El vie, 27-10-2006 a las 12:15 +0200, Guimi escribió: > Marcel Rodolfo Sanchez Gongora escribió: > > > Hola Marcel > Siento llegar tarde a una discusión que parece algo "caliente", pero > intentaré aportar un punto de vista sin ánimo de ofender a nadie. Primero que todo muchas gracias por esta gran aclaración, de verdad que te lo agradezco, pues como alguien diría, "hoy me dí cuenta que ayer no sabía nada..." Debajo te respondo algunas cosas: > > Si bien es perfectamente posible que todos los usuarios unan y saquen > máquinas de un dominio windows no es en general nada recomendable. > Quizá en algún sitio muy específico se encuentren ventajas (no se me > ocurre ninguno), pero en general no es recomendable. > > Para encontrar el porqué tendríamos que preguntarnos primero para qué > queremos un dominio. > Básicamente se usan para validar usuarios y máquinas y gestionar políticas > de seguridad y permisos en torno a ellos. > Por ejemplo (muy simplificado), en una escuela puede interesarme que los > usuarios del grupo "informaticos" sea el único con permisos de > instalación, el grupo "administrativo" acceda a determinados programas de > contabilidad y admon, el grupo "profesores" acceda a otros programas > distintos de aprendizaje y además pueda leer todas las carpetas de los > trabajos de los alumnos y el grupo "alumnos" tenga acceso a los mismos > programas que los profesores pero no puedan leer las carpetas de los > compañeros para no copiarse las prácticas. > Además podría filtrar la salida a internet, los protocolos permitidos, las > impresoras que cada grupo puede utilizar, podría establecer cuotas y > horarios de uso, etc. > > Si cualquiera puede unir y sacar máquinas del dominio y, por tanto, > modificar políticas de seguridad y acceso en cada máquina se pierde ese > control y básicamente (con lo poco que conozco de tu caso) me da la > sensación de que los administradores no tienen nada claro qué es lo que > quieren ni para qué usar el dominio. Quizás ha sido un problema de interpretación en parte. Cuando he dicho que todos pueden entrar y sacar las PC del dominio no he explicado bien el proceso. Mira las políticas de seguridad que hablas arriba de los programas/grupos son precisamente las que existen, yo como mrsanchez (mi user del dominio) no puedo cambiar los privilegios de ninguna PC a menos que tenga la cuenta de administración local e incluya mi usuario al grupo administradores. Pero esto es solo local. Nada que ver con la red. O sea, que si llego a cualquier PC y me logeo solo podré hacer lo que esté permitido al grupo "Domain Users" que son los privilegios básicos del dominio. No puedo instalar, no puedo accesar al resto de los homes, No puedo...., No puedo..... > Otro ejemplo sencillo: en algunos sitios donde colaboro, tienen muchas > > subredes interconectadas, solo pueden conectar con otras redes y salir a > internet los usuarios del dominio desde máquinas validadas en el dominio. > Por tanto si alguien viene con un disco a reinstalar todo el sistema en > una máquina poco vigilada: > > 1.- No podrá unirse al dominio (solo los admins pueden) > 2.- No podrá salir de su subred > --> El daño que puede causar es relativamente pequeño > > Si cualquiera puede unir y sacar máquinas, cualquiera puede: > 1.- Reinstalar un sistema y hacerse administrador de la máquina > 2.- Unir la máquina al dominio manteniéndose como administrador local de > la máquina > 3.- Empezar a causar daño Te explico las condiciones... Cuando una PC se une al dominio automáticamente el grupo "Domain Users" se añade al grupo local "users" Otros grupos como "Domain admins" se unen al grupo local "Administrators". Pero esto que pasa es a nivel local. Siendo así entonces que es lo más dañino que yo podría hacer?? Llegar, administrar la PC, incluir mi usuario en el grupo "Administrators" y establecerme como administrador de la misma pero nada puedo hacer a nivel de red. Eso solo afecta la seguridad local pues el resto de las PCs unidas al dominio poseen mi usuario incluido en el grupo local "users" como expliqué anteriormente. No se si me explico. Solo en la condición de Administrador de la PC puedo unirme o no a al dominio, o sea, que un usuario que no tenga conocimientos avanzados y las herramientas necesarias para administrar un Windows, nada podrá hacer y en caso que lo haga solo hará un daño local. > > Así que resumiendo: > - No parece una política "lógica" crear un dominio donde 5000 PCs (y > seguramente más de 5000 usuarios) puede entrar y salir como les viene en > gana (¿para qué usan el dominio? ¿es un dominio lo que más les interesa? > ¿tienen claro qué es lo que desean hacer?) Bueno como ya he dicho varias veces no soy el Administrador ;) Solo te puedo decir que yo como usuario del dominio no puedo hacer nada que repercuta sobre la seguridad de cualquier PC unida al mismo, SOLO de la(s) que yo administre. > - En buena práctica, antes de hacer uno o varios dominios conviene > plantearse ¿qué deseo hacer con él? > - En buena práctica los permisos deben darse por perfiles y asignarlos > solo a gente que realmente los necesita (¿los +5000 usuarios saben unir y > quitar máquinas del dominio? ¿lo hacen los +5000? ¿saben lo que significa? > ¿les sirve para algo a los +5000?) > Estoy guardando tu correo desde ya como referencia para cuando sea Admin de redes ;) De veras que si, muchas gracias. Saludos -- Marcel Sánchez Góngora Debian Etch GNU/Linux Linux User #382151 Est. III año Universidad de las Ciencias Informáticas "Lo esencial es invisible para los ojos..."
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente