none
Grupo de Seguridad de 2 bosques unidos por relacion de confianza RRS feed

  • Pregunta

  • Buenas,

    ¿Es posible crear un grupo de seguridad con cuentas de dominio de dos bosques distintos unidos por relacion de confianza? De momento estoy añadiendo manualmente los usuario en los recursos compartidos pero me gustaria crear grupos si fuera posible con cuentas de ambos Bosques.

    Gracias

    lunes, 22 de octubre de 2012 10:30

Respuestas

  • Si, se puede, pero ten en cuenta lo siguiente:

    - Los grupos que pueden contener cuentas de diferentes dominios son los de tipo "Local de Dominio". La limitación de estos grupos es que sólo los podrás usar/ver en el dominio donde los definas

    - Los grupos que puedes ver/usar en todos los dominios del Bosque o los "trusting domains" son los de tipo "Global", pero estos no pueden contener cuentas de otros dominios

    Lo recomendable es que pongas las cuentas que necesites en grupos Globales en cada dominio, y luego pongas a todos los Globales que necesites, dentro de Locales de Dominio creados en cada dominio. Y por supuesto, darle permisos a estos últimos

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 22 de octubre de 2012 11:22
    Moderador
  • Hola Chabu4,

    Lo que comentas está soportado y se suele hacer sin problemas, lo único que has de saber es el alcance de cada grupo a nivel de directorio activo para saber que grupos has de usar.

    Te dejo algo de información relativa a este respecto para que puedas informarte y profundizar más en el funcionamiento de los grupos de eguridad en Directorio Activo: http://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx

    Por ejemplo si quieres que un grupo de seguridad de DOMINIO A acceda a recursos de DOMINIO B, el grupo de seguridad de DOMINIO A a de ser UNIVERSAL o GLOBAL

    Si por el contrario quieres crear el grupo de seguridad en DOMINIO B para acceder a recursos de DOMINIO B, y que ese grupo incluya usuarios de DOMINIO A, has de crear un grupo DOMINIO LOCAL.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn


    lunes, 22 de octubre de 2012 11:27
  • Hola,

    Para dar permisos entre Forest puedes usar grupos universales. Mira la tabla de este artículo para ver los ambitos de uso de estos grupos:

    http://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx

    Mi recomendación sería que usases grupos globales para ubicar los usuarios y lo incluyeses dentro de un universal. A este universal podrías asignarle permisos sobre un recurso de otro Bosque (los grupos universales están disponibles a partir de 2003, si tienes un DA anterior no podrías usarlos).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    lunes, 22 de octubre de 2012 11:32
  • Hola Chabu!

    1) Si, se puede.

    2) Es cierto lo que comentan Guillermo, Dani y Daniel.

    3) Mi único comentario es el siguiente:

      a) Existen varios tipos de grupos en AD: Global Group, Domain Local y Universal Group.

      b) Estos tipos de grupos, en su interacción, te sirven para dar permisos dentro del mismo forest, entre forests y biceversa (pero la recomendación depende del entorno a aplicarse).

      c) Hay que tener ciertas consideraciones en la utilización de estos grupos, a saber:

          * Universal Group: puede contener usuarios del mismo forest (sólo del mismo forest, no del otro). Su información se aloja en los Global Catalogs (todos) del mismo forest. Esto es beneficioso desde el punto de vista disponibilidad de catálogos pero complicado en la replicación.

          * Domain Local: no tienen limitaciones (pueden incluir membership de cualquier forest, el propio o alguno con confianza). Esto es una gran diferencia con el anterior tipo de grupo.

          * Global Group: Pueden contener cuenta solo del mismo dominio. Ni otro forest, ni el mismo forest (salvo que sea un forest con un dominio solo).

      d) Habiendo explicado lo anterior (las diferencias entre los tres tipos de grupos), existen ciertas estrategias oficiales para el tratamiento de los grupos. Principalmente desde Microsoft se recomienda usar la estrategia AGUDLP. AGUDLP significa que:

          * [A]ccounts van dentro de
          * [G]lobal Groups, los Global Groups dentro de
          * [U]niversal Groups, los Universal Group dentro de
          * [D]omain [L]ocal Groups, y estos son utilizados para dar
          * [P]ermissions con el esquema, por ejemplo, ACL.

    Quizás en un principio esto puede confundirte, pero es determinante que la organización de usuarios, grupos y asignación de recursos (permisos en los recursos) sea apropiada para lograr:

    - Re-aprovechamiento de los grupos creados.
    - Simpleza en la administración.

    Esta estrategia es la recomendada por Microsoft para el ambiente que comentás en tu caso (múltiples forest con relación de confianza). Tiene otras ventajas, como por ejemplo:

    - Agregar o quitar usuarios dentro de los grupos no requiere que los usuarios inicien sesión para que los cambios surjan efecto.
    - No deberías de cambiar las reglas de negocio (permisos asignados a las carpetas). Si necesitás cambiar un permiso, vas a hacer modificaciones en el grupo, y no en la carpeta (por ejemplo recurso compartido).
    - Puede ser re-aprovechado por otras reglas de acceso que no sean de tipo ACL (acceso vía escritorio remoto, por ejemplo).

    Link online: http://technet.microsoft.com/en-us/library/cc755692.aspx

    Un saludo! Espero que toda esta info te sirva!!! Y esperamos tu feedback.


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 24 de octubre de 2012 14:08

Todas las respuestas

  • Si, se puede, pero ten en cuenta lo siguiente:

    - Los grupos que pueden contener cuentas de diferentes dominios son los de tipo "Local de Dominio". La limitación de estos grupos es que sólo los podrás usar/ver en el dominio donde los definas

    - Los grupos que puedes ver/usar en todos los dominios del Bosque o los "trusting domains" son los de tipo "Global", pero estos no pueden contener cuentas de otros dominios

    Lo recomendable es que pongas las cuentas que necesites en grupos Globales en cada dominio, y luego pongas a todos los Globales que necesites, dentro de Locales de Dominio creados en cada dominio. Y por supuesto, darle permisos a estos últimos

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 22 de octubre de 2012 11:22
    Moderador
  • Hola Chabu4,

    Lo que comentas está soportado y se suele hacer sin problemas, lo único que has de saber es el alcance de cada grupo a nivel de directorio activo para saber que grupos has de usar.

    Te dejo algo de información relativa a este respecto para que puedas informarte y profundizar más en el funcionamiento de los grupos de eguridad en Directorio Activo: http://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx

    Por ejemplo si quieres que un grupo de seguridad de DOMINIO A acceda a recursos de DOMINIO B, el grupo de seguridad de DOMINIO A a de ser UNIVERSAL o GLOBAL

    Si por el contrario quieres crear el grupo de seguridad en DOMINIO B para acceder a recursos de DOMINIO B, y que ese grupo incluya usuarios de DOMINIO A, has de crear un grupo DOMINIO LOCAL.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn


    lunes, 22 de octubre de 2012 11:27
  • Hola,

    Para dar permisos entre Forest puedes usar grupos universales. Mira la tabla de este artículo para ver los ambitos de uso de estos grupos:

    http://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx

    Mi recomendación sería que usases grupos globales para ubicar los usuarios y lo incluyeses dentro de un universal. A este universal podrías asignarle permisos sobre un recurso de otro Bosque (los grupos universales están disponibles a partir de 2003, si tienes un DA anterior no podrías usarlos).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    lunes, 22 de octubre de 2012 11:32
  • Hola Chabu!

    1) Si, se puede.

    2) Es cierto lo que comentan Guillermo, Dani y Daniel.

    3) Mi único comentario es el siguiente:

      a) Existen varios tipos de grupos en AD: Global Group, Domain Local y Universal Group.

      b) Estos tipos de grupos, en su interacción, te sirven para dar permisos dentro del mismo forest, entre forests y biceversa (pero la recomendación depende del entorno a aplicarse).

      c) Hay que tener ciertas consideraciones en la utilización de estos grupos, a saber:

          * Universal Group: puede contener usuarios del mismo forest (sólo del mismo forest, no del otro). Su información se aloja en los Global Catalogs (todos) del mismo forest. Esto es beneficioso desde el punto de vista disponibilidad de catálogos pero complicado en la replicación.

          * Domain Local: no tienen limitaciones (pueden incluir membership de cualquier forest, el propio o alguno con confianza). Esto es una gran diferencia con el anterior tipo de grupo.

          * Global Group: Pueden contener cuenta solo del mismo dominio. Ni otro forest, ni el mismo forest (salvo que sea un forest con un dominio solo).

      d) Habiendo explicado lo anterior (las diferencias entre los tres tipos de grupos), existen ciertas estrategias oficiales para el tratamiento de los grupos. Principalmente desde Microsoft se recomienda usar la estrategia AGUDLP. AGUDLP significa que:

          * [A]ccounts van dentro de
          * [G]lobal Groups, los Global Groups dentro de
          * [U]niversal Groups, los Universal Group dentro de
          * [D]omain [L]ocal Groups, y estos son utilizados para dar
          * [P]ermissions con el esquema, por ejemplo, ACL.

    Quizás en un principio esto puede confundirte, pero es determinante que la organización de usuarios, grupos y asignación de recursos (permisos en los recursos) sea apropiada para lograr:

    - Re-aprovechamiento de los grupos creados.
    - Simpleza en la administración.

    Esta estrategia es la recomendada por Microsoft para el ambiente que comentás en tu caso (múltiples forest con relación de confianza). Tiene otras ventajas, como por ejemplo:

    - Agregar o quitar usuarios dentro de los grupos no requiere que los usuarios inicien sesión para que los cambios surjan efecto.
    - No deberías de cambiar las reglas de negocio (permisos asignados a las carpetas). Si necesitás cambiar un permiso, vas a hacer modificaciones en el grupo, y no en la carpeta (por ejemplo recurso compartido).
    - Puede ser re-aprovechado por otras reglas de acceso que no sean de tipo ACL (acceso vía escritorio remoto, por ejemplo).

    Link online: http://technet.microsoft.com/en-us/library/cc755692.aspx

    Un saludo! Espero que toda esta info te sirva!!! Y esperamos tu feedback.


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 24 de octubre de 2012 14:08