Agdlp
Active Directory es un sistema de directorio de Microsoft, que puede instalarse en un servidor Windows. El Directorio Activo se utiliza en las empresas para almacenar objetos como ordenadores, usuarios, grupos, etc. en el sistema de directorio. Con la ayuda del sistema de directorios, los objetos se pueden gestionar de forma centralizada y se puede controlar el acceso a otros recursos, como los servidores de archivos de la empresa. También puede visitar los siguientes artículos interesantes. Cuáles son las ventajas y desventajas de la cuenta de sistema local y la cuenta de inicio de sesión de servicio, cómo eliminar y restaurar objetos mediante el Centro Administrativo de Active Directory y cuáles son las diferencias entre un contacto de Active Directory y un objeto de cuenta de usuario.
Los grupos de seguridad se utilizan para reunir las cuentas de usuario, las cuentas de equipo y otros grupos en unidades manejables. En el sistema operativo Windows Server, hay varias cuentas y grupos de seguridad incorporados que están preconfigurados con los derechos y permisos adecuados para realizar tareas específicas.
Alcance del grupo directorio activo
En Exchange 2000 y 2003, Microsoft recomienda que todos los grupos de distribución utilizados para el correo electrónico sean grupos universales, no grupos locales o globales de dominio. Esta ha sido nuestra recomendación durante muchos años, ya que las configuraciones fuera de esto pueden dar lugar a un flujo de correo anormal (como ha visto) o a la pérdida de correo electrónico. Una cita de este artículo de la base de conocimientos# 839949:
Sólo las membresías de grupos universales se replican en todos los dominios a todos los servidores de catálogo global en el bosque. Microsoft siempre recomienda utilizar grupos de distribución universales para la distribución de correo en un entorno multidominio.
En resumen, Exchange simplemente está entregando el correo a los usuarios que se le indica que debe recibirlo. Por favor, comprenda que Exchange no sabe nada sobre los miembros del DL, cuenta con el GC para proporcionar esta información. El proceso (básico) es así:
Ahora bien, en el ejemplo anterior, digamos que el DL contiene realmente 100 destinatarios, en lugar de 20. Pero como Exchange realiza la entrega basándose en lo que nos dice la CG, y sólo conoce a 20 usuarios, Exchange actúa como está diseñado. No podemos NDR el mensaje o lanzar un error, o notificar a nadie que había un problema, porque simplemente no se nos dijo por el GC que el mensaje fue siempre destinado a esas 80 personas adicionales. Pero en el ejemplo, la razón por la que el DL está perdiendo 80 personas de la membresía es porque los destinatarios están repartidos en múltiples dominios, y las membresías globales o locales de dominio no se replican a todos los GC. Como sabemos, sólo los grupos universales y sus miembros se replican en toda la organización a todos los GC. Esta es la razón por la que sólo se recomiendan y admiten los grupos universales para el flujo de correo.
El directorio activo cambia el grupo de global a universal
AGDLP (abreviatura de «account, global, domain local, permission») resume brevemente las recomendaciones de Microsoft para implementar controles de acceso basados en roles (RBAC) utilizando grupos anidados en un dominio de Active Directory (AD) en modo nativo: Las cuentas de usuario y de ordenador son miembros de grupos globales que representan roles de negocio, los cuales son miembros de grupos locales de dominio que describen permisos de recursos o asignaciones de derechos de usuario. AGUDLP (para «cuenta, global, universal, local de dominio, permiso») y AGLP (para «cuenta, global, local, permiso») resumen esquemas similares de implementación de RBAC en bosques de Active Directory y en dominios de Windows NT, respectivamente.
Los controles de acceso basados en roles (RBAC) simplifican las operaciones rutinarias de gestión de cuentas y facilitan las auditorías de seguridad[1] Los administradores del sistema no asignan permisos directamente a las cuentas de usuario individuales. En su lugar, los individuos adquieren acceso a través de sus roles dentro de una organización, lo que elimina la necesidad de editar un número potencialmente grande (y frecuentemente cambiante) de permisos de recursos y asignaciones de derechos de usuario al crear, modificar o eliminar cuentas de usuario. A diferencia de las listas de control de acceso tradicionales, los permisos en RBAC describen operaciones significativas dentro de una aplicación o sistema particular en lugar de los métodos de acceso a objetos de datos subyacentes de bajo nivel. El almacenamiento de roles y permisos en una base de datos centralizada o en un servicio de directorio simplifica el proceso de determinación y control de la pertenencia a un rol y de los permisos de los roles[2] Los auditores pueden analizar las asignaciones de permisos desde una única ubicación sin tener que entender los detalles de implementación específicos de los recursos de un control de acceso concreto.
Tipos de grupos de anuncios
La pertenencia a un grupo se evalúa cuando un usuario se conecta a un dominio. Para asegurarse de que los cambios de pertenencia han surtido efecto, pida a los usuarios que cierren la sesión. Por el contrario, los cambios de ACL o los permisos aplicados directamente a las cuentas de usuario tendrán lugar inmediatamente. La concesión de permisos mediante un grupo de un dominio diferente sólo es posible cuando existe una relación de confianza entre los dominios.
El hecho de que no se pueda añadir un grupo Local de Dominio a un grupo Global es muy útil para imponer la correcta herencia de derechos. Por ejemplo, un grupo de recursos (como uno para impresoras en color) se añade a un grupo organizativo (como el departamento de personal) y si más tarde se añade a otra persona al grupo de impresoras en color, ésta también podrá leer todos los archivos de personal.
Si todos los grupos organizativos son Globales y los grupos de recursos son Locales de Dominio, no es posible añadir permisos de grupo al revés. Dentro de un mismo dominio, las cuentas de usuario individuales pueden unirse a cualquiera de los dos tipos de grupos, por lo que en el ejemplo anterior, si un usuario adicional necesitara acceso a las impresoras, podría añadirse directamente al grupo de impresoras en color del dominio local.
