Duda sobre grupos de seguridad

29/05/2006 - 13:17 por Anderón | Informe spam
Hola foreros/as

Estamos replanteándonos redefinir nuestras nomencleturas de grupos de
seguridad (creandolos por departamentos, projectos, etc.) La pregunta del
millón es si conviene seguir la directriz de Microsoft sobre grupos, a
saber, crear grupos globales donde meter a los usuarios y luego crear grupos
locales para usarlos al asignar permisos. Esto implica duplicarlo
absolutamente todo por cada recurso compartido, projecto, área o
departamento ¿tiene algun sentido si hablamos de un sólo dominio?

¿Empleais vosotros esta directriz? Un saludo,
Anderón

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
29/05/2006 - 13:40 | Informe spam
Es siempre lo recomendable, ahora, que lo sigas o no, ya es cosa vuestra;
desde luego, por seguridad, es lo ideal, a costa está claro de mayor tiempo
de adminsitración -pero sólo al principio, una vez hecho y si está bien
planteado no da más trabajo-

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Anderón" escribió en el mensaje
news:
Hola foreros/as

Estamos replanteándonos redefinir nuestras nomencleturas de grupos de
seguridad (creandolos por departamentos, projectos, etc.) La pregunta del
millón es si conviene seguir la directriz de Microsoft sobre grupos, a
saber, crear grupos globales donde meter a los usuarios y luego crear
grupos locales para usarlos al asignar permisos. Esto implica duplicarlo
absolutamente todo por cada recurso compartido, projecto, área o
departamento ¿tiene algun sentido si hablamos de un sólo dominio?

¿Empleais vosotros esta directriz? Un saludo,
Anderón

Respuesta Responder a este mensaje
#2 Anderón
29/05/2006 - 16:13 | Informe spam
Gracias Javier, veamos que entendemos por "procedimiento empleado", si te
parece te pongo un ejemplo y me indicas si la solución adoptada es la
adecuada o no.
Veamos la estructura siguiente:

Departamentos:
-Administración:
-Tecnología:
-etc.

En la estructura anterior, en la rama del departamento Administración deben
entrar todos los usuarios del departamento, en Proyecto1 deben entrar unos
con permisos de RO y otros con RW. En el compartirGeneral entran sólo unos
pocos con escritura.
Grupos a crear:

GrGlobalDep_Administración --> grupo global para el departamento, contiene
todos los usuarios de éste
GrLocalDep_Administración --> grupo local para el departamento, contiene el
grupo Global. Este es el grupo al que doy privilegios de acceso en la
carpeta
GrGlobal_Proyecto1_RO --> grupo global con los usuarios que tendran permiso
de lectura en la carpeta Proyecto 1
GrGlobal_Proyecto1_RW --> grupo global con los usuarios que tendran permiso
de escritura en la carpeta Proyecto 1
GrLocal_Proyecto1_RO --> grupo local con el grupo global correspondiente,
este grupo será el que figure en la pestaña Security de Proyecto 1
GrLocal_Proyecto1_RW --> grupo local con el grupo global correspondiente,
este grupo será el que figure en la pestaña Security de Proyecto 1
GrGlobal_CompartirGeneral --> grupo global con los usuarios del departamento
con permiso
GrLocal_CompartirGeneral --> grupo local con el grupo global anterior. Este
es el que se usa en la pestaña Security de la carpeta

Se comparte sólo la carpeta Departamentos con todos los usuarios con acceso
de lectura.

¿Como lo ves? vaya, parecen demasiados y si hay más carpetas con permisos
más complejos esto puede ser la locura.

Un saludo,
Anderón




"Javier Inglés [MS MVP]" escribió en el mensaje
news:%
Es siempre lo recomendable, ahora, que lo sigas o no, ya es cosa vuestra;
desde luego, por seguridad, es lo ideal, a costa está claro de mayor
tiempo de adminsitración -pero sólo al principio, una vez hecho y si está
bien planteado no da más trabajo-

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Anderón" escribió en el mensaje
news:
Hola foreros/as

Estamos replanteándonos redefinir nuestras nomencleturas de grupos de
seguridad (creandolos por departamentos, projectos, etc.) La pregunta del
millón es si conviene seguir la directriz de Microsoft sobre grupos, a
saber, crear grupos globales donde meter a los usuarios y luego crear
grupos locales para usarlos al asignar permisos. Esto implica duplicarlo
absolutamente todo por cada recurso compartido, projecto, área o
departamento ¿tiene algun sentido si hablamos de un sólo dominio?

¿Empleais vosotros esta directriz? Un saludo,
Anderón





Respuesta Responder a este mensaje
#3 Javier Inglés [MS MVP]
29/05/2006 - 16:42 | Informe spam
El procedimiento es:

Grupo global>Grupo de seguridad>grupo de seguridad local al server

Será más o menos lío al principio, pero si desde el primer momento es la
medida adoptada después no tienes que tener mayores complicaciones.

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Anderón" escribió en el mensaje
news:%
Gracias Javier, veamos que entendemos por "procedimiento empleado", si te
parece te pongo un ejemplo y me indicas si la solución adoptada es la
adecuada o no.
Veamos la estructura siguiente:

Departamentos:
-Administración:
-Tecnología:
-etc.

En la estructura anterior, en la rama del departamento Administración
deben entrar todos los usuarios del departamento, en Proyecto1 deben
entrar unos con permisos de RO y otros con RW. En el compartirGeneral
entran sólo unos pocos con escritura.
Grupos a crear:

GrGlobalDep_Administración --> grupo global para el departamento,
contiene todos los usuarios de éste
GrLocalDep_Administración --> grupo local para el departamento, contiene
el grupo Global. Este es el grupo al que doy privilegios de acceso en la
carpeta
GrGlobal_Proyecto1_RO --> grupo global con los usuarios que tendran
permiso de lectura en la carpeta Proyecto 1
GrGlobal_Proyecto1_RW --> grupo global con los usuarios que tendran
permiso de escritura en la carpeta Proyecto 1
GrLocal_Proyecto1_RO --> grupo local con el grupo global correspondiente,
este grupo será el que figure en la pestaña Security de Proyecto 1
GrLocal_Proyecto1_RW --> grupo local con el grupo global correspondiente,
este grupo será el que figure en la pestaña Security de Proyecto 1
GrGlobal_CompartirGeneral --> grupo global con los usuarios del
departamento con permiso
GrLocal_CompartirGeneral --> grupo local con el grupo global anterior.
Este es el que se usa en la pestaña Security de la carpeta

Se comparte sólo la carpeta Departamentos con todos los usuarios con
acceso de lectura.

¿Como lo ves? vaya, parecen demasiados y si hay más carpetas con permisos
más complejos esto puede ser la locura.

Un saludo,
Anderón




"Javier Inglés [MS MVP]" escribió en el mensaje
news:%
Es siempre lo recomendable, ahora, que lo sigas o no, ya es cosa vuestra;
desde luego, por seguridad, es lo ideal, a costa está claro de mayor
tiempo de adminsitración -pero sólo al principio, una vez hecho y si está
bien planteado no da más trabajo-

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Anderón" escribió en el mensaje
news:
Hola foreros/as

Estamos replanteándonos redefinir nuestras nomencleturas de grupos de
seguridad (creandolos por departamentos, projectos, etc.) La pregunta
del millón es si conviene seguir la directriz de Microsoft sobre grupos,
a saber, crear grupos globales donde meter a los usuarios y luego crear
grupos locales para usarlos al asignar permisos. Esto implica duplicarlo
absolutamente todo por cada recurso compartido, projecto, área o
departamento ¿tiene algun sentido si hablamos de un sólo dominio?

¿Empleais vosotros esta directriz? Un saludo,
Anderón









email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida