none
Duda sobre diseño active directory RRS feed

  • Pregunta

  • Buenos días,

    Quería recomendación por parte de especialistas de los distintos posibles diseños que puedo implantar en nuestras empresas. Sóbre todo si es legal por ley crear el primer diseño que os he planteado.

    El escenario es el siguiente.

    Tengo en un mismo edificio cuatro empresas diferentes (todas son del mismo grupo). Estoy diseñando el espacio de nombres pero tengo dudas sobre que diseño escoger o si hubiera otro mejor. Me gusta mas el primero, ya que uno de los principios básicos es contar con un solo dominio por muchos motivos que vosotros ya sabéis.

    Estas cuatro empresas comparten routers en distintas vlan (Enlaces entre router a Gbps). Son aproximadamente 70 usuarios en cada una con sus distintos departamentos. 

    El primer diseño que he realizado: Es un dominio(replicado) grupodeempresas.local y OU por empresa y OU por departamentos en las distintas empresas. (En este, mi duda es que si hay algún tipo de problema en crear empresas con OU y sobre todo si es legal tener todos los user de las empresas en un mismo server)

    El segundo diseño: Crear un dominio y distintos subdominios para las distintas empresas (creo que son muchas máquinas)

    El tercer diseño: Un dominio por cada empresa y establecer relaciones de confianza para que los usuarios de una empresa puedan acceder a los recursos de otras. (el problema que veo en este el que la administración se duplica, ademas de las máquinas)

    Otro diseño sugerido: Si sabéis de otra mejor opción, os lo agradecería.

    Muchas gracias de antemano

    Gracias



    jueves, 2 de mayo de 2013 11:22

Respuestas

  • Hola Jaime, en diseño de AD no hay recetas, todas las alternativas que se puedan plantear tienen ventajas e inconvenientes. Se analizan, y se termina eligiendo la más conveniente para cada empresa en particular

    Siendo todas las empresas del mismo grupo empresarial entiendo que no hay problemas legales desde el punto de vista licenciamiento. Quizás para tener una respuesta oficial puedes consultarlo en el foro de licenciamiento donde responde directamente personal de Microsoft. Lo encuentras en: http://social.technet.microsoft.com/Forums/es-es/licencias/threads

    Ahora vamos al tema de AD propiamente dicho

    Un único Dominio - Algunas ventajas
    - Es lo que va a resultar más económico
    - Tienes administración centralizada totalmente, aunque puedes delegar administración por OU
    - Mayor control sobre administradores ya que hay un único grupo de administradores

    Un único Dominio - Algunas desventajas
    - Una única directiva de cuentas, aunque de ser necesario puedes usar "fine-grained policies"
    - Pueden surgir temas de seguridad entre empresas
    - Un único Esquema

     

    Un Dominio por empresa:
    - Bastante más caro, piensa en que lo recomendable es dos DCs por Dominio
    - Revisa cada una de las que puse para un único Dominio para ver en cuánto pueden afectarte
    - La cantidad de máquinas o usuarios, no justifica tener más de un dominio, salvo que estemos hablando de "varios millones" :-)

     

    Un Bosque por empresa
    De lo que pones entiendo que quieres crear un Bosque (Forest) diferente para cada empresa ¿es eso?
    - Esta opción da total independencia y es la forma cuando se requiere *aislamiento*. No confundir *aislamiento* con *autonomía*
    - Valen las mismas consideraciones que en el primer caso, pero son por cada división de la empresa
    - No podrán compartir algunas aplicaciones, por ejemplo Exchange

     

    En general, siempre la recomendación es usar el diseño "lo más simple posible". Complicarse únicamente cuando el objetivo lo requiera

    Y seguro se me están pasando algunos temas más ...

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 2 de mayo de 2013 13:26
    Moderador
  • Jaime,

    De entrada, no creo que nadie te vaya a meter en la carcel por elegir un diseño u otro :-)

    Por lo que las implicaciones legales, yo las cambiaría por recomendaciones desde un punto de vista de "seguridad" de los recursos de cada empresa, esto SI que podría suponerte un problema en alguna auditoría como LOPD, ISO,etc... Pero en cualquier caso, lo único ilegal que puedes hacer con un OS es distribuirlo ilegalmente (pirateo de toda la vida), lo demás será mejor o peor práctica pero no ilegal. Vamos, creo yo...

    Por otro lado, creo que el diseño 1 es el más indicado, básicamente por lo que comentas, en un escenario de N dominios trusted donde los usuarios deban acceder a los recursos de los otros va a ser complejo de mantener.

    A parte, el que tengas un sólo dominio, no significa que no puedas disponer de una seguridad granular que por defecto no permita a usuarios de la empresa A acceder a recursos de la empresa B, tanto a nivel de recursos (FileServers, Printers...) como del propio árbol de AD. 

    Saludos

    Julio Rosua

    jueves, 2 de mayo de 2013 13:27

Todas las respuestas

  • Hola Jaime, en diseño de AD no hay recetas, todas las alternativas que se puedan plantear tienen ventajas e inconvenientes. Se analizan, y se termina eligiendo la más conveniente para cada empresa en particular

    Siendo todas las empresas del mismo grupo empresarial entiendo que no hay problemas legales desde el punto de vista licenciamiento. Quizás para tener una respuesta oficial puedes consultarlo en el foro de licenciamiento donde responde directamente personal de Microsoft. Lo encuentras en: http://social.technet.microsoft.com/Forums/es-es/licencias/threads

    Ahora vamos al tema de AD propiamente dicho

    Un único Dominio - Algunas ventajas
    - Es lo que va a resultar más económico
    - Tienes administración centralizada totalmente, aunque puedes delegar administración por OU
    - Mayor control sobre administradores ya que hay un único grupo de administradores

    Un único Dominio - Algunas desventajas
    - Una única directiva de cuentas, aunque de ser necesario puedes usar "fine-grained policies"
    - Pueden surgir temas de seguridad entre empresas
    - Un único Esquema

     

    Un Dominio por empresa:
    - Bastante más caro, piensa en que lo recomendable es dos DCs por Dominio
    - Revisa cada una de las que puse para un único Dominio para ver en cuánto pueden afectarte
    - La cantidad de máquinas o usuarios, no justifica tener más de un dominio, salvo que estemos hablando de "varios millones" :-)

     

    Un Bosque por empresa
    De lo que pones entiendo que quieres crear un Bosque (Forest) diferente para cada empresa ¿es eso?
    - Esta opción da total independencia y es la forma cuando se requiere *aislamiento*. No confundir *aislamiento* con *autonomía*
    - Valen las mismas consideraciones que en el primer caso, pero son por cada división de la empresa
    - No podrán compartir algunas aplicaciones, por ejemplo Exchange

     

    En general, siempre la recomendación es usar el diseño "lo más simple posible". Complicarse únicamente cuando el objetivo lo requiera

    Y seguro se me están pasando algunos temas más ...

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 2 de mayo de 2013 13:26
    Moderador
  • Jaime,

    De entrada, no creo que nadie te vaya a meter en la carcel por elegir un diseño u otro :-)

    Por lo que las implicaciones legales, yo las cambiaría por recomendaciones desde un punto de vista de "seguridad" de los recursos de cada empresa, esto SI que podría suponerte un problema en alguna auditoría como LOPD, ISO,etc... Pero en cualquier caso, lo único ilegal que puedes hacer con un OS es distribuirlo ilegalmente (pirateo de toda la vida), lo demás será mejor o peor práctica pero no ilegal. Vamos, creo yo...

    Por otro lado, creo que el diseño 1 es el más indicado, básicamente por lo que comentas, en un escenario de N dominios trusted donde los usuarios deban acceder a los recursos de los otros va a ser complejo de mantener.

    A parte, el que tengas un sólo dominio, no significa que no puedas disponer de una seguridad granular que por defecto no permita a usuarios de la empresa A acceder a recursos de la empresa B, tanto a nivel de recursos (FileServers, Printers...) como del propio árbol de AD. 

    Saludos

    Julio Rosua

    jueves, 2 de mayo de 2013 13:27
  • Muchas gracias por vuestros consejos, me decantaré por la primera. He empezado hace poco a leer este foro y me esta gustando cada vez mas.

    Gracias por todas las aportaciones, lo poco que pueda ayudar, ayudaré

    Gracias

    jueves, 2 de mayo de 2013 14:59
  • Hola Jaime!

    Si bien ya te han respondido y dado opiniones, te doy la mía (tarde pero seguro!). Entiendo que son varias empresas y que la decisión ronda en como diseñar la solución de servicio de directorio, algo no menor para el futuro. Por eso mi opinión va a estar centrada en la óptica que me parece que deberías tener para llevar adelante el proyecto, y no tomarlo como decisiones aisladas de diseño. El foco de mi opinión estará en el proceso que te lleve a la decisión, y no en la decisión en sí misma.

    En este sentido, mi sugerencia es que el proceso que recorras sea lo más análitico posible y que esté alineado a MOF 4 (Microsoft Operations Framework 4). Microsoft Operations Framework (MOF) es un conjunto de prácticas recomendadaspara la infraestructura de IT de Microsoft y tiene diversas fases:

    La que nos interesa en el caso de tu proyecto es la Fase de "Delivery". Esta fase tiene como objetivo asegurar que los servicios de IT sean desarrollados de manera efectiva, implementados correctamente y listos para ser provisionados. Notá que la fase de "Delivery" tiene las siguientes sub-fases que deberían estar presentes en todos los proyectos, y principalmente los que tengan que ver a Infraestructura Microsoft:

    • Visión y Alcance (Envision).
    • Planeamiento (Project Planning).
    • Desarrollo (Build).
    • Estabilización (Stabilize).
    • Deploy (Implementación).

    Es muy importante que observes que luego de la fase "Visión y Alcance" y "Planeamiento" hay una "Aprobación del proyecto". Esto no es menor, dado que la aprobación del proyecto no es sólo técnica, sino también debe de estar alineada al negocio. Es una decisión en conjunto, desde lo técnico y lo gerencial, y será tu respaldo para continuar con el trabajo y poder medir el éxito del mismo. ¿Qué te quiero decir con todo esto? Que antes de tomar una decisión de diseño (un forest, varios forest, un dominio, varios dominios) te focalices en cerrar:

    • La Visión y el Alcance del proyecto: qué se busca y hasta dónde se busca. Que esto esté alineado con el negocio y sus necesidades. Por ejemplo: ¿la visión es centralizar infraestructura IT? ¿Dar cumplimiento a regulaciones o auditoría? ¿La visión es simplificar la administración? Etc...
    • El Planeamiento: esto incluye relevar las necesidades del negocio y las necesidades tecnológicas, y llegar a un "acuerdo" entre ambos donde los jefes y/o responsables del negocio te den el "ok". ¿Hay problemas legales que puedan incurrir en limitaciones tecnológicas o aislamiento de servicio de directorio? ¿Hay necesidades de auditoría por cumplir? ¿Se querrá certificar calidad? Y muchas otras preguntas más...

    Luego de haber cerrado estas fases y alinearlas con el negocio (en este caso las cuatro empresas que comentás) vas a poder tomar decisiones de diseño de modo de satisfacer las necesidades aprobadas previamente. Estas decisiones de diseño serán las que luego construyas en la fase de Desarrollo del proyecto.

    Algo que te va a ayudar mucho y te dará autonomía es tomar como base de trabajo el "Infrastructure Planning and Design" (IPD) de los servicios de Active Directory. El IPD es un conjunto de pasos ordenados que te ayudan a recorrer y plantearte las preguntas correctas y, una vez que tengas las respuestas, poder tomar las decisiones de diseño pertinentes. Hay un IPD por cada tecnología Microsoft, y en tu caso deberías basarte en la de Active Directory Domain Services:

    El flujo propuesto de decisión del IPD para Active Directory Domain Services es el siguiente:

    Luego de haberte dado mi opinión en "cómo" deberías encarar la decisión, desde el punto de vista de proyecto, te puedo dar mi feedback técnico:

    • La utilización de sub-dominios no es una práctica recomendada actualmente, salvo en situaciones donde no quede otra opción. La recomendación actual de Microsoft, que encontrarás en el IPD de Active Directory, es mantener "single forest - single domain". Lo más simple posible.
    • Como diseño alternativo, no dejes de considerar la utilización de un Resource Forest, o "Forest de Recursos". Un "Forest de Recursos" es un bosque de Active Directory donde los usuarios consumen sus recursos (Exchange, Fileserver, etc), pero el "security principal" no está allí. O sea, el objeto usuario (por ejemplo) está en otro Forest, que es el de cada empresa. De esta forma, cada empresa mantiene su infraestructura de Active Directory, y tenés un bosque de recursos (Resource Forest) donde todos los otros Forests consumen servicios. Es una manera de que cada empresa mantenga su independiencia administrativa sobre los usuarios, pero no sobre los servicios (que están centralizados). Esto muchas veces resuelve cuestiones legales donde las empresas se ven obligadas a mantener su autonomía tecnológica, aunque aumenta la necesidad de administración, por supuesto.
    • Siempre es seductor la posible solución de "single forest, single domain" y por cada unidad de negocio tener una OU diferenciada. Es buena opción! Deberías chequear temas legales y de auditoría.

    Analizando pros y contras de cada opción tendrás un mejor panorama, y luego deberías verificar su alineación con el negocio. Pero esto último principalmente: validar con el negocio la opción elegida.

    La primera opción que planteás podría ser válida y es simple para administrar! Si esto satisface tus necesidades, deberías analizar cómo implementarlo técnicamente y que cubra todas las necesidades.

    Espero que mi feedback te sea de utilidad!

    Saludos!!! Y éxitos!!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 3 de mayo de 2013 19:54
  • Buenas Tardes, tengo este escenario y me gustaria que me ayudaran..la empresa tiene 3 sedes geograficamente dispersas y una sede principal, requieren que la navegación debe ser mediante autenticación de directorio activo es el requisito para poder acceder a ese servicio.

    · Se requiere una solución basada en DFS de Microsoft para un manejo práctico de los archivos
    compartidos. Adicional esta arquitectura debe ser en un SAN en iSCSI


    · Las políticas globales son definidas desde casa matriz, pero los lineamientos de cada sede
    pueden ser autónomos y no pueden ir en contravía de los generales.

    que topologia me aconseja? tengo dudas si debo montar un bosque con varios dominios ya que como best practice debo implementar dos DC por Dominio y se me inflarian mucho los costos.

    Agradezco su pronta ayuda,

    Margarita

    Margarita Bernal | Intermezzo BI Coregroup| Intermezzo Business Intelligence Ingeniera Telematica- Universidad Icesi | margarita.bernal@intermezzo-bi.com

    martes, 24 de septiembre de 2013 21:58
  • Hola Margarita!

    En base a las reglas del foro, es necesario que la misma pregunta la rutees en un nuevo post (hilo) dado que este hilo ya está cerrado y respondido!

    Para que todos te podamos ayudar, enrutá esta pregunta en un post separado!

    Saludos y éxitos!


    Pablo Ariel Di Loreto
    IT Consultant

    Web: http://www.tectimes.net/
    Twitter: https://twitter.com/pablodiloreto

    Este anuncio se proporciona TAL CUAL sin garantías y sin conferir ningún derecho! Siempre pruebe CUALQUIER sugerencia en un entorno de prueba antes de implementar!
    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 25 de septiembre de 2013 21:22