Grupo de Trabajo vs

Dominio
 Introducción

• Los dominios, grupos de trabajo y hogar son las maneras

de organizar las PC’s dentro de una red.
• Son muchas diferencias, pero las más importantes están
enfocadas en la organización, seguridad y jerarquía de los
equipos que lo forman. ”Los equipos que tienen de sistema
operativo Windows en una red se encuentran dentro de un
grupo de trabajo o de un dominio”. Lo más normal es tener
en las redes de casa o bien grupo de trabajo (Workgroup) o
de hogar (Home) y los que se encuentran en oficina son
organizados por un dominio (Domain).

Ing. Alberto A. Ledesma

 Grupo de Trabajo

•Un grupo de trabajo es un conjunto de computadoras que

comparten recursos. En el modelo de grupo de trabajo no
existe un servidor central y computadoras clientes, sino que
son redes de igual a igual donde cualquier computadora
puede cumplir ambos roles.

•Cada equipo se usa de forma totalmente individual, desde

gestión, configuraciones, seguridad que tenga
implementada etc.

•Cómo son independientes, a la hora de conectarse a otras

máquinas (a carpetas compartidas) se debería introducir un
usuario y contraseña válidos que este creado en el equipo
remoto (si no se ha abierto de forma general a Todos sin
contraseña).
Ing. Alberto A. Ledesma
 Grupo de Trabajo

• Para una correcta configuración del grupo de trabajo,

será necesario que creemos en cada uno de los puestos
a todos los usuarios de la red y asignemos a cada uno
de estos los privilegios que creamos adecuados sobre
los recursos compartidos entre otros.

• En un grupo de trabajo cada equipo o componente

del mismo tiene una base de datos de seguridad
propia, lo que hace que a la hora de atribuir privilegios o
restricciones debamos de crear correctamente al usuario
en cada puesto para que este exista en todas las bases
de seguridad del grupo de trabajo, esto afecta también a
las contraseñas. en caso de cambiar la contraseña de un
usuario deberemos ir equipo por equipo haciendo lo
mismo para que a la hora de acceder a un recurso
compartido no tengamos ningún problema de validación
Ing. Alberto A. Ledesma
 Grupo de Trabajo - Limitaciones

• En un grupo de trabajo no existe un límite de equipos

• El problema surge en la cantidad de conexiones

simultáneas que admiten los recursos compartidos.

• Windows XP Proffesional – 10 Conexiones

• Windows XP Home – 5 Conexiones
• Windows 7 o superior – 20 Conexiones

• Por encima de las 20 Conexiones simultáneas sobre un

recurso compartido, será necesario migrar a un Dominio

Ing. Alberto A. Ledesma

 Grupo de Trabajo - Ventajas

1. No requiere inversión extra, mas que contar con los

equipos con Windows como sistema operativo y
conectados a la misma red.

2. No requiere de soporte especializado para compartir

recursos o administrarlos.

3. La puesta en marcha de un grupo de trabajo o grupo en

el hogar es sencilla y puede demorar solo unos minutos.

Ing. Alberto A. Ledesma

 Grupo de Trabajo - Desventajas

1. Es más incómodo a la hora de gestionar los usuarios y

cambios que queramos realizar en todos los equipos ya
que tendremos que hacerlo en cada uno de ellos, no hay
gestión centralizada.

2. Cuando crezca la empresa y sea más de 20 usuarios la

administración será tan compleja que se deberá migrar a
un dominio.

3. La seguridad no es controlada ni centralizada por lo que

si nos importa realizar jerarquías, auditorías, chequeos
generales etc. es necesario estar en un Dominio.

4. En un grupo de trabajo las contraseñas (autenticación)

se gestiona localmente en cada equipo.
Ing. Alberto A. Ledesma
 Grupos de Trabajo – Trabajo Práctico

Investigar los principales problemas la hora de gestionar un

grupo de trabajo

Recursos compartidos con y sin contraseña

NetBios
Detección de Redes
DNS

Realizar una presentación en ppt o un workshop (puede ser con

maquinas virtuales en la clase o subir un video en youtube) para
mostrar como se configura un grupo de trabajo y como se
comparten recursos entre ellos

Ing. Alberto A. Ledesma

 Dominio en Windows

• El conjunto de computadoras conectadas en una red

informática que confían a uno de los equipos de dicha red, la
administración de los usuarios y los privilegios que cada uno
de los usuarios tiene en dicha red.

Ing. Alberto A. Ledesma

 Dominio en Windows

• Los dominios constan de uno o más servidores que son los

"Controladores de Dominio" y son los encargados de
gestionar la seguridad, permisos de usuarios y equipos a
través de GPO´s (Directivas de Grupo).
• La base de datos central que administra toda la información
dentro del dominio se llama Directorio Activo (Active Directory
– AD)

Ing. Alberto A. Ledesma

 Dominio en Windows - Ventajas

1. Es más eficiente y rápido a la hora de realizar y gestionar cambios en la

arquitectura de usuarios, permisos, credenciales, etc. ya que se gestionan de
manera central y se pueden aplicar directamente en todos los ordenadores de la
compañía de forma automática (no yendo uno por uno).
.
2. No hay límites de acceso a los recursos compartidos.

3. Multitud de opciones interesantes como creación de perfiles móviles, esto es

para que el servidor albergue los perfiles de los usuarios y eso da la libertad de
que al iniciar sesión en cualquier equipo de la oficina aparecerán sus datos y
configuraciones.

4. Mucho más seguro, tanto la posibilidad de gestión interna (limitando accesos,

perfiles, reseteo de cuentas, cambios automáticos de plantillas de seguridad etc.)
todo esto centralizado.

5. Los equipos pueden encontrarse en diferentes redes locales.

Ing. Alberto A. Ledesma

 Dominio en Windows - Desventajas

1. La implementación de un dominio requiere de hardware y software

(Windows Server) dedicado a la administración del dominio.
2. Contar con licencias específicas por cada uno de los equipos que se
conecten al dominio.
3. Disponibilidad de personal altamente calificado para administrar el
dominio.
4. Disponibilidad de infraestructura capaz de asegurar la disponibilidad del
servicio.

Ing. Alberto A. Ledesma

 Autenticación y Autorización

Cuando iniciamos sesión en un equipo que forma parte de una red

normalmente se ejecutan estos dos procesos en forma sucesiva
automáticamente previo a que veamos la familiar apariencia de nuestro
escritorio de Windows.

Lo mismo ocurre cuando vamos a acceder a un recurso compartido de

red. El hecho que se ejecuten en forma automática sucesivamente hace
que pensemos que en realidad se trata de un solo proceso, pero en
realidad son dos procesos sumamente diferentes.

La autenticación es el proceso con el que demostramos ser quienes

decimos. Eso es, decimos ser determinado Usuario y lo demostramos
introduciendo la contraseña del mismo
Ing. Alberto A. Ledesma
 Autenticación y Autorización
Durante el inicio de sesión, la autorización es el permiso de acceso a la
máquina local; cuando se accede a un recurso compartido es el permiso
de acceso al recurso.

A partir que se ha autenticado a la cuenta, comienza la segunda parte,

verificar que el usuario tenga los privilegios necesarios para acceder al
recurso y en la forma solicitada. Si inicia sesión, verifica si tiene el
derecho de “Inicio de sesión interactivo”; y si intenta abrir un archivo, con
acceso de lectura-escritura por ejemplo, si tiene los permisos necesarios.

Cuando iniciamos sesión, verifica identidad (Autenticación), luego controla

si tenemos derecho de inicio de sesión interactivo (Autorización), y
Ing. Alberto A. Ledesma
finalmente arma el escritorio de Windows.
 Autenticación y Autorización – Grupo de Trabajo
En un grupo de trabajo toda la seguridad se maneja localmente en cada equipo.
Cada máquina tiene localmente su lista de usuarios autorizados con las
contraseñas correspondientes. Es decir, tanto la autenticación como la
autorización se ejecutan localmente en cada máquina.
Debemos tener en cuenta que el equipo en sí mismo también es un recurso de
red. Cuando iniciamos sesión nos Autentica y nos Autoriza a utilizarlo.
Luego cuando vamos a acceder a un recurso local, como ya estamos
autenticados, solamente verifica si estamos autorizados para acceder al
mencionado recurso.
Las soluciones en un grupo de trabajo son dos: duplicar la cuenta de usuario en
ambos equipos, o elegir conectarse como otro usuario, especificando un Usuario-
Contraseña válidos en el equipo remoto. Es recomendable la segunda.

Ing. Alberto A. Ledesma

 Autenticación y Autorización – Dominio
En un ambiente de dominio, hay uno o más “servers” que cumplen la función de
Controladores de Dominio, una de cuyas funciones principales es Autenticar.
Vamos a ver primero el proceso con clientes Windows (xp, 7, 8, 10), donde
primero hay que crear una cuenta de máquina en el dominio, inclusive con los
servidores miembros. El equipo tiene cuenta en el dominio, se autentica durante el
proceso de inicio, a partir de lo cual se arma un canal seguro de comunicación
que servirá para el transporte de las credenciales de autenticación de los usuarios
que accedan a los recursos del mismo.

Ing. Alberto A. Ledesma

 Autenticación y Autorización – Dominio
A partir de esto cuando un equipo necesita autenticar usuarios del dominio envía
las credenciales suministradas por el usuario al controlador de dominio quien
verifica la autenticidad de las mismas y devuelve una confirmación de la
autenticación e información adicional tal como pertenencia a grupos del dominio y
derechos específicos del dominio.
Cuando esta información es recibida por el cliente se construye localmente una
credencial de autenticación (Access Token) donde consta quién es, a qué grupos
pertenece y los derechos que tiene. Esta credencial es usada localmente para el
proceso de Autorización previo al acceso a recursos.

Ing. Alberto A. Ledesma

Muchas gracias

Preguntas, conclusiones

Ing. Alberto A. Ledesma