Planeacin cuentas de

usuario, computadoras y
Grupos
By Jorge Magallanes

Planeacin de Active Directory

Qu son las Cuentas de usuario (UA)?

Es uno de los objetos no contenedores de AD.
Sirve para autenticar y autorizar a una persona a tener a acceso a los
recursos de la red(1).
Es importante considerar la administracin de usuario en estos
aspectos:
contraseas de los usuarios
membresa de grupos
habilitar, deshabilitar o expirar cuentas

Qu son las cuentas de computadoras(CA)?

Es un objeto similar a las cuentas de usuario.
Las computadoras, sean stas estaciones de trabajo y servidores, se
representan a travs de este objeto (1)
Este objeto es necesario por los siguientes motivos:
acceso a los recursos de forma segura
utilizar las GPOs
tener permisos asignados
Un canal seguro se establece entre una computadora y un DC, por
medio de este objeto y un password almacenado en el OS.

Consideraciones para la administracin

Es importante tener en cuenta las siguientes consideraciones:
Convenciones de nombre: una poltica de nombrado
Nombres deben ser nicos por cada dominio (sAMAccountName)
Ubicacin dentro de la jerarqua de OUs: asegurarse que se alinee
con los requerimientos de delegacin y de GPOs
Polticas de nombrado
Cuentas de computadora: localizacin, funcin primaria
Ejemplos: LEI-DC

, LONSRV

, LEIWKS

Cuentas de usuario: representar al usuario, no usar nicknames, etc

Grupos de AD
Grupos son objetos que contiene una coleccin de usuarios. Pero en AD
los grupos pueden contener
cuentas de usuario
cuentas de computadora
grupos
Grupos son usualmente creados para dar acceso a los recursos
mediante la asignacin de permisos y derechos.
Sin embargo tambin son utilizados para enviar mails a un conjunto de
usuarios.

Grupos: tipos y alcance

Los tipos de grupos son:
Seguridad: otorgar (grant) o restringir (deny) el acceso a los
recursos
Distribucin: enviar correos-e
El alcance del grupo (scope) define dnde deben estar localizados los
miembros del grupo y en qu parte del forest pueden ser usados en una
ACL. Existen 3 alcances de grupos que son:
Globales (global group)
Dominio local (domain local group)
Universales (universal group)

Alcance de los grupos (global y local)

Miembros: Quienes pueden ser sus miembros?
universal group(UG) y domain local group(DLG): objetos ubicados
en cualquier dominio del forest
global group (GG): objetos ubicados en el mismos dominio al que
pertenece

ACLs: Desde que parte del forest se pueden utilizar?

universal group y global group: asignar permisos a los recursos en
cualquier dominio del forest
domain local: asignar permisos a los recursos en el mismo dominio
al que pertenece

Polticas de nombrado para grupos

Una buena convencin para el nombre del grupo incluir:

El propsito principal del grupos

Recurso o Rol: Sales, Consultants, Gerentes _TI, Folder TI
Nivel: Adm_Full, Read, AdmUsers

Propsito

Recurso

Nivel

Sin embargo pueden haber otras convenciones por ejemplo que incluya
alcance como: Sales_GG, o ubicacin NYC_Sales

Asignar permisos en un ambiente multidominio

Ambientes de un solo forest
mltiples dominios el enfoque a
utilizar es AGDLP(ver fig):
AGDLP: Accounts in global,
global in domain local, domain
local have permission.
Ambientes de mltiples forest se
utiliza AGUDLP
Los UG sirven para consolidar
grupos globales en todo el forest

Referencias
(1) Active Directory CookBook, Fourth Edition, Chapters 6,7,8.
(2) Active Directory, Fourth Edition, by Robbie Allen, Editorial OReilly,
Chapter 10 Designing the Namespace