11

Instalación y configuración de un Servidor de Ficheros en MS Windows Server 2016

Hola a tod@s.

  • En este post vamos a ver como se instala y configura un servidor de ficheros en MS Windows Server 2016, y lo primero que vamos a realizar será preparar nuestro servidor:
  • Topología utilizada:

  • Le asignaremos un nombre descriptivo y una dirección IP estática:

  • Lo uniremos a nuestro dominio Active Directory:

  • Le instalaremos un disco duro independiente para los recursos compartidos, así separaremos los archivos de sistema de los datos, este disco duro tendrá la tabla de particiones como GPT y como sistema de ficheros utilizaremos NTFS:

  • Como introducción vamos a explicar y diferenciar que son los permisos para los recursos compartidos y los permisos NTFS.

En un servidor de archivos, el acceso a una carpeta puede estar determinado por dos conjuntos de entradas de permisos: los permisos de recurso compartido definidos en una carpeta y los permisos NTFS definidos en la carpeta (que también se puede definir en los archivos). Los permisos de recurso compartido suelen utilizarse para administrar equipos con sistemas de archivos FAT32 u otros equipos que no utilizan el sistema de archivos NTFS.

Los permisos de recurso compartido y los permisos NTFS son independientes en el sentido de que ninguno modifica al otro. Los permisos de acceso final en una carpeta compartida se determinan teniendo en cuenta las entradas de permiso de recurso compartido y de permiso NTFS y se aplicarán siempre los permisos más restrictivos.

  • Los permisos de las carpetas o recursos compartidos que el sistema nos deja configurar son:
  • Control total: el usuario o grupo tomara propiedad del recurso y puede realizar cualquier tarea.
  • Cambiar: crear, eliminar y modificar archivos y carpetas.
  • Lectura: permite leer y ejecutar.
  • Los permisos estándar o predeterminados NTFS que se pueden asignar a una carpeta son:
  • Control total: para leer, cambiar, crear y ejecutar bien sean programas o carpetas.
  • Lectura y ejecución: para ver el contenido y ejecutar programas de una carpeta.
  • Modificar: para poder cambiar los ficheros y las carpetas, pero sin crear y eliminar ficheros ni carpetas nuevas.
  • Lectura: para poder ver y abrir el contenido.
  • Escritura: para poder crear y cambiar los ficheros y carpetas existentes.
  • Mostrar el contenido de la carpeta.
  • Además de los permisos NTFS estándar, podemos personalizar mejor las tareas que los usuarios o grupos de usuarios pueden realizar sobre un recurso compartido aplicando los permisos especiales NTFS.
  • Para empezar, vamos a ver cómo vamos a distribuir los recursos compartidos en nuestro servidor de ficheros, tendremos una unidad de disco duro independiente para este fin, así separaremos los archivos de sistema de los datos, crearemos tres recursos compartidos:
  • Publico: con acceso de lectura, escritura, ejecución y modificación para todos los usuarios del sistema.
  • Grupos: en este recurso vamos a crear las carpetas departamentales con acceso de lectura, escritura, ejecución y modificación para su departamento correspondiente y acceso denegado para los demás usuarios del sistema.
  • Usuarios: en este recurso vamos a crear las carpetas personales de los usuarios con acceso de lectura, escritura, ejecución y modificación para cada usuario según corresponda, acceso denegado para todos los demás usuarios.
  • Empezaremos creando el primer recurso compartido llamado Publico, para ello desde el Administrador del Servidor > Servicios de archivos y de almacenamiento > Recursos compartidos, abrimos las Tareas > Nuevo recurso compartido:

  • Se nos abre el siguiente asistente y en esta primera opción seleccionamos el perfil que nos interese, en nuestro caso, Recurso compartido SMB – Rápido:

  • Le indicamos la ubicación, en este caso en el disco E:

  • Le damos un nombre y una descripción, y le indicamos las rutas (local y remota):

  • En otra configuración, sólo marcamos el check indicado:

  • Aquí tenemos la parte más interesante y más importante, a la hora de montar un servidor de archivos Windows, “los permisos”, como bien explicamos en la introducción, podemos ver que “Todos” tienen permisos de control total sobre el recurso compartido, y el filtro lo vamos a realizar a través de los permisos NTFS, para ello personalizamos los permisos:

  • Deshabilitamos la herencia, para que este recurso compartido no herede los permisos de la carpeta raíz:

  • Convertimos los permisos heredados en permisos explícitos, para poder eliminar o dejar a los usuarios o grupos que nos interesen:

  • Para el grupo Administradores le daremos control total:

  • Para el resto de usuarios le daremos estos permisos especiales:

  • Una vez asignados todos los permisos marcamos el check seleccionado en la captura de pantalla, para que los directorios anidados dentro de éste hereden la configuración de los permisos:

  • Así quedarían configurados los permisos de Recurso compartido y NTFS para la carpeta Publico:

  • Nos muestra un resumen de las configuraciones realizadas, clic sobre “Crear”:

  • Una vez completado el proceso, cerramos el asistente:

  • Aquí podemos ver el recurso compartido:

  • Ahora vamos a crear el segundo recurso compartido llamado Grupos, para ello desde el Administrador del Servidor > Servicios de archivos y de almacenamiento > Recursos compartidos, abrimos las Tareas > Nuevo recurso compartido:

  • Se nos abre el siguiente asistente y en esta primera opción seleccionamos el perfil que nos interese, en nuestro caso, Recurso compartido SMB – Rápido:

  • Le indicamos la ubicación, en este caso en el disco E:

  • Le damos un nombre y una descripción, y le indicamos las rutas (local y remota):

  • En otra configuración, sólo marcamos el check indicado:

  • Aquí tenemos la parte más interesante y más importante, a la hora de montar un servidor de archivos Windows, “los permisos”, como bien explicamos en la introducción, podemos ver que “Todos” tienen permisos de control total sobre el recurso compartido, y el filtro lo vamos a realizar a través de los permisos NTFS, para ello personalizamos los permisos:

  • Deshabilitamos la herencia, para que este recurso compartido no herede los permisos de la carpeta raíz:

  • Convertimos los permisos heredados en permisos explícitos, para poder eliminar o dejar a los usuarios o grupos que nos interesen:

  • Para el grupo Administradores le daremos control total:

  • Para el resto de usuarios le daremos estos permisos especiales:

  • Una vez asignados todos los permisos marcamos el check seleccionado en la captura de pantalla, para que los directorios anidados dentro de éste hereden la configuración de los permisos:

  • Así quedarían configurados los permisos de Recurso compartido y NTFS para la carpeta Grupos:

  • Nos muestra un resumen de las configuraciones realizadas, clic sobre “Crear”:

  • Una vez completado el proceso, cerramos el asistente:

  • Aquí podemos ver el recurso compartido:

  • Ahora vamos a crear el tercer recurso compartido llamado Usuarios, para ello desde el Administrador del Servidor > Servicios de archivos y de almacenamiento > Recursos compartidos, abrimos las Tareas > Nuevo recurso compartido:

  • Se nos abre el siguiente asistente y en esta primera opción seleccionamos el perfil que nos interese, en nuestro caso, Recurso compartido SMB – Rápido:

  • Le indicamos la ubicación, en este caso en el disco E:

  • Le damos un nombre y una descripción, y le indicamos las rutas (local y remota):

  • En otra configuración, sólo marcamos el check indicado:

  • Aquí tenemos la parte más interesante y más importante, a la hora de montar un servidor de archivos Windows, “los permisos”, como bien explicamos en la introducción, podemos ver que “Todos” tienen permisos de control total sobre el recurso compartido, y el filtro lo vamos a realizar a través de los permisos NTFS, para ello personalizamos los permisos:

  • Deshabilitamos la herencia, para que este recurso compartido no herede los permisos de la carpeta raíz:

  • Convertimos los permisos heredados en permisos explícitos, para poder eliminar o dejar a los usuarios o grupos que nos interesen:

  • Para el grupo Administradores le daremos control total:

  • Para el resto de usuarios le daremos estos permisos especiales:

  • Una vez asignados todos los permisos marcamos el check seleccionado en la captura de pantalla, para que los directorios anidados dentro de éste hereden la configuración de los permisos:

  • Así quedarían configurados los permisos de Recurso compartido y NTFS para la carpeta Usuarios:

  • Nos muestra un resumen de las configuraciones realizadas, clic sobre “Crear”:

  • Una vez completado el proceso, cerramos el asistente:

  • Aquí podemos ver el recurso compartido:

  • Una vez que nos hemos creado los recursos compartidos con sus permisos, nos vamos a ir al recurso compartido Grupos y vamos a crear dentro de éste, carpetas para los distintos departamentos de nuestra empresa y le asignaremos los permisos que le correspondan a cada departamento, la estructura nos quedaría de la siguiente manera:

  • Ahora sólo voy a mostrar cómo se configuran los permisos para un departamento, ya que para los demás se hará de la misma manera, por ejemplo, para el departamento de Administración, antes vamos a hacer un inciso para explicar que la técnica que vamos a usar para asignar los permisos departamentales será AGDLP, que significa esto, pues que en primer lugar vamos a crear las cuentas de los usuarios (A, Accounts), en segundo lugar crearemos los grupos de Seguridad Global (G, Global), en tercer lugar crearemos los grupos de Dominio Local (DL, Domain Local) y por último asignaremos los permisos(P, Permissions), los dos primeros puntos quedaron explicados en el post “Organización de Active Directory sobre MS Windows Server 2016”.
  • Ahora vamos a crear los grupos de Dominio Local y en ellos vamos a anidar los grupos de Seguridad Global, para ello nos abrimos la consola de Usuarios y equipos de Active Directory en nuestro controlador de dominio, y nos creamos una Unidad Organizativa llamada GruposDLMAD, donde vamos a crear todos estos grupos de DL, los cuáles usaremos para asignar los permisos a las carpetas departamentales:

  • Mostraremos la configuración para el departamento de Administración, ya que para los demás será la misma.
  • Nos creamos el primer grupo para permisos de Control total, llamado DL_AdministracionMad_FC.
  • En la pestaña “General” introducimos los datos correspondientes al grupo:

  • En la pestaña “Miembros” introducimos los usuarios o grupos que queremos que pertenezcan a este grupo, en este caso no tenemos ningún miembro:

  • En la pestaña “Miembro de” introducimos si este grupo pertenece a otro grupo, en este caso no pertenece a ninguno:

  • En la pestaña “Administrado por” podemos indicar el usuario que queremos que administre este grupo, quitándole carga administrativa al Administrador del sistema, esto ya depende de los roles de nuestra organización, en este caso los únicos usuarios que pueden administrar el grupo son los Administradores:

  • Nos creamos el segundo grupo para permisos de lectura, llamado DL_AdministracionMad_Read.
  • En la pestaña “General” introducimos los datos correspondientes al grupo:

  • En la pestaña “Miembros” introducimos los usuarios o grupos que queremos que pertenezcan a este grupo, en este caso no pertenece a ninguno:

  • En la pestaña “Miembro de” introducimos si este grupo pertenece a otro grupo, en este caso no pertenece a ninguno:

  • En la pestaña “Administrado por” podemos indicar el usuario que queremos que administre este grupo, quitándole carga administrativa al Administrador del sistema, esto ya depende de los roles de nuestra organización, en este caso los únicos usuarios que pueden administrar el grupo son los Administradores:

  • Nos creamos el tercer grupo para permisos de escritura, llamado DL_AdministracionMad_Write.
  • En la pestaña “General” introducimos los datos correspondientes al grupo:

  • En la pestaña “Miembros” introducimos los usuarios o grupos que queremos que pertenezcan a este grupo, en este caso pertenecen al grupo de DL, el grupo de Seguridad Global “GAdmMad” que contiene a su vez todos los usuarios del departamento de Administración y el grupo de Seguridad Global “GDireccion” que contiene todos los usuarios del departamento de dirección:

  • En la pestaña “Miembro de” introducimos si este grupo pertenece a otro grupo, en este caso no pertenece a ninguno:

  • En la pestaña “Administrado por” podemos indicar el usuario que queremos que administre este grupo, quitándole carga administrativa al Administrador del sistema, esto ya depende de los roles de nuestra organización, en este caso los únicos usuarios que pueden administrar el grupo son los Administradores:

  • Para crear los demás grupos de Dominio Local y asignar los permisos adecuados a cada departamento seguiremos la misma política que con el grupo Administración.
  • Una vez creados los grupos de Dominio Local aplicaremos los permisos a las carpetas departamentales, procederemos a aplicarlos sobre la carpeta “Administracion” ya que para los demás directorios departamentales será exactamente igual:

  • En las propiedades de la carpeta Administración accedemos a la pestaña Seguridad > Opciones Avanzadas:

  • Le indicamos que no herede los permisos de la carpeta principal “Grupos”:

  • Convertimos los permisos heredados en permisos explícitos, para poder eliminar o dejar a los usuarios o grupos que nos interesen:

  • Quitamos a los usuarios, y empezaremos asignando los permisos a los grupos de domino local que nos hemos creado anteriormente:

  • Para los permisos de control total asignamos los siguientes al grupo DL_AdministracionMad_FC:

  • Para los permisos de lectura asignamos los siguientes al grupo DL_AdministracionMad_Read:

  • Para los permisos de escritura asignamos los siguientes al grupo DL_AdministracionMad_Write:

  • Una vez asignados todos los permisos marcamos el check seleccionado en la captura de pantalla, para que los directorios anidados dentro de éste hereden la configuración de los permisos:

  • Para las demás carpetas departamentales debemos de realizar las mismas operaciones:

 

  • Una vez que hemos terminado de asignar los permisos a las carpetas departamentales, pasaremos a asignar los permisos a las carpetas de los usuarios, para ello sobre el recurso compartido Usuarios, vamos a crear carpetas para los distintos usuarios de nuestra empresa y le asignaremos los permisos que le correspondan a cada uno de ellos, éstas carpetas anidadas dentro del directorio Usuarios serán las carpetas personales de cada usuario, a las que sólo ellos tendrán acceso, la estructura nos quedaría de la siguiente manera:

  • Ahora sólo voy a mostrar cómo se configuran los permisos para un usuario, ya que para los demás se hará de la misma manera, por ejemplo, para el usuario “Jesús Ramos”.
  • En las propiedades de la carpeta “Jesusr” accedemos a la pestaña Seguridad > Opciones Avanzadas:

  • Le indicamos que no herede los permisos de la carpeta principal “Usuarios”:

  • Convertimos los permisos heredados en permisos explícitos, para poder eliminar o dejar a los usuarios o grupos que nos interesen:

  • Quitamos a los usuarios, y empezaremos asignando los permisos a las cuentas de usuarios correspondientes:

  • Le asignamos permisos de escritura al usuario Jesús Ramos:

  • Una vez asignados todos los permisos marcamos el check seleccionado en la captura de pantalla, para que los directorios anidados dentro de éste hereden la configuración de los permisos:

  • Para las demás carpetas de usuarios debemos de realizar las mismas operaciones.
  • Ahora para mapear estos tres recursos compartidos (Publico, Grupos y Usuarios) como unidades de red, para los usuarios del Active Directory cada vez que inicien sesión en un equipo del dominio, crearemos el siguiente script (logonmad.bat) y lo ubicaremos en la carpeta compartida SYSVOL de cualquiera de nuestros Domain Controllers, exactamente en la ubicación C:\Windows\SYSVOL\sysvol\ragasys.net\scripts:

  • Para que este script funcione tendremos que editar las propiedades de los usuarios del dominio, yo tengo como costumbre antes de crear todos los usuarios del dominio, crearme una plantilla de usuario por cada departamento y utilizar esta plantilla para ir creando los usuarios, mostraré la configuración de la plantilla creada para el departamento de Administracion, ya que para los demás será exactamente igual:

  • Como podemos ver cada vez que un usuario inicia sesión en un equipo del dominio tiene los recursos compartidos como unidades de red:

  • Con esto ya tendríamos configurado nuestro servidor de archivos, automáticamente se asignan los roles:

 

Saludos y espero que os sea de ayuda 😉

 

 

Jose Ramon Ramos Gata

Técnico Superior STI

11 comentarios

  1. El servidor de ficheros se instala en una VM nueva, como servidor individual, correcto ¿?

  2. Excelente y muy completo tu post amigo… que recomendación das para el uso de archivos fuera de linea desde un FS. Mediante conexiones por VPN?

    Saludos

  3. Que buen manual, lo utilizare, andamos con un problema grande en mi universidad y es que usamos un vm para eso y nos quedamos sin espacio y sin directorio activo, sino con usuarios en la vm
    Vamos a usar una maquina dedicada, que piensas, seria mejor así?

    • Si, mejor así, los controladores de dominio, como buena practica soo deben de llevar los servicios del Actuve Directory, no es buena práctica desplegarle otros roles

      • Muchas gracias.
        Sabes empecé a realizar el manual y en el punto
        “Empezaremos creando el primer recurso compartido llamado Publico, para ello desde el Administrador del Servidor > Servicios de archivos y de almacenamiento > Recursos compartidos, abrimos las Tareas > Nuevo recurso compartido”

        No me sale la opción de recursos compartidos, ya fui a la RED y active el sistema compartido en el dominio.

        Muchas gracias de antemano

      • Hola Ramos,
        Ya logre avanzar mucho, peor tengo un pequeño problema con los permisos, resulta que si agrego un grupo local en el directorio activo. No funciona los permisos, pero si los asigno directo al usuario si funciona.

        A que se deberá esto?

  4. José, excelente manual de configuración. Gracias por compartir
    Te agradecería si puedes extender tu explicación sobre la diferencia entre el Grupo de trabajo “Usuarios” y una una OU con el mismo mismo nombre donde ambas tienen como elementos a los usuarios del dominio

  5. Buenos días Jorge,
    muchas gracias por tu aportaciones.
    Podrías aclarar el concepto:
    Grupos de dominio local.

    Muchas gracias.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.