Material de apoyo para la configuración de ibjeos en...

Material de apoyo para la configuración de ibjeos en Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Como administrador de sistemas, no es su función elegir el diseño estructural de Active Directory para su organización. Sin embargo, es importante que conozca las características y ramificaciones de cada estructura. Este conocimiento puede ser crucial a la hora de realizar tareas de administración de sistemas en la estructura de Active Directory. En este tema se describen los cuatro diseños jerárquicos básicos.

La jerarquía basada en la función considera sólo las funciones de negocio de la organización, sin importar la ubicación geográfica o los límites de los departamentos o divisiones. Elija esta alternativa sólo cuando la función de tecnología de la información no se base en la ubicación o la organización.

Cuando necesite decidir si la estructura de Active Directory debe organizarse por función, considere las características siguientes de los diseños basados en funciones:

No se ven afectados por las reorganizaciones. Una jerarquía basada en la función no se ve afectada por las reestructuraciones corporativas u organizativas.

Pueden requerir niveles adicionales. Cuando se utiliza esta estructura, puede ser necesario crear niveles adicionales en la jerarquía de unidades organizativas para acomodar la administración de usuarios, impresoras, servidores y otros recursos de red.

Pueden afectar a la replicación. Las estructuras empleadas para crear los dominios pueden no ser las mejores para un uso eficiente de la red, ya que el contexto de nombres de dominio puede replicarse entre una o más áreas de bajo ancho de banda.

Esta estructura sólo es adecuada en organizaciones pequeñas porque los departamentos funcionales de las organizaciones medianas y grandes son a menudo muy diversos y no pueden agruparse en grandes categorías.

Introducción

Jerarquía basada en la función

Creación y administración de objetos de Active Directory 5

La jerarquía basada en la organización considera los departamentos o divisiones de la organización. Si la estructura de Active Directory se ha creado para reflejar la estructura organizativa, puede ser difícil delegar la autoridad administrativa, ya que los objetos de Active Directory, como las impresoras y recursos compartidos de archivo pueden no estar agrupados de modo que faciliten la delegación de dicha autoridad. Dado que los usuarios nunca ven la estructura de Active Directory, el diseño debe acomodarse al administrador, no al usuario.

Si la organización está centralizada y la administración de la red está distribuida geográficamente, es recomendable utilizar una jerarquía basada en la ubicación. Por ejemplo, puede decidir crear unidades organizativas para Providence, Boston y Hartford en el mismo dominio, por ejemplo contoso.msft.

Una jerarquía de unidad organizativa o dominio basada en la ubicación tiene las características siguientes:

No se ve afectada por las reorganizaciones. Aunque las divisiones y departamentos pueden cambiar con frecuencia, en la mayoría de las organizaciones la ubicación no suele cambiar.

Se adapta a fusiones y expansiones. Si una organización se fusiona o adquiere otra compañía, resulta sencillo integrar las nuevas ubicaciones en la estructura jerárquica existente de unidades organizativas y dominios.

Aprovecha la capacidad de la red. Normalmente, la topología de la red física de una organización se corresponde con una jerarquía basada en la ubicación. Si se crean dominios con una jerarquía basada en la ubicación, es posible aprovechar las áreas donde la red tiene mayor ancho de banda y limitar la cantidad de datos que se replican entre áreas con bajo ancho de banda.

Puede comprometer la seguridad. Si una ubicación consta de múltiples divisiones o departamentos, un individuo o grupo con autoridad administrativa sobre ese dominio o sobre las unidades organizativas puede tener también autoridad sobre los dominios o unidades organizativas secundarios.

Una jerarquía basada primero en la ubicación y después en la organización, o en cualquier otra combinación de estructuras, se denomina jerarquía híbrida. La jerarquía híbrida combina las ventajas de los distintos tipos para satisfacer los requisitos de la organización. Este tipo de jerarquía tiene las características siguientes:

Se adapta al crecimiento geográfico o de los diferentes departamentos o divisiones.

Crea límites de administración definidos en función de los departamentos o divisiones.

Requiere la cooperación entre los administradores para asegurar la finalización de las tareas administrativas cuando atañen a la misma ubicación pero a distintas divisiones o departamentos.

Jerarquía basada en la organización

Jerarquía basada en la ubicación

Jerarquía híbrida

Nombres asociados a las unidades organizativas


Las referencias a objetos específicos de Active Directory pueden hacerse mediante distintos tipos de nombres que describen su ubicación. Active Directory crea un nombre completo relativo, un nombre completo y un nombre canónico para cada objeto, en función de la información suministrada por el administrador en el momento de crear o modificar el objeto.

El nombre completo relativo LDAP (Lightweight Directory Access Protocol, Protocolo ligero de acceso a directorio) identifica de forma única al objeto en su contenedor principal. Por ejemplo, el nombre completo relativo LDAP de una unidad organizativa denominada MiUnidadOrganizativa es OU=MiUnidadOrganizativa. Los nombres completos relativos deben ser únicos dentro de la unidad organizativa. Es importante entender la sintaxis del nombre completo relativo LDAP cuando se utilizan secuencias de comandos para consultar y administrar Active Directory.

A diferencia del nombre completo relativo LDAP, el nombre completo LDAP es único globalmente. Un ejemplo de nombre completo LDAP único de una unidad organizativa denominada MiUnidadOrganizativa en el dominio microsoft.com es OU=MiUnidadOrganizativa, DC=microsoft, DC=com. Los administradores de sistemas sólo utilizan el nombre completo relativo LDAP y el nombre completo LDAP cuando escriben secuencias de comandos administrativas o durante la administración en la línea de comandos.

La sintaxis del nombre canónico se construye de la misma forma que la del nombre completo LDAP, pero se representa con una notación distinta. El nombre canónico de la unidad organizativa denominada MiUnidadOrganizativa en el dominio microsoft.com es Microsoft.com/MiUnidadOrganizativa. Los administradores usan los nombres canónicos en algunas herramientas administrativas. El nombre canónico se utiliza para representar una jerarquía en las herramientas administrativas.

Introducción

Nombre completo relativo LDAP

Nombre completo LDAP

Nombre canónico

Cómo y dónde crear cuentas de equipo en un dominio


Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir la unidad organizativa en la que desea crearla. Si un equipo se une a un dominio, la cuenta de equipo se crea en el contenedor Equipos y el administrador puede moverla a la unidad organizativa correspondiente si es necesario.

De forma predeterminada, los usuarios de Active Directory pueden agregar hasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta configuración predeterminada puede cambiarse. Si el administrador de sistemas agrega una cuenta de equipo directamente a Active Directory, un usuario podrá agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipo asignadas.

La operación de agregar un equipo al dominio mediante una cuenta creada anteriormente se denomina ensayo previo y significa que los equipos pueden agregarse a cualquier unidad organizativa en la que el administrador de sistemas tenga permiso para agregar cuentas de equipo. Normalmente, los usuarios no tienen los permisos necesarios para el ensayo previo de una cuenta de equipo, de modo que como alternativa pueden unir un equipo al dominio mediante una cuenta ensayada previamente.

Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agrega al contenedor Equipos de Active Directory. Esto tiene lugar a través de un servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta de sistema también registra el número de equipos que cada usuario ha agregado al dominio. De forma predeterminada, cualquier usuario autenticado tiene permiso para agregar estaciones de trabajo a un dominio y puede crear hasta diez cuentas de equipo en el dominio.

Para obtener más información acerca de cómo los usuarios pueden agregar cuentas de equipo a un dominio, consulte el artículo de Microsoft Knowledge Base 251335, “Los usuarios de un dominio no pueden unir la estación de trabajo o el servidor a un dominio”, en la dirección http://support.microsoft.com/default.aspx?scid=kb;es;251335.

Introducción

Los administradores determinan la ubicación de las cuentas de equipo

Cuentas de equipo ensayadas previamente

Los usuarios crean cuentas de equipo

Lecturas adicionales

cuentas de equipo


Después de finalizar este ejercicio, podrá:

Crear unidades organizativas.

Crear cuentas de usuario y de equipo.

Mover cuentas de usuario y de equipo a una nueva unidad organizativa.

Habilitar cuentas de usuario.

Debe haber iniciado sesión con una cuenta (por ejemplo, NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

Como administrador de sistemas de Northwind Traders, se le ha asignado la tarea de crear una jerarquía de unidad organizativa ideada por el grupo de diseño de Northwind Traders. El diseño de la jerarquía de unidad organizativa se basará en la ubicación y separará los equipos portátiles de los equipos de escritorio. Usted creará una jerarquía de unidades organizativas en la unidad organizativa de su ciudad para separar los tipos de equipos.

La siguiente es una representación gráfica de lo que debe crear en el dominio NWTraders. Las unidades organizativas Locations y NombreDeEquipo ya han sido creadas.

Objetivos

Instrucciones

Situación de ejemplo

¿Qué son los grupos?


Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Los grupos pueden basarse en un dominio y estar almacenados en Active Directory, o ser locales en un equipo determinado.

Los grupos facilitan la administración al permitir conceder permisos sobre recursos a todo un grupo de una vez, en lugar de concederlos a cuentas de usuarios individuales.

Existen dos tipos básicos de grupos:

Grupos de seguridad

Los grupos de seguridad se utilizan para asignar derechos de usuario y permisos a los grupos de usuarios y equipos. Los derechos determinan qué pueden hacer los integrantes de un grupo de seguridad en un dominio o bosque, y los permisos determinan a qué recursos de la red tienen acceso los integrantes del grupo.

También peden utilizarse grupos de seguridad para enviar mensajes de correo electrónico a múltiples usuarios. Cuando se envía un mensaje de correo electrónico al grupo, se envía a cada uno de sus integrantes. Por ello, los grupos de seguridad tienen toda la funcionalidad de los grupos de distribución.

Definición

Ventajas del uso de grupos

Tipos de grupos

Grupos de distribución

Los grupos de distribución se utilizan con aplicaciones de correo electrónico, como Microsoft Exchange, para enviar mensajes de correo electrónico a conjuntos de usuarios. El propósito principal de este tipo de grupo es reunir objetos relacionados, no conceder permisos.

Los grupos de distribución no tienen habilitada la seguridad; es decir, no pueden utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos compartidos, debe crear un grupo de seguridad.

Aunque los grupos de seguridad tienen toda la funcionalidad de los grupos de distribución, éstos siguen siendo necesarios, ya que algunas aplicaciones sólo pueden utilizar grupos de distribución.

Tanto los grupos de distribución como los de seguridad admiten uno de los tres ámbitos de grupo.

El ámbito del grupo determina si el grupo abarca múltiples dominios o se limita a un solo dominio.

El ámbito de grupo determina:

Los dominios desde los que se puede agregar integrantes al grupo.

Los dominios en los que puede utilizarse el grupo para conceder permisos.

Los dominios en los que puede anidarse el grupo dentro de otros grupos.

Un grupo de seguridad o de distribución puede tener uno de tres ámbitos posibles: global, universal o de dominio local. El contenido del grupo determina el tipo de ámbito que se le puede aplicar. Cada tipo de ámbito tiene un propósito diferente.

El ámbito de los grupos se explica en la tabla siguiente.

Ámbito Contenido posible Descripción Global Usuarios, grupos y equipos del

mismo dominio que el grupo global

Un grupo de seguridad global asigna derechos de usuario y permisos sobre los recursos de cualquier dominio del bosque.

Universal Usuarios, grupos y equipos de cualquier dominio del bosque

Un grupo de seguridad universal asigna derechos de usuario y permisos para los recursos de cualquier dominio del bosque.

Dominio local Grupos con ámbito global, grupos con ámbito universal, cuentas, otros grupos con ámbito de dominio local o una mezcla de los anteriores

Un grupo de seguridad de dominio local sólo puede recibir derechos y permisos para recursos que residan en el mismo dominio en el que se encuentra.

Ámbito de grupo

Cómo decidir el tipo y el ámbito de un grupo


Una ventaja de utilizar el ámbito global es que las cuentas de un grupo que tiene ámbito global pueden modificarse frecuentemente sin generar tráfico de replicación en el catálogo global. Esta ventaja proviene del hecho de que los grupos globales no se replican fuera de su propio dominio.

Los grupos con ámbito global pueden utilizarse para administrar objetos de directorio que requieran mantenimiento diario, como las cuentas de usuario y de equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuarios que comparten las mismas tareas y tienen requisitos de acceso a la red similares.

Observe las siguientes limitaciones del uso del ámbito global:

Un dominio de Windows Server 2003 debe estar en modo Windows 2000 nativo o superior para poder utilizar grupos universales.

Debido a que los grupos globales tienen visibilidad en todo el bosque, no deben crearse para el acceso a recursos específicos del dominio.

Los grupos con ámbito universal pueden utilizarse para consolidar grupos que abarcan más de un dominio. Para ello, agregue las cuentas a grupos con ámbito global y anide estos grupos en otros que tengan ámbito universal. Con esta estrategia, los cambios en la pertenencia a los grupos con ámbito global no afectarán a los grupos con ámbito universal.

Por ejemplo, en una red con dos dominios, North y South, y un grupo denominado GLAccounting que tenga ámbito global en ambos dominios, puede crear un grupo con ámbito universal denominado UAccounting, que tenga como integrantes los dos grupos GLAccounting, North\GLAccounting y South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugar de la organización. Los cambios en la pertenencia a los grupos individuales GLAccounting no provocarán la replicación del grupo UAccounting.

Cuándo utilizar un ámbito global

Limitaciones del uso del ámbito global

Cuándo utilizar un ámbito universal

La pertenencia a un grupo con ámbito universal no debe cambiar con frecuencia, ya que tales cambios provocan que se replique toda la información de pertenencia del grupo en todos los catálogos globales del bosque.

Los grupos con ámbito de dominio local ayudan a definir y administrar el acceso a los recursos de un solo dominio.

Es posible asignar permisos para los recursos ubicados en el mismo dominio que el grupo local. Puede colocar todos los grupos globales que deban compartir los mismos recursos en el grupo de dominio local adecuado.

Puede asignar permisos para recursos ubicados en el equipo en el que se ha creado el grupo local. Cree grupos locales para limitar la capacidad de acceso de los usuarios y grupos locales a los recursos de la red cuando no desee crear grupos de dominio.

Es importante distinguir entre un grupo de dominio local y un grupo local. Un grupo de dominio local es un grupo de seguridad o de distribución que puede contener grupos universales, grupos globales, otros grupos de dominio local de su propio dominio y cuentas de cualquier dominio del bosque. Un grupo local es un conjunto de cuentas de usuario o grupos de dominio creado en un servidor integrante o en un servidor independiente.

Limitaciones del uso del ámbito universal

Cuándo utilizar el ámbito de dominio local

Cuándo utilizar un grupo local

Nota

¿Qué es el anidamiento de grupos?


El anidamiento permite agregar un grupo como integrante de otro grupo. Los grupos se anidan para consolidar las cuentas integrantes y reducir el tráfico de replicación.

El diseño de la red debe reducir el anidamiento a sólo un nivel. Un solo nivel de anidamiento es lo más efectivo, ya que el seguimiento de los permisos se hace más complejo cuando existen varios niveles. Asimismo la solución de problemas es más difícil cuando hay que trazar los permisos a lo largo de múltiplos niveles de anidamiento. Por ello debe documentar la pertenencia a grupos para hacer un seguimiento de los permisos.

Las opciones de anidamiento no son las mismas si el nivel funcional de dominio de Windows Server 2003 se ha establecido como Windows 2000 nativo o Windows 2000 mixto. Con el nivel funcional Windows 2000 nativo es posible anidar distintos tipos de integrantes en un grupo, dependiendo de su ámbito. Con el nivel funcional Windows 2000 mixto, sólo pueden anidarse grupos de seguridad cuyo ámbito sea global o de dominio local.

Los grupos de los dominios con nivel funcional Windows 2000 nativo y los grupos de distribución de los dominios con nivel funcional Windows 2000 mixto pueden tener los integrantes siguientes:

Grupo con este ámbito: Puede tener los integrantes siguientes: Universal Cuentas, cuentas de equipo, otros grupos con ámbito

universal y grupos con ámbito global de cualquier dominio

Global Cuentas del mismo dominio y otros grupos con ámbito global del mismo dominio.

Dominio local Cuentas, grupos con ámbito universal y grupos con ámbito global de cualquier dominio. Este grupo también puede tener como integrantes otros grupos con ámbito local del mismo dominio.

Introducción

Diseño para anidamiento mínimo

Las opciones de anidamiento dependen del nivel funcional de dominio

Nivel funcional Windows 2000 nativo

Los grupos de seguridad de los dominios con el nivel funcional Windows 2000 mixto están restringidos a los tipos de pertenencia siguientes:

Grupo con este ámbito: Puede tener los integrantes siguientes: Global Sólo cuentas

Dominio local Otros grupos con ámbito global y cuentas

Los grupos de seguridad con ámbito universal no pueden crearse en dominios con nivel funcional Windows 2000 mixto, ya que el ámbito universal sólo es compatible con los dominios que tienen el nivel funcional Windows 2000 nativo o Windows Server 2003.

Nivel funcional Windows 2000 mixto

Grupos predeterminados y grupos de sistema


Existen tres tipos de grupos predefinidos:

Grupos predeterminados en los servidores integrantes

Grupos predeterminados en Active Directory

Grupos de sistema

En los servidores integrantes, la carpeta Grupos se encuentra en la consola Usuarios y grupos locales, que muestra todos los grupos locales integrados predeterminados y todos los grupos locales creados posteriormente. Los grupos locales predeterminados se crean automáticamente al instalar Windows Server 2003. Los grupos locales pueden contener cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.

En Active Directory, los grupos predeterminados son grupos de seguridad que se crean automáticamente al instalar un dominio de Active Directory. Puede utilizar estos grupos predefinidos para administrar los recursos compartidos y delegar funciones administrativas específicas que afecten a todo el dominio. Los grupos Operadores de cuentas y Operadores de servidor son ejemplos de grupos predeterminados que se instalan con Active Directory. Otros grupos son: Controladores de dominio, Invitados de dominio y Administradores de organización.

Los grupos predefinidos ayudan a controlar el acceso a los recursos compartidos y delegar funciones administrativas específicas que afecten a todo el dominio. Muchos grupos predeterminados reciben automáticamente un conjunto de derechos de usuario que autoriza a sus integrantes a realizar acciones específicas en un dominio, como iniciar sesiones en un sistema local o crear copias de seguridad de archivos y carpetas.

Introducción

Grupos predeterminados en los servidores integrantes

Grupos predeterminados en Active Directory

Uso de los grupos predeterminados

Sólo debe agregar un usuario a un grupo predeterminado si realmente desea concederle:

Todos los derechos de usuario asignados a ese grupo.

Todos los permisos asignados a ese grupo predeterminado para todos los recursos compartidos asociados al mismo.

En caso contrario debe crear un nuevo grupo de seguridad y asignarle únicamente los derechos de usuario o permisos que el usuario requiere.

Como recomendación de seguridad, los integrantes de los grupos predeterminados con amplio acceso administrativo no deben iniciar sesiones interactivas con credenciales administrativas. En lugar de ello, los usuarios que tengan este nivel de acceso deben iniciar la sesión con una cuenta no administrativa y utilizar Ejecutar como.

Sólo debe agregar a los grupos predeterminados los integrantes que requieran todos los derechos asociados a dichos grupos. Por ejemplo, si tiene que agregar una cuenta de servicio para hacer copias de seguridad y restaurar archivos en un servidor integrante, puede agregarla al grupo Operadores de copia de seguridad. El grupo Operadores de copia de seguridad tiene los derechos de usuario necesarios para realizar copias de seguridad y restaurar los archivos de un equipo.

Sin embargo, si la cuenta de servicio sólo precisa hacer copias de seguridad de los archivos, pero no restaurarlos, es mejor crear un nuevo grupo. Puede asignar a este grupo el derecho de usuario para crear copias de seguridad, pero no asignarle el derecho de restaurar archivos.

Windows Server 2003 incluye varias identidades especiales denominadas grupos de sistema. Los grupos de sistema representan a usuarios diferentes en cada ocasión, en función de las circunstancias. Inicio de sesión anónimo, Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que conectan con otro equipo a través de la red se asignan automáticamente al grupo de sistema Red y reciben los permisos asignados a este grupo.

Aunque es posible conceder derechos de usuario y permisos a los grupos de sistema, no es posible modificar ni ver sus integrantes.

Los ámbitos de grupo no son aplicables a los grupos de sistema. Los usuarios se agregan automáticamente a los grupos de sistema cuando inician una sesión o tienen acceso a un recurso determinado.

Consideraciones de seguridad relativas a los grupos predeterminados

Advertencia

¿Qué es un grupo de sistema?

¿Qué son los permisos de objeto de Active Directory?


Los permisos de objeto de Active Directory proporcionan seguridad a los recursos al permitir controlar qué administradores o usuarios tienen acceso a objetos individuales o a sus atributos, así como el tipo de acceso permitido. Con los permisos es posible asignar privilegios administrativos para una unidad organizativa o una jerarquía de unidades organizativas, y así administrar el acceso a la red. También pueden utilizarse permisos para asignar privilegios administrativos para un objeto específico a un usuario o grupo determinado.

Los permisos estándar son los permisos que se conceden con más frecuencia y constan de un conjunto de permisos especiales. Los permisos especiales ofrecen un mayor grado de control para el tipo de acceso a los objetos que se puede conceder. La tabla siguiente indica algunos de los permisos estándar.

Permiso Permite al usuario: Control total Cambiar los permisos, tomar posesión y realizar las

tareas que permiten todos los demás permisos estándar.

Escribir Cambiar los atributos del objeto.

Leer Ver los objetos, atributos de objeto, el propietario del objeto y los permisos de Active Directory.

Crear todos los objetos secundarios

Agregar cualquier tipo de objeto a una unidad organizativa.

Eliminar todos los objetos secundarios

Quitar cualquier tipo de objeto secundario de una unidad organizativa.

Introducción

Permisos estándar y especiales

Para que los usuarios puedan tener acceso a un objeto, un administrador o el propietario del objeto deben conceder permisos sobre el mismo. Para cada objeto de Active Directory, la familia de sistemas operativos Windows 2003 Server almacena una lista de permisos de acceso de los usuarios denominada lista de control de acceso discrecional (DACL, Discretionary Access Control List). La DACL de un objeto muestra quién puede tener acceso al objeto y las acciones específicas que cada usuario puede realizar con el objeto.

Acceso autorizado por los permisos


Aunque los permisos NTFS y los permisos de objeto de Active Directory son similares, existen ciertas características específicas de los segundos. Los permisos de objeto de Active Directory pueden concederse o denegarse, denegarse implícita o explícitamente, establecerse como permisos estándar o especiales, y establecerse en el nivel de objeto o heredarse desde el objeto principal.

Puede conceder o denegar permisos. Los permisos denegados tienen prioridad sobre cualquier otro permiso que se conceda de otra forma a los grupos y las cuentas de usuario. Sólo deben denegarse permisos cuando sea necesario quitar un permiso concedido a un usuario a través de su pertenencia a un grupo.

Los permisos pueden denegarse de forma implícita o explícita como sigue:

Cuando los permisos para realizar una operación no se conceden explícitamente, entonces se deniegan implícitamente.

Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto usuario y no hay ningún otro principal de seguridad en la lista DACL de ese objeto, se deniega implícitamente el acceso a los usuarios que no sean integrantes del grupo Marketing. El sistema operativo no permite leer las propiedades del objeto usuario a los usuarios que no sean integrantes del grupo Marketing.

Un permiso se deniega explícitamente cuando se desea impedir que un subconjunto de un grupo mayor realice una tarea para la que el resto del grupo tiene permiso.

Por ejemplo, puede ser necesario impedir que un usuario denominado Don vea las propiedades de un objeto usuario. Sin embargo, Don es integrante del grupo Marketing, que tiene permisos para ver las propiedades del objeto usuario. Para evitar que Don pueda ver las propiedades del objeto usuario, puede denegarle explícitamente el permiso Leer.

Introducción

Conceder y denegar permisos

Permisos implícitos o explícitos

La mayoría de las tareas con objetos de Active Directory pueden configurarse a través de los permisos estándar. Estos permisos son los de uso más habitual; sin embargo, si es necesario conceder permisos más detallados, puede utilizar permisos especiales.

Cuando se establecen permisos en un objeto principal, los nuevos objetos heredan sus permisos. Es posible quitar los permisos heredados, pero también pueden volver a habilitarse si se desea.

Permisos estándar y especiales

Permisos heredados

Herencia de permisos


Un objeto principal es cualquier objeto que tenga una relación con otro objeto denominado secundario. El objeto secundario hereda los permisos del objeto principal. La herencia de permisos de Active Directory reduce al mínimo el número de veces que se necesita conceder permisos para los objetos.

La herencia de permisos en Windows Server 2003 simplifica la tarea de administrar los permisos en los aspectos siguientes:

No es necesario aplicar permisos manualmente a los objetos secundarios en el momento de crearlos.

Los permisos aplicados a un objeto principal se aplican de forma coherente a todos los objetos secundarios.

Cuando se deben modificar los permisos de todos los objetos de un contenedor, sólo es necesario modificar los del objeto principal. Los objetos secundarios heredan los cambios automáticamente.

¿Qué es la herencia de permisos?

Ventajas

Efectos de modificar los objetos en la herencia de permisos


La modificación de los objetos de Active Directory afecta a la herencia de permisos. Como administrador de sistemas, se le pedirá que mueva objetos de una unidad organizativa a otra en Active Directory cuando las funciones organizativas o administrativas cambien. Al hacerlo, los permisos heredados también cambian. Es esencial que tenga presente estas consecuencias antes de modificar los objetos de Active Directory.

Cuando se mueven objetos entre unidades organizativas, se aplican las condiciones siguientes:

Los permisos establecidos explícitamente se mantienen.

Los objetos heredan los permisos de la unidad organizativa a la que se les mueve.

Los objetos dejan de heredar los permisos de la unidad organizativa de la que provienen.

Cuando se modifican objetos de Active Directory, es posible mover múltiples objetos al mismo tiempo.

Introducción

Efectos de mover objetos

Nota

Es posible impedir la herencia de permisos de forma que un objeto secundario no herede los permisos de su objeto primario. Cuando se impide la herencia, sólo se aplican los permisos establecidos explícitamente.

Cuando se impide la herencia de permisos, la familia de sistemas operativos Windows Server 2003 permite:

Copiar los permisos heredados al objeto. Los nuevos permisos se convierten en permisos explícitos para el objeto. Se trata de una copia de los permisos que el objeto heredó previamente de su objeto principal. Después de copiar los permisos heredados, puede hacer en ellos los cambios necesarios.

Quitar los permisos heredados del objeto. Al quitar estos permisos, se eliminan todos los permisos del objeto. Después puede conceder cualquier permiso nuevo que desee para el objeto.

Impedir la herencia de permisos

Delegación del control de una unidad organizativa


La delegación del control es la capacidad de asignar la responsabilidad de administrar objetos de Active Directory a otro usuario, grupo u organización. Con la delegación del control puede eliminarse la necesidad de mantener múltiples cuentas administrativas con amplia autoridad.

Es posible delegar los tipos de control siguientes:

Permisos para crear o modificar objetos de una unidad organizativa específica.

Permisos para modificar atributos específicos de un objeto, como conceder el permiso para restablecer contraseñas en una cuenta de usuario.

La delegación del control de objetos de Active Directory simplifica el trabajo administrativo de la red gracias a la distribución de las tareas administrativas rutinarias entre múltiples usuarios. Con la administración delegada, es posible asignar tareas administrativas básicas a usuarios o grupos normales, y asignar tareas administrativas que afecten a todo el dominio o a todo el bosque a usuarios de confianza de los grupos Administradores del dominio y Administradores de organización.

La delegación de la administración ofrece a los grupos de la organización un mayor control sobre sus recursos de red locales. También ayuda a proteger la red frente a daños accidentales o provocados al limitar la pertenencia a grupos de administradores.

La delegación del control administrativo se define de las siguientes tres formas:

Cambiar las propiedades de un contenedor particular.

Crear y eliminar objetos de un tipo determinado bajo una unidad organizativa, como usuarios, grupos o impresoras.

Actualizar propiedades específicas en objetos de un tipo específico dentro de una unidad organizativa. Por ejemplo, puede delegar el permiso para establecer una contraseña en un objeto usuario o en todos los objetos de una unidad organizativa.

Definición

Motivos para delegar el control administrativo

Formas de definir la delegación del control administrativo

Asistente para delegación de control


El Asistente para delegación de control permite seleccionar el usuario o grupo en el que se desea delegar el control. Este asistente también puede utilizarse para conceder a los usuarios permisos para controlar unidades organizativas y objetos, y para tener acceso a objetos y modificarlos.

Puede utilizar el Asistente para delegación de control con el fin de conceder permisos en el nivel de unidad organizativa. Los permisos adicionales específicos se conceden manualmente en el nivel de objeto.

En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en las unidades organizativas para las que desea delegar el control y, después, haga clic en Delegar control para iniciar el asistente. También puede seleccionar la unidad organizativa y, a continuación, hacer clic en Delegar control en el menú Acción.

Introducción

Delegación de permisos

En la tabla siguiente se describen las opciones del Asistente para delegación de control.

Opción Descripción Usuarios o grupos Las cuentas de usuario o los grupos en los que desea

delegar el control.

Tareas para delegar Una lista de las tareas comunes o la opción para personalizar una tarea. Si selecciona una tarea común, el asistente resume las selecciones que ha realizado para completar el proceso de delegación. Cuando selecciona personalizar una tarea, el asistente muestra los tipos de objetos y permisos de Active Directory que puede elegir.

Tipo de objeto de Active Directory

Todos los objetos o sólo los tipos de objeto específicos de la unidad organizativa indicada.

Permisos Los permisos que se van a conceder para el objeto u objetos.

El Asistente para delegación de control puede anexar permisos a una unidad organizativa si se ejecuta más de una vez. Sin embargo, los permisos delegados deben quitarse manualmente.

Opciones

Nota

¿Por qué asignar un administrador a un grupo?


En Windows Server 2003, Active Directory permite asignar un administrador a un grupo como propiedad del grupo. Esto permite:

Determinar quién es el responsable de cada grupo.

Delegar en el administrador del grupo la autoridad para agregar y quitar usuarios del grupo.

Debido a que en las grandes organizaciones se agregan y quitan usuarios de grupos con mucha frecuencia, algunas optan por distribuir la responsabilidad administrativa de agregar usuarios a los grupos a quienes solicitan el grupo.

Si se establece quién es el administrador del grupo, la información de contacto de esa cuenta de usuario queda registrada. Si en alguna ocasión es necesario migrar el grupo a otro dominio o eliminarlo, el administrador de la red tendrá un registro de quién es el propietario del grupo y su información de contacto. De este modo, el administrador de la red podrá llamar o enviar un mensaje de correo electrónico al administrador del grupo para notificarle el cambio que debe realizar.

Ventajas de asignar un administrador a un grupo


Una parte del trabajo del administrador de sistemas es mantener la estructura de Active Directory cuando cambian las necesidades del negocio.

La necesidad de mover objetos de Active Directory suele ser la consecuencia de un cambio en las necesidades de negocio. Por ejemplo, puede ser necesario mover objetos como respuesta a las situaciones siguientes:

Cambio en la estructura del personal de una unidad de negocio, por ejemplo cuando un empleado pasa de un departamento a otro.

Separación o fusión de una unidad de negocio con otra.

Traslado de una unidad de negocio de una ubicación física a otra.

Cambio de la ubicación de una unidad de negocio.

Algunos recursos, tales como servidores o impresoras, se redistribuyen entre las unidades de negocio.

Los elementos siguientes pueden moverse dentro de la estructura de Active Directory:

Cuenta de usuario

Cuenta de contacto

Grupo

Carpeta compartida

Impresora

Equipo

Controlador de dominio

Unidad organizativa

Introducción

Razones para mover elementos de Active Directory

Elementos de Active Directory que pueden moverse

Material de apoyo para la configuración de ibjeos en...

Documents

Transcript of Material de apoyo para la configuración de ibjeos en...