Grupos, unidades organizativas y delegación
Utilización de los grupos en entornos Active Directory
1. Los diferentes tipos de grupos Windows
La casi totalidad de los sistemas operativos implementa el concepto de grupo con el fin de simplificar la administración de sistemas, así como la gestión de acceso a recursos compartidos por los mismos sistemas. De esta forma, combinando las diferentes categorías de usuarios dentro de los grupos, resulta más fácil asignar los derechos, los permisos y luego garantizar su seguimiento.
En efecto, la gestión de las autorizaciones concedidas de manera específica a determinados usuarios debería seguir siendo una operación excepcional difícil de gestionar y supervisar, en el tiempo.
A partir de OS/2 LAN Manager y desde las primeras versiones de Windows NT, la noción de grupo se ha utilizado de forma amplia en el marco de la gestión de los privilegios de administración y acceso a recursos compartidos. Sin embargo, fuera del marco del dominio, cabe recordar que los grupos también están disponibles en todas los equipos Windows o Windows Server.
Hoy en día, los servicios de directorio Active Directory ofrecen muchos grupos predefinidos, así como diferentes tipos de grupos, todos destinados a diferentes tipos de uso. La pantalla siguiente ilustra este aspecto y demuestra que Active Directory ofrece dos grandes grupos: los grupos de seguridad y los grupos de distribución.
a. Los grupos de seguridad
Como su nombre indica, los grupos de seguridad se destinan a ser utilizados en el marco de las operaciones que requieren un control de acceso específico. Para que estas operaciones o solicitudes de acceso pueden ser controladas, los grupos de seguridad deberán disponer de un SID único (Security Identifer Descriptor), al igual que ocurre para los objetos de las clases user, inetOrgPerson, computer, o domainDns.
Por supuesto, cuando los usuarios son miembros de uno o varios grupos, heredan los permisos asignados a cada uno de los grupos a los que pertenecen.
Podemos verificar con facilidad este punto procediendo de la siguiente forma:
Abra una sesión con una cuenta de usuario de dominio.
Abra un símbolo de sistema y escriba el comando whoami /all.
Analicemos la información devuelta. Descubriremos, nuestro nombre de inicio de sesión, pertenencias a grupos, SID respectivos, así...
Definición de una estructura de unidades organizativas
1. Rol de los objetos unidades organizativas
Una unidad organizativa es un objeto del directorio Active Directory. Este tipo de objeto container (o contenedor), es un objeto fundamental en todos los sistemas de directorio. De hecho, es utilizado de forma regular como contenedor de la estructura lógica.
Podemos colocar aquí un número casi ilimitado de objetos de clase usuario, inetOrgPerson, grupos, equipos y también otras unidades organizativas.
Observe que las unidades organizativas no pueden, por definición, contener objetos de su propio dominio y de ninguna manera objetos provenientes de otros dominios Active Directory.
Además, como contenedor privilegiado, la unidad organizativa podrá ser usada con facilidad para asumir las operaciones listadas a continuación:
-
Las unidades organizativas permiten la implementación de un modelo organizado.
-
Las unidades organizativas pueden contener objetos que estarán sujetos a la política de delegación aplicada a la unidad organizativa, y también de manera específica a través de las distintas autorizaciones aplicables directamente sobre los objetos.
-
Las unidades organizativas permiten definir un verdadero modelo de administración mediante la utilización de objetos directivas de grupo para configurar todos los tipos de equipos así como los entornos de los usuarios.
En la medida en que los servicios de delegación...
Delegación de la autoridad de administración y uso de las unidades organizativas
La delegación de la administración nos permitirá asignar una serie de tareas administrativas a los usuarios y grupos seleccionados de manera adecuada. De esta forma, algunas operaciones básicas o simples podrán ser realizadas por los usuarios o grupos que no tienen por supuesto los privilegios de tipo administrador.
Procediendo de esta manera, los verdaderos administradores pueden dedicarse a la administración de los servicios de empresa incluidos en Active Directory o en la periferia de la infraestructura.
Otro aspecto importante es la "buena gestión" de los recursos. En efecto, ¿quién puede conoce mejor los permisos para conceder a los recursos que quien los ha creado de forma directa? El mismo usuario, ¡por supuesto!
Los servicios de delegación permiten al final liberar a los administradores de ciertas tareas que consumen un tiempo precioso a menudo y a las personas directamente responsables de ciertos recursos gestionar mejor los accesos. Por último, la delegación de la administración puede ser vista como una especie de "descentralización" del poder y puede beneficiar a un grupo mayor.
Entre las grandes operaciones que se refieren a la delegación de la autoridad ejecutiva sobre los objetos del directorio Active Directory, necesitaremos:
-
Delegar el control administrativo dentro de un dominio de nuestro bosque mediante la creación de una jerarquía de unidades organizativas y delegando el control administrativo sobre algunas de estas unidades organizativas a los usuarios o grupos de usuarios de confianza.
-
Tener en cuenta la estructura de su organización para decidir qué unidades organizativas y qué tipo de objetos deben o pueden ser delegados.
-
Personalizar las consolas de gestión MMC para crear una versión personalizada y limitada de un componente como Usuarios y equipos de Active Directory o Gestión del equipo. La personalización de las consolas MMC se efectúa a través del Asistente para nueva vista de cuadro de tareas... el cual permite controlar las opciones ofrecidas a las personas para efectuar una delegación de la administración.
-
Documentar las delegaciones efectuadas y asegurarse de que los usuarios a los que va a ser asignado...
Uso de las unidades organizativas para las directivas de grupo
Más adelante estudiaremos en detalle el funcionamiento de las directivas de grupo. Sin embargo, la relación que existe entre los contenedores de tipo unidad organizativa y los objetos de la directiva de grupo es tal que no es posible olvidar las mejores prácticas que deben respetarse para la definición de una jerarquía de unidades organizativas y el correcto uso de las directivas de grupo dentro de la misma jerarquía.
Los objetos de la directiva de grupo son objetos de directorio Active Directory que permiten el despliegue de conjuntos de parámetros para los equipos y los usuarios. Gracias a estos objetos, podemos soportar mediante Active Directory todos los parámetros de registro, parámetros de seguridad, los scripts de inicio y cierre de sesión, la instalación y gestión de aplicaciones, la redirección de los directorios, la administración de cuotas de disco, la gestión de los parámetros de redes Wifi , las directivas de restricción de software, los parámetros AppLocker, los parámetros de claves públicas, los parámetros de directivas IPSec, los parámetros de Internet Explorer, los parámetros de QoS (Quality of Services), a los que habrá que añadir incontables parámetros ofrecidos a través de las extensiones de tipo GPP - Group...
Reglas generales y mejores prácticas
Emplear al máximo las funcionalidades de herencia del directorio Active Directory y bloquear la herencia a nivel de un contenedor solo cuando sea necesario.
Utilizaremos un modelo basado en la organización si deseamos que los primeros niveles representen las distintas entidades, direcciones o centros de coste de la empresa. Cuando la empresa tiene una estructura complicada, este modelo permite construir de forma simple un plan de delegación de la administración que refleja con precisión la organización de la empresa. Sin embargo, este modelo puede presentar el siguiente inconveniente:
-
Esta técnica depende de la organización y se ve afectada cuando la empresa está sujeta a una reorganización interna.
-
Por otra parte esta estructura ya es conocida, y será por lo general aprobada por todos. Este punto no es un inconveniente y puede incluso considerarse como un certero beneficio.
Utilizar un modelo basado en las diferentes actividades de la empresa cuando una actividad se basta por sí misma y por tanto tiene una gran autonomía. Si la empresa parece estar compuesta por varias entidades muy autónomas, e incluso independientes, un modelo de este tipo suele resistir todas las reorganizaciones.
Verifique que los primeros niveles de la jerarquía no estén sujetos a cambios frecuentes. La idea es que en un bosque compuesto...