[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Unir terminal linux Debian "etch" aDirectorioActivodeWindowsNT2003 con Kerberos 5

Marcel Rodolfo Sanchez Gongora escribió:
Hola gente: 

Hola Marcel


(...)
"...tenemos una red con más de 5000 PCs, todas conectadas a un único
DOMINIO, todas se unen y salen del mismo cuando lo deseen..." Esto es simplemente porque el o los administradores de redes determinaron que todas las cuentas podrían hacerlo así.
Siento llegar tarde a una discusión que parece algo "caliente", pero intentaré aportar un punto de vista sin ánimo de ofender a nadie.
Si bien es perfectamente posible que todos los usuarios unan y saquen máquinas de un dominio windows no es en general nada recomendable. Quizá en algún sitio muy específico se encuentren ventajas (no se me ocurre ninguno), pero en general no es recomendable.
Para encontrar el porqué tendríamos que preguntarnos primero para qué queremos un dominio. Básicamente se usan para validar usuarios y máquinas y gestionar políticas de seguridad y permisos en torno a ellos. Por ejemplo (muy simplificado), en una escuela puede interesarme que los usuarios del grupo "informaticos" sea el único con permisos de instalación, el grupo "administrativo" acceda a determinados programas de contabilidad y admon, el grupo "profesores" acceda a otros programas distintos de aprendizaje y además pueda leer todas las carpetas de los trabajos de los alumnos y el grupo "alumnos" tenga acceso a los mismos programas que los profesores pero no puedan leer las carpetas de los compañeros para no copiarse las prácticas. Además podría filtrar la salida a internet, los protocolos permitidos, las impresoras que cada grupo puede utilizar, podría establecer cuotas y horarios de uso, etc.
Si cualquiera puede unir y sacar máquinas del dominio y, por tanto, modificar políticas de seguridad y acceso en cada máquina se pierde ese control y básicamente (con lo poco que conozco de tu caso) me da la sensación de que los administradores no tienen nada claro qué es lo que quieren ni para qué usar el dominio.
Otro ejemplo sencillo: en algunos sitios donde colaboro, tienen muchas subredes interconectadas, solo pueden conectar con otras redes y salir a internet los usuarios del dominio desde máquinas validadas en el dominio. Por tanto si alguien viene con un disco a reinstalar todo el sistema en una máquina poco vigilada: 
1.- No podrá unirse al dominio (solo los admins pueden)
2.- No podrá salir de su subred
--> El daño que puede causar es relativamente pequeño

Si cualquiera puede unir y sacar máquinas, cualquiera puede:
1.- Reinstalar un sistema y hacerse administrador de la máquina
2.- Unir la máquina al dominio manteniéndose como administrador local de la máquina 
3.- Empezar a causar daño

Así que resumiendo:
- No parece una política "lógica" crear un dominio donde 5000 PCs (y seguramente más de 5000 usuarios) puede entrar y salir como les viene en gana (¿para qué usan el dominio? ¿es un dominio lo que más les interesa? ¿tienen claro qué es lo que desean hacer?) - En buena práctica, antes de hacer uno o varios dominios conviene plantearse ¿qué deseo hacer con él? - En buena práctica los permisos deben darse por perfiles y asignarlos solo a gente que realmente los necesita (¿los +5000 usuarios saben unir y quitar máquinas del dominio? ¿lo hacen los +5000? ¿saben lo que significa? ¿les sirve para algo a los +5000?) 

Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
Reply to: