MCTS 003 Anexo – Configuración de Active Directory en Windows Server 2008 – Tipos de grupo y SID

Articulos MCTS - www.s3v-i.net

Muy buenas a todos de nuevo, a riesgo de resultar pesado y dejando los vídeos para otro momento (tampoco quiero abusar) quiero hacer un inciso sobre el tema de los grupos y del Identificador de Seguridad ya que lo considero muy muy importante y espero que el escribir un anexo solo para recalcarlo os transmita la importancia que creo que tiene ya que de momento no existen comentarios al respecto por lo que no tengo en que apoyarme o basarme para determinar si este anexo es realmente necesario o no.

Bien como ya se comentó en el artículo 003 de la MCTS de Active Directory hay dos tipos de grupos, los grupos de seguridad y los grupos de distribución, repasemos un poco:

Grupos de distribución:
1. Sirven para crear listas de distribución de correo electrónico, al enviar un e-mail a un grupo de distribución lo recibirán todos los miembros del mismo
2. Carecen de SID o Identificador de Seguridad
3. Puesto que no tienen SID no pueden ser utilizados para controlar el acceso a recursos (por ejemplo carpetas)

Grupos de seguridad:
1. Estos grupos pueden actuar como grupos de distribución, es decir, al enviar un e-mail a un grupo de seguridad todos los miembros del grupo lo recibirán
2. Tienen un SID asociado, es decir, es posible controlar y limitar el acceso a los recursos de la red a estos grupos (y por consiguiente, a los miembros de estos)

Bien como vemos en este breve repaso los grupos de seguridad tienen SID y los de distribución no pero…

¿Que es eso del SID? ¿Qué hace?
Bien, el SID es como ya he comentado en otras ocasiones, un Identificador de Seguridad que nos permite (bueno a las máquinas…) verificar que un usuario es quién dice ser de esta forma podemos aplicar las famosas directivas etc de forma que se vean afectados solo los usuarios que nosotros queremos que se vean afectados.

Esto como habrás deducido es lo que nos permite conceder o denegar accesos a por ejemplo, carpetas de la red, mediante el SID es posible prohibir la escritura a una carpeta o por el contrario concederla así como permisos de lectura, ejecución y todos esos que ya conocemos y con los grupos podemos gestionar estos permisos de forma masiva, pero mejor vamos con un ejemplo que nos permita diferenciar y entender en un caso real los dos tipos de grupos, tanto los de distribución como los de seguridad.

Ejemplo
Tenemos una empresa con 342 empleados dividida en varios departamentos, por el extraño motivo que se sea en esta empresa todavía están trabajando con máquinas de escribir lo que pasa es que todo el mundo puede tocar las máquinas de escribir y modificar los documentos que hacen otros… bueno el tema es que han decidido modernizarse de nuevo (lo anterior fue la revolución del lápiz, pasaron del lápiz a la máquina de escribir) y ahora quieren probar con ordenadores así que nos ponemos a diseñar la red y vemos que cuentan con varios departamentos así que empezamos centrándonos por los que más empleados tienen que serán los más complejos de administrar (por volumen).

Bien echamos cuentas y vemos que tenemos un total de 41 administrativos entre recepcionistas, secretarias/os etcétera así que empezaremos por aquí.

1. Creamos una Unidad Organizativa y la llamamos administración
2. Creamos los usuarios (aquí cada uno que piense en como hacerlo, más adelante veremos como crear usuarios de forma masiva)
3. Creamos un grupo de seguridad
4. Abrimos el grupo de seguridad y añadimos a los 41 usuarios creados dentro de la Unidad Organizativa “administración”

Ahora abrimos nuestro explorador de Windows, creamos una carpeta en la unidad adecuada para almacenar la información de la empresa pero no aplicamos permisos todavía, dentro de esta carpeta crearemos una nueva carpeta denominada “Documentos Administración” (por ejemplo) y en la ficha seguridad agregamos al grupo “administración” para que puedan llevar a cabo las tareas necesarias, ya sabéis eso de lectura, ejecutar, modificar… lo que sea necesario.

De esta forma hemos creado a 41 usuarios que están agrupados tanto en una OU como en un grupo de seguridad, mediante la pertenencia al grupo de seguridad podremos controlar más fácilmente el acceso a los recursos de la red y mediante las OU podremos realizar el despliegue de directivas de grupo.

Como vemos todo es cuestión de práctica, ponerse un poco a pensar, ver cual es la estructura real de la empresa y trasladarlo a la topología lógica de Active Directory de forma que podamos tener un mayor control, o dicho de otra forma, un control más preciso tanto de los recursos de la red como de los equipos de la misma.

El grupo de distribución lo podremos usar por ejemplo 8por si nadie le ve utilidad sigo con el ejemplo) para la mensajería interna de la empresa, por ejemplo, podemos tener un grupo de distribución en los que se encuentren todos los grupos de seguridad con todos los usuarios de la red (si no queremos incluir a gerentes o cosas así pues solamente hay que NO añadir esos grupos y listo) que será utilizado para enviar comunicados a todos los empleados, por ejemplo con motivo de una celebración, para solicitar una documentación de los empleados, para difundir cambios en las normas rápidamente o para hacer llegar un calendario con fechas importantes, aquí ya entran en juego las necesidades reales de cada empresa.

Y ya lo voy a dejar aquí, creo que con todo lo dicho y lo explicado ya hay más que de sobra, trataré de hacer algunos gráficos para la ocasión pero no prometo nada…

Un saludo.

Sin categoría

Deja una respuesta