Cambio de direcciones ip y otras

Necesito que me asesoren en lo siguiente:
Hace poco me contrataron para trabajar como administrador de bases de datos y redes. Es mi primera experiencia, la disponibilidad e integridad de los datos es importante para ellos, por eso cualquier error puede ser grave y esa es la razón de mis inquietudes.
La empresa tiene alrededor de 80 equipos, con 1 servidor linux suse 8.3 que provee acceso a internet y al correo externo con sendmail (pronto harán transacciones en linea), dos servidores w2k server, uno servidor de bases de datos con sqlserver 2000 y otro con dns, active directory y servidor de archivos y carpetas.
En primer lugar la red local tiene asignado una red clase C 200.100.50.x/24, hay que cambiarla a direcciones privadas, ejemplo 192.168.20.x/24, me gustaría hacerlo con dhcp, pero nunca lo he hecho.
Por otro lado, me encomendaron darle seguridad a la red, servidores y estaciones de trabajo, para esto tengo que configurar directivas de grupo, diferentes para cada servidor dependiendo de su función, sobre esto quisiera saber que tipo de directivas puedo configurar.
Otra cosa es que en el active directory están todos los usuarios y no todos lo equipos configurados, no están definidos unidades organizativas, a mi me parece que se deberían de configurar para tener mejor control en la administración, además definir grupos de usuario, etc. Sobre esto quisiera saber cual sería la mejor estructura, con grupos de usuarios, grupos de equipos, unidades organizativas, etc. La empresa esta organizada por departamentos, algunos departamentos tienen otras dependencias, otros no. Cada dependencia tiene usuarios, equipos, impresoras, etc. Que diferencia hay entre grupos de seguridad de dominio local, grupos de seguridad global, grupos de distribución de dominio local, grupos de distribución global, grupos de seguridad de dominio universal, grupos de distribución de dominio universal. Que diferencia hay entre compartir carpetas y seguridad en carpetas, como me afectaría la definición de grupos, unidades organizativas con el acceso a las bases de datos sqlserver.
En cuanto al servidor sql, las aplicaciones accesan a las bases de datos a través del superusuario (sa), error grave, se debería de definir inicios de sesión en sql server para cada usuario. Aquí lo que quiero saber es si los usuarios en las estaciones win95/98/milenium pueden tener acceso a la base de datos por medio de su inicio de sesión en red, es decir autenticación windows, o solo pueden hacerlo por medio de un inicio de sesión en sqlserver.
Tengo configurado la oficina de correos msmail para el correo interno, esta usa una carpeta en el servidor para el buzón de correos, mi pregunta es si necesariamente tengo que darle permiso a todos los usuarios con control total a esa carpeta para que funcione.
Quiero hacer las cosas bien, por eso les consulto, no quiero cometer errores graves que pongan en peligro los datos y la disponibilidad de la información.
Respuesta
1
En primer lugar te felicito porque esta bastante bien formulada la pregunta.
Veamos si puedo ayudarte..
Respecto al DHCP... te aconsejo que uses ips fijas.. menos problemas.
Pero si quieres usar DHCP... instalas el servidor de DHCP en cualquiera de los servidores NT y especificas el rango de ips dentro de las cuales quieres colocar a las maquinas cuando le llegue una petición de dhcp al servidor.
Puedes especificar que mantenga la ip que asigno originalmente a una maquina en concreto para que las ips no vayan cambiando continuamente. De esta manera al asignar una ip a un equipo, recordara la MAC de su tarjeta de red y la asociara con esa ip, así siempre que pueda volverá a darle esa ip y ademas se la reservara.
Los equipos al estar registrados en el active directory los tendrás siempre localizados aunque la ip cambie gracias a la resolución de dns.
(Equipo1. Dominio.local, etc..)
No profundizo más ya que esta respuesta puede ser eterna y exactamente no se que partes de la administración de un dominio NT desconoces.
A la hora de hacer grupos.. divídelo por departamentos, cada uno en su sitio y después crea grupos de seguridad para acceso a internet, a carpetas privadas, servicios especiales.. y añade a los usuarios que requieran esos servicios al grupo en cuestión.
La diferencia entre compartir carpetas y seguridad en carpetas reside en que compartir carpetas especifica quien tiene acceso a ese recurso a través de la red y seguridad en carpetas define quien tiene acceso y como a esa carpeta/s ya sea de forma local o a través de la red.
Respecto a la pregunta sobre sql.. puedes especificar que el acceso al servidor de SQL se realice a través de usuario de SQL o con usuarios del dominio ( para mi esta seria la opción más segura ) ya que cada usuario tiene su cuenta y tu controlas quien accede a la base de datos. Y si, los usuarios de win9x podrán acceder de esta manera aunque la validación dependerá de los datos que envíe el programa que utilices contra la base de datos.
Respecto a la pregunta del correo.. desconozco como funciona ese software, si los usuarios forman un mail y directamente lo dejan en esa carpeta y después el servidor lo procesa, lo cual aunque fuese así debería estar separado cada usuario en su carpeta y solo acceso a la misma el propio usuario.
Te recomiendo MDaemon de Rhinosoft un fantástico servidor de correo.
Como consejo general que te daré.. no dejes nada abierto a internet si no es absolutamente necesario y has comprobado que no existe vulnerabilidad para ese servicio.
Antivirus en el servidor de correo para procesar los mails antes de que lleguen a los usuarios.
Antivirus en todas las maquinas, sobre todo servidores.
Política medio-severa en cuanto a contraseñas (alfa-numérica 6 dígitos en el peor peor de los casos) yo utilizo 8 dígitos alfa-numérico+symbolos para servicios accesibles por red como mínimo, porque con acceso físico a la maquina... olvidate, caen todas por complejas que sean y en no demasiado tiempo.
Sobre todo ponte una máxima: Ante la duda NEGARLO TODO. Permite solo aquello que expresamente quieras y necesites permitir, de no ser así, procura que todo este denegado en la red.

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas