gracias!.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s