Límites de seguridad

La ayuda de los límites de seguridad definen la autonomía o aislamiento de distintos grupos dentro de una organización. Es difícil equilibrar los sacrificios entre una seguridad adecuada (basada en cómo las organizaciones establecen sus límites) y la necesidad de mantener un nivel consistente de funcionalidad básica. Para alcanzar con éxito este equilibrio, se debe sopesar las amenazas contra las implicaciones de seguridad de delegar la administración de permisos y otras opciones que implican a la arquitectura del entorno de la red.


El bosque es el verdadero límite de seguridad en un entorno de red. La guía de seguridad de Windows Server 2003 recomienda la creación de bosques separados para guardar seguro el entorno de compromisos potenciales desde otros administradores de otros dominios. Este enfoque también ayuda a asegurar que si se compromete a uno de los bosques, no sea automáticamente comprometida la organización entera.


Un dominio es un límite administrado de Active Directory, no de seguridad. Con una aorganización de buenas intenciones individuales, un límite de dominio proporcionará administración autónoma de servicios y datos dentro de cada dominio de la organización. Desafortunadamente, respecto a la seguridad, aislar no es tan simple de llevar a cabo. Un dominio, por ejemplo, no estará totalmente aislado contra ataques de un administrador de dominio pícaro. Este nivel de separación solamente puede llevarse a cabo a nivel de bosque.


Dentro del dominio, la Unidad Organizativa (OU) proporciona otro nivel de límite administrado. Las OU’s proporcionan una vía flexible para agrupar recursos relacionados y delegar su administración al personal apropiado sin proporcionarles privilegios de administración al dominio entero. Como los dominios, las OU’s no son un límite de seguridad verdadero. Aunque pueden asignarse permisos a una OU, todas las que están en el mismo dominio autentican recursos contra los recursos de dominio y del bosque. Aún así, un buen diseño en la jerarquía de OU’s beneficiará el desarrollo, despliegue y administración de medidas de seguridad efectivas.


Se puede considerar la necesidad de dividir el control administrativo de servicios y datos dentro del diseño actual de Active Directory. Un diseño efectivo de Active Directory requiere que se entienda completamente las necesidades de la organización en la autonomía y aislamiento de servicios como para la autonomía y aislamiento de datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *