Grupos de seguridad en Windows 2008 Server

Comprender el mbito del grupo

Los grupos tienen miembros: usuarios, equipos y otros grupos. Los grupos pueden ser miembros

de otros grupos, y se puede hacer referencia a los grupos por las ACL, los filtros del objeto de

Directiva de grupo (GPO), y otros componentes de administracin. El mbito de los grupos

afecta a cada una de estas caractersticas de un grupo: a lo que contiene, a dnde puede

pertenecer, y dnde puede ser utilizado. Hay cuatro mbitos de grupo: global, dominio local,

local, y universal.

Las caractersticas que definen cada mbito caen dentro de estas categoras:

Replicacin: Dnde se define el grupo y en qu sistemas se duplica el grupo?

Pertenencia: Qu tipos de seguridades principales puede contener el grupo como

miembros? Puede el grupo incluir seguridades principales de dominios confiables?

En el captulo 12, aprender ms sobre las relaciones de confianza, o confianzas. Una

confianza permite a un dominio hacer referencia a otro dominio para la autenticacin

del usuario, para incluir seguridades principales desde el otro dominio como miembros

de grupo, y asignar permisos a las seguridades principales en el otro dominio. La

terminologa que se utiliza puede ser confusa. Si el dominio A confa en el dominio B,

entonces el dominio A es el dominio de confianza y el dominio B es el dominio fiable.

El dominio A acepta las credenciales de usuarios en el dominio B. Se remiten las

solicitudes de los usuarios del dominio B para autenticar a un controlador de dominio en

el dominio B ya que confa en el almacn de identidad y el servicio de autenticacin del

dominio B. El dominio A puede agregar seguridades principales del dominio B a los

grupos y las ACL en el dominio A. Vea el captulo 12 para ms detalles.

Disponibilidad: Dnde puede utilizar el grupo? Est disponible el grupo para

agregarlo a otro grupo? Est disponible el grupo para agregarlo a una ACL?

Tenga en cuenta estas caractersticas mientras explora los detalles de cada mbito de grupo.

Grupos locales

Los grupos locales son realmente locales, estn definidos y disponibles en un nico equipo. Los

grupos locales son creados en la base de datos del administrador de cuentas de seguridad (SAM)

de un equipo miembro del dominio. Las estaciones de trabajo y los servidores tienen grupos

locales. En un grupo de trabajo, utiliza grupos locales para administrar la seguridad de los

recursos en un sistema. En un dominio, sin embargo, la administracin de grupos locales de

equipos individuales llega a ser difcil de manejar y es, en su mayor parte, innecesaria. No es

recomendable crear grupos locales personalizados en miembros del dominio. De hecho, los

grupos locales Usuarios y Administradores son los nicos grupos locales por los que debera

preocuparse para la administracin en un dominio. Para resumir:

Replicacin: Un grupo local se define solamente en la base de datos local SAM de un

servidor miembro del dominio. El grupo y sus miembros no se duplican en cualquier

otro sistema.

Pertenencia: Un grupo local puede incluir como miembros:

o Cualquier seguridad principal del dominio: usuarios, equipos, grupos globales o

grupos locales de dominio

o Usuarios, equipos y grupos globales desde cualquier dominio en el bosque.

o Usuarios, equipos y grupos globales desde dominios confiables.

o Grupos universales definidos en cualquier dominio en el bosque.

Disponibilidad: Un grupo local tiene un mbito solamente en un equipo. Slo puede

utilizar las ACL en el equipo local. Un grupo local no puede ser miembro de cualquier

otro grupo.

Grupos locales de dominio

Los grupos locales de dominio se utilizan principalmente para administrar permisos a los

recursos. Por ejemplo, el grupo ACL_Sales Folder_Read visto anteriormente en la leccin pudo

haber sido creado como un grupo local de dominio. Los grupos locales de dominio tienen las

siguientes caractersticas:

Replicacin: Un grupo local de dominio se define en el contexto de nombre del

dominio. El objeto de grupo y sus miembros (el atributo member) se replican en cada

controlador de dominio en el dominio.

Pertenencia: Un grupo local de dominio puede incluir como miembros:

o Cualquier seguridad principal del dominio: usuarios, equipos, grupos globales u

otros grupos locales de dominio

o Usuarios, equipos y grupos globales desde cualquier dominio en el bosque.

o Usuarios, equipos y grupos globales desde dominios confiables.

o Grupos universales definidos en cualquier dominio en el bosque.

Disponibilidad: Se puede agregar un grupo local de dominio a las ACL en cualquier

recurso en cualquier miembro del dominio. Adems, un grupo local de dominio puede

ser un miembro de otros grupos locales de dominio o incluso grupos locales de equipo.

Las capacidades de pertenencia de un grupo local de dominio son idnticas a aquellas de los

grupos locales, pero la replicacin y la disponibilidad del grupo local de dominio lo hacen ms

til a travs del dominio completo. El grupo local de dominio es, por lo tanto, muy adecuado

para definir las reglas de administracin del negocio, tales como reglas de acceso, ya que se

pueden aplicar al grupo en cualquier lugar en el dominio, y ste puede incluir miembros de

cualquier tipo dentro del dominio y tambin miembros de dominios fiables.

Grupos globales

Los grupos globales se utilizan principalmente para definir colecciones de objetos de dominio

basados en las funciones del negocio. Las funciones del grupo, tales como los grupos Sales y

Marketing mencionados anteriormente, as como tambin las funciones de equipos tales como el

grupo Sales Laptops, sern creadas como grupos globales. Los grupos globales tienen las

siguientes caractersticas:

Replicacin: Un grupo global se define en el contexto del nombre de dominio. El

objeto de grupo, incluyendo el atributo member, se replica en todos los controladores de

dominio en el dominio.

Pertenencia: Un grupo global puede incluir como miembros a usuarios, equipos y otros

grupos globales solamente en el mismo dominio.

Disponibilidad: Un grupo global est disponible para su uso por todos los miembros

del dominio as como tambin por todos los otros dominios en el bosque y todos los

dominios externos fiables. Un grupo global puede ser un miembro de cualquier dominio

local o grupo universal en el dominio o en el bosque. Tambin puede ser un miembro de

cualquier grupo local en dominio de confianza. Finalmente, aun grupo global se pueden

agregar ACL en el dominio, en el bosque, o en dominios de confianza.

Como puede ver, los grupos globales tienen la pertenencia ms limitada (solamente usuarios,

equipos y grupos globales del mismo dominio), pero tiene la disponibilidad ms amplia en el

dominio, el bosque y dominios de confianza. Esto es porque son muy adecuados para definir

funciones, ya que las funciones son generalmente colecciones de objetos del mismo directorio.

Grupos universales

Los grupos universales son tiles en bosques con mltiples dominios. Le permiten denir

funciones, o administrar recursos que abarcan ms de un dominio. La mejor forma de

comprender los grupos universales es a travs de un ejemplo. Trey Research tiene un bosque

con tres dominios: Amrica, Asia y Europa. Cada dominio tiene cuentas de usuario y un grupo

global llamado Regional Managers que incluye a los administradores de esa regin. Recuerde

que los grupos globales pueden contener solamente usuarios del mismo dominio. Se crea un

grupo universal llamado Regional Managers Trey Research, y se agregan los tres grupos

Administradores regionales como miembros. El grupo Regional Managers Trey Research, por

lo tanto, define una funcin para el bosque completo. Se agrega un usuario a cualquiera de los

grupos Regional Managers, este ser, a travs de grupos anidados, miembro de Regional

Managers Trey Research.

Trey Research est planeando poner a la venta un nuevo producto que requiere la colaboracin

de todas sus regiones. Los recursos relacionados al proyecto se almacenan en servidores de

archivos en cada dominio. Para definir quin puede modificar los archivos relacionados al

nuevo producto, se crea un grupo universal llamado ACL_New_Product_Modify. Se asigna a

este grupo permisos de modificacin para las carpetas compartidas en cada uno de los

servidores de archivos en cada uno de los dominios. Se ha hecho al grupo Regional Managers

Trey Research miembro de ACL_New_Product_Modify, as como varios grupos globales y un

grupo de usuarios de cada una de las regiones.

Como puede ver en este ejemplo, los grupos universales le pueden ayudar a representar y

consolidar grupos que abarcan dominios en un bosque y le ayudan a definir reglas que se

pueden aplicar a travs del bosque. Lo grupos universales tienen las siguientes caractersticas:

Replicacin: Un grupo universal se define en un nico dominio en el bosque pero se

duplica en el catlogo global. Aprender ms sobre el catlogo global en el captulo 10.

Los objetos en el catlogo global sern fcilmente accesibles a travs del bosque.

Pertenencia: Un grupo universal puede incluir como miembros a usuarios, grupos

globales y otros grupos universales de cualquier dominio en el bosque.

Disponibilidad: Un grupo universal puede ser miembro de un grupo universal o un

grupo local de dominio en cualquier lugar en el bosque. Adems, un grupo universal

puede ser utilizado para administrar recursos, por ejemplo, asignar permisos en

cualquier lugar del bosque.

Resumen de las posibilidades de pertenencia a un grupo

mbito de grupo Miembros del mismo dominio

Miembros de otro dominio en el mismo bosque

Miembros de un dominio externo fiable

Local Usuarios Equipos Grupos globales Grupos universales Grupos locales de dominio Usuarios locales definidos en el mismo equipo como el grupo local

Usuarios Equipos Grupos globales Grupos universales

Usuarios Equipos Grupos globales Grupos universales

Dominio local Usuarios Equipos Grupos globales Grupos locales de dominio Grupos universales

Usuarios Equipos Grupos globales Grupos universales

Usuarios Equipos Grupos globales

Universal Usuarios Equipos Grupos globales Grupos universales

Usuarios Equipos Grupos globales Grupos universales

Ninguno

Global Usuarios Equipos Grupos globales

Ninguno Ninguno