Unidad 7: Administración de objetos de Active Directory.
10
u n i d a d 7 © MACMILLAN Profesional Administración de objetos de Administración de objetos de Active Directory Active Directory u n i d a d 7
-
Upload
carmenrico14 -
Category
Education
-
view
114 -
download
0
Transcript of Unidad 7: Administración de objetos de Active Directory.
u n i d a d 7
© MACMILLAN Profesional
Administración de objetos de Administración de objetos de Active DirectoryActive Directory
u n i d a d
7
u n i d a d 7
© MACMILLAN Profesional
Unidades organizativas
Active Directory es una base de datos jerárquica y distribuida orientada a objetos. Almacena los objetos que la red necesita para la gestión de sus recursos. Para organizar los objetos del dominio existen unos contenedores llamados unidades organizativas que facilitan su administración. En su interior puede haber objetos como usuarios, grupos, equipos e impresoras, así como otras unidades organizativas.
Una de las diferencias respecto a las carpetas es que los objetos que están dentro de las unidades organizativas pueden ser movidos a otras unidades organizativas, pero nunca pueden copiarse, ya que son únicos.
Las unidades organizativas son muy prácticas porque evitan la necesidad de crear subdominios para cada departamento o sección.
u n i d a d 7
© MACMILLAN Profesional
Administración de usuarios en Active Directory
En un dominio, los permisos sobre los recursos son idénticos a los vistos para la gestión de usuarios y grupos locales en un equipo, pero los usuarios y grupos se gestionan de manera centralizada para todo el bosque.
Una cuenta de usuario permite:
Existen dos tipos de cuentas de usuarios en Active Directory:
• Autenticar la identidad de la persona que inicia la sesión.• Controlar el acceso a los recursos.• Auditar las acciones del usuario.
Local: permite iniciar la sesión y acceder a los recursos del equipo o servidor donde se creó la cuenta.De dominio o global: permite al usuario iniciar la sesión en el dominio y acceder a los recursos de su dominio o de otro del mismo bosque. Pueden ser ampliadas con nuevos atributos modificando el esquema
u n i d a d 7
© MACMILLAN Profesional
Administración de grupos en Active Directory
La verdadera potencia y complejidad de los grupos se encuentra en los que se crean en Active Directory. Se denominan grupos del dominio y son visibles desde todos los equipos conectados al dominio y, dependiendo del tipo de grupo, desde otros dominios.
Los grupos del dominio se diferencian por:
•Los tipos de grupos y usuarios que pueden contener.•Desde dónde son visibles.
Grupos de dominio en Active Directory
Se utilizan para asignar permisos a los recursos de un dominio. Esto quiere decir que siempre que se quiera asignar permisos a un recurso, se le debería asignar a un grupo de dominio local.
Grupos de dominio local
u n i d a d 7
© MACMILLAN Profesional
Administración de grupos en Active Directory
Funciones de un sistema operativo de servidor
Sirven para englobar a usuarios del mismo dominio y para asignarles a esos usuarios permisos a recursos de otros dominios.
Grupos globales
Sirven para agrupar elementos de diferentes dominios en un mismo grupo. Además, si este grupo necesita permisos en diferentes dominios, pueden usarse los grupos universales para asignar permisos a los recursos.
Grupos universales
Grupos por defecto en Active Directory
En Active Directory también se crean grupos por defecto que tienen alcance para todo el dominio o bosque. Los más importantes son:
• Administradores del dominio.• Usuarios del dominio.• Administradores de empresas.• Propietarios del creador de directivas de grupo.
u n i d a d 7
© MACMILLAN Profesional
Administración de grupos en Active Directory
Estrategias para la creación de grupos
La estrategia más conveniente a la hora de crear grupos se detalla a continuación:
•Asignar usuarios de un dominio con responsabilidades comunes a grupos globales.
•Asignar usuarios y grupos globales con responsabilidades similares pero de diferentes dominios a grupos universales.
•Crear grupos de dominio local para dar permisos a los recursos que se van a compartir.
•Incluir los grupos globales y los universales en grupos de dominio local.
•En un servidor miembro de un dominio se desaconseja usar grupos locales para así tener una gestión centralizada
•Asignar permisos a grupos de dominio local donde se encuentra el recurso.
u n i d a d 7
© MACMILLAN Profesional
Administración de equipos e impresoras en Active Directory
Active Directory también mantiene un listado con todos los equipos del dominio en el que almacena características tales como el nombre del equipo, su dirección y su identificador único, conocido como ID.
Los equipos también poseen un número identificador que les permitirá autenticarse y ser auditados en el acceso a la red.
Los objetos equipos en Active Directory sirven para controlar las máquinas que se pueden conectar a un dominio, así como para aplicar directivas sobre estos equipos.
Los equipos en Active Directory pueden agregarse desde el mismo equipo cliente o desde el propio servidor.
En cuanto a las impresoras, los usuarios pueden acceder a las impresoras agregadas a Active Directoryde la misma forma que a las carpetas compartidas.
u n i d a d 7
© MACMILLAN Profesional
Delegación de la administración
Delegar el control de la administración supone dar permiso a usuarios del dominio para realizar algunas tareas que le corresponden al administrador de sistemas sobre objetos como:
• Usuarios.• Equipos.• Unidades organizativas.• Otros objetos ubicados en alguna unidad organizativa de
Active Directory.
Hay que tener mucho cuidado cuando se concede la delegación, ya que una mala gestión podría traer serios problemas en la seguridad del servidor.
u n i d a d 7
© MACMILLAN Profesional
Tipos de perfiles de usuario
Los perfiles de usuario son la forma en que Windows almacena la información sobre los usuarios creados en el sistema. Realmente se crean cuando el usuario se valida, no cuando este es creado. Un perfil de usuario puede ser:
Local: se crea la primera vez que el usuario inicia sesión en un equipo concreto, se almacena en él y solo sirve en este equipo.Obligatorio: permite a los administradores disponer de escritorios que no pueden cambiarse. Al cerrar la sesión, se ignoran los posibles cambios que el usuario haya realizado.Móvil: la configuración de un usuario se muestra en cualquier equipo del dominio.
Perfiles móviles
Los perfiles móviles permiten que el escritorio y otras características del entorno le aparezcan con la misma configuración al usuario siempre que se valide en el dominio, permitiendo que los usuarios puedan moverse de un equipo a otro dentro del dominio.
