Estrategias de seguridad a travs de grupos

Grupo de Trabajo (Workgroup)

En los Grupos de Trabajo (Workgroup) cada equipo se usa de forma totalmente individual, desde
gestin, configuraciones, seguridad que tenga implementada etc. Cada mquina es independiente
de las dems en los usuarios que tiene creados, y su gestin de autenticacin se realiza en cada
mquina de forma independiente. No es cmo un Dominio, donde se gestiona en otras mquinas
(Servidores) de forma general a todos los equipos.

Cmo son independientes, a la hora de conectarse a otras mquinas (a carpetas compartidas)

saltar introucir usuario y password (si no se ha abierto de forma general a Todos sin contrasea).
Estando en un dominio se puede gestionar las unidades desde el servidor y a los usuarios, por lo
que esta gestin es ms cmoda.

Los puntos importantes de los que consta un Grupo de Trabajo son:

Aqu todos los equipos son iguales, es decir, que ninguno manda sobre otros, cada uno es
individual y realiza su jerarqua individual, ni manda sobre otros.
Al ser individuales, cada uno de los equipos en un grupo de trabajo tiene sus cuentas de usuario. Al
no haber una gestin general, slo es posible entrar en cualquier equipo (Iniciar sesin) si conoces
su usuario y contrasea. (No hay passwords de administradores generales).
No tiene proteccin de contrasea el Grupo de Trabajo, por lo que al ser independientes, es ms
fcil recibir un ataque. Al no ser las contraseas y usuarios centralizados no es posible resetear
desde el servidor central ningn usuario o contrasea.
El tope que suele haber dentro de un grupo de trabajo no suele ser ms de 20 ordenadores.
Aqu a nivel de redes deben estar en la misma subred.

Interesa Grupo de Trabajo (Workgroup) para una oficina?

Para ver si nos interesa quizs es interesante que pongamos las ventajas e inconvenientes que
tendremos montando un Grupo de Trabajo.

Ventajas para Oficina

1. Es ms econmico que comprar un servidor, no slo por la mquina sino por la licencia Windows
Server que uno va a tener que comprar tambin. Y tambin la licencia de los ordenadores cliente, ya
que no todas las versiones son compatibles con Dominio (son algo ms caras).

2. Tiene menos gasto de luz e infraestructura al no tener un equipo o ms cmo servidores y

siempre encendidos para que puedan funcionar todos los usuarios.

3. Nos ahorramos el tener que pagar soporte para la gestin y mantenimiento de una
infraestructura ms grande como es una de Dominio.

4. Es mucho ms fcil y rpido configurar los equipos en un Grupo de Trabajo.

Desventajas para Oficina

1. Es ms incmodo a la hora de gestionar los usuarios y cambios que queramos realizar en todos
los equipos ya que tendremos que hacerlo en cada uno de ellos, no hay gestin centralizada.

2. Cuando crezca la empresa y sea ms de 20 usuarios, habr que cambiarlo a un dominio y la

migracin ser ms costosa y complicada al tener que migrar toda la informacin a cuentas de
dominio en vez de cuentas locales. Y todo esto en cada uno de ellos.

3. La seguridad no es controlada ni centralizada por lo que si nos importa realizar jerarquas,

auditoras, chequeos generales etc. es necesario estar en un Dominio.

4. En un grupo de trabajo las contraseas (autenticacin) se gestiona localmente en cada equipo. En

domino se gestionan las contraseas desde el controlador de dominio (Servidor) de forma
centralizada

Dominio (Domain)

Los dominios constan de uno o ms servidores que son los "Controladores de Dominio" y son los
encargados de gestionar muchas cosas como son la seguridad, permisos de usuarios y equipos a
travs de GPOs (Directivas de Grupo). Un dominio de Windows es una red creada de ordenadores
donde todos esos equipos, cuentas de usuario, impresoras, permisos con su gestin de seguridad
etc. se encuentran dentro de una base de datos central, lo que viene siendo el Directorio Activo.

Lo componen uno o ms servidores que funcionan entre ellos como central donde gestionan la
autenticacin (login) de todos los usuarios, ya que cuando se realiza un inicio de sesin los datos no
se verifican en los ordenadores locales, sino en los servidores centrales.

Interesa Dominio para una oficina?

Es este caso en la mayora de los casos S, pero no en todos. Lo mejor es que veamos las ventajas y
desventajas de montar un dominio Windows Server en nuestra oficina.

Ventajas para Oficina

1. Es ms eficiente y rpido a la hora de realizar y gestionar cambios en la arquitectura de usuarios,
permisos, credenciales etc. ya que se gestionan de manera central y se pueden aplicar directamente
en todos los ordenadores de la compaa de forma automtica (no yendo uno por uno).
.
2. Podemos tener miles de equipos en un dominio, no cmo el limite de 20 que tenemos en un
grupo de trabajo (Workgroup).

3. Multitud de opciones interesantes como creacin de perfiles mviles, esto es para que el servidor
albergue los perfiles de los usuarios y eso da la libertad de que al iniciar sesin en cualquier equipo
de la oficina aparecern sus datos y configuraciones. Lo que viene siendo movimiento libre.

4. Mucho ms seguro, tanto la posibilidad de gestin interna (limitando accesos, perfiles, reseteo de
cuentas, cambios automticos de plantillas de seguridad etc.) todo esto centralizado.

5. Los equipos pueden encontrarse en diferentes redes locales.

Desventajas para Oficina
1. Tiene ms gasto de luz e infraestructura ya que es necesario poner individualmente y protegidos
de acceso fsico a los servidores controladores del dominio (puede ser 1 o ms).

2. Requiere tener bien configurados y gestionados los servidores de dominio y su mantenimiento,

ya que deber estar personal cualificado que lleve un soporte correcto.

3. Tambin es ms costoso por las licencias tanto de los servidores (con WServer) y de los equipos
cliente (ordenadores de los empleados) ya que deben tener versiones que acepten integrarlos en
dominio, hay versiones baratas que NO aceptan domino.

Se aplica a: Windows Server 2008 R2

Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se
pueden administrar como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo
determinado se denominan miembros del grupo.
Los grupos de Servicios de dominio de Active Directory (AD DS) son objetos de directorio que
residen en un dominio y en objetos contenedores de unidad organizativa (OU). AD DS proporciona
un conjunto de grupos predeterminados cuando se instala y tambin incluye una opcin para
crearlos.
Los grupos de AD DS se pueden usar para:

Simplificar la administracin al asignar los permisos para un recurso compartido a un grupo

en lugar de a usuarios individuales. Cuando se asignan permisos a un grupo, se concede el
mismo acceso al recurso a todos los miembros de dicho grupo.

Delegar la administracin asignando derechos de usuario a un grupo una sola vez mediante
la directiva de grupo. Despus, a ese grupo le puede agregar miembros que desee que
tengan los mismos derechos que el grupo.

Crear listas de distribucin de correo electrnico.

Descripcin de los grupos

Los grupos se caracterizan por su mbito y su tipo. El mbito de un grupo determina el alcance del
grupo dentro de un dominio o bosque. El tipo de grupo determina si se puede usar un grupo para
asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un
grupo solo para las listas de distribucin de correo electrnico (para grupos de distribucin).
Tambin existen grupos cuyas pertenencias a grupos no se pueden ver ni modificar. Estos grupos se
conocen con el nombre de identidades especiales. Representan a distintos usuarios en distintas
ocasiones, en funcin de las circunstancias. Por ejemplo, el grupo Todos es una identidad especial
que representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros
dominios.
En las secciones siguientes se ofrece ms informacin acerca de las cuentas de grupo de AD DS.

Grupos predeterminados
Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos
de seguridad que se crean automticamente cuando se crea un dominio de Active Directory. Estos
grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y
para delegar roles administrativos especficos en todo el dominio.
A muchos grupos predeterminados se les asigna automticamente un conjunto de derechos de
usuario que autorizan a los miembros del grupo a realizar acciones especficas en un dominio, como
iniciar sesin en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo,
un miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de
seguridad para todos los controladores de dominio del dominio.
Cuando se agrega un usuario a un grupo, ese usuario recibe:

Todos los derechos de usuario asignados al grupo

Todos los permisos asignados al grupo para los recursos compartidos

Los grupos predeterminados se encuentran en el contenedor Builtin y en el contenedor Users. Los

grupos predeterminados del contenedor Builtin tienen el mbito de grupo Integrado local. Su
mbito de grupo y tipo de grupo no se pueden cambiar. El contenedor Users incluye grupos
definidos con mbito Global y grupos definidos con mbito Local de dominio. Los grupos ubicados
en estos contenedores se pueden mover a otros grupos o unidades organizativas del dominio, pero
no se pueden mover a otros dominios.
Para obtener ms informacin acerca de los grupos predeterminados, vea el documento sobre
grupos predeterminados (http://go.microsoft.com/fwlink/?LinkId=131422, puede estar en ingls).

mbito de grupo
Los grupos se caracterizan por un mbito que identifica su alcance en el bosque o rbol de
dominios. Existen tres mbitos de grupo: local de dominio, global y universal.
Grupos locales de dominio
Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios
de Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 y Windows
Server 2008 R2. A los miembros de estos grupos solo se les pueden asignar permisos dentro de un
dominio.
Los grupos con mbito Local de dominio ayudan a definir y administrar el acceso a los recursos
dentro de un dominio nico. Estos grupos pueden tener los siguientes miembros:

Cuentas de cualquier dominio

Grupos globales de cualquier dominio

Grupos universales de cualquier dominio

Grupos locales de dominio, pero solo del mismo dominio que el grupo local de dominio
primario
 Una combinacin de los anteriores

Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar
las cinco cuentas de usuario a la lista de permisos de la impresora. Sin embargo, si posteriormente
desea que esos cinco usuarios tengan acceso a otra impresora, deber volver a especificar las cinco
cuentas en la lista de permisos para la nueva impresora.
Con un poco de previsin, puede simplificar esta tarea administrativa rutinaria al crear un grupo con
mbito Local de dominio y asignarle permisos de acceso a la impresora. Coloque las cinco cuentas
de usuario en un grupo con mbito Global y agregue este grupo al grupo que tiene mbito Local
de dominio. Cuando desee que los cinco usuarios tengan acceso a una nueva impresora, asigne
permisos de acceso a la nueva impresora al grupo con mbito Local de dominio. Todos los
miembros del grupo con mbito Global recibirn automticamente el acceso a la nueva impresora.
Grupos globales
Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo
global primario y los grupos globales del mismo dominio que el grupo global primario. A los
miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.
Use los grupos con mbito Global para administrar objetos de directorio que requieran un
mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con mbito
Global no se replican fuera de su propio dominio, las cuentas de un grupo con mbito Global se
pueden cambiar frecuentemente sin generar trfico de replicacin en el catlogo global.
Aunque las asignaciones de derechos y permisos solo son vlidas en el dominio en el que se
asignan, al aplicar grupos con mbito Global de manera uniforme entre los dominios apropiados, es
posible consolidar las referencias a cuentas con fines similares. De esta manera se simplifica y se
racionaliza la administracin de grupos entre dominios. Por ejemplo, en una red que tenga dos
dominios, Europe y UnitedStates, si hay un grupo con mbito Global denominado GLAccounting en
el dominio UnitedStates, debera haber tambin un grupo denominado GLAccounting en el dominio
Europe (a menos que esa funcin de contabilidad (Accounting) no exista en el dominio Europe).

Importante

Recomendamos encarecidamente que use grupos globales o universales en lugar de

grupos locales de dominio cuando especifique permisos para objetos de directorio de
dominio que se repliquen en el catlogo global.

Grupos universales
Los grupos universales pueden tener los siguientes miembros:

Cuentas de cualquier dominio del bosque en el que reside este grupo universal

Grupos globales de cualquier dominio del bosque en el que reside este grupo universal

Grupos universales de cualquier dominio del bosque en el que reside este grupo universal
A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o
del rbol de dominios. Use los grupos con mbito Universal para consolidar los grupos que
abarquen varios dominios. Para ello, agregue las cuentas a los grupos con mbito Global y anide
estos grupos dentro de los grupos que tengan mbito Universal. Si usa esta estrategia, los cambios
de pertenencias en los grupos que tienen mbito Global no afectan a los grupos con mbito
Universal.
Por ejemplo, si una red tiene dos dominios, Europe y UnitedStates, y hay un grupo con mbito
Global denominado GLAccounting en cada dominio, cree un grupo con mbito Universal
denominado UAccounting que tenga como miembros los dos grupos GLAccounting,
UnitedStates\GLAccounting y Europe\GLAccounting. Despus, podr usar el grupo UAccounting en
cualquier lugar de la organizacin. Los cambios de pertenencia de los grupos GLAccounting
individuales no producir la replicacin del grupo UAccounting.
No cambie la pertenencia de un grupo con mbito Universal frecuentemente. Los cambios de
pertenencia de este tipo de grupo hacen que se replique toda la pertenencia del grupo en cada
catlogo global del bosque.

Tipos de grupos
Hay dos tipos de grupos en AD DS: grupos de distribucin y grupos de seguridad. Puede usar
grupos de distribucin para crear listas de distribucin de correo electrnico. Puede usar grupos de
seguridad para asignar permisos a los recursos compartidos.
Los grupos de distribucin solo se pueden usar con aplicaciones de correo electrnico (como
Microsoft Exchange Server 2007) para enviar mensajes a conjuntos de usuarios. Los grupos de
distribucin no tienen seguridad habilitada, lo que significa que no pueden aparecer en las listas de
control de acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los recursos
compartidos, cree un grupo de seguridad.
Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos
de la red. Con los grupos de seguridad se puede:

Asignar derechos de usuario a los grupos de seguridad de AD DS

Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden

hacer los miembros de ese grupo en el mbito de un dominio (o bosque). A algunos grupos
de seguridad se les asignan derechos de usuario automticamente cuando se instala AD DS
para ayudar a los administradores a definir el rol administrativo de una persona en el
dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad
en AD DS, ste puede realizar operaciones de copia de seguridad y restauracin de archivos
y directorios en cada controlador de dominio del dominio.

Asignar permisos para recursos a los grupos de seguridad

Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quin
puede tener acceso a un recurso compartido. Tambin determinan el nivel de acceso, como
Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los
permisos en un recurso compartido. Algunos permisos que se establecen en objetos de
dominio se asignan automticamente para proporcionar varios niveles de acceso a los
grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo
Administradores del dominio.
Como sucede con los grupos de distribucin, los grupos de seguridad tambin se pueden usar
como entidades de correo electrnico. Al enviar un mensaje de correo electrnico a un grupo de
seguridad, se enva a todos sus miembros.

Identidades especiales
Adems de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta
Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades
especiales. Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen
pertenencias especficas que se puedan modificar. Sin embargo, pueden representar a distintos
usuarios en distintas ocasiones, en funcin de las circunstancias. Los grupos siguientes son
identidades especiales:

Inicio de sesin annimo

Este grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus
recursos a travs de la red sin usar un nombre de cuenta, contrasea o nombre de dominio.
En los equipos con Windows NT y versiones anteriores, el grupo Inicio de sesin annimo
es un miembro predeterminado del grupo Todos. En los equipos con Windows
Server 2008 R2, Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesin
annimo no es miembro del grupo Todos de manera predeterminada.

Todos

Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios
de otros dominios. Cuando un usuario inicia sesin en la red, se agrega automticamente al
grupo Todos.

Red

Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso
dado a travs de la red, frente a los usuarios que obtienen acceso a un recurso mediante un
inicio de sesin local en el equipo en el que reside el recurso. Cuando un usuario obtiene
acceso a un recurso dado a travs de la red, se agrega automticamente al grupo Red.

Interactivo

Este grupo representa a todos los usuarios que disponen de una sesin iniciada en un
equipo determinado y que estn obteniendo acceso a un recurso ubicado en ese equipo,
frente a los usuarios que obtienen acceso al recurso a travs de la red. Cuando un usuario
obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesin, se agrega
automticamente al grupo Interactivo.

Aunque a las identidades especiales se les pueden conceder derechos y permisos para los recursos,
las pertenencias de identidades especiales no se pueden ver ni modificar. Las identidades especiales
no tienen mbitos de grupo. Los usuarios son asignados automticamente a ellas cuando inician
sesin u obtienen acceso a un recurso concreto.

Dnde se pueden crear grupos

En AD DS, los grupos se crean en los dominios. Para crear grupos, puede usar el Centro de
administracin de Active Directory. Con los permisos necesarios, se pueden crear grupos en el
dominio raz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa.
Adems de por el dominio en el que se crea, un grupo tambin se caracteriza por su mbito. El
mbito de un grupo determina lo siguiente:

El dominio desde el que se pueden agregar miembros

El dominio en el que son vlidos los derechos y permisos asignados al grupo

Elija el dominio o la unidad organizativa donde va a crear un grupo en funcin de las tareas de
administracin que requiera el grupo. Por ejemplo, si un directorio tiene varias unidades
organizativas y cada una tiene un administrador diferente, puede crear grupos con mbito Global
dentro de esas unidades organizativas para que los administradores administren la pertenencia a
grupos de los usuarios de las unidades organizativas que les correspondan. Si se necesitan grupos
para controlar el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad
organizativa dentro de grupos con mbito Universal (u otros grupos con mbito Global) que puede
utilizar en otros lugares del bosque.
Si el nivel funcional del dominio se encuentra definido como nativo de Windows 2000 o superior, el
dominio contiene una jerarqua de unidades organizativas y la administracin se delega a los
administradores de cada unidad organizativa, puede que sea ms eficaz anidar los grupos con
mbito Global. Por ejemplo, si OU1 contiene a OU2 y OU3, un grupo con mbito Global en OU1
puede tener como miembros a los grupos con mbito Global en OU2 y OU3. En OU1, el
administrador puede agregar o quitar miembros de grupo de OU1 y los administradores de OU2 y
OU3 pueden agregar o quitar miembros de grupo para las cuentas de sus propias OU sin tener
derechos administrativos para el grupo con mbito Global en OU1.