none
Grupos dentro de grupos en equipo local sin Active Directory... ¿es posible?

    Question

  • Hola amigos:
    Hemos instalado una licencia de Windows Server 2008 64bit con 35 licencias de usuario de Terminal Service. De momento todo va bien salvo una cuestión. Cuando al principio intentamos instalar Active Directory, el sistema nos advirtió que no era recomendable instalar AD junto con Terminal Service por problemas de estabilidad y seguridad. Así que hicimos caso a la recomendación del propio Windows Server, y desistimos de AD, ya que en principio consideramos que no nos haría falta, toda vez que el servidor tiene como única finalidad ser un servidor de terminales. Sin embargo el problema ha venido cuando hemos intantado crear diferentes grupos de usuarios y hemos querido meter un grupo dentro de otro. Esto sí era perfectamente posible, por mi experiencia, en Windows Server 2003 R2 con Active Directory instalado y Terminal Server. Sin embargo, veo que en los grupos del equipo local no me permite estructurar los grupos de forma jerárquica (meter unos dentro de otros para facilitar la gestión de los mismos). La pregunta es: ¿para hacer esto (meter un grupo dentro de otro) es imprescindible instalar Active Directory, o esto puede hacerse de alguna manera en el equipo local sin instalar AD? Agradezco respuesta. Gracias.
    Friday, November 06, 2009 4:23 PM

Answers

  • Hola,

    La respuesta a tu pregunta es: No, no se puede anidar grupos.

    Si tu servidor TS2008 es un servidor que no está integrado en un Dominio no tendrás la posibilidad de anidar grupos de seguridad. En ingles ese concepto de anidar grupos se conoce como "Group Nesting". Además esta caracteristica depende del Nivel de Funcionalidad del Dominio. Por otro lado, anidar grupos de seguridad en multiples niveles se debe evitar ya que, aunque pueda facilitar la gestión, te puede suponer un problema a la hora de hacer un seguimiento o control de los permisos que posee cada grupo y cada usuarios perteneciente a ese grupo.

    Nested Groups
    http://msdn.microsoft.com/en-us/library/cc246068(PROT.10).aspx

    Al no estar tu equipo integrado en un dominio (stand-alone server) tan sólo dispones de los denominados "Grupos Locales". Por ejemplo, en un servidor de TS tienes un grupo local llamado "usuarios de escritorio remoto".

    Como buenas prácticas a la hora de configurar los usuarios que van a acceder a un TS se recomienda crear un grupo en AD (por ejemplo grupoTS) y hacer miembros de dicho grupo a los usuarios que van a acceder por TS. A continuación, dicho grupo (grupoTS) se agregaría al grupo local "Usuarios de escritorio remoto" del TS. Esto sólo aplica a entorno con Active Directory, pero en tu caso no aplica mientras que tu servidor no sea miembro de un Dominio.

    Si ese servidor va a ser especifico para que esos 35 usuarios accedan por TS, tan sólo deberías agregarlos al grupo "Usuarios de escritorio Remoto" para que tengan acceso.

    Respecto a lo de instalar el rol de TS en un equipo que es DC (Domain Controller), evidentemente, no se recomienda por las consideraciones de seguridad que implica. Pero si necesitas aplicar granularidad en esos 35 usuarios a la hora de aplicar Directivas de grupo, perfiles, etc... tal vez te debas plantear instalar un AD. Personalmente creo que en ese entorno que describes (35 users que se conectan a un TS para ejecutar una o varias aplicaciones) no es necesario una instalaciones de AD. Otra cosa es que esos 35 usuarios pertenezcan a tu organización y quieras gestionar los equipos y usuarios, y controlar el acceso a los recursos compartidos de tu servidor para determinados usuarios segun su membresía. Ahí claro que aplica la instalacion de un Active Directory para una gestion centralizada de todo.



    Un saludo.


    Saturday, November 07, 2009 8:54 PM

All replies

  • Hola,

    La respuesta a tu pregunta es: No, no se puede anidar grupos.

    Si tu servidor TS2008 es un servidor que no está integrado en un Dominio no tendrás la posibilidad de anidar grupos de seguridad. En ingles ese concepto de anidar grupos se conoce como "Group Nesting". Además esta caracteristica depende del Nivel de Funcionalidad del Dominio. Por otro lado, anidar grupos de seguridad en multiples niveles se debe evitar ya que, aunque pueda facilitar la gestión, te puede suponer un problema a la hora de hacer un seguimiento o control de los permisos que posee cada grupo y cada usuarios perteneciente a ese grupo.

    Nested Groups
    http://msdn.microsoft.com/en-us/library/cc246068(PROT.10).aspx

    Al no estar tu equipo integrado en un dominio (stand-alone server) tan sólo dispones de los denominados "Grupos Locales". Por ejemplo, en un servidor de TS tienes un grupo local llamado "usuarios de escritorio remoto".

    Como buenas prácticas a la hora de configurar los usuarios que van a acceder a un TS se recomienda crear un grupo en AD (por ejemplo grupoTS) y hacer miembros de dicho grupo a los usuarios que van a acceder por TS. A continuación, dicho grupo (grupoTS) se agregaría al grupo local "Usuarios de escritorio remoto" del TS. Esto sólo aplica a entorno con Active Directory, pero en tu caso no aplica mientras que tu servidor no sea miembro de un Dominio.

    Si ese servidor va a ser especifico para que esos 35 usuarios accedan por TS, tan sólo deberías agregarlos al grupo "Usuarios de escritorio Remoto" para que tengan acceso.

    Respecto a lo de instalar el rol de TS en un equipo que es DC (Domain Controller), evidentemente, no se recomienda por las consideraciones de seguridad que implica. Pero si necesitas aplicar granularidad en esos 35 usuarios a la hora de aplicar Directivas de grupo, perfiles, etc... tal vez te debas plantear instalar un AD. Personalmente creo que en ese entorno que describes (35 users que se conectan a un TS para ejecutar una o varias aplicaciones) no es necesario una instalaciones de AD. Otra cosa es que esos 35 usuarios pertenezcan a tu organización y quieras gestionar los equipos y usuarios, y controlar el acceso a los recursos compartidos de tu servidor para determinados usuarios segun su membresía. Ahí claro que aplica la instalacion de un Active Directory para una gestion centralizada de todo.



    Un saludo.


    Saturday, November 07, 2009 8:54 PM
  • Hola Tomás:

    Muchísimas gracias por tu respuesta, que además de clara, ha sido perfectamente detallada y documentada. Ya me temía que no era posible, pero con tu confirmación y explicación me quedan los conceptos mucho más claros.

    Muchas gracias y hasta pronto.

    Luis.
    Tuesday, November 10, 2009 11:13 AM