Bien, en nuestra primera parte vimos una descripción general sobre los grupos en Active Directory, si no la conoces puedes revisarla antes de continuar con esta segunda parte.
En esta parte vamos a tratar de aclarar las dudas más importantes que surgen con respecto a los grupos en Active Directory
Existen cuatro ámbitos de grupo: Local, Dominio local, Global y Universal, los ámbitos de grupo cuentan con unas características dentro de las cuales se enmarca cada uno de los ámbitos de grupo mencionados, mucha atención a ellas, de ello depende en gran parte el entendimiento del tema.
Replicación: Se trata de dónde es definido el grupo y a cuáles sistemas se puede replicar.
Membresía: Se trata de qué tipos de objeto puede tener un grupo como miembros, y por ejemplo si éstos pueden contener miembros de otros dominios.
Visibilidad: Como su nombre lo indica, desde dónde puede ser visto el grupo para por ejemplo ser agregado en la lista de control de acceso de algún recurso.
Ahora hagamos un análsis de cada uno de los ámbitos de grupo existentes en Windows, teniendo muy en cuenta las caracterpisticas mencionadas.
Ámbito local:
Replicación: Estos grupos solo existen en la base de datos de cuentas (SAM) en donde fueron definidos, no existen en Active Directory, y no se replican a ningún otro equipo.
Membresía: Un grupo local puede contener como miembros los siguientes objetos:
- Usuarios, Computadores, grupos globales, o grupos de dominio local
- Usuarios, Computadores y grupos globales de cualquier dominio en el bosque
- Usuarios, Computadores y grupos globales de cualquier dominio de confianza
- Grupos universales definidos en cualquier dominio del bosque
Visibilidad: Un grupo local es visible solamente desde el mismo equipo.
Ámbito Dominio Local:
Replicación: Un grupo de dominio local es definido en el contexto de nomenclatura del dominio en la base de datos de Active Directory NTDS.dit, el grupo y sus miembros son replicados en todos los controladores de dominio de un dominio
Membresía: Un grupo de dominio local puede incluir los siguientes miembros.
- Usuarios, Computadores, grupos globales, u otros grupos de dominio local
- Usuarios, Computadores y grupos globales de cualquier dominio en el bosque
- Usuarios, Computadores y grupos globales de cualquier dominio de confianza
- Grupos universales definidos en cualquier dominio del bosque
Visibilidad: Un grupo de dominio local puede ser agregado a cualquier lista de control de acceso de cualquier recurso en cualquier equipo del mismo dominio, estos grupos también pueden ser miembros de otros grupos de dominio local y de grupos locales.
Si observamos detenidamente las características de los gruopos que tienen la palabra "local" vemos que sus características de Replicación y Membresía son las mismas, la única diferencia entre los dos es la visibilidad, dado que la que un grupo Local no puede ser "visto" desde ningún otro lado que no sea nuestra máquina, mientras que el grupo de Dominio local puede ser "visto" desde cualquier equipo del mismo dominio.
Ámbito Global:
Replicación: Un grupo global es definido en el contexto de nomenclatura del dominio, el grupo incluyendo sus miembros, es replicado a todos los controladores de dominio del mismo dominio.
Membresía: Un grupo global puede contener los siguientes miembros:
- Usuarios, Computadores, grupos globales, u otros grupos globales en el mismo dominio
Visibilidad: Un grupo global es visible desde todos los equipos miembros del dominio, también por otros dominios en el bosque, así como por cualquier otro bosque externo con el cual se tenga una relación de confianza. Un grupo global puede ser miembro de cualquier grupo de dominio local o universal en el dominio o en el bosque, también puede ser miembro de cualquier grupo de dominio local en un dominio de confianza. En conclusión un grupo global puede ser agregado a la lista de control de acceso de cualquier recurso en el dominio, en el bosque, o en dominios de confianza.
Importante: Si observamos con detenimiento un grupo global tiene una membresía limitada solamente grupos globales, pero su Visibilidad es la más amplia ya que es visible desde todos los dominios del bosque y cualquier otro con el que se tenga una relación de confianza.
Ámbito Universal:
Replicación: Un grupo universal es definido desde un solo dominio en el bosque pero es replicado en el catálogo global, los objetos que se encuentran en el catálogo global son visibles desde cualquier lugar del bosque.
Membresía: Un grupo universal puede contener como miembros los siguientes objetos:
- Usuarios, grupos globales, y otros grupos universales de cualquier dominio en el bosque
Visibilidad: Un grupo universal puede ser visto desde cualquier dominio en el bosque, puede ser miembro de otros grupos universales o de dominio local, este grupo es especialmente útil para otorgar accesos a través de todo el bosque.
La siguiente tabla resume todo lo anterior:
Tomada de: Exam 70-640: TS: Windows Server 2008 Active Directory, Configuring (2nd Edition), Microsoft Press
Bien, lo anterior teóricamente puede parecer muy bonito, pero cómo se aplica esto en el mundo real?. Lo veremos en más adelante en otra entrega.
No hay comentarios:
Publicar un comentario