Los grupos de AD en Windows Server 2008R2

Un grupo de Active Directory se compone de una colección de objetos (usuarios y equipos, y otros grupos utilizados para simplificar el acceso a los recursos y envío de correos electrónicos). Los grupos pueden utilizarse para asignar derechos administrativos, acceso a recursos de red, o, para distribuir correo electrónico. Hay grupos de varios sabores, y dependerá del modo en que el dominio se esté ejecutando el que ciertas funcionalidades de grupo estén o no disponibles.

Active Directory de Windows Server 2008 R2 es compatible con dos tipos ditintos de grupos: Distribución y Seguridad. Ambos tienen sus propios usos y ventajas, siempre que se utilicen correctamente y se hayan entendido sus características.

Los grupos de distribución permiten el agrupamiento de contactos, usuarios o grupos, principalmente para la distribución de correo electrónico. Estos tipos de grupos no pueden utilizarse para permitir o denegar el acceso a recursos del dominio. Las Listas de Control de Acceso Discrecional (DACLs), que se utilizan para permitir y/o denegar el acceso a los recursos, o para definir los derechos de usuario, se componen de Entradas de Control de Acceso (ACEs). Los grupos de distribución no tienen habilitada la seguridad y no pueden usarse en las DACL. En algunos casos, esto puede simplificar la administración de la seguridad cuando necesitamos tener a distribuidores externos localizados en libretas de direcciones pero nunca necesitarán acceder a recursos del dominio o bosque.

Los grupos de seguridad tienen habilitada esta característica y por tanto pueden utilizarse en la asignación de derechos de usuario y en los permisos del recurso, o, en la aplicación de directivas de grupo basadas en AD o directivas de equipo. El uso de un grupo en lugar de usuarios de forma individual simplifica mucho la administración. Los grupos pueden crearse para recursos o tareas en particular, y cuando se efectúan cambios en la lista de usuarios que necesitan acceso, sólo debe modificarse la pertenencia de grupo para reflejar los cambios en cada recurso que utiliza este grupo.

Para llevar a cabo tareas administrativas, los grupos de seguridad pueden definirse dentro de distintos niveles de responsabilidad. La granularidad que podemos aplicar es vasta, de hecho una estructura de grupos funcional es una de las maneras de simplificar la administración de la empresa.

Los grupos de seguridad también pueden usarse con propósitos de correo electrónico, lo que significa que aunan ambos propósitos.

Además del tipo, los grupos disponen de un ámbito a seleccionar. El ámbito, simplemente, marca los límites de quién puede ser miembro, y dónde puede utilizarse el grupo. Sólo los grupos de seguridad pueden usarse para delegar control y asignar acceso a recursos. Una clasificación teniendo en cuenta el ámbito quedaría:

  • Grupos locales de dominio.
  • Grupos globales.
  • Grupos universales.

*Referencias:

Administración de grupos I-2003 Administración de grupos V-2003 Administración de grupos IX-2003
Administración de grupos II-2003 Administración de grupos VI-2003 Administración de grupos X-2003
Administración de grupos III-2003 Administración de grupos VII-2003  
Administración de grupos IV-2003 Administración de grupos VIII-2003  

Hay diferentes niveles de funcionalidad y grupos, en cada nivel se añade más funcionalidad. La razón de estos distintos niveles es para proporcionar compatibilidad con controladores de dominio ejecutándose sobre diferentes plataformas. Esto nos permite una migración por etapas de los DC. Los cuatro niveles de funcionalidad de dominio actuales son:

> Windows 2000 Nativo – Este nivel permite DC’s con Windows 2000, 2003, 2008 y 2008 R2 dentro del dominio. Los grupos Universales se pueden aprovechar junto con el anidamiento de grupos de seguridad globales y universales. Este nivel puede ser elevado al nivel Windows Server 2003, que también nos habilita a cambiar algunos ámbitos de grupos existentes, y autenticación selectiva.

> Windows Server 2003 – Este nivel nos permite Dc’s con 2003, 2008 y 2008 R2. Proporciona todas las características del nivel anterior, más características de seguridad y funcionalidad añadidas, como renombrar un dominio, actualizaciones de marca de tiempos de inicio de sesión, y autenticación selectiva.

> Windows Server 2008 – El nivel funcional Windows Server 2008 permite sólo controladores 2008 y 2008 R2. Este nivel es compatible con todas las características del nivel anterior y además cuenta con características como cifrado AES 128 y 256 para Kerberos, última información de inicio de sesión interactivo para proporcionar visibilidad sobre la verdadera actividad de inicio de sesión por parte del usuario, políticas de contraseña más granulares para permitir establecerlas por grupo o por usuario y uso de DFSR para la replicación de AD.

> Windows Server 2008 R2 – Este nivel funcional añade garantía al mecanismo de autenticación. Esto esencialmente inserta en kerberos el metodo del tipo de inicio de sesión y permite a las aplicaciones determinar la autorización o acceso basado en el metodo de inicio de sesión. Por ejemplo: una aplicación puede permitir tan sólo el inicio de sesión tipo 2 (interactivo) y ningún otro, con tal de asegurarse que el usuario estaba realmente frente a la estación de trabajo.

En nuestro caso, lo importante es que todos los niveles de funcionalidad compatibles con Windows Server 2008 R2 permiten grupos de seguridad Universales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *