Este documento describe estrategias de seguridad a través de grupos en Active Directory. Explica los tipos de grupos como grupos de distribución, seguridad e identidades especiales, así como sus características como ámbito y nivel funcional. También proporciona lineamientos para la planificación y nomenclatura de grupos de forma que sean fácilmente identificables y cumplan su propósito.

1. Estrategias de seguridad a
través de grupos
➢ Cornelio Páez Alexi Samantha
➢ Martínez López Paola Montserrat
➢ Tiznado Nieto Juan Manuel
➢ Valdez Aguilar Daniel

2. Introducción a grupos
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y
otros grupos que se pueden administrar como una sola unidad.
Los usuarios y los equipos que pertenecen a un grupo determinado se
denominan miembros de grupo.
Los grupos de los Servicios de Dominio de Active Directory son objetos de
directorio que residen en un dominio y en objetos contenedores Unidad
Organizativa.

3. Los grupos de AD DS se pueden usar para:
➢ Simplificar la administración
➢ Delegar la administración
➢ Crear listas de distribución
Los grupos se caracterizan por su ámbito y su tipo. El ámbito determina el
alcance del grupo dentro de un dominio o bosque. El tipo determina si se
puede usar un grupo para asignar permisos desde un recurso compartido
(seguridad) o si se puede usar un grupo sólo para las listas de distribución de
correo electrónico (distribución).
Al grupo que no se le puede ver ni modificar se le conoce como Identidad
Especial, el cual abarca usuarios actuales de la red, invitados o de otros
dominios.

4. Grupos predeterminados
Son grupos de seguridad que se crean automáticamente cuando se crea un
dominio de Active Directory. Su función es controlar el acceso a los recursos
compartidos y permitir funciones administrativas específicas en el dominio.
Cuando se agrega un usuario a un grupo, recibe:
● Los derechos de usuario asignados al grupo.
● Los permisos asignados al grupo para los recursos compartidos.
Los grupos predeterminados se encuentran en la carpeta Builtin que tienen el
ámbito de grupo Integrado local, no se puede cambiar y Users que incluye
grupos definidos con ámbito Global y Local de dominio, en Users los grupos se
pueden mover dentro del dominio, mas no a otros.

5. Ámbito de grupo
Los grupos se caracterizan por su ámbitos, y estos pueden ser:
● Grupo local de dominio.
Ayudan a definir y administrar el acceso a los recursos dentro de un dominio
único. Pueden incluir otros grupos y cuentas de dominio de Windows Server
2003, 2000, NT y 2008. A los miembro de este grupo solo se les puede asignar
permisos dentro de un dominio. Y pueden contar con los siguientes miembros:
➔ Grupos con ámbito Global
➔ Grupos con ámbito Universal
➔ Cuentas
➔ Otros grupos con ámbito Local de dominio
➔ Una combinación de los anteriores

6. ● Grupos globales
Los miembros de este grupo sólo pueden incluir
otros grupos y cuentas del dominio en el que se
encuentra definido, se les pueden asignar permisos
en cualquier dominio del bosque.
Estos grupos son utilizados para administrar objetos
de directorio que requieran un mantenimiento
diario, como cuentas de usuarios y equipo.

7. ● Grupos universales
Los miembros de este grupo pueden incluir otro
grupo y cuentas de cualquier dominio del bosque
o del árbol de dominios. A estos miembros se les
pueden asignar permisos en cualquier dominio del
bosque.
Estos se usan para consolidar los grupos que
abarquen varios dominios. Para ello, se agregan
las cuentas a los grupos con ámbito global y se
anidan estos grupos en los grupos de ámbito
universal.

8. Tipos de grupo
Hay dos tipos de grupo en AD DS:
➢ Grupos de distribución
➢ Grupos de seguridad
Los grupos de distribución se usan para crear listas de distribución
de correo electrónico y los de seguridad se usan para asignar
permisos para los recursos compartidos.

9. Grupos de distribución
Estos no tienen seguridad habilitada, lo que
significa que no pueden aparecer en las
listas de control de acceso discrecional. Si
necesita un grupo para controlar el acceso
a los recursos compartidos, se crea un
grupo de seguridad.

10. Grupos de seguridad
Estos son eficaces para conceder acceso a los recursos de red.
Con estos grupos se puede:
➢ Asignar derechos de usuario a los grupos de seguridad de AD DS
➢ Asignar permisos para recursos a los grupos de seguridad
*Los derechos de usuario y los permisos no son lo mismo.

11. ● Permisos
Los permisos determinan quién puede obtener acceso a un recurso
compartido y el nivel de acceso, como control total.
Algunos permisos se otorgan automáticamente para proporcionar varios
niveles de acceso a los grupos de seguridad predeterminados.
● Derechos de usuario
Se asignan derechos de usuario a un grupo de seguridad para determinar lo
que pueden hacer los miembros de ese grupo en el ámbito de un dominio.
Algunos derechos se asignan automáticamente al instalar AD Ds para ayudar a
los administradores a definir la función administrativa de una persona en el
dominio.

12. Identidades especiales
Aparte de los grupos ya mencionados, también se encuentran las identidades
especiales.
Por comodidad se les suele llamar grupos. Estos grupos especiales no tienen
pertenencias especiales que se puedan modificar.
Los grupos siguientes son identidades especiales:
➢ Inicio de sesión anónimo
➢ Todos
➢ Red
➢ Interactivo

13. Niveles de funcionamiento
Este determina cómo se comportarán los grupos dentro del bosque y a la vez
determina qué clase de características estarán disponibles.
● Cambiar el nivel funcional del dominio
En la herramienta Usuarios y equipos de Active
Directory haga clic derecho en el dominio, y
seleccione Elevar Nivel funcional del dominio.

14. Observará el siguiente cuadro de diálogo, con el cuál podrá
observar el nivel funcional actual, y además, cambiar a un nivel
superior.

15. Planificación de estrategias de grupo
Las organizaciones establecen sus propias convenciones de nomenclatura para
los grupos de distribución y seguridad.
Un nombre de grupo debería identificar su ámbito, tipo, finalidad de su
creación y los permisos que puede tener.
Determinación de nombres de grupo de seguridad
Debe de tener en cuenta los siguientes puntos al definir una convención de
nomenclatura para los grupos de seguridad:

16. ● Ámbito de los grupos de seguridad
Las organizaciones suelen incorporar el ámbito en la convención de
nomenclatura del nombre de grupo.
● Posesión del grupo de seguridad
El nombre de un grupo de seguridad de dominio, ya sea universal, global o
local de dominio, debe identificar de forma clara al propietario del grupo e
incluir el nombre del departamento o equipo al que pertenece.

17. ● Nombre de dominio
El nombre de dominio o su abreviatura se coloca al
principio del nombre de grupo a petición del cliente.
● Finalidad del grupo de seguridad
Se puede incluir en el nombre la finalidad empresarial del grupo y los
permisos máximos que debería tener el grupo en la red. Esto se suele aplicar
a los grupos locales de dominio.

18. Determinación de nombres de grupo de distribución
Nombres de correo electrónico
➢ Longitud. Utilice un alias corto.
➢ Palabras ofensivas. No use palabras ofensivas, si no está seguro de que
su palabra no sea ofensiva, no la use.
➢ Permitidos. Sólo caracteres permitidos como (-) o (_)
➢ Designaciones especiales. No utilizar (_) al principio, o una combinación
que pueda confundirse con una cuenta de usuario.

19. Nombres para mostrar
● No incluyas tu alias de usuario como nombre para mostrar
● No incluyas palabras ofensivas
● Longitud máxima de 40 caracteres
● No ponga en mayúsculas toda la descripción
● No use números ni caracteres especiales
● Diagonales (/) sólo en nombres para mostrar.
Posesión
Un único grupo de distribución puede tener un máximo de cinco propietarios.