Saltar a contenido

Grupos en Active Directory.

Un grupo es un conjunto de usuarios o equipos que tienen una serie de permisos para acceder a ciertos recursos o realizar ciertas tareas.

Tipos de grupos:

  • Predeterminados (builtin): Aquellos que se crean automáticamente con la configuración del dominio de Active Directory.

    • Ejemplo: “Domain Users” o “Domain Admins”.

  • Grupos de Distribución: Se usa habitualmente en el correo electrónico para envío masivo de correos. Se conocen también como listas de distribución, se suele usar junto con Microsoft Exchange.

  • Grupos de Seguridad: Se utilizan para aplicar permisos a los usuarios pertenecientes a dicho grupo.

Ámbito de grupo:

El ámbito de grupo es el alcance del grupo, es decir si son válidos dentro de un dominio, dentro de un árbol (subdominio) o dentro de un bosque (diferentes dominios).

  • Grupos locales de equipo: Son los grupos del equipo, no forman parte de Active Directory.

  • Grupos Locales de dominio: Son aquellos grupos cuyo ámbito está dentro del dominio (árbol) al que pertenecen, es decir, sus miembros pueden pertenecer a otros dominios (teniendo relaciones de confianza), pero los recursos a los que puede acceder son sólo los del dominio al que pertenece el grupo.

  • Grupos Globales: Pueden hacer referencia a cualquier recurso de cualquier dominio de Active Directory (bosque), pero todos sus miembros deben pertenecer al mismo dominio (árbol).

  • Grupos Universales: Pueden hacer referencia a cualquier dominio de Active Directory y además sus miembros pueden pertenecer a diferentes dominios del mismo servicio de Active Directory (bosque).

Ámbito
Usuarios de cualquier dominio
Recursos de cualquier dominio
Local de Dominio
Global
Universal

Administrador del grupo.

  • Es recomendable agregar un administrador por grupo:

    ⚡ Esto quita trabajo a los administradores del dominio para agregar/eliminar usuarios del grupo.

    ⚡ Habitualmente el administrador suele ser el jefe del departamento.

Membresía.

A parte de que a un grupo pertenezcan varios usuarios tamnbién podemos hacer que un grupo pertenezca a otro grupo, esto permite una mejor organización.

Ejemplo: El grupo de profesores incluye a los grupos de "Informática", "Historia", "Lengua", etc.

Estrategia AGDLP.

Cuando tenemos entornos grandes con varios subdominios o incluso dominios con relaciones de confianza se usa la estrategia AGDLP para ayudar con la organización y gestión de los grupos.

  • Sigue las siguiente estrategia.

    ⚡ Los grupos globales se componen de usuarios y representan roles.

    ⚡ Los grupos locales de dominio se componen de grupos y se asocian a los recursos.

Ejemplo.

  • Dado el recurso "Exámenes" creamos dos grupos locales de dominio (DL) uno DL_Lectura y otro DL_Escritura.

  • Al grupo DL_Lectura asociamos el grupo global (GG) GG_Alumno_2H.

  • Al grupo DL_Escritura asociamos el grupo global (GG) GG_Profesores_Informatica.

Ventaja.

La principal ventaja es la gestión, ahora solo tenemos que preocuparnos de agregar grupos, no de ver qué permisos tiene cada grupo en un mismo recurso.

Es mayor trabajo al principio, pues debemos crear más grupos, pero una vez establecido su gestión se hace más sencilla, especialmente en una empresa grande con muchos departamentos, personal, roles, etc.

Perfiles de contraseñas.

  • Podemos generar perfiles de contraseñas y asociarlas a grupos para que cumplan:

    ⚡ Longitud mínima de caractéres.

    ⚡ Uso de mayúsculas, números, símbolos.

    ⚡ No contener tu nombre de usuario.

Vídeo Explicativo.