Grupos en Active Directory I

sábado, 1 de marzo de 2014

El tema de grupos en Active Directory, siempre ha sido incomprendido por un gran número de personas, esto lo digo basado en mi experiencia con clientes y con alumnos en mis clases sobre este tema. Entonces, lo que pretendo con este artículo es tratar de explicar el tema de la manera más clara y sencilla posible, ojalá lo logre! y si lo logró por favor házmelo saber con un comentario al final de este artículo.
Empezaré haciendo la primer pregunta que siempre hago en mis clases. ¿Cuándo crean un grupo cuál de las siguientes opciones eligen?

Como se aprecia en la imagen anterior, son los valores que por defecto están seleccionados, lo curioso es que la mayoría de personas escriben el nombre del grupo hacen clic en aceptar, y listo!
Pues en realidad funciona, y el objetivo del grupo recién creado se cumple, pero cuando haces una pregunta del tipo ¿qué pasa si lo cambias a Universal o Dominio local?, probablemente ante esta pregunta muchos no saben que responder, y es precisamente ese el objetivo  de este artículo, aclarar cada una de las opciones que tenemos al crear un grupo, y sobre todo comprender claramente la opción que activemos al momento de la creación, pero no solo eso, durante el recorrido hablaré de las mejores prácticas y aclararé cualquier tema relacionado con grupos y su administración.

Permisos basados en grupos 
Una primera e importante recomendación antes de iniciar, es que te acostumbres a otorgar acceso a los recursos basado en grupos de seguridad, es decir, evita al máximo dar permisos a usuarios individuales, ¿por qué?, porque si damos acceso a usuarios y en algún momento del tiempo el usuario se elimina del directorio, observaremos que en los recursos donde otorgamos permisos a este usuario simplemente no desaparece de allí, en lugar de ello veremos su identificador de seguridad o SID, en este momento es cuando hablamos de SID fantasmas, veamos un ejemplo.
1. Damos permisos a un usuario llamado John Smith en una carpeta llamada Documents del disco local C:


2. Pasado el tiempo, John Smith se retira de la organización, por lo cual su cuenta es eliminada del directorio, al volver a la pestaña de seguridad de la carpeta Documents veremos el famoso SID fantasma, seguramente muchos lo han visto, y tal vez otros se habrán preguntado ¿qué será esto? pues ya lo saben.

Para que esto no ocurra, y como buena práctica, siempre otorgemos permisos a grupos en lugar de a usuarios individuales, ya que generalmente los grupos hacen referencia a funciones, por ejemplo, tenemos un grupo llamado Ventas del cual es miembro el usuario John Smith, para los permisos en la carpeta Documents ponemos el grupo Ventas en lugar del usuario John Smith, con ello así eliminemos al usuario John Smith, el grupo Ventas seguirá apareciendo en la pestaña de seguridad, el usuario John Smith al ser eliminado también lo será del grupo Ventas.
Al trabajar de esta forma, se facilitará la administración, ya que no tenemos que andar "depurando" las listas de control de acceso. 
Grupos predeterminados
En Active Directory, existe una serie de grupos predeterminados, es decir, que se crean durante la instalación de los servicios de dominio, y es importante saber cuáles son y donde se encuentran ubicados.
¿Dónde se encuentran esos grupos por defecto?, en los contenedores Builtin y Users


características importantes de estos dos contenedores.
Builtin
los grupos en este contenedor tienen ámbito local ¿recuerdan la introducción a este artículo?, por ahora no hay que preocuparse ya veremos de que se trata este ámbito. El ámbito y tipo de los grupos que se encuentran aquí no se puede cambiar, por ejemplo el grupo Administradores


Como se puede apreciar en la imagen, las opciones Ámbito de grupo y Tipo de grupo se encuentran deshabilitadas.
Ninguno de los grupos de este contenedor se puede eliminar, es más ni siquiera te da la opción, tampoc es posible cambiar el nombre por defecto.
Algunos grupos que podemos encontrar en este contenedor: Administradores, Operadores de copia de seguridad, Opers. de cuentas, Opers. de servidores, Opers. de impresión, Usuarios de escritorio remoto, Invitados.
Users
El contenedor Users tiene grupos de diferentes ámbitos: Dominio local, Global y Universal, también contiene algunas cuentas integradas, como por ejemplo: Administrador, Invitado y krbtgt.
A diferencia del contenedor Builtin, los grupos y cuentas allí existentes sí pueden ser movidos a otro contenedor o Unidad Organizativa.
El ámbito y tipo de grupo en este contenedor tampoco puede ser modificado.
Ninguno de los grupos en este contenedor puede ser eliminado, aunque la opción está habilitada, si intentas hacerlo recibirás el siguiente mensaje:

El nombre predeterminado de los grupos en este contenedor sí es posible cambiarlo, a diferencia del contenedor Builtin, en la siguiente imagen he cambiado el nombre al grupo Admins. del dominio


Algunos grupos que podemos encontrar en este contenedor: Administradores de empresas, Administradores de esquema, Admins. del dominio, Usuarios del dominio.


No hay comentarios:

 

MVP Award

MVP Award
Microsoft Azure

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es