educatica!

educación, informática y demás

Control de acceso. Estrategia AGDLP

Ya conocemos las cuentas de usuario del dominio y los grupos del dominio. A través del uso de este tipo de cuentas se suelen administrar los permisos de acceso, el control de acceso, a los recursos compartidos de los sistemas. Esto ya lo hemos visto cuando hemos trabajado en sistemas en entornos de escritorio monopuesto, es decir no conectados a un dominio o servicio de directorio.

El uso de grupos facilita a los administradores la administración de los recursos disponibles en los sistemas. En los dominios trabajaremos la mayoría de las veces con grupos locales y globales de dominio. Los grupos universales se reservan para grupos de usuarios que tengan acceso en distintos árboles de un bosque y tienen sentido en grandes organizaciones.

Para administrar el control de acceso de los recursos compartidos en red, como directorios compartidos o impresoras, en los dominios se recomienda utilizar la estrategia AGDLP. Esta estrategia no es más que la especificación de una metodología sencilla que facilita mucho las tareas de administración de control de acceso de recursos compartidos para los administradores. Sin embargo, tiene una pequeña desventaja, que genera una serie de grupos extra por cada recurso compartido. No obstante, las ventajas de su uso son mayores que las desventajas.

La idea es realizar el control de acceso a los recursos utilizando exclusivamente grupos locales del dominio. Para un recurso a compartir en red se crean tantos grupos locales del dominio como tipos de acceso se quieran proporcionar. Una vez creados los grupos locales del dominio, se configura el control de acceso utilizando exclusivamente estos grupos creados exclusivamente para el recurso compartido.

El siguiente paso será añadir cuentas de grupos globales a cada grupo local del dominio en función de los permisos que se quieran dar a dichos grupos sobre el recurso. Las cuentas de usuario del dominio, estarán ya añadidas a los distintos grupos del dominio, aunque si no lo hemos hecho ahora es el momento. Si fuera necesario, podríamos añadir cuentas de usuario a los grupos locales del dominio porque así lo exijan los permisos a establecer, aunque no suele ser lo recomendable. Otra opción es crear un nuevo grupo global, que seguro modelará un grupo real de la empresa, con los usuarios individuales y añadirlo al grupo local del dominio.

Esta es la estrategia AGDLP. De hecho, si nos fijamos, se trata de una metodología para el control de acceso a recursos y su nombre viene del orden en que se gestionan los distintos elementos implicados.

  • A. Accounts o cuentas. Primero se definen las cuentas de usuario del dominio. También podemos tener en cuenta cuentas de equipo.
  • G. Groups. Después, se crean las cuentas de grupo de seguridad global del dominio a los que se añaden las distintas cuentas de usuario del dominio.
  • DL. Domain Local. Para el recurso concreto para el que se quiere configurar el control de acceso, s crean tantas cuentas de grupo locales del dominio como tipos de acceso se quieran dar.
  • P. Permission. Permisos. Utilizando los grupos locales del dominio creados para este recurso compartido, se configura el control de acceso para dicho recurso, configurando los permisos concretos que se quieran dar para cada tipo de acceso.

Como ya se ha comentado, los grupos globales suelen corresponder con agrupaciones que se utilizan en la organización o empresa, como por ejemplo departamentos. Habitualmente el control de acceso de muchos recursos compartidos en un dominio tiene que ver con las agrupaciones existentes en la empresa, así que es buena idea contar con este tipo de grupos que permite agrupar usuarios y grupos dentro de departamentos.

Sin embargo, para establecer el control de acceso, no se utilizan ni las cuentas de usuario o las cuentas de grupo global o universal, en su lugar se utilizan cuentas locales del dominio. Esta estrategia se denomina AGDLP.

Por ejemplo, si tenemos un directorio compartido llamado Documentos en el que algunos usuarios podrán tener un acceso completo y otros tan solo podrán leer, se crean dos grupos Local de Dominio para gestionar el acceso a ese recurso concreto, con nombres significativos.

  1. DL_LecturaDocumentos. Grupo para los usuarios que solo tengan permiso de lectura sobre el recurso compartido documentos.
  2. DL_ControlTotalDocumentos. Grupo para los usuarios que tengan control total sobre el recurso compartido Documentos.

Para los grupos de dominio local se suele utilizar la nomenclatura mostrada en el ejemplo con un prefijo DL_ seguido de un nombre significativo que incluya el tipo de operación que se permite realizar y el recurso sobre el que se utilizará.

Una vez creados los grupos de dominio local, se configura el control de acceso en el recurso compartido utilizando exclusivamente DL_LecturaDocumentos y DL_ControlTotalDocumentos.

Aquí viene la gran ventaja de esta estrategia, a partir de ahora no tendremos que volver a tocar el control de acceso del recurso compartido salvo que cambien los permisos de cada tipo de acceso. Tan solo tendremos que añadir o eliminar miembros en los grupos de dominio local creados. Si queremos que un grupo o usuario tenga acceso de lectura, lo metemos en el grupo DL_LecturaDocumentos. Si queremos que tenga control total, lo metemos en DL_ControlTotalDocumentos. Y si no queremos que tenga acceso.. no lo metemos en ninguno de los grupos.

Siguiendo con el ejemplo, supongamos que solo los miembros del departamento Ventas tendrán acceso de control total y los miembros del departamento Contabilidad tendrán acceso de lectura. El resto de usuarios no podrá acceder al recurso. Tan sencillo como agregar el grupo global ventas al grupo DL_ControlTotalDocumentos y agregar al grupo DL_LecturaDocumentos. Todo esto sin tener que tocar el control de acceso en el recurso compartido, puesto que está configurado usando exclusivamente estos grupos de dominio local.

Sigamos suponiendo que, al cabo de un largo tiempo, es necesario que los miembros del departamento Almacén también puedan acceder para realizar operaciones de lectura sobre el recurso compartido Documentos. Pues bien, tan solo tendremos que añadir el grupo Almacén al grupo DL_LecturaDocumentos. Todo esto sin tener que buscar el recurso compartido en el sistema de ficheros ni tener que volver a configurar el control de acceso que se configuró hace tiempo. Tan solo tenemos que utilizar la herramienta de usuarios y equipos de Active Directory.

Como se puede ver, las tareas de administración se simplifican utilizando esta metodología o estrategia minimizando los errores humanos.

Tema creado por Anders Norén