Remove From My Forums

Permisos carpetas windows 2003 server

Pregunta
0

Inicie sesión para votar

Hola tod@s,

Tengo un servidor de windows 2003 server con varias carpetas compartidas. Vamos a cambiar el servidor por uno nuevo. Estas carpetas tienen permisos de acceso usuarios del AD. ¿Se podría acceder a esas carpetas si restauro una copia de seguridad de este servidor al nuevo servidor con usuarios diferentes? ¿Tendría que crear exactamente los mismos usuarios en el nuevo servidor incluido el administrador (No supone mucho trabajo, somo unos 10 usuarios) para que puedan tener acceso a esas carpetas?

Gracias y saludos

martes, 25 de mayo de 2010 10:17

Responder

|

Citar

Respuestas

1

Inicie sesión para votar
Hola,

primero de todo no te centres en el volcado como algo imprescindible para que tu red funcione, si bien es cierto que los roles son imprescindibles para el correcto funcionamiento eso no implica que no haya cierta tolerancia ante la falta de los mismos, es decir, si se te cae el DC primario la red funcionara con relativa normalidad durante un periodo de tiempo ( breve, pero a veces la caida es poca cosa y se levanta de nuevo en unas horas y no hace falta tocar los roles)... si no fuera posible revivir el servidor primario entonces deberias plantearte traspasar de nuevo los roles al secundario para que estos esten presentes y todo funcione de nuevo.

Los roles pueden ser transferidos o asumidos. La transferencia se utiliza cuando ambos servidores son funcionales y lo unico que haces es indicar quien tendra los roles por ello los transfieres de A a B y ambos servidores tienen constancia de la transferencia, sobretodo quedate con la idea de que la transferencia obliga a que ambos DCs esten operativos.

El asumir el rol se realiza en cambio cuando el DC que tiene los roles se ha muerto y es imposible levantarlo con garantias de manera que se descarta que vuelva a funcionar, entonces en el servidor secundario hay que indicarle que debe asumir ese rol, que a partir de ese momento el ostentara ese rol y que debe asumirlo porque es imposible que se le pase mediante una transferencia. Es importante tener en cuenta en este caso que llegados a este punto una vez asumidos los roles por el segundo DC jamas hay que levantar el primer DC muerto ya que provocaria errores en la red de manera.

Para transferir los roles puedes hacerlo por entorno grafico y para transferir o asumir lo puedes hacer mediante el comando ntdsutil.

Aqui tienes dos guias sobre como hacerlo

Transferir funciones del maestro de operaciones

http://technet.microsoft.com/es-es/library/cc778806(WS.10).aspx

Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio

http://support.microsoft.com/kb/255504/es

En tu caso, deberias instalar el segundo DC, añadirlo al dominio, promoverlo a DC mediante el comando dcpromo.exe , una vez sea un DC de tu dominio espera un tiempo prudencial a que se repliquen todos los cambios y se apliquen las politicas que puedas tener configuradas. Llegados a este punto hazte a la idea de que ambos tienen copia de tu configuracion de usuarios, grupos, GPOs, etc.. la unica diferencia es que uno tiene el rol, es decir, asume la realizacion de esa funcion.

Si quisieras traspasar los roles del primario al secundario pues deberias seguir la primera guia que te he puesto. Si planeas tener 2 DCs tambien puedes plantearte repartirlos entre ambos DCs para reducir la carga sobre el mismo DC, no hace falta que esten todos en el mismo servidor ... tu debes saber en que estado esta ese servidor que quieres renovar y si planeas que funcione durante un buen tiempo. Llegados a este punto puedes realizar la copia de las carpetas con robocopy y la seguridad se trapasara automaticamente asi que solo te hara falta hacer el cambio para que los usuarios se conecten al nuevo servidor en lugar del antiguo, dependera de como lo tengas montado, si acceden por \\servidor\carpeta o si tienen una letra mapeada a la carpeta compartida..

Para tu "proyecto" te aconsejo que tambien planees temas como:

- Servicio DNS, quien lo da ahora y quien planeas que lo de en el futuro, piensa que puedes instalarlo tambien en el nuevo DC y tener replica tambien de ese servicio y por lo tanto tolerancia a fallos.

- DHCP o cualquier otro servicio que tengas configurado en el DC antiguo, deberas planear mantenerlo o migrarlo segun tengas planeado.

- Es recomendable que ambos servidores sean GLobal Catalog, para ello cuando configures el nuevo DC asegurate de marcar este setting , puedes ver como hacerlo en el siguiente articulo de Roberto di Lello http://www.radians.com.ar/blog/?p=223

Es recomendable que te familirices con el hecho de añadir un segundo controlador de dominio, el videotutorial que te puse antes recoge los temas clave pero no esta de mas que verifiques estos articulos

Crear un controlador de dominio adicional

http://technet.microsoft.com/es-es/library/cc781792(WS.10).aspx

Tambien debes tener en cuenta que si tu servidor antiguo es 2003 y el nuevo es 2008 entonces debes realizar unos pasos previos que consisten en preparar el esquema de tu bosque y tu dominio antes de que puedas añadir ese segundo DC al dominio, para ello revisa el siguiente articulo

Preparación del esquema de un bosque de Windows 2000 o Windows Server 2003 para un controlador de dominio que ejecuta Windows Server 2008

http://technet.microsoft.com/es-es/library/cc753437(WS.10).aspx

Y en general, cualquier duda que puedas tener, comentala por aqui.

MCTS: Windows Server 2008 Active Directory, Configuring
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:26
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 15:51

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Gus, si ambos servidores (viejo y nuevo) están unidos a dominio, no hace falta crear ningún usuario ni grupo para el tema permisos, ya que los justamente del dominio.

Para copiar las carpetas/archivos y mantener los permisos debes tener en cuenta que hay dos juegos de permisos: los de Compartido y los de Seguridad.

Los de Seguridad, los puedes pasar con el sistema de copia de seguridad, o quizás más fácil, usando XCOPY o ROBOCOPY con el modificador para que copie la seguridad.

Para los de compartido, los puedes pasar a mano ya que generalmente son pocos y más sencillos.

O directamente usar alguna herramienta que te haga todo el trabajo, pero hay que ver si justifica (diez usuarios es realmente poco :-))
Download details: Microsoft File Server Migration Toolkit Overview:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=604be797-d19e-4bc1-a148-b48fc731135e
Download details: File Server Migration Toolkit:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=d00e3eae-930a-42b0-b595-66f462f5d87b
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:25
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 12:01

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Hola,

tu servidor es un controlador de dominio o es un servidor stand-alone?

Si es un controlador de dominio, lo mas efectivo es que añadas el nuevo servidor al dominio y automaticamente se replicaran tus usuarios en el nuevo servidor, luego podras copiar las carpetas al nuevo servidor y los permisos concecidos a las mismas se mantendran intactos porque los usuarios existen en el nuevo servidor, luego deberias dar de baja el servidor antiguo y ya habrias acabado el proceso, aunque Microsoft recomienda siempre tener 2 servidores controladores de dominio. Para unir el nuevo servidor al dominio, aqui tienes un video tutorial que explica los pasos de una manera muy sencilla http://www.tooltorials.com/como_instalar_controlador_de_dominio_adicional , cualquier duda puedes preguntar por aqui.

Para la copia automatizada de las carpetas de un servidor a otro te recomiendo robocopy http://technet.microsoft.com/es-es/library/cc733145(WS.10).aspx ya que copia toda la informacion referente a los permisos de seguridad y ademas solo copia los archivos que hayan cambiado desde la anterior copia por lo que es muy recomendable para este tipo de proyectos que se suelen realizar por fases, puedes realizar una copia durante el cambio y otra en el momento de cambio definitivo y en esta ultima solo se copiara lo que haya cambiado desde la anterior y por lo tanto su duracion sera breve.

Si tu servidor no es un controlador de dominio y por lo tanto los usuarios los has creado de forma local en el, la seguridad de las carpetas no servira de nada en el nuevo servidor aunque crees el usuario con el mismo nombre y password ya que internamente la seguridad se asigna por un identificador unico llamado SID y este sera diferente en el nuevo servidor ya que al crear el usuario se genra un SID diferente y unico, por lo que tendras que volver a asignar la seguridad sobre las carpetas de nuevo tras la creacion de los usuarios.

Para agilizar el proceso de creacion de usuarios puedes utilizar la herramienta addusers.exe incluida en el Resource Kit que te permitira hacer una exportacion de los usuarios y luego una importacion, pero como te digo, obtendran un nuevo SID y deberas reasignar de nuevo toda la seguridad de las carpetas.

Exportar: AddUsers /f: mis_usuarios.txt
Importar: AddUsers /c: mis_usuarios.txt

Para la copia de las carpetas puedes utilizar igualmente robocopy y mediante el parametro /COPY: puedes especificar que no copie la seguridad asignada asi en el nuevo servidor no tendras que eliminarla sino que directamente ya podras ponerte a trabajar en asignar de nuevo la seguridad correcta.

Repasa toda la documentacion y comentanos las dudas que puedas tener...

Saludos!!

MCTS: Windows Server 2008 Active Directory, Configuring
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:25
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 12:13

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Si haces un backup/restore conservarán los permisos establecidos (excepto que te "calces" el AD, lo cual no es recomendable).

Los permisos que perderás son los de "share" pero si no tienes nada particular, es decir "Todos" con Full Control o Write, tampoco será un drama. Si tienes algo más granular, te aconsejo el "permcopy" que te permitirá replicar los permsisos.
Saludos,

Marc
MCSA/MCSE 2003
MCITP: Enterprise Administrator
MCITP: Enterprise Messaging Administrator
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:25
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 13:40

Responder

|

Citar

Moderador

Todas las respuestas

0

Inicie sesión para votar
Gus, si ambos servidores (viejo y nuevo) están unidos a dominio, no hace falta crear ningún usuario ni grupo para el tema permisos, ya que los justamente del dominio.

Para copiar las carpetas/archivos y mantener los permisos debes tener en cuenta que hay dos juegos de permisos: los de Compartido y los de Seguridad.

Los de Seguridad, los puedes pasar con el sistema de copia de seguridad, o quizás más fácil, usando XCOPY o ROBOCOPY con el modificador para que copie la seguridad.

Para los de compartido, los puedes pasar a mano ya que generalmente son pocos y más sencillos.

O directamente usar alguna herramienta que te haga todo el trabajo, pero hay que ver si justifica (diez usuarios es realmente poco :-))
Download details: Microsoft File Server Migration Toolkit Overview:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=604be797-d19e-4bc1-a148-b48fc731135e
Download details: File Server Migration Toolkit:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=d00e3eae-930a-42b0-b595-66f462f5d87b
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:25
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 12:01

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Hola,

tu servidor es un controlador de dominio o es un servidor stand-alone?

Si es un controlador de dominio, lo mas efectivo es que añadas el nuevo servidor al dominio y automaticamente se replicaran tus usuarios en el nuevo servidor, luego podras copiar las carpetas al nuevo servidor y los permisos concecidos a las mismas se mantendran intactos porque los usuarios existen en el nuevo servidor, luego deberias dar de baja el servidor antiguo y ya habrias acabado el proceso, aunque Microsoft recomienda siempre tener 2 servidores controladores de dominio. Para unir el nuevo servidor al dominio, aqui tienes un video tutorial que explica los pasos de una manera muy sencilla http://www.tooltorials.com/como_instalar_controlador_de_dominio_adicional , cualquier duda puedes preguntar por aqui.

Para la copia automatizada de las carpetas de un servidor a otro te recomiendo robocopy http://technet.microsoft.com/es-es/library/cc733145(WS.10).aspx ya que copia toda la informacion referente a los permisos de seguridad y ademas solo copia los archivos que hayan cambiado desde la anterior copia por lo que es muy recomendable para este tipo de proyectos que se suelen realizar por fases, puedes realizar una copia durante el cambio y otra en el momento de cambio definitivo y en esta ultima solo se copiara lo que haya cambiado desde la anterior y por lo tanto su duracion sera breve.

Si tu servidor no es un controlador de dominio y por lo tanto los usuarios los has creado de forma local en el, la seguridad de las carpetas no servira de nada en el nuevo servidor aunque crees el usuario con el mismo nombre y password ya que internamente la seguridad se asigna por un identificador unico llamado SID y este sera diferente en el nuevo servidor ya que al crear el usuario se genra un SID diferente y unico, por lo que tendras que volver a asignar la seguridad sobre las carpetas de nuevo tras la creacion de los usuarios.

Para agilizar el proceso de creacion de usuarios puedes utilizar la herramienta addusers.exe incluida en el Resource Kit que te permitira hacer una exportacion de los usuarios y luego una importacion, pero como te digo, obtendran un nuevo SID y deberas reasignar de nuevo toda la seguridad de las carpetas.

Exportar: AddUsers /f: mis_usuarios.txt
Importar: AddUsers /c: mis_usuarios.txt

Para la copia de las carpetas puedes utilizar igualmente robocopy y mediante el parametro /COPY: puedes especificar que no copie la seguridad asignada asi en el nuevo servidor no tendras que eliminarla sino que directamente ya podras ponerte a trabajar en asignar de nuevo la seguridad correcta.

Repasa toda la documentacion y comentanos las dudas que puedas tener...

Saludos!!

MCTS: Windows Server 2008 Active Directory, Configuring
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:25
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 12:13

Responder

|

Citar

Moderador
0

Inicie sesión para votar
Si haces un backup/restore conservarán los permisos establecidos (excepto que te "calces" el AD, lo cual no es recomendable).

Los permisos que perderás son los de "share" pero si no tienes nada particular, es decir "Todos" con Full Control o Write, tampoco será un drama. Si tienes algo más granular, te aconsejo el "permcopy" que te permitirá replicar los permsisos.
Saludos,

Marc
MCSA/MCSE 2003
MCITP: Enterprise Administrator
MCITP: Enterprise Messaging Administrator
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:25
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 13:40

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Gracias a todos por las repuestas,

Pep, realmente tenía pensado hacer eso, es decir, instalar 2003 server en el nuevo servidor y añadirlo como server secundario del contralor de dominio que tengo actualmente, para posteriormente dejar el secundario como principal; pero es este último paso el que no tengo muy claro.

Si lo que se quiere es poner el server secundario como principal, no hay problema puesto que los dos servidores están encendidos y se pueden volcar los FSMO ( roles ) del server primario al secundario y posteriormente apagar el primario para que el secundario tome el control. ¿Podríais poner algún link en el que ver como volcar los FSMO y todo los necesario para que el server secundario tome el control?

Pero si tienes un server secundario como respaldo de un server primario, y en un momento dado hay una caída del primario por hardware y no le puedes iniciar. ¿Como haces ese volcado? o ¿Que se puede hacer para que realmente el seundario tome el control sin necesidad de intervenir una vez caido el primario?

Gracias por vuestra paciencia y un saludo.

martes, 25 de mayo de 2010 15:12

Responder

|

Citar
1

Inicie sesión para votar
Hola,

primero de todo no te centres en el volcado como algo imprescindible para que tu red funcione, si bien es cierto que los roles son imprescindibles para el correcto funcionamiento eso no implica que no haya cierta tolerancia ante la falta de los mismos, es decir, si se te cae el DC primario la red funcionara con relativa normalidad durante un periodo de tiempo ( breve, pero a veces la caida es poca cosa y se levanta de nuevo en unas horas y no hace falta tocar los roles)... si no fuera posible revivir el servidor primario entonces deberias plantearte traspasar de nuevo los roles al secundario para que estos esten presentes y todo funcione de nuevo.

Los roles pueden ser transferidos o asumidos. La transferencia se utiliza cuando ambos servidores son funcionales y lo unico que haces es indicar quien tendra los roles por ello los transfieres de A a B y ambos servidores tienen constancia de la transferencia, sobretodo quedate con la idea de que la transferencia obliga a que ambos DCs esten operativos.

El asumir el rol se realiza en cambio cuando el DC que tiene los roles se ha muerto y es imposible levantarlo con garantias de manera que se descarta que vuelva a funcionar, entonces en el servidor secundario hay que indicarle que debe asumir ese rol, que a partir de ese momento el ostentara ese rol y que debe asumirlo porque es imposible que se le pase mediante una transferencia. Es importante tener en cuenta en este caso que llegados a este punto una vez asumidos los roles por el segundo DC jamas hay que levantar el primer DC muerto ya que provocaria errores en la red de manera.

Para transferir los roles puedes hacerlo por entorno grafico y para transferir o asumir lo puedes hacer mediante el comando ntdsutil.

Aqui tienes dos guias sobre como hacerlo

Transferir funciones del maestro de operaciones

http://technet.microsoft.com/es-es/library/cc778806(WS.10).aspx

Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio

http://support.microsoft.com/kb/255504/es

En tu caso, deberias instalar el segundo DC, añadirlo al dominio, promoverlo a DC mediante el comando dcpromo.exe , una vez sea un DC de tu dominio espera un tiempo prudencial a que se repliquen todos los cambios y se apliquen las politicas que puedas tener configuradas. Llegados a este punto hazte a la idea de que ambos tienen copia de tu configuracion de usuarios, grupos, GPOs, etc.. la unica diferencia es que uno tiene el rol, es decir, asume la realizacion de esa funcion.

Si quisieras traspasar los roles del primario al secundario pues deberias seguir la primera guia que te he puesto. Si planeas tener 2 DCs tambien puedes plantearte repartirlos entre ambos DCs para reducir la carga sobre el mismo DC, no hace falta que esten todos en el mismo servidor ... tu debes saber en que estado esta ese servidor que quieres renovar y si planeas que funcione durante un buen tiempo. Llegados a este punto puedes realizar la copia de las carpetas con robocopy y la seguridad se trapasara automaticamente asi que solo te hara falta hacer el cambio para que los usuarios se conecten al nuevo servidor en lugar del antiguo, dependera de como lo tengas montado, si acceden por \\servidor\carpeta o si tienen una letra mapeada a la carpeta compartida..

Para tu "proyecto" te aconsejo que tambien planees temas como:

- Servicio DNS, quien lo da ahora y quien planeas que lo de en el futuro, piensa que puedes instalarlo tambien en el nuevo DC y tener replica tambien de ese servicio y por lo tanto tolerancia a fallos.

- DHCP o cualquier otro servicio que tengas configurado en el DC antiguo, deberas planear mantenerlo o migrarlo segun tengas planeado.

- Es recomendable que ambos servidores sean GLobal Catalog, para ello cuando configures el nuevo DC asegurate de marcar este setting , puedes ver como hacerlo en el siguiente articulo de Roberto di Lello http://www.radians.com.ar/blog/?p=223

Es recomendable que te familirices con el hecho de añadir un segundo controlador de dominio, el videotutorial que te puse antes recoge los temas clave pero no esta de mas que verifiques estos articulos

Crear un controlador de dominio adicional

http://technet.microsoft.com/es-es/library/cc781792(WS.10).aspx

Tambien debes tener en cuenta que si tu servidor antiguo es 2003 y el nuevo es 2008 entonces debes realizar unos pasos previos que consisten en preparar el esquema de tu bosque y tu dominio antes de que puedas añadir ese segundo DC al dominio, para ello revisa el siguiente articulo

Preparación del esquema de un bosque de Windows 2000 o Windows Server 2003 para un controlador de dominio que ejecuta Windows Server 2008

http://technet.microsoft.com/es-es/library/cc753437(WS.10).aspx

Y en general, cualquier duda que puedas tener, comentala por aqui.

MCTS: Windows Server 2008 Active Directory, Configuring
- Propuesto como respuesta Pep lopezModerator miércoles, 26 de mayo de 2010 12:26
- Marcado como respuesta Atilla ArrudaModerator viernes, 28 de mayo de 2010 15:23
martes, 25 de mayo de 2010 15:51

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Gracias de nuevo Pep,

Entiendo entonces que cuando tienes los dos servidores operativos, hay una caída del servidor principal y éste no se puede iniciar de nuevo, puedes hacer que el secundario "asuma" el control mediante Ntdsutil.exe sin necesidad de tener el principal encendido y se entiende por tanto que el server principal no volvera a estar operativo. ¿Es correcto?

Gracias y saludos

martes, 25 de mayo de 2010 16:42

Responder

|

Citar
1

Inicie sesión para votar

Hola,

correcto. Asumes (seize) los roles con ntdsutil.exe y te aseguras de que el DC que los tenia antes jamas arranque conectado a tu red porque te provocaria errores en ella. Es recomendable tener el protocolo pre-impreso en papel y a mano por si llegado el dia se necesita evitar tener que buscarlo y cometer errores.

Saludos!!

PD: No te olvides de marca la respuesta/s correctas para que otro usuario con tu mismo problema encuentre la solucion.

MCTS: Windows Server 2008 Active Directory, Configuring

martes, 25 de mayo de 2010 20:01

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Gracias Pep, me ha quedado muy claro. Se puede dar el tema por solucionado.

Saludos.

miércoles, 26 de mayo de 2010 10:08

Responder

|

Citar
0

Inicie sesión para votar

De nada hombre.

Recuerda marcar la respuesta/s acertadas para que otro usuario que tenga el mismo problema encuentre la solucion.

MCTS: Windows Server 2008 Active Directory, Configuring

miércoles, 26 de mayo de 2010 10:12

Responder

|

Citar

Moderador

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

Permisos carpetas windows 2003 server

Pregunta

Respuestas

Todas las respuestas