ROL AGDLP y ROL AGUDLP

De ITCG Wiki
Ir a la navegaciónIr a la búsqueda
AGDLP.png

La configuración de los grupos de anidación en Active Directory suele ser un desafío si no se tiene un plan previo y planificado de hecho una de las recomendaciones por Microsoft es tener un control de acceso de manera anidad y que se base en roles, especialmente el rol AGDLP que es utilizado para los entornos de dominio únicos.

Significado Rol AGDLP

  • Accounts: Representa al usuario o incluso a la computadora.
  • GRAMOgrupo lobal: Que se conoce como grupo de roles.
  • Ddominio Lgrupos locales: Conocido como grupos de acceso.
  • PAGSpermisos: significa el permiso específico que se vincula al grupo local del dominio.

Es importante que el orden que se utilice sea de manera exacta para poder anidar los grupos correctamente.

Anidamiento AGDLP

AGDLP es conocido por ser el grupo de anidamiento que más recomienda Microsoft para las configuraciones en cuanto a los accesos basados en roles en una configuración de dominio que sea único.

Cuando se utilizan los principios de anidamiento AGDLP y RBAC se tiende a obtener un mensaje pequeño que describe de forma general a los permisos y las especificaciones de un rol y este se puede copiar de manera fácil hacía otros grupos de roles si así es requerido, cuando se utiliza AGDLP, solo es necesario no olvidar vincular siempre el permiso con el grupo local de dominio al final de la cadena de anidamiento y nunca se debe vincular al grupo global.

Rol AGUDLP

El rol AGUDLP es utilizado para múltiples dominios y también para los bosques de AGDLP, pero se diferencian porque se debe agregar un grupo universal a la cadena de anidación.

Se pueden utilizar los grupos universales para realizar tareas como añadir grupos de funciones que también son conocidos como grupos globales de otros dominios sin tener que seguir procedimientos largos y complicados. Es importante recordar que el grupo universal que es conocido como grupo de recursos, debe contar con el mismo nombre que el grupo de roles correspondiente, excepto por su prefijo para evitar problemas.

Utilización de estrategia AGDLP y AGUDLP

Para lograr tener un anidamiento que cubra la mayoría de las necesidades AGDLP o AGUDLP son de excelente descripción de forma general debido a que tienen restricciones sobre quién tiene qué permisos, lo que es importante en situaciones de auditorías.

Estas configuraciones también son necesarias porque quitan la necesidad de tener que arreglar problemas y situaciones si algo no tiene el funcionamiento esperado, se podría decir que estas estrategias reducen la sobrecarga administrativa porque simplifican la forma para asignar y delegar permisos a otros dominios.

Reglas de implementación con AGDLP y AGUDLP

  • Se debe escoger por una convención de nomenclatura de sus grupos dependiendo de sus requerimientos.
  • Si un usuario tiene múltiples roles no debe de crear grupos de roles que sean innecesarios.
  • Saber diferenciar entre los tipos grupos como: dominio local, global, universal, etc. Para evitar inconvenientes.
  • Nunca asigne permisos directamente a los grupos globales o universales. Esto romperá la estrategia de anidamiento y su correspondiente resumen de permisos para la organización.

Escoger entre utilizar AGDLP o AGUDLP

Es importante identificar si no se tiene la necesidad de asignar permisos en diferentes dominios, si es este el cado se debe utilizar siempre AGDLP.

Pero se debe tener presente que los grupos anidados con AGDLP pueden pasar a convertirse a AGUDLP si así es requerido y estos toman menos trabajo para funcionar.

Convertir un grupo anidado AGDLP en AGUDLP

Se deben de seguir una serie de pasos los cuales se presentan a continuación:

1. Se debe crear un grupo universal.

2. Se deben enviar las membresías desde el grupo global hacía el grupo universal.

3. Se debe añadir el grupo universal como un miembro del grupo global.

4. Se debe hacer que todos los usuarios y computadoras actualicen su token Kerberos o sencillamente se debe cerrar la sesión y posteriormente abrirla.

5. Se deben eliminar todos los grupos locales de dominio que se encuentren en el grupo global.

Criterios que debe contener una convención de nomenclatura

  • Debe contar con facilidad de lectura.
  • Tiene de contener simpleza para análisis con Scripts.
  • No debe de contener caracteres como espacios.
  • No debe contener caracteres especiales
  • No debe contener caracteres que no sean del alfabeto o numéricos a excepción de guiones.

Fuentes utilizadas

Wikipedia. (31 de Enero de 2021) WIKIPEDIA. Dirección web

Véase tambien

Active Directory

Bosques Active Directory

Enlaces Externos

AGDLP reduce los problemas de administración de cuentas y administración de permisos

Obtenido de «https://wiki.itcoug.com/index.php?title=ROL_AGDLP_y_ROL_AGUDLP&oldid=249»