Compartición de recursos
Anterior Capítulo 1. Administración de dominios Windows 2003 Siguiente

Compartición de recursos

Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores. En este contexto, sólo vamos a considerar como recursos a compartir las carpetas o directorios que existen en un sistema Windows. La compartición de otros recursos (tales como impresoras, por ejemplo) queda fuera del ámbito de este texto.

Permisos y derechos

Cualquier sistema Windows 2003 puede compartir carpetas, tanto si es un servidor como si es una estación de trabajo. Para poder compartir una carpeta basta con desplegar su menú contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opción se determina el nombre que tendrá el recurso (que no tiene por qué coincidir con el nombre de la propia carpeta), así como qué usuarios van a poder acceder al mismo. En relación con esto, existe una gran diferencia entre que el directorio resida en una partición FAT y que resida en una NTFS.

Si la carpeta reside en una partición FAT, este filtro de acceso será el único que determine los usuarios que van a poder acceder al contenido de la carpeta, puesto que no es posible determinar permisos sobre la misma o sus archivos. Es decir, el filtro sólo se establece para poder acceder al recurso. Si un usuario tiene permisos suficientes para conectarse a un recurso, tendrá acceso sobre todos los archivos y subcarpetas del recurso. Concretamente, el tipo de acceso sobre todos ellos será el que le permita el permiso sobre el recurso (Lectura, Escritura o Control Total).

Por el contrario, si la carpeta se encuentra en una partición NTFS, ésta tendrá unos permisos establecidos (así como sus subcarpetas y archivos), al margen de estar o no compartida. En este caso también es posible establecer permisos desde la ventana de Compartir..., pero entonces sólo los usuarios que puedan pasar ambos filtros podrán acceder a la carpeta compartida y a su contenido. En este caso se recomienda dejar Control Total sobre Todos en los permisos asociados al recurso (opción por defecto), y controlar quién (y cómo) puede acceder al recurso y a su contenido mediante los permisos asociados a dicha carpeta (y a sus archivos y subcarpetas). Sin embargo, esta no es la opción por defecto en Windows Server 2003 (aunque sí lo era en Windows 2000), que sólo concede inicialmente el permiso de lectura al grupo Todos al compartir una carpeta.

Esta recomendación es muy útil, si tenemos en cuenta que de esta forma para cada carpeta (y archivo) del sistema no utilizamos dos grupos de permisos sino uno solo, independientemente de que la carpeta sea o no compartida. Este forma de trabajar obliga al administrador a asociar los permisos correctos a cada objeto del sistema (aunque no esté compartido), pero por otra parte se unifica la visión de la seguridad de los archivos, con lo que a la larga resulta más segura y más sencilla.

Cuando compartimos recursos a otros usuarios en la red (especialmente en un dominio) hay que tener en cuenta no sólo los permisos del recurso y su contenido, sino también los derechos del ordenador que comparte el recurso. En concreto, si un usuario ha iniciado una sesión interactiva en un ordenador Windows 2003 denominado A, y desea conectarse a un recurso de red que exporta otro Windows 2003 denominado B, además de poseer suficientes permisos (sobre el recurso, sobre el propio carpeta y sobre su contenido), tiene que tener concedido en B el derecho Acceder a este equipo desde la red. De lo contrario, dicho usuario ni siquiera podrá obtener la lista de los recursos que el ordenador A comparte.

Compartición dentro de un dominio

Cuando la compartición de recursos la realizan equipos que forman parte de un dominio Windows 2003, existen consideraciones que el administración debe conocer.

Primero, una vez se ha compartido físicamente una carpeta en la red (según el procedimiento descrito arriba), el administrador del dominio puede además publicar este recurso en el directorio. Para ello debe crear un nuevo objeto, en la unidad organizativa adecuada, de tipo Recurso compartido. A este objeto se le debe asociar un nombre simbólico y el nombre de recurso de red que representa (de la forma \\equipo\recurso). Es importante tener en cuenta que cuando se publica el recurso de esta forma, no se comprueba si realmente existe o no, por lo que es responsabilidad del administrador el haberlo compartido y que su nombre coincida con el de la publicación. Una vez publicado, el recurso puede localizarse mediante búsquedas en el Directorio Activo, como el resto de objetos del mismo. Windows Server 2003 ha introducido otra forma de publicación: entre las opciones de la pestaña "Compartir" del explorador de archivos, puede publicarse dicha compartición en el directorio, simplemente asignándole un nombre simbólico. Si se publica de esta forma, el proceso crea automáticamente el objeto que representa la carpeta compartida en el directorio.

Y segundo, cuando un sistema Windows 2003 se agrega a un dominio, los siguientes recursos se comparten de forma automática y por defecto (estas comparticiones no deben modificarse ni prohibirse):

  • letra_de_unidad$. Por cada partición existente en el sistema Windows 2003 (C:, D:, etc.) se crea un recurso compartido denominado C$, D$, etc. Los administradores del dominio, así como los operadores de copia del domino, pueden conectarse por defecto a estas unidades.

  • ADMIN$. Es un recurso utilizado por el propio sistema durante la administración remota de un ordenador Windows 2003.

  • IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por los programas para comunicarse entre ellos. Se utiliza durante la administración remota de un ordenador Windows 2003, y cuando se observa los recursos que comparte.

  • NETLOGON. Recurso que exporta un DC para proporcionar a los ordenadores miembros del dominio el servicio de validación de cuentas globales a través de la red (Net Logon service).

  • SYSVOL. Recurso que exporta cada DC de un dominio. Contiene información del Directorio Activo (por ejemplo, de directivas de grupo) que debe replicarse en todos los DCs del dominio.

En relación con los nombres de estos recursos, es interesante saber que añadir el carácter "$" al final de cualquier nombre de recurso tiene un efecto específico: prohibe que dicho recurso se visualice dentro de la lista de recursos que una máquina exporta al resto. Es decir, convierte un recurso en "invisible" para al resto del mundo. En este caso, un usuario remoto sólo podrá conectarse al recurso si conoce su nombre de antemano (y tiene suficientes permisos, obviamente).

Mandatos Windows 2003 para compartir recursos

La compartición de recursos en Windows 2003 puede realizarse en línea de órdenes utilizando los mandatos net share y net use. La sintaxis de ambos mandatos es la siguiente:

  1. Mandato net share: Crea, elimina o muestra recursos compartidos. 

    net share 
net share recurso_compartido
net share recurso_compartido=unidad:ruta_de_acceso
          [/users:número | /unlimited] [/remark:"texto"]
net share recurso_compartido [/users:número | unlimited] 
          [/remark:"texto"]
net share {recurso_compartido | unidad:ruta_de_acceso} /delete

  2. Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo. También controla las conexiones de red persistentes. 

    net use  [nombre_dispositivo] 
         [\\nombre_equipo\recurso_compartido[\volumen]] 
         [contraseña | *]] [/user:[nombre_dominio\]nombre_usuario] 
         [[/delete] | [/persistent:{yes | no}]]
net use nombre_dispositivo [/home[contraseña | *]] 
         [/delete:{yes | no}]
net use  [/persistent:{yes | no}]
Anterior Subir Siguiente
Objetos que administra un dominio Inicio Delegación de la administración