Entre dominios Windows.

quilloquepasa 10 julio 2008 21:53

⋮

Este tema lo podría haber posteado tanto en Redes como en Windows, así que he decidido colgarlo aquí.

Pregunta de examen para Gran Joe... O para aquél que la sepa.

Se han unido dos redes locales con sendos dominios ampliando las máscaras de red, es decir, que ahora forman una red con dos dominios diferentes. El problema que me encuentro es poder acceder desde servidores o estaciones de trabajo de un dominio a servidores o estaciones de trabajo del otro. El primer intento ha sido respondido con un mensaje de carencia de permisos -no me ha dado tiempo a mirarlo con detenimiento-.

Obviamos todos aquellos parámetros que deben configurarse para poder acceder a los recursos de red compartidos.

La pregunta es ¿Se puede? ¿Solución?

Gracias infinitas.

JoeDalton 10 julio 2008 22:09

⋮

Relaciones de confianza, además en tu caso bidireccional, es decir, que el dominio A confia en los usuarios del dominio B, y que el dominio B confia en los usuarios de A, por lo que un usuario de A podría acceder a los recursos de B y viceversa.

(link roto)

Para ello, los grupos de seguridad que utilices para asignar permisos han de ser globales y/o universales, eso sí, un usuario que sea Administrador en A no lo es en B a no ser que establezcas los permisos adecuados.

Otro pequeño detalle, si uno de los dominios es Windows NT, deberás tener configurado el modo de dominio en el otro servidor como 2000 en modo mixto (nt no soporta modos nativos o superiores), al igual te sucedería en otros casos, con combinación de 2000 y 2003.

Espero que te sea de ayuda.

Saludos

✖

quilloquepasa 10 julio 2008 22:21

⋮

Se me pasó comentar que los controladores de dominio son para uno W2K3 y W2K para otro.

Sabía que estarías al quite. Eres un monstruo, pero no de feo. Cajillos de Cruzcampo te voy a mandar para que las bebamos juntos.

✖

JoeDalton 10 julio 2008 22:25

⋮

Pues el dominio 2003 tendrá que estar como máximo en modo nativo 2000 o mixto para que te funcione, si tiene un modo 2003 no podrás crearla, y tu única opción será hacer un upgrade a 2003 ese DC.

Saludos.

✖

quilloquepasa 10 julio 2008 22:32

⋮

Ok, gracias otra vez Gran Joe.

Que sepas que en mi curro ya te conoce todo el mundo, así como en el gimnasio -hablo mucho con un compi administrador de redes que postea en BA-. Eres una auténtica eminencia. El número uno (te lo pongo en español).

✖

JoeDalton 11 julio 2008 00:34

⋮

✖

quilloquepasa 11 julio 2008 06:44

⋮

Bodescu 10 julio 2008 22:30

⋮

"Relaciones de confianza, además en tu caso bidireccional, es decir, que el dominio A confia en los usuarios del dominio B, y que el dominio B confia en los usuarios de A, por lo que un usuario de A podría acceder a los recursos de B y viceversa."

Siendo asi Gran Joe (me ha gustado hehe; este Quillo es un cachondo...), y perdonadme que voy a ser simplista a mas no poder...

No acabamos antes calzandonos un dominio y dejando solo un DC? Se que es simple hasta la ingenuidad, pero si me da menos chollo reconfigurar la topologia de la red que meter las relaciones de confianza...

un saludo

✖

quilloquepasa 10 julio 2008 22:36

⋮

No, no es viable para nuestra red, entre otras cosas porque es muy probable que se pueda revertir la situación, es decir, que se divida la red de tal manera que quede como estaba, en dos redes. Es un tanto complejo, habida cuenta del tema de la seguridad -creo que me copias perfectamente, compi-.

Gracias.

JoeDalton 11 julio 2008 00:29

⋮

También se puede, suponemos que queremos erradicar el dominio B y traspasar todo al A.

1.- relación de confianza entre ambos dominios.

2.- mediante admt se migran los usuarios del dominio B al A, migramos máquinas, perfiles de usuario recursos y asignaciones de las máquinas, también migramos password de usuarios.

3.- Habría que despromocionar el dc B y unirlo al dominio A (por eso de los recursos compartidos).

Te pongo otro caso, tenemos un dominio w2000 en modo mixto (dominio A) y un dc windows nt 4.0 (Dominio B)

Como bien sabrás los dominios nt se definen en la instalación como stand-alone, bdc o pdc, pero no después, si quieres seguir usandolo como servidor de ficheros sin formatear/reinstalar, la solución pasa por tener una relación de confianza (puedes migrar todos los usuarios al dominio A pero los ficheros estarían en B, puedes traspasarlos al servidor del dominio A, etc... etc... pero lo tipico si hay aplicaciones heredadas (mejor no tocar), haces una relación de confianza y reasignas usuarios sobre grupos.

Otra cosa el lo que te dice Quillo, hay veces que es necesario que las estructuras sean separadas y que solo x miembros accedan a los recursos del otro dominio. Hay que ver la casuistica concreta de cada uno.

Saludos.

✖

Bodescu 11 julio 2008 01:25

⋮

Aqui para los dos:

Claro, la casuistica loes todo en este nuestro mundo, y desde luego los usuarios piden cosas que, a veces, parecen salidas del mismisimo infierno de Dante, pero es lo que hay...

Yo soy un administrador de la vieja escuela: Cuanto mas sencillo, mejor para todos. A veces lo 'mas sencillo' es un follon del 15, y a veces se lian las que se lian para que en un par de meses todo se revierta, lo que implica, desde mi punto de vista, un monton de trabajo para nada.

Pero en fin... Sigo prefiriendo tratar con ordenadores :-)

un saludo