Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Cómo crear grupos basados en consultas de Active Directory

Cómo crear grupos basados en consultas de Active Directory

Jan 23, 2024

El uso de grupos de seguridad y grupos de distribución de Active Directory (AD) es una práctica recomendada para simplificar la administración de TI, mejorar la seguridad y habilitar una comunicación efectiva. Sin embargo, en muchas organizaciones, la membresía de estos grupos se define por una lista explícita de usuarios específicos, computadoras y otras entidades. El uso de estos grupos estáticos es tanto laborioso como propenso a errores, porque cuando los empleados se unen a la empresa o cambian de roles, se agregan o dan de baja dispositivos, u ocurren otros cambios, todos los grupos relacionados necesitan actualizarse manualmente.

Contenido relacionado seleccionado:

Existe una alternativa útil que mejora la seguridad y reduce la carga de trabajo de TI: determinar la membresía de grupo dinámicamente mediante la ejecución de una consulta AD. Microsoft ofrece una interfaz amigable para crear grupos de distribución basados en una consulta LDAP. Desafortunadamente, no hay una GUI correspondiente para crear grupos de seguridad basados en consultas, que comprenden la gran mayoría de los grupos AD; la única opción nativa es elaborar scripts utilizando Windows PowerShell.

Este artículo explica los métodos nativos para crear ambos tipos de grupos dinámicos y luego ofrece una alternativa poderosa: Smart Groups en Netwrix Directory Manager.

Grupos de distribución

Comencemos con los grupos de distribución, que son más comúnmente llamados listas de distribución. Las listas de distribución permiten a los usuarios enviar mensajes de correo electrónico a grupos de personas de manera más eficiente y precisa. Por ejemplo, podrías crear una lista de distribución para cada departamento y equipo, así como una para cada ubicación de oficina. Estas listas de distribución aparecen en la Lista Global de Direcciones (GAL), por lo que los usuarios de negocios pueden simplemente elegir una entrada de la GAL para enviar mensajes a un grupo entero de colegas.

Desventajas de los grupos de distribución estáticos

Debido a que los empleados están constantemente uniéndose y dejando la organización, así como cambiando de roles dentro de ella, intentar mantener las listas de distribución actualizadas es un problema para los equipos de TI. En algunos casos, es posible que ni siquiera tengan la perspectiva necesaria para asegurarse de que están poblándolas correctamente.

Las consecuencias de no mantener actualizadas las listas de distribución pueden ser graves. Si los usuarios que deberían estar en una lista no están incluidos, no recibirán mensajes que podrían ser importantes para su propia productividad y para los procesos esenciales del negocio. Aún peor, las listas de distribución inexactas son un problema de seguridad y cumplimiento, ya que los mensajes podrían enviarse a individuos que no deberían ver la información que contienen.

Grupos de distribución basados en consultas

Para ayudar, Microsoft introdujo grupos de distribución basados en consultas en Exchange Server 2003. Ofrecen la misma funcionalidad que los grupos de distribución estándar, pero la membresía no se determina por una lista estática de usuarios. En cambio, la membresía se genera dinámicamente mediante consultas LDAP que se ejecutan cada vez que alguien envía un correo electrónico al grupo asociado.

Por ejemplo, puedes crear una consulta LDAP que defina la membresía de un grupo como todos los usuarios que actualmente están en un departamento específico de tu organización. Si un usuario en particular se traslada a otro departamento, tan pronto como se actualice su objeto de usuario de AD, ya no recibirá correos electrónicos enviados al grupo de distribución — sin que nadie tenga que modificar manualmente la membresía de la lista de distribución.

Puede encontrar la consulta asociada con un grupo de distribución en msExchDynamicDLFilter y msExchQueryFilter en Active Directory.

Cómo crear un grupo de distribución basado en consultas usando Microsoft Exchange

Los grupos de distribución basados en consultas son fáciles de crear:

  1. Inicie el Exchange Admin Center y seleccione Recipients en el panel izquierdo.
  2. Navegue hasta Groups > New > Dynamic distribution group.
  3. En el asistente de Nuevo Grupo de Distribución Dinámica, especifique las siguientes propiedades de la nueva lista:
  4. Un nombre, alias y descripción para el grupo
  5. La unidad organizativa (OU) en la que desea crear el grupo
  6. El propietario del grupo (opcional pero recomendado)
  7. El tipo de destinatarios, como buzones de recursos o usuarios que tienen buzones de Exchange
  8. Los criterios para la membresía de un usuario en la lista de distribución, como su departamento y ubicación geográfica
  9. Haga clic en Save para crear el grupo.

Limitaciones de los grupos de distribución basados en consultas creados a través de Exchange

Los grupos de distribución basados en consultas creados a través de Exchange son más precisos y fáciles de mantener que las listas de distribución estáticas, pero tienen algunas características importantes a tener en cuenta:

  • Los atributos para determinar la membresía en una lista de distribución se limitan a unos pocos atributos comunes de usuario — contenedor, estado o provincia, empresa y departamento — junto con algunos atributos personalizados.
  • Dado que la membresía de una lista de distribución se determina cuando se envía un correo electrónico a esa lista, los usuarios de negocios no pueden ver a los miembros de una lista de distribución en su cliente de Outlook, y por lo tanto no pueden estar seguros de quién recibirá exactamente un mensaje que envíen a la lista.
  • La consulta se evalúa cada vez que se envía un correo electrónico a una lista de distribución basada en consultas. Por lo tanto, hacer un uso extensivo de estos grupos supone una carga significativa para el servidor Exchange y el global catalog.

Grupos de seguridad

Aunque los grupos de distribución son ciertamente valiosos y necesitan mantenerse actualizados para asegurar la seguridad y productividad, AD security son aún más importantes. Los administradores confían en los grupos de seguridad de AD para proporcionar de manera rápida y precisa a los usuarios los permisos de acceso que necesitan basados en sus roles dentro de la organización. Por ejemplo, puedes crear un grupo de seguridad llamado “Ventas” y otorgarle derechos de acceso a la información específica, aplicaciones y otros recursos necesarios para los miembros del departamento de Ventas. Cada usuario que es miembro de un grupo obtiene automáticamente todos los derechos de acceso asignados a ese grupo.

Desventajas de los grupos de seguridad estáticos

Al igual que con los grupos de distribución estáticos, los equipos de TI enfrentan una lucha constante para asegurar que exactamente los usuarios correctos sean miembros de cada grupo de seguridad estático. De hecho, a medida que los empleados cambian de roles dentro de una organización con el tiempo, es común que retengan la membresía en grupos que ya no son relevantes para sus funciones. Por ejemplo, si alguien pasa del departamento de Ventas al de Marketing, a menudo conservan permisos para bases de datos de Ventas y otros recursos a los que ya no deberían poder acceder porque nadie los eliminó de los grupos relacionados con Ventas. Además, los administradores sobrecargados pueden cometer errores, como agregar a un empleado junior a un grupo como “Managers”, otorgándoles así acceso inapropiado a información sensible.

Esta sobredotación es un problema grave tanto para la seguridad como para el cumplimiento normativo. Por otro lado, a veces los equipos de TI no logran otorgar a los usuarios la membresía en todos los grupos de seguridad a los que deberían pertenecer, lo que puede interrumpir procesos empresariales importantes y sobrecargar al servicio de asistencia.

Actualización de la membresía de grupos de seguridad utilizando Microsoft PowerShell

Los administradores pueden usar Windows PowerShell para crear y poblar un grupo de seguridad de acuerdo con una consulta. También pueden utilizar un script para actualizar la membresía de un grupo de seguridad, en lugar de agregar y quitar miembros manualmente. Por ejemplo, el siguiente script asegura que el grupo de seguridad PseudoDynamicGroup esté poblado solo con los usuarios en una OU especificada (desiredUsers):

Import-Module ActiveDirectory

      #Define the variable ‘groupname’ and load it with the members of the group ‘PseudoDynamicGroup’.

    $groupname = PseudoDynamicGroup

    #Define the variable ‘users’ and populate it with all the users in specified OU.

    $users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"

    #Iterate through the users in the ‘users’ variable. Add each of them to the group ‘PseudoDynamicGroup’ if they are not already a member.

    foreach($user in $users)

    {

      Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue

    }

    #Define the variable ‘members’ and populate it with the current membership of the security group ‘PseudoDynamicGroup’.

    $members = Get-ADGroupMember -Identity $groupname

    #Iterate through the users in the ‘members’ variable. If any user is not in the specified OU, remove them from ‘PseudoDynamicGroup’.

    foreach($member in $members)

    {

      if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")

      {

        Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname

      }

    }

Limitaciones de los grupos de seguridad basados en consultas creados a través de PowerShell

Obviamente, crear meticulosamente un script de PowerShell como este para cada grupo de seguridad de AD es una tarea enorme que requiere habilidades especializadas. Además, los scripts necesitan mantenimiento y se deben escribir nuevos a medida que se crean nuevos proyectos o equipos. Muchas organizaciones simplemente no cuentan con los recursos de TI para dedicarse a este trabajo desafiante y crítico, lo que les lleva a buscar una solución robusta de terceros como Netwrix Directory Manager.

Grupos basados en consultas con Netwrix Directory Manager

Con Netwrix Directory Manager, puede crear fácilmente listas de distribución y grupos de seguridad cuya membresía se determina dinámicamente mediante consultas de Active Directory. Estos grupos basados en consultas se denominan Smart Groups.

Para crear un Smart Group, simplemente necesitas definir una consulta AD para el grupo y establecer el horario para ejecutarla. Cada vez que se ejecuta la consulta, esta obtiene objetos del directorio para actualizar la membresía del grupo. La consulta puede ejecutarse manualmente o automáticamente en un horario definido. Como resultado, a diferencia de las listas de distribución dinámicas creadas a través de Exchange, los grupos de distribución de Netwrix Directory Manager no generan una carga excesiva en el servidor de Exchange al ejecutar una consulta cada vez que se envía un correo electrónico al grupo.

Creando consultas

Con el Query Designer en Netwrix Directory Manager, obtienes una interfaz visual intuitiva para crear consultas; no es necesario escribir comandos de PowerShell. Cuenta con las siguientes pestañas:

  • General — Seleccione el tipo de objetos que pueden ser miembros del grupo.
  • Almacenamiento — Elija los buzones de correo en cualquier servidor de Exchange o base de datos de buzones.
  • Identity Store — Especifique criterios para la membresía de grupo. Por ejemplo, puede utilizar los atributos de ubicación, empresa, departamento o ID de empleado, y también aplicar condiciones lógicas como AND y OR para filtrar aún más los resultados.
  • Avanzado — Utilice fuentes de datos externas como Oracle, ODBC, Microsoft SQL Server o archivos de texto para ayudar a determinar la membresía del grupo.
  • Incluir/Excluir — Añadir o quitar objetos de la membresía del grupo independientemente del resultado de la consulta.
  • Smart Script —Escriba un script basado en su propia lógica personalizada utilizando el soporte de VB Script.

Conclusión

Los grupos de seguridad y listas de distribución basados en consultas son invaluables para mejorar la seguridad y la productividad empresarial mientras se reduce la carga de trabajo de TI. Sin embargo, con las opciones nativas, el uso de listas de distribución dinámicas puede sobrecargar tus recursos de Exchange, y crear listas de seguridad dinámicas requiere mucho tiempo y experiencia en PowerShell. Netwrix Directory Manager ofrece una alternativa poderosa: Smart Groups que facilitan la creación y mantenimiento de grupos de seguridad dinámicos y listas de distribución.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jonathan Blackwell

Jefe de Desarrollo de Software

Desde 2012, Jonathan Blackwell, un ingeniero e innovador, ha proporcionado liderazgo en ingeniería que ha colocado a Netwrix GroupID a la vanguardia de la gestión de grupos y usuarios para entornos de Active Directory y Azure AD. Su experiencia en desarrollo, marketing y ventas permite a Jonathan comprender completamente el mercado de Identity Management y la forma de pensar de los compradores.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad