BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Segmentar dominio

1
heze54

Buenas,

Con el crecimiento de la empresa, me han comentado desde arriba por temas legales y demas que en vez de estar todos dentro de un mismo dominio AD, segmentar algo como pcPaco.delegacion1.dominioprincipal.com y no pcPaco.dominioprincipal.com que era como estaba hasta ahora.

Quieren que este asi y que aparte, desde el entorno de red en vez de ver dentro del dominio en vez de ver todos los equipos y servidores, vea x delegaciones y luego entrando en cada una de ellas los equipos que la formen.

¿Como implementar esto?

¿Es posible que la delegacion X que no tiene acceso por red(no hace ni ping ni na) no pueda ver otra delegacion ?

Es que ahora, en el entorno de red se ven todos los equipos de otras delegaciones aun no teniendo acceso via red a ellos.

Este es el plantel que me han dejado en la mesa..

¿Como lo veis?

Un saludo y gracias

JoeDalton

1.- Creando subdominios en Active Directory, necesitaras un Domain Controller por subdominio, aparte necesitarás como mínimo un DC para mantener el bosque y el dominio principal (te recomiendo que tengas varios, sobre todo si es una empresa grande).

ej: Dominio principal: miempresa.com
Subdominio: madrid.miempresa.com
Subdominio: barcelona.miempresa.com

El administrador de miempresa.com puede administrar cualquier subdominio, y el administrador de madrid.miempresa.com, podría administrar el subdominio y los dominios hijos que colgaran de madrid.miempresa.com (por ej. puedes tener varios dominios hijos: alcala.madrid.miempresa.com y torrejon.madrid.miempresa.com).

2.- Los equipos se ven por resolución de nombres dns, wins o ambas.

3.- Verlo, yo lo veo bien, pero depende de las circunstancias y en que casos. Por ej. que cantidad de usuarios hay, qué cantidad de equipos, que cantidad de servidores?? que servicios prestan, como acceden a los recursos?

Guiller

Respecto a la cosa de ver el "entorno de red", quitaselo con politicas del escritorio, ojos que no ven...

Para que necesita nadie acceder a "entorno de red" ?(ojo que no a la red

🗨️ 6
heze54

Respondiendo a lo segundo...

Tengo un equipo de un cliente que le he tenido que dar ip de lan pero que no pertenece al dominio logicamente y me molesta que a el no le puedo meter la politica pero que en su escritorio tengan ese icono y pueda entrar y ver mi entorno de red... aunque no pueden entrar en los pcs logicamente.. pero me molesta que listen los pc y servers....

🗨️ 5
JoeDalton

También deshabilitando en tus máquinas netbios sobre tcp/ip, aparte fuerzas que resuelvan por dns/wins.

También lo que dice Guiller, tienes una política que elimina el entorno de red (el icono) y solo se puede acceder a las máquinas que conozcas con \\pc

🗨️ 2
heze54

Ya, pero en esos equipos a los que no puedo aplicar politica??

🗨️ 1
JoeDalton
Guiller

Reordenación y buenos alimentos

Respecto a lo del dominio, Creo que con lo de deshabilitar el entorno de red se arreglaria.

El externo, es lo que tiene, de siempre se tiene ese fallo, como dice joe puedes meterle en una red distinta y que solo tengan acceso a donde deben y al proxy por ejemplo.

Ninjedit: por que poner una politica en los firewales de la gente que rechaze su IP es mucho, no?

Pensamiento dos: Joe, el entorno de red funciona por broadcast, netbios, dns o todo junto?
Se podria poner un servidor dns que no le diera el listado de maquinas? hummm

🗨️ 1
JoeDalton

Las famosas redes de cuarentena...

Yo si te digo la verdad... en muy poquitos sitios tengo ya proxy.

heze54

Buenas,

La verdad es que es complicado.

Quizas la forma mas facil sea editar en los pcs X via gpedit.

Tengo intencion de cambiar la maquina que ahora tengo haciendo de proxy, por un server de tamaño reducido y meterle una ubuntu 8.04 server con squid e iptables, instalarle varias tarjetas de red y montarme un firewall chulo chulo y filtrar a nivel de lan esas situaciones.

1