Grupos en Active Directory IV

Continuando con la serie de artículos dedicados a los grupos en Active Directory, en esta entrega trataremos la estrategia para la creación de grupos, para lo cual recomiendo haber leído las 3 entregas anteriores donde aclaramos conceptos importantes con respecto a los grupos en Active Directory.

Para esta entrega es particularmente importante tener claros los conceptos tratados en los artículos anteriores

En esta entrega revisaremos la estrategia recomendada cuando se trata de trabajar con grupos, si seguimos esta estrategia al pie de la letra, nos encontraremos frente a una estructura solida y escalable de grupos, muchas veces creamos grupos pensando en que las cosas se mantendrán como están, pocas veces pensamos en cosas como qué sucedería si la empresa crece a tal punto de tener muchos usuarios, varias ubicaciones geográficas, varios dominios, y hasta varios bosques, al no tener esto presente creamos los grupos sin pensar en ello, pero si por alguna razón las condiciones de la compañía cambian y llegan por ejemplo fusiones con otras organizaciones o se da la necesidad de crear más dominios, es hasta ese momento que los administradores de la infraestructura de Active Directory entienden que los grupos como fueron creados desde el principio no soportan las necesidades actuales del negocio, y es hasta ese entonces que empiezan a investigar sobre cómo funcionan los grupos en Active Directory, la teoría de esta entrega trata de explicar la estrategia que se debe seguir en cualquier dominio de Active Directory sin importar su tamaño, así tengamos solamente un dominio, así seamos una pyme, debemos siempre tener en mente esta estrategia que refleja además el adecuado diseño de una infraestructura de Active Directory.

La estrategia es conocida como IGDLP (Identidades, Global, Dominio Local, Permisos), estas siglas se utilizan para que sea fácil recordar cómo debemos crear y utilizar los grupos en Active Directory, veamos el ejemplo de cómo se utiliza la estrategia, debemos recordar que significa cada una de las letras de la sigla, empecemos entonces:

Nota: Esta estrategia también es conocida como AGDLP ó UGDLP

1. Debemos coger la primer letra, es decir la (I) que hace referencia a Identidades que pueden ser usuarios, grupos o equipos, en este caso lo haremos con un objeto usuario.

Tenemos nuestro usuario llamado Usuario1, claramente en el mundo real tendrás muchos más usuarios que agregar a los grupos ;-)

2. Pasamos a la segunda letra de la sigla (G), hace referencia a un Grupo Global, lo cual significa que ese usuario que creamos debemos hacerlo miembro de un grupo global, atención con esto tiene que ser global ni Dominio Local o Universal entran aquí, de allí la letra G de la sigla.

Ahora bien, la recomendación es que los grupos globales deben usarse para definir funciones del negocio, es decir; lo ideal es que los grupos globales que utilicemos reciban nombres como: Ventas, Financiera, Ingeniería, Contabilidad, etc.

En ese orden de ideas, nos crearemos un grupo que se llame Ventas (recuerde debe ser Global)

Bien, ahora que hemos creado nuestro grupo Global llamado Ventas, agregaremos nuestro usuario creado en el paso 1 a el grupo recién creado, y la estrategia según sus iniciales va hasta el momento así:

IG nos falta el DLP

Repasemos, tenemos simplemente un usuario como miembro de un grupo global, y el grupo global en su nombre define una función de la empresa

3. Bien, ahora nos vamos con las iniciales DL que significan Dominio Local, lo cual significa que debemos crear un grupo de este tipo.

La recomendación es que los grupos de dominio local según la estrategia se deben usar para otorgar permisos sobre los recursos, por tal razón la forma de nombrarlos debe hacer referencia a lo que pueden hacer sus miembros sobre determinado recurso. Por ejemplo: podemos necesitar un grupo para otorgar acceso de solo lectura a los usuarios del departamento de ventas, por lo cual un nombre apropiado para este grupo podría ser: Ventas_Lectura de ámbito Dominio Local.

Ahora, como sabemos que ese grupo lo usaremos para otorgar acceso de solo lectura al equipo de ventas a cualquier recurso, pues simplemente agregamos el grupo Ventas creado en el paso 2 como miembro del grupo Ventas_Lectura

Y de este modo ya hemos completado la estrategia hasta aquí: IGDL (solo nos falta la P)

4. Bien, ahora vayámonos con la P, ya tenemos nuestro grupo de dominio local, y la recomendación de la estrategia, es que siempre que vayamos a otorgar permisos lo hagamos a través de grupos de dominio local, como el que recién acabamos de crear, en ese orden de ideas vamos a conceder acceso en una carpeta de un servidor, de allí la P de Permisos.

Como se puede apreciar en la imagen anterior, hemos otorgado permisos de solo lectura al grupo Ventas_Lectura sobre una carpeta llamada Documentos de Ventas.

De esta manera hemos completado la estrategia IGDLP.

Tenla siempre en mente a la hora de crear grupos. En resumen tenemos:

• Siempre crear grupos globales que definan funciones de la empresa
• Crear grupos de dominio local solamente para dar permisos
• Los grupos de domino local deben tener como miembros los grupos globales
• Otorgamos permiso al grupo de dominio local

Ahora bien, la razón de usar un grupo de dominio local para otorgar permisos es que debido a que la pertenencia de este es amplia a nivel del bosque e incluso otros dominios con los que se tenga una relación de confianza, podemos otorgar acceso a usuarios en cualquier lugar, mientras que si llegamos a utilizar por ejemplo un grupo global, según ya vimos su pertenencia es limitada, solamente grupos globales del mismo dominio, esto hace imposible agregar usuarios de otros dominios para otorgar permisos, la siguiente imagen resume gráficamente la estrategia.

Bien, la estrategia hasta aquí funciona siempre y cuando se cuente con un solo dominio, pero si tenemos un bosque con varios dominios la estrategia tendrá un componente adicional, y son los grupos de ámbito universal, y entonces el nombre de la estrategia cambia para dar cavidad a los grupos universales y pasa a llamarse IGUDLP, agregamos simplemente una U, lo cual significa que el grupo Global debemos luego hacerlo miembro de un grupo Universal para que sea visible a través de todo el bosque, ya como lo hemos visto en la segunda entrega.

Grupos en Active Directory III

En el artículo anterior, hemos aclarado los ámbitos de grupo en Active Directory, ahora vamos a explicar esa otra parte que aparece cuando creamos un grupo, y se trata del tipo de grupo.

Contamos con dos tipos Seguridad y Distribución la diferencia entre estos dos tipos de grupo es sencilla, cuando elegimos el tipo de grupo "seguridad" significa que podemos usar el grupo creado para asignarle permiso sobre cualquier recurso, mientras que el grupo de distribución es usado solamente como lista de destinatarios para el envío de correo electrónico, los que han trabajado con Exchange ya conocerán este tipo de grupo, sin embargo alguien que no probablemente aún se pregunte la diferencia en estos dos tipos de grupo, sin embargo, es importante tener en cuenta que el hecho de tener un grupo de seguridad no significa que no lo podamos usar como una lista de distribución, pero es una mejor práctica usar un grupo de tipo distribución si sabemos que solo lo usaremos pare ello, es decir; no lo usaremos para otorgar permisos sobre recursos.

Veamos un ejemplo puntual de esta diferencia, vamos a crear los dos siguientes grupos con nombres bastante descriptivos.

Ya con estos dos grupos creados intentaremos darle permisos a cada uno en una carpeta de un servidor. Empecemos con el grupo de seguridad.

Como se puede apreciar en la imagen, hemos podido agregar sin ningún problema el grupo Seguridad que es de tipo "seguridad" a la lista de control de acceso de la carpeta C:\Docs Folder

Ahora, intentemos lo mismo pero con el grupo de distribución, pero vamos a recibir el siguiente mensaje:

Esto significa que no puede encontrar el grupo de distribución que creamos, con esto podemos entender la clara diferencia entre los dos tipos de grupo.

Bien espero con esta  breve explicación el tema del tipo de grupo se haya comprendido.

Ahora si podemos entrar un poco más en materia, ya que hemos visto en el artículo anterior los ámbitos, es hora de empezar a entender cómo se usa esto en la vida real, y puedo empezar por decir que éstos ámbitos se usan para poder gestionar el tema de accesos a nivel de toda una infraestructura de Active Directory, y algo también muy importante es construir un entorno de acceso basado en roles más conocido como RBAC (Role Based Access Control), y para poder hacerlo es importante la teoría tratada en el artículo anterior.

Grupos en Active Directory II

Bien, en nuestra primera parte vimos una descripción general sobre los grupos en Active Directory, si no la conoces puedes revisarla antes de continuar con esta segunda parte.

En esta parte vamos a tratar de aclarar las dudas más importantes que surgen con respecto a los grupos en Active Directory

Existen cuatro ámbitos de grupo: Local, Dominio local, Global y Universal, los ámbitos de grupo cuentan con unas características dentro de las cuales se enmarca cada uno de los ámbitos de grupo mencionados, mucha atención a ellas, de ello depende en gran parte el entendimiento del tema.

Replicación: Se trata de dónde es definido el grupo y a cuáles sistemas se puede replicar.

Membresía: Se trata de qué tipos de objeto puede tener un grupo como miembros, y por ejemplo si éstos pueden contener miembros de otros dominios.

Visibilidad: Como su nombre lo indica, desde dónde puede ser visto el grupo para por ejemplo ser agregado en la lista de control de acceso de algún recurso.

Ahora hagamos un análsis de cada uno de los ámbitos de grupo existentes en Windows, teniendo muy en cuenta las caracterpisticas mencionadas.

Ámbito local:

Replicación: Estos grupos solo existen en la base de datos de cuentas (SAM) en donde fueron definidos, no existen en Active Directory, y no se replican a ningún otro equipo.

Membresía: Un grupo local puede contener como miembros los siguientes objetos:

• Usuarios, Computadores, grupos globales, o grupos de dominio local
• Usuarios, Computadores y grupos globales de cualquier dominio en el bosque
• Usuarios, Computadores y grupos globales de cualquier dominio de confianza
• Grupos universales definidos en cualquier dominio del bosque

Visibilidad: Un grupo local es visible solamente desde el mismo equipo.

Ámbito Dominio Local:

Replicación: Un grupo de dominio local es definido en el contexto de nomenclatura del dominio en la base de datos de Active Directory NTDS.dit, el grupo y sus miembros son replicados en todos los controladores de dominio de un dominio

Membresía: Un grupo de dominio local puede incluir los siguientes miembros.

• Usuarios, Computadores, grupos globales, u otros grupos de dominio local
• Usuarios, Computadores y grupos globales de cualquier dominio en el bosque
• Usuarios, Computadores y grupos globales de cualquier dominio de confianza
• Grupos universales definidos en cualquier dominio del bosque

Visibilidad: Un grupo de dominio local puede ser agregado a cualquier lista de control de acceso de cualquier recurso en cualquier equipo del mismo dominio, estos grupos también pueden ser miembros de otros grupos de dominio local y de grupos locales.

Si observamos detenidamente las características de los gruopos que tienen la palabra "local" vemos que sus características de Replicación y Membresía son las mismas, la única diferencia entre los dos es la visibilidad, dado que la que un grupo Local no puede ser "visto" desde ningún otro lado que no sea nuestra máquina, mientras que el grupo de Dominio local puede ser "visto" desde cualquier equipo del mismo dominio.

Ámbito Global:

Replicación: Un grupo global es definido en el contexto de nomenclatura del dominio, el grupo incluyendo sus miembros, es replicado a todos los controladores de dominio del mismo dominio.

Membresía: Un grupo global puede contener los siguientes miembros:

• Usuarios, Computadores, grupos globales, u otros grupos globales en el mismo dominio

Visibilidad: Un grupo global es visible desde todos los equipos miembros del dominio, también por otros dominios en el bosque, así como por cualquier otro bosque externo con el cual se tenga una relación de confianza. Un grupo global puede ser miembro de cualquier grupo de dominio local o universal en el dominio o en el bosque, también puede ser miembro de cualquier grupo de dominio local en un dominio de confianza. En conclusión un grupo global puede ser agregado a la lista de control de acceso de cualquier recurso en el dominio, en el bosque, o en dominios de confianza.

Importante: Si observamos con detenimiento un grupo global tiene una membresía limitada solamente grupos globales, pero su Visibilidad es la más amplia ya que es visible desde todos los dominios del bosque y cualquier otro con el que se tenga una relación de confianza.

Ámbito Universal:

Replicación: Un grupo universal es definido desde un solo dominio en el bosque pero es replicado en el catálogo global, los objetos que se encuentran en el catálogo global son visibles desde cualquier lugar del bosque.

Membresía: Un grupo universal puede contener como miembros los siguientes objetos:

• Usuarios, grupos globales, y otros grupos universales de cualquier dominio en el bosque

Visibilidad: Un grupo universal puede ser visto desde cualquier dominio en el bosque, puede ser miembro de otros grupos universales o de dominio local, este grupo es especialmente útil para otorgar accesos a través de todo el bosque.

La siguiente tabla resume todo lo anterior:

                  Tomada de: Exam 70-640: TS: Windows Server 2008 Active Directory, Configuring (2nd Edition), Microsoft Press

Bien, lo anterior teóricamente puede parecer muy bonito, pero cómo se aplica esto en el mundo real?. Lo veremos en más adelante en otra entrega.

Grupos en Active Directory I

El tema de grupos en Active Directory, siempre ha sido incomprendido por un gran número de personas, esto lo digo basado en mi experiencia con clientes y con alumnos en mis clases sobre este tema. Entonces, lo que pretendo con este artículo es tratar de explicar el tema de la manera más clara y sencilla posible, ojalá lo logre! y si lo logró por favor házmelo saber con un comentario al final de este artículo.

Empezaré haciendo la primer pregunta que siempre hago en mis clases. ¿Cuándo crean un grupo cuál de las siguientes opciones eligen?

Como se aprecia en la imagen anterior, son los valores que por defecto están seleccionados, lo curioso es que la mayoría de personas escriben el nombre del grupo hacen clic en aceptar, y listo!

Pues en realidad funciona, y el objetivo del grupo recién creado se cumple, pero cuando haces una pregunta del tipo ¿qué pasa si lo cambias a Universal o Dominio local?, probablemente ante esta pregunta muchos no saben que responder, y es precisamente ese el objetivo  de este artículo, aclarar cada una de las opciones que tenemos al crear un grupo, y sobre todo comprender claramente la opción que activemos al momento de la creación, pero no solo eso, durante el recorrido hablaré de las mejores prácticas y aclararé cualquier tema relacionado con grupos y su administración.

Permisos basados en grupos 

Una primera e importante recomendación antes de iniciar, es que te acostumbres a otorgar acceso a los recursos basado en grupos de seguridad, es decir, evita al máximo dar permisos a usuarios individuales, ¿por qué?, porque si damos acceso a usuarios y en algún momento del tiempo el usuario se elimina del directorio, observaremos que en los recursos donde otorgamos permisos a este usuario simplemente no desaparece de allí, en lugar de ello veremos su identificador de seguridad o SID, en este momento es cuando hablamos de SID fantasmas, veamos un ejemplo.

1. Damos permisos a un usuario llamado John Smith en una carpeta llamada Documents del disco local C:

2. Pasado el tiempo, John Smith se retira de la organización, por lo cual su cuenta es eliminada del directorio, al volver a la pestaña de seguridad de la carpeta Documents veremos el famoso SID fantasma, seguramente muchos lo han visto, y tal vez otros se habrán preguntado ¿qué será esto? pues ya lo saben.

Para que esto no ocurra, y como buena práctica, siempre otorgemos permisos a grupos en lugar de a usuarios individuales, ya que generalmente los grupos hacen referencia a funciones, por ejemplo, tenemos un grupo llamado Ventas del cual es miembro el usuario John Smith, para los permisos en la carpeta Documents ponemos el grupo Ventas en lugar del usuario John Smith, con ello así eliminemos al usuario John Smith, el grupo Ventas seguirá apareciendo en la pestaña de seguridad, el usuario John Smith al ser eliminado también lo será del grupo Ventas.

Al trabajar de esta forma, se facilitará la administración, ya que no tenemos que andar "depurando" las listas de control de acceso. 

Grupos predeterminados

En Active Directory, existe una serie de grupos predeterminados, es decir, que se crean durante la instalación de los servicios de dominio, y es importante saber cuáles son y donde se encuentran ubicados.

¿Dónde se encuentran esos grupos por defecto?, en los contenedores Builtin y Users

características importantes de estos dos contenedores.

Builtin

los grupos en este contenedor tienen ámbito local ¿recuerdan la introducción a este artículo?, por ahora no hay que preocuparse ya veremos de que se trata este ámbito. El ámbito y tipo de los grupos que se encuentran aquí no se puede cambiar, por ejemplo el grupo Administradores

Como se puede apreciar en la imagen, las opciones Ámbito de grupo y Tipo de grupo se encuentran deshabilitadas.

Ninguno de los grupos de este contenedor se puede eliminar, es más ni siquiera te da la opción, tampoc es posible cambiar el nombre por defecto.

Algunos grupos que podemos encontrar en este contenedor: Administradores, Operadores de copia de seguridad, Opers. de cuentas, Opers. de servidores, Opers. de impresión, Usuarios de escritorio remoto, Invitados.

Users

El contenedor Users tiene grupos de diferentes ámbitos: Dominio local, Global y Universal, también contiene algunas cuentas integradas, como por ejemplo: Administrador, Invitado y krbtgt.

A diferencia del contenedor Builtin, los grupos y cuentas allí existentes sí pueden ser movidos a otro contenedor o Unidad Organizativa.

El ámbito y tipo de grupo en este contenedor tampoco puede ser modificado.

Ninguno de los grupos en este contenedor puede ser eliminado, aunque la opción está habilitada, si intentas hacerlo recibirás el siguiente mensaje:

El nombre predeterminado de los grupos en este contenedor sí es posible cambiarlo, a diferencia del contenedor Builtin, en la siguiente imagen he cambiado el nombre al grupo Admins. del dominio

Algunos grupos que podemos encontrar en este contenedor: Administradores de empresas, Administradores de esquema, Admins. del dominio, Usuarios del dominio.

Cuentas y grupos privilegiados

Un saludo para todos, bienvenidos y gracias por su interés en el tema, en esta ocasión publicaré una serie de artículos en los cuales explicaré las mejores prácticas para asegurar nuestro servicio de directorio, la información que presentaré está basada primero que todo en mi experiencia con clientes y en documentación técnica de Microsoft, la idea es empezar explicando algunas bases conceptuales las cuales son fundamentales para abordar el tema de seguridad con unas bases sólidas, si ya posees estos conocimientos podrás iniciar desde cualquiera de los artículos, la idea es construir una base completa que pueda ser utilizada tanto por personas con conocimientos básicos y también por personas experimentadas en el tema, el único requisito es trabajar con Active Directory y sobre todo tener muchos deseos de conocer y aplicar las mejores prácticas en el aseguramiento del servicio de directorio de Microsoft.

CUENTAS Y GRUPOS PRIVILEGIADOS

---

En Active Directory, existen grupos que poseen elevados privilegios a lo largo del bosque y dominio, pero frecuentemente he observado como se uitilizan estos grupos para cualquier tipo de actividad, no sé en que momento los administradores empezaron a creer que para hacer ciertas actividades es necesaria una cuenta con privilegios elevados a nivel de dominio, me refiero específicamente a las cuentas pertenecientes a los siguientes grupos: Administradores de empresas, Administradores del dominio, y Administradores. He llegado a ver escenarios donde incluso se usa la cuenta Administrador integrada para unir equipos a un dominio, que es lo que debemos empezar a erradicar a partir de esta serie de artículos de seguridad en Active Directory.

Para empezar, vamos a ver algo de teoría, no te desesperes, poco a poco avanzaremos y mostraré técnicamente cómo hacer las cosas, pero es muy importante la base teórica para lograr exitosamente nuestro objetivo.

GRUPOS CON ALTOS PRIVILEGIOS EN ACTIVE DIRECTORY

---

Administradores de empresas (Enterprise Admins) 

Este grupo existe solamente en el dominio raíz del bosque, básicamente en el primer dominio que instalemos, y de manera predeterminada es miembro de todos los grupos Administradores en todos los dominios del.bosque, tiene permisos para hacer cambios en todo el bosque, cualquier cambio afecta a todos los dominios en el bosque como por ejemplo la eliminación o adición de dominios, establecimiento de relaciones de confianza, elevación de nivel funcional de bosque.

La utilización de este grupo se requiere solamente cuando se van a realizar operaciones como la implementación inicial del bosque, o cuando se va a establecer una relación de confianza con otro bosque, muchos de los permisos que se obtienen con este grupo pueden ser delagados en grupos menos privilegiados.

Admins. del dominio (Domain Admins) 

Este grupo es miembro del grupo Administradores en el dominio, y también es miembro del grupo Administradores de todos los equipos unidos a un dominio, es decir, al momento de unir un equipo al dominio, la cuenta Admins. del dominio se agrega al grupo Administradores local de la máquina unida al dominio, el único usuario que pertenece a este grupo es la cuenta Administrador la cual posee los privilegios más elevados a nivel del dominio, nótese que a diferencia del grupo Administradores de empresas que tiene privilegios a lo largo de todo el bosque, el grupo Admins. del dominio los tiene solo a nivel de dominio, muchos privilegios que tiene este grupo, pueden delegarse, razón por la cual este grupo debería usarse solamente en casos de emergencia, todo depende de la debida delegación de funciones que se implemente.

Administradores (Administrators)

A este grupo pertenecen los dos grupos vistos anteriormente (Administradores de empresas y Admins. del dominio), el grupo posee elevados privilegios a nivel de controlador de dominio, sin embargo, no posee los mismos privilegios en servidores miembro y en los equipos cliente del dominio, ya que este grupo no hace parte del grupo Administradores local de los equipos del dominio, lo cual si existe con el grupo Admins. del dominio.

Con lo anterior hemos visto el objetivo de cada uno de los grupos más privilegiados en Active Directory y sobre los cuales trabajaremos para asegurar nuestro directorio, como podemos observar los elevados privilegios de este grupo hacen que cualquier miembro de éstos pueda tomar el control completo del dominio y bosque, por lo cual debemos enfocarnos en cómo proteger y vigilar la pertenencia a ellos.

Ahora, vamos a ver la aparición de un cuarto grupo llamado Administradores de esquema

Administradores de esquema (Schema Admins)

Este grupo existe solamente en la raíz del bosque, este grupo al igual que Administradores de empresas solo tiene como miembro la cuenta Administrador, se debe agregar un miembro solo en caso que se requiera, ya que el uso de este grupo es muy eventual, solo en casos donde se requiera hacer una modificación del esquema de Active Directory. Por esta razón podemos mantener el grupo sin miembros, y en el caso que se requiera agregamos el miembro temporalmente, una vez finalice la actividad volvemos a retirar el usuario del grupo.