10.- Creacion y Admin is Trac Ion de Objetos de Active Directory

8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory

1/85

Contenido

Introduccin 2

Leccin: Creacin de unidades organizativas, cuentas de usuario y cuentas de equipo 3

Leccin: Creacin y modificacin de grupos 21

Leccin: Estrategias para el uso de grupos 38

Leccin: Uso de permisos para controlar el acceso a los objetos de Active Directory 48Leccin: Delegar el control de los objetos de Active Directory para lograr una administracin

segura y descentralizada 65

Leccin: Mover objetos de Active Directory 79

Prctica A: Administrar el acceso a los objetos de unidades organizativas 83

Creacin y administracinde objetos de ActiveDirectory


2/85

2 Creacin y administr acin de objetos de Activ e Directory

Introduccin

******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******

Este mdulo contiene la informacin que precisa un administrador de sistemaspara administrar los objetos del servicio de directorio Active Directory.

Despus de finalizar este mdulo, podr:

Crear unidades organizativas, cuentas de usuario y cuentas de equipo.

Crear y modificar grupos.

Aplicar las estrategias adecuadas al trabajar con grupos.

Utilizar permisos para controlar el acceso a los objetos de Active Directory.

Delegar el control de los objetos de Active Directory para lograr unaadministracin segura y descentralizada.

Mover objetos de Active Directory.

Introduccin

Objetivos


3/85

Creacin y administr acin de objetos de Active Directory 3

Leccin: Creacin de unidades organizativas, cuentas deusuario y cuentas de equipo

******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******

Esta leccin proporciona los conocimientos y la prctica necesarios para crearunidades organizativas, cuentas de usuario y cuentas de equipo.

Despus de finalizar esta leccin, podr:

Explicar los cuatro modelos jerrquicos de unidad organizativa. Explicar los nombres asociados a las unidades organizativas.

Crear una unidad organizativa.

Crear una cuenta de usuario.

Explicar cmo y dnde se crean las cuentas de equipo en un dominio.

Explicar las dos opciones de cuenta de equipo.

Crear una cuenta de equipo.

Introduccin

Objetivos de la leccin


4/85


Modelos jerrquicos de unidad organizativa


Como administrador de sistemas, no es su funcin elegir el diseo estructuralde Active Directory para su organizacin. Sin embargo, es importante que

conozca las caractersticas y ramificaciones de cada estructura. Esteconocimiento puede ser crucial a la hora de realizar tareas de administracin

de sistemas en la estructura de Active Directory. En este tema se describen loscuatro diseos jerrquicos bsicos.

La jerarqua basada en la funcin considera slo las funciones de negocio dela organizacin, sin importar la ubicacin geogrfica o los lmites de los

departamentos o divisiones. Elija esta alternativa slo cuando la funcin detecnologa de la informacin no se base en la ubicacin o la organizacin.

Cuando necesite decidir si la estructura de Active Directory debe organizarsepor funcin, considere las caractersticas siguientes de los diseos basados en

funciones:

No se ven afectados por las reorganizaciones. Una jerarqua basada en

la funcin no se ve afectada por las reestructuraciones corporativas u

organizativas.

Pueden requerir niveles adicionales. Cuando se utiliza esta estructura,

puede ser necesario crear niveles adicionales en la jerarqua de unidades

organizativas para acomodar la administracin de usuarios, impresoras,

servidores y otros recursos de red.

Pueden afectar a la replicacin. Las estructuras empleadas para crear los

dominios pueden no ser las mejores para un uso eficiente de la red, ya que el

contexto de nombres de dominio puede replicarse entre una o ms reas de

bajo ancho de banda.

Esta estructura slo es adecuada en organizaciones pequeas porque losdepartamentos funcionales de las organizaciones medianas y grandes son a

menudo muy diversos y no pueden agruparse en grandes categoras.

Introduccin

Jerarqua basada enla funcin


5/85


La jerarqua basada en la organizacin considera los departamentos o divisionesde la organizacin. Si la estructura de Active Directory se ha creado para reflejar

la estructura organizativa, puede ser difcil delegar la autoridad administrativa, ya

que los objetos de Active Directory, como las impresoras y recursos compartidosde archivo pueden no estar agrupados de modo que faciliten la delegacin dedicha autoridad. Dado que los usuarios nunca ven la estructura de

Active Directory, el diseo debe acomodarse al administrador, no al usuario.

Si la organizacin est centralizada y la administracin de la red est distribuidageogrficamente, es recomendable utilizar una jerarqua basada en la ubicacin.

Por ejemplo, puede decidir crear unidades organizativas para Providence,Boston y Hartford en el mismo dominio, por ejemplo contoso.msft.

Una jerarqua de unidad organizativa o dominio basada en la ubicacin tiene lascaractersticas siguientes:

No se ve afectada por las reorganizaciones. Aunque las divisiones y

departamentos pueden cambiar con frecuencia, en la mayora de lasorganizaciones la ubicacin no suele cambiar.

Se adapta a fusiones y expansiones. Si una organizacin se fusiona o

adquiere otra compaa, resulta sencillo integrar las nuevas ubicaciones en

la estructura jerrquica existente de unidades organizativas y dominios.

Aprovecha la capacidad de la red. Normalmente, la topologa de la red fsica

de una organizacin se corresponde con una jerarqua basada en la ubicacin.Si se crean dominios con una jerarqua basada en la ubicacin, es posible

aprovechar las reas donde la red tiene mayor ancho de banda y limitar la

cantidad de datos que se replican entre reas con bajo ancho de banda.

Puede comprometer la seguridad. Si una ubicacin consta de mltiples

divisiones o departamentos, un individuo o grupo con autoridadadministrativa sobre ese dominio o sobre las unidades organizativas puede

tener tambin autoridad sobre los dominios o unidades organizativassecundarios.

Una jerarqua basada primero en la ubicacin y despus en la organizacin, o encualquier otra combinacin de estructuras, se denomina jerarqua hbrida. La

jerarqua hbrida combina las ventajas de los distintos tipos para satisfacer losrequisitos de la organizacin. Este tipo de jerarqua tiene las caractersticas

siguientes:

Se adapta al crecimiento geogrfico o de los diferentes departamentos o

divisiones.

Crea lmites de administracin definidos en funcin de los departamentoso divisiones.

Requiere la cooperacin entre los administradores para asegurar la

finalizacin de las tareas administrativas cuando ataen a la misma

ubicacin pero a distintas divisiones o departamentos.

Jerarqua basada enla organizacin

Jerarqua basada enla ubicacin

Jerarqua hbrida


6/85


Nombres asociados a las unidades organizativas


Las referencias a objetos especficos de Active Directory pueden hacersemediante distintos tipos de nombres que describen su ubicacin.

Active Directory crea un nombre completo relativo, un nombre completo y unnombre cannico para cada objeto, en funcin de la informacin suministrada

por el administrador en el momento de crear o modificar el objeto.

El nombre completo relativo LDAP (Lightweight Directory Access Protocol ,

Protocolo ligero de acceso a directorio) identifica de forma nica al objeto en sucontenedor principal. Por ejemplo, el nombre completo relativo LDAP de una

unidad organizativa denominada MiUnidadOrganizativa esOU=MiUnidadOrganizativa. Los nombres completos relativos deben ser nicosdentro de la unidad organizativa. Es importante entender la sintaxis del nombre

completo relativo LDAP cuando se utilizan secuencias de comandos paraconsultar y administrar Active Directory.

A diferencia del nombre completo relativo LDAP, el nombre completo LDAP

es nico globalmente. Un ejemplo de nombre completo LDAP nico de unaunidad organizativa denominada MiUnidadOrganizativa en el dominio

microsoft.com es OU=MiUnidadOrganizativa, DC=microsoft, DC=com.Los administradores de sistemas slo utilizan el nombre completo relativo

LDAP y el nombre completo LDAP cuando escriben secuencias de comandosadministrativas o durante la administracin en la lnea de comandos.

La sintaxis del nombre cannico se construye de la misma forma que la del

nombre completo LDAP, pero se representa con una notacin distinta. Elnombre cannico de la unidad organizativa denominada MiUnidadOrganizativaen el dominio microsoft.com es Microsoft.com/MiUnidadOrganizativa.

Los administradores usan los nombres cannicos en algunas herramientasadministrativas. El nombre cannico se utiliza para representar una jerarqua en

las herramientas administrativas.

Introduccin

Nombre completorelativo LDAP

Nombre completo LDAP

Nombre cannico


7/85


Cmo crear una unidad organizativa


Con la creacin de unidades organizativas puede representar una jerarqua oadministrar los objetos incluidos en ellas.

Para crear una nueva unidad organizativa:

1. Abra Usuarios y equipos de Active Directory.

2. En el rbol de la consola, haga doble clic en el nodo de dominio.

3. Haga doble clic con el botn secundario del mouse (ratn) en el nodo deldominio o en la carpeta en la que de desee agregar la unidad organizativa,seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.

4. En el cuadro de dilogo Nuevo objeto - Unidad organizativa, en el cuadroNombre, escriba el nombre de la unidad organizativa y, a continuacin,haga clic en Aceptar.

Para realizar este procedimiento, debe ser integrante de los grupos

Administradores de dominio o Administradores de organizacin enActive Directory, o tener delegada la autoridad correspondiente. Como

recomendacin de seguridad, considere la posibilidad de utilizar Ejecutarcomo para realizar este procedimiento.

Introduccin

Procedimiento

Nota


8/85


Para crear una unidad organizativa con el comando dsadd:

1. Abra un smbolo del sistema.

2. Escriba dsadd ouNombreDeDominioDeUnidadOrganizativa [-descDescripcin] [{-sServidor| -dDominio}] [-uNombreDeUsuario][-p {Contrasea | *}] [-q] [{-uc | -uco | -uci}]

El siguiente es un ejemplo de un comando dsadd ou:

dsadd ou "ou=testou,ou=locations,dc=nwtraders,dc=msft"

Utilizar una lneade comandos


9/85


Cmo crear una cuenta de usuario


Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesin enun dominio y tener acceso a recursos de cualquier lugar de la red, mientras que

las cuentas locales de usuario permiten a los usuarios iniciar sesiones y teneracceso nicamente a los recursos del equipo en el que se ha creado la cuenta de

usuario local. Como administrador de sistemas, debe crear cuentas de usuariolocales y de dominio para administrar el entorno de red.

No es posible crear cuentas de usuario locales en un controlador

de dominio.

Para crear una cuenta de usuario de dominio:


2. En el rbol de la consola, haga doble clic en el nodo de dominio.

3. En el panel de detalles, haga clic con el botn secundario del mouse en launidad organizativa a la que desee agregar el usuario, seleccione Nuevo y,a continuacin, haga clic en Usuario.

4. En el cuadro de dilogo Nuevo objeto - Usuario, en el cuadro Nombre,escriba el nombre del usuario.

5. En el cuadro Iniciales, escriba las iniciales del usuario.

6. En el cuadro Apellidos, escriba el apellido del usuario.

7. En el cuadro Nombre de inicio de sesin de usuario, escriba el nombrecon el que usuario iniciar la sesin.

8. En la lista desplegable, haga clic en el sufijo UPN que debe anexarse alnombre de inicio de sesin del usuario despus del signo (@).

9. Haga clic en Siguiente.

Introduccin

Importante

Procedimiento paracrear una cuenta deusuario de dominio


10/85


10. En los cuadros Contrasea y Confirmar contrasea, escriba la contraseadel usuario.

11. Seleccione las opciones de contrasea adecuadas.

12. Haga clic en Siguiente y, a continuacin, haga clic en Finalizar.

Para crear una cuenta de usuario local:

1. Haga clic en Inicio, seleccione Herramientas administrativas y,a continuacin, haga clic en Administracin de equipos.

2. En el rbol de la consola, expanda Usuarios y grupos locales y,a continuacin, haga clic en Usuarios.

3. En el men Accin, haga clic en Usuario nuevo.

4. En el cuadro Usuario nuevo, en el cuadro Nombre de usuario,escriba el nombre con el que usuario iniciar la sesin.

5. Modifique el nombre completo como sea necesario.

6. En los cuadros Contrasea y Confirmar contrasea, escriba la contraseadel usuario.

7. Seleccione las opciones de contrasea adecuadas.

8. Haga clic en Crear y, despus, en Cerrar.

Un nombre de usuario no puede ser idntico al de ningn otro usuario ogrupo del equipo que se administra. Puede contener hasta 20 caracteres en

maysculas o minsculas, excepto los siguientes:

" / \ [ ] : ; | = , + * ? < >

Un nombre de usuario no puede estar formado nicamente por puntos o espacios.

Otra forma de crear una cuenta de usuario de dominio es utilizar el comandodsadd. El comando dsadd user agrega un solo usuario al directorio desde elsmbolo del sistema o desde un archivo por lotes.

Para crear una cuenta de usuario con dsadd user:


2. Escriba dsadd userNombreDeDominioDeUsuario[-samidNombreSAM][-upnUPN] [-fnNombre] [-lnApellido] [-displayNombreParaMostrar][-pwd {Contrasea|*}] Utilice comillas (" ") si hay espacios en alguna

variable.

Si desea consultar la sintaxis completa del comando dsadd user, escribadsadd user /? en el smbolo del sistema.

El siguiente es un ejemplo de un comando dsadd user:

dsadd user "cn=testuser,cn=users,dc=nwtraders,dc=msft" samid

testuser upn [email protected] fn test ln user

display "test user" pwd P@ssw0rd

Procedimiento paracrear una cuenta deusuario local

Nota


Nota


11/85


Cmo y dnde crear cuentas de equipo en un dominio


Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir launidad organizativa en la que desea crearla. Si un equipo se une a un dominio,

la cuenta de equipo se crea en el contenedor Equipos y el administrador puedemoverla a la unidad organizativa correspondiente si es necesario.

De forma predeterminada, los usuarios de Active Directory pueden agregarhasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta

configuracin predeterminada puede cambiarse. Si el administrador de sistemasagrega una cuenta de equipo directamente a Active Directory, un usuario podr

agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipoasignadas.

La operacin de agregar un equipo al dominio mediante una cuenta creadaanteriormente se denomina ensayo previo y significa que los equipos pueden

agregarse a cualquier unidad organizativa en la que el administrador desistemas tenga permiso para agregar cuentas de equipo. Normalmente, los

usuarios no tienen los permisos necesarios para el ensayo previo de una cuentade equipo, de modo que como alternativa pueden unir un equipo al dominio

mediante una cuenta ensayada previamente.

Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agregaal contenedor Equipos de Active Directory. Esto tiene lugar a travs de un

servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta desistema tambin registra el nmero de equipos que cada usuario ha agregado al

dominio. De forma predeterminada, cualquier usuario autenticado tiene permisopara agregar estaciones de trabajo a un dominio y puede crear hasta diezcuentas de equipo en el dominio.

Para obtener ms informacin acerca de cmo los usuarios pueden agregarcuentas de equipo a un dominio, consulte el artculo de Microsoft Knowledge

Base 251335, Los usuarios de un dominio no pueden unir la estacin detrabajo o el servidor a un dominio, en la direccin

http://support.microsoft.com/default.aspx?scid=kb;es;251335.

Introduccin

Los administradoresdeterminan la ubicacin

de las cuentas deequipo

Cuentas de equipoensayadas previamente

Los usuarios creancuentas de equipo

Lecturas adicionales


12/85


Opciones de cuenta de equipo


En Microsoft Windows Server 2003 existen dos caractersticas opcionalesque puede habilitar al crear una cuenta de equipo. Puede asignar una cuenta de

equipo como correspondiente a un equipo anterior a Windows 2000 o comocontrolador de dominio de reserva (BDC,Backup Domain Controller).

Active la casilla de verificacin Asignar la cuenta de este equipo como unequipo anterior a Windows 2000 para asignar una contrasea basada en elnombre del equipo. Si no activa esta casilla de verificacin, se asignar a lacuenta de equipo una contrasea inicial aleatoria. La contrasea de conexin

entre el equipo y el dominio al que pertenece cambia automticamente cadacinco das. Esta opcin garantiza que los equipos con versiones de Windowsanteriores a Windows 2000 puedan interpretar si la contrasea satisface los

requisitos asignados.

Active la casilla de verificacin Asignar la cuenta de este equipo como uncontrolador de dominio de reserva si desea utilizar el equipo como controladorde dominio de reserva. Debe utilizar esta opcin en los entornos mixtos, con uncontrolador de dominio con Windows Server 2003 y un BDC con Microsoft

Windows NT 4.0. Una vez creada la cuenta en Active Directory, puede agregarel BDC al dominio durante la instalacin de Windows NT 4.0.

Para obtener ms informacin acerca de la delegacin de la autenticacin, busque

el trmino Delegar autenticacin en http://www.microsoft.com/spain/technet.

Introduccin

Anterior aWindows 2000

Controlador de dominiode reserva

Lectura complementaria


13/85


Cmo crear una cuenta de equipo


De forma predeterminada, los integrantes del grupo Operadores de cuentaspueden crear cuentas de equipo en el contenedor Equipos y en las nuevas

unidades organizativas. Sin embargo, no pueden crear cuentas de equipo en loscontenedores Builtin, DomainControllers, ForeignSecurityPrincipals,

LostAndFound, Program Data, System o Users.

Para crear una cuenta de equipo:


2. En Usuarios y equipos de Active Directory, en el rbol de la consola,haga doble clic en el nodo de dominio.

3. Haga clic con el botn secundario del mouse en Equipos o en la unidadorganizativa a la que desee agregar el equipo, seleccione Nuevo y haga clicen Equipo.

4. En el cuadro de dilogo Nuevo objeto - Equipo, en el cuadro Nombre deequipo, escriba el nombre del equipo.

5. Seleccione las opciones correspondientes y haga clic en Siguiente.

6. En el cuadro de dilogo Administrado, haga clic en Siguiente.

7. Haga clic en Finalizar.

Para realizar este procedimiento, debe ser integrante de los gruposOperadores de cuentas, Administradores del dominio o Administradores de

organizacin en Active Directory o tener delegada la autoridad correspondiente.Como recomendacin de seguridad, considere la posibilidad de utilizarEjecutar como para realizar este procedimiento.

Introduccin

Procedimiento

Nota


14/85


Para crear una cuenta de equipo con el comando dsadd computer:


2. Escriba dsadd computerNombreDeDominioDeEquipo [-samidNombreSAM] [-descDescripcin] [-locUbicacin] [-memberofNombreDeDominioDeGrupo ..] [{-sServidor| -dDominio}] [-uNombreDeUsuario] [-p {Contrasea | *}] [-q] [{-uc | -uco | -uci}]

Si desea consultar la sintaxis completa del comando dsadd computer,escriba dsadd computer /? en el smbolo del sistema.

El siguiente es un ejemplo de un comando dsadd computer:

dsadd computer

"cn=testcomputer,ou=testou,dc=nwtraders,dc=msft" samid

testcomputer


Nota


15/85


Ejercic io: Creacin de unidades organizativas, cuentas de usuario ycuentas de equipo


Despus de finalizar este ejercicio, podr:

Crear unidades organizativas.

Crear cuentas de usuario y de equipo.

Mover cuentas de usuario y de equipo a una nueva unidad organizativa.

Habilitar cuentas de usuario.

Debe haber iniciado sesin con una cuenta (por ejemplo,NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutarel comando Ejecutar como con una cuenta de usuario que disponga de lascredenciales administrativas apropiadas para realizar la tarea.

Como administrador de sistemas de Northwind Traders, se le ha asignado latarea de crear una jerarqua de unidad organizativa ideada por el grupo de

diseo de Northwind Traders. El diseo de la jerarqua de unidad organizativase basar en la ubicacin y separar los equipos porttiles de los equipos de

escritorio. Usted crear una jerarqua de unidades organizativas en la unidadorganizativa de su ciudad para separar los tipos de equipos.

La siguiente es una representacin grfica de lo que debe crear en el dominio

NWTraders. Las unidades organizativas Locations yNombreDeEquipo ya hansido creadas.

Objetivos

Instrucciones

Situacin de ejemplo


16/85


Cree las unidades organizativas Computers, Laptodps y Desktops Complete esta tarea desde los equipos de ambos alumnos.

Utilice la informacin siguiente para iniciar CustomMMC: Usuario: nwtraders\NombreDeEquipoAdmin

Contrasea: P@ssw0rd

En Usuarios y equipos de Active Directory/nwtraders.msft/Locations/

NombreDeEquipo (dondeNombreDeEquipo es el nombre de su equipo),

cree las unidades organizativas siguientes:

Locations/NombreDeEquipo/Computers

Locations/NombreDeEquipo/Computers/Laptops

Locations/NombreDeEquipo/Computers/Desktops

La jerarqua de unidades organizativas debe tener la misma apariencia que

el diagrama anterior.

Los ingenieros de sistemas desean probar algunas caractersticas avanzadas de

Active Directory. Desean que su grupo cree algunas unidades organizativas enla unidad organizativa IT Test.

La unidad organizativa IT Test ya ha sido creada. Debe agregar una unidadorganizativa adicional para su ciudad, como se indica en el grfico siguiente.

Cree una unidad organizativa con el comando dsadd En una lnea de comandos, cree una unidad organizativa denominada IT

Test/NombreDeEquipo mediante el comando dsadd.

(Ejemplo del comando dsadd: dsadd ou "ou=London,ou=IT Test,dc=nwtraders,dc=msft")

Se le ha suministrado una lista de usuarios deben agregarse a Active Directory.Busque los usuarios de la lista cuya oficina est en su ciudad y agrguelos a la

unidad organizativa correspondiente de su ciudad.

Cree cuentas de usuario En la unidad organizativa

nwtraders.msft/Locations/NombreDeEquipo/Users, cree las cuentas de

los usuarios de la tabla siguiente que correspondan a la ubicacin de laorganizacin en su ciudad. Utilice los parmetros siguientes (dondeNombreyApellido son el nombre y apellido de cada uno de los usuarios):

Nombre:Nombre

Apellido:Apellido

Nombre de inicio de sesin de usuario: Primeras tres letras del nombre yprimeras tres letras del apellido

Nombre de inicio de sesin de usuario (anterior a Windows 2000):Primeras tres letras del nombre y primeras tres letras del apellido

Contrasea: P@ssw0rd

Deshabilite la cuenta de usuario.

Ejercicio: Creacin deunidades organizativas

Situacin de ejemplo

Ejercicio: Utilizar unalnea de comandos

Situacin de ejemplo

Ejercicio : Crear ymodificar cuentasde usuario


17/85


Modifique las cuentas de usuario En la pgina Propiedades del usuario puede hacer las modificaciones

siguientes:

Ciudad:NombreDeEquipo (en la ficha Direccin)

Nmero de telfono: 555-2469 (en la ficha Telfonos)

Administrador:NombreDeEquipoUser (en la ficha Organizacin)

Apellido, Nombre Ciudad

Brown, Robert Acapulco

Browne, Kevin F. Acapulco

Byham, Richard A. Auckland

Calafato, Ryan Auckland

Berg, Karen Bangalore

Berge, Karen Bangalore

Barnhill, Josh Bonn

Barr, Adam Bonn

Altman, Gary E. III Brisbane

Anderson, Nancy Brisbane

Chapman, Greg Caracas

Charles, Mathew Caracas

Bonifaz, Luis Casablanca

Boseman, Randall Casablanca

Ackerman, Pilar Denver

Adams, Jay Denver

Connelly, Peter Khartoum


18/85


(continuacin)

Apellido, Nombre Ciudad

Conroy, Stephanie Khartoum

Barreto de Mattos, Paula Lima

Bashary, Shay Lima

Arthur, John Lisbon

Ashton, Chris Lisbon

Bankert, Julie Manila

Clark, Brian Manila

Burke, Brian Miami

Burlacu, Ovidiu Miami

Chor, Anthony Montevideo

Ciccu, Alice Montevideo

Casselman, Kevin A. Moscow

Cavallari, Matthew J. Moscow

Cornelsen, Ryan Nairobi

Cox, Brian Nairobi

Alberts, Amy E. Perth

Alderson, Gregory F. (Greg) Perth

Benshoof, Wanida Santiago

Benson, Max Santiago

Bezio, Marin Singapore

Bischoff, Jimmy Singapore

Carothers, Andy Stockholm

Carroll, Matthew Stockholm

Cannon, Chris Suva

Canuto, Suzana De Abreu A. Suva

Combel, Craig M. Tokyo

Con, Aaron Tokyo

Bradley, David M. Tunis

Bready, Richard Tunis

Abolrous, Sam Vancouver

Acevedo, Humberto Vancouver


19/85


Los ingenieros de sistemas de Northwind Traders han importado cuentas deusuario para todo el dominio nwtraders. Usted y su grupo de administradores

de sistemas deben buscar las cuentas de usuario cuyo atributo de ubicacin

corresponda con la ciudad del nombre de su equipo y moverlas a la unidadorganizativa Users situada bajo la unidad organizativaNombreDeEquipo.

Busque y mueva las cuentas de usuarioComplete esta tarea desde los equipos de ambos alumnos. Utilice la ficha

Opciones avanzadas del cuadro de dilogo Buscar.

1. Utilice la informacin siguiente para buscar las cuentas de usuario.

Nombre de usuario: nwtraders\NombreDeEquipoAdmin

Contrasea: P@ssw0rd

Punto inicial de la bsqueda: nwtraders.msft

Buscar: Usuarios, contactos y grupos Campo: Ciudad

Condicin: Es (exactamente)

Valor:NombreDeEquipo

2. Mueva las cuentas de usuario que encuentre a Nwtraders.msft/Locations/NombreDeEquipo/Users (donde el nombre de la cuenta de equipo

corresponde a la carpetaNombreDeEquipo).

Situacin de ejemplo

Ejercicio: Buscarcuentas de usuario


20/85


Se espera recibir cuatro nuevos equipos porttiles y cinco equipos de escritorioen su ubicacin. Un consultor que tiene una cuenta de usuario en el dominio

agregar estos equipos al dominio. Las directivas de Northwind Traders

estipulan que los administradores de la unidad organizativa ciudaddebenadministrar los equipos porttiles y de escritorio.

Cree cuentas de equipo1. Cree las cuentas de equipo siguientes para cinco equipos de escritorio en la

unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/Computers/Desktops.

Cuentas de equipo:

NombreDeEquipo01Desk





2. Cree las cuentas de equipo siguientes para cinco equipos porttiles en launidad organizativa nwtraders.msft/Locations/NombreDeEquipo/

Computers/Laptops.

Cuentas de equipo:

NombreDeEquipo01Lap

NombreDeEquipo02Lap

NombreDeEquipo03Lap

NombreDeEquipo04Lap

NombreDeEquipo05Lap

Los ingenieros de sistemas de Northwind Traders han importado cuentas deequipo para todo el dominio nwtraders. Usted debe buscar las cuentas de equipo

que incluyenNombreDeEquipo0 en su nombre de cuenta. A continuacin debemover las cuentas a la carpeta Computers de la unidad organizativa

NombreDeEquipo correspondiente.

Busque las cuentas de equipo Busque las cuentas de equipo con los siguientes criterios:

Punto inicial de la bsqueda: nwtraders.msft

Buscar: Equipos

Campo: Nombre de equipo (anterior a Windows 2000)

Condicin: Empieza con

Valor:NombreDeEquipo0

Mueva las cuentas de equipo a otra unidad organizativa Mueva las cuentas de equipo que encuentre a Nwtraders.msft/Locations/

NombreDeEquipo/Computers (donde el nombre de la cuenta de equipocorresponde a la carpetaNombreDeEquipo).

Situacin de ejemplo

Ejercicio: Creacin decuentas de equipo

Situacin de ejemplo

Ejercicio: Buscarcuentas de equipo


21/85


Leccin: Creacin y modificacin de grupos


Esta leccin proporciona los conocimientos y la prctica necesarios para crear ymodificar grupos.


Explicar el propsito de los grupos y los tipos y mbitos de grupo.

Explicar la funcin de un servidor de catlogo global.

Explicar la relacin entre los grupos y los niveles funcionales de dominio.

Elegir el tipo y el mbito de grupo adecuados.

Crear un grupo.

Explicar qu implica modificar el mbito o el tipo de un grupo.

Modificar el mbito o el tipo de un grupo.

Introduccin



22/85


Qu son los grupos?


Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Losgrupos pueden basarse en un dominio y estar almacenados en Active Directory,

o ser locales en un equipo determinado.

Los grupos facilitan la administracin al permitir conceder permisos sobre

recursos a todo un grupo de una vez, en lugar de concederlos a cuentas deusuarios individuales.

Existen dos tipos bsicos de grupos:

Grupos de seguridad

Los grupos de seguridad se utilizan para asignar derechos de usuario ypermisos a los grupos de usuarios y equipos. Los derechos determinanqu pueden hacer los integrantes de un grupo de seguridad en un dominio

o bosque, y los permisos determinan a qu recursos de la red tienen accesolos integrantes del grupo.

Tambin peden utilizarse grupos de seguridad para enviar mensajes

de correo electrnico a mltiples usuarios. Cuando se enva un mensajede correo electrnico al grupo, se enva a cada uno de sus integrantes.

Por ello, los grupos de seguridad tienen toda la funcionalidad de los gruposde distribucin.

Definicin

Ventajas del usode grupos

Tipos de grupos


23/85


Grupos de distribucin

Los grupos de distribucin se utilizan con aplicaciones de correoelectrnico, como Microsoft Exchange, para enviar mensajes de correo

electrnico a conjuntos de usuarios. El propsito principal de este tipo degrupo es reunir objetos relacionados, no conceder permisos.

Los grupos de distribucin no tienen habilitada la seguridad; es decir, no

pueden utilizarse para asignar permisos. Si necesita un grupo para controlarel acceso a los recursos compartidos, debe crear un grupo de seguridad.

Aunque los grupos de seguridad tienen toda la funcionalidad de los gruposde distribucin, stos siguen siendo necesarios, ya que algunas aplicaciones

slo pueden utilizar grupos de distribucin.

Tanto los grupos de distribucin como los de seguridad admiten uno de los tresmbitos de grupo.

El mbito del grupo determina si el grupo abarca mltiples dominios o se limitaa un solo dominio.

El mbito de grupo determina:

Los dominios desde los que se puede agregar integrantes al grupo.

Los dominios en los que puede utilizarse el grupo para conceder permisos.

Los dominios en los que puede anidarse el grupo dentro de otros grupos.

Un grupo de seguridad o de distribucin puede tener uno de tres mbitosposibles: global, universal o de dominio local. El contenido del grupo determina

el tipo de mbito que se le puede aplicar. Cada tipo de mbito tiene unpropsito diferente.

El mbito de los grupos se explica en la tabla siguiente.

mbito Contenido posible Descripcin

Global Usuarios, grupos y equipos del

mismo dominio que el grupo

global

Un grupo de seguridad global

asigna derechos de usuario y

permisos sobre los recursos de

cualquier dominio del bosque.

Universal Usuarios, grupos y equipos de

cualquier dominio del bosque

Un grupo de seguridad universal

asigna derechos de usuario y

permisos para los recursos de

cualquier dominio del bosque.

Dominio local Grupos con mbito global,

grupos con mbito universal,

cuentas, otros grupos con mbito

de dominio local o una mezcla

de los anteriores

Un grupo de seguridad de

dominio local slo puede recibir

derechos y permisos para recursos

que residan en el mismo dominio

en el que se encuentra.

mbito de grupo


24/85


Presentacin multimedia: Servidor de catlogo global


Esta presentacin ilustra las funciones de catlogo global de Active Directory.Para iniciar la presentacin, abrir el archivo media10_1.html que se puede

encontrar dentro del fichero media10.zip.

El catlogo global es un depsito de informacin que contiene un subconjunto de

atributos para todos los objetos de Active Directory. De forma predeterminada,los atributos que se almacenan en el catlogo global son los que se utilizan con

ms frecuencia en las consultas, como el nombre, el apellido y el nombre deinicio de sesin de un usuario. El catlogo global contiene la informacin

necesaria para determinar la ubicacin de cualquier objeto del directorio.

Un servidor de catlogo global es un controlador de dominio que procesa las

consultas al catlogo global y almacena una copia de las mismas. El primercontrolador de dominio que se crea en Active Directory es un servidor de

catlogo global. Puede configurar controladores de dominio adicionales paraque sean servidores de catlogo global con el fin de equilibrar el trfico de

autenticacin de inicio de sesin y la transferencia de consultas.

El catlogo global cumple dos funciones importantes en el directorio:

Permite que un usuario inicie una sesin en la red al suministrar lainformacin de pertenencia a grupos universales a un controlador de

dominio cuando se inicia un proceso de inicio de sesin.

Permite que un usuario busque informacin de directorio en todo el bosque,

independientemente de la ubicacin de los datos.

Si no hay disponible un catlogo global cuando un usuario inicia una sesin en

un dominio con el nivel funcional Windows 2000 nativo o superior, el equipoutilizar las credenciales en cach para iniciar la sesin del usuario si ste ha

iniciado una sesin anteriormente en el dominio. Si el usuario no ha iniciadouna sesin en el dominio anteriormente, slo podr iniciar una sesin en el

equipo local. Sin embargo, si el usuario es integrante del grupoAdministradores del dominio, podr iniciar una sesin en el dominio aunque

no haya un catlogo global disponible.

Introduccin

Catlogo gl obal

Servidor de catlogoglobal

Funciones del servidorde catlogo global en

Active Directory

Si no hay disponible uncatlogo global


25/85


Grupos y niveles funcionales de dominio


El sistema operativo de los controladores de dominio determina el nivelfuncional que el dominio puede utilizar.

La funcionalidad del dominio habilita caractersticas que afectan a todo

el dominio.

Existen tres niveles funcionales de dominio:

Windows 2000 mixto (predeterminado)

Windows 2000 nativo

Familia de Windows Server 2003

De forma predeterminada, los dominios aplican el nivel de funcionalidadWindows 2000 mixto. Puede elevar el nivel funcional a Windows 2000 nativo o

a la familia de Windows Server 2003.

En la tabla siguiente se comparan los mbitos de grupo posibles en los distintos

niveles funcionales de dominio y se indican los controladores de dominiocompatibles.

Nivel funcionalde dominio

Caractersticashabilitadas

Controladores dedominio admitidos

Windows 2000 mixto

(predeterminado)

Instalacin de Active Directory

desde un medio de copia

Almacenamiento en cach de

grupos universales

Windows NT 4.0,

Windows 2000, familia de

Windows Server 2003

Windows 2000 nativo Todo el modo mixto, y adems:

Anidamiento y conversin

de grupos

Grupos universales,

seguridad y distribucin

SIDHistory

Windows 2000, familia de

Windows Server 2003

Introduccin

Niveles funcionalesde dominio

Niveles funcionalesde dominio, mbito degrupo y controladoresde dominio


26/85


(continuacin)

Nivel funcionalde dominio

Caractersticashabilitadas

Controladores dedominio admitidos

Windows Server 2003

versin provisional

Igual que Windows 2000 en

modo mixto o nativo

Windows NT 4.0, familia

de Windows Server 2003

Familia de Windows

Server 2003

Todo Windows 2000 nativo, y

adems:

Actualizar atributo de

marca de hora de inicio

de sesin

Nmeros de versin de

KDC Kerberos

Contrasea de usuario

en INetOrgPerson

Herramienta de cambio

de nombre de dominio

Familia de Windows

Server 2003

La tabla siguiente resume las reglas que determinan si se puede utilizar ungrupo de seguridad con mbito universal en un nivel funcional de dominio

determinado.

Nivel funcional de dominioGrupos de seguridad con mbitouniversal?

Windows 2000 nativo S

Windows 2000 mixto No

Windows Server 2003 S

Slo es posible cambiar de tipo de grupo cuando el nivel funcional del

dominio es Windows 2000 nativo o superior.

Windows Server 2003 versin provisional slo se utiliza para

actualizaciones directas de Windows NT 4.0 a la familia deWindows Server 2003, sin pasar por Windows 2000. Los controladores

de dominio con Windows 2000 no admiten la funcionalidad de dominioWindows Server 2003 versin provisional.

Despus de elevar el nivel funcional de un dominio, no es posible agregarcontroladores de dominio que ejecuten sistemas operativos anteriores.

Por ejemplo, si eleva el nivel funcional de dominio a la familia deWindows Server 2003, los controladores de dominio con Windows Server 2000no podrn agregarse al dominio.

El cambio del nivel funcional de dominio es irreversible. Una vez

elevado el nivel funcional de un dominio, no es posible reducirlo de nuevo.

Para obtener ms informacin, consulte el artculo de Microsoft KnowledgeBase 322692, How To: Raise the Domain Functional Level in

Windows Server 2003 (en ingls).

Grupos de seguridaduniversales y nivelesfuncionales de dominio

Nota

Nota

Precaucin

Informacin adicional


27/85


Cmo decidir el tipo y el mbito de un grupo


Una ventaja de utilizar el mbito global es que las cuentas de un grupo quetiene mbito global pueden modificarse frecuentemente sin generar trfico de

replicacin en el catlogo global. Esta ventaja proviene del hecho de que losgrupos globales no se replican fuera de su propio dominio.

Los grupos con mbito global pueden utilizarse para administrar objetos dedirectorio que requieran mantenimiento diario, como las cuentas de usuario y de

equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuariosque comparten las mismas tareas y tienen requisitos de acceso a la red similares.

Observe las siguientes limitaciones del uso del mbito global:

Un dominio de Windows Server 2003 debe estar en modo Windows 2000

nativo o superior para poder utilizar grupos universales.

Debido a que los grupos globales tienen visibilidad en todo el bosque, nodeben crearse para el acceso a recursos especficos del dominio.

Los grupos con mbito universal pueden utilizarse para consolidar grupos queabarcan ms de un dominio. Para ello, agregue las cuentas a grupos con mbito

global y anide estos grupos en otros que tengan mbito universal. Con estaestrategia, los cambios en la pertenencia a los grupos con mbito global no

afectarn a los grupos con mbito universal.

Por ejemplo, en una red con dos dominios, North y South, y un grupodenominado GLAccounting que tenga mbito global en ambos dominios,

puede crear un grupo con mbito universal denominado UAccounting, quetenga como integrantes los dos grupos GLAccounting, North\GLAccounting y

South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugarde la organizacin. Los cambios en la pertenencia a los grupos individuales

GLAccounting no provocarn la replicacin del grupo UAccounting.

Cundo utilizar unmbito global

Limitaciones del usodel mbito global

Cundo utilizar unmbito universal


28/85


La pertenencia a un grupo con mbito universal no debe cambiar confrecuencia, ya que tales cambios provocan que se replique toda la informacin

de pertenencia del grupo en todos los catlogos globales del bosque.

Los grupos con mbito de dominio local ayudan a definir y administrar elacceso a los recursos de un solo dominio.

Es posible asignar permisos para los recursos ubicados en el mismo dominioque el grupo local. Puede colocar todos los grupos globales que deban

compartir los mismos recursos en el grupo de dominio local adecuado.

Puede asignar permisos para recursos ubicados en el equipo en el que se hacreado el grupo local. Cree grupos locales para limitar la capacidad de accesode los usuarios y grupos locales a los recursos de la red cuando no desee crear

grupos de dominio.

Es importante distinguir entre un grupo de dominio local y un grupo

local. Un grupo de dominio local es un grupo de seguridad o de distribucinque puede contener grupos universales, grupos globales, otros grupos dedominio local de su propio dominio y cuentas de cualquier dominio del bosque.

Un grupo local es un conjunto de cuentas de usuario o grupos de dominiocreado en un servidor integrante o en un servidor independiente.

Limitaciones del usodel mbito universal

Cundo utili zar elmbito de dominio l ocal

Cundo utilizar un grupolocal

Nota


29/85


Cmo crear un grupo


En la mayora de los entornos corporativos, los grupos se crean en dominios.Active Directory cuenta con caractersticas de seguridad y seguimiento que

limitan la adicin de usuarios a grupos. Active Directory ofrece tambin a lasorganizaciones la flexibilidad de poder utilizar grupos en los servidores

integrantes. A menudo, las organizaciones tienen servidores expuestos aInternet y desean utilizar grupos locales en los servidores integrantes en lugar

de grupos de dominio local con el fin de limitar el riesgo de seguridad para losgrupos internos y los integrantes de los grupos.

Para crear un grupo en un dominio de Active Directory:

1. En Usuarios y equipos de Active Directory, en el rbol de la consola, hagaclic con el botn secundario del mouse en la carpeta a la que desee agregar

el grupo, seleccione Nuevo y, a continuacin, haga clic en Grupo.

2. En el cuadro de dilogo Nuevo objeto - Grupo, en el cuadro Nombre degrupo, escriba el nombre del nuevo grupo.

3. En mbito de grupo, haga clic en el mbito del nuevo grupo.

4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.


Operadores de cuentas, Administradores del dominio o Administradores de


Si el dominio en el que crea el grupo tiene establecido el nivelfuncional de dominio Windows 2000 mixto, slo podr seleccionar grupos de

seguridad con mbito de dominio local o global.

Introduccin

Procedimiento paracrear un grupo en undominio

Nota

Importante


30/85


Para crear un grupo local en un servidor integrante:

1. En Administracin de equipos, en el rbol de la consola, haga clicen Grupos.

2. En el men Accin, haga clic en Grupo nuevo.

3. En el cuadro de dilogo Grupo nuevo, en el cuadro Nombre de grupo,escriba el nombre del grupo nuevo.

4. En el cuadro Descripcin, escriba una descripcin para el grupo nuevo.

5. Para agregar uno o ms usuarios al grupo nuevo, haga clic en Agregar.

6. Haga clic en Crear y, despus, en Cerrar.

Para realizar este procedimiento debe ser integrante del grupo Usuarios

avanzados o Administradores del equipo local, o tener delegada la autoridadcorrespondiente. Si el equipo se une a un dominio, los integrantes del grupo

Administradores del dominio pueden llevar a cabo este procedimiento. Comorecomendacin de seguridad, considere la posibilidad de utilizar Ejecutarcomo para realizar este procedimiento.

Para crear un grupo en un dominio de Active Directory con el comando dsadd:


2. Escriba dsadd groupNCDeGrupo-samidNombreSAM-secgrpyes | no-scopel | g | u

Valor Descripcin

NCDeGrupo Especifica el nombre completo del objeto grupo que se desea

agregar.

NombreSAM Especifica el nombre SAM (Security Accounts Managero

Administrador de cuentas de seguridad) como nombre de cuenta

SAM nico para este grupo (por ejemplo, operadores).

yes | no Especifica si el grupo que se desea agregar es un grupo de

seguridad (yes) o un grupo de distribucin (no).

l | g | u Especifica si el mbito del grupo que se desea agregar es de

dominio local (l), global (g) o universal (u).

Para ver la sintaxis completa de este comando, escriba dsadd group /?

en el smbolo del sistema.

Procedimiento paracrear un grupo local enun servidor integrante

Nota


Nota


31/85


Para eliminar un grupo:

1. En Usuarios y equipos de Active Directory, en el rbol de la consola, hagaclic en la carpeta que contiene el grupo.

2. En el panel de detalles, haga clic con el botn secundario del mouse en elgrupo y, a continuacin, haga clic en Eliminar.

Para realizar este procedimiento, debe ser integrante de los gruposOperadores de cuentas, Administradores del dominio o Administradores de


Para eliminar un grupo con el comando dsrm:

1. Abra un smbolo del sistema.2. Escriba dsrmNCDeGrupo

Valor Descripcin

NCDeGrupo Especifica el nombre completo del objeto grupo que se desea

eliminar.

Para ver la sintaxis completa de este comando, escriba dsrm /? en elsmbolo del sistema.

Procedimiento paraeliminar un grupo

Nota


Nota


32/85


Cambiar el mbito y el tipo de un grupo


Cuando se crea un grupo nuevo, queda configurado como grupo de seguridadcon mbito global de forma predeterminada, independientemente del nivel

funcional de dominio existente.

Aunque no es posible cambiar el mbito de un grupo en los dominios con

nivel funcional Windows 2000 mixto, s son posibles los cambios de mbitosiguientes en los dominios que tengan el nivel funcional Windows 2000 nativo

o Windows Server 2003:

De global a universal. Este cambio slo se permite si el grupo que se desea

cambiar no es integrante de otro grupo global.

No es posible cambiar directamente el mbito de un grupo de global a

dominio local. Para ello es necesario cambiar el mbito del grupo de globala universal y, a continuacin, de universal a dominio local.

De dominio local a universal. Este cambio slo se permite si el grupo que sedesea cambiar no tiene como integrante otro grupo de dominio local.

De universal a global. Este cambio slo se permite si el grupo que se desea

cambiar no tiene como integrante otro grupo universal.

De universal a dominio local. No existe ninguna restriccin para este cambio.

Introduccin

Cambiar el mbitode grupo

Nota


33/85


Un grupo puede convertirse de grupo de seguridad a grupo de distribucin, yviceversa, en cualquier momento, pero slo si el nivel funcional de dominio

est establecido como Windows 2000 nativo o posterior. No es posible

convertir un grupo si el nivel funcional de dominio es Windows 2000 mixto.

Puede convertir grupos de un tipo a otro en las situaciones siguientes:

De seguridad a distribucin

Una compaa se divide en dos. Los usuarios migran de un dominio a otro,pero conservan sus antiguas direcciones de correo electrnico. Desea

enviarles mensajes de correo electrnico utilizando los grupos de seguridadantiguos, pero desea retirar el contexto de seguridad del grupo.

De distribucin a seguridad

Un grupo de distribucin crece mucho y los usuarios desean utilizarlo para

tareas relacionadas con la seguridad. Sin embargo, tambin desean mantener

el grupo para enviar correo electrnico.

Aunque es posible agregar contactos a los grupos de seguridad y a los

grupos de distribucin, no es posible conceder permisos a los contactos. Sin

embargo, se puede enviar correo electrnico a los contactos.

Cambiar el tipo de grupo

Nota


34/85


Cmo modificar un grupo


Para cambiar el mbito o el tipo de un grupo, el nivel funcional del dominiodebe ser Windows 2000 nativo o superior. No es posible cambiar el mbito ni el

tipo de los grupos si el nivel funcional del dominio es Windows 2000 mixto.

Para cambiar el mbito o el tipo de un grupo:

1. En Usuarios y equipos de Active Directory, en el rbol de la consola, haga

clic en la carpeta que contiene el grupo.

2. En el panel de detalles, haga clic con el botn secundario del mouse en elgrupo y, a continuacin, haga clic en Propiedades.

3. En el cuadro de dilogo Propiedades, en la ficha General, bajo Tipo degrupo, haga clic en el tipo de grupo para cambiarlo.

4. En mbito de grupo, haga clic en el mbito de grupo para cambiarlo.


Operadores de cuentas, Administradores del dominio o Administradores deorganizacin en Active Directory o tener delegada la autoridad correspondiente.

Como recomendacin de seguridad, considere la posibilidad de utilizar

Ejecutar como para realizar este procedimiento.

Introduccin

Procedimiento

Nota


35/85


Ejercicio: Creacin y modificacin de grupos


En este ejercicio, se ocupar de:

Crear grupos globales y locales con Usuarios y equipos de Active Directory.

Crear grupos globales con la herramienta de lnea de comandos dsadd.

Cambiar el mbito de grupo de global a dominio local.

Convertir un grupo de seguridad en un grupo de distribucin.

Debe haber iniciado sesin con una cuenta (por ejemplo,

NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar

el comando Ejecutar como con una cuenta de usuario que disponga de lascredenciales administrativas apropiadas para realizar la tarea.

Como administrador de sistemas, debe crear varios grupos para el departamentode contabilidad. Estos grupos se utilizarn posteriormente para agrupar cuentas

y asignar grupos a los recursos.

Objetivos

Instrucciones

Situacin de ejemplo


36/85


Cree los grupos con Usuarios y equipos de Active Directory Complete esta tarea desde los equipos de ambos alumnos.

Credenciales para iniciar la sesin: Dominio: NWTraders

Nombre de usuario:NombreDeEquipoUser

Contrasea: P@ssw0rd

Credenciales para utilizar Ejecutar como:

Dominio: NWTraders

Nombre de usuario:NombreDeEquipoAdmin

Contrasea: P@ssw0rd

1. Cree la unidad organizativa Locations/NombreDeEquipo/Groups

(dondeNombreDeEquipo es el nombre de su equipo).2. Cree los grupos globales siguientes en la unidad organizativa

Locations/NombreDeEquipo/Groups:

GNombreDeEquipo Accounting Managers

GNombreDeEquipo Accounting Personnel

3. Cree los grupos de dominio local siguientes en la unidad organizativaLocations/NombreDeEquipo/Groups:

DLNombreDeEquipo Accounting Managers Full Control

DLNombreDeEquipo Accounting Managers Read

DLNombreDeEquipo Accounting Personnel Full Control

DLNombreDeEquipo Accounting Personnel Read

Cree grupos con la herramienta de lnea de comandos dsadd

Para iniciar un smbolo del sistema con el comando Ejecutar como,haga clic con el botn secundario del mouse en el acceso directo Smbolo delsistema del men Inicio y haga clic en Ejecutar como.

1. Cree el grupo global siguiente en la unidad organizativa IT Test:

GNombreDeEquipoTest

Ejemplo: C:\>dsadd group "cn=G London Test,ou=it test,dc=nwtraders,dc=msft" -secgrp yes -scope g -samid "G London Test"

2. Cree el grupo de dominio local siguiente en la unidad organizativa IT Test:

DLNombreDeEquipoTest

Ejemplo: C:\>dsadd group "cn=DL London Test,ou=it test,dc=nwtraders,

dc=msft" -secgrp yes -scope L -samid "DL London Test"

Ejercicio: Crear gruposcon Usuarios y equiposde Active Directory

Ejercicio: Utilizar unalnea de comandos

Nota


37/85


Los administradores de tecnologa de la informacin de Northwind Tradersdesean que escriba un procedimiento para cambiar el mbito de un grupo de

seguridad de global a dominio local. Debe crear todos los grupos de prueba en

la unidad organizativa IT Test.

Debe haber iniciado sesin con una cuenta que no tenga credenciales

administrativas y ejecutar el comando Ejecutar como con una cuenta deusuario que disponga de las credenciales administrativas apropiadas para

realizar la tarea.

Cree un grupo de seguridad global En la unidad organizativa IT Test, cree un grupo de seguridad global

denominadoNombreDeEquipo Group Scope Test.

Documente el procedimiento para convertir el grupo global en grupo de

dominio local________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Los administradores de tecnologa de la informacin de Northwind Tradersdesean que pruebe la funcin de Active Directory que permite convertir un

grupo de seguridad en grupo de distribucin. Para ello, le piden que conviertael grupo de seguridad que ha creado en un grupo de distribucin.

Convierta el grupo de seguridad global en un grupo de distribucin Convierta el grupo de seguridadNombreDeEquipo Group Scope Test en un

grupo de distribucin.

Situacin de ejemplo

Ejercicio: Cambiar elmbito de grupo

Situacin de ejemplo

Ejercicio: Cambiarel tipo de grupo


38/85


Leccin: Estrategias para el uso de grupos

******el uso por quienes no sean instructores no est autorizado y resulta ilegal******

Esta leccin le ayudar a disear una estrategia para el uso de grupos en unsolo dominio.


Explicar el anidamiento de grupos y las opciones de anidamiento

disponibles en el modo nativo de Windows.

Aplicar la estrategia AGDLP al utilizar grupos en un solo dominio.

Explicar qu son los grupos predeterminados y los grupos de sistema, ycundo deben utilizarse.

Introduccin



39/85


Qu es el anidamiento de grupos?


El anidamiento permite agregar un grupo como integrante de otro grupo.Los grupos se anidan para consolidar las cuentas integrantes y reducir el trfico

de replicacin.

El diseo de la red debe reducir el anidamiento a slo un nivel. Un solo nivel

de anidamiento es lo ms efectivo, ya que el seguimiento de los permisos sehace ms complejo cuando existen varios niveles. Asimismo la solucin de

problemas es ms difcil cuando hay que trazar los permisos a lo largo demltiplos niveles de anidamiento. Por ello debe documentar la pertenencia a

grupos para hacer un seguimiento de los permisos.

Las opciones de anidamiento no son las mismas si el nivel funcional de

dominio de Windows Server 2003 se ha establecido como Windows 2000nativo o Windows 2000 mixto. Con el nivel funcional Windows 2000 nativo es

posible anidar distintos tipos de integrantes en un grupo, dependiendo de sumbito. Con el nivel funcional Windows 2000 mixto, slo pueden anidarse

grupos de seguridad cuyo mbito sea global o de dominio local.

Los grupos de los dominios con nivel funcional Windows 2000 nativo y losgrupos de distribucin de los dominios con nivel funcional Windows 2000

mixto pueden tener los integrantes siguientes:

Grupo con este mbito: Puede tener los integrantes siguientes:

Universal Cuentas, cuentas de equipo, otros grupos con mbito

universal y grupos con mbito global de cualquier dominio

Global Cuentas del mismo dominio y otros grupos con mbito

global del mismo dominio.

Dominio local Cuentas, grupos con mbito universal y grupos con mbito

global de cualquier dominio. Este grupo tambin puede

tener como integrantes otros grupos con mbito local del

mismo dominio.

Introduccin

Diseo paraanidamiento mnimo

Las opciones deanidamiento dependendel nivel funcional dedominio

Nivel funcionalWindows 2000 nativo


40/85


Los grupos de seguridad de los dominios con el nivel funcional Windows 2000mixto estn restringidos a los tipos de pertenencia siguientes:

Grupo con este mbito: Puede tener los integrantes siguientes:

Global Slo cuentas

Dominio local Otros grupos con mbito global y cuentas

Los grupos de seguridad con mbito universal no pueden crearse en dominioscon nivel funcional Windows 2000 mixto, ya que el mbito universal slo escompatible con los dominios que tienen el nivel funcional Windows 2000

nativo o Windows Server 2003.

Nivel funcionalWindows 2000 mixto


41/85


Presentacin multimedia: Estrategia de utilizacin de los grupos enun nico dominio


Esta animacin explica la estrategia AGDLP para el uso de grupos. Para iniciarla presentacin, abrir el archivo media10_2.html que se puede encontrar dentro

del fichero media10.zip.

Para obtener ms informacin acerca de las estrategias de grupos, consulte el

apndice E: Estrategias de grupo.


42/85


Debate de la clase: Utilizar grupos en un nico dominio


Northwind Traders tiene un solo dominio ubicado en Pars, Francia.Los administradores de Northwind Traders necesitan tener acceso a la

base de datos de inventario para realizar su trabajo.

Qu puede hacer para garantizar que todos los administradores tengan acceso a

dicha base de datos?

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Ejemplo 1


43/85


Northwind Traders desea reaccionar con ms rapidez a las exigencias delmercado. Se ha determinado que los datos de contabilidad deben estar

disponibles para todo el personal del departamento de contabilidad. Northwind

Traders desea crear la estructura de grupos para toda la divisin decontabilidad, que incluye los departamentos de cuentas por pagar y cuentas porcobrar.

Qu hara para garantizar que los administradores tengan el acceso necesario y

que haya el mnimo trabajo de administracin?

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Ejemplo 2


44/85


Grupos predeterminados y grupos de sistema


Existen tres tipos de grupos predefinidos:

Grupos predeterminados en los servidores integrantes

Grupos predeterminados en Active Directory

Grupos de sistema

En los servidores integrantes, la carpeta Grupos se encuentra en la consolaUsuarios y grupos locales, que muestra todos los grupos locales integrados

predeterminados y todos los grupos locales creados posteriormente. Los gruposlocales predeterminados se crean automticamente al instalarWindows Server 2003. Los grupos locales pueden contener cuentas de usuario

locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.

En Active Directory, los grupos predeterminados son grupos de seguridad quese crean automticamente al instalar un dominio de Active Directory. Puede

utilizar estos grupos predefinidos para administrar los recursos compartidos ydelegar funciones administrativas especficas que afecten a todo el dominio.

Los grupos Operadores de cuentas y Operadores de servidor son ejemplos degrupos predeterminados que se instalan con Active Directory. Otros grupos son:

Controladores de dominio, Invitados de dominio y Administradores deorganizacin.

Los grupos predefinidos ayudan a controlar el acceso a los recursos

compartidos y delegar funciones administrativas especficas que afecten atodo el dominio. Muchos grupos predeterminados reciben automticamente

un conjunto de derechos de usuario que autoriza a sus integrantes a realizaracciones especficas en un dominio, como iniciar sesiones en un sistema local

o crear copias de seguridad de archivos y carpetas.

Introduccin

Grupospredeterminados en losservidores integrantes

Grupospredeterminados enActive Directory

Uso de los grupospredeterminados


45/85


Slo debe agregar un usuario a un grupo predeterminado si realmente deseaconcederle:

Todos los derechos de usuario asignados a ese grupo.

Todos los permisos asignados a ese grupo predeterminado para todos los

recursos compartidos asociados al mismo.

En caso contrario debe crear un nuevo grupo de seguridad y asignarle

nicamente los derechos de usuario o permisos que el usuario requiere.

Como recomendacin de seguridad, los integrantes de los grupos

predeterminados con amplio acceso administrativo no deben iniciar sesionesinteractivas con credenciales administrativas. En lugar de ello, los usuarios

que tengan este nivel de acceso deben iniciar la sesin con una cuenta noadministrativa y utilizar Ejecutar como.

Slo debe agregar a los grupos predeterminados los integrantesque requieran todos los derechos asociados a dichos grupos. Por ejemplo, si

tiene que agregar una cuenta de servicio para hacer copias de seguridad yrestaurar archivos en un servidor integrante, puede agregarla al grupo

Operadores de copia de seguridad. El grupo Operadores de copia de seguridadtiene los derechos de usuario necesarios para realizar copias de seguridad yrestaurar los archivos de un equipo.

Sin embargo, si la cuenta de servicio slo precisa hacer copias de seguridad delos archivos, pero no restaurarlos, es mejor crear un nuevo grupo. Puede asignara este grupo el derecho de usuario para crear copias de seguridad, pero no

asignarle el derecho de restaurar archivos.

Windows Server 2003 incluye varias identidades especiales denominadasgrupos de sistema. Los grupos de sistema representan a usuarios diferentes

en cada ocasin, en funcin de las circunstancias. Inicio de sesin annimo,Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que

conectan con otro equipo a travs de la red se asignan automticamente algrupo de sistema Red y reciben los permisos asignados a este grupo.

Aunque es posible conceder derechos de usuario y permisos a los grupos desistema, no es posible modificar ni ver sus integrantes.

Los mbitos de grupo no son aplicables a los grupos de sistema. Los usuarios seagregan automticamente a los grupos de sistema cuando inician una sesin o

tienen acceso a un recurso determinado.

Consideraciones deseguridad relativas a losgrupos predeterminados

Advertencia

Qu es un grupode sistema?


46/85


Debate de la clase: Uso de grupos predeterminados frente acreacin de nuevos grupos


Northwind Traders tiene ms de 100 servidores en todo el mundo. Usted asistea una reunin para discutir las tareas que deben realizar los administradores y

qu nivel de acceso mnimo requieren los usuarios para realizar tareasespecficas. Tambin debe determinar si puede utilizar grupos predeterminados

o si debe crear grupos, y asignarles derechos de usuario y permisos especficospara realizar las tareas.

Debe asignar grupos predeterminados o crear grupos nuevos para las tareas

siguientes. Indique el grupo que tiene los derechos de usuario ms restrictivospara realizar las acciones siguientes o determine si debe crear un grupo nuevo.

1. Crear copias de seguridad y restaurar controladores de dominio.

_____________________________________________________________

_____________________________________________________________

_____________________________________________________________

2. Crear copias de seguridad de servidores integrantes.

_____________________________________________________________

_____________________________________________________________

_____________________________________________________________

3. Crear grupos en la unidad organizativa NWTraders Groups.

_____________________________________________________________

_____________________________________________________________

_____________________________________________________________

Situacin de ejemplo

Explicacin


47/85


4. Iniciar sesiones en el dominio.

____________________________________________________________

____________________________________________________________

____________________________________________________________

5. Determinar quin precisa acceso de slo lectura a los servidores deProtocolo de configuracin dinmica de host (DHCP,Dynamic Host

Configuration Protocol).

____________________________________________________________

____________________________________________________________

____________________________________________________________

6. Determinar qu empleados del servicio de soporte tcnico requieren accesopara controlar el escritorio de forma remota.

____________________________________________________________

____________________________________________________________

____________________________________________________________

7. Determinar quin requiere acceso administrativo a todos los equipos de todoel dominio.

____________________________________________________________

____________________________________________________________

____________________________________________________________

8. Determinar quin requiere acceso a una carpeta compartida denominadaVentas en un servidor denominado LonSrv2.

____________________________________________________________

____________________________________________________________

____________________________________________________________


48/85


Leccin: Uso de permisos para controlar el acceso a losobjetos de Active Directory


En esta leccin se explica el funcionamiento de los permisos enActive Directory.


Utilizar la estructura de unidades organizativas para administrar objetos. Explicar qu son los permisos de objeto de Active Directory.

Describir las caractersticas de los permisos de objeto de Active Directory.

Describir la herencia de los permisos de objeto de Active Directory.

Describir los efectos de la modificacin de los objetos en la herencia de

permisos.

Modificar los permisos de objetos de Active Directory.

Explicar qu son los permisos efectivos de objetos de Active Directory.

Determinar los permisos efectivos de los objetos de Active Directory.

Introduccin



49/85


Presentacin multimedia: La estructura de unidades organizativas


Esta presentacin explica cmo utilizar las unidades organizativas para agruparobjetos y lograr una administracin ms efectiva. Tambin explica las dos

finalidades principales de una jerarqua de unidades organizativas. Para iniciarla presentacin, abrir el archivo media10_3.html que se puede encontrar dentro

del fichero media10.zip.


50/85


Qu son los permisos de objeto de Active Directory?


Los permisos de objeto de Active Directory proporcionan seguridad a losrecursos al permitir controlar qu administradores o usuarios tienen acceso

a objetos individuales o a sus atributos, as como el tipo de acceso permitido.Con los permisos es posible asignar privilegios administrativos para una unidad

organizativa o una jerarqua de unidades organizativas, y as administrar elacceso a la red. Tambin pueden utilizarse permisos para asignar privilegios

administrativos para un objeto especfico a un usuario o grupo determinado.

Los permisos estndar son los permisos que se conceden con ms frecuencia y

constan de un conjunto de permisos especiales. Los permisos especiales ofrecenun mayor grado de control para el tipo de acceso a los objetos que se puedeconceder. La tabla siguiente indica algunos de los permisos estndar.

Permiso Permite al usuario:

Control total Cambiar los permisos, tomar posesin y realizar las

tareas que permiten todos los dems permisos estndar.

Escribir Cambiar los atributos del objeto.

Leer Ver los objetos, atributos de objeto, el propietario del

objeto y los permisos de Active Directory.Crear todos los objetos

secundarios

Agregar cualquier tipo de objeto a una unidad

organizativa.

Eliminar todos los objetos

secundarios

Quitar cualquier tipo de objeto secundario de una unidad

organizativa.

Introduccin

Permisos estndary especiales


51/85


Para que los usuarios puedan tener acceso a un objeto, un administrador o elpropietario del objeto deben conceder permisos sobre el mismo. Para cada objeto

de Active Directory, la familia de sistemas operativos Windows 2003 Server

almacena una lista de permisos de acceso de los usuarios denominada lista decontrol de acceso discrecional (DACL,Discretionary Access Control List).La DACL de un objeto muestra quin puede tener acceso al objeto y las acciones

especficas que cada usuario puede realizar con el objeto.

Para obtener ms informacin acerca de los permisos en Active Directory,consulte el artculo Best practices for assigning permissions on Active

Directory objects (en ingls) enhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp.

Acceso autorizadopor los permisos

Lecturas adicionales


52/85


Caractersticas de los permisos de objeto de Active Directory


Aunque los permisos NTFS y los permisos de objeto de Active Directory sonsimilares, existen ciertas caractersticas especficas de los segundos. Los permisos

de objeto de Active Directory pueden concederse o denegarse, denegarseimplcita o explcitamente, establecerse como permisos estndar o especiales,

y establecerse en el nivel de objeto o heredarse desde el objeto principal.

Puede conceder o denegar permisos. Los permisos denegados tienen prioridad

sobre cualquier otro permiso que se conceda de otra forma a los grupos y lascuentas de usuario. Slo deben denegarse permisos cuando sea necesario quitar

un permiso concedido a un usuario a travs de su pertenencia a un grupo.

Los permisos pueden denegarse de forma implcita o explcita como sigue:

Cuando los permisos para realizar una operacin no se conceden

explcitamente, entonces se deniegan implcitamente.

Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto

usuario y no hay ningn otro principal de seguridad en la lista DACL de eseobjeto, se deniega implcitamente el acceso a los usuarios que no sean

integrantes del grupo Marketing. El sistema operativo no permite leer laspropiedades del objeto usuario a los usuarios que no sean integrantes del

grupo Marketing.

Un permiso se deniega explcitamente cuando se desea impedir que un

subconjunto de un grupo mayor realice una tarea para la que el resto del

grupo tiene permiso.

Por ejemplo, puede ser necesario impedir que un usuario denominado Donvea las propiedades de un objeto usuario. Sin embargo, Don es integrante

del grupo Marketing, que tiene permisos para ver las propiedades del objetousuario. Para evitar que Don pueda ver las propiedades del objeto usuario,

puede denegarle explcitamente el permiso Leer.

Introduccin

Conceder y denegarpermisos

Permisos implcitoso explcitos


53/85


La mayora de las tareas con objetos de Active Directory pueden configurarse atravs de los permisos estndar. Estos permisos son los de uso ms habitual; sin

embargo, si es necesario conceder permisos ms detallados, puede utilizar

permisos especiales.

Cuando se establecen permisos en un objeto principal, los nuevos objetos

heredan sus permisos. Es posible quitar los permisos heredados, pero tambinpueden volver a habilitarse si se desea.

Permisos estndary especiales

Permisos heredados


54/85


Herencia de permisos


Un objeto principal es cualquier objeto que tenga una relacin con otro objetodenominado secundario. El objeto secundario hereda los permisos del objeto

principal. La herencia de permisos de Active Directory reduce al mnimo elnmero de veces que se necesita conceder permisos para los objetos.

La herencia de permisos en Windows Server 2003 simplifica la tarea deadministrar los permisos en los aspectos siguientes:

No es necesario aplicar permisos manualmente a los objetos secundarios en

el momento de crearlos.

Los permisos aplicados a un objeto principal se aplican de forma coherente

a todos los objetos secundarios.

Cuando se deben modificar los permisos de todos los objetos de un

contenedor, slo es necesario modificar los del objeto principal. Los objetos

secundarios heredan los cambios automticamente.

Qu es la herenciade permisos?

Ventajas


55/85


Efectos de modificar los objetos en la herencia de permisos


La modificacin de los objetos de Active Directory afecta a la herencia depermisos. Como administrador de sistemas, se le pedir que mueva objetos

de una unidad organizativa a otra en Active Directory cuando las funcionesorganizativas o administrativas cambien. Al hacerlo, los permisos heredados

tambin cambian. Es esencial que tenga presente estas consecuencias antes demodificar los objetos de Active Directory.

Cuando se mueven objetos entre unidades organizativas, se aplican lascondiciones siguientes:

Los permisos establecidos explcitamente se mantienen.

Los objetos heredan los permisos de la unidad organizativa a la que se les

mueve.

Los objetos dejan de heredar los permisos de la unidad organizativa de la

que provienen.

Cuando se modifican objetos de Active Directory, es posible mover

mltiples objetos al mismo tiempo.

Introduccin

Efectos de moverobjetos

Nota


56/85


Es posible impedir la herencia de permisos de forma que un objeto secundariono herede los permisos de su objeto primario. Cuando se impide la herencia,

slo se aplican los permisos establecidos explcitamente.

Cuando se impide la herencia de permisos, la familia de sistemas operativosWindows Server 2003 permite:

Copiar los permisos heredados al objeto. Los nuevos permisos se convierten

en permisos explcitos para el objeto. Se trata de una copia de los permisos

que el objeto hered previamente de su objeto principal. Despus de copiarlos permisos heredados, puede hacer en ellos los cambios necesarios.

Quitar los permisos heredados del objeto. Al quitar estos permisos, se

eliminan todos los permisos del objeto. Despus puede conceder cualquier

permiso nuevo que desee para el objeto.

Impedir la herenciade permisos

8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de

10.- Creacion y Admin is Trac Ion de Objetos de Active Directory

Documents

Transcript of 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory