Si eres parte del mundo de la tecnología, es muy probable que hayas escuchado hablar de Active Directory. Esta herramienta ha revolucionado la forma en que se manejan las cuentas y permisos en una red de computadoras. En este artículo, exploraremos los diferentes tipos y ámbitos de grupos de Active Directory, para que puedas entender mejor cómo funcionan y cuál es su utilidad en la gestión de usuarios y recursos de una organización. ¡Descubre cómo sacarle el máximo provecho a esta herramienta!
Los grupos son una de las herramientas más importantes Directorio activo (AD) administrador tiene en su caja de herramientas. Los grupos son objetos que pueden incluir usuarios, computadoras e incluso otros grupos como miembros. Windows Server 200x (2000, 2003, 2008; en el momento de redactar este documento incluye soporte para dos tipos de grupos: Distribución y Seguridad. Los grupos de distribución se introdujeron con AD 2000.
Se utilizan principalmente para listas de distribución de correo electrónico. Los grupos de distribución no se pueden usar para proteger los recursos (no se les pueden aplicar ACL). Sin embargo, los grupos de seguridad pueden estar habilitados para correo. Es importante para planificar adecuadamente el uso de grupos antes de implementar su infraestructura de Active Directory para garantizar que se pueda administrar y escalar bien. Los grupos se clasifican en uno de los tres ámbitos de grupo: dominio local, global y universal.
Grupos locales de dominio
Los grupos locales de dominio se definen en el dominio local y se pueden usar para proteger los recursos SOLAMENTE en el dominio local. Pueden contener miembros del mismo dominio, bosque y miembros de dominios de confianza.
Grupos globales
Los grupos globales se definen en el dominio local y se pueden usar para proteger los recursos en el dominio local, cualquier dominio del bosque y en cualquiera de los dominios de confianza. Pueden contener miembros SOLAMENTE del mismo dominio.
Grupos universales
Los grupos universales se utilizan para otorgar acceso principal a los recursos en todos los dominios de confianza. También pueden contener miembros de cualquier dominio del bosque.
Para administrar los recursos con el menor esfuerzo administrativo, es importante seguir una o más de estas mejores prácticas:
A --> G <-- PA --> G --> DL <-- PA --> G --> U --> DL <-- P
A – CuentasG – Grupos globalesDL – Grupos locales de dominio
Por ejemplo, el concepto de A --> G --> DL <-- P es como sigue:
- Agregar usuarios a grupos globales.
- Agregar grupos globales a grupos locales de dominio.
- Aplicar permisos a grupos locales de dominio.
En este ejemplo, digamos que Bob es miembro del equipo de Ventas. Bob se agrega al grupo global «Equipo de ventas». El equipo de ventas necesita acceso a un recurso compartido de archivos llamado Datos. Se crea un grupo local de dominio llamado «Datos de ventas» y el grupo global llamado «Equipo de ventas» es miembro. El permiso «LEER» se aplica al grupo local de dominio «Datos de ventas».
Ahora, Bob se jubiló y se contrató a Sally. A Sally se le puede otorgar el mismo acceso que a Bob simplemente agregándola al grupo global «Equipo de ventas». Cuantos más recursos y grupos se definan, más efectivo se vuelve este concepto.
