[ARTICULO] Active Directory Domain Services | Diseño de Estrategia de Grupos apropiada para el Acceso a Recursos – Parte 1/2

Dependiendo el tamaño de la organización que administramos, el contar o no con una estrategia de grupos para asignar acceso a recursos puede convertirse algo fundamental. En términos generales, en una organización con pocos usuarios (digamos ¿20?), el asignar permisos a usuarios individuales para cada recurso que utilicen puede ser una “opción”. Ahora, cuando pensamos en organizaciones de 100, 500 o 5.000 usuarios ya no resulta muy agradable este procedimiento: ¿se imaginan asignando permisos por usuario?

Aquí es donde comienza a ser importante contar con una adecuada estrategia de grupos para luego asignar accesos a los recursos. Este método nos permite ganar tiempo en la administración y, además, puede resultar un atajo en la resolución de problemas provenientes de la asignación incorrecta de permisos.

En estas dos entregas, veremos cuáles son las estrategias recomendadas para la asignación de permisos en un equipo local, en una organización con “single domain” y en una organización con más de un dominio / bosque. Sin embargo, para cumplir con este objetivo, es necesario que primero recorramos cuáles son los grupos existentes en un ambiente Microsoft Windows, dependiendo del escenario que se presente. En la entrega 1 revisaremos esto.

 

[toc]

 

Introducción

Objetivo y Alcance

Esta publicación tiene como objetivo:

  • Conocer los tipos de grupos existentes en Windows, tanto en un ambiente local como de dominio.
  • Conocer cuáles son las “buenas prácticas” relacionadas a organización de grupos por anidamiento.

 

El alcance de esta publicación es recorreremos las prácticas recomendadas en la estrategia de grupos para la asignación de permisos en Windows Server en los siguientes ambientes:

  • Equipo local.
  • Single Forest / Single Domain.
  • Single Forest / Multiple Domain.
  • Multiple Forest / Multiple Domain.

 

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte de Windows Server y Active Directory Domain Services, o que simplemente están interesados en aprender nuevas cosas.

 

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

 

Desarrollo

Introducción a Estrategias de Grupo para Acceso a Recursos

En un ambiente Microsoft Windows, existen diferentes tipos de grupos disponibles para la utilización. Estos diferentes tipos de grupos variarán si estamos en un ambiente de “workgroup” o en un ambiente de dominio “Active Directory”.

Más allá de las diferencias, los grupos son un elemento fundamental para simplificar la asignación de accesos (permisos) a recursos. Cuando hablamos de “recursos”, no nos referimos solo a carpetas compartidas, sino a todo tipo de recurso. La simplicidad en la utilización de grupos se puede evidenciar de la siguiente manera: es más fácil asignar permisos de acceso a una carpeta “Finanzas” a un grupo llamado “Finanzas”, y agregar o quitar a los usuarios de dicho grupo.

Ahora bien, y tal como comentábamos en la introducción, en un ambiente de pocos usuarios esta diferenciación puede pasar desapercibida. Supongamos una organización con 20 usuarios: ¿cuánto tiempo nos insume agregar a cada usuario a las carpetas que tiene acceso? Seguramente existirán varios lectores a los cuales esta situación les sea cotidiana y, por supuesto, le es efectiva.

Nadie niega que la asignación de permisos individualmente (o por usuario) en una organización funcionarán: ¡por supuesto que lo harán! Sin embargo el problema comienza a aparecer cuando la cantidad de usuarios (y ni hablar de la cantidad de cambios de permisos) comienza a agrandarse. Ni hablar si tenemos un ambiente multi-dominio. En estos escenarios tenemos que pensar en una mejor organización en la asignación de permisos a recursos.

Cuando hablamos de estrategias, tenemos que diferenciar cuatro escenarios básicos:

  • Escenario Workgroup (o grupo de trabajo de Windows).
  • Escenario Single Domain de Active Directory.
  • Escenario Multiple Domain Forest de Active Directory.
  • Escenario Single Domain entre Forest con relación de confianza.

 

Además de diferenciar los escenarios, tenemos que tener en cuenta que existen diferentes tipos de grupos:

  • Grupos “Locales”.
  • Grupos de “Dominio”.

 

Para una mejor organización de este artículo, primero vamos a describir cada uno de los Grupos existentes en ambientes Microsoft Windows, y luego explicaremos las mejores estrategias para cada escenario planteado.

 

Grupos en ambientes Microsoft Windows

Por concepto, un Grupo de Microsoft Windows es una colección de usuarios, computadoras, contactos u otros grupos que pueden ser entendidos como una unidad simple.

Los grupos tienen la posibilidad de simplificar la administración asignando un grupo de permisos y derechos a varias identidades (usuarios ó computadoras) a la vez, en vez de realizarlo individualmente.

Existen, como ya hemos comentado, diferentes tipos de grupos. A estos diferentes tipos de grupos los tendremos disponibles dependiendo del ambiente con el que contemos:

  • En un ambiente de “Workgroup” tendremos solo disponible los “Grupos Locales”.
  • En un ambiente de “Active Directory Domain Services” tendremos disponibles, además de los Grupos Locales, los “Grupos de Dominio”, entre los cuales se encuentran:
    • Grupos “Locales de Dominio” (Domain Local).
    • Grupos “Universales” (Universal Group).
    • Grupos “Globales” (Global Group).

 

Veremos, en las siguientes líneas, una aproximación simple para cada tipo de grupo.

 

Grupos Locales (Workgroup)

Sin Active Directory, los grupos locales son los únicos disponibles en nuestra infraestructura. La carpeta “Groups” que se encuentra en la consola “Local Users and Groups” muestra los grupos existentes. Existen diferentes grupos predeterminados locales, los cuales se pueden analizar en detalle en el siguiente artículo: http://technet.microsoft.com/en-us/library/cc785098(v=ws.10).aspx

Para nuestro artículo, lo único importante que podemos decir de los Grupos Locales es que podemos crear los necesarios para luego asignar permisos locales, sobre el equipo en el cual estamos trabajando solamente.

 

Grupos de Dominio (Active Directory Domain Services)

Los grupos en Active Directory Domain Services nos permiten:

  • Simplificar la administración mediante la asignación de permisos sobre un recurso a una o más identidades.
  • Delegar la administración asignando derechos de administración / acceso a través de Políticas de Grupo.
  • Crear listas de distribución de correo.

 

Los grupos de Active Directory, como vemos, nos permiten realizar diferentes cosas y (principalmente esto se puede evidenciar por el tercer punto referido a listas de distribución de correo) tienen diferentes alcances y tipos. Para este artículo no nos será de importancia esta tercera característica, pero sí es importante diferenciarla.

Veremos muy rápidamente, entonces, dos características de los grupos de Active Directory: su Tipo y su Alcance.

 

Tipos de Grupo en Active Directory (Group Type)

Los grupos, como ya dijimos, son utilizados para tener colecciones de usuarios, computadoras, y otros grupos y verlas como unidades más simples. En Active Directory existen dos tipos de gupos: de distribución y de seguridad.

 

Grupos de Distribución

Estos grupos pueden ser usados sólo por aplicaciones de correo electrónico (por ejemplo Exchange Server) para enviar correos a una colección de usuarios. No pueden ser usados para asignar permisos o controlar el acceso a recursos compartidos. Para esto existen los Grupos de Seguridad.

 

Grupos de Seguridad

Los Grupos de Seguridad también permiten enviar correo a todos sus usuarios integrantes, y además permiten asignar a identidades acceso a recursos. En resumidas cuentas, permiten:

  • Asignar a identidades permisos a recursos.
  • Asignar derechos en Active Directory.
  • Enviar correo a todos sus integrantes.

 

Serán los grupos de seguridad los que, para este artículo, nos sean de importancia.

 

Alcances de Grupos de Active Directory (Group Scope)

Todo grupo tiene un alcance. Este “alcance” identifica si el grupo puede ser aplicado a nivel Dominio de Active Directory o a nivel Bosque, y que tipo de miembros puede incluir. A partir de Windows 2000 nativo existen los siguientes alcances:

  • Universal.
    • Miembros:
      • Identidades de cualquier Dominio dentro del Forest que el grupo recide.
      • Grupos Globales de cualquier Dominio dentro del Forest que el grupo recide.
      • Grupos Universales de cualquier Dominio dentro del Forest que el grupo recide.
    • Se puede utilizar para asignar permisos en:
      • Cualquier Dominio o Bosque.
  • Global.
    • Miembros:
      • Identidades del mismo dominio que el grupo recide.
      • Grupos Globales del mismo Dominio que el grupo recide.
    • Se puede utilizar para asignar permisos en:
      • Cualquier Dominio.
  • Dominio Local
    • Miembros:
      • Identidades de cualquier Dominio.
      • Grupos Globales de cualquier Dominio.
      • Grupos Universales de cualquier Dominio.
      • Grupos de Dominio Local pero solo del mismo Dominio que el grupo recide.
    • Se puede utilizar para asignar permisos en:
      • El mismo Dominio que el grupo recide.

 

Este detalle puede verse en el siguiente cuadro de la URL http://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx :

 

Group Scope en Active Directory Domain Services (nivel de funcionalidad Windows 2000 nativo o superior).
Group Scope en Active Directory Domain Services (nivel de funcionalidad Windows 2000 nativo o superior).

 

Convenciones de Nomenclatura de Grupos

Es importante tener en cuenta convenciones claras para la nomenclatura de los grupos, de modo tal que con solo leer su nombre nos dé un indicio de qué tipo de permisos estamos asignando. Por ejemplo (y vayamos a los ejemplos más básicos) supongamos que nos encontramos con los siguientes nombres de grupo:

  • AdministracionLectura
  • AdministracionEscritura
  • GerenciaEscritura
  • RRHHLectura

 

Suponiendo que “Administración”, “Gerencia” y “RRHH” son carpetas del Fileserver, estos nombres nos indican claramente carpeta y tipo de permiso (lectura ó escritura). La idea es buscar una convención que sea fácil de interpretar y clara al momento de leer, de modo tal que no sea necesario rastrear donde está asignado dicho grupo para rastrear sus permisos.

Ahora bien, la convención de nomenclatura va a depender de la estrategia elegida. ¿Por qué? Supongamos que estamos en un ambiente “Single Domain”: ¿es necesario indicar en el nombre del grupo el nombre de dominio? Seguramente este será un dato adicional que no sumará información relevante y que, quizás, quite visibilidad en la longitud del nombre. En cambio, en un ambiente “Multiple-Domain” puede resultar un dato esencial, dado que pueden existir dos “Administraciones”, una para cada dominio, o dos “Gerencias”.

Por esta razón, la estrategia de nomenclatura será revisada específicamente dentro de la estrategia de grupo para cada escenario. A medida que vayamos recorriendo cada uno, iremos nombrando estrategias que pueden resultar ágiles para la nomenclatura. Por supuesto, esto es flexible y adaptable para cada organización, no es algo rígido.

Por último, es importante indicar que solo serán visibles desde la “gráfica” los primeros 20 caracteres del nombre del grupo. Si bien dicho nombre puede tener más caracteres, será difícil luego visualizarlos sin entrar a los detalles y propiedades del grupo para poder identificar realmente su nombre. Esto es un ítem a tener en cuenta en el momento de decidir la convención de nombres, dado que ser extremadamente expresivo puede resultar un poco incómodo en lo visual.

 

Conclusiones

Hasta aquí hemos revisado las cuáles son y las cacaracterísticas principales de los grupos existentes, dependiendo del escenario, en Microsoft Windows Server. En la próxima parte revisaremos cuáles son las estrategias de grupos para facilitar el control de acceso mediante roles.

 

Referencias y Links

 

 

0 0 votes
Article Rating

Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments