Diseño

Llego tarde a este hilo... pero estoy con mis "compis". Los
pseudo-consultores esos debían haber pasado antes por un "Cofee shop" en
Amsterdam porque vaya globo que llevan...


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Antonio Jose" wrote in message
news:

Buenos días a los dos,

De nuevo gracias por todo.

El caso es que se quiere implementar Exchange 2007 en el Dominio de los
servidores,
pero el tinglado que se puede montar es considerable, ya de por si me
parece
una locura establecer una relación de confianza entre los tres Dominios,
para
colmo la idea es por ejemplo intalar el exchange en este Dominio y los
usuarios en el Dominio usuarios y toda relación que tienen entre ellos es
un
relación de confianza, si falla la relación de confianza imaginaros que
todo
dejaria de funcionar.

La verdad es que me parece una verdadera locura y yo soy unos de los
encargados de montar esa infraestructura y de luego administrarla, creo
que
lo voy a flipara porque sigo sin entender tanta complejidad.

Saludos.

AJ









"Fernando Reyes [MS MVP]" wrote:

No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
grande como para tener que hacer encaje de bolillos y, de hacerlos, no
son
esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
confianza? En todo caso deberían ser dominios dentro del mismo bosque,
pero
aún así es una p*t* locura de administrar (solo el implantar GPOs ya es
un
dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
derechos a acceder a recursos de tres bosques, no con derechos a acceder
a
recursos de un solo bosque y las posibilidades de escalada de privilegios
serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
tráfico de red y tiempo de procesador va ha haber sólo para comprobar
credenciales de usuarios y equipos a la hora de acceder a los recursos de
otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es
algún
documento en concreto o es personal directo de Microsoft o una
subcontrata a
otra consultora? Porque más que un Best-Practices parece un
Worst-Practices -(|:o))

Yo empezaría a buscar otro trabajo para no tener que bregar con esa
locura
que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>
> La infraestructura quedaría de la siguiente manera:
>
>
> trust
> trust
> SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
> (Windows 2008) (Windows 2008) (Windows
> 2008)
>
> De tal manera que en el Dominio Servidores tendría solamente los
> objetos
> relacionados
> con los servidores de la corporación. El Dominio usuarios estaría
> formado
> por los usuarios
> de la corporación o clientes y en el Dominio Worstation estaría
> compuesto
> por todos los pcs de estos usuarios. Cada uno de estos Dominios
> estarían
> relacionados por una relación de confianza bidireccional entre cada uno
> de
> los forests.
>
> De esta manera de pretende que si ocurre algun problema porque alguien
> realize alguna tarea de administración inadecuada por ejemplo en
> usuarios
> no
> afecte a los servidores de la corporación quedando aislados en su
> propio
> Dominio y asi consecutivamente.
>
> El caso es que si os soy sincero yo tampoco lo veo pero por lo visto
> tiene
> todas las papeletas de que se acepte este diseño, además con todo esto
> hay
> que implementar
> Exchange 2007 en la corporación asi que tela.
>
> Se os ocurre otro diseño para proporcionar este aislamiento y conseguir
> la
> esencia del diseño de la muerte , jejeje. Nada de placeholders ni
> childs
> domain, tampoco tener un solo forest y tener tres OUs ya que si se
> fastidia
> un DC afectaria a todo.
>
> Es complicado lo se pero bueno habra que estudiarlo con detenimiento
> no?
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> recomendaciones de NT, donde sí se recomendaban dominios separados
>> para
>> recursos, etc. Pero por experiencia propia te digo que cuando aplicas
>> técnicas de implantación de dominio NT a Active Directory el resultado
>> es
>> muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
>> tocó
>> remodelarlo completamente, pues todo eran problemas; de hecho, hablé
>> posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
>> había
>> montado, que entonces no sabía de Windows 2000, sólo de NT, y que
>> había
>> estudiado un curso en el que vio, según progresaba en la formación,
>> como
>> fue
>> acumulando, uno tras otro, errores de diseño y de concepto.
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Guillermo Delprato [MS-MVP]"
>>
>> escribió en el mensaje de
>> noticias:
>> > Algunas aclaraciones si quieres
>> >
>> > Si es por seguridad, no veo como pueden separar en dominios
>> > diferentes
>> > a
>> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los
>> > usuarios
>> > no
>> > toquen las workstations? ¿que las workstations no autentiquen
>> > usuarios
>> > contra servers?
>> > :-DDDDDDDDDD
>> >
>> > Pídeles a los "consultores" que por lo menos te demuestren que
>> > podrían
>> > estar capacitados. Uno de los elementos para ver si alguien está
>> > capacitado es tener la certificación correspondiente (aunque eso
>> > sólo
>> > no
>> > alcanza), por lo menos MCSE en Windows 2003.
>> >
>> > Si están certificados por Microsoft lo pueden demostrar fácilmente.
>> > Todos
>> > los certificados por Microsoft tenemos un "Transcript" en un sitio
>> > seguro
>> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> > verifiques sus certificaciones y exámenes aprobados
>> >
>> >
>> > Guillermo Delprato
>> > MVP - MCT - MCSE
>> > Buenos Aires, Argentina
>> > http://w2k8-server.spaces.live.com
>> >
>> > Este mensaje se proporciona "como está" sin garantías de ninguna
>> > clase,
>> > ni
>> > otorga ningún derecho. Ud. asume los riesgos.
>> > This posting is provide "as is" with no warranties and confers no
>> > rights.
>> > You assume all risk for your use.
>> > _____________________
>> >
>> >
>> > "Antonio Jose" wrote in
>> > message
>> > news:
>> >> Buenas tardes Guillermo,
>> >>
>> >> Ante todo gracias por anticipado.
>> >>
>> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que se
>> >> ha
>> >> recomendado
>> >> de esta manera para aislar cada uno de los Dominios como método de
>> >> seguridad
>> >> y por
>> >> política de empresa, además ya te digo que los consultores de
>> >> Microsoft
>> >> recomendaron
>> >> esta infraestructura.
>> >>
>> >> No obstante yo tambien soy esceptico con todo esto como dicen que
>> >> "el
>> >> movimiento se
>> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> experiencias
>> >> con este
>> >> tipo de entorno,
>> >>
>> >> Gracias por tú interes, y saludos para Argentina.
>> >>
>> >> AJ
>> >>
>> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >>
>> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>> >>> certificación que lo acredite?
>> >>>
>> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>> >>> pueda
>> >>> ocurrir :-)
>> >>>
>> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>> >>> servidores :-DDDD
>> >>>
>> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>> >>> dominio,
>> >>> ya que si existira un limitador este sería el mismo de todo el
>> >>> bosque
>> >>> (el
>> >>> GC)
>> >>>
>> >>> Tomando el tema en serio ahora, busca una "consultoría seria". Los
>> >>> elementos
>> >>> que justifican un ambiente de varios dominios son pocos y muy
>> >>> puntuales.
>> >>> Y
>> >>> un ambiente de varios Forests/Bosques mucho menos todavía.
>> >>> Cualquier configuración complicada lo único que hará será
>> >>> complicar
>> >>> la
>> >>> administración, bajar la seguridad, y aumentar costos de todo tipo
>> >>>
>> >>>
>> >>> Guillermo Delprato
>> >>> MVP - MCT - MCSE
>> >>> Buenos Aires, Argentina
>> >>> http://w2k8-server.spaces.live.com
>> >>>
>> >>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> >>> clase,
>> >>> ni
>> >>> otorga ningún derecho. Ud. asume los riesgos.
>> >>> This posting is provide "as is" with no warranties and confers no
>> >>> rights.
>> >>> You assume all risk for your use.
>> >>> _____________________
>> >>>
>> >>>
>> >>> "Antonio Jose" wrote in
>> >>> message
>> >>> news:
>> >>> > Buenas tardes Fernando,
>> >>> >
>> >>> > Gracias de nuevo por tu ayuda te estoy muy agradecido.
>> >>> >
>> >>> > La verdad es que tu explicación me ha aclarado muchas cosas y
>> >>> > estoy
>> >>> > totalmente
>> >>> > deacuerdo contigo. Segun me comenta mi compañero este diseño lo
>> >>> > recomendaron
>> >>> > unos técnicos de Microsoft. Creo que se elijió este diseño por
>> >>> > temas
>> >>> > de
>> >>> > seguridad corporativa, pero aun asi estoy de acuerdo contigo que
>> >>> > es
>> >>> > una
>> >>> > locura, entonces tu crees que apesar del número tal alto de
>> >>> > usuarios ,
>> >>> > objetos,.. sería una buena solución implementar un solo Dominio
>> >>> > que
>> >>> > se
>> >>> > divida
>> >>> > a su vez en tres OUs una para workstations, otra para servidores
>> >>> > y
>> >>> > otra
>> >>> > para
>> >>> > usuarios no?
>> >>> >
>> >>> > Muchas gracias por tu ayuda y saludos.
>> >>> >
>> >>> > AJ
>> >>> >
>> >>> >
>> >>> > "Fernando Reyes [MS MVP]" wrote:
>> >>> >
>> >>> >> Tampoco tiene sentido lo del placeholder y los dominios hijos.
>> >>> >>
>> >>> >> La verdad ¿de dónde se han sacado esa recomendación? Es una
>> >>> >> auténtica
>> >>> >> locura
>> >>> >> y técnicamente no tiene sentido, pues los usuarios y los
>> >>> >> equipos
>> >>> >> pertenecen
>> >>> >> a dominios que existen gracias a servidores. Un dominio de 5000
>> >>> >> usuarios
>> >>> >> en
>> >>> >> sí, no justifica el no ser un único dominio. Ser varios
>> >>> >> dominios
>> >>> >> sólo
>> >>> >> se
>> >>> >> justifica por motivos de tener diferentes entornos de
>> >>> >> seguridad,
>> >>> >> recursos,
>> >>> >> diferenciaciones, geográficas etc,, y aún así se puede obtener
>> >>> >> el
>> >>> >> mismo
>> >>> >> resultado con un único dominio haciendo una estructura de OUs y
>> >>> >> delegando
>> >>> >> la
>> >>> >> administración, lo que rebaja la complejidad de la
>> >>> >> administración
>> >>> >> y
>> >>> >> la
>> >>> >> configuración. Montar un Placeholder sólo se justifica si los
>> >>> >> dominios
>> >>> >> hijos
>> >>> >> van a compartir servicios que sean dados por el dominio raíz.
>> >>> >> Pero
>> >>> >> lo
>> >>> >> que
>> >>> >> es
>> >>> >> un absurdo completo es pretender tener en un dominio las
>> >>> >> cuentas
>> >>> >> de
>> >>> >> usuario,
>> >>> >> en otro las de workstations y en otro los servidores, sean
>> >>> >> estos
>> >>> >> dominios
>> >>> >> del mismo o de otro bosque.
>> >>> >>

Buenos días a los tres,

Os estoy muy agradecido por vuestros consejos y la ayuda prestada :>

El caso es que he estado indagando el porqué de este tinglado y ocurre lo
siguiente
en esta empresa es de vital importancia el desarrollo, pruebas de
programadores con
aplicaciones corporativas y todo este tema ya sabeis.

Pues bien resulta que la infraestructura que hay que montar tiene que servir
para estos
desarrolladores y a su vez agarraros bien ejjee, para el trabajo diario de
todos los de la
oficina, es decir la misma infraestructura va a ser utilizada tanto para los
desarrolladores como para los técnicos, por este motivo se quieren montar 3
dominios uno para las workstations, otro para servidores y otro para
usuarios.

Si un desarrollador tiene que tener acceso a cualquier servidor que es a su
vez producción y desarrollo y asi no limitar su trabajo , toca algo y la caga
la caga en el Dominio servidores y asi no afecta a los otros dos. Todo esto
conlleva que en cualquier Dominio toca la gente de desarrollo y nosotros los
administradores.

Pero esperar que hay más, aparte hay que implementar una infraestructura
para el Exchange 2007 que sirva tanto para pruebas es decir desarrollo y para
producción el trabajo diario, asi que es un tinglado de no te menees.

Se os ocurre alguna infraestructura que pueda satisfacer estas necesidades
que sirva para tocar por igual a desarrollo y a nosotros producción quedando
todos contentos?.

A mi particularmente se me ocure un solo forest y crear OUs y delegaciones
una para desarrollo y otra para producción, no sé tengo un cacao de flipar
ejejejeje!

Agradezco vuestras propuestas y opiniones al respecto ya que eso de los tres
dominios no me mola tiene que existir otra combinación no?, eso si esto es
para nota desde luego jeejje :>

Saludos.

AJ


"Fernando Reyes [MS MVP]" wrote:

Como te decía Guillermo, Exchange 2007 requiere que los buzones sean de
usuario DEL MISMO BOSQUE, por lo que cada vez que un usuario sea dado de
alta en el dominio de usuario, tendrá que ser dado de alta también en el
dominio de servidores, por lo que esa "estructura" (no creo ni que merezca
ese nombre) no se justifica porque se quiera implantar Exchange 2007.

Recurriendo a una expresión muy de moda "la van a liar parda". -(|:oÞ

En serio, si te va tocar administrar eso, búscate otro curro o cómprate un
camión de ALMAX y otro Valium (y cuidado, lo mismo acabas teniendo que
comprarte también un camión de V 1 @ G R @) -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> De nuevo gracias por todo.
>
> El caso es que se quiere implementar Exchange 2007 en el Dominio de los
> servidores,
> pero el tinglado que se puede montar es considerable, ya de por si me
> parece
> una locura establecer una relación de confianza entre los tres Dominios,
> para
> colmo la idea es por ejemplo intalar el exchange en este Dominio y los
> usuarios en el Dominio usuarios y toda relación que tienen entre ellos es
> un
> relación de confianza, si falla la relación de confianza imaginaros que
> todo
> dejaria de funcionar.
>
> La verdad es que me parece una verdadera locura y yo soy unos de los
> encargados de montar esa infraestructura y de luego administrarla, creo
> que
> lo voy a flipara porque sigo sin entender tanta complejidad.
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
>> estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
>> grande como para tener que hacer encaje de bolillos y, de hacerlos, no
>> son
>> esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
>> confianza? En todo caso deberían ser dominios dentro del mismo bosque,
>> pero
>> aún así es una p*t* locura de administrar (solo el implantar GPOs ya es
>> un
>> dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
>> derechos a acceder a recursos de tres bosques, no con derechos a acceder
>> a
>> recursos de un solo bosque y las posibilidades de escalada de privilegios
>> serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
>> tráfico de red y tiempo de procesador va ha haber sólo para comprobar
>> credenciales de usuarios y equipos a la hora de acceder a los recursos de
>> otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
>> recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es
>> algún
>> documento en concreto o es personal directo de Microsoft o una
>> subcontrata a
>> otra consultora? Porque más que un Best-Practices parece un
>> Worst-Practices -(|:o))
>>
>> Yo empezaría a buscar otro trabajo para no tener que bregar con esa
>> locura
>> que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Antonio Jose" escribió en el
>> mensaje de noticias:
>> > Buenos días a los dos,
>> >
>> > Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>> >
>> > La infraestructura quedaría de la siguiente manera:
>> >
>> >
>> > trust
>> > trust
>> > SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
>> > (Windows 2008) (Windows 2008) (Windows
>> > 2008)
>> >
>> > De tal manera que en el Dominio Servidores tendría solamente los
>> > objetos
>> > relacionados
>> > con los servidores de la corporación. El Dominio usuarios estaría
>> > formado
>> > por los usuarios
>> > de la corporación o clientes y en el Dominio Worstation estaría
>> > compuesto
>> > por todos los pcs de estos usuarios. Cada uno de estos Dominios
>> > estarían
>> > relacionados por una relación de confianza bidireccional entre cada uno
>> > de
>> > los forests.
>> >
>> > De esta manera de pretende que si ocurre algun problema porque alguien
>> > realize alguna tarea de administración inadecuada por ejemplo en
>> > usuarios
>> > no
>> > afecte a los servidores de la corporación quedando aislados en su
>> > propio
>> > Dominio y asi consecutivamente.
>> >
>> > El caso es que si os soy sincero yo tampoco lo veo pero por lo visto
>> > tiene
>> > todas las papeletas de que se acepte este diseño, además con todo esto
>> > hay
>> > que implementar
>> > Exchange 2007 en la corporación asi que tela.
>> >
>> > Se os ocurre otro diseño para proporcionar este aislamiento y conseguir
>> > la
>> > esencia del diseño de la muerte , jejeje. Nada de placeholders ni
>> > childs
>> > domain, tampoco tener un solo forest y tener tres OUs ya que si se
>> > fastidia
>> > un DC afectaria a todo.
>> >
>> > Es complicado lo se pero bueno habra que estudiarlo con detenimiento
>> > no?
>> >
>> > Saludos.
>> >
>> > AJ
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> > "Fernando Reyes [MS MVP]" wrote:
>> >
>> >> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> >> recomendaciones de NT, donde sí se recomendaban dominios separados
>> >> para
>> >> recursos, etc. Pero por experiencia propia te digo que cuando aplicas
>> >> técnicas de implantación de dominio NT a Active Directory el resultado
>> >> es
>> >> muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
>> >> tocó
>> >> remodelarlo completamente, pues todo eran problemas; de hecho, hablé
>> >> posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
>> >> había
>> >> montado, que entonces no sabía de Windows 2000, sólo de NT, y que
>> >> había
>> >> estudiado un curso en el que vio, según progresaba en la formación,
>> >> como
>> >> fue
>> >> acumulando, uno tras otro, errores de diseño y de concepto.
>> >>
>> >>
>> >> Un saludo
>> >> Fernando Reyes [MS MVP]
>> >> MCSE Windows 2000 / 2003
>> >> MCSA Windows Server 2003
>> >> http://freyes.svetlian.com
>> >> http://urpiano.wordpress.com
>> >> RSS: http://urpiano.wordpress.com/feed
>> >> freyes.champú@champú.mvps.org
>> >> (Aclárate la cabeza si quieres escribirme)
>> >>
>> >>
>> >> "Guillermo Delprato [MS-MVP]"
>> >>
>> >> escribió en el mensaje de
>> >> noticias:
>> >> > Algunas aclaraciones si quieres
>> >> >
>> >> > Si es por seguridad, no veo como pueden separar en dominios
>> >> > diferentes
>> >> > a
>> >> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los
>> >> > usuarios
>> >> > no
>> >> > toquen las workstations? ¿que las workstations no autentiquen
>> >> > usuarios
>> >> > contra servers?
>> >> > :-DDDDDDDDDD
>> >> >
>> >> > Pídeles a los "consultores" que por lo menos te demuestren que
>> >> > podrían
>> >> > estar capacitados. Uno de los elementos para ver si alguien está
>> >> > capacitado es tener la certificación correspondiente (aunque eso
>> >> > sólo
>> >> > no
>> >> > alcanza), por lo menos MCSE en Windows 2003.
>> >> >
>> >> > Si están certificados por Microsoft lo pueden demostrar fácilmente.
>> >> > Todos
>> >> > los certificados por Microsoft tenemos un "Transcript" en un sitio
>> >> > seguro
>> >> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> >> > verifiques sus certificaciones y exámenes aprobados
>> >> >
>> >> >
>> >> > Guillermo Delprato
>> >> > MVP - MCT - MCSE
>> >> > Buenos Aires, Argentina
>> >> > http://w2k8-server.spaces.live.com
>> >> >
>> >> > Este mensaje se proporciona "como está" sin garantías de ninguna
>> >> > clase,
>> >> > ni
>> >> > otorga ningún derecho. Ud. asume los riesgos.
>> >> > This posting is provide "as is" with no warranties and confers no
>> >> > rights.
>> >> > You assume all risk for your use.
>> >> > _____________________
>> >> >
>> >> >
>> >> > "Antonio Jose" wrote in
>> >> > message
>> >> > news:
>> >> >> Buenas tardes Guillermo,
>> >> >>
>> >> >> Ante todo gracias por anticipado.
>> >> >>
>> >> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que se
>> >> >> ha
>> >> >> recomendado
>> >> >> de esta manera para aislar cada uno de los Dominios como método de
>> >> >> seguridad
>> >> >> y por
>> >> >> política de empresa, además ya te digo que los consultores de
>> >> >> Microsoft
>> >> >> recomendaron
>> >> >> esta infraestructura.
>> >> >>
>> >> >> No obstante yo tambien soy esceptico con todo esto como dicen que
>> >> >> "el
>> >> >> movimiento se
>> >> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> >> experiencias
>> >> >> con este
>> >> >> tipo de entorno,
>> >> >>
>> >> >> Gracias por tú interes, y saludos para Argentina.
>> >> >>
>> >> >> AJ
>> >> >>
>> >> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >> >>
>> >> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>> >> >>> certificación que lo acredite?
>> >> >>>
>> >> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>> >> >>> pueda
>> >> >>> ocurrir :-)
>> >> >>>
>> >> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>> >> >>> servidores :-DDDD
>> >> >>>
>> >> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>> >> >>> dominio,
>> >> >>> ya que si existira un limitador este sería el mismo de todo el
>> >> >>> bosque
>> >> >>> (el
>> >> >>> GC)

Qué bárbaros, esa es una fumada mental, es como el siguiente chiste que víe
en un artículo:

"Hola Bob, tengo una pregunta sobre mi nuevo ordenador; Quiero grabar una
cinta de video de tv cable y enviarla por fax de mi VCR al CD-ROM después
enviarla por E-mail al celular de mi hermano pra que pueda copiarla después
a las videocámaras de sus vecinos"

Eso es lo que estás queriendo hacer con lo que comentas, un dominio por
definisión lleva los tres elementos, Servidores, al menos el DC, Usuarios y
equipos, tal vez puedas dejar de lado los equipos pero es un absurdo pensar
en un dominio sin esos tres elementos, de otra forma mejor sólo instala
windows Stand alone y te ahorras lo que debes aprender de un dominio de
Windows. Si además quieres instalar Exchange, entonces imposible pensar en
un stand alone, deberá ser un dominio con los tres elementos. Dominios
separados, sólo que sean tres empresas diferentes pero cada dominio debe
llevar los tres elementos que te comento.

Qué te parece si te compras un buen libro de Windows Server, Active
directory, Exchange Server, tal vez dentro de unos meses lo comprendas. Pero
bueno, antes de hacer cualquier cosa, realiza un laboratorio con Virtual PC
e intenta hacer lo que te proponen, eso no te lleva más que un rato darte
cuenta que no es posible y simple administrativamente, que te lo demuestren.

Saludos.

"Antonio Jose" escribió en el
mensaje de noticias
news:

Buenos días,

Ante todo gracias por anticipado.

Tengo que diseñar una infraestructura que tendra más de 5000 usuarios,
la idea es crear un dominio para los servidores, otro para los usuarios y
otro
para las worstations. El caso es que a primera instancia se ha planteado
diseñar tres forest distintos con una relación de confianza entre ellos
porque
por lo visto mejora el rendimiento, desde mi punto de vista me convence
más
diseñar un placeholder y luego tres child domains, uno para servidores,
otro
para las worstations y otro para los usuarios.

Me gustaria saber vuestra opinión acerca de que infraestructura me
recomendais
a mi particularmente la de tener 3 dominios distintos no me convence, pero
por
lo visto por temas de rendimiento microsoft la aconseja.

Saludos.

AJ

¿No habeis oído hablar de la virtualización? Que los desarrolladores
desarrollen en máquinas virtuales.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:

Buenos días a los tres,

Os estoy muy agradecido por vuestros consejos y la ayuda prestada :>

El caso es que he estado indagando el porqué de este tinglado y ocurre lo
siguiente
en esta empresa es de vital importancia el desarrollo, pruebas de
programadores con
aplicaciones corporativas y todo este tema ya sabeis.

Pues bien resulta que la infraestructura que hay que montar tiene que
servir
para estos
desarrolladores y a su vez agarraros bien ejjee, para el trabajo diario de
todos los de la
oficina, es decir la misma infraestructura va a ser utilizada tanto para
los
desarrolladores como para los técnicos, por este motivo se quieren montar
3
dominios uno para las workstations, otro para servidores y otro para
usuarios.

Si un desarrollador tiene que tener acceso a cualquier servidor que es a
su
vez producción y desarrollo y asi no limitar su trabajo , toca algo y la
caga
la caga en el Dominio servidores y asi no afecta a los otros dos. Todo
esto
conlleva que en cualquier Dominio toca la gente de desarrollo y nosotros
los
administradores.

Pero esperar que hay más, aparte hay que implementar una infraestructura
para el Exchange 2007 que sirva tanto para pruebas es decir desarrollo y
para
producción el trabajo diario, asi que es un tinglado de no te menees.

Se os ocurre alguna infraestructura que pueda satisfacer estas necesidades
que sirva para tocar por igual a desarrollo y a nosotros producción
quedando
todos contentos?.

A mi particularmente se me ocure un solo forest y crear OUs y delegaciones
una para desarrollo y otra para producción, no sé tengo un cacao de flipar
ejejejeje!

Agradezco vuestras propuestas y opiniones al respecto ya que eso de los
tres
dominios no me mola tiene que existir otra combinación no?, eso si esto es
para nota desde luego jeejje :>

Saludos.

AJ


"Fernando Reyes [MS MVP]" wrote:

Como te decía Guillermo, Exchange 2007 requiere que los buzones sean de
usuario DEL MISMO BOSQUE, por lo que cada vez que un usuario sea dado de
alta en el dominio de usuario, tendrá que ser dado de alta también en el
dominio de servidores, por lo que esa "estructura" (no creo ni que
merezca
ese nombre) no se justifica porque se quiera implantar Exchange 2007.

Recurriendo a una expresión muy de moda "la van a liar parda". -(|:oÞ

En serio, si te va tocar administrar eso, búscate otro curro o cómprate
un
camión de ALMAX y otro Valium (y cuidado, lo mismo acabas teniendo que
comprarte también un camión de V 1 @ G R @) -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> De nuevo gracias por todo.
>
> El caso es que se quiere implementar Exchange 2007 en el Dominio de los
> servidores,
> pero el tinglado que se puede montar es considerable, ya de por si me
> parece
> una locura establecer una relación de confianza entre los tres
> Dominios,
> para
> colmo la idea es por ejemplo intalar el exchange en este Dominio y los
> usuarios en el Dominio usuarios y toda relación que tienen entre ellos
> es
> un
> relación de confianza, si falla la relación de confianza imaginaros que
> todo
> dejaria de funcionar.
>
> La verdad es que me parece una verdadera locura y yo soy unos de los
> encargados de montar esa infraestructura y de luego administrarla, creo
> que
> lo voy a flipara porque sigo sin entender tanta complejidad.
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si
>> se
>> estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio
>> tan
>> grande como para tener que hacer encaje de bolillos y, de hacerlos, no
>> son
>> esos encajes lo que se deben hacer. ¿bosques separados con relaciones
>> de
>> confianza? En todo caso deberían ser dominios dentro del mismo bosque,
>> pero
>> aún así es una p*t* locura de administrar (solo el implantar GPOs ya
>> es
>> un
>> dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
>> derechos a acceder a recursos de tres bosques, no con derechos a
>> acceder
>> a
>> recursos de un solo bosque y las posibilidades de escalada de
>> privilegios
>> serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
>> tráfico de red y tiempo de procesador va ha haber sólo para comprobar
>> credenciales de usuarios y equipos a la hora de acceder a los recursos
>> de
>> otro de los bosques! De verdad, sigo intrigado con lo que dices de que
>> lo
>> recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es
>> algún
>> documento en concreto o es personal directo de Microsoft o una
>> subcontrata a
>> otra consultora? Porque más que un Best-Practices parece un
>> Worst-Practices -(|:o))
>>
>> Yo empezaría a buscar otro trabajo para no tener que bregar con esa
>> locura
>> que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Antonio Jose" escribió en el
>> mensaje de
>> noticias:
>> > Buenos días a los dos,
>> >
>> > Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>> >
>> > La infraestructura quedaría de la siguiente manera:
>> >
>> >
>> > trust
>> > trust
>> > SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
>> > (Windows 2008) (Windows 2008) (Windows
>> > 2008)
>> >
>> > De tal manera que en el Dominio Servidores tendría solamente los
>> > objetos
>> > relacionados
>> > con los servidores de la corporación. El Dominio usuarios estaría
>> > formado
>> > por los usuarios
>> > de la corporación o clientes y en el Dominio Worstation estaría
>> > compuesto
>> > por todos los pcs de estos usuarios. Cada uno de estos Dominios
>> > estarían
>> > relacionados por una relación de confianza bidireccional entre cada
>> > uno
>> > de
>> > los forests.
>> >
>> > De esta manera de pretende que si ocurre algun problema porque
>> > alguien
>> > realize alguna tarea de administración inadecuada por ejemplo en
>> > usuarios
>> > no
>> > afecte a los servidores de la corporación quedando aislados en su
>> > propio
>> > Dominio y asi consecutivamente.
>> >
>> > El caso es que si os soy sincero yo tampoco lo veo pero por lo visto
>> > tiene
>> > todas las papeletas de que se acepte este diseño, además con todo
>> > esto
>> > hay
>> > que implementar
>> > Exchange 2007 en la corporación asi que tela.
>> >
>> > Se os ocurre otro diseño para proporcionar este aislamiento y
>> > conseguir
>> > la
>> > esencia del diseño de la muerte , jejeje. Nada de placeholders ni
>> > childs
>> > domain, tampoco tener un solo forest y tener tres OUs ya que si se
>> > fastidia
>> > un DC afectaria a todo.
>> >
>> > Es complicado lo se pero bueno habra que estudiarlo con detenimiento
>> > no?
>> >
>> > Saludos.
>> >
>> > AJ
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> > "Fernando Reyes [MS MVP]" wrote:
>> >
>> >> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> >> recomendaciones de NT, donde sí se recomendaban dominios separados
>> >> para
>> >> recursos, etc. Pero por experiencia propia te digo que cuando
>> >> aplicas
>> >> técnicas de implantación de dominio NT a Active Directory el
>> >> resultado
>> >> es
>> >> muy malo. A mí en su día me tocó "heredar" un dominio así montado y
>> >> me
>> >> tocó
>> >> remodelarlo completamente, pues todo eran problemas; de hecho,
>> >> hablé
>> >> posteriormente con la persona que lo montó y me dijo que vaya
>> >> c*g*d*
>> >> había
>> >> montado, que entonces no sabía de Windows 2000, sólo de NT, y que
>> >> había
>> >> estudiado un curso en el que vio, según progresaba en la formación,
>> >> como
>> >> fue
>> >> acumulando, uno tras otro, errores de diseño y de concepto.
>> >>
>> >>
>> >> Un saludo
>> >> Fernando Reyes [MS MVP]
>> >> MCSE Windows 2000 / 2003
>> >> MCSA Windows Server 2003
>> >> http://freyes.svetlian.com
>> >> http://urpiano.wordpress.com
>> >> RSS: http://urpiano.wordpress.com/feed
>> >> freyes.champú@champú.mvps.org
>> >> (Aclárate la cabeza si quieres escribirme)
>> >>
>> >>
>> >> "Guillermo Delprato [MS-MVP]"
>> >>
>> >> escribió en el mensaje de
>> >> noticias:
>> >> > Algunas aclaraciones si quieres
>> >> >
>> >> > Si es por seguridad, no veo como pueden separar en dominios
>> >> > diferentes
>> >> > a
>> >> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los
>> >> > usuarios
>> >> > no
>> >> > toquen las workstations? ¿que las workstations no autentiquen
>> >> > usuarios
>> >> > contra servers?
>> >> > :-DDDDDDDDDD
>> >> >
>> >> > Pídeles a los "consultores" que por lo menos te demuestren que
>> >> > podrían
>> >> > estar capacitados. Uno de los elementos para ver si alguien está
>> >> > capacitado es tener la certificación correspondiente (aunque eso
>> >> > sólo
>> >> > no
>> >> > alcanza), por lo menos MCSE en Windows 2003.
>> >> >
>> >> > Si están certificados por Microsoft lo pueden demostrar
>> >> > fácilmente.
>> >> > Todos
>> >> > los certificados por Microsoft tenemos un "Transcript" en un
>> >> > sitio
>> >> > seguro
>> >> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> >> > verifiques sus certificaciones y exámenes aprobados
>> >> >
>> >> >
>> >> > Guillermo Delprato
>> >> > MVP - MCT - MCSE
>> >> > Buenos Aires, Argentina
>> >> > http://w2k8-server.spaces.live.com
>> >> >
>> >> > Este mensaje se proporciona "como está" sin garantías de ninguna
>> >> > clase,
>> >> > ni
>> >> > otorga ningún derecho. Ud. asume los riesgos.
>> >> > This posting is provide "as is" with no warranties and confers no
>> >> > rights.
>> >> > You assume all risk for your use.
>> >> > _____________________
>> >> >
>> >> >
>> >> > "Antonio Jose" wrote in
>> >> > message
>> >> > news:
>> >> >> Buenas tardes Guillermo,
>> >> >>
>> >> >> Ante todo gracias por anticipado.
>> >> >>
>> >> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que
>> >> >> se
>> >> >> ha
>> >> >> recomendado
>> >> >> de esta manera para aislar cada uno de los Dominios como método
>> >> >> de
>> >> >> seguridad
>> >> >> y por
>> >> >> política de empresa, además ya te digo que los consultores de
>> >> >> Microsoft
>> >> >> recomendaron
>> >> >> esta infraestructura.
>> >> >>
>> >> >> No obstante yo tambien soy esceptico con todo esto como dicen
>> >> >> que
>> >> >> "el
>> >> >> movimiento se
>> >> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> >> experiencias
>> >> >> con este
>> >> >> tipo de entorno,
>> >> >>
>> >> >> Gracias por tú interes, y saludos para Argentina.
>> >> >>
>> >> >> AJ
>> >> >>
>> >> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >> >>
>> >> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft?
>> >> >>> ¿alguna
>> >> >>> certificación que lo acredite?
>> >> >>>
>> >> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se
>> >> >>> te
>> >> >>> pueda
>> >> >>> ocurrir :-)
>> >> >>>
>> >> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y
>> >> >>> no
>> >> >>> servidores :-DDDD
>> >> >>>
>> >> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de
>> >> >>> un
>> >> >>> dominio,
>> >> >>> ya que si existira un limitador este sería el mismo de todo el
>> >> >>> bosque
>> >> >>> (el
>> >> >>> GC)

Buenas tardes de nuevo gracias a los tres.

El caso es que para los desarrolladores si que teniamos pensado que
trabajaran con máquinas virtuales configuradas con la nueva opción que existe
en Windows Server 2008.

La dificultada está en diseñar la infraestructura idonea para estas
peticiones ya que exista 1 Dominio o más van a ser utilizados por los
administradores y técnicos (producción) como por los desarrolladores, los
desarrolladores van a tener que entrar en cada uno de los servidores para
realizar la pruebas correspondientes, por eso se hace incapié en crear tres
forest distintos através de una relacion de confianza entre ellos.

Creo que tiene que existir otra infraestructura para conseguir este objetivo
pero como ya os digo es de nota, ya que no es nada fácil pensar la
infraestructura idonea.

Saludos.

AJ


"Fernando Reyes [MS MVP]" wrote:

Como te decía Guillermo, Exchange 2007 requiere que los buzones sean de
usuario DEL MISMO BOSQUE, por lo que cada vez que un usuario sea dado de
alta en el dominio de usuario, tendrá que ser dado de alta también en el
dominio de servidores, por lo que esa "estructura" (no creo ni que merezca
ese nombre) no se justifica porque se quiera implantar Exchange 2007.

Recurriendo a una expresión muy de moda "la van a liar parda". -(|:oÞ

En serio, si te va tocar administrar eso, búscate otro curro o cómprate un
camión de ALMAX y otro Valium (y cuidado, lo mismo acabas teniendo que
comprarte también un camión de V 1 @ G R @) -(|:oÞ


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"Antonio Jose" escribió en el
mensaje de noticias:
> Buenos días a los dos,
>
> De nuevo gracias por todo.
>
> El caso es que se quiere implementar Exchange 2007 en el Dominio de los
> servidores,
> pero el tinglado que se puede montar es considerable, ya de por si me
> parece
> una locura establecer una relación de confianza entre los tres Dominios,
> para
> colmo la idea es por ejemplo intalar el exchange en este Dominio y los
> usuarios en el Dominio usuarios y toda relación que tienen entre ellos es
> un
> relación de confianza, si falla la relación de confianza imaginaros que
> todo
> dejaria de funcionar.
>
> La verdad es que me parece una verdadera locura y yo soy unos de los
> encargados de montar esa infraestructura y de luego administrarla, creo
> que
> lo voy a flipara porque sigo sin entender tanta complejidad.
>
> Saludos.
>
> AJ
>
>
>
>
>
>
>
>
>
> "Fernando Reyes [MS MVP]" wrote:
>
>> No sé quién ha decidido eso, pero me parece una locura ¿Qué más da si se
>> estropea un DC si se tiene más de uno? 5000 usuarios no es un dominio tan
>> grande como para tener que hacer encaje de bolillos y, de hacerlos, no
>> son
>> esos encajes lo que se deben hacer. ¿bosques separados con relaciones de
>> confianza? En todo caso deberían ser dominios dentro del mismo bosque,
>> pero
>> aún así es una p*t* locura de administrar (solo el implantar GPOs ya es
>> un
>> dolor de muelas), de hacer que sea seguro (al final habrá usuarios con
>> derechos a acceder a recursos de tres bosques, no con derechos a acceder
>> a
>> recursos de un solo bosque y las posibilidades de escalada de privilegios
>> serán mayores). Luego es gracioso el tema del rendimiento ¡menudo
>> tráfico de red y tiempo de procesador va ha haber sólo para comprobar
>> credenciales de usuarios y equipos a la hora de acceder a los recursos de
>> otro de los bosques! De verdad, sigo intrigado con lo que dices de que lo
>> recomienda Microsoft, porque me parece un despropósito mayúsculo ¿es
>> algún
>> documento en concreto o es personal directo de Microsoft o una
>> subcontrata a
>> otra consultora? Porque más que un Best-Practices parece un
>> Worst-Practices -(|:o))
>>
>> Yo empezaría a buscar otro trabajo para no tener que bregar con esa
>> locura
>> que se va hacer, y que sea otro el que se coma ese marrón -(|:oÞ
>>
>>
>> Un saludo
>> Fernando Reyes [MS MVP]
>> MCSE Windows 2000 / 2003
>> MCSA Windows Server 2003
>> http://freyes.svetlian.com
>> http://urpiano.wordpress.com
>> RSS: http://urpiano.wordpress.com/feed
>> freyes.champú@champú.mvps.org
>> (Aclárate la cabeza si quieres escribirme)
>>
>>
>> "Antonio Jose" escribió en el
>> mensaje de noticias:
>> > Buenos días a los dos,
>> >
>> > Gracias Fernando y gracias Guillermo por vuestras recomendaciones.
>> >
>> > La infraestructura quedaría de la siguiente manera:
>> >
>> >
>> > trust
>> > trust
>> > SERVIDORES.LOCAL<-->USUARIOS.LOCAL<-->WORKSTATION.LOCAL
>> > (Windows 2008) (Windows 2008) (Windows
>> > 2008)
>> >
>> > De tal manera que en el Dominio Servidores tendría solamente los
>> > objetos
>> > relacionados
>> > con los servidores de la corporación. El Dominio usuarios estaría
>> > formado
>> > por los usuarios
>> > de la corporación o clientes y en el Dominio Worstation estaría
>> > compuesto
>> > por todos los pcs de estos usuarios. Cada uno de estos Dominios
>> > estarían
>> > relacionados por una relación de confianza bidireccional entre cada uno
>> > de
>> > los forests.
>> >
>> > De esta manera de pretende que si ocurre algun problema porque alguien
>> > realize alguna tarea de administración inadecuada por ejemplo en
>> > usuarios
>> > no
>> > afecte a los servidores de la corporación quedando aislados en su
>> > propio
>> > Dominio y asi consecutivamente.
>> >
>> > El caso es que si os soy sincero yo tampoco lo veo pero por lo visto
>> > tiene
>> > todas las papeletas de que se acepte este diseño, además con todo esto
>> > hay
>> > que implementar
>> > Exchange 2007 en la corporación asi que tela.
>> >
>> > Se os ocurre otro diseño para proporcionar este aislamiento y conseguir
>> > la
>> > esencia del diseño de la muerte , jejeje. Nada de placeholders ni
>> > childs
>> > domain, tampoco tener un solo forest y tener tres OUs ya que si se
>> > fastidia
>> > un DC afectaria a todo.
>> >
>> > Es complicado lo se pero bueno habra que estudiarlo con detenimiento
>> > no?
>> >
>> > Saludos.
>> >
>> > AJ
>> >
>> >
>> >
>> >
>> >
>> >
>> >
>> > "Fernando Reyes [MS MVP]" wrote:
>> >
>> >> La verdad, este tema huele a recomendaciones "rancias", es decir,
>> >> recomendaciones de NT, donde sí se recomendaban dominios separados
>> >> para
>> >> recursos, etc. Pero por experiencia propia te digo que cuando aplicas
>> >> técnicas de implantación de dominio NT a Active Directory el resultado
>> >> es
>> >> muy malo. A mí en su día me tocó "heredar" un dominio así montado y me
>> >> tocó
>> >> remodelarlo completamente, pues todo eran problemas; de hecho, hablé
>> >> posteriormente con la persona que lo montó y me dijo que vaya c*g*d*
>> >> había
>> >> montado, que entonces no sabía de Windows 2000, sólo de NT, y que
>> >> había
>> >> estudiado un curso en el que vio, según progresaba en la formación,
>> >> como
>> >> fue
>> >> acumulando, uno tras otro, errores de diseño y de concepto.
>> >>
>> >>
>> >> Un saludo
>> >> Fernando Reyes [MS MVP]
>> >> MCSE Windows 2000 / 2003
>> >> MCSA Windows Server 2003
>> >> http://freyes.svetlian.com
>> >> http://urpiano.wordpress.com
>> >> RSS: http://urpiano.wordpress.com/feed
>> >> freyes.champú@champú.mvps.org
>> >> (Aclárate la cabeza si quieres escribirme)
>> >>
>> >>
>> >> "Guillermo Delprato [MS-MVP]"
>> >>
>> >> escribió en el mensaje de
>> >> noticias:
>> >> > Algunas aclaraciones si quieres
>> >> >
>> >> > Si es por seguridad, no veo como pueden separar en dominios
>> >> > diferentes
>> >> > a
>> >> > Usuarios, Workstations y Servers ¿qué piensan hacer? ¿que los
>> >> > usuarios
>> >> > no
>> >> > toquen las workstations? ¿que las workstations no autentiquen
>> >> > usuarios
>> >> > contra servers?
>> >> > :-DDDDDDDDDD
>> >> >
>> >> > Pídeles a los "consultores" que por lo menos te demuestren que
>> >> > podrían
>> >> > estar capacitados. Uno de los elementos para ver si alguien está
>> >> > capacitado es tener la certificación correspondiente (aunque eso
>> >> > sólo
>> >> > no
>> >> > alcanza), por lo menos MCSE en Windows 2003.
>> >> >
>> >> > Si están certificados por Microsoft lo pueden demostrar fácilmente.
>> >> > Todos
>> >> > los certificados por Microsoft tenemos un "Transcript" en un sitio
>> >> > seguro
>> >> > del propio Microsoft, y te pueden dar un "sharing code" para que
>> >> > verifiques sus certificaciones y exámenes aprobados
>> >> >
>> >> >
>> >> > Guillermo Delprato
>> >> > MVP - MCT - MCSE
>> >> > Buenos Aires, Argentina
>> >> > http://w2k8-server.spaces.live.com
>> >> >
>> >> > Este mensaje se proporciona "como está" sin garantías de ninguna
>> >> > clase,
>> >> > ni
>> >> > otorga ningún derecho. Ud. asume los riesgos.
>> >> > This posting is provide "as is" with no warranties and confers no
>> >> > rights.
>> >> > You assume all risk for your use.
>> >> > _____________________
>> >> >
>> >> >
>> >> > "Antonio Jose" wrote in
>> >> > message
>> >> > news:
>> >> >> Buenas tardes Guillermo,
>> >> >>
>> >> >> Ante todo gracias por anticipado.
>> >> >>
>> >> >> Estoy completamente deacuerdo contigo en todo, lo que pasa que se
>> >> >> ha
>> >> >> recomendado
>> >> >> de esta manera para aislar cada uno de los Dominios como método de
>> >> >> seguridad
>> >> >> y por
>> >> >> política de empresa, además ya te digo que los consultores de
>> >> >> Microsoft
>> >> >> recomendaron
>> >> >> esta infraestructura.
>> >> >>
>> >> >> No obstante yo tambien soy esceptico con todo esto como dicen que
>> >> >> "el
>> >> >> movimiento se
>> >> >> demuestra andando" no tendré ningun reparo en ir contando mis
>> >> >> experiencias
>> >> >> con este
>> >> >> tipo de entorno,
>> >> >>
>> >> >> Gracias por tú interes, y saludos para Argentina.
>> >> >>
>> >> >> AJ
>> >> >>
>> >> >> "Guillermo Delprato [MS-MVP]" wrote:
>> >> >>
>> >> >>> Ningún "técnico de Microsoft" puede haberte recomendado eso
>> >> >>> ¿Técnico de Microsoft de dónde? ¿de la propia Microsoft? ¿alguna
>> >> >>> certificación que lo acredite?
>> >> >>>
>> >> >>> Ese diseño, si se puede llamar así, es lo anti-seguridad que se te
>> >> >>> pueda
>> >> >>> ocurrir :-)
>> >> >>>
>> >> >>> Además quisiera saber cómo armar un dominio sólo con usuarios y no
>> >> >>> servidores :-DDDD
>> >> >>>
>> >> >>> Ni aún 5 millones de usuarios de por sí justifican tener más de un
>> >> >>> dominio,
>> >> >>> ya que si existira un limitador este sería el mismo de todo el
>> >> >>> bosque
>> >> >>> (el
>> >> >>> GC)