ESTRATEGIAS UTILIZANDO GRUPOS

ndice de contenido
1.Estrategias utilizando grupos en un dominio simple.............................................................................1 2.mbito de grupo / technet.microsoft.com.............................................................................................4 Cundo utilizar grupos con mbito local de dominio..........................................................................5 Cundo utilizar grupos con mbito global...........................................................................................5 Cundo utilizar grupos con mbito universal......................................................................................6 Cambiar el mbito de un grupo............................................................................................................6 Grupos en equipos clientes y en servidores independientes................................................................6 3.Grfico resumen.....................................................................................................................................7 4.Poltica de creacin de grupos en un DC...............................................................................................8 Cundo utilizar grupos con mbito local de dominio..........................................................................8 Cundo utilizar grupos con mbito global...........................................................................................8 Cundo utilizar grupos con mbito universal......................................................................................8

1.

Estrategias utilizando grupos en un dominio simple.

En ingls lo denominan A G DL P A = Users Accounts G = Global Groups DL= Domain Local Groups P = Permissions Lo que vendra a decir qu: Agrupamos a los usuarios en u n Grupo Global, y stos se agrupan en un grupo local de dominio, ya sea uno de los existentes o cualquier otro que hayamos creado nosotros, toda vez que tenemos el anidamiento aplicaramos los permisos a los recursos, archivos, impresoras, etc... al Grupo Local de Dominio, y no a los grupos globales ni a los usuarios. Ahora veamos el anidamiento y las diversas estrategias posibles en mltiples dominios. Qu es el anidamiento de grupos? Al utilizar el anidamiento de grupos lo que haces es hacer a un grupo miembro de otro. Las opciones dependern del nivel de funcionalidad del dominio establecido. En un nivel mixto no se pueden crear grupos de seguridad de mbito universal. Un grupo Universal puede contener cuentas de usuario, cuentas de equipo, otros grupos universales y globales de cualquier dominio. Un grupo global puede contener cuentas de usuario, cuentas de equipo, grupos universales y globales del mismo dominio del grupo global. Un grupo de dominio local puede contener cuentas de usuario, grupos universales y globales de cualquier dominio. Adems pueden contener otros grupos de dominio local del mismo dominio.

Consejo: Minimiza el anidamiento, un slo nivel de anidamiento es el mtodo ms efectivo,

porque el seguimiento de los permisos se complica con mltiples niveles. Estrategias de grupo Si queremos utilizar grupos de forma efectiva necesitaremos pensar en unas estrategias para aplicarlas a los diferentes mbitos de grupo. La eleccin de stas depende del entorno de la Red Windows de tu empresa. En un dominio simple, la practica ms comn es utilizar grupos globales y de dominio local para asignar permisos a los recursos de la red. En entornos de mltiples dominios, se pueden aadir grupos globales y universales en la estrategia. ---------------------------------------------------------A G P , se agregan las cuentas de usuarios(A) en grupos globales(G) y les asignas permisos(P) a los grupos globales. Limitacin: se complica su administracin en mltiples dominios. Si los grupos globales de varios dominios requieren los mismos permisos, entonces debes asignarlos a cada grupo global individualmente. Esta estrategia (A G P) se puede utilizar en bosques de un slo dominio y pocos usuarios y al que no se aadirn otros dominios. Ventajas: los grupos no necesitan anidamiento y por tanto la solucin de problemas es ms fcil, y las cuentas pertenecen a un mbito de grupo slo. Desventajas: cada vez que un usuario se autentica en un recurso, el servidor debe comprobar el grupo global al que pertenece para determinar si el usuario todava es miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guarda en cach. Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que damos permisos(P). Una limitacin de sta estrategia es que no podemos asignar permisos a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad segn la red va creciendo. Podemos utilizarla en un bosque donde se cumple lo siguiente: - Slo hay un dominio y pocos usuarios. - Nunca aadirs otros dominios al bosque. - No hay servidores miembros con Windows NT en el dominio. Ventajas: las cuentas pertenecen a un mbito de grupo slo y los grupos no estn anidados facilitando la resolucin de problemas. Desventajas: el funcionamiento se degrada, porque cada grupo de dominio local tiene demasiados miembros que deben ser autenticados. A G DL P, aqu agregamos cuentas de usuario(A) en grupos globales(G), y a stos en grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizs ofrece mayor flexibilidad para el crecimiento de la red y reduzca el nmero de veces en que necesitamos configurar permisos. Podemos utilizarla en un bosque consistente en uno o ms dominios y al que aadiremos otros en el futuro. Ventajas: los dominios son flexibles y los propietarios de los recursos requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos. Desventajas: es una estructura escalonada ms compleja en su inicio, pero ms fcil de manejar al pasar el tiempo. A G U DL P, agregamos cuentas de usuarios(A), en grupos globales(G), estos en grupos

Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les asignamos permisos(P). Dicha estrategia se utilizara en un bosque con ms de un dominio donde los administradores necesitan administracin centralizada para muchos grupos globales. Ventajas: flexibilidad a lo largo del bosque y la administracin estara centralizada. (Los grupos de dominio local no deberan usarse para asignar permisos a objetos de AD en un bosque con ms de un dominio. Desventajas: * Los miembros de los grupos universales se almacenan en el catlogo global. (El catlogo global es un DC que almacena una copia de TODOS los objetos del AD en un bosque. El catlogo global almacena copia completa de todos los objetos de AD de su propio dominio y una copia parcial de todos los objetos de los otros dominios del bosque) * Puede ser necesario aadir ms servidores catlogo global. * Se aumenta la latencia de la replicacin de catlogo global, refererido al tiempo que se tarda en replicar cada servidor catlogo global en el bosque. Hay una desventaja al usar grupos Universales, slo si estos tienen muchos miembros dinmicos con un trfico alto de replicacin de catlogo global, por los cambios en sus miembros, en un bosque multidominios. Con G U DL P, esto es menor porque los miembros de los grupos universales son relativamente estticos (esto es, contiene grupos globales, no usuarios individuales). A G L P, esta estrategia est limitada a los recursos del equipo local. Puede utilizarse el mismo grupo global en mltiples equipos locales. Esta estrategia podra usarse si el dominio cumple ciertas caractersticas: - Se ha actualizado desde Windows NT a Windows Server 2003 - Contiene un slo dominio - Tiene pocos usuarios - No se aadirn nunca otros dominios. - Para mantener estrategia de grupos de Windows NT - Para mantener centralizada la administracin de usuarios y descentralizada la de recursos Fuente: http://msmvps.com/blogs/juansa/archive/2005/12/20/79522.aspx

2.

mbito de grupo / technet.microsoft.com

Fuente: http://technet.microsoft.com/es-es/library/cc755692%28WS.10%29.aspx

Cualquier grupo, ya sea un grupo de seguridad o un grupo de distribucin, se caracterizan por tener un mbito que identifica el alcance de aplicacin del grupo en el rbol de dominios o en el bosque. El lmite, o el alcance, de un mbito de grupo tambin est determinado por la configuracin de nivel funcional de dominio del dominio en el que se encuentra. Existen tres mbitos de grupo: universal, global y dominio local. En la tabla siguiente se describen las diferencias entre los mbitos de cada grupo.

mbito de El grupo puede incluir como grupo miembros

Al grupo se le pueden asignar permisos en

El mbito de grupo se puede convertir a

Universal

Las cuentas de cualquier dominio del bosque en el que se encuentra este grupo universal Los grupos globales de cualquier dominio del bosque en el que se Cualquier dominio o bosque encuentra este grupo universal Los grupos universales de cualquier dominio del bosque en el que se encuentra este grupo universal Las cuentas del mismo dominio que el grupo global principal Los grupos globales del mismo dominio que el grupo global principal Cuentas de cualquier dominio Grupos globales de cualquier dominio Grupos universales de cualquier dominio Grupos locales de dominio pero slo del mismo dominio que el grupo local

Dominio local Global (siempre que no exista otro grupo universal como miembro)

Global

Los permisos de miembro se pueden asignar en cualquier dominio

Universal (siempre que no sea miembro de otro grupo global)

Dominio local

Los permisos de miembro Universal (siempre que no slo se pueden asignar en el exista otro local de dominio mismo dominio que el como miembro) grupo local de dominio principal

de dominio principal

La informacin de esta tabla implica que el nivel funcional de dominio est establecido en Windows2000 nativo, WindowsServer2003 o WindowsServer2003 intermedio. Si el nivel funcional de dominio est establecido en Windows2000 mixto, no se pueden crear grupos de seguridad con mbito universal, aunque los grupos de distribucin con mbito universal estn permitidos.

Cundo utilizar grupos con mbito local de dominio

Los grupos con mbito local de dominio le ayudan a definir y administrar el acceso a los recursos en un solo dominio. Por ejemplo, para conceder a cinco usuarios acceso a una impresora determinada, puede agregar las cinco cuentas de usuario a la lista de permisos de la impresora. Sin embargo, si ms tarde desea dar a esos cinco usuarios acceso a una nueva impresora, debe especificar nuevamente las cinco cuentas en la lista de permisos de la nueva impresora. Si planea antes los grupos, puede simplificar esta tarea administrativa rutinaria. Para hacerlo, deber crear un grupo con mbito local de dominio y asignarle los permisos necesarios para tener acceso a la impresora. Coloque las cinco cuentas de usuario en un grupo con mbito global y agregue este grupo al grupo con mbito local de dominio. Cuando desee dar a esos cinco usuarios acceso a una nueva impresora, bastar con asignar al grupo con mbito local de dominio los permisos de acceso a la nueva impresora. Todos los miembros del grupo con mbito global recibirn automticamente los permisos de acceso a la nueva impresora.

Cundo utilizar grupos con mbito global

Los grupos con mbito global se utilizan para administrar objetos de directorio que necesitan un mantenimiento diario, como las cuentas de usuarios y de equipos. Dado que los grupos con mbito global no se replican fuera de su propio dominio, puede cambiar las cuentas de un grupo con mbito global con frecuencia sin se genere trfico de replicacin hacia el catlogo global. Para obtener ms informacin acerca de los grupos y la replicacin Aunque las asignaciones de derechos y permisos son slo vlidas en el dominio en el que se realizan, al aplicar grupos de mbito global de forma estructurada y en varios dominios adecuados se pueden consolidar referencias a cuentas que tienen propsitos similares. Esto simplifica y racionaliza la administracin de grupos en varios dominios. Por ejemplo, si en una red con dos dominios, Europa y EstadosUnidos, tiene un grupo con mbito global denominado GLContabilidad en el dominio EstadosUnidos, cree tambin un grupo denominado GLContabilidad en el dominio Europa (a menos que esa funcin no exista en el dominio Europa). Se recomienda usar grupos globales o grupos universales, y no grupos locales de dominio, al especificar los permisos en los objetos de directorio del dominio que se han replicado en el catlogo global. Si el nivel funcional de dominio est establecido en Windows2000 mixto, los miembros de los grupos globales slo pueden incluir cuentas del mismo dominio.

Cundo utilizar grupos con mbito universal

Los grupos con mbito universal se pueden utilizar para consolidar grupos que abarcan varios dominios. Para ello, agregue las cuentas a grupos con mbito global y, a continuacin, anide estos grupos en otros que tengan mbito universal. Al usar esta estrategia, cualquier cambio de pertenencia de los grupos que tengan mbito global no afectan a los grupos con mbito universal. Por ejemplo, en una red que tiene dos dominios, Europa y EstadosUnidos, y un grupo de mbito global

denominado GLContabilidad en cada dominio, se puede crear un grupo con mbito universal denominado UContabilidad que tendr como miembros los dos grupos GLContabilidad, EstadosUnidos\GLContabilidad y Europa\GLContabilidad. El grupo UContabilidad se puede utilizar en cualquier lugar de la compaa. Cualquier cambio en la pertenencia de los grupos GLContabilidad individuales, no causar la replicacin del grupo UContabilidad. No cambie la pertenencia de un grupo con mbito universal frecuentemente, porque los cambios de pertenencia de esos grupos hacen que todos los datos de pertenencia del grupo se repliquen en todos los catlogos globales del bosque. Para obtener ms informacin acerca de los grupos universales y la replicacin, Si el nivel funcional de dominio est establecido en Windows2000 mixto, no puede crear grupos de seguridad con mbito universal.

Cambiar el mbito de un grupo

De manera predeterminada, al crear un nuevo grupo, este se configura como grupo de seguridad con mbito global, independientemente del nivel funcional actual de dominio. Aunque no se permite cambiar el mbito de grupo en los dominios que tienen un nivel funcional de dominio en Windows2000 mixto, se permiten las siguientes conversiones en los dominios que tienen establecido un nivel funcional de dominio en Windows2000 nativo o Windows Server2003: Global a universal. Esta conversin slo se permite si el grupo que desea cambiar no es miembro de ningn otro grupo de mbito global. Dominio local a universal. Esta conversin slo se permite si el grupo que desea cambiar no tiene ningn otro grupo local de dominio como miembro. Universal a global. Esta conversin slo se permite si el grupo que desea cambiar no tiene ningn otro grupo universal como miembro. Universal a local de dominio. No hay restricciones para esta operacin.

Grupos en equipos clientes y en servidores independientes

Algunas caractersticas de grupo, como los grupos universales, el anidamiento de grupos y la distincin entre grupos de seguridad y grupos de distribucin, slo estn disponibles en los controladores de dominio y servidores miembro de ActiveDirectory. Las cuentas de grupo en Windows2000 Professional, WindowsXP Professional, Windows2000 Server y en servidores independientes con Windows Server2003 funcionan igual que en WindowsNT4.0: Localmente, slo se pueden crear los grupos locales en el equipo. En un equipo, slo se pueden asignar permisos a un grupo local que se ha creado en ese mismo equipo.

3.

Grfico resumen

4.

Poltica de creacin de grupos en un DC

Los grupos con mbito local de dominio le ayudan a definir y administrar el acceso a los recursos en un dominio. Aclaracin: los permisos slo pueden definirse para recursos del dominio en el que se crea el grupo. Miembros: otros grupos locales de dominio en el mismo dominio, globales de cualquier dominio, universales de cualquier dominio y cuentas individuales de cualquier dominio.

Cundo utilizar grupos con mbito local de dominio

Cundo utilizar grupos con mbito global

Los grupos con mbito global se utilizan para administrar objetos de directorio que necesitan un mantenimiento diario, como las cuentas de usuarios y de equipos. Dado que los grupos con mbito global no se replican fuera de su propio dominio, puede cambiar las cuentas de un grupo con mbito global con frecuencia sin se genere trfico de replicacin hacia el catlogo global. Miembros: pueden pertenecer a grupos universales o locales de dominio en cualquier dominio y como miembros pueden tener a otros grupos globales en el mismo dominio y cuentas individuales del mismo dominio.

Cundo utilizar grupos con mbito universal

Los grupos con mbito universal se pueden utilizar para consolidar grupos que abarcan varios dominios. Posibilidad de acceso a los recursos de cualquier dominio: Se puede utilizar un grupo universal para asignar permisos para acceder a los recursos que estn ubicados en cualquier dominio. Estrategia: agregar cuentas de usuario a grupos con mbito global y, a continuacin, anide estos grupos en otros que tengan mbito universal. Al usar esta estrategia, cualquier cambio de pertenencia de los grupos que tengan mbito global no afectan a los grupos con mbito universal. Miembros: Se pueden aadir miembros desde cualquier dominio

Por ejemplo: en una red que tiene dos dominios, Europa y EstadosUnidos, y un grupo de mbito global denominado GLContabilidad en cada dominio, se puede crear un grupo con mbito universal denominado UContabilidad que tendr como miembros los dos grupos GLContabilidad, EstadosUnidos\GLContabilidad y Europa\GLContabilidad. El grupo UContabilidad se puede utilizar en cualquier lugar de la compaa. Cualquier cambio en la pertenencia de los grupos GLContabilidad individuales, no causar la replicacin del grupo UContabilidad. No cambie la pertenencia de un grupo con mbito universal frecuentemente, porque los cambios de pertenencia de esos grupos hacen que todos los datos de pertenencia del grupo se repliquen en todos los catlogos globales del bosque.