Grupo de distribución de anuncios
Los profesionales de TI saben muy bien que Active Directory tiene dos tipos de grupos: los grupos de seguridad, que se utilizan para asignar permisos a los recursos compartidos, y los grupos de distribución, que se utilizan para crear listas de distribución de correo electrónico. Pero no todo el mundo entiende que cada uno de estos grupos de Active Directory tiene un ámbito de aplicación, y comprender cómo funciona el ámbito de aplicación es vital para la seguridad y la continuidad del negocio. Esta entrada del blog se sumerge en lo que es el ámbito de grupo y exactamente por qué es importante. También presentaremos los modelos de mejores prácticas de Microsoft para utilizar el ámbito de grupo en Active Directory, incluidos los aspectos positivos y negativos clave de cada uno.
El ámbito de un grupo de AD determina tanto dónde se puede aplicar el grupo en el bosque o dominio como quién puede ser miembro de un grupo. Debido a que Active Directory tiene pocas limitaciones sobre cómo los grupos pueden anidarse unos dentro de otros, la anidación de grupos puede presentar enormes riesgos de seguridad y operativos para una organización. La única ayuda real que ofrece AD para combatir los riesgos del anidamiento de grupos de seguridad es el ámbito de grupo.
Usuarios de gestión remota
Un usuario, Tom, desea tener acceso a los recursos que necesita para su trabajo. También sus colegas: Esta es una forma obviamente ineficiente de asignar los recursos de un dominio. Los Grupos Locales de Dominio proporcionan una solución. Se puede crear un grupo local de dominio. Sólo tiene permisos para los recursos de su propio dominio.
Los miembros añadidos a este grupo obtienen todos los permisos que necesitan para los recursos de este dominio. Los miembros añadidos a este grupo obtienen todos los permisos que necesitan para los recursos de este dominio. PERO ANTES DE EMPEZAR – ¡PIENSA!
Puede que sea mejor añadir un grupo de usuarios, en lugar de los usuarios por separado. Si los usuarios se han convertido en un grupo global, entonces pueden colocarse en cualquier grupo local del dominio que sea necesario para darles acceso a los diferentes recursos que puedan necesitar de vez en cuando. Estos grupos globales no tienen permisos propios, pero pueden obtenerlos siendo miembros de Grupos Locales de Dominio con permisos.
Mientras que un Grupo Local de Dominio puede dar permisos sólo para recursos en su propio dominio, puede tener miembros de cualquier parte del árbol o bosque. Los grupos universales deben manejarse con cuidado. Pueden ser miembros de cualquier grupo (incluyendo otros grupos universales) y tener permiso para cualquier cosa en cualquiera de los dominios de la empresa. Cualquier usuario de cualquier dominio, o cualquier grupo global o universal de cualquier dominio puede ser miembro de un grupo universal.
Ámbito de grupo global frente a universal
Un grupo universal es un grupo de seguridad o distribución que contiene como miembros a usuarios, grupos y equipos de cualquier dominio de su bosque. Puede otorgar a los grupos de seguridad universales derechos y permisos sobre los recursos de cualquier dominio del bosque.
Grupo global es un grupo que puede utilizarse en su propio dominio, en servidores miembros y en estaciones de trabajo del dominio, y en dominios de confianza. En todas esas ubicaciones, puede otorgar derechos y permisos a un grupo global y el grupo global puede convertirse en miembro de grupos locales. Sin embargo, un grupo global puede contener cuentas de usuario que sólo pertenezcan a su propio dominio.
Un grupo local de dominio es un grupo de seguridad o distribución que puede contener grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. Puede otorgar a los grupos de seguridad locales de dominio derechos y permisos sobre recursos que residan únicamente en el mismo dominio en el que se encuentra el grupo local de dominio.
Un grupo global no puede tener un miembro multidominio
La anidación de grupos en Active Directory (AD) permite un mejor control en la gestión del acceso a los recursos de la red AD. El anidamiento de grupos también facilita la asignación de permisos en varios dominios y reduce en gran medida las molestias para los administradores de TI. Sin embargo, el proceso de anidamiento de grupos puede resultar confuso rápidamente debido a los distintos tipos de grupos de AD y a su alcance. Por lo tanto, en este artículo, aprenderemos qué es la anidación de grupos, los tipos de grupos y su alcance de anidación, cómo puede anidar un grupo y las mejores prácticas para la anidación de grupos para evitar confusiones y complicaciones.
La anidación de grupos de AD, en pocas palabras, es el proceso de poner un grupo dentro de otro grupo. Los grupos anidados heredan los permisos y privilegios del grupo bajo el que se encuentran, lo que facilita la administración de privilegios. Sin embargo, no todos los grupos pueden anidarse dentro de otros grupos, y esto depende de los tipos de grupos en AD, y su ámbito de anidación.
Consejo a tener en cuenta: Utilice siempre el primer proceso para anidar grupos en AD a menos que tenga cuentas de usuario y equipo de dominios o bosques de confianza externos para simplificar las cosas. Siempre puede modificar el grupo anidado creado con el primer proceso para incluir un grupo universal más adelante en caso de que sea necesario.