Anacrolibrum

Píldora TAI CXLII; Cómo Administrar Políticas de Grupo en Active Directory

Administración de Directorios y Políticas en Windows (AD, GPO y PowerShell)

1. Conceptos Fundamentales

¿Qué es una amenaza?

Una amenaza es el conjunto de sucesos que podrían ocasionar daños a los activos de la organización.
Por ello, la administración de directorios y políticas de seguridad es clave para proteger usuarios, equipos y datos.

2. Nombres de Objeto en Active Directory

  • Cada entrada en AD tiene un identificador único: Nombre Distinguido (Distinguished Name, DN).
  • El Relative Distinguished Name (RDN) se construye con los atributos del objeto y se encadena con el DN del padre.

Ejemplo de DN:

CN=Nombre,OU=Ventas,DC=foo,DC=org

Componentes:

  • CN (Common Name): Imprime
  • OU (Organizational Unit): Ventas
  • DC (Domain Component): foo.org
  • Object Class: Tipo de objeto (usuario, impresora, grupo…)

3. Active Directory (AD)

Un Directorio Activo es un servicio de directorio para autenticar y administrar usuarios, grupos, equipos y políticas.

Funcionalidades principales

  • Autenticación centralizada con LDAP, DNS, DHCP y Kerberos.
  • Organización jerárquica en Bosque, Árboles, Dominios y Unidades Organizativas (OU).
  • Permite delegar permisos, aplicar políticas de grupo y administrar objetos.

Ejemplo de comandos:

dsadd user "cn=Roberto Ruiz,ou=ventas,dc=rebeldadmin,dc=com" -pwd "Contraseña"
dsget user -samid tidris -dn
dsrm "cn=usuario,ou=ventas,dc=empresa,dc=com"

4. Administración en Windows

Servicios Clave

  • RAS: Acceso remoto vía VPN (PPTP, L2TP, SSTP).
  • WinRM: Administración remota.
  • LAPS: Gestión segura de contraseñas locales.
  • VAMT: Activación de licencias por volumen.
  • APPLocker / EMET: Restricción de aplicaciones y mitigación de exploits.
  • SCVMM: Administración de máquinas virtuales en Hyper-V.
  • WSUS: Gestión de actualizaciones en red.
  • PacketFence: Control de acceso a red (NAC).

5. GPO (Group Policy Object)

Las Políticas de Grupo permiten establecer la configuración de sistema y usuarios de forma centralizada.

Tipos de GPO

  • Locales: Aplicadas solo al equipo local.
  • De Dominio: Vinculadas a sitios, dominios u OU.

Orden de aplicación

  1. GPO local
  2. GPO de sitio
  3. GPO de dominio
  4. GPO de OU (de mayor a menor jerarquía)

Nota: En caso de conflicto, prevalece la política más restrictiva.

Herramientas para GPO

  • gpupdate: Actualiza directivas.
  • rsop.msc: Resultado de la directiva aplicada.
  • gpresult: Informe detallado por usuario/equipo.
  • GPMC (Group Policy Management Console): Consola principal.
  • ADMX: Plantillas administrativas con configuraciones reutilizables.

6. PowerShell 5.0

PowerShell es el lenguaje de automatización y scripting por excelencia en Windows.

Cmdlets útiles:

Get-Command           # Lista todos los comandos disponibles
Get-Help              # Muestra ayuda de un comando
Get-Service           # Lista servicios en ejecución
New-ADUser            # Crea un usuario en AD
Add-Content           # Añade contenido a un archivo
Get-Acl               # Consulta listas de control de acceso

Ventaja: permite administrar usuarios, grupos, permisos, directivas y seguridad de forma automatizada.

7. Resumen Visual

  • AD (Active Directory): Directorio centralizado → autentica y administra usuarios, equipos y políticas.
  • GPO (Group Policy Object): Reglas y configuraciones aplicadas a usuarios/equipos.
  • PowerShell: Lenguaje de administración y automatización.
  • Seguridad: La política más restrictiva siempre prevalece.

🏢 Active Directory: Guía Completa y Visual

📖 ¿Qué es Active Directory?

Active Directory (AD) es un servicio de directorio desarrollado por Microsoft que funciona como una base de datos centralizada para gestionar y organizar recursos de red en entornos empresariales Windows.

🎯 Función Principal

Actúa como un «directorio telefónico» digital que almacena información sobre todos los recursos de la red: usuarios, computadoras, impresoras, aplicaciones y políticas de seguridad.

🏗️ Arquitectura y Componentes

📊 Estructura Jerárquica

🌳 Bosque (Forest)
    └── 🌲 Dominio (Domain)
        ├── 📁 Unidad Organizacional (OU)
        │   ├── 👤 Usuarios
        │   ├── 💻 Computadoras
        │   └── 👥 Grupos
        └── 📁 Contenedores
            ├── 🖨️ Impresoras
            └── 📋 Políticas

🔧 Componentes Clave

1. Dominio

  • Unidad administrativa básica
  • Comparte una base de datos común
  • Ejemplo: empresa.local

2. Controlador de Dominio (DC)

  • Servidor que almacena la base de datos de AD
  • Autentica usuarios y autoriza acceso
  • Replica información con otros DCs

3. Unidades Organizacionales (OU)

  • Contenedores que organizan objetos
  • Facilitan la aplicación de políticas
  • Estructura: Departamentos, ubicaciones, roles

4. Objetos

  • Usuarios: Cuentas de empleados
  • Computadoras: Equipos unidos al dominio
  • Grupos: Conjuntos de usuarios con permisos similares
  • Impresoras: Dispositivos de impresión compartidos

🔐 Servicios y Protocolos

🌐 Protocolos Principales

ProtocoloPuertoFunciónLDAP389Consultas de directorioLDAPS636LDAP seguro (SSL/TLS)DNS53Resolución de nombresKerberos V588Autenticación seguraDHCP67/68Asignación de IPs

🛡️ Servicios Integrados

DNS (Domain Name System)

  • Resuelve nombres de dominio a direcciones IP
  • Esencial para la localización de controladores de dominio
  • Registros SRV para servicios de AD

DHCP (Dynamic Host Configuration Protocol)

  • Asignación automática de direcciones IP
  • Configuración de parámetros de red
  • Integración con registros DNS dinámicos

👥 Gestión de Usuarios y Grupos

🏷️ Tipos de Cuentas

Cuentas de Usuario

  • Locales: Solo en el equipo local
  • Dominio: Gestionadas por AD
  • Servicio: Para aplicaciones y servicios

Grupos de Seguridad

📊 Ámbitos de Grupo:
├── 🏠 Local (Local)
├── 🌍 Global (Global)  
└── 🌐 Universal (Universal)

🔐 Tipos:
├── 🛡️ Seguridad (Security)
└── 📧 Distribución (Distribution)

🎯 Mejores Prácticas de Grupos

  1. AGDLP/AGUDLP – Estrategia recomendada:
    • Accounts → Global groups → Domain Local groups → Permissions
    • Para bosques: Accounts → Global → Universal → Domain Local → Permissions

📋 Políticas de Grupo (GPO)

🎛️ ¿Qué son las GPO?

Las Group Policy Objects permiten configurar y gestionar centralizadamente:

  • ⚙️ Configuraciones del sistema
  • 🔒 Políticas de seguridad
  • 💾 Instalación de software
  • 🎨 Configuración del escritorio
  • 🌐 Configuraciones de red

📊 Tipos de Políticas

Computer Configuration

  • Se aplican al iniciar el equipo
  • Independientes del usuario conectado
  • Configuraciones de sistema y seguridad

User Configuration

  • Se aplican al iniciar sesión del usuario
  • Personalizaciones y restricciones por usuario
  • Configuraciones de escritorio y aplicaciones

🔄 Orden de Aplicación (LSDOU)

  1. Local – Políticas locales del equipo
  2. Site – Políticas del sitio de AD
  3. Domain – Políticas del dominio
  4. OU – Políticas de la unidad organizacional

🛠️ Herramientas de Administración

🖥️ Herramientas Principales

Active Directory Users and Computers (ADUC)

  • Gestión de usuarios, grupos y OUs
  • Propiedades y atributos de objetos
  • Operaciones masivas

Group Policy Management Console (GPMC)

  • Creación y edición de GPOs
  • Reportes de políticas
  • Modelado y análisis de resultados

Active Directory Sites and Services

  • Configuración de sitios y subredes
  • Gestión de la replicación
  • Optimización del tráfico de red

💻 PowerShell para AD

powershell

# Ejemplos de comandos útiles
Get-ADUser -Filter * -Properties *
New-ADUser -Name "Juan Pérez" -SamAccountName "jperez"
Add-ADGroupMember -Identity "Ventas" -Members "jperez"
Get-GPO -All | Select DisplayName, GPOStatus

🔄 Replicación y Topología

🌐 Sitios de Active Directory

Componentes de Sitio

  • Subredes: Rangos de direcciones IP
  • Site Links: Conexiones entre sitios
  • Bridgehead Servers: Servidores de replicación

Tipos de Replicación

  • Intrasite: Dentro del mismo sitio (rápida)
  • Intersite: Entre sitios diferentes (programada)

⚡ Optimización de Replicación

🏢 Oficina Central (Madrid)
    ├── 🔗 Site Link (128 Kbps)
    └── 🏢 Oficina Sucursal (Barcelona)
        └── 💻 RODC (Read-Only Domain Controller)

🔒 Seguridad en Active Directory

🛡️ Mecanismos de Seguridad

Autenticación Kerberos

  1. AS-REQ: Solicitud de ticket de autenticación
  2. AS-REP: Respuesta con TGT (Ticket Granting Ticket)
  3. TGS-REQ: Solicitud de ticket de servicio
  4. TGS-REP: Respuesta con ticket de servicio

Niveles Funcionales

  • Dominio: Características disponibles para el dominio
  • Bosque: Características globales del bosque
  • Versiones: 2008 R2, 2012, 2012 R2, 2016, 2019, 2022

🔐 Mejores Prácticas de Seguridad

  1. Principio de Menor Privilegio
    • Asignar solo permisos necesarios
    • Revisión periódica de accesos
  2. Cuentas Administrativas
    • Separar cuentas de uso diario y administrativas
    • Usar cuentas de servicio gestionadas (gMSA)
  3. Auditoría y Monitoreo
    • Habilitar auditoría de eventos críticos
    • Monitorear inicios de sesión fallidos

📈 Planificación y Diseño

🎯 Consideraciones de Diseño

Estructura de Dominio

🌳 Diseño Recomendado:
empresa.com (Dominio Raíz)
├── 📁 Corp (OU Corporativa)
│   ├── 👥 Usuarios
│   ├── 💻 Computadoras
│   └── 👤 Grupos
└── 📁 Recursos
    ├── 🖨️ Impresoras
    └── 📁 Aplicaciones

Nomenclatura Estándar

  • Usuarios: nombre.apellido
  • Computadoras: TIPO-UBICACIÓN-###
  • Grupos: GRP_FUNCIÓN_TIPO
  • OUs: Por departamento o función

📊 Dimensionamiento

Límites Técnicos

ComponenteLímiteObjetos por dominio2.1 mil millonesDominios por bosqueSin límite teóricoUsuarios por grupo5,000 (recomendado)Anidamiento de grupos200 niveles

🔧 Mantenimiento y Troubleshooting

🛠️ Tareas de Mantenimiento

Monitoreo Regular

  • Estado de controladores de dominio
  • Replicación entre sitios
  • Uso de recursos del sistema
  • Logs de eventos de seguridad

Respaldos

  • System State: Configuración completa del DC
  • Active Directory: Base de datos NTDS.dit
  • SYSVOL: Políticas de grupo y scripts

🔍 Herramientas de Diagnóstico

cmd

# Comandos útiles para troubleshooting
dcdiag /v                    # Diagnóstico completo del DC
repadmin /showrepl          # Estado de replicación
nltest /dsgetdc:dominio     # Localizar controlador de dominio
gpupdate /force             # Forzar actualización de políticas

📚 Recursos Adicionales

📖 Documentación Oficial

  • Microsoft Docs: Active Directory Domain Services
  • TechNet: Group Policy Planning and Deployment
  • PowerShell Gallery: ActiveDirectory Module

🎓 Certificaciones Relacionadas

  • MCSA: Windows Server 2016
  • MCSE: Core Infrastructure
  • Azure AD: Hybrid Identity

🛡️ Herramientas de Terceros

  • ADManager Plus: Gestión y auditoría
  • Quest Change Auditor: Monitoreo de cambios
  • Netwrix Auditor: Auditoría de seguridad

⚡ Resumen Ejecutivo

Active Directory es la columna vertebral de la infraestructura IT empresarial, proporcionando:

Gestión Centralizada de usuarios y recursos ✅ Seguridad Robusta con autenticación Kerberos ✅ Escalabilidad para organizaciones de cualquier tamaño ✅ Integración con servicios Microsoft y terceros ✅ Automatización mediante PowerShell y GPOs

Una implementación bien diseñada de AD es esencial para la seguridad, eficiencia y gobernanza de cualquier organización moderna.

, ,

Respuesta

  1. Píldoras TAI de Anacrolibrum – Anacrolibrum

    […] Píldora TAI CXLII; Cómo Administrar Políticas de Grupo en Active Directory – Anacrolibrum […]

    Me gusta

    Responder

Deja un comentario