Estrategias utilizando grupos en un dominio simple.
En inglés lo denominan A G DL P, y sería el anidamiento adecuado.
A = Cuentas de usuario
G = Grupos globales
DL= Grupos de dominio local
P = Permisos
Lo que vendría a decir qué:
Agrupamos a los usuarios en un Grupo Global, y éstos se agrupan en un grupo local de dominio, ya sea uno de los existentes o cualquier otro que hayamos creado nosotros, toda vez que tenemos el anidamiento aplicaríamos los permisos a los recursos, archivos, impresoras, etc... al Grupo Local de Dominio, y no a los grupos globales ni a los usuarios.
Ahora veamos el anidamiento y las diversas estrategias posibles en múltiples dominios.
¿Qué es el anidamiento de grupos?
Al utilizar el anidamiento de grupos lo que haces es hacer a un grupo miembro de otro.
Las opciones dependerán del nivel de funcionalidad del dominio establecido.
E un nivel mixto no se pueden crear grupos de seguridad de ámbito universal.
Un grupo Universal puede contener cuentas de usuario, cuentas de equipo, otros grupos universales y globales de cualquier dominio.
Un grupo global puede contener cuentas de usuario, cuentas de equipo, grupos universales y globales del mismo dominio del grupo global.
Un grupo de dominio local puede contener cuentas de usuario, grupos universales y globales de cualquier dominio. Además pueden contener otros grupos de dominio local del mismo dominio.
Consejo: Minimiza el anidamiento, un sólo nivel de anidamiento es el más efectivo método, porque el seguimiento de los permisos se complica con múltiples niveles.
Estrategias de grupo
Si queremos utilizar grupos de forma efectiva necesitaremos pensar en unas estrategias para aplicarlas a los diferentes ámbitos de grupo. La elección de éstas depende del entorno de
Con A G P , emplazas cuentas de usuarios(A) en grupos globales(G) y les asignas permisos(P) a los grupos globales. La limitación de ésta es que se complica su administración en múltiples dominios. Si los grupos globales de varios dominios requieren los mismos permisos, entonces debes asignarlos a cada grupo global individualmente.
Esta estrategia (A G P) se puede utilizar en bosques de un sólo dominio y pocos usuarios y al que no se añadirán otros dominios.
- Tiene las ventajas de que los grupos no necesitan anidamiento y por tanto la solución de problemas es más fácil, y las cuentas pertenecen a un ámbito de grupo sólo.
- Las desventajas son que cada vez que un usuario se autentica en un recurso, el servidor debe comprobar el grupo global al que pertenece para determinar si el usuario todavía es miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guardá en caché.
Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que damos permisos(P). Una limitación de ésta estrategia es que no podemos asignar permisos a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad según la red va creciendo.
Podemos utilizarla en un bosque donde se cumple lo siguiente:
- Sólo hay un dominio y pocos usuarios.
- Nunca añadirás otros dominios al bosque.
- No hay servidores miembros con Windows NT en el dominio.
Tiene las ventajas de que las cuentas pertenecen a un ámbito de grupo sólo y los grupos no están anidados facilitando la resolución de problemas.
En cambio, el funcionamiento se degrada, porque cada grupo de dominio local tiene demasiados miembros que deben ser autenticados.
A G DL P, aquí emplazamos cuentas de usuario(A) en grupos globales(G), y a éstos en grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizás ofrece mayor flexibilidad para el crecimiento de la red y reduzca el número de veces en que necesitamos configurar permisos.
Podemos utilizarla en un bosque consistente en uno o más dominios y al que añadiremos otros en el futuro.
Cuenta con las ventajas de que los dominios son flexibles y los propietarios de los recursos requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos.
Como desventaja diremos que es una estructura escalonada más compleja en su inicio, pero más fácil de manejar al pasar el tiempo.
A G U DL P, emplazamos cuentas de usuarios(A), en grupos globales(G), estos en grupos Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les asignamos permisos(P).
Dicha estrategia se utilizaría en un bosque con más de un dominio donde los administradores necesitan administración centralizada para muchos grupos globales.
- Sus ventajas serían una flexibilidad a lo largo del bosque y la administración estaría centralizada.
Como desventajas nos encontramos con:
- que los miembros de los grupos universales se almacenan en el catálogo global. (El catálogo global es un DC que almacena una copia de TODOS los objetos del AD en un bosque. El catálogo global almacena copia completa de todos los objetos de AD de su propio dominio y una copia parcial de todos los objetos de los otros dominios del bosque)
- Puede ser necesario añadir más servidores catálogo global.
- Se aumenta la latencia de la replicación de catálogo global, refereido al tiempo que se tarda en replicar cada servidor catálogo global en el bosque.
Hay una desventaja al usar grupos Universales, sólo si estos tienen muchos miembros dinámicos con un tráfico alto de replicación de catálogo global, por los cambios en sus miembros, en un bosque multidominios. Con G U DL P, esto es menor porque los miembros de los grupos universales son relativamente estáticos (esto es, contiene grupos globales, no usuarios individuales).
A G L P, esta estrategia está limitada a los recursos del equipo local.
Puede utilizarse el mismo grupo global en múltiples equipos locales.
Esta estrategia podría usarse si el dominio cumple ciertas características:
- Se ha actualizado desde Windows NT a Windows Server 2003
- Contiene un sólo dominio
- Tiene pocos usuarios
- No se añadirán nunca otros dominios.
- Para mantener estrategia de grupos de Windows NT
- Para mantener centralizada la administración de usuarios y descentralizada la de recursos
Es recomendable en todo caso si hay servidores miembros que ejecutan Windows NT server dentro de un AD de Windows Server 2003.
Las ventajas vienen determinadas por la estrategia de mantener los grupos de NT y los propietarios de los recursos son miembros de cada grupo que necesita acceso.
Las desventajas son que AD no mantiene ningún control, se crean grupos repetidos en los servidores miembro y no puede activarse una administración centralizada.
Como modificar los permisos a los objetos de Active Directory
Podemos Agregar permisos:
Si las características avanzadas no están activadas, en Usuarios y equipos de Active Directory, menú Ver, pulsaremos en Características avanzadas (Advanced Features)
En el árbol de la consola, clic derecho sobre el objeto y seleccionamos propiedades.
En el cuadro de diálogo de propiedades, ficha Seguridad, clic en Agregar.
En el cuadro de diálogo Seleccionar usuarios, equipos, o grupos, escribiremos en el cuadro nombre el nombre del usuario o grupo al que queremos concederle permisos y pulsaremos Aceptar.
Podemos Modificar permisos existentes:
Si las características avanzadas no están activadas, en Usuarios y equipos de Active Directory, menú Ver, pulsaremos en Características avanzadas (Advanced Features)
En el árbol de la consola, clic derecho sobre el objeto y seleccionamos propiedades.
En el cuadro de diálogo de propiedades, ficha Seguridad, en el cuadro de permisos seleccionamos las casillas permitir o negar en cada uno de los permisos que queremos permitir o denegar.
Podemos ver los permisos especiales:
Normalmente los permisos estándar son más que suficientes para la mayor parte de tareas administrativas. Sin embargo, puede necesitarse ver los permisos especiales que constituye un permiso estándar.
Para verlos:
En el cuadro de diálogo de las propiedades del objeto, ficha seguridad, pulsamos en el botón Avanzadas.
En el cuadro de diálogo configuración avanzada de seguridad, de la ficha permisos, pulsamos en la entrada que deseamos ver y pulsamos Editar.
Si queremos ver permisos especiales para atributos específicos, en el diálogo de Entrada de permiso, pulsaremos en la ficha propiedades.
Finalmente podemos modificar la herencia de permisos:
En el cuadro de diálogo de las propiedades del objeto, ficha seguridad, pulsamos en el botón Avanzadas.
En el cuadro de diálogo configuración avanzada de seguridad, de la ficha permisos, pulsamos en la entrada que deseamos ver y pulsamos Editar.
En el diálogo de Entrada de permiso, pulsaremos en la ficha Objeto, en el cuadro Aplica a seleccionamos lo que queremos.