Estrategias de seguridad a

través de grupos

➢ Cornelio Páez Alexi Samantha

➢ Martínez López Paola Montserrat

➢ Tiznado Nieto Juan Manuel

➢ Valdez Aguilar Daniel

Introducción a grupos Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y

otros grupos que se pueden administrar como una sola unidad.

Los usuarios y los equipos que pertenecen a un grupo determinado se

denominan miembros de grupo.

Los grupos de los Servicios de Dominio de Active Directory son objetos de

directorio que residen en un dominio y en objetos contenedores Unidad

Organizativa.

Los grupos de AD DS se pueden usar para:

➢ Simplificar la administración

➢ Delegar la administración

➢ Crear listas de distribución

Los grupos se caracterizan por su ámbito y su tipo. El ámbito determina el

alcance del grupo dentro de un dominio o bosque. El tipo determina si se

puede usar un grupo para asignar permisos desde un recurso compartido

(seguridad) o si se puede usar un grupo sólo para las listas de distribución de

correo electrónico (distribución).

Al grupo que no se le puede ver ni modificar se le conoce como Identidad

Especial, el cual abarca usuarios actuales de la red, invitados o de otros

dominios.

Grupos predeterminados Son grupos de seguridad que se crean automáticamente cuando se crea un

dominio de Active Directory. Su función es controlar el acceso a los recursos

compartidos y permitir funciones administrativas específicas en el dominio.

Cuando se agrega un usuario a un grupo, recibe:

● Los derechos de usuario asignados al grupo.

● Los permisos asignados al grupo para los recursos compartidos.

Los grupos predeterminados se encuentran en la carpeta Builtin que tienen el

ámbito de grupo Integrado local, no se puede cambiar y Users que incluye

grupos definidos con ámbito Global y Local de dominio, en Users los grupos se

pueden mover dentro del dominio, mas no a otros.

Ámbito de grupo Los grupos se caracterizan por su ámbitos, y estos pueden ser:

● Grupo local de dominio. Ayudan a definir y administrar el acceso a los recursos dentro de un dominio

único. Pueden incluir otros grupos y cuentas de dominio de Windows Server

2003, 2000, NT y 2008. A los miembro de este grupo solo se les puede asignar

permisos dentro de un dominio. Y pueden contar con los siguientes miembros:

➔ Grupos con ámbito Global

➔ Grupos con ámbito Universal

➔ Cuentas

➔ Otros grupos con ámbito Local de dominio

➔ Una combinación de los anteriores

● Grupos globales

Los miembros de este grupo sólo pueden incluir

otros grupos y cuentas del dominio en el que se

encuentra definido, se les pueden asignar permisos

en cualquier dominio del bosque.

Estos grupos son utilizados para administrar objetos

de directorio que requieran un mantenimiento

diario, como cuentas de usuarios y equipo.

● Grupos universales

Los miembros de este grupo pueden incluir otro

grupo y cuentas de cualquier dominio del bosque

o del árbol de dominios. A estos miembros se les

pueden asignar permisos en cualquier dominio del

bosque.

Estos se usan para consolidar los grupos que

abarquen varios dominios. Para ello, se agregan

las cuentas a los grupos con ámbito global y se

anidan estos grupos en los grupos de ámbito

universal.

Tipos de grupo

Hay dos tipos de grupo en AD DS:

➢ Grupos de distribución

➢ Grupos de seguridad

Los grupos de distribución se usan para crear listas de distribución

de correo electrónico y los de seguridad se usan para asignar

permisos para los recursos compartidos.

Grupos de distribución

Estos no tienen seguridad habilitada, lo que

significa que no pueden aparecer en las

listas de control de acceso discrecional. Si

necesita un grupo para controlar el acceso

a los recursos compartidos, se crea un

grupo de seguridad.

Grupos de seguridad

Estos son eficaces para conceder acceso a los recursos de red.

Con estos grupos se puede:

➢ Asignar derechos de usuario a los grupos de seguridad de AD DS

➢ Asignar permisos para recursos a los grupos de seguridad

*Los derechos de usuario y los permisos no son lo mismo.

● Permisos Los permisos determinan quién puede obtener acceso a un recurso

compartido y el nivel de acceso, como control total.

Algunos permisos se otorgan automáticamente para proporcionar varios

niveles de acceso a los grupos de seguridad predeterminados.

● Derechos de usuario Se asignan derechos de usuario a un grupo de seguridad para determinar lo

que pueden hacer los miembros de ese grupo en el ámbito de un dominio.

Algunos derechos se asignan automáticamente al instalar AD Ds para ayudar a

los administradores a definir la función administrativa de una persona en el

dominio.

Identidades especiales

Aparte de los grupos ya mencionados, también se encuentran las identidades

especiales.

Por comodidad se les suele llamar grupos. Estos grupos especiales no tienen

pertenencias especiales que se puedan modificar.

Los grupos siguientes son identidades especiales:

➢ Inicio de sesión anónimo

➢ Todos

➢ Red

➢ Interactivo

Niveles de funcionamiento Este determina cómo se comportarán los grupos dentro del bosque y a la vez

determina qué clase de características estarán disponibles.

● Cambiar el nivel funcional del dominio

En la herramienta Usuarios y equipos de Active

Directory haga clic derecho en el dominio, y

seleccione Elevar Nivel funcional del dominio.

Observará el siguiente cuadro de diálogo, con el cuál podrá

observar el nivel funcional actual, y además, cambiar a un nivel

superior.

Planificación de estrategias de grupo

Las organizaciones establecen sus propias convenciones de nomenclatura para

los grupos de distribución y seguridad.

Un nombre de grupo debería identificar su ámbito, tipo, finalidad de su

creación y los permisos que puede tener.

Determinación de nombres de grupo de seguridad Debe de tener en cuenta los siguientes puntos al definir una convención de

nomenclatura para los grupos de seguridad:

● Ámbito de los grupos de seguridad Las organizaciones suelen incorporar el ámbito en la convención de

nomenclatura del nombre de grupo.

● Posesión del grupo de seguridad El nombre de un grupo de seguridad de dominio, ya sea universal, global o

local de dominio, debe identificar de forma clara al propietario del grupo e

incluir el nombre del departamento o equipo al que pertenece.

● Nombre de dominio El nombre de dominio o su abreviatura se coloca al

principio del nombre de grupo a petición del cliente.

● Finalidad del grupo de seguridad Se puede incluir en el nombre la finalidad empresarial del grupo y los

permisos máximos que debería tener el grupo en la red. Esto se suele aplicar

a los grupos locales de dominio.

Determinación de nombres de grupo de distribución

Nombres de correo electrónico ➢ Longitud. Utilice un alias corto.

➢ Palabras ofensivas. No use palabras ofensivas, si no está seguro de que

su palabra no sea ofensiva, no la use.

➢ Permitidos. Sólo caracteres permitidos como (-) o (_)

➢ Designaciones especiales. No utilizar (_) al principio, o una combinación

que pueda confundirse con una cuenta de usuario.

Nombres para mostrar ● No incluyas tu alias de usuario como nombre para mostrar

● No incluyas palabras ofensivas

● Longitud máxima de 40 caracteres

● No ponga en mayúsculas toda la descripción

● No use números ni caracteres especiales

● Diagonales (/) sólo en nombres para mostrar.

Posesión Un único grupo de distribución puede tener un máximo de cinco propietarios.