¿Qué son y para que sirven los grupos restringidos en Active Directory?

martes, 15 de julio de 2014

En esta ocasión trataré el tema de grupos restringidos en Active Directory, primero voy a explicar qué son y para que nos sirven, luego mostraremos cómo se implementan.
Los grupos restringidos son una configuración que se realiza a través de la directiva de grupo, que permite que hagamos que cualquier grupo de dominio sea miembro de algún grupo local predeterminado en Windows, la ruta donde encontramos esta configuración durante la edición de la GPO es la siguiente:
Computer Configuration\Windows Settings\Security Settings\Restricted Groups

Pero...para qué nos sirve esto y en qué casos nos puede llegar a ser útil?
La respuesta es simple, nos srive para otorgar acceso a servidores y equipos cliente a usuarios normales de dominio, sin que estos cuenten con privilegios especiales dentro de Active Directory.
Expliquemoslo un poco mejor:
Supongamos que en nuestra empresa tenemos un grupo de Help Desk, y los miembros de este grupo son usuarios comunes y corrientes de dominio, es decir sin ningún privilegio especial, y deseamos que este grupo de usuarios tenga acceso administrativo por ejemplo a los equipos cliente, porsupuesto sin necesidad de tener que otorgarles privilegios como administradores de dominio, es en ese momento donde entran en acción los grupos restringidos.
Entonces aclaremos el objetivo, lograr que un grupo de dominio llamado Help Desk tenga privilegios administrativos sobre varias estaciones cliente que se encuentran en una OU llamada Desktop Computers
Teniendo lo anterior presente iniciemos desde la creación de la GPO, la cual llamaremos GPO_RestrictedGroupHelpDesk

La editamos, y expandimos la siguiente ruta: Computer Configuration\Windows Settings\Security Settings\Restricted Groups hacemos clic derecho sobre Restricted Groups y seleccionamos la opción Add group


Y seleccionamos el grupo de dominio que en este caso se llama CONTOSO\HelpDesk


Una vez hagamos clic en el botón OK aparecerá la siguiente ventana, en la cual la mayoría de personas encuentran dificultades en entender cómo funciona.


Observemos que tiene dos parte "Members of this group" y "This group is a member of"
La primera en español significa "Miembros de este grupo" ¿de cuál?, pues el que tenemos en el título de la ventana y elegimos en el paso anterior CONTOSO\HelpDesk, es entonces cuando se puede presentar una confusión, cómo así que los miembros de este grupo, si esos ya existen y actualmente son miembros de ese grupo, pues se trata de mi personal de Help Desk, yo lo que quiero es que ese grupo sea administrador de mis equipos cliente. 
Ah bueno!, si eso es lo que quieres, la opción "Miembros de este grupo" no es la que se necesita, en su lugar debemos utilizar la segunda, que en español significa "Este grupo es miembro de", entonces hacemos clic en el botón Add de la segunda opción y escribimos el grupo en los equipos cliente al cual deseamos que pertenezca, en este caso el grupo  Administrators integrado, la ventana queda de la siguiente forma:

Lo anterior significa: que el grupo de dominio CONTOSO\HelpDesk será miembro del grupo Administrators de los equipos a los cuales se les aplicará la GPO, al ser el grupo HelpDesk miembro del grupo local de administradores, todos los que pertenezcan al grupo de Help Desk tendrán privilegios administrativos sobre las estaciones, es importante tener en cuenta que la opción "This group is a member of" es acumulativa, es decir; si existen otros administradores locales no serán eliminados, y los que definamos simplemente se agregarán a la lista, en este caso el grupo HelpDesk estará junto a los otros grupos que allí se encuentren, por ejemplo el de administradores de dominio y cualquier otro grupo o usuario que haya sido agregado manualmente.
La configuración de la directiva deberá quedar similar a la siguiente:


La segunda opción "Members of this group" define la pertenencia definitiva al grupo y funciona al contrario de la primera opción, es decir, esta vez en el primer paso no elegimos el grupo de dominio sino el grupo integrado predeterminado del cual deseamos configurar su pertenencia, veamos un ejemplo de la primera opción también para el grupo local de administradores.
En esta ocasión en lugar de elegir el grupo de dominio CONTOSO\HelpDesk, eligiremos el grupo predeterminado que queremos controlar, en este caso Administrators, pero también podemos hacerlo con otros grupos predeterminados como Remote Desktop Users o Server Operators.


Al hacer clic se abrirá nuevamente la ventana para seleccionar entre "Miembros de este grupo" o "Este grupo es miembro de"
En esta ocasión si usaremos la primer opción "Miembros de este grupo" a diferencia de la segunda opción, ésta si define la pertenencia final del grupo, es decir; cualquier otro usuario o grupo que exista será eliminado y solo permanecerá el que le indiquemos, que en nuestro caso es CONTOSO\HelpDesk

Lo anterior significa: que el grupo local integrado Administrators tendrá como miembro el grupo de dominio HelpDesk, pero ATENCION, cualquier otro usuario o grupo será eliminado, incluyendo el grupo Domain Admins que siempre hace parte del grupo administradores de todas las máquinas del dominio, la única cuenta que se mantiene es la del Administrador local, lo cual da como resultado que después de aplicada la directiva la pertenecia del grupo Administrators de los equiopos sobre los cuales se aplicará la directiva estará conformado solamente por la cuenta Administrator y el grupo de dominio CONTOSO\HelpDesk
Tengan mucho cuidado con esta segunda opción, ya que se puede dar el caso de que por alguna razón exista alguna cuenta de administrador local que se utilice para algún servicio o aplicación, ya que esta opción elimina cualquier otro miembro diferente a la cuenta administrador integrada.
Al final la configuración debe quedar similar a la siguiente:
Nótese la diferencia con la otra opción:




 Bueno amigos, espero haber logrado dejar un poco más claro este tema, ya que he notado muchas confusiones sobre este tema por parte de los administradores de Active Directory.

2 comentarios:

German Gonzalez dijo...

Muy detallado, excelente articulo

Mauro Tochoy dijo...

Excelente explicación.

 

MVP Award

MVP Award
Microsoft Azure

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es