Active Directory y Políticas de grupo II

Grupos Administrativos


Los administradores pueden crear grupos administrativos para segmentar grupos de usuarios, grupos de seguridad, o servidores dentro de contenedores para una administración autónoma.


Por ejemplo: para administrar servidores DHCP.


Aplicación de Directivas de grupo


Usaremos directivas de grupo y la delegación de administración para aplicar valores específicos, derechos, y comportamietnos para todos los servidores dentro de una OU.


Las directivas de grupo se acumulan y aplican en un orden:



  1. Local Security Policy (Directivas locales)

  2. Site Policy (Sitio)

  3. Domain Policy (Dominio)

  4. OU (Unidad organizativa)

  5. OUs hijas (OUs contenidas en otras OU)

Hay que recordar ciertas consideraciones básicas cuando aplicamos directivas de grupo.


– Ajustar el orden de aplicación en niveles con múltiples GPOs. Si varias especifican la misma opción, la última en aplicarse toma precedencia.


– Configurar la directiva con la opción de NO sobreescribir si no se desea sobreescribir otras GPOs. Si se utiliza la consola GPMC para administrar GPOs, dicha opción se aplica.

GPOs. ¿Qué son los valores de configuración de usuarios y equipos?

Podemos aplicar configuraciones a equipos y usuarios utilizando las características de configuración de usuarios y equipos de la GPO.


Para los usuarios se incluyen valores para comportamientos específicos del sistema operativo, de escritorio, de seguridad, opciones de asignación y publicación de aplicaciones, de aplicaciones, opciones de redirección de carpetas y scripts de inicio y cierre de sesión. Estos valores se les aplican a los usuarios cuando inician sesión en el equipo y durante el periodo de refresco.


Los valores que personalizan el entorno de escritorio del usuario, o la aplicación de bloqueos de directivas a usuarios, se encuentran bajo la Configuración de usuario del Editor de Directivas de grupo (Group Policy Object Editor).


La carpeta de valores de Software bajo Configuración de usuario contiene valores de software que se aplica a los usuarios sin importar en que equipo inician sesión. Esta carpeta también contiene valores de instalación de software, y podría contener otros valores añadidos por vendedores de software independientes.


La carpeta de valores de Windows contiene valores de Windows que se aplican a los usuarios sin importar en que equipo inician sesión. También contiene: redirección de carpetas, valores de seguridad y scripts.


Los valores de directiva de grupo para equipos incluyen como se comportará el sistema operativo, comportamiento de escritorio, valores de seguridad, scripts de inicio y apagar equipo, opciones de asignación de aplicaciones al equipo, y valores de aplicación. Los valores relacionados de directiva de grupo de equipo son aplicados cuando el sistema operativo se inicializa y durante el refresco del ciclo periódico. En general, estos valores de directiva de grupo de equipo toman precedencia ante conflictos con valores de directiva de grupo de usuarios.


Los valores que personalizan el entorno de escritorio para todos los usuarios de un equipo, o aplicación de directivas de seguridad en los equipos de una red, están bajo la Configuración de equipo en el Editor de objetos de directiva de grupo.


La carpeta de valores de software bajo la Configuración de equipo contiene valores que se aplican a todos los usuarios que inician sesión en el equipo. Contiene además valores de instalación de software, y que además podría contener otros valores añadidos por vendedores de software independientes.


La carpeta de valores de Windows contiene los valores propios de Windows que se aplicarán a todos los usuarios que inician sesión en el equipo, además de los valores de seguridad y scripts.


Los valores de seguridad están disponibles tanto bajo la Configuración de equipo como la de usuario en el Editor de directivas de grupo. Los valores de seguridad o directivas de seguridad son reglas que se configuran en uno o múltiples equipos y que protegen recursos en un equipo o red. Con estos valores, podemos especificar la directiva de seguridad de una OU, Dominio o Sitio.

Directivas de Grupo – Group Policy – GPO

Vamos a echar un vistazo a la función de implementación de Directivas de Grupo. Algunas habilidades y conocimientos que son necesarios para el propósito y función de las Directivas de Grupo en un entorno Windows Server 2003, implementando y administrándo las GPO.



  • Implementando Objetos de Directiva de Grupo

  • Implementando GPOs en un dominio

  • Gestionar el despliegue de las Directivas

¿Qué es Directiva de Grupo?


Directiva de Grupo es lo que utiliza el servicio de directorio de Active Directory para gestión de usuarios y equipos en la red. Cuando se usan directivas de grupo, puede definirse el estatus del entorno de trabajo de un usuario una vez, y confiar en que Windows Server 2003 aplicará constantemente los valores configurados de la directiva definida. La directiva puede ser aplicada a través de una organización entera, o, sólo a usuarios, grupos o equipos específicos.


 

Como delegar el control de una Unidad Organizativa.

Para la concesión de permisos a nivel de OU utilizamos el asistente de Delegación de Control. Podemos conceder permisos para la administración de objetos o para la administración de atributos específicos sobre estos objetos. El uso del asistente es el método preferido para la delegación de control, ya que reduce las posibilidades de efectos no deseados al asignar permisos.


Para delegar control administrativo para realizar tareas comunes:



  1.  Iniciamos el asistente, mediante la realización de los pasos siguientes:
     a. En Usuarios y equipos de Active Directory, clic sobre la OU a la que queremos delegar el control.
     b. En el menú Acción, clic en Delegar Control.

  2. En la página de inicio del asistente pulsamos en siguiente

  3. En la página de Usuario o Grupos, seleccionamos un usuario o grupo al que queremos concederle permisos y pulsamos en siguiente. Si no hay usuarios ogrupos en la lista para seleccionar:
     a. Pulsamos Añadir
     b. En el cuadro de diálogo, Entrar nombres de objetos para seleccionar, escribimos el nombre de un usuario o grupo y pulsamos Aceptar.

  4. En la página de Tareas a Delegar, especificamos una o más de las tareas siguientes:
     – Crear, eliminar y administrar cuentas de usuario.
     – Reiniciar contraseñas de usuario y forzar cambio de contraseña en el siguiente inicio de sesión
     – Leer toda la información de usuario
     – Crear, eliminar y administrar grupos.
     – Modificar la pertenencia de un grupo.
     – Administrar vínculos de Directivas de grupo
    *NOTA: podemos delegar una tarea personalizada pulsando en Crear una tarea personalizada para delegar.

  5. Pulsamos siguiente.

  6. En la página Completando el asistente de delegación de control, pulsamos finalizar.

*Tarea personalizada:


4. En la página de Tareas para delegar, pulsamos en Crear una tarea  personalizada para delegar y pulsamos siguiente.
5. En la página de Tipo de Objeto de Active Directory, Siguiente.
6. En la página permisos, especificamos los permisos que queremos conceder para la OU y sus objetos.
 Podemos seleccionar:
 – GENERAL. Se muestran los más comunes que se utilizan y que están disponibles para la OU seleccionada o sus objetos.
 – PROPIEDAD ESPECÍFICA. Se muestran todos los permisos de atributos aplicables al tipo de objeto.
 – CREACIÓN/ELIMINACIÓN DE UN OBJETO HIJO ESPECÍFICO. Se muestran los permisis que se necesitan para crear nuevos objetos en la OU.
7. Siguiente.
8. En la página Completando el asistente de delegación de control, pulsamos finalizar.

El asistente de delegación del control.

Se usa el asistente para la delegación del control para seleccionar el usuario o grupo al que se desea delegar el control. También para conceder permisos a usuarios para controlar OUs y objetos y para acceder y modificar objetos.


Mediante el asistente procederemos a conceder permisos a nivel de OU. Para conceder permisos adicionales especializados a nivel de objeto hemos de hacerlo manualmente.


En Equipos y usuarios de Active Directory pulsaremos con el botón derecho sobre la OU que queremos delegar su control y seleccionamos Delegar control para iniciar el asistente. También puede hacerse seleccionando la OU y pulsar en Delegar control del menú Acción.


Las opciones del asistente son:


Opción: descripción.


Usuarios o grupos: Las cuentas de usuarios o grupos a los que queremos delegarle el control.


Tareas a delegar: Una lista de tareas comunes, o la opción de personalizar una tarea. Cuando seleccionamos una tarea común, el asistente resume lo seleccionado para completar el proceso de delegación. Cuando elegimos personalizar una tarea, el asistente nos muestra los tipos de objetos de AD y los permisos que podemos elegir de dichos objetos.


Tipo de objeto AD: cualquiera de los objetos o sólo tipos específicos de objetos en la OU especificada.


Permisos: Los permisos que queremos conceder sobre el objeto u objetos.


NOTA: El asistente puede agrupar permisos sobre una OU si lo ejecutamos más de una vez. Sin embargo, para eliminarlos debe hacerse manualmente.

Posteado desde http://msmvps.com/blogs/juansa/default.aspx

¿Que es la delegacion del control de una OU?

La delegación del control es la capacidad para asignar responsabilidad de administración de objetos de Active Directory a otros usuario, grupo, u organización. Mediante la delegación pueden eliminarse las necesidades de múltiples cuentas administrativas que tengan una gran autoridad.


Podemos delegar los siguientes tipos de control:



  • Permisos de creación/modificación de objetos en una OU específica.
  • Permisos de modificación de los atributos de un objeto específico, como el permiso para reiniciar contraseñas sobre cuentas de usuario.

¿Por qué delegar control administrativo?


En principio parece que es una buena ayuda para facilitar la carga administrativa de la gestión de una red mediante una distribución de una rutina de tareas administrativas a varios usuarios.  Una vez delegada la administración, se asignan tareas básicas a usuarios o grupos normales y tareas de administración del dominio o del bosque a usuarios de confianza colocándolos en administradores del dominio o administradores de empresa.


Mediante la delegación le damos a ciertos grupos mayor control sobre los recursos de la red local. También ayuda a asegurarla de algún daño accidental o malintencionado limitando la pertenencia de los grupos de administradores.


La delegación puede definirse de las formas siguientes:



  • Cambiar las propiedades para un contenedor en particular
  • Crear y eliminar objetos de un tipo específico dentro de una OU, como usuarios, grupos o impresoras.
  • Actualizar propiedades específicas en objetos de un tipo específico dentro de una OU. Por ejemplo, delegar el permiso a establecer la contraseña a un objeto usuario o a todos los objetos de una OU.
Posteado desde http://msmvps.com/blogs/juansa/default.aspx

Herramienta interesante para redes…

Gracias a un colega MVP de Networking cuyo nombre es Obiwan, aquí teneis el vínculo a una herramienta muy interesante y el vínculo a su manual.


Es libre y si la probais, seguro que os sorprendeis…


http://www.mikrotik.com/thedude.php


http://wiki.mikrotik.com/wiki/Dude_usage_notes


Thanks Obiwan!! 😉

Posteado desde http://msmvps.com/blogs/juansa/default.aspx

Active Directory y Políticas de Grupo I

Aunque las OUs ofrecen una vía fácil para agrupar equipos, usuarios, grupos y otros de seguridad, también proporcionan una vía efectiva para segmentar los límites administrativos. Adicionalmente, las OUs proporcionan una estructura importante para el despliegue de objetos de políticas de grupo GPOs porque pueden segmentar los recursos mediante seguridad necesaria y permitirnos proporcionar distintos niveles de seguridad a distintas OUs. El uso de OUs para gestionar y asignar directivas de seguridad basadas en funciones de servidor son una pieza importante dentro de la arquitectura global de seguridad de la organización.


Las OUs son contenedores dentro de la estructura de directorio de un dominio. Estos contenedores pueden llevar cualquier seguridad principal en el dominio, aunque normalmente se utilizan para tener objetos de un tipo específico. Para conceder o revocar permisos de acceso a una OU a grupos o usuarios, puede establecerse listas de control de acceso específicas ACLs sobre la OU y los permisos se heredarán por todos los objetos dentro de élla.


Las OUs pueden utilizarse para proporcionar funciones basadas en habilidades administrativas. Como por ejemplo: un grupo de administradores podría ser responsable para las OUs de usuario y grupo, mientras otro grupo podría administrar aquéllas que contienen los servidores. También puede crearse una OU que contenga un grupo de servidores de recursos para ser administrados por otros usuarios mediante la delegación del control. Este enfoque proporciona al grupo en que se delega un control autónomo sobre una OU en concreto pero no lo aísla del resto del dominio.


Los Administradores que delegan el control a una OU específica son probablemente Administradores de Servicios. Con un nivel bajo de autoridad, los usuarios que controlan OUs son normalmente Administradores de datos.

Límites Administrativos

Ya que se necesita segmentar los servicios y los datos, deben definirse los diferentes niveles de administración que son requeridos. Como añadido a los administradores, que pueden llevar a cabo servicios únicos en la organización, la guía de seguridad de Windows Server 2003 recomienda considerar varios tipos de administradores:



Administradores de servicios


Responsables de la configuración y entrega del servicio de directorio. Por ejemplo, estos administradores mantienen los controladores de dominio, el control de los ajustes de configuración de directorio extenso, y asegurarse de la disponibilidad del servicio. Debe considerarse el que los Administradores de Active Directory sean los Administradores de servicios.


La configuración del servicio de AD es con frecuencia determinado por valores de atributo. Estos valores corresponden a los ajustes de sus respectivos objetos, que están almacenados en el directorio.  Consecuentemente, los administradores de servicios en AD son también administradores de datos. Una organización puede necesitar otros grupos de administradores de servicios para el diseño de AD. Algunas posibilidades incluyen:



  • Un grupo de administración del dominio que es el principal responsable de los servicios de directorio. El administrador del bosque elegirá el  grupo para administrar cada dominio, ya que el acceso de alto nivel se concede al administrador de dominio, estos administradores deben disponer individualmente de gran confianza. Los administradores de dominio controlan el dominio a través del grupo de Administradores de Dominio y otros grupos de built-in.

  • Grupos de administradores que administran el DNS. El grupo de administradores de DNS completa el diseño de DNS y administra su infraestructura, haciéndolo mediante el grupo de Administradores de DNS.

  • Grupos de administradores que administran OUs. El administrador para una OU designado, como grupo o individualmente, como responsable para cada OU, administra los datos almacenados en la OU asignada. Estos grupos pueden controlar como se delega la administración y como se aplican las políticas a los objetos dentro de sus OUs. También pueden crear nuevos subárboles y delegar su administración para aquéllos que son responsables.

  • Grupos de administradores que administran la infraestructura de servidores. El grupo que es responsable de administrar los servidores, WINS, DHCP y DNS. En algunos casos el grupo que maneja la administración del dominio administrará la infraestructura DNS, ya que AD se integra con DNS y se almacena y gestiona desde los Controladores de Dominio.

Administradores de datos


Los administradores de datos de AD gestionan los datos almacenados en AD o en los equipos que están unidos a AD. Estos administradores no tienen control sobre la configuración o entrega del servicio de directorio. Son miembros de un grupo de seguridad creado en la organización. Algunas veces los grupos de seguridad predeterminados de Windows no son apropiados para todas las situaciones posibles. Por tanto, las organizaciones pueden desarrollar sus propios grupos de seguridad más aptos y mejores para su entorno. Algunas tareas diarias de un administrador de datos incluyen:



  • Controlar un subconjunto de objetos en el directorio. A través del control de acceso de nivel de atributos heredado se les puede conceder el control a secciones muy específicas del directorio, pero no sobre la configuración del servicio en sí mismo.

  • Administrar los equipos miembros en el directorio y los datos que almacenan. (En muchos casos los valores de atributo de los objetos almacenados en el directorio determinan la configuración del servicio de directorio)

  • Se cree, razonablemente, que estos administradores se concentrarán en lo que les concierne a ellos mismos y con los mejores intereses de la propia organización. No debe permitirse la unión al bosque o dominio si los propietarios del bosque o dominio a unir poseen razones para actuar maliciosamente en contra de la organización.

  • Se cree, razonablemente, que estos administradores realizarán las mejores practicas y restringirán el acceso físico a los controladores de dominio.

  • Entender y aceptar los riesgos para la organización que supone la posibilidad de: que un administrador granuja aprovechando sus privilegios en la red, use cualquier aplicación, API, herramienta, editor de disco, depurador, robe SIDs desde el historial de SIDs dentro de su dominio.  O que un administrador sea coaccionado, impelido o amenazado a realizar acciones que supongan una brecha en la seguridad de cualquier equipo de la red.

Límites de seguridad

La ayuda de los límites de seguridad definen la autonomía o aislamiento de distintos grupos dentro de una organización. Es difícil equilibrar los sacrificios entre una seguridad adecuada (basada en cómo las organizaciones establecen sus límites) y la necesidad de mantener un nivel consistente de funcionalidad básica. Para alcanzar con éxito este equilibrio, se debe sopesar las amenazas contra las implicaciones de seguridad de delegar la administración de permisos y otras opciones que implican a la arquitectura del entorno de la red.


El bosque es el verdadero límite de seguridad en un entorno de red. La guía de seguridad de Windows Server 2003 recomienda la creación de bosques separados para guardar seguro el entorno de compromisos potenciales desde otros administradores de otros dominios. Este enfoque también ayuda a asegurar que si se compromete a uno de los bosques, no sea automáticamente comprometida la organización entera.


Un dominio es un límite administrado de Active Directory, no de seguridad. Con una aorganización de buenas intenciones individuales, un límite de dominio proporcionará administración autónoma de servicios y datos dentro de cada dominio de la organización. Desafortunadamente, respecto a la seguridad, aislar no es tan simple de llevar a cabo. Un dominio, por ejemplo, no estará totalmente aislado contra ataques de un administrador de dominio pícaro. Este nivel de separación solamente puede llevarse a cabo a nivel de bosque.


Dentro del dominio, la Unidad Organizativa (OU) proporciona otro nivel de límite administrado. Las OU’s proporcionan una vía flexible para agrupar recursos relacionados y delegar su administración al personal apropiado sin proporcionarles privilegios de administración al dominio entero. Como los dominios, las OU’s no son un límite de seguridad verdadero. Aunque pueden asignarse permisos a una OU, todas las que están en el mismo dominio autentican recursos contra los recursos de dominio y del bosque. Aún así, un buen diseño en la jerarquía de OU’s beneficiará el desarrollo, despliegue y administración de medidas de seguridad efectivas.


Se puede considerar la necesidad de dividir el control administrativo de servicios y datos dentro del diseño actual de Active Directory. Un diseño efectivo de Active Directory requiere que se entienda completamente las necesidades de la organización en la autonomía y aislamiento de servicios como para la autonomía y aislamiento de datos.