Estructura de grupos y OU’s en Windows 2008 R2-1

La organización de usuarios, equipos, y otros objetos dentro de la estructura de Directorio Activo de Windows Server 2008 R2 (AD DS) da a los administradores gran flexibilidad y control sobre sus entornos. Tanto el diseño de la estructura de OUs como la de grupos puede adaptarse prácticamente a cualquier necesidad de negocio. Hay, sin embargo, una gran confusión entre los administradores sobre el diseño y uso de OUs y los grupos. Con frecuencia se usan OUs de forma indiscriminada sin razón aparente y la estructura de grupos resulta inefectiva y confusa.

Ous

Una OU no es más que un contenedor para uso administrativo y que usamos para organizar objetos en AD DS. Su concepto viene desde el protocolo LDAP aunque con sutiles diferencias con AD DS.

Los objetos del directorio activo pueden emplazarse en OUs definidas con lógica por el administrador. Aunque todos los objetos usuario y los objetos equipos se encuentran en el contenedor Usuarios y en el contenedor Equipos de forma predeterminada, pueden moverse en cualquier momento.

* Las carpetas Usuarios y Equipos predeterminadas no son OUs, aunque son contenedores de objetos. Es importante entender este punto ya que estos contenedores no se comportan de la misma manera que las OU. Para poder usar servicios como las Directivas de Grupo, que dependen de la funcionalidad de las OU, se recomienda que se muevan el usuario y los objetos de equipos a ubicaciones dentro de la estructura de OUs.

Cada objeto en la estructura AD DS puede referenciarse vía LDAP que apunta su ubicación específica en la estructura de OUs. Con frecuencia vemos objetos referenciados de esta forma cuando escribimos scripts para modificar o crear usuarios en AD DS, por ejemplo: CN=Juan Salvador, OU=JF,OU=Administracion,DC=empresa,DC=com

* Una estructura de OUs puede anidarse, incluyendo Ous dentro de otras, siempre teniendo en cuenta que cuando mayor complejidad de anidamiento peor será administrarlo.

Las OU primeramente satisfacen la necesidad de delegar la administración a grupos de administradores separados. Aunque hay otras posibilidades pra el uso de OUs, este tipo de administración delegada es, en realidad, el primer factor que existe para la creación de OUs en un entorno de AD.

Aunque hay una tendencia a usar las OU para estructurar el diseño de AD DS, éstas no deben crearse sólo para documentar el gráfico organizativo de la compañía. El hecho de que se tenga un departamento de ventas, de compras, de fabricación, de almacén, … no significa que deban crearse tres OU. En todo caso será conveniente crearlas si su administración ha de ser separada o si a cada una se le aplicacrá una política de directivas de grupo distinta. Vamos, que si el administrador es el mismo y las directivas también… pues con una va que chuta.

Grupos

La idea de los grupos circuló por MS durante mas tiempo que las OU. Como con el concepto de OU, los grupos sirven para organizar usuarios de forma lógica dentro de una estructura identificable fácilmente. Sin embargo, hay grandes diferencias en el funcionamiento de los grupos que son contrapuestas a las OU. Entre estas diferencias tenemos:

  • La pertenencia a grupos es visible a los usuarios: Mientras que la visibilidad de las OU está restringida a sus administradores usando herramientas exclusivas, los grupos pueden verlos todos los usuarios del dominio.
  • Pertenencia a múltiples grupos: Las OU son similares a la estructura de carpetas del sistema de archivos, en otras palabras, un archivo puede residir solamente en una carpeta u OU a la vez. La pertenencia a grupos, sin embargo, no es exclusiva. Un usuario puede llegar a ser miembro de cualquier número de grupos, y su pertenencia en estos puede cambiarse en cualquier momento.
  • Los grupos son principales de seguridad: Cada grupo de seguridad en AD DS dispone de un único identificador (SID) asociado cuando se crea el grupo. Las OU no tienen asociadas ACEs (Entradas de control de acceso) y consecuentemente no se les puede aplicar seguridad a nivel de objeto. Esta es una de las mayores diferencias, ya que los grupos permiten a los usuarios el acceso o no a recursos según la pertenencia a los mismos. Aunque la excepción son los grupos de distribución y que no se usan para aplicar seguridad.
  • Funcionalidad de e-mail habilitada en el grupo: A través de los grupos de distribución y los grupos de seguridad con la funcionalidad habilitada(última versión de exchange), los usuarios pueden enviar un simple correo electrónico a un grupo y éste se distribuye a todos los miembros de ese grupo. Los grupos en sí mismo son listas de distribución, mientras al mismo tiempo están disponibles para las aplicaciones basadas en seguridad.

Dos sabores: grupos de seguridad y grupos de distribución. Se pueden organizar en diferentes ámbitos: equipo local, dominio local, global y universal.

grupos de seguridad

Es el tipo más familiar, se usa para la aplicación de permisos a recursos en masa, lo que hace que grupos de gran cantidad de usuarios sean fácilmente administrables. Estos grupos pueden establecerse para cada departamento dentro de una empresa. Como ya he comentado, estos grupos disponen de un SID único asociado, de igual manera que los usuarios individuales de AD DS tienen un SID. La unicidad del SID se usa para aplicar seguridad a objetos y recursos en el dominio. Esto explica porque no podemos simplemente borrar y renombrar un grupo para que tenga los mismos permisos que tenía el borrado, ‘no tiene el mismo SID’.

grupos de distribución

Este concepto viene desde Windows Server 2000 junto a su implementación en AD. Esencialmente es un grupo cuyos miembros son capaces de recibir mensajes de correo a través del protocolo de transferencia de mensajes (SMTP) envíados al grupo. Cualquier aplicación que pueda utilizar AD DS para búsquedas en las libretas de direcciones (búsquedas LDAP principalmente) puede usar esta funcionalidad en Windows Server 2008 R2.

Los grupos de distribución se confunden frecuentemente con grupos habilitados para correo, un concepto de entornos con Exchange. Además, en muchos casos no se utilizan en entornos sin Exchange porque su funcionalidad está limitada a infraestructuras que los soporten.

* En entornos Exchange, los grupos de distribución se pueden utilizar para crear listas de distribución de correo, pero que no se pueden usar para aplicar seguridad. Sin embargo, si no se requiere una separación de seguridad y correo, podemos crear grupos de seguridad habilitados para correo.

grupos habilitados para correo

Este concepto incluído en AD DS no es sino grupos de seguridad que están referenciados por una dirección de correo electrónico y pueden usarse para enviar mensajes SMTP a los miembros que los componen. Estos grupos se usan con Exchange Server, aunque se pueden utilizar con sistemas de correo integrados con AD DS.

 

El ámbito de los grupos

No es más que una extensión vista en su día para 2003, http://geeks.ms/blogs/juansa/archive/2008/12/23/seguridad-permisos-usando-grupos.aspx.

  • Grupos locales de equipo
  • Grupos locales de dominio
  • Grupos globales
  • Grupos Universales

Como repaso:

Grupos del equipo local

Esencialmente son grupos que están integrados en el sistema operativo y que únicamente son de aplicación a objetos locales del equipo en que existen. Son grupos locales predeterminados, como “usuarios avanzados”, “administradores” y aquéllos similares creados en un sistema independiente. Antes de la administración simplificada de redes, los grupos locales se utilizaban para controlar el acceso a los recursos de un servidor. La desventaja era que los usuarios necesitaban una cuenta de usuario separada en cada equipo al que querían acceder. En un entorno de Dominio, el uso de estos grupos no se aconseja ya que el gasto administrativo sería muy grande.

Grupos de Dominio local

Grupos de dominio local, un término puede ser contradictorio a primera vista, son grupos a nivel de dominio que pueden utilizarse para establecer permisos a recursos en el dominio al que pertenecen. Una evolución de los grupos locales de WinNT.

Estos grupos pueden contener miembros de cualquier sitio en un bosque AD DS o Dominio de confianza fuera del bosque. Y pueden contener:

  • Grupos globales
  • Cuentas de usuario
  • Grupos Universales
  • Otros grupos de dominio local

Son usados, principalmente, para el acceso a recursos ya que diferentes grupos de dominio local son creados para cada recurso y entonces otras cuentas y/o grupos se añaden a los mismos. Esto ayuda a determinar fácilmente qué usuarios y grupos tienen acceso a un recurso.

Grupos Globales

¿Una reencarnación de los grupos globales de WinNT? Aunque hay diferencias singulares. Pueden contener:

  • Cuentas de usuario
  • Grupos globales de su propio dominio.

Son útiles en el ordenamiento de usuarios dentro de agrupamientos fácilmente identificables y usarlos en la aplicación de permisos a recursos. Lo que separa a los grupos globales de los grupos universales, sin embargo, es que los grupos globales limitan su replicación al dominio y por tanto no se replican fuera de los límites de éste.

Grupos Universales

El concepto de Grupo Universal fue nuevo con la liberación de Windows 2000 y sigue útil en Windows Server 2008 R2. Son justamente eso: Universales. Pueden contener objetos de cualquier dominio de confianza y pueden utilizarse para aplicar permisos en cualqueir recurso en el dominio.

Aunque convertir a todos los grupos dentro de un dominio en grupos universales parece práctico, el factor limitante, ha sido siempre, que la pertenencia a grupos universales se replica al bosque entero. Para empeorar las cosas, los objetos de grupo universal de Windows 2000 AD DS contienen un único atributo multi-entrada que define la pertenencia, esto significa que cualquier pertenencia temporal cambiada en un grupo universal hara que la pertenencia completa se replique nuevamente a todo el bosque. Consecuentemente, su funcionalidad queda mermada.

Windows Server 2003 introduce el concepto de replicación incremental de pertenencia a grupo universal, que cumple con una replicación de pertenencia a grupos universales en una base de miembro a miembro. Esto reduce drásticamente los efectos de la replicación que los grupos universales tienen en un entorno y hacen el concepto de estos más viable en entornos distribuidos. Esta funcionalidad está accesible desde cualquier nivel de funcionalidad de dominio desde, o a partir, del nivel de funcionalidad de Windows Server 2003.