Dominios en Windows Concepto de dominio Hoy en da, los ordenadores existentes en cualquier organizacin se encuentran muy frecuentemente formando

parte de redes de ordenadores. En una red, los ordenadores se encuentran interconectados, de forma que pueden intercambiar informacin. No es necesario que un ordenador con Windows 2000 participe de una red. Sin embargo, si desea hacerlo, tiene que ser de alguna de las dos formas siguientes:
a. En un grupo de trabajo (workgroup). Un grupo de trabajo es

una agrupacin lgica de mquinas, sin ningn otro fin. Los ordenadores que forman parte del mismo grupo aparecen juntos cuando se explora el ``Entorno de Red'' (o red de ordenadores NetBIOS). En este caso, la administracin de cada ordenador es local e independiente del resto. Para poder acceder a los recursos que exporta un ordenador concreto, el usuario remoto tiene que disponer necesariamente de una cuenta en dicho ordenador, y permisos suficientes sobre el recurso que se comparte.
b. Formando parte de un dominio ( domain). Es la forma en que se

recomienda que se defina una red de mquinas Windows 2000. En un dominio, la informacin administrativa se encuentra centralizada, y por ello resulta ms fcil y segura de gestionar. Todo este captulo se centra en definir y exponer los conceptos relacionados con los dominios en Windows 2000. Intuitivamente, se puede definir dominio como una agrupacin lgica de servidores de red y otros ordenadores, que comparten informacin comn sobre cuentas (de usuarios, grupos, equipos, etc.) y seguridad. En el apartado siguiente veremos una definicin ms formal y completa de dominio. Es importante matizar que el trmino dominio no incluye ninguna informacin acerca de la ubicacin de los ordenadores. En realidad, no es necesario que los ordenadores que forman un dominio se encuentren fsicamente cercanos, ni que estn interconectadas mediante una red de algn tipo especfico. De hecho, las mquinas que forman un dominio pueden estar conectadas a travs de una red de rea amplia o WAN (Wide Area Network), aunque lo ms normal es que formen una red de rea local o LAN (Local Area Network). En general, Windows 2000 separa la agrupacin lgica de ordenadores, definida mediante el concepto de dominio, de su agrupacin fsica o topolgica, definida mediante los conceptos de subred y sitio. Una subred es un conjunto de ordenadores fsicamente conectados a una red de area local. Un sitio est formado por una o varias subredes que

se encuentran ``bien conectadas''. Este trmino hace referencia a que la velocidad de interconexin entre dichas subredes es ``suficiente'' (a criterio del administrador) para dar soporte al trfico de la informacin del dominio concreto ubicado en dichas subredes. Un dominio Windows 2000 puede abarcar uno o varios de estos "sitios". Clientes y servidores Como sabemos, el sistema operativo Windows 2000 se distribuye en dos versiones alternativas: Windows 2000 Server (o "servidor Windows 2000") y Windows 2000 Professional (o "estacin Windows 2000"). Esta dualidad de versiones cobra sentido en el mbito de los dominios: por una parte, un servidor Windows 2000 se suele utilizar para proporcionar servicios centralizados de red en el dominio. Por otra parte, una estacin Windows 2000, aunque puede formar parte de un dominio, no proporciona ningn servicio al resto de ordenadores del mismo, siendo una estacin de trabajo de propsito general. Concretamente, en un dominio de Windows 2000:

Existe necesariamente un servidor Windows 2000 con funciones de controlador de dominio (Domain Controller, o DC). Entre otros servicios, este servidor posee (y ofrece al resto) informacin centralizada sobre los recursos que posee el dominio y puede administrar al resto de ordenadores que pertenecen al mismo. Pueden existir otros servidores Windows 2000 con funciones de controlador de dominio, de forma que todos ellos replican la informacin de los recursos del dominio (proporcionando tolerancia a fallos) y se reparten la carga de proporcionar informacin y servicios de administracin al resto de ordenadores del dominio. En contraposicin a lo que ocurra en Windows NT 4.0, en Windows 2000 no existen controladores principales ni secundarios de dominio, sino que todos se encuentran en el mismo nivel de jerarqua. Sin embargo, s pueden distribuirse entre ellos los distintos servicios que puede proporcionar un DC.

Pueden existir uno o varios servidores Windows 2000 sin funciones especiales de administracin dentro del dominio, es decir, sin ser controladores de dominio. A estos ordenadores se les llama servidores miembro (member servers). Habitualmente estos sistemas se utilizan para proporcionar algn servicio especfico dentro del dominio (servicios de impresin, servicios de acceso a datos, servidores web, servidores de correo electrnico, etc.), pero no guardan ninguna informacin administrativa del dominio.

Pueden existir una o varias estaciones Windows 2000, que se utilizarn para trabajo habitual de los usuarios.

Por tanto, para crear un dominio en Windows 2000 necesitamos que al menos uno de los servidores Windows 2000 de la red se convierta en un DC. Para ello, una vez instalado el sistema operativo en el servidor, debemos ejecutar un asistente denominado dcpromo. Si queremos que en el dominio exista ms de un DC, hay que ejecutar el asistente en todos dichos servidores Windows 2000. Modos de funcionamiento Un dominio Windows 2000 puede encontrarse configurado en uno de dos modos alternativos:
a. Modo mixto. Este es el modo en el que los DCs se

promocionan por defecto. Este modo ofrece compatibilidad (hacia atrs) a nivel de controlador con sistemas Windows NT anteriores (NT 4.0, normlalmente). En otras palabras, un dominio en modo mixto permite la coexistencia de controladores de dominio Windows 2000 y Windows NT 4.0 (todos comparten la informacin administrativa). Este modo resulta por tanto necesario si en nuestro dominio, alguno de los controladores es uno de estos sistemas. Este modo se ha diseado para permitir una migracin cmoda de dominios NT 4.0 a dominios 2000. En esencia, el mecanismo consiste en introducir progresivamente DCs de Windows 2000 en dominios previos (NT 4.0), de forma que mientras controladores Windows 2000 coexistan con otros NT 4.0, el dominio funcione exactamente igual que antes. En el momento en que todos los controladores son Windows 2000, podemos prescindir de este modo de funcionamiento.
b. Modo nativo. Como se deduce de lo anterior, en este modo de

funcionamiento todos los controladores del dominio deben ser sistemas Windows 2000. Este modo introduce todas las capacidades de administracin diseadas para Windows 2000, algunas de las cuales no estn disponibles en modo mixto. A lo largo del captulo se incidir en dichas capacidades. Es muy importante tener en cuenta que un dominio en modo mixto puede pasarse a modo nativo mediante una simple accin del administrador, pero que la accin contraria no es posible. Es decir, el paso de un dominio en modo mixto a nativo es irreversible.

Implementacin de dominios: el Directorio Activo El Directorio Activo

Tal como hemos visto, el concepto intuitivo de dominio es el de la centralizacin de la informacin (y las labores) de administracin de una red de ordenadores, de forma que la gestin de dichos ordenadores resulte ms cmoda y eficiente. Windows 2000 implementa el concepto de dominio mediante un concepto ms bsico, el de directorio. En el mbito de las redes de ordenadores, un directorio (o almacn de datos) es una estructura jerrquica que almacena informacin sobre recursos (o de forma ms general, objetos) en la red. El directorio se implementa normalmente como una base de datos optimizada para operaciones de lectura (soporta bsquedas de grandes cantidades de informacin) y con capacidades de exploracin. En concreto, el servicio de directorio que incorpora Windows 2000 se denomina Directorio Activo (Active Directory). El Directorio Activo es un servicio de red que almacena informacin acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red. El Directorio Activo se ha implementado siguiendo una serie de estndares y protocolos existentes, ofreciendo interfaces de programacin de aplicaciones que facilitan la comunicacin con otros servicios de directorio. Entre ellos, se pueden encontrar los siguientes:

DHCP (Dynamic Host Configuration Protocol). Protocolo de configuracin dinmica de ordenadores, que permite la administracin desatendida de direcciones de red. DNS (Domain Name System). Servicio de nombres de dominio que permite la administracin de los nombres de ordenadores. Este servicio constituye el mecanismo de asignacin y resolucin de nombres (traduccin de nombres simblicos a direcciones IP) en Internet. SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido. LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y modifican la informacin existente en el directorio. Kerberos V5. Protocolo utilizado para la autenticacin de usuarios y mquinas.. Certificados X.509. Estndar que permite distribuir informacin a travs de la red de una forma segura.

Concepto de dominio segn el Directorio Activo Desde el punto de vista del Directorio Activo, podemos ahora definir con ms propiedad el concepto de dominio en Windows 2000: un dominio es un conjunto de equipos que comparten una base de datos de directorio comn y que se identifica mediante un nombre de dominio DNS. En una red de sistemas Windows 2000, un dominio define:
a. Lmite de seguridad. El administrador de un dominio posee los

permisos y derechos necesarios para administrar los recursos de ese dominio nicamente (a menos que se le hayan concedido de forma explcita en otros dominios). Es decir, el dominio marca los lmites de la administracin (y de la seguridad).
b. Unidad de replicacin. Todos los controladores de dominio

(DCs) de un dominio poseen una copia completa de la informacin de directorio de dicho dominio. Para ello, las actualizaciones de dicha informacin en cualquier controlador se replican de forma automtica al resto. Como se ha comentado arriba, Windows 2000 ha incorporado el esquema de nombrado DNS para nombrar a los dominios y para publicar los servicios que cada ordenador ofrece al resto dentro del dominio. Es ms, existe una relacin biunvoca entre un dominio Windows 2000 y un dominio DNS, independientemente de que el dominio Windows 2000 forme parte o no de Internet. Precisamente es mediante este esquema de nombrado DNS como mejor se entiende la jerarqua en la que el Directorio Activo permite organizar los dominios de una organizacin. Esto se explica a continuacin. Mltiples dominios en la misma organizacin Existen muchos casos en los que es interesante disponer de varios dominios de ordenadores Windows 2000 en la misma organizacin (distribucin geogrfica o departamental, distintas empresas, etc.). El Directorio Activo permite almacenar y organizar la informacin de directorio de varios dominios de forma que, aunque la administracin de cada uno sea independiente, dicha informacin est disponible para todos los dominios. En concreto, los dominios de Windows 2000 se pueden organizar en dos unidades jerrquicas:
a. Arboles. Un rbol es una jerarqua de dominios que comparten

un sufijo DNS. El dominio situado en la raz del rbol se denomina principal y los posibles subdominios que se creen por debajo se denominan secundarios. Normalmente, al menos un

controlador de dominio de un dominio principal es un servidor DNS. Por ejemplo, si en la UPV se quisiera tener un dominio Windows 2000 por cada departamento, debera existir un dominio principal denominado upv.es (en este caso, la raz del rbol) y tantos dominios secundarios como departamentos. En este caso, el dominio del departamento DSIC debera denominarse dsic.upv.es, ya que ese es el dominio DNS correspondiente a las mquinas del departamento. Si dentro del dominio del DSIC se quisieran crear subdominios Windows 2000, tendran que crearse necesariamente los subdominios DNS correspondientes en el servidor DNS de la universidad.
b. Bosques. Pongmonos ahora en el caso de que no todos los

dominios de una organizacin compartan el mismo sufijo DNS. En este caso, cada agrupacin de dominios con el mismo sufijo DNS formaran un rbol. Segn la organizacin del Directorio Activo, el conjunto de dichos rboles puede constituir una unidad jerrquica superior que se denomina (lgicamente) bosque. La informacin del directorio es accesible para todo el bosque de dominios. De hecho, la parte fundamental del directorio (denominada esquema) que define los tipos de objetos y atributos que se pueden crear en el directorio es nica para todo el bosque. Ello asegura que la informacin que se almacena en la parte del directorio de cada dominio del bosque es homognea. En resumen, cuando promocionamos un servidor Windows 2000 a controlador de dominio (mediante el asistente dcpromo, tenemos que decidir una de las siguientes opciones de instalacin:
1. DC adicional de un dominio existente o de un dominio nuevo

(creacin de un dominio). 2. En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio de un arbol de dominios ya creado), o bien el dominio principal (raz) de un nuevo arbol de dominios. 3. En este segundo caso, el dominio raz puede ser de un bosque existente o de un nuevo bosque. Por tanto, en una organizacin en donde an no existen dominios, la creacin del primer dominio ser en realidad la creacin de un nuevo bosque, con un solo rbol, cuya raz es el dominio que queremos crear. A partir de ah podemos aadir nuevos dominios como subdominios de la raz dentro del mismo rbol (y as sucesivamente), o bien anexionar una raz de un rbol de dominios nuevo al bosque.

Principales objetos administra un dominio El Directorio Activo, tal como se ha visto en captulos anteriores, es en realidad una base de datos jerrquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores, o, ms correctamente en nuestro caso, en un dominio de sistemas Windows 2000. Esta base de datos de objetos de administracin es compartida, para consulta, por todos los ordenadores miembros del dominio y, para modificacin, por todos los controladores del dominio (o DC, Domain Controllers). Por tanto, en Windows 2000, la gestin de un dominio puede realizarse de forma centralizada, administrando nicamente el Directorio Activo. En este contexto, "administrar" significa crear y configurar adecuadamente los objetos del directorio que representan a las entidades o recursos que existen en el dominio (recursos como usuarios, grupos, equipos, etc.). Este apartado expone con detalle los principales tipos de objetos que pueden crearse en el Directorio Activo de Windows 2000, planteando en cada caso sus opciones de configuracin y su utilidad dentro de la administracin del dominio. Usuarios globales En el Captulo 5. Proteccin Local se ha visto cmo pueden crearse cuentas de usuarios y grupos en Windows 2000, y cmo se utilizan ambas para: a. identificar y autentificar a las personas (usuarios) que deben poder acceder al sistema, y b. administrar los permisos y derechos que permitirn aplicar el control de acceso adecuado a dichos usuarios en el sistema. Por lo tanto, segn lo que sabemos hasta ahora, si una persona debe trabajar en varios ordenadores, necesita poseer una cuenta de usuario en cada uno de ellos. A continuacin explicaremos una alternativa a esto.

En un dominio Windows 2000, cualquier servidor que acta como DC puede crear cuentas de usuario global. En este caso, el trmino "global" debe interpretarse como global al dominio. Los datos de una cuenta de usuario global se almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores del dominio (en realidad, por todos los ordenadores de bosque). Em otras palabras, no es que se cree una cuenta para ese usuario en cada ordenador miembro, sino que existe una nica cuenta (con un nico SID) que es visible en todos los ordenadores del dominio. En este caso, cuando una persona se conecta a cualquiera de dichos ordenadores utilizando para ello su cuenta de usuario global, el ordenador en cuestin realiza una consulta al Directorio Activo (i.e., a alguno de los DCs) para que se validen las credenciales del usuario. El resultado de la validacin es enviado al ordenador miembro (y de ste al usuario), concediendo o rechazando la conexin. Los ordenadores miembros de un dominio que no sean DCs, adems de conocer a los usuarios globales del dominio, pueden crear tambin sus propios usuarios locales. En este caso, estos usuarios son nicamente visibles en el ordenador en el que han sido creados. Cuando una persona desea entrar en el sistema utilizando una cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador. Adems, es importante resaltar que a dicho usuario local no se le pueden asignar permisos sobre recursos que residan en otro sistema Windows 2000 (puesto que all no existe). Por el contrario, a un usuario global se le pueden conceder permisos sobre cualquier recurso (archivo, directorio, impresora, etc.) de cualquier ordenador miembro del dominio, puesto que es visible (y posee el mismo SID) en todos ellos. Grupos De forma anloga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, tambin de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribucin y grupos de seguridad. Los

primeros se utilizan exclusivamente para crear listas de distribucin de correo electrnico, mientras que los segundos son los que se utilizan con fines administrativos. Por este motivo, a partir de ahora nos referiremos exclusivamente a los grupos de seguridad. En concreto, en dominios Windows 2000 se definen tres clases de grupos de seguridad (o, de forma ms precisa, se pueden definir grupos de tres mbitos distintos): Grupos locales del dominio En un dominio en modo mixto, pueden contener cuentas de usuario y grupo globales de cualquier dominio del bosque. En un dominio en modo nativo, pueden contener adems grupos universales y otros grupos locales del dominio. Slo son visibles en el dominio en que se crean, y suelen utilizarse para conceder permisos y derechos en cualquiera de los ordenadores del dominio (en modo mixto, slo son visibles por los DCs del dominio, y por tanto slo se pueden utilizar para administrar permisos y derechos en esos ordenadores). Grupos globales En un dominio en modo mixto, pueden contener cuentas de usuario globales del mismo dominio. En un dominio en modo nativo, pueden contener adems otros grupos globales del mismo dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse para clasificar a los usuarios en funcin de las labores que realizan. Grupos universales Slo estn disponibles en dominios en modo nativo. Pueden contener cuentas de usuario y grupos globales, as como otros grupos universales, de cualquier dominio del bosque. Son visibles en todo el bosque. En un ordenador miembro de un dominio tambin se pueden definir grupos locales. Los grupos locales pueden estar formados por cuentas de usuario locales y usuarios y grupos globales de

cualquier dominio del bosque (en modo mixto) y adems por grupos universales (en modo nativo). Un grupo local no puede ser miembro de otro grupo local. Los grupos locales pueden utilizarse para conceder permisos y derechos en el equipo en que son creados. Por tanto, la administracin de la proteccin en cada ordenador del dominio puede realizarse mediante grupos locales del dominio o grupos locales del equipo en que reside el recurso a administrar. Por tanto, la recomendacin que se haca en el Captulo 5. Proteccin Local respecto a la asignacin de permisos en base a grupos locales sigue siendo vlida. En el caso ms general, la regla que recomienda Windows 2000 es la siguiente: 1. Asignar usuarios globales a grupos globales, segn las labores que desempeen en la organizacin. 2. Incluir (usuarios y/o) grupos globales en grupos locales (del equipo o del dominio) segn el nivel de acceso que vayan a tener. 3. Asignar permisos y derechos nicamente a estos grupos locales (del equipo o del dominio). En relacin con esto, es importante saber que cuando un ordenador pasa a ser miembro de un dominio, el grupo global Administradores del dominio se incluye automticamente en el grupo local Administradores de dicho ordenador. De igual forma, el grupo global Usuarios del dominio se incluye dentro del grupo local Usuarios. De esta forma, los administradores y usuarios normales del dominio tienen en cada miembro los mismos derechos y permisos que los que tengan ya definidos los administradores y usuarios locales, respectivamente. El administrador local puede, si lo desea, invalidar esta accin automtica, extrayendo posteriormente los grupos globales de los locales. Equipos Como hemos visto, en el Directorio Activo de un dominio se conserva toda la informacin relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directoio recoge tambin una

cuenta de equipo por cada uno de los ordenadores miembro de un dominio. Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, as como un identificador nico y privado que lo identifica unvocamente. Este identificador es anlogo al SID de cada cuenta de usuario, y slo lo conocen los DC s y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede cambiarlo. Windows 2000 puede utilizar distintos protocolos de comunicaciones seguros entre los ordenadores miembro de un dominio y los DCs. Entre ellos los ms importantes son NTLM (el protocolo utilizado por versiones anteriores de Windows NT, que se mantiene por compatibilidad hacia atrs) y Kerberos V5. Kerberos presenta numerosas ventajas respecto a NTLM, pero slo es viable en la prctica si todas las mquinas del dominio son Windows 2000. Estos protocolos se utilizan siempre que informacin relativa a aspectos de seguridad se intercambia entre mquinas 2000 pertenecientes a algn dominio y, en concreto, para autenticar usuarios (como se ha explicado arriba). Unidades Organizativas Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Es decir, es un contenedor de otros objetos, de forma anloga a una carpeta o directorio en un sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., adems de otras unidades organizativas. Es decir, mediante unidades organizativas podemos crear una jerarqua de objetos en el directorio (lo cual se asemeja otra vez a un sistema de archivos tpico de Windows). Los objetos ubicados dentro de una unidad organizativa pueden moverse ms tarde a otra, si fuera necesario. Sin embargo, un objeto no puede copiarse: cada objeto es nico en el directorio, y su existencia es independiente de la unidad organizativa a la que pertenece. Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos

del directorio, agrupndolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten: a. Conseguir una estructuracin lgica de los objetos del directorio, de acuerdo con la organizacin de la empresa (por departamentos o secciones, sedes, delegaciones geogrficas, etc.). Entre otras ventajas, esta organizacin le permite al administrador del dominio una gestin ms lgica de usuarios, grupos, equipos, etc., pero tambin le permite a cualquier usuario una bsqueda de los objetos ms sencilla cuando explora el directorio buscando recursos (por ejemplo, se podra localizar fcilmente las impresoras compartidas del edificio central de la delegacin de Alicante). b. Delegar la administracin. Cada unidad organizativa puede administrarse de forma independiente. En concreto, se puede otorgar la administracin total o parcial de una unidad organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administracin de subconjuntos estancos del dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada. c. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada unidad organizativa pueden vincularse polticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en funcin exclusivamente de la unidad organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de contabilidad para que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica. En muchos sentidos, el concepto de unidad organizativa se puede utilizar en Windows 2000 de la misma forma que se entenda el concepto de

dominio en versiones anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursos administrados independientemente. En realidad, en Windows 2000 el concepto de dominio viene ms bien asociado a la distribucin de los sitios (topologa de red) y a la implementacin de DNS que exista (o quiera crearse) en la empresa. De este modo, en muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (polticas) diferentes.

Comparticin de recursos entre sistemas Windws 2000 Cuando un sistema Windows 2000 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores. En este contexto, slo vamos a considerar como recursos a compartir las carpetas o directorios que existen en un sistema 2000. La comparticin de otros recursos (tales como impresoras, por ejemplo) queda fuera del mbito de este texto. Permisos y derechos Cualquier sistema Windows 2000 puede compartir carpetas, tanto si es un servidor como si es una estacin de trabajo. Para poder compartir una carpeta basta con desplegar su men contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opcin se determina el nombre que tendr el recurso (que no tiene por qu coincidir con el nombre de la propia carpeta), as como qu usuarios van a poder acceder al mismo. En relacin con esto, existe una gran diferencia entre que el directorio resida en una particin FAT y que resida en una NTFS. Si la carpeta reside en una particin FAT, este filtro de acceso ser el nico que determine los usuarios que van a poder acceder al contenido de la carpeta, puesto que no es posible determinar permisos sobre la misma o sus archivos. Es decir, el filtro slo se establece para poder acceder al recurso. Si un usuario tiene permisos suficientes para conectarse a un recurso, tendr acceso sobre todos los archivos y subcarpetas del recurso. Concretamente, el tipo de acceso sobre todos ellos ser el que le permita el permiso sobre el recurso (Lectura, Escritura o Control Total).

Por el contrario, si la carpeta se encuentra en una particin NTFS, sta tendr unos permisos establecidos (as como sus subcarpetas y archivos), al margen de estar o no compartida. En este caso tambin es posible establecer permisos desde la ventana de Compartir..., pero entonces slo los usuarios que puedan pasar ambos filtros podrn acceder a la carpeta compartida y a su contenido. En este caso se recomienda dejar Control Total sobre Todos en los permisos asociados al recurso (opcin por defecto), y controlar quin (y cmo) puede acceder al recurso y a su contenido mediante los permisos asociados a dicha carpeta (y a sus archivos y subcarpetas). Esta recomendacin es muy til, si tenemos en cuenta que de esta forma para cada carpeta (y archivo) del sistema no utilizamos dos grupos de permisos sino uno solo, independientemente de que la carpeta sea o no compartida. Este forma de trabajar obliga al administrador a asociar los permisos correctos a cada objeto del sistema (aunque no est compartido), pero por otra parte se unifica la visin de la seguridad de los archivos, con lo que a la larga resulta ms segura y ms sencilla. Cuando compartimos recursos a otros usuarios en la red (especialmente en un dominio) hay que tener en cuenta no slo los permisos del recurso y su contenido, sino tambin los derechos del ordenador que comparte el recurso. En concreto, si un usuario ha iniciado una sesin interactiva en un ordenador Windows 2000 denominado A, y desea conectarse a un recurso de red que exporta otro Windows 2000 denominado B, adems de poseer suficientes permisos (sobre el recurso, sobre el propio carpeta y sobre su contenido), tiene que tener concedido en B el derecho Acceder a este equipo desde la red. De lo contrario, dicho usuario ni siquiera podr obtener la lista de los recursos que el ordenador A comparte.