Usuarios y Grupos en redes, Permisos efectivos Primero un poco de teoría https://msdn.microsoft.com/es-es/library/cc758565(v=ws.10).aspx
Unidades organizativas La unidad organizativa es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos, en función de su modelo organizativo. Para obtener más información acerca de la configuración de Directiva de grupo, vea Directiva de grupo (pre-GPMC).
Como se muestra en la ilustración, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas permiten a disminuir el número de dominios necesarios en una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o sólo para una de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Para obtener más información acerca de cómo delegar la autoridad administrativa, vea Delegar la administración. En un entorno de Active Directory, se vinculan los GPO a sitios, dominios o unidades organizativas para asignar valores de configuración de directiva de grupo. Normalmente, se asignan GPO en el nivel de unidad organizativa; por tanto, debe asegurarse de que la estructura de la unidad organizativa admite la estrategia de administración de clientes basada en una directiva de grupo. También puede aplicar algunos valores de configuración de directiva de grupo en el nivel de dominio, por ejemplo las directivas de contraseña. Muy pocos valores de configuración se aplican en el nivel de sitio. Una estructura de unidades organizativas bien diseñada que refleje la estructura administrativa de la organización y aproveche las ventajas de la herencia de GPO simplifica la aplicación de la directiva de grupo. Por ejemplo, una estructura de unidades organizativas bien diseñada puede evitar que se dupliquen determinados objetos GPO, de forma que puede aplicar estos GPO a diferentes partes de la organización. Si es posible, cree unidades organizativas para delegar la autoridad administrativa y facilitar la implementación de la directiva de grupo. El diseño de unidades organizativas requiere equilibrar los requisitos de delegación de derechos administrativos independientes de las necesidades de directiva de grupo, así como la necesidad de determinar el ámbito de aplicación de la directiva de grupo. Las siguientes recomendaciones para el diseño de unidades organizativas solucionan problemas de delegación y determinación del ámbito:
•
Delegación de la autoridad administrativa: Puede crear unidades organizativas en un dominio y delegar el control administrativo de unidades organizativas específicas a usuarios o grupos concretos. La estructura de la unidad organizativa puede verse afectada por los requisitos de delegación de la autoridad administrativa.
•
Aplicación de la directiva de grupo: Piense principalmente en los objetos que desea administrar cuando se plantee el diseño de la estructura de una unidad organizativa. Quizá desee crear una estructura que tenga unidades organizativas organizadas por estaciones de trabajo, servidores y usuarios cerca del nivel superior. Dependiendo del modelo administrativo, puede considerar unidades organizativas basadas geográficamente como secundarias o primarias de otras unidades organizativas, y duplicar la estructura de cada ubicación para evitar la replicación entre diferentes sitios. Agregue unidades organizativas debajo de estas solo si ello hace más clara la aplicación de la directiva de grupo, o si necesita delegar administración por debajo de estos niveles. El uso de una estructura en la que las unidades organizativas contengan objetos homogéneos, como objetos de usuario o de equipo pero no ambos, permite deshabilitar fácilmente esas secciones de un GPO que no sean aplicables a un tipo de objeto concreto. Esta estrategia de diseño de unidades organizativas, que se muestra en la figura 1, reduce la complejidad y agiliza la aplicación de la directiva de grupo. Tenga en cuenta que los GPO vinculados a niveles más altos de la estructura de la unidad organizativa se heredan de forma predeterminada, lo que reduce la necesidad de duplicar objetos GPO o de vincular un GPO a varios contenedores. Cuando diseñe la estructura de Active Directory, las consideraciones más importantes son facilidad de administración y delegación.
Permisos – Permisos Efectivos Trataremos en esta nota de resumir y aclarar algunos conceptos importantes en cuanto se refiere a la aplicación de permisos en ambiente Windows. En esta ocasión no haremos una descripción detallada de cada uno y su uso, ya que sería muy extenso, y nunca se podrían cubrir todos los escenarios, pero sí como para comprender su funcionamiento. Debemos tener en cuenta que existen dos clases de permisos:
• •
Permisos de Seguridad (NTFS) Permisos de Compartido (Share) Dependiendo del tipo de acceso nos afectarán sólo los de Seguridad, o ambos.
Permisos de Seguridad (NTFS) Los permisos de Seguridad nos afectarán siempre, esto es, tanto cuando accedemos remotamente a un equipo, como cuando estamos trabajando localmente en el mismo. Estos permisos residen en el sistema de archivos (File System) y son propios de las unidades con formato NTFS Tienen varias ventajas, entre las que podemos citar:
• • •
Los podemos manejar individualmente por cada carpeta y archivo Hay permisos “standard” que son los de uso más común, y además hay permisos “avanzados”. Los primeros son combinaciones ya hechas de los segundos. Cada permiso tiene la opción específica de Permitir o Denegar Normalmente un usuario pertenece a varios grupos, y cada uno puede tener diferentes permisos sobre un recurso. Inclusive, aunque no recomendado, el propio usuario puede tener permisos. Entonces ¿Cuál es el permiso efectivo (final) de este usuario sobre ese archivo o carpeta? El permiso efectivo de Seguridad, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan) Por ejemplo, si de la pertenencia a un grupo tengo “Permitir Lectura” y de otro grupo “Permitir Escritura”, el permiso efectivo es “Lectura + Escritura”. Pero si por pertenencia a otro grupo obtengo algún “Denegar”, éste será el efectivo
No tener permisos, implica que no se puede acceder, en cambio “Denegar” siempre ganará a los “Permitir”. No tener permisos no resta.
¿Qué sucede con los permisos cuando copiamos un archivo/carpeta? Cuando se copia, se genera un objeto nuevo, el original no se altera. La copia hereda los permisos de la carpeta que lo contiene. Tener en cuenta que la raíz de un disco, es una carpeta.
¿Qué sucede con los permisos cuando movemos un archivo/carpeta? Se pueden producir dos situaciones diferentes depende si se mueve en mismo disco, o entre discos diferentes. Si movemos un archivo/carpeta, dentro del mismo disco (partición o volumen), cambian los permisos heredados, pero se mantienen los permisos específicamente dados sobre el archivo/carpeta En cambio, si movemos un archivo/carpeta, entre discos diferentes, sólo hereda los nuevos permisos, Eso es así, porque el mover entre discos en realidad es “copiar” seguido de “borrar” el original.
Permisos de Compartido (Share) Los Permisos de Compartido, a diferencia de los anteriores, nos afectan únicamente cuando estamos accediendo remotamente (desde otro equipo). No tienen ningún efecto cuando estamos trabajando directamente sobre el equipo. Se aplican únicamente a Carpetas, y será el mismo permiso para todo el contenido de dicha carpeta, y todos los archivos y subcarpetas contenidos en la primera. Además debemos tener en cuenta, que no residen en el Sistema de Archivos, sino que están especificados en el Registro del sistema operativo Además podemos observar que son mucho más “limitados” que los de Seguridad. Igual que en el caso anterior, por pertenencia a grupos podemos recibir diferentes permisos por cada grupo, y análogamente al caso anterior: El permiso efectivo de Compartido, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)
1.
El permiso de lectura permite:
• • • •
ver los nombres de archivos y de subcarpetas
• • •
agregar archivos y subcarpetas
• •
cambiar permisos
recorrer las subcarpetas ver los datos de los archivos ejecutar archivos de programa 2. El permiso de cambio proporciona todos los permisos de lectura, así como: cambiar datos en archivos eliminar subcarpetas y archivos 2. El permiso de control total se aplica de forma predeterminada a los recursos compartidos que se crean. Este permiso se asigna al grupo Todos al compartir un recurso. Proporciona todos los permisos de lectura y de cambio, así como: tomar posesión
Permisos Efectivos Resumiendo, cuando trabajamos localmente, nos afectan sólo los permisos de Seguridad. Pero cuando lo hacemos remotamente nos afectan ambos. Y en este caso ¿cuál va a ser el permiso efectivo (final)? El permiso efectivo (final) va a resultar ser el más restrictivo entre los de Seguridad y los de Compartido Las tablas siguientes detallan los permisos especiales que abarcan los permisos de los archivos y de las carpetas respectivamente.
Permisos diferentes para un usuario o grupo en Seguridad y en Compartir http://freyes.svetlian.com/tips/permisos-seguridad-compartir.htm
Los permisos de la pestaña Seguridad son permisos NTFS que se establecen en la propia carpeta o fichero; afectan a todos los usuarios que accedan a esa carpeta, ya sea desde el equipo que la contiene o desde la red. Los permisos Compartir son permisos que se asignan a una carpeta compartida, no se pueden asignar a los ficheros de forma independiente, y sólo afectan a los usuarios que accedan a través de la red, no a los que accedan desde el propio equipo que comparte la carpeta. En el caso de que tengamos unos permisos diferentes para un usuario o grupo en Seguridad y en Compartir ¿Qué permisos son los que se aplicarán? Se aplicarán aquellos que sean más restrictivos. Veamos en esta tabla el efecto de unos permisos y otros: Permisos establecidos en... Acceso a la carpeta desde... Compartir
Seguridad
Red
El equipo local
Control Total
Sólo lectura
Sólo lectura
Sólo lectura
Sólo lectura
Control total
Sólo lectura
Control total
Lectura/escritura
Sólo lectura
Sólo lectura
Sólo lectura
Sólo lectura
Lectura/escritura
Sólo lectura
Lectura/escritura
Control total
Lectura/escritura
Lectura/escritura
Lectura/escritura
Como se puede ver, suele ser más interesante establecer los permisos más restrictivos en Seguridad, pues el control es absoluto tanto por red como en local.
Ver permisos efectivos de archivos y carpetas https://technet.microsoft.com/es-es/library/cc771586.aspx
Ver permisos efectivos de archivos y carpetas Cuando se crea un archivo o carpeta, Windows asigna permisos predeterminados a ese objeto o el creador puede asignar permisos específicos. El permiso de lectura es el permiso mínimo requerido para ver permisos efectivos. Revise los detalles en la sección "Consideraciones adicionales" de este tema. Para ver permisos efectivos de archivos y carpetas 1. Abra el Explorador de Windows y, a continuación, busque el archivo o la carpeta cuyos permisos efectivos desea ver. 2. Haga clic con el botón secundario en el archivo o carpeta, haga clic en Propiedades y, a continuación, en la ficha Seguridad. 3. Haga clic en Opciones avanzadas, haga clic en Permisos efectivos y, a continuación, en Seleccionar. 4. En Escriba el nombre de objeto a seleccionar (ejemplos), escriba el nombre de un usuario o grupo y, después, haga clic en Aceptar. Las casillas activadas indican los permisos efectivos del usuario o grupo para ese archivo o carpeta. Consideraciones adicionales • Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Explorador de Windows. • Si el objeto especificado concede acceso al grupo Todos, el grupo Usuarios autenticados o el grupo Usuarios locales, los derechos efectivos siempre incluirán estos permisos, excepto cuando el usuario o grupo especificado sea el grupo Anónimo. Esta versión de Windows no incluye los usuarios anónimos en el grupo Todos. • La ficha Permisos efectivos muestra información que se calcula a partir de las entradas de permisos existentes. Por lo tanto, la información presentada en esa página es de sólo lectura y no admite cambiar los permisos de un usuario con la activación o desactivación de las casillas de permisos. • Los permisos sólo están establecidos en unidades formateadas para utilizar NTFS cuando se utiliza la interfaz de usuario de control de acceso. • Los permisos de recurso compartido no son parte del cálculo de permisos efectivos. El acceso a las carpetas compartidas se puede denegar a través de los permisos de recurso compartido incluso cuando el acceso se permite mediante permisos NTFS.
Vamos a realizar unas pruebas con usuarios, grupos y los Permisos Creamos otro usuario más llamado ‘Probatina2’
Ahora vamos a crear dos grupos y vamos a meter al nuevo usuario en los dos grupos
Ahora en el servidor, creamos unas carpetas para poder realizar las pruebas con los usuarios.
PRUEBAS1 (permisos para GRUPO1), PRUEBAS2 (permisos para GRUPO2), PRUEBASGRUPO (permisos para los dos GRUPOS) Antes de todo, compartimos las carpetas. Quitamos los permisos de Todos en las carpetas y metemos el mencionado anteriormente, en cada carpeta un GRUPO y con Control Total
Vemos como ya nos ha replicado en nuestro segundo DC
Ahora desde nuestra máquina W7 incluida en el dominio, vamos a ver el resultado de los permisos sobre las carpetas anteriormente compartidas. Entramos en la máquina W7 con nuestro nuevo usuario creado ‘Probatina2’
Accedemos a la red desde nuestra máquina W7 y vemos las carpetas compartidas
Intentamos crear una nueva carpeta dentro de Pruebas1, no tenemos permisos. Realizamos la misma acción sobre Pruebas2 y vemos que aquí si tenemos permisos para modificar. Comprobamos que lo más restrictivo lo tenemos que poner en Seguridad
La última comprobación la realizamos sobre la carpeta PRUEBASGRUPO, donde tenemos metidos los dos grupos, uno con Control Total y el otro denegando todo. No nos deja ni entrar en la carpeta porque lo más restrictivo siempre es la denegación
Si queremos ver los permisos efectivos de un usuario o grupo, lo podemos hacer en nuestro recurso compartido. Bot贸n derecho compartir y seguridad Pesta帽a Seguridad Opciones avanzadas Permisos efectivos Seleccionar
Cuentas y grupos privilegiados En Active Directory, existen grupos que poseen elevados privilegios a lo largo del bosque y dominio, pero frecuentemente he observado cómo se utilizan estos grupos para cualquier tipo de actividad, no sé en qué momento los administradores empezaron a creer que para hacer ciertas actividades es necesaria una cuenta con privilegios elevados a nivel de dominio, me refiero específicamente a las cuentas pertenecientes a los siguientes grupos: Administradores de empresas, Administradores del dominio, y Administradores. He llegado a ver escenarios donde incluso se usa la cuenta Administrador integrada para unir equipos a un dominio, que es lo que debemos empezar a erradicar a partir de esta serie de artículos de seguridad en Active Directory. GRUPOS CON ALTOS PRIVILEGIOS EN ACTIVE DIRECTORY Administradores de empresas (Enterprise Admins) Este grupo existe solamente en el dominio raíz del bosque, básicamente en el primer dominio que instalemos, y de manera predeterminada es miembro de todos los grupos Administradores en todos los dominios del.bosque, tiene permisos para hacer cambios en todo el bosque, cualquier cambio afecta a todos los dominios en el bosque como por ejemplo la eliminación o adición de dominios, establecimiento de relaciones de confianza, elevación de nivel funcional de bosque. La utilización de este grupo se requiere solamente cuando se van a realizar operaciones como la implementación inicial del bosque, o cuando se va a establecer una relación de confianza con otro bosque, muchos de los permisos que se obtienen con este grupo pueden ser delagados en grupos menos privilegiados. Admins. del dominio (Domain Admins) Este grupo es miembro del grupo Administradores en el dominio, y también es miembro del grupo Administradores de todos los equipos unidos a un dominio, es decir, al momento de unir un equipo al dominio, la cuenta Admins. del dominio se agrega al grupo Administradores local de la máquina unida al dominio, el único usuario que pertenece a este grupo es la cuenta Administrador la cual posee los privilegios más elevados a nivel del dominio, nótese que a diferencia del grupo Administradores de empresas que tiene privilegios a lo largo de todo el bosque, el grupo Admins. del dominio los tiene solo a nivel de dominio, muchos privilegios que tiene este grupo, pueden delegarse, razón por la cual este grupo debería usarse solamente en casos de emergencia, todo depende de la debida delegación de funciones que se implemente. Administradores (Administrators) A este grupo pertenecen los dos grupos vistos anteriormente (Administradores de empresas y Admins. del dominio), el grupo posee elevados privilegios a nivel de controlador de dominio, sin embargo, no posee los mismos privilegios en servidores miembro y en los equipos cliente del dominio, ya que este grupo no hace parte del grupo Administradores local de los equipos del dominio, lo cual si existe con el grupo Admins. del dominio. Con lo anterior hemos visto el objetivo de cada uno de los grupos más privilegiados en Active Directory y sobre los cuales trabajaremos para asegurar nuestro directorio, como podemos observar los elevados privilegios de este grupo hacen que cualquier miembro de éstos pueda tomar el control completo del dominio y bosque, por lo cual debemos enfocarnos en cómo proteger y vigilar la pertenencia a ellos. Ahora, vamos a ver la aparición de un cuarto grupo llamado Administradores de esquema Administradores de esquema (Schema Admins) Este grupo existe solamente en la raíz del bosque, este grupo al igual que Administradores de empresas solo tiene como miembro la cuenta Administrador, se debe agregar un miembro solo en caso que se requiera, ya que el uso de este grupo es muy eventual, solo en casos donde se requiera hacer una modificación del esquema de Active Directory. Por esta razón podemos mantener el grupo sin miembros, y en el caso que se requiera agregamos el miembro temporalmente, una vez finalice la actividad volvemos a retirar el usuario del grupo.
Grupos en Active Directory Empezaré haciendo la primera pregunta. ¿Cuándo crean un grupo cuál de las siguientes opciones eligen?
Como se aprecia en la imagen anterior, son los valores que por defecto están seleccionados, lo curioso es que la mayoría de personas escriben el nombre del grupo hacen clic en aceptar, y listo! Pues en realidad funciona, y el objetivo del grupo recién creado se cumple, pero cuando haces una pregunta del tipo ¿qué pasa si lo cambias a Universal o Dominio local?, probablemente ante esta pregunta muchos no saben que responder, y es precisamente ese el objetivo de este artículo, aclarar cada una de las opciones que tenemos al crear un grupo, y sobre todo comprender claramente la opción que activemos al momento de la creación, pero no solo eso, durante el recorrido hablaré de las mejores prácticas y aclararé cualquier tema relacionado con grupos y su administración.
Permisos basados en grupos Una primera e importante recomendación antes de iniciar, es que te acostumbres a otorgar acceso a los recursos basado en grupos de seguridad, es decir, evita al máximo dar permisos a usuarios individuales, ¿por qué?, porque si damos acceso a usuarios y en algún momento del tiempo el usuario se elimina del directorio, observaremos que en los recursos donde otorgamos permisos a este usuario simplemente no desaparece de allí, en lugar de ello veremos su identificador de seguridad o SID, en este momento es cuando hablamos de SID fantasmas, veamos un ejemplo. 1. Damos permisos a un usuario llamado John Smith en una carpeta llamada Documents del disco local C:
2. Pasado el tiempo, John Smith se retira de la organización, por lo cual su cuenta es eliminada del directorio, al volver a la pestaña de seguridad de la carpeta Documents veremos el famoso SID fantasma, seguramente muchos lo han visto, y tal vez otros se habrán preguntado ¿qué será esto? pues ya lo saben.
Para que esto no ocurra, y como buena práctica, siempre otorgar permisos a grupos en lugar de a usuarios individuales, ya que generalmente los grupos hacen referencia a funciones, por ejemplo, tenemos un grupo llamado Ventas del cual es miembro el usuario John Smith, para los permisos en la carpeta Documents ponemos el grupo Ventas en lugar del usuario John Smith, con ello así eliminemos al usuario John Smith, el grupo Ventas seguirá apareciendo en la pestaña de seguridad, el usuario John Smith al ser eliminado también lo será del grupo Ventas. Al trabajar de esta forma, se facilitará la administración, ya que no tenemos que andar "depurando" las listas de control de acceso. Grupos predeterminados En Active Directory, existe una serie de grupos predeterminados, es decir, que se crean durante la instalación de los servicios de dominio, y es importante saber cuáles son y donde se encuentran ubicados. ¿Dónde se encuentran esos grupos por defecto?, en los contenedores Builtin y Users
características importantes de estos dos contenedores. Builtin los grupos en este contenedor tienen ámbito local ¿recuerdan la introducción a este artículo?, por ahora no hay que preocuparse ya veremos de qué se trata este ámbito. El ámbito y tipo de los grupos que se encuentran aquí no se puede cambiar, por ejemplo el grupo Administradores
Como se puede apreciar en la imagen, las opciones Ámbito de grupo y Tipo de grupo se encuentran deshabilitadas. Ninguno de los grupos de este contenedor se puede eliminar, es más ni siquiera te da la opción, tampoco es posible cambiar el nombre por defecto. Algunos grupos que podemos encontrar en este contenedor: Administradores, Operadores de copia de seguridad, Opers. de cuentas, Opers. de servidores, Opers. de impresión, Usuarios de escritorio remoto, Invitados. Users El contenedor Users tiene grupos de diferentes ámbitos: Dominio local, Global y Universal, también contiene algunas cuentas integradas, como por ejemplo: Administrador, Invitado y krbtgt. A diferencia del contenedor Builtin, los grupos y cuentas allí existentes sí pueden ser movidos a otro contenedor o Unidad Organizativa. El ámbito y tipo de grupo en este contenedor tampoco puede ser modificado. Ninguno de los grupos en este contenedor puede ser eliminado, aunque la opción está habilitada, si intentas hacerlo recibirás el siguiente mensaje:
El nombre predeterminado de los grupos en este contenedor sí es posible cambiarlo, a diferencia del contenedor Builtin, en la siguiente imagen he cambiado el nombre al grupo Admins. del dominio
Algunos grupos que podemos encontrar en este contenedor: Administradores de empresas, Administradores de esquema, Admins. del dominio, Usuarios del dominio. En esta parte vamos a tratar de aclarar las dudas más importantes que surgen con respecto a los grupos en Active Directory Existen cuatro ámbitos de grupo: Local, Dominio local, Global y Universal, los ámbitos de grupo cuentan con unas características dentro de las cuales se enmarca cada uno de los ámbitos de grupo mencionados, mucha atención a ellas, de ello depende en gran parte el entendimiento del tema Replicación: Se trata de dónde es definido el grupo y a cuáles sistemas se puede replicar. Membresía: Se trata de qué tipos de objeto puede tener un grupo como miembros, y por ejemplo si éstos pueden contener miembros de otros dominios. Visibilidad: Como su nombre lo indica, desde dónde puede ser visto el grupo para por ejemplo ser agregado en la lista de control de acceso de algún recurso. Ahora hagamos un análsis de cada uno de los ámbitos de grupo existentes en Windows, teniendo muy en cuenta las características mencionadas. Ámbito local: Replicación: Estos grupos solo existen en la base de datos de cuentas (SAM) en donde fueron definidos, no existen en Active Directory, y no se replican a ningún otro equipo. Membresía: Un grupo local puede contener como miembros los siguientes objetos: · Usuarios, Computadores, grupos globales, o grupos de dominio local
· Usuarios, Computadores y grupos globales de cualquier dominio en el bosque · Usuarios, Computadores y grupos globales de cualquier dominio de confianza · Grupos universales definidos en cualquier dominio del bosque Visibilidad: Un grupo local es visible solamente desde el mismo equipo. Ámbito Dominio Local: Replicación: Un grupo de dominio local es definido en el contexto de nomenclatura del dominio en la base de datos de Active Directory NTDS.dit, el grupo y sus miembros son replicados en todos los controladores de dominio de un dominio Membresía: Un grupo de dominio local puede incluir los siguientes miembros.
· Usuarios, Computadores, grupos globales, u otros grupos de dominio local · Usuarios, Computadores y grupos globales de cualquier dominio en el bosque · Usuarios, Computadores y grupos globales de cualquier dominio de confianza · Grupos universales definidos en cualquier dominio del bosque Visibilidad: Un grupo de dominio local puede ser agregado a cualquier lista de control de acceso de cualquier recurso en cualquier equipo del mismo dominio, estos grupos también pueden ser miembros de otros grupos de dominio local y de grupos locales.
Si observamos detenidamente las características de los gruopos que tienen la palabra "local" vemos que sus características de Replicación y Membresía son las mismas, la única diferencia entre los dos es la visibilidad, dado que la que un grupo Local no puede ser "visto" desde ningún otro lado que no sea nuestra máquina, mientras que el grupo de Dominio local puede ser "visto" desde cualquier equipo del mismo dominio. Ámbito Global: Replicación: Un grupo global es definido en el contexto de nomenclatura del dominio, el grupo incluyendo sus miembros, es replicado a todos los controladores de dominio del mismo dominio. Membresía: Un grupo global puede contener los siguientes miembros:
· Usuarios, Computadores, grupos globales, u otros grupos globales en el mismo dominio Visibilidad: Un grupo global es visible desde todos los equipos miembros del dominio, también por otros dominios en el bosque, así como por cualquier otro bosque externo con el cual se tenga una relación de confianza. Un grupo global puede ser miembro de cualquier grupo de dominio local o universal en el dominio o en el bosque, también puede ser miembro de cualquier grupo de dominio local en un dominio de confianza. En conclusión un grupo global puede ser agregado a la lista de control de acceso de cualquier recurso en el dominio, en el bosque, o en dominios de confianza. Importante: Si observamos con detenimiento un grupo global tiene una membresía limitada solamente grupos globales, pero su Visibilidad es la más amplia ya que es visible desde todos los dominios del bosque y cualquier otro con el que se tenga una relación de confianza. Ámbito Universal: Replicación: Un grupo universal es definido desde un solo dominio en el bosque pero es replicado en el catálogo global, los objetos que se encuentran en el catálogo global son visibles desde cualquier lugar del bosque. Membresía: Un grupo universal puede contener como miembros los siguientes objetos: · Usuarios, grupos globales, y otros grupos universales de cualquier dominio en el bosque Visibilidad: Un grupo universal puede ser visto desde cualquier dominio en el bosque, puede ser miembro de otros grupos universales o de dominio local, este grupo es especialmente útil para otorgar accesos a través de todo el bosque. La siguiente tabla resume todo lo anterior:
Aclarado los ámbitos de grupo en Active Directory, ahora vamos a explicar esa otra parte que aparece cuando creamos un grupo, y se trata del tipo de grupo.
Contamos con dos tipos Seguridad y Distribución la diferencia entre estos dos tipos de grupo es sencilla, cuando elegimos el tipo de grupo "seguridad" significa que podemos usar el grupo creado para asignarle permiso sobre cualquier recurso, mientras que el grupo de distribución es usado solamente como lista de destinatarios para el envío de correo electrónico, los que han trabajado con Exchange ya conocerán este tipo de grupo, sin embargo alguien que no probablemente aún se pregunte la diferencia en estos dos tipos de grupo, sin embargo, es importante tener en cuenta que el hecho de tener un grupo de seguridad no significa que no lo podamos usar como una lista de distribución, pero es una mejor práctica usar un grupo de tipo distribución si sabemos que solo lo usaremos pare ello, es decir; no lo usaremos para otorgar permisos sobre recursos. Veamos un ejemplo puntual de esta diferencia, vamos a crear los dos siguientes grupos con nombres bastante descriptivos.
Ya con estos dos grupos creados intentaremos darle permisos a cada uno en una carpeta de un servidor. Empecemos con el grupo de seguridad.
Como se puede apreciar en la imagen, hemos podido agregar sin ningún problema el grupo Seguridad que es de tipo "seguridad" a la lista de control de acceso de la carpeta C:\Docs Folder Ahora, intentemos lo mismo pero con el grupo de distribución, pero vamos a recibir el siguiente mensaje:
Esto significa que no puede encontrar el grupo de distribución que creamos, con esto podemos entender la clara diferencia entre los dos tipos de grupo. La estrategia recomendada cuando se trata de trabajar con grupos, si seguimos esta estrategia al pie de la letra, nos encontraremos frente a una estructura sólida y escalable de grupos, muchas veces creamos grupos pensando en que las cosas se mantendrán como están, pocas veces pensamos en cosas como qué sucedería si la empresa crece a tal punto de tener muchos usuarios, varias ubicaciones geográficas, varios dominios, y hasta varios bosques, al no tener esto presente creamos los grupos sin pensar en ello, pero si por alguna razón las condiciones de la compañía cambian y llegan por ejemplo fusiones con otras organizaciones o se da la necesidad de crear más dominios, es hasta ese momento que los administradores de la infraestructura de Active Directory entienden que los grupos como fueron creados desde el principio no soportan las necesidades actuales del negocio, y es hasta ese entonces que empiezan a investigar sobre cómo funcionan los grupos en Active Directory, la teoría de esta entrega trata de explicar la estrategia que se debe seguir en cualquier dominio de Active Directory sin importar su tamaño, así tengamos solamente un dominio, así seamos una pyme, debemos siempre tener en mente esta estrategia que refleja además el adecuado diseño de una infraestructura de Active Directory. La estrategia es conocida como IGDLP (Identidades, Global, Dominio Local, Permisos), estas siglas se utilizan para que sea fácil recordar cómo debemos crear y utilizar los grupos en Active Directory, veamos el ejemplo de cómo se utiliza la estrategia, debemos recordar que significa cada una de las letras de la sigla, empecemos entonces: Nota: Esta estrategia también es conocida como AGDLP ó UGDLP 1. Debemos coger la primer letra, es decir la (I) que hace referencia a Identidades que pueden ser usuarios, grupos o equipos, en este caso lo haremos con un objeto usuario.
Tenemos nuestro usuario llamado Usuario1, claramente en el mundo real tendrás muchos más usuarios que agregar a los grupos ;-)
2. Pasamos a la segunda letra de la sigla (G), hace referencia a un Grupo Global, lo cual significa que ese usuario que creamos debemos hacerlo miembro de un grupo global, atención con esto tiene que ser global ni Dominio Local o Universal entran aquí, de allí la letra G de la sigla. Ahora bien, la recomendación es que los grupos globales deben usarse para definir funciones del negocio, es decir; lo ideal es que los grupos globales que utilicemos reciban nombres como: Ventas, Financiera, Ingeniería, Contabilidad, etc. En ese orden de ideas, nos crearemos un grupo que se llame Ventas (recuerde debe ser Global)
Bien, ahora que hemos creado nuestro grupo Global llamado Ventas, agregaremos nuestro usuario creado en el paso 1 a el grupo recién creado, y la estrategia según sus iniciales va hasta el momento así: IG nos falta el DLP Repasemos, tenemos simplemente un usuario como miembro de un grupo global, y el grupo global en su nombre define una función de la empresa
3. Bien, ahora nos vamos con las iniciales DL que significan Dominio Local, lo cual significa que debemos crear un grupo de este tipo. La recomendación es que los grupos de dominio local según la estrategia se deben usar para otorgar permisos sobre los recursos, por tal razón la forma de nombrarlos debe hacer referencia a lo que pueden hacer sus miembros sobre determinado recurso. Por ejemplo: podemos necesitar un grupo para otorgar acceso de solo lectura a los usuarios del departamento de ventas, por lo cual un nombre apropiado para este grupo podría ser: Ventas_Lectura de ámbito Dominio Local.
Ahora, como sabemos que ese grupo lo usaremos para otorgar acceso de solo lectura al equipo de ventas a cualquier recurso, pues simplemente agregamos el grupo Ventas creado en el paso 2 como miembro del grupo Ventas_Lectura Y de este modo ya hemos completado la estrategia hasta aquí: IGDL (solo nos falta la P)
4. Bien, ahora vayámonos con la P, ya tenemos nuestro grupo de dominio local, y la recomendación de la estrategia, es que siempre que vayamos a otorgar permisos lo hagamos a través de grupos de dominio local, como el que recién acabamos de crear, en ese orden de ideas vamos a conceder acceso en una carpeta de un servidor, de allí la P de Permisos.
Como se puede apreciar en la imagen anterior, hemos otorgado permisos de solo lectura al grupo Ventas_Lectura sobre una carpeta llamada Documentos de Ventas. De esta manera hemos completado la estrategia IGDLP. Tenla siempre en mente a la hora de crear grupos. En resumen tenemos:
· Siempre crear grupos globales que definan funciones de la empresa · Crear grupos de dominio local solamente para dar permisos · Los grupos de domino local deben tener como miembros los grupos globales · Otorgamos permiso al grupo de dominio local Ahora bien, la razón de usar un grupo de dominio local para otorgar permisos es que debido a que la pertenencia de este es amplia a nivel del bosque e incluso otros dominios con los que se tenga una relación de confianza, podemos otorgar acceso a usuarios en cualquier lugar, mientras que si llegamos a utilizar por ejemplo un grupo global, según ya vimos su pertenencia es limitada, solamente grupos globales del mismo dominio, esto hace imposible agregar usuarios de otros dominios para otorgar permisos, la siguiente imagen resume gráficamente la estrategia.
Bien, la estrategia hasta aquí funciona siempre y cuando se cuente con un solo dominio, pero si tenemos un bosque con varios dominios la estrategia tendrá un componente adicional, y son los grupos de ámbito universal, y entonces el nombre de la estrategia cambia para dar cavidad a los grupos universales y pasa a llamarse IGUDLP, agregamos simplemente una U, lo cual significa que el grupo Global debemos luego hacerlo miembro de un grupo Universal para que sea visible a través de todo el bosque, ya como lo hemos visto en la segunda entrega. Fuente: http://www.cesarherrada.com/