Saltar a contenido

11. AWS: Servicios de ficheros con AD (SMB/NTFS, GPO, FSRM, DFS)

Objetivo

Implementar un servidor de ficheros en Windows Server unido a AD en AWS, aplicando buenas prácticas de NTFS/compartición, mapeo de unidades con GPO, y explorando opciones como FSRM, DFS y FSx for Windows File Server.

Prerrequisitos

  • Un dominio AD operativo (del laboratorio previo) con DNS y hora correctos.
  • 1 instancia EC2 Windows Server unida al dominio (rol File Server recomendado).
  • Usuario con permisos para crear GPOs y administrar recursos compartidos.
  • Security Group que permita SMB (TCP 445) entre clientes y servidor dentro de la VPC/LAB.

Pasos

1) Preparación del volumen y estructura

  1. Agrega un volumen de datos (EBS) y asígnalo como D:.
  2. Crea las carpetas:
  3. D:\Compartidos\Departamentos\Finanzas
  4. D:\Compartidos\Publico
  5. D:\Compartidos\Intercambio
  6. Habilita Copias de Sombra (VSS) en D:.

2) Permisos NTFS (AGDLP)

  1. Crea grupos en AD:
  2. GG_Finanzas_Lectura, GG_Finanzas_Edicion
  3. DL_Finanzas_Compartido_Lectura, DL_Finanzas_Compartido_Edicion
  4. Anida grupos globales en grupos de dominio local (AGDLP).
  5. Establece NTFS en D:\Compartidos\Departamentos\Finanzas:
  6. Quita heredados innecesarios.
  7. Agrega DL_Finanzas_Compartido_Edicion: Modificar.
  8. Agrega DL_Finanzas_Compartido_Lectura: Lectura.
  9. Evita Denegar salvo necesidad.

3) Compartición SMB y ABE

  1. Comparte D:\Compartidos como \\SRV\Compartidos.
  2. Permisos de compartición:
  3. Opción simple: Authenticated Users: Cambiar, control granular en NTFS.
  4. Activa Access-Based Enumeration (ABE) en el recurso compartido.
  5. Considera SMB signing/encryption según políticas.

4) Mapeo con GPO (Drive Maps)

  1. Crea una GPO para usuarios del departamento:
  2. Preferencias → Windows Settings → Drive Maps → New.
  3. Ruta UNC: \\SRV\Compartidos\Departamentos\Finanzas, letra H:.
  4. Item-level targeting: grupo GG_Finanzas_Edicion (y otra entrada para GG_Finanzas_Lectura).
  5. gpupdate /force en un cliente; valida en gpresult /r y Explorador.

5) FSRM (opcional)

  1. Instala FSRM (Server Manager → Add Roles/Features → File Server Resource Manager).
  2. Configura cuotas (p. ej., 50 GB en Finanzas).
  3. Activa File Screening para bloquear extensiones no deseadas (*.exe en compartidos de usuarios, si aplica).

6) DFS Namespace/Replication (opcional)

  1. Crea un Namespace: \\dominio.local\DFS.
  2. Agrega carpetas de destino: Departamentos/Finanzas apuntando a \\SRV\Compartidos\Departamentos\Finanzas.
  3. Si hay otro servidor en otro sitio, habilita DFS Replication; usa sitios de AD para referencias cercanas.

7) FSx for Windows File Server (alternativa gestionada)

  1. Crea un FSx for Windows File Server unido al dominio.
  2. Configura un share y mapea por GPO igual que con un servidor propio.
  3. Ajusta throughput/IOPS y backups gestionados.

Verificación

  • Acceso efectivo: comprueba que usuarios de edición pueden crear/modificar, y los de lectura solo leer.
  • ABE: usuarios sin permisos no ven carpetas ajenas.
  • gpresult /h reporte.html y visualización en clientes.
  • FSRM: cuota y file screening disparando notificaciones/eventos.
  • DFS: acceso por ruta lógica \\dominio.local\DFS\Departamentos\Finanzas.

Limpieza

  • Quita mapeos GPO de prueba.
  • Elimina grupos si no se siguen usando.
  • Borra shares temporales.

Relación con teoría