Re: Unir terminal linux Debian "etch" aDirectorioActivodeWindowsNT2003 con Kerberos 5
Marcel Rodolfo Sanchez Gongora escribió:
Hola gente:
Hola Marcel
(...)
"...tenemos una red con más de 5000 PCs, todas conectadas a un único
DOMINIO, todas se unen y salen del mismo cuando lo deseen..."
Esto es simplemente porque el o los administradores de redes
determinaron que todas las cuentas podrían hacerlo así.
Siento llegar tarde a una discusión que parece algo "caliente", pero
intentaré aportar un punto de vista sin ánimo de ofender a nadie.
Si bien es perfectamente posible que todos los usuarios unan y saquen
máquinas de un dominio windows no es en general nada recomendable.
Quizá en algún sitio muy específico se encuentren ventajas (no se me
ocurre ninguno), pero en general no es recomendable.
Para encontrar el porqué tendríamos que preguntarnos primero para qué
queremos un dominio.
Básicamente se usan para validar usuarios y máquinas y gestionar políticas
de seguridad y permisos en torno a ellos.
Por ejemplo (muy simplificado), en una escuela puede interesarme que los
usuarios del grupo "informaticos" sea el único con permisos de
instalación, el grupo "administrativo" acceda a determinados programas de
contabilidad y admon, el grupo "profesores" acceda a otros programas
distintos de aprendizaje y además pueda leer todas las carpetas de los
trabajos de los alumnos y el grupo "alumnos" tenga acceso a los mismos
programas que los profesores pero no puedan leer las carpetas de los
compañeros para no copiarse las prácticas.
Además podría filtrar la salida a internet, los protocolos permitidos, las
impresoras que cada grupo puede utilizar, podría establecer cuotas y
horarios de uso, etc.
Si cualquiera puede unir y sacar máquinas del dominio y, por tanto,
modificar políticas de seguridad y acceso en cada máquina se pierde ese
control y básicamente (con lo poco que conozco de tu caso) me da la
sensación de que los administradores no tienen nada claro qué es lo que
quieren ni para qué usar el dominio.
Otro ejemplo sencillo: en algunos sitios donde colaboro, tienen muchas
subredes interconectadas, solo pueden conectar con otras redes y salir a
internet los usuarios del dominio desde máquinas validadas en el dominio.
Por tanto si alguien viene con un disco a reinstalar todo el sistema en
una máquina poco vigilada:
1.- No podrá unirse al dominio (solo los admins pueden)
2.- No podrá salir de su subred
--> El daño que puede causar es relativamente pequeño
Si cualquiera puede unir y sacar máquinas, cualquiera puede:
1.- Reinstalar un sistema y hacerse administrador de la máquina
2.- Unir la máquina al dominio manteniéndose como administrador local de
la máquina
3.- Empezar a causar daño
Así que resumiendo:
- No parece una política "lógica" crear un dominio donde 5000 PCs (y
seguramente más de 5000 usuarios) puede entrar y salir como les viene en
gana (¿para qué usan el dominio? ¿es un dominio lo que más les interesa?
¿tienen claro qué es lo que desean hacer?)
- En buena práctica, antes de hacer uno o varios dominios conviene
plantearse ¿qué deseo hacer con él?
- En buena práctica los permisos deben darse por perfiles y asignarlos
solo a gente que realmente los necesita (¿los +5000 usuarios saben unir y
quitar máquinas del dominio? ¿lo hacen los +5000? ¿saben lo que significa?
¿les sirve para algo a los +5000?)
Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
Reply to: