Grupos en Active Directory IV

domingo, 9 de marzo de 2014

Continuando con la serie de artículos dedicados a los grupos en Active Directory, en esta entrega trataremos la estrategia para la creación de grupos, para lo cual recomiendo haber leído las 3 entregas anteriores donde aclaramos conceptos importantes con respecto a los grupos en Active Directory.
Para esta entrega es particularmente importante tener claros los conceptos tratados en los artículos anteriores
En esta entrega revisaremos la estrategia recomendada cuando se trata de trabajar con grupos, si seguimos esta estrategia al pie de la letra, nos encontraremos frente a una estructura solida y escalable de grupos, muchas veces creamos grupos pensando en que las cosas se mantendrán como están, pocas veces pensamos en cosas como qué sucedería si la empresa crece a tal punto de tener muchos usuarios, varias ubicaciones geográficas, varios dominios, y hasta varios bosques, al no tener esto presente creamos los grupos sin pensar en ello, pero si por alguna razón las condiciones de la compañía cambian y llegan por ejemplo fusiones con otras organizaciones o se da la necesidad de crear más dominios, es hasta ese momento que los administradores de la infraestructura de Active Directory entienden que los grupos como fueron creados desde el principio no soportan las necesidades actuales del negocio, y es hasta ese entonces que empiezan a investigar sobre cómo funcionan los grupos en Active Directory, la teoría de esta entrega trata de explicar la estrategia que se debe seguir en cualquier dominio de Active Directory sin importar su tamaño, así tengamos solamente un dominio, así seamos una pyme, debemos siempre tener en mente esta estrategia que refleja además el adecuado diseño de una infraestructura de Active Directory.
La estrategia es conocida como IGDLP (Identidades, Global, Dominio Local, Permisos), estas siglas se utilizan para que sea fácil recordar cómo debemos crear y utilizar los grupos en Active Directory, veamos el ejemplo de cómo se utiliza la estrategia, debemos recordar que significa cada una de las letras de la sigla, empecemos entonces:
Nota: Esta estrategia también es conocida como AGDLP ó UGDLP
1. Debemos coger la primer letra, es decir la (I) que hace referencia a Identidades que pueden ser usuarios, grupos o equipos, en este caso lo haremos con un objeto usuario.
Tenemos nuestro usuario llamado Usuario1, claramente en el mundo real tendrás muchos más usuarios que agregar a los grupos ;-)
2. Pasamos a la segunda letra de la sigla (G), hace referencia a un Grupo Global, lo cual significa que ese usuario que creamos debemos hacerlo miembro de un grupo global, atención con esto tiene que ser global ni Dominio Local o Universal entran aquí, de allí la letra G de la sigla.
Ahora bien, la recomendación es que los grupos globales deben usarse para definir funciones del negocio, es decir; lo ideal es que los grupos globales que utilicemos reciban nombres como: Ventas, Financiera, Ingeniería, Contabilidad, etc.
En ese orden de ideas, nos crearemos un grupo que se llame Ventas (recuerde debe ser Global)

Bien, ahora que hemos creado nuestro grupo Global llamado Ventas, agregaremos nuestro usuario creado en el paso 1 a el grupo recién creado, y la estrategia según sus iniciales va hasta el momento así:
IG nos falta el DLP
Repasemos, tenemos simplemente un usuario como miembro de un grupo global, y el grupo global en su nombre define una función de la empresa

3. Bien, ahora nos vamos con las iniciales DL que significan Dominio Local, lo cual significa que debemos crear un grupo de este tipo.
La recomendación es que los grupos de dominio local según la estrategia se deben usar para otorgar permisos sobre los recursos, por tal razón la forma de nombrarlos debe hacer referencia a lo que pueden hacer sus miembros sobre determinado recurso. Por ejemplo: podemos necesitar un grupo para otorgar acceso de solo lectura a los usuarios del departamento de ventas, por lo cual un nombre apropiado para este grupo podría ser: Ventas_Lectura de ámbito Dominio Local.

Ahora, como sabemos que ese grupo lo usaremos para otorgar acceso de solo lectura al equipo de ventas a cualquier recurso, pues simplemente agregamos el grupo Ventas creado en el paso 2 como miembro del grupo Ventas_Lectura
Y de este modo ya hemos completado la estrategia hasta aquí: IGDL (solo nos falta la P)

4. Bien, ahora vayámonos con la P, ya tenemos nuestro grupo de dominio local, y la recomendación de la estrategia, es que siempre que vayamos a otorgar permisos lo hagamos a través de grupos de dominio local, como el que recién acabamos de crear, en ese orden de ideas vamos a conceder acceso en una carpeta de un servidor, de allí la P de Permisos.

Como se puede apreciar en la imagen anterior, hemos otorgado permisos de solo lectura al grupo Ventas_Lectura sobre una carpeta llamada Documentos de Ventas.
De esta manera hemos completado la estrategia IGDLP.
Tenla siempre en mente a la hora de crear grupos. En resumen tenemos:
  • Siempre crear grupos globales que definan funciones de la empresa
  • Crear grupos de dominio local solamente para dar permisos
  • Los grupos de domino local deben tener como miembros los grupos globales
  • Otorgamos permiso al grupo de dominio local
Ahora bien, la razón de usar un grupo de dominio local para otorgar permisos es que debido a que la pertenencia de este es amplia a nivel del bosque e incluso otros dominios con los que se tenga una relación de confianza, podemos otorgar acceso a usuarios en cualquier lugar, mientras que si llegamos a utilizar por ejemplo un grupo global, según ya vimos su pertenencia es limitada, solamente grupos globales del mismo dominio, esto hace imposible agregar usuarios de otros dominios para otorgar permisos, la siguiente imagen resume gráficamente la estrategia.


Bien, la estrategia hasta aquí funciona siempre y cuando se cuente con un solo dominio, pero si tenemos un bosque con varios dominios la estrategia tendrá un componente adicional, y son los grupos de ámbito universal, y entonces el nombre de la estrategia cambia para dar cavidad a los grupos universales y pasa a llamarse IGUDLP, agregamos simplemente una U, lo cual significa que el grupo Global debemos luego hacerlo miembro de un grupo Universal para que sea visible a través de todo el bosque, ya como lo hemos visto en la segunda entrega.

No hay comentarios:

 

MVP Award

MVP Award
Microsoft Azure

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es