Administrando grupos (w2008/2012)

Para entender cómo funcionan los grupos, debemos conocer en que se basan los grupos y su funcione. Para ello necesitamos dos tipos de grupos (no hablamos de local, universal, global), si no que hablamos de su función, y que según su función se llaman “role group” y “Rule Group”


  • Role group: contiene usuarios, computers y otros role groups. Es decir, son principalmente los grupos Globales. Y estos grupos se meterán dentro dentro de los grupos de dominio local que tendrán los recursos compartidos, etc)
    • Rule groups: son grupos de dominio local, que son los que se ponen en el ACL de los recursos compartidos, en los servidores de archivos y que contienen los grupos como marketing, etc

 

La nomenclatura de los grupos

Role groups: por ejemplo si son usuarios de Ventas, lo podemos llamar “sales”

Rule groups: por ejemplo si es un grupo de lectura para un recurso, se puede llamar “ACL_Sales-Folder_read“. Por ejemplo podemos seguir una nomenclatura asi:

  • Prefijo: propósito del grupo: ACL
  • ID del recurso: que está administrando, per ejemplo la carpeta “sales”, de ahí Sales-Folder
  • Sufijo: nivel de acceso, pñor ejemplo Read

 

Grupos


 

Creación de grupo

  • Group name: usado por w2000 y superior, para identificar el objeto. Y es el CN
  • Group name (pre-windows 2000): usado para sistemas NT, o dispositivos como NAS que ejecutan Sistemas operativos no Windows

 

Group Type:

  • Security: Es un security principal con SID. Se usa para asignar permisos y se puede activar para correo
  • Distribution: usado solo para e-mail. No se puede usar para permisos, y no tiene ID

 

Ambito de grupos

Hay distintos ámbitos de grupos; local, global, universal y dominio local, y cada grupo se distingue por lo siguiente

  • Replicación: en donde se guardan los grupos (en local, en el AD)
  • Membresia: que tipos de objetos y desde que dominio pueden ser miembros
  • Disponibilidad: donde puede ser el grupo usado

 


 

  • Global: contiene objetos del dominio al que pertenece. Es el más pequeño (solo puede contener grupo locales de maquina)
  • Universal: contiene objetos del dominio al que pertenece y contener cualquier objeto del bosque (universales y globales)
  • Dominio local: objeto del dominio, objetos de los dominios de confianza y objetos con los que tenga relación de confianza (global, universal)

 

Local Groups ( LG )

NO se deben de usar, son los grupos locales de los member server o los work group y se crean en la SAM del equipo, por lo que nos hay control ni replicación, y son difíciles de manejar

Replicación:

  • Definido solo en la SAM del equipo local en la que esta

Membresía

  • Usuarios ( U ) Computadoras ( C ), grupos globales ( GG ) , grupos locales de dominio ( GLD )
  • U, C, GL y GLD de Cualquier dominio del bosque o cualquier dominio de confianza
  • Grupos Universales ( GU ) definidos en cualquier dominio del bosque

Ámbito:

  • Limitada a la maquina en la que está creada
  • No puede ser miembro de ningún otro grupo

 

Domain Local Groups ( DLG )

Se crean en la consola del Active Directory. Es el que se usa para el acceso recursos compartidos. A un recurso se le da permisos a este grupo de dominio local, el cual tendrá dentro los grupos globales y universales que queramos que tengan acceso.

Es similar al local group, lo que pasa, que éste se replica en el dominio

 

Replicación:

  • El grupo y su membresía es replicado a cada DC (por ejemplo si tenemos adicional)

Membresía

  • Usuarios ( U ) Computadoras ( C ), grupos globales ( GG ) , grupos locales de dominio ( GLD ) del dominio
  • U, C, GL y GLD de Cualquier dominio del bosque o cualquier dominio de confianza
  • Grupos Universales ( GU ) definidos en cualquier dominio del bosque

Ámbito:

  • Puede estar en cualquier ACL de cualquier recurso sobre cualquier miembro del dominio
  • Puede ser miembro de otro DLG o de LG de otras maquinas

 

Global Groups ( GG )

Los usuarios y computadores los metemos en estos grupos. Los GL son los Role Groups del principio. Estos grupos son los que se meterán el los DLG para el tema de acceso a los recursos compartidos

Replicación:

  • El grupo y su membresía es replicado a cada DC

Membresía

  • U, C, GG y GLD del mismo dominio
  • NO puede contener Grupos universales ( GU )

Ámbito:

  • Disponible para todos los miembros del dominio, otros dominios del bosque y relaciones de confianza con dominios
  • Puede ser agregado a ACL a cualquier recurso de cualquier dominio, pero no es recomendable, ya que lo suyo es usar DLG
  • Puede ser miembro de cualquier DLG o UG del bosque o cualquier DLG de un dominio de confianza

 

 

Universal Groups ( UG )

Es útil en entornos multi-dominio de un Bosque, permitiendo definir roles/rules Group que abarca más de un dominio. Por los que podemos asignar esta UG a un ACL

Por ejemplo si tenemos 3 dominios, y cada dominio tiene usuarios y grupos globales ( GG ), podemos crear un grupo universal ( GU ) y en el añadir los GG de los 3 dominios, así abarcamos a todos los usuarios de los 3 dominios, ya que recordamos que los GG solo abarcan usuarios de sus dominios.

Replicación:

  • Se define en un único dominio del bosque, y estará disponible para otros dominios del bosque
  • Replican a nivel de Forest (catalogo global)

Membresía

  • U, C, GG y UG del cualquier dominio del Forest

Ámbito:

  • Disponible `para cualquier dominio y domain member del Forest
  • Puede ser miembro de otros UG o DLG
  • Puede ser agregado a ACL a cualquier recurso de cualquier sistema del Forest

 

Estrategia de creación de grupos

SIEMPRE: User à Grupo global à Grupo Universal à Grupo dominio Local (local o dominio remoto)


Como vemos en la imagen, tenemos 2 dominio distintos relacionados por una relación confianza, en el cual a los usuarios de cada dominio los añadimos a un Grupo Global respectivo de su dominio.

Creamos un DLG en el dominio en el que está el recurso compartido, y ya que este DLG puede contener Grupos globales de cualquier dominio del forest, o dominio externo de confianza ,le agregamos los dos GG, de esta forma, todos tienen acceso

En un bosque multidominio hay también grupos universales, el cual estará entre el grupo global ( GG) y el grupo de dominio local ( DLG). Todos GG serán miembros de un único grupo universal y este grupo universal es miembro de un DLG en multiples dominios

 

Grupos por defecto creados en el servidor

Containes USERS

Containes BUILTIN

 

Son creados automáticamente por W2008, y se les llama “Default Local groups”

  • Enterprise Admin (user container of the Forest root domain) este grupo es miembro de grupo administradores en cada dominio del bosque. Es propietario de la partición de configuración y tiene el control total del “Domain naming context” en todos los bosques del dominio
  • Schema admins (user container of the Forest root domain): tiene el control del esquema. Se añade el usuario que hizo la instalación


 

  • Administrators (builtin container of each domain): control sobre todos los Domain controlles y datos en el “Domain naming context).

Puede cambiar la membresía de todos grupos en el dominio, Enterprise admin, Schema admin y Domain admins


  • Domain Admins (builtin container of each domain): este grupo se añade al grupo administradores de su dominio, por lo que hereda todoas las capacidades del grupo administradores.

Es añadido automáticamente al grupo administradores local de cada ordenador miembro del dominio

  • Server operator (builtin container of each domain): este grupo puede hacer tareas de mantenimiento en el domain controller y puede hacer logon, arrancar y parar servicios, operaciones de backup y resotres, formatear discos, crear y borrar shares, apagar el DC

    Por defecto no tienen miembros

  • Account Operators
    builtin container of each domain): puede crear y borrar usuarios, grupos y equipos en cualquier OU except la OU “Domain Controllers” y los contenedores “users” y “computers”.

No puede modificar las cuentas que son miembros del grupo administrator y Domain admins, ni modificar estos grupos. Puede logar localmente en el domain controller- No tiene miembros por defecto


  • Backup Operator: builtin container of each domain: puede hacer backup y restores en los DC, logase localmente en el DC y apagarlo
  • Print Operator: builtin container of each domain: mantiene colas de impression en los DC. Puede iniciar logon localmente y apagar el DC

 

 

También tenemos otro grupo a comentar

  • Domain users: un Gruipo Global del dominio que solo puede tener usuarios de ese dominio y que son añadidos automáticamente a este grup cuando se crean los usuarios. No obstante el usuario “Guest” no es miembro de este grupo-

El SID para los Domain user es S-1-5-<domain>-513

  • Authenticated users: Es un grupo built-in que no puede modificarse- Contiene usuarios authenticados en el dominio o dominio confiados. Tambien incluye la cuentas de computadora (computername$) del dominio, o dominios confiados y la cuenta built-in SYSTEM

    La cuenta local de computadora es siempre miembro del grupo Authenticated user, incluso cuando esta desconectada de la red. El SID es S-1-5-11 No puede ser añadido a grupos, pero si como ACL de recursos compartidos

  • Everyone: incluye authentuicted users y Guest users, y servicios SERVICE, LOCAL_SERVICE, NETWORK_SERVICE. El SID es S-1-1-0. No puede ser añadido a grupos, pero si como ACL de recursos compartidos

 

Special identities

Lo bueno de estos grupos es que permiten el acceso basándose en el tipo de authenticacion o conexión, en vez de por cuenta de usuario

Son grupos especiales cuya membresía es controlada por el sistema operativo, y que pueden ser usados en ACL. Por ejemplo crear una carpeta en un sistema que permita a los usuarios ver su contenido cuando están logados localmente

  • Anonymous logon: acceso a recursos y conexiones sin poner password
  • Authenticated Users. Comprendes usuarios autenticados en el dominio, computadoras del dominio, y autehnticaciones gracias a las relaciones de confianza
  • Everyone: comprende Authenticated users, admeas de la cuenta de invitado
  • Interactive: representa a usuarios accediendo a recursos locales, en vez de a recursos de dominio, o conexiones RDP
  • Network: representa a accesos a recursos sobre la red. Cuando un usuario accede a algún recurso a través de la red, es añadido a este grupo automaticamente

 

 

 

ADMINISTRANDO GRUPOS

Podemos crear los grupos por GUI, powershell, con el comando DS

Powershell

  • New-AdGroup –Name Ventas –SamAccountName Ventas –GroupCategory security –Groupscope global – displayName “Grupo de ventas” –Path “cn=users,dc=yo,dc=com”

Para añadir un usuario a un grupo

  • Add-ADGroupMember –Identity Ventas –Member Jose

Para cambiar el tipo de grupo de global a universal

  • Get-adgroup –Filter ‘name –like “ventas”‘ | set-adgroup –globalscope universal

Para cambiar el tipo de grupo de global a universal

  • remove-ADGroup –Identity Ventas

 

Otros comandos powershell

  • Get-ACL: muestra permisos de los grupos
  • New-ADGroup: crea grupo
  • Set-ADGroup: modifica propiedades de un grupo
  • Remove-ADGroup: borra un grupo
  • Get-ADGroupMember: muestra los miembros de un grupo
  • Move-ADObject: mueve un grupo dentro de un dominio
  • Set-ADObject: activa Universal group membership caching
  • Add-ADGroupMember: añade miembros a un grupo
  • Remove-ADGroupMember: elimina miembros a un grupo

 

 

DS Command

  • Dsadd group “cn=users,dc=yo,dc=com” –samid Ventas –secgrp yes –scope g
  • Dsmod group “cn=ventas,cn=users,dc=yo,dc=com –secgrp {yes|no} –scope {l|g|u}

 

Otros comandos DS

  • Dsget: devuelve valores do objetos de AD
  • Dsquery:
    consulta objetos del AD. Es como el Get- de “Powershell”
  • Dsmod: cambia propiedades de objetos existentes
  • Dsrm: elimina objetos del AD
  • Dsadd: añade nuevos objetos al AD
  • DSMove: mueve objetos de una OU a otra

 

Copiar members de un grupo a otro

  • Dsget group “cn=ventas,cn=users,dc=yo,dc=com” –members |
    dsmod “cn=compras,cn=users,dc=yo,dc=com” -addmbr

Copiar membresía de un grupo a otro

  • Dsget group “cn=ventas,cn=users,dc=yo,dc=com” –memberof |
    dsmod “cn=compras,cn=users,dc=yo,dc=com” -addmbr

Borrar un grupo

  • dsrm “cn=ventas,cn=users,dc=yo,dc=com

 

Conversión de grupo

Podemos cambiar el ámbito de los grupos

  • GG à UG y UG à GG
  • DLG à UG y UG à DLG

No podemos cambiar

  • DLG à GG y GG à DLG

 

 

Protección de grupos

Podemos proteger del borrado accidental en viesta > avanced features y en las propiedades del grupo > pestaña object activar la proteccion


Esto lo que hace implícitamente es añadir una entrada “Access control entry ACE” al ACL del objeto denegando explícitamente el permiso Deletion y deletion subree

Lo podemos ver en pestaña seguridad > security > advanced


 

 

Delegar la administración de un grupo

Tras crear un grupo, podemos delegar a otra persona para que pueda agregar miembros al grupo

La administración de la membresía de grupos a un usuario o grupo. Por ejemplo si tenemos un DLG llamado ACL_ventas_edit y necesitamos que un usuario tenga acceso, lo normal es hacer una solicitud al help desk y estos añaden al usuario, pero podemos hacer que el responsable de ventas pueda hacer el cambio

Para ello se usa la pestaña managed By. Vemos que la oficina y dirección las coge de las propiedades del usuario Jose, Esta pestaña tiene dos propósitos

  • Dar información de quien administra el grupo
  • Permitir al usuario/grupo modificar los miembros del grupo si esta activado “Manager can update membership list


Si un usuario ha sido delegado, NO necesita la consola de usuarios y equipos. El usuario solo tiene que usar la capacidad de Search Active directory para encontrar el grupo y cambiar la membresia

Vamoas a Start > Network


 

Pinchamos en Search Active directory y buscabos el grupo


 

Nos aparecerá el grupo y en las propiedades, podemos añadir a los usuarios



 

 

AGREGAR OBJETOS EN EL DIRECTORIO ACTIVO

DSADD

Añade usurios, equipo, contactos, etc

dsadd /?


La sintaxis: dsadd <objeto> <dn> [parámetro]

  • dsadd ou ou=ventas,dc=puma,dc=local

 

Para añadir OU, si queremos remotamente hacerlo desde nuestra Workstation, hay que poner usuario y password

 

dsadd computer /?


  • dsadd computer cn=cliente1,ou=equipos,ou=sevilla,dc=puma,dc=local, -samid cliente1$ -desc “equipo cliente” -loc “planta cuarta”

NOTA: el $ del samid es para que reconozca el netbios, si no pongo el dolar, cuando quiera meter una maquina en dominio que lo ponga en la OU que quiero, me va a crear una maquina nueva llamada cliente, y no va a respetar la que ha creado

 

dsadd move /?

  • dsmove cn=cliente1,ou=sevilla,dc=puma,dc=local -newparent ou=cuenca,dc=sevilla,dc=local

Be the first to comment

Leave a Reply