Compartir a través de

Qué desarrolladores de aplicaciones y servicios necesitan saber sobre los grupos

  • Artículo

Al desarrollar una aplicación o un servicio, puede usar grupos para delegar la administración o controlar el acceso a la aplicación o servicio como un todo o parte. Por ejemplo, una aplicación puede controlar quién puede realizar varias operaciones administrativas. Para ello, cree ACE que concedan derechos de acceso especificados a los grupos adecuados. Es recomendable tener una ACE que conceda acceso a un grupo que tenga varias ACE que concedan acceso a usuarios o equipos individuales.

Se recomienda que las aplicaciones usen las instrucciones siguientes al usar grupos:

  • No cree dependencias en grupos codificados de forma rígida, lo que puede crear complicaciones si el grupo se elimina o se mueve.
  • Evite usar grupos integrados a menos que la función del grupo proporcione las necesidades específicas de la aplicación. Por ejemplo, no es necesario que un usuario sea miembro del grupo Administradores solo para proporcionar al usuario permiso para crear una cuenta de equipo. Esto proporciona al usuario permisos y privilegios que es posible que no necesiten, lo que puede provocar una vulnerabilidad de seguridad. En su lugar, debe crear un nuevo grupo de seguridad que tenga los permisos específicos necesarios y agregar el usuario a este nuevo grupo.
  • Al crear grupos, tenga en cuenta las siguientes recomendaciones:
    • Proteja el grupo estableciendo ACE que controlan quién puede agregar o quitar miembros.
    • Use grupos globales si se usan para el control de acceso en objetos de Servicios de dominio de Active Directory.
    • Use grupos universales solo si es necesario (los datos de miembro son necesarios globalmente mediante el catálogo global; el grupo puede contener cualquier usuario o grupo). Si usa grupos universales, coloque grupos globales en el grupo universal y agregue o quite usuarios del grupo global. Evite el exceso de cambio en los grupos universales para mejorar la eficacia de la replicación.
  • No use la pertenencia a grupos para el control de acceso. En su lugar, use una ACE y controle el acceso haciendo que el sistema realice una comprobación de acceso.

Para controlar el acceso a las operaciones que no se ajustan a los derechos de acceso predefinidos para los objetos de Dominio de Active Directory servicios, use la característica de derechos de acceso de control del control de acceso en Windows 2000. Para obtener más información, consulte ADS_RIGHTS_ENUM.

Para usar un derecho de acceso de control para controlar el derecho a realizar una operación

  1. Cree un derecho de acceso de control que defina el tipo de acceso a la aplicación o servicio. Para obtener más información, consulte Control de derechos de acceso.
  2. Cree un objeto en Servicios de dominio de Active Directory que represente la aplicación, el servicio o el recurso.
  3. Agregue acees de objeto a la DACL en el descriptor de seguridad de objetos para conceder o denegar a los usuarios o grupos el derecho de acceso de control en ese objeto. Para obtener más información, vea Establecer derechos de acceso en un objeto.
  4. Cuando un usuario intenta realizar la operación protegida, la aplicación o el servicio usa la función AccessCheckByTypeResultList para determinar si el derecho de acceso de control se concede al usuario. Para obtener más información, vea Comprobar un derecho de acceso de control en la ACL de un objeto.
  5. En función del resultado de la comprobación de acceso en el objeto, la aplicación o el servicio pueden conceder o denegar el acceso del usuario a la aplicación o al servicio.

Una aplicación de servicio también podría crear un grupo cuyos miembros serían las distintas instancias de servicio. Por ejemplo, un servicio con instancias instaladas en varios equipos de toda una empresa podría tener un archivo de registro común en el que todas las instancias de servicio escriben. El programa de instalación del servicio crea el archivo de registro y usa una DACL para conceder acceso solo a los miembros de un grupo. Los miembros del grupo serían las cuentas de usuario con las que se ejecutan las distintas instancias de servicio, o si los servicios se ejecutan en la cuenta localSystem, los miembros serían las cuentas de equipo de los servidores host.