Propósito
Voy a explicar una manera de organizar la estructura de OUs en Active Directory para simplificar la gestión y ofrecer una visibilidad mucho más profesional. Existen muchas formas de hacerlo, pero este enfoque me parece un punto de partida sólido y eficaz.
Si aplicamos correctamente los permisos, podremos elevar el nivel de seguridad de nuestro AD de forma significativa.
1. Introducción y modelo de seguridad por niveles
1.1. Objetivo del diseño
- Asegurar
el AD mediante el Modelo de Seguridad por Niveles (Tiering Model).
- Separar
claramente:
- Identidad
e infraestructura (Tier0).
- Servidores
y aplicaciones (Tier1).
- Usuarios
y equipos cliente (Tier2).
- Delegar
por grupos, nunca por usuario.
- Evitar
escaladas de privilegios entre Tiers.
- No
usar OUs por sede ni por departamento (salvo excepciones puntuales).
1.2. Modelo de Seguridad por Niveles (Tiering Model)
- Tier0:
- Qué
es: Control total del bosque/dominio.
- Ejemplos: Domain Controllers, PKI,
ADFS, Azure AD Connect.
- Cuentas
Tier0: Domain Admins, Enterprise Admins, cuentas de servicio de
identidad.
- Reglas
de inicio de sesión:
- Solo
inician sesión en equipos Tier0 (DCs, servidores de identidad).
- Nunca
en servidores Tier1 ni PCs Tier2.
- Tier1:
- Qué
es: Servidores de negocio y aplicaciones.
- Ejemplos:
File servers, SQL, aplicaciones corporativas.
- Cuentas
Tier1: Admins de servidores, cuentas de servicio de aplicaciones.
- Reglas
de inicio de sesión:
- Solo
inician sesión en servidores Tier1.
- Nunca
en DCs (Tier0) ni PCs (Tier2).
- Tier2:
- Qué
es: Usuarios finales y equipos cliente.
- Ejemplos:
Usuarios estándar, VIP, PCs, portátiles, equipos compartidos.
- Cuentas
Tier2: Usuarios, helpdesk, desktop support.
- Reglas
de inicio de sesión:
- Solo
inician sesión en PCs Tier2.
- Nunca
en servidores Tier1 ni DCs Tier0.
1.3. Regla general de pertenencia de grupos
- Un
grupo pertenece al Tier del recurso más alto al que da acceso.
- Si
da acceso a un servidor → Tier1.
- Si
da acceso a un DC → Tier0.
- Si da acceso a un recurso de usuario final (PC, impresoras, apps cliente) → Tier2.
2. Esquema de OUs
3. Explicación de cada OU y qué debe ir en cada una
3.1. Tabla resumen de OUs
|
OU |
Qué contiene |
Qué NO debe contener |
|
Tier0\Accounts |
Cuentas admin Tier0, cuentas de servicio críticas |
Usuarios estándar, admins de servidores, helpdesk |
|
Tier0\Groups\AdminGroups |
Grupos admin Tier0 (ej. GRP_T0_Admins) |
Grupos de acceso de usuario, grupos Tier1/Tier2 |
|
Tier0\Groups\ServiceGroups |
Grupos de servicio de infra (replicación, PKI, ADFS,
etc.) |
Grupos de acceso a datos de negocio |
|
Tier0\Services Accounts |
Cuentas de servicio de infra (PKI, ADFS, AADConnect…) |
Cuentas de servicio de apps de negocio |
|
Tier0\Domain Controllers |
Objetos Computer de DCs |
Servidores de negocio |
|
Tier0\Servers |
Servidores de identidad (PKI, ADFS, AADConnect…) |
File servers, SQL, apps |
|
Tier1\Accounts |
Cuentas admin de servidores (Tier1) |
Usuarios estándar, VIP, helpdesk |
|
Tier1\Groups\AdminGroups |
Grupos admin de servidores (GRP_T1_Admins,
GRP_T1_SQL_Admins, etc.) |
Grupos de usuario final |
|
Tier1\Groups\AccessGroups |
Grupos de acceso a recursos de servidor (carpetas,
apps, SQL, etc.) |
Grupos de usuario final (proxy, impresoras, etc.) |
|
Tier1\Servers |
Servidores de negocio |
PCs, DCs |
|
Tier1\Servers\SQL |
Servidores SQL |
Otros servidores |
|
Tier1\Services Accounts |
Cuentas de servicio de aplicaciones de servidor |
Cuentas de usuario |
|
Tier2\Accounts\Standard |
Usuarios estándar |
VIP, cuentas de servicio, admins de servidor |
|
Tier2\Accounts\VIP |
Usuarios VIP (CIO, CEO, CISO, directivos) |
Usuarios estándar |
|
Tier2\Accounts\Admins |
Cuentas
admin Tier2 (helpdesk, desktop support) |
Usuarios estándar, VIP |
|
Tier2\Computers\Standard |
PCs estándar |
PCs VIP |
|
Tier2\Computers\VIP |
PCs VIP |
PCs estándar |
|
Tier2\Computers\Shared |
PCs compartidos |
Servidores |
|
Tier2\Groups\AdminGroups |
Grupos admin Tier2 (GRP_T2_Admins, etc.) |
Grupos de acceso a recursos de servidor |
|
Tier2\Groups\GruposEspeciales |
Grupos de acceso de usuario final y grupos
VIP/sensibles |
Grupos admin (van en AdminGroups) |
4. Grupos delegados en las OUs
4.1. Grupos administrativos por Tier
Tier0
- GRP_T0_Admins
- Ubicación:
Tier0\Groups\AdminGroups.
- Gestiona:
- Tier0\Accounts,
Tier0\Groups\*, Tier0\Services Accounts, Tier0\Domain Controllers,
Tier0\Servers.
- NO
gestiona:
- Ninguna OU de Tier1 ni Tier2.
Tier1
- GRP_T1_Admins
- Ubicación:
Tier1\Groups\AdminGroups.
- Gestiona:
- Tier1\Accounts,
Tier1\Groups\*, Tier1\Servers\*, Tier1\Services Accounts.
- NO
gestiona:
- Tier0\*, Tier2\Accounts\*,
Tier2\Computers\*, Tier2\Groups\GruposEspeciales.
- GRP_T1_SQL_Admins
- Ubicación:
Tier1\Groups\AdminGroups.
- Gestiona:
- Solo
Tier1\Servers\SQL.
- NO
gestiona:
- Otros
servidores, Tier0, Tier2.
Tier2
- GRP_T2_Admins
- Ubicación:
Tier2\Groups\AdminGroups.
- Gestiona:
- Tier2\Accounts\Standard,
Tier2\Accounts\Admins.
- Tier2\Computers\Standard,
Tier2\Computers\Shared.
- Tier2\Groups\GruposEspeciales
(solo grupos no VIP, si así lo defines).
- NO
gestiona:
- Tier2\Accounts\VIP.
- Tier2\Computers\VIP.
- Grupos
VIP dentro de GruposEspeciales (reservados a GRP_T2_VIP_Admins).
- Ninguna
OU de Tier1 ni Tier0.
- GRP_T2_VIP_Admins
- Ubicación:
Tier2\Groups\GruposEspeciales.
- Gestiona:
- Tier2\Accounts\VIP.
- Grupos
VIP/sensibles en Tier2\Groups\GruposEspeciales.
- NO
gestiona:
- Usuarios
estándar.
- PCs.
- Tier1,
Tier0.
- GRP_T2_VIP_PC_Admins
- Ubicación:
Tier2\Groups\GruposEspeciales.
- Gestiona:
- Tier2\Computers\VIP.
- NO
gestiona:
- PCs
estándar.
- Usuarios.
- Tier1,
Tier0.
- (Opcional)
GRP_T1_VIP_Admins (excepción)
- Ubicación:
Tier1\Groups\GruposEspeciales (si la creas).
- Gestiona:
- Tier2\Accounts\VIP
(si la organización exige que T1 gestione VIP).
- NO
gestiona:
- Usuarios
estándar.
- PCs.
- Tier0.
4.2. Tabla resumen de alcance de grupos
|
Grupo |
Tier |
Gestiona |
NO
gestiona |
|
GRP_T0_Admins |
0 |
DCs, servidores de identidad, cuentas y grupos Tier0 |
Tier1, Tier2 |
|
GRP_T1_Admins |
1 |
Servidores, cuentas admin T1, grupos T1 |
Tier0, usuarios/PCs T2, grupos VIP T2 |
|
GRP_T1_SQL_Admins |
1 |
Solo servidores SQL |
Otros servidores, T0, T2 |
|
GRP_T2_Admins |
2 |
Usuarios estándar, PCs estándar/shared, grupos no VIP en
GruposEspeciales |
VIP, PCs VIP, grupos T1/T0, grupos VIP |
|
GRP_T2_VIP_Admins |
2 |
Usuarios VIP, grupos VIP en GruposEspeciales |
Usuarios estándar, PCs, T1, T0 |
|
GRP_T2_VIP_PC_Admins |
2 |
PCs VIP |
PCs estándar, usuarios, T1, T0 |
5. Delegación por OU raíz y herencia (ACL concretas)
5.1. Regla clave sobre herencia y VIP
- No
se delega GRP_T2_Admins en la OU raíz Tier2.
- Se
delega por sub-OU, para que NO herede en VIP.
5.2. Delegación por OU
Tier0
- Tier0\Accounts / Groups /
Services Accounts / Domain Controllers / Servers
- Grupo:
GRP_T0_Admins.
- Permisos
(ACL):
- Full
Control sobre objetos del tipo correspondiente (User, Group,
Computer).
- Gestión
de GPOs linkadas a OUs de Tier0 (si aplica).
Tier1
- Tier1\Servers
(y sub-OUs como SQL)
- Grupo: GRP_T1_Admins (+
GRP_T1_SQL_Admins en SQL).
- Permisos:
- Create/Delete
Computer objects.
- Write
atributos de equipo.
- Gestionar
GPOs de servidores.
- Tier1\Groups\AccessGroups
- Grupo:
GRP_T1_Admins.
- Permisos:
- Create/Delete
Group objects.
- Write
Members (modificar membresía).
- T2
NO tiene permisos aquí.
Tier2
- Tier2\Accounts\Standard
/ Admins
- Grupo:
GRP_T2_Admins.
- Permisos:
- Reset
password.
- Read/Write
lockoutTime.
- Create/Delete
User objects.
- Write
atributos básicos (teléfono, office, etc.).
- Tier2\Accounts\VIP
- Grupo: GRP_T2_VIP_Admins.
- Permisos:
- Igual
que Standard, pero solo para VIP.
- GRP_T2_Admins
NO tiene permisos aquí.
- Tier2\Computers\Standard
/ Shared
- Grupo:
GRP_T2_Admins.
- Permisos:
- Create/Delete
Computer objects.
- Write
atributos de equipo.
- Tier2\Computers\VIP
- Grupo: GRP_T2_VIP_PC_Admins.
- Permisos:
- Igual
que Standard, pero solo PCs VIP.
- Tier2\Groups\GruposEspeciales
- Grupos
que gestionan:
- GRP_T2_Admins
→ grupos normales de usuario final (pcs, WSUS cliente, apps cliente…).
- GRP_T2_VIP_Admins
→ grupos VIP/sensibles (acceso a apps VIP, carpetas VIP…).
- Permisos:
- Create/Delete
Group objects.
- Write
Members.
- Regla:
- Los grupos VIP se protegen con ACL más restrictivas (solo GRP_T2_VIP_Admins).
5.3. Tabla resumen de delegación por OU
|
OU |
Grupo(s)
con delegación |
Qué
pueden hacer |
|
Tier0\* |
GRP_T0_Admins |
Full control sobre objetos Tier0 |
|
Tier1\Servers\* |
GRP_T1_Admins
(+ T1_SQL en SQL) |
Gestionar servidores, atributos, GPOs |
|
Tier1\Groups\AccessGroups |
GRP_T1_Admins |
Gestionar grupos de acceso a recursos de servidor |
|
Tier2\Accounts\Standard, Admins |
GRP_T2_Admins |
Reset pass, unlock, crear/borrar usuarios estándar/admin |
|
Tier2\Accounts\VIP |
GRP_T2_VIP_Admins |
Reset
pass VIP, unlock VIP, gestionar VIP |
|
Tier2\Computers\Standard, Shared |
GRP_T2_Admins |
Crear/borrar PCs estándar/shared |
|
Tier2\Computers\VIP |
GRP_T2_VIP_PC_Admins |
Gestionar PCs VIP |
|
Tier2\Groups\GruposEspeciales |
GRP_T2_Admins
/ GRP_T2_VIP_Admins |
Gestionar grupos de usuario final y VIP según ACL |
6. Carpetas de usuario y servidores
6.1. Carpetas de datos en servidores (T1) y T2
Si los grupos de gestión de carpetas de datos en
servidores están en T1, un T2 no puede gestionarlos.
Correcto, y así debe ser.
- Grupos
de acceso a carpetas de datos en servidores
- Ejemplo:
\\SRV-FILES\Datos.
- Grupo:
GRP_T1_Acceso_Datos.
- Ubicación:
Tier1\Groups\AccessGroups.
- Solo
GRP_T1_Admins puede modificar membresía.
- GRP_T2_Admins
NO tiene permisos sobre esa OU.
Conclusión:
- T2 no
puede dar/quitar acceso a carpetas de datos en servidores.
- Solo
T1 gestiona esos permisos.
6.2. Carpetas personales de usuario
- T2
(Help Desk) gestiona:
- Atributos
del usuario en AD:
- homeDirectory,
homeDrive, profilePath, redirecciones.
- No
toca NTFS en el servidor.
- T1
gestiona:
- Permisos
NTFS y compartición en el servidor.
- Estructura
de carpetas en \\SRV-FILES\Users\....
6.3. Tabla resumen carpetas
|
Tipo de carpeta |
Dónde vive |
Quién la gestiona en AD |
Quién gestiona NTFS/servidor |
|
Carpeta personal de usuario |
En servidor (T1) |
GRP_T2_Admins (atributos) |
GRP_T1_Admins |
|
Carpeta de datos de negocio |
En servidor (T1) |
Grupos T1 en AccessGroups |
GRP_T1_Admins |
|
Carpeta VIP |
En servidor (T1) |
Grupos VIP (T1/T2 VIP) |
GRP_T1_Admins |
7. Gestión de usuarios (admin, VIP, estándar, servicio)
7.1. Tabla resumen de tipos de cuenta
|
Tipo
de cuenta |
OU |
Quién
la gestiona |
|
Usuario estándar |
Tier2\Accounts\Standard |
GRP_T2_Admins |
|
Usuario VIP |
Tier2\Accounts\VIP |
GRP_T2_VIP_Admins (o T1_VIP si excepción) |
|
Admin Tier2 |
Tier2\Accounts\Admins |
GRP_T2_Admins |
|
Admin Tier1 |
Tier1\Accounts |
GRP_T1_Admins |
|
Admin Tier0 |
Tier0\Accounts |
GRP_T0_Admins |
|
Cuentas de servicio T0 |
Tier0\Services Accounts |
GRP_T0_Admins |
|
Cuentas de servicio T1 |
Tier1\Services Accounts |
GRP_T1_Admins |
|
Cuentas de servicio T2 |
Tier2\Accounts\Admins / ServiceAccounts |
GRP_T2_Admins |
8. Regla por servidor: grupo de dominio en Administradores locales
Cada servidor Tier1 debería tener:
- Un
grupo de dominio específico dentro de su grupo local de
Administradores:
- Ejemplo:
- Servidor:
SRV-APP01.
- Grupo
de dominio: GRP_T1_SRV-APP01_Admins (en
Tier1\Groups\AdminGroups).
- Este
grupo se agrega al grupo local Administrators de SRV-APP01.
- Eliminar
cualquier usuario/grupo directo en Administrators local que no sea:
- GRP_T1_SRV-APP01_Admins.
- Domain
Admins (idealmente ni eso, si se aplica PAW/Just-in-Time).
Esto permite:
- Delegar
acceso a un servidor concreto a proveedores o admins específicos.
- Sin
darles acceso a otros servidores.
