Bit - loader

Introducción al diseño e implementación de Directorio Activo. Parte 4


Netmind - Introducción al diseño e implementación de Directorio Activo. Parte 4    Artículo | Windows Server 2016
Joan Carles Roca | 04/05/18

Continuando con los motivos para crear más de un Forest en nuestro directorio activo, está el de la confianza en los administradores de Forest. En un Forest, existe un grupo especial llamado Enterprise Administrators. Este grupo únicamente existe en el dominio raíz.

 

Hay que tener en cuenta que los miembros de este grupo tienen control total sobre todos los dominio del Forest. Por defecto este grupo es miembro  del grupo Administradores  en todos los controladores de dominio en el Forest. Por defecto la cuenta Administrator es miembro de este grupo.

 

Estamos otra vez en un caso de confianza. Si debemos tener cualquier estructura de dominios sujetos a un Forest, deberemos fiarnos de los miembro del grupo Enterprise Admins, dado que pueden acceder a todos los dominios del Forest y manipular cualquier equipo. Si surge cualquier duda o no estamos seguros de esta confianza, será motivo suficiente para crear un forest alternativo.

 

Introducción al diseño e implementación de Directorio Activo. Parte 4 0

 

En una estructura de Forest, podemos decir que cada dominio tiene autonomía, es decir control sobre sus recursos, pero no en exclusiva, mientras que un Forest alternativo tiene aislamiento total.

 

Los modelos de diseño sobre los cuales nos podemos basar son tres:

  • El modelo de Forest Organizacional
  • El modelo de Forest de recursos
  • El modelo de Forest con Acceso restringido

 

 

Modelo de Forest Organizacional

En este modelo, las cuentas de usuario y los recursos están contenidas en el Forest pero gestionadas de forma independiente. Si los usuarios de un forest necesitan acceder a recursos en otro Forest, o al revés,  deberemos establecer una relación de confianza con el otro Forest.

Digamos que esta es la base del diseño y que cada directorio activo incluye al menos un forest Organizacional.

 

Modelo de Forest de Recursos

En este modelo, se utiliza un Forest separado que contiene los recursos. Los Forests de recursos no contienen cuentas de usuario, solamente las creadas por defecto durante la instalación del Forest y las necesarias para su correcta administración. Se establece una relación de confianza o Trust de tal forma que los usuarios de otros Forests pueden acceder a recursos contenidos en el Forest de recursos. Este modelo proporciona aislamiento de servicios.  Aquí surge también el motivo de la alta disponibilidad, no pensado como es habitual como redundancia de servidores o piezas de hardware, sinó del aislamiento mismo. Es decir si existe alguna afectación, corrupción, fallos en DNS u otros servicios etc… en otros Forests, esto no afectará al Forest de recursos.

 

Introducción al diseño e implementación de Directorio Activo. Parte 4 1

 

Modelo de Forest con acceso restringido

En este modelo se crea un Forest separado con las cuentas de usuario y recursos que deben permanecer aislados  del resto  de la emrpesa. Los Forests con acceso restringido proporcionan un aislamiento de datos en donde las consecuencias de comprometer los datos de una unidad de negocio, proyecto etc… causarían un impacto severo en la emrpesa.

 

Los usuarios de otros Forests no pueden ni se les puede coneceder ningún tipo de acceso, dado que no existe relación de confianza o Trust entre este Forest y ningún otro. Se trata de que los usuarios tengan una cuenta de usuario en el Forest organizacional de la empresa, y otra cuenta de usuario distinta en el Forest con acceso restringido, en caso de que necesiten acceso a información confidencial. Estos usuarios deberian tener dos estaciones de trabajo conectadas a los respectivos Forests, el organizacional y el de acceso restringido. Este punto es fundamental para mantener el aislamiento. Debe evitarse conectar al forest con acceso restringido desde cualquier equipo no unido a dicho Forest. Podemos seguir elevando el nivel de seguridad, con firewalls, autenticaciones adicionales e incluso haciendo que el Forest con acceso restrigido esté físicamente conectado a una red dedicada.

 

En los siguientes artículos nos centraremos en el diseño de los dominios dentro una estructura de Forest.

 


Joan Carles Roca


Entradas relacionadas
Nuestro sitio utiliza cookies para análisis. Si no estás seguro de ello, echa un vistazo a nuestra política de privacidad.