[1MWETT] MTCS Self-Paced Training Kit (Examen 70-640) - Grupos
description
Transcript of [1MWETT] MTCS Self-Paced Training Kit (Examen 70-640) - Grupos
-
Grupos de seguridad en Windows 2008 Server
Comprender el mbito del grupo
Los grupos tienen miembros: usuarios, equipos y otros grupos. Los grupos pueden ser miembros
de otros grupos, y se puede hacer referencia a los grupos por las ACL, los filtros del objeto de
Directiva de grupo (GPO), y otros componentes de administracin. El mbito de los grupos
afecta a cada una de estas caractersticas de un grupo: a lo que contiene, a dnde puede
pertenecer, y dnde puede ser utilizado. Hay cuatro mbitos de grupo: global, dominio local,
local, y universal.
Las caractersticas que definen cada mbito caen dentro de estas categoras:
Replicacin: Dnde se define el grupo y en qu sistemas se duplica el grupo?
Pertenencia: Qu tipos de seguridades principales puede contener el grupo como
miembros? Puede el grupo incluir seguridades principales de dominios confiables?
En el captulo 12, aprender ms sobre las relaciones de confianza, o confianzas. Una
confianza permite a un dominio hacer referencia a otro dominio para la autenticacin
del usuario, para incluir seguridades principales desde el otro dominio como miembros
de grupo, y asignar permisos a las seguridades principales en el otro dominio. La
terminologa que se utiliza puede ser confusa. Si el dominio A confa en el dominio B,
entonces el dominio A es el dominio de confianza y el dominio B es el dominio fiable.
El dominio A acepta las credenciales de usuarios en el dominio B. Se remiten las
solicitudes de los usuarios del dominio B para autenticar a un controlador de dominio en
el dominio B ya que confa en el almacn de identidad y el servicio de autenticacin del
dominio B. El dominio A puede agregar seguridades principales del dominio B a los
grupos y las ACL en el dominio A. Vea el captulo 12 para ms detalles.
Disponibilidad: Dnde puede utilizar el grupo? Est disponible el grupo para
agregarlo a otro grupo? Est disponible el grupo para agregarlo a una ACL?
Tenga en cuenta estas caractersticas mientras explora los detalles de cada mbito de grupo.
Grupos locales
Los grupos locales son realmente locales, estn definidos y disponibles en un nico equipo. Los
grupos locales son creados en la base de datos del administrador de cuentas de seguridad (SAM)
de un equipo miembro del dominio. Las estaciones de trabajo y los servidores tienen grupos
locales. En un grupo de trabajo, utiliza grupos locales para administrar la seguridad de los
recursos en un sistema. En un dominio, sin embargo, la administracin de grupos locales de
equipos individuales llega a ser difcil de manejar y es, en su mayor parte, innecesaria. No es
recomendable crear grupos locales personalizados en miembros del dominio. De hecho, los
-
grupos locales Usuarios y Administradores son los nicos grupos locales por los que debera
preocuparse para la administracin en un dominio. Para resumir:
Replicacin: Un grupo local se define solamente en la base de datos local SAM de un
servidor miembro del dominio. El grupo y sus miembros no se duplican en cualquier
otro sistema.
Pertenencia: Un grupo local puede incluir como miembros:
o Cualquier seguridad principal del dominio: usuarios, equipos, grupos globales o
grupos locales de dominio
o Usuarios, equipos y grupos globales desde cualquier dominio en el bosque.
o Usuarios, equipos y grupos globales desde dominios confiables.
o Grupos universales definidos en cualquier dominio en el bosque.
Disponibilidad: Un grupo local tiene un mbito solamente en un equipo. Slo puede
utilizar las ACL en el equipo local. Un grupo local no puede ser miembro de cualquier
otro grupo.
Grupos locales de dominio
Los grupos locales de dominio se utilizan principalmente para administrar permisos a los
recursos. Por ejemplo, el grupo ACL_Sales Folder_Read visto anteriormente en la leccin pudo
haber sido creado como un grupo local de dominio. Los grupos locales de dominio tienen las
siguientes caractersticas:
Replicacin: Un grupo local de dominio se define en el contexto de nombre del
dominio. El objeto de grupo y sus miembros (el atributo member) se replican en cada
controlador de dominio en el dominio.
Pertenencia: Un grupo local de dominio puede incluir como miembros:
o Cualquier seguridad principal del dominio: usuarios, equipos, grupos globales u
otros grupos locales de dominio
o Usuarios, equipos y grupos globales desde cualquier dominio en el bosque.
o Usuarios, equipos y grupos globales desde dominios confiables.
o Grupos universales definidos en cualquier dominio en el bosque.
Disponibilidad: Se puede agregar un grupo local de dominio a las ACL en cualquier
recurso en cualquier miembro del dominio. Adems, un grupo local de dominio puede
ser un miembro de otros grupos locales de dominio o incluso grupos locales de equipo.
Las capacidades de pertenencia de un grupo local de dominio son idnticas a aquellas de los
grupos locales, pero la replicacin y la disponibilidad del grupo local de dominio lo hacen ms
til a travs del dominio completo. El grupo local de dominio es, por lo tanto, muy adecuado
para definir las reglas de administracin del negocio, tales como reglas de acceso, ya que se
pueden aplicar al grupo en cualquier lugar en el dominio, y ste puede incluir miembros de
cualquier tipo dentro del dominio y tambin miembros de dominios fiables.
-
Grupos globales
Los grupos globales se utilizan principalmente para definir colecciones de objetos de dominio
basados en las funciones del negocio. Las funciones del grupo, tales como los grupos Sales y
Marketing mencionados anteriormente, as como tambin las funciones de equipos tales como el
grupo Sales Laptops, sern creadas como grupos globales. Los grupos globales tienen las
siguientes caractersticas:
Replicacin: Un grupo global se define en el contexto del nombre de dominio. El
objeto de grupo, incluyendo el atributo member, se replica en todos los controladores de
dominio en el dominio.
Pertenencia: Un grupo global puede incluir como miembros a usuarios, equipos y otros
grupos globales solamente en el mismo dominio.
Disponibilidad: Un grupo global est disponible para su uso por todos los miembros
del dominio as como tambin por todos los otros dominios en el bosque y todos los
dominios externos fiables. Un grupo global puede ser un miembro de cualquier dominio
local o grupo universal en el dominio o en el bosque. Tambin puede ser un miembro de
cualquier grupo local en dominio de confianza. Finalmente, aun grupo global se pueden
agregar ACL en el dominio, en el bosque, o en dominios de confianza.
Como puede ver, los grupos globales tienen la pertenencia ms limitada (solamente usuarios,
equipos y grupos globales del mismo dominio), pero tiene la disponibilidad ms amplia en el
dominio, el bosque y dominios de confianza. Esto es porque son muy adecuados para definir
funciones, ya que las funciones son generalmente colecciones de objetos del mismo directorio.
Grupos universales
Los grupos universales son tiles en bosques con mltiples dominios. Le permiten denir
funciones, o administrar recursos que abarcan ms de un dominio. La mejor forma de
comprender los grupos universales es a travs de un ejemplo. Trey Research tiene un bosque
con tres dominios: Amrica, Asia y Europa. Cada dominio tiene cuentas de usuario y un grupo
global llamado Regional Managers que incluye a los administradores de esa regin. Recuerde
que los grupos globales pueden contener solamente usuarios del mismo dominio. Se crea un
grupo universal llamado Regional Managers Trey Research, y se agregan los tres grupos
Administradores regionales como miembros. El grupo Regional Managers Trey Research, por
lo tanto, define una funcin para el bosque completo. Se agrega un usuario a cualquiera de los
grupos Regional Managers, este ser, a travs de grupos anidados, miembro de Regional
Managers Trey Research.
Trey Research est planeando poner a la venta un nuevo producto que requiere la colaboracin
de todas sus regiones. Los recursos relacionados al proyecto se almacenan en servidores de
archivos en cada dominio. Para definir quin puede modificar los archivos relacionados al
nuevo producto, se crea un grupo universal llamado ACL_New_Product_Modify. Se asigna a
este grupo permisos de modificacin para las carpetas compartidas en cada uno de los
servidores de archivos en cada uno de los dominios. Se ha hecho al grupo Regional Managers
-
Trey Research miembro de ACL_New_Product_Modify, as como varios grupos globales y un
grupo de usuarios de cada una de las regiones.
Como puede ver en este ejemplo, los grupos universales le pueden ayudar a representar y
consolidar grupos que abarcan dominios en un bosque y le ayudan a definir reglas que se
pueden aplicar a travs del bosque. Lo grupos universales tienen las siguientes caractersticas:
Replicacin: Un grupo universal se define en un nico dominio en el bosque pero se
duplica en el catlogo global. Aprender ms sobre el catlogo global en el captulo 10.
Los objetos en el catlogo global sern fcilmente accesibles a travs del bosque.
Pertenencia: Un grupo universal puede incluir como miembros a usuarios, grupos
globales y otros grupos universales de cualquier dominio en el bosque.
Disponibilidad: Un grupo universal puede ser miembro de un grupo universal o un
grupo local de dominio en cualquier lugar en el bosque. Adems, un grupo universal
puede ser utilizado para administrar recursos, por ejemplo, asignar permisos en
cualquier lugar del bosque.
-
Resumen de las posibilidades de pertenencia a un grupo
mbito de grupo Miembros del mismo dominio
Miembros de otro dominio en el mismo bosque
Miembros de un dominio externo fiable
Local Usuarios Equipos Grupos globales Grupos universales Grupos locales de dominio Usuarios locales definidos en el mismo equipo como el grupo local
Usuarios Equipos Grupos globales Grupos universales
Usuarios Equipos Grupos globales Grupos universales
Dominio local Usuarios Equipos Grupos globales Grupos locales de dominio Grupos universales
Usuarios Equipos Grupos globales Grupos universales
Usuarios Equipos Grupos globales
Universal Usuarios Equipos Grupos globales Grupos universales
Usuarios Equipos Grupos globales Grupos universales
Ninguno
Global Usuarios Equipos Grupos globales
Ninguno Ninguno