Post on 10-Apr-2018
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
1/85
Contenido
Introduccin 2
Leccin: Creacin de unidades organizativas, cuentas de usuario y cuentas de equipo 3
Leccin: Creacin y modificacin de grupos 21
Leccin: Estrategias para el uso de grupos 38
Leccin: Uso de permisos para controlar el acceso a los objetos de Active Directory 48Leccin: Delegar el control de los objetos de Active Directory para lograr una administracin
segura y descentralizada 65
Leccin: Mover objetos de Active Directory 79
Prctica A: Administrar el acceso a los objetos de unidades organizativas 83
Creacin y administracinde objetos de ActiveDirectory
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
2/85
2 Creacin y administr acin de objetos de Activ e Directory
Introduccin
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Este mdulo contiene la informacin que precisa un administrador de sistemaspara administrar los objetos del servicio de directorio Active Directory.
Despus de finalizar este mdulo, podr:
Crear unidades organizativas, cuentas de usuario y cuentas de equipo.
Crear y modificar grupos.
Aplicar las estrategias adecuadas al trabajar con grupos.
Utilizar permisos para controlar el acceso a los objetos de Active Directory.
Delegar el control de los objetos de Active Directory para lograr unaadministracin segura y descentralizada.
Mover objetos de Active Directory.
Introduccin
Objetivos
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
3/85
Creacin y administr acin de objetos de Active Directory 3
Leccin: Creacin de unidades organizativas, cuentas deusuario y cuentas de equipo
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Esta leccin proporciona los conocimientos y la prctica necesarios para crearunidades organizativas, cuentas de usuario y cuentas de equipo.
Despus de finalizar esta leccin, podr:
Explicar los cuatro modelos jerrquicos de unidad organizativa. Explicar los nombres asociados a las unidades organizativas.
Crear una unidad organizativa.
Crear una cuenta de usuario.
Explicar cmo y dnde se crean las cuentas de equipo en un dominio.
Explicar las dos opciones de cuenta de equipo.
Crear una cuenta de equipo.
Introduccin
Objetivos de la leccin
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
4/85
4 Creacin y administr acin de objetos de Activ e Directory
Modelos jerrquicos de unidad organizativa
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Como administrador de sistemas, no es su funcin elegir el diseo estructuralde Active Directory para su organizacin. Sin embargo, es importante que
conozca las caractersticas y ramificaciones de cada estructura. Esteconocimiento puede ser crucial a la hora de realizar tareas de administracin
de sistemas en la estructura de Active Directory. En este tema se describen loscuatro diseos jerrquicos bsicos.
La jerarqua basada en la funcin considera slo las funciones de negocio dela organizacin, sin importar la ubicacin geogrfica o los lmites de los
departamentos o divisiones. Elija esta alternativa slo cuando la funcin detecnologa de la informacin no se base en la ubicacin o la organizacin.
Cuando necesite decidir si la estructura de Active Directory debe organizarsepor funcin, considere las caractersticas siguientes de los diseos basados en
funciones:
No se ven afectados por las reorganizaciones. Una jerarqua basada en
la funcin no se ve afectada por las reestructuraciones corporativas u
organizativas.
Pueden requerir niveles adicionales. Cuando se utiliza esta estructura,
puede ser necesario crear niveles adicionales en la jerarqua de unidades
organizativas para acomodar la administracin de usuarios, impresoras,
servidores y otros recursos de red.
Pueden afectar a la replicacin. Las estructuras empleadas para crear los
dominios pueden no ser las mejores para un uso eficiente de la red, ya que el
contexto de nombres de dominio puede replicarse entre una o ms reas de
bajo ancho de banda.
Esta estructura slo es adecuada en organizaciones pequeas porque losdepartamentos funcionales de las organizaciones medianas y grandes son a
menudo muy diversos y no pueden agruparse en grandes categoras.
Introduccin
Jerarqua basada enla funcin
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
5/85
Creacin y administr acin de objetos de Active Directory 5
La jerarqua basada en la organizacin considera los departamentos o divisionesde la organizacin. Si la estructura de Active Directory se ha creado para reflejar
la estructura organizativa, puede ser difcil delegar la autoridad administrativa, ya
que los objetos de Active Directory, como las impresoras y recursos compartidosde archivo pueden no estar agrupados de modo que faciliten la delegacin dedicha autoridad. Dado que los usuarios nunca ven la estructura de
Active Directory, el diseo debe acomodarse al administrador, no al usuario.
Si la organizacin est centralizada y la administracin de la red est distribuidageogrficamente, es recomendable utilizar una jerarqua basada en la ubicacin.
Por ejemplo, puede decidir crear unidades organizativas para Providence,Boston y Hartford en el mismo dominio, por ejemplo contoso.msft.
Una jerarqua de unidad organizativa o dominio basada en la ubicacin tiene lascaractersticas siguientes:
No se ve afectada por las reorganizaciones. Aunque las divisiones y
departamentos pueden cambiar con frecuencia, en la mayora de lasorganizaciones la ubicacin no suele cambiar.
Se adapta a fusiones y expansiones. Si una organizacin se fusiona o
adquiere otra compaa, resulta sencillo integrar las nuevas ubicaciones en
la estructura jerrquica existente de unidades organizativas y dominios.
Aprovecha la capacidad de la red. Normalmente, la topologa de la red fsica
de una organizacin se corresponde con una jerarqua basada en la ubicacin.Si se crean dominios con una jerarqua basada en la ubicacin, es posible
aprovechar las reas donde la red tiene mayor ancho de banda y limitar la
cantidad de datos que se replican entre reas con bajo ancho de banda.
Puede comprometer la seguridad. Si una ubicacin consta de mltiples
divisiones o departamentos, un individuo o grupo con autoridadadministrativa sobre ese dominio o sobre las unidades organizativas puede
tener tambin autoridad sobre los dominios o unidades organizativassecundarios.
Una jerarqua basada primero en la ubicacin y despus en la organizacin, o encualquier otra combinacin de estructuras, se denomina jerarqua hbrida. La
jerarqua hbrida combina las ventajas de los distintos tipos para satisfacer losrequisitos de la organizacin. Este tipo de jerarqua tiene las caractersticas
siguientes:
Se adapta al crecimiento geogrfico o de los diferentes departamentos o
divisiones.
Crea lmites de administracin definidos en funcin de los departamentoso divisiones.
Requiere la cooperacin entre los administradores para asegurar la
finalizacin de las tareas administrativas cuando ataen a la misma
ubicacin pero a distintas divisiones o departamentos.
Jerarqua basada enla organizacin
Jerarqua basada enla ubicacin
Jerarqua hbrida
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
6/85
6 Creacin y administr acin de objetos de Activ e Directory
Nombres asociados a las unidades organizativas
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Las referencias a objetos especficos de Active Directory pueden hacersemediante distintos tipos de nombres que describen su ubicacin.
Active Directory crea un nombre completo relativo, un nombre completo y unnombre cannico para cada objeto, en funcin de la informacin suministrada
por el administrador en el momento de crear o modificar el objeto.
El nombre completo relativo LDAP (Lightweight Directory Access Protocol ,
Protocolo ligero de acceso a directorio) identifica de forma nica al objeto en sucontenedor principal. Por ejemplo, el nombre completo relativo LDAP de una
unidad organizativa denominada MiUnidadOrganizativa esOU=MiUnidadOrganizativa. Los nombres completos relativos deben ser nicosdentro de la unidad organizativa. Es importante entender la sintaxis del nombre
completo relativo LDAP cuando se utilizan secuencias de comandos paraconsultar y administrar Active Directory.
A diferencia del nombre completo relativo LDAP, el nombre completo LDAP
es nico globalmente. Un ejemplo de nombre completo LDAP nico de unaunidad organizativa denominada MiUnidadOrganizativa en el dominio
microsoft.com es OU=MiUnidadOrganizativa, DC=microsoft, DC=com.Los administradores de sistemas slo utilizan el nombre completo relativo
LDAP y el nombre completo LDAP cuando escriben secuencias de comandosadministrativas o durante la administracin en la lnea de comandos.
La sintaxis del nombre cannico se construye de la misma forma que la del
nombre completo LDAP, pero se representa con una notacin distinta. Elnombre cannico de la unidad organizativa denominada MiUnidadOrganizativaen el dominio microsoft.com es Microsoft.com/MiUnidadOrganizativa.
Los administradores usan los nombres cannicos en algunas herramientasadministrativas. El nombre cannico se utiliza para representar una jerarqua en
las herramientas administrativas.
Introduccin
Nombre completorelativo LDAP
Nombre completo LDAP
Nombre cannico
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
7/85
Creacin y administr acin de objetos de Active Directory 7
Cmo crear una unidad organizativa
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Con la creacin de unidades organizativas puede representar una jerarqua oadministrar los objetos incluidos en ellas.
Para crear una nueva unidad organizativa:
1. Abra Usuarios y equipos de Active Directory.
2. En el rbol de la consola, haga doble clic en el nodo de dominio.
3. Haga doble clic con el botn secundario del mouse (ratn) en el nodo deldominio o en la carpeta en la que de desee agregar la unidad organizativa,seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.
4. En el cuadro de dilogo Nuevo objeto - Unidad organizativa, en el cuadroNombre, escriba el nombre de la unidad organizativa y, a continuacin,haga clic en Aceptar.
Para realizar este procedimiento, debe ser integrante de los grupos
Administradores de dominio o Administradores de organizacin enActive Directory, o tener delegada la autoridad correspondiente. Como
recomendacin de seguridad, considere la posibilidad de utilizar Ejecutarcomo para realizar este procedimiento.
Introduccin
Procedimiento
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
8/85
8 Creacin y administr acin de objetos de Activ e Directory
Para crear una unidad organizativa con el comando dsadd:
1. Abra un smbolo del sistema.
2. Escriba dsadd ouNombreDeDominioDeUnidadOrganizativa [-descDescripcin] [{-sServidor| -dDominio}] [-uNombreDeUsuario][-p {Contrasea | *}] [-q] [{-uc | -uco | -uci}]
El siguiente es un ejemplo de un comando dsadd ou:
dsadd ou "ou=testou,ou=locations,dc=nwtraders,dc=msft"
Utilizar una lneade comandos
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
9/85
Creacin y administr acin de objetos de Active Directory 9
Cmo crear una cuenta de usuario
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesin enun dominio y tener acceso a recursos de cualquier lugar de la red, mientras que
las cuentas locales de usuario permiten a los usuarios iniciar sesiones y teneracceso nicamente a los recursos del equipo en el que se ha creado la cuenta de
usuario local. Como administrador de sistemas, debe crear cuentas de usuariolocales y de dominio para administrar el entorno de red.
No es posible crear cuentas de usuario locales en un controlador
de dominio.
Para crear una cuenta de usuario de dominio:
1. Abra Usuarios y equipos de Active Directory.
2. En el rbol de la consola, haga doble clic en el nodo de dominio.
3. En el panel de detalles, haga clic con el botn secundario del mouse en launidad organizativa a la que desee agregar el usuario, seleccione Nuevo y,a continuacin, haga clic en Usuario.
4. En el cuadro de dilogo Nuevo objeto - Usuario, en el cuadro Nombre,escriba el nombre del usuario.
5. En el cuadro Iniciales, escriba las iniciales del usuario.
6. En el cuadro Apellidos, escriba el apellido del usuario.
7. En el cuadro Nombre de inicio de sesin de usuario, escriba el nombrecon el que usuario iniciar la sesin.
8. En la lista desplegable, haga clic en el sufijo UPN que debe anexarse alnombre de inicio de sesin del usuario despus del signo (@).
9. Haga clic en Siguiente.
Introduccin
Importante
Procedimiento paracrear una cuenta deusuario de dominio
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
10/85
10 Creacin y administr acin de objetos de Activ e Directory
10. En los cuadros Contrasea y Confirmar contrasea, escriba la contraseadel usuario.
11. Seleccione las opciones de contrasea adecuadas.
12. Haga clic en Siguiente y, a continuacin, haga clic en Finalizar.
Para crear una cuenta de usuario local:
1. Haga clic en Inicio, seleccione Herramientas administrativas y,a continuacin, haga clic en Administracin de equipos.
2. En el rbol de la consola, expanda Usuarios y grupos locales y,a continuacin, haga clic en Usuarios.
3. En el men Accin, haga clic en Usuario nuevo.
4. En el cuadro Usuario nuevo, en el cuadro Nombre de usuario,escriba el nombre con el que usuario iniciar la sesin.
5. Modifique el nombre completo como sea necesario.
6. En los cuadros Contrasea y Confirmar contrasea, escriba la contraseadel usuario.
7. Seleccione las opciones de contrasea adecuadas.
8. Haga clic en Crear y, despus, en Cerrar.
Un nombre de usuario no puede ser idntico al de ningn otro usuario ogrupo del equipo que se administra. Puede contener hasta 20 caracteres en
maysculas o minsculas, excepto los siguientes:
" / \ [ ] : ; | = , + * ? < >
Un nombre de usuario no puede estar formado nicamente por puntos o espacios.
Otra forma de crear una cuenta de usuario de dominio es utilizar el comandodsadd. El comando dsadd user agrega un solo usuario al directorio desde elsmbolo del sistema o desde un archivo por lotes.
Para crear una cuenta de usuario con dsadd user:
1. Abra un smbolo del sistema.
2. Escriba dsadd userNombreDeDominioDeUsuario[-samidNombreSAM][-upnUPN] [-fnNombre] [-lnApellido] [-displayNombreParaMostrar][-pwd {Contrasea|*}] Utilice comillas (" ") si hay espacios en alguna
variable.
Si desea consultar la sintaxis completa del comando dsadd user, escribadsadd user /? en el smbolo del sistema.
El siguiente es un ejemplo de un comando dsadd user:
dsadd user "cn=testuser,cn=users,dc=nwtraders,dc=msft" samid
testuser upn testuser@nwtraders.msft fn test ln user
display "test user" pwd P@ssw0rd
Procedimiento paracrear una cuenta deusuario local
Nota
Utilizar una lneade comandos
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
11/85
Creacin y administr acin de objetos de Active Directory 11
Cmo y dnde crear cuentas de equipo en un dominio
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir launidad organizativa en la que desea crearla. Si un equipo se une a un dominio,
la cuenta de equipo se crea en el contenedor Equipos y el administrador puedemoverla a la unidad organizativa correspondiente si es necesario.
De forma predeterminada, los usuarios de Active Directory pueden agregarhasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta
configuracin predeterminada puede cambiarse. Si el administrador de sistemasagrega una cuenta de equipo directamente a Active Directory, un usuario podr
agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipoasignadas.
La operacin de agregar un equipo al dominio mediante una cuenta creadaanteriormente se denomina ensayo previo y significa que los equipos pueden
agregarse a cualquier unidad organizativa en la que el administrador desistemas tenga permiso para agregar cuentas de equipo. Normalmente, los
usuarios no tienen los permisos necesarios para el ensayo previo de una cuentade equipo, de modo que como alternativa pueden unir un equipo al dominio
mediante una cuenta ensayada previamente.
Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agregaal contenedor Equipos de Active Directory. Esto tiene lugar a travs de un
servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta desistema tambin registra el nmero de equipos que cada usuario ha agregado al
dominio. De forma predeterminada, cualquier usuario autenticado tiene permisopara agregar estaciones de trabajo a un dominio y puede crear hasta diezcuentas de equipo en el dominio.
Para obtener ms informacin acerca de cmo los usuarios pueden agregarcuentas de equipo a un dominio, consulte el artculo de Microsoft Knowledge
Base 251335, Los usuarios de un dominio no pueden unir la estacin detrabajo o el servidor a un dominio, en la direccin
http://support.microsoft.com/default.aspx?scid=kb;es;251335.
Introduccin
Los administradoresdeterminan la ubicacin
de las cuentas deequipo
Cuentas de equipoensayadas previamente
Los usuarios creancuentas de equipo
Lecturas adicionales
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
12/85
12 Creacin y administr acin de objetos de Activ e Directory
Opciones de cuenta de equipo
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
En Microsoft Windows Server 2003 existen dos caractersticas opcionalesque puede habilitar al crear una cuenta de equipo. Puede asignar una cuenta de
equipo como correspondiente a un equipo anterior a Windows 2000 o comocontrolador de dominio de reserva (BDC,Backup Domain Controller).
Active la casilla de verificacin Asignar la cuenta de este equipo como unequipo anterior a Windows 2000 para asignar una contrasea basada en elnombre del equipo. Si no activa esta casilla de verificacin, se asignar a lacuenta de equipo una contrasea inicial aleatoria. La contrasea de conexin
entre el equipo y el dominio al que pertenece cambia automticamente cadacinco das. Esta opcin garantiza que los equipos con versiones de Windowsanteriores a Windows 2000 puedan interpretar si la contrasea satisface los
requisitos asignados.
Active la casilla de verificacin Asignar la cuenta de este equipo como uncontrolador de dominio de reserva si desea utilizar el equipo como controladorde dominio de reserva. Debe utilizar esta opcin en los entornos mixtos, con uncontrolador de dominio con Windows Server 2003 y un BDC con Microsoft
Windows NT 4.0. Una vez creada la cuenta en Active Directory, puede agregarel BDC al dominio durante la instalacin de Windows NT 4.0.
Para obtener ms informacin acerca de la delegacin de la autenticacin, busque
el trmino Delegar autenticacin en http://www.microsoft.com/spain/technet.
Introduccin
Anterior aWindows 2000
Controlador de dominiode reserva
Lectura complementaria
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
13/85
Creacin y administr acin de objetos de Active Directory 13
Cmo crear una cuenta de equipo
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
De forma predeterminada, los integrantes del grupo Operadores de cuentaspueden crear cuentas de equipo en el contenedor Equipos y en las nuevas
unidades organizativas. Sin embargo, no pueden crear cuentas de equipo en loscontenedores Builtin, DomainControllers, ForeignSecurityPrincipals,
LostAndFound, Program Data, System o Users.
Para crear una cuenta de equipo:
1. Abra Usuarios y equipos de Active Directory.
2. En Usuarios y equipos de Active Directory, en el rbol de la consola,haga doble clic en el nodo de dominio.
3. Haga clic con el botn secundario del mouse en Equipos o en la unidadorganizativa a la que desee agregar el equipo, seleccione Nuevo y haga clicen Equipo.
4. En el cuadro de dilogo Nuevo objeto - Equipo, en el cuadro Nombre deequipo, escriba el nombre del equipo.
5. Seleccione las opciones correspondientes y haga clic en Siguiente.
6. En el cuadro de dilogo Administrado, haga clic en Siguiente.
7. Haga clic en Finalizar.
Para realizar este procedimiento, debe ser integrante de los gruposOperadores de cuentas, Administradores del dominio o Administradores de
organizacin en Active Directory o tener delegada la autoridad correspondiente.Como recomendacin de seguridad, considere la posibilidad de utilizarEjecutar como para realizar este procedimiento.
Introduccin
Procedimiento
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
14/85
14 Creacin y administr acin de objetos de Activ e Directory
Para crear una cuenta de equipo con el comando dsadd computer:
1. Abra un smbolo del sistema.
2. Escriba dsadd computerNombreDeDominioDeEquipo [-samidNombreSAM] [-descDescripcin] [-locUbicacin] [-memberofNombreDeDominioDeGrupo ..] [{-sServidor| -dDominio}] [-uNombreDeUsuario] [-p {Contrasea | *}] [-q] [{-uc | -uco | -uci}]
Si desea consultar la sintaxis completa del comando dsadd computer,escriba dsadd computer /? en el smbolo del sistema.
El siguiente es un ejemplo de un comando dsadd computer:
dsadd computer
"cn=testcomputer,ou=testou,dc=nwtraders,dc=msft" samid
testcomputer
Utilizar una lneade comandos
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
15/85
Creacin y administr acin de objetos de Active Directory 15
Ejercic io: Creacin de unidades organizativas, cuentas de usuario ycuentas de equipo
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Despus de finalizar este ejercicio, podr:
Crear unidades organizativas.
Crear cuentas de usuario y de equipo.
Mover cuentas de usuario y de equipo a una nueva unidad organizativa.
Habilitar cuentas de usuario.
Debe haber iniciado sesin con una cuenta (por ejemplo,NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutarel comando Ejecutar como con una cuenta de usuario que disponga de lascredenciales administrativas apropiadas para realizar la tarea.
Como administrador de sistemas de Northwind Traders, se le ha asignado latarea de crear una jerarqua de unidad organizativa ideada por el grupo de
diseo de Northwind Traders. El diseo de la jerarqua de unidad organizativase basar en la ubicacin y separar los equipos porttiles de los equipos de
escritorio. Usted crear una jerarqua de unidades organizativas en la unidadorganizativa de su ciudad para separar los tipos de equipos.
La siguiente es una representacin grfica de lo que debe crear en el dominio
NWTraders. Las unidades organizativas Locations yNombreDeEquipo ya hansido creadas.
Objetivos
Instrucciones
Situacin de ejemplo
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
16/85
16 Creacin y administr acin de objetos de Activ e Directory
Cree las unidades organizativas Computers, Laptodps y Desktops Complete esta tarea desde los equipos de ambos alumnos.
Utilice la informacin siguiente para iniciar CustomMMC: Usuario: nwtraders\NombreDeEquipoAdmin
Contrasea: P@ssw0rd
En Usuarios y equipos de Active Directory/nwtraders.msft/Locations/
NombreDeEquipo (dondeNombreDeEquipo es el nombre de su equipo),
cree las unidades organizativas siguientes:
Locations/NombreDeEquipo/Computers
Locations/NombreDeEquipo/Computers/Laptops
Locations/NombreDeEquipo/Computers/Desktops
La jerarqua de unidades organizativas debe tener la misma apariencia que
el diagrama anterior.
Los ingenieros de sistemas desean probar algunas caractersticas avanzadas de
Active Directory. Desean que su grupo cree algunas unidades organizativas enla unidad organizativa IT Test.
La unidad organizativa IT Test ya ha sido creada. Debe agregar una unidadorganizativa adicional para su ciudad, como se indica en el grfico siguiente.
Cree una unidad organizativa con el comando dsadd En una lnea de comandos, cree una unidad organizativa denominada IT
Test/NombreDeEquipo mediante el comando dsadd.
(Ejemplo del comando dsadd: dsadd ou "ou=London,ou=IT Test,dc=nwtraders,dc=msft")
Se le ha suministrado una lista de usuarios deben agregarse a Active Directory.Busque los usuarios de la lista cuya oficina est en su ciudad y agrguelos a la
unidad organizativa correspondiente de su ciudad.
Cree cuentas de usuario En la unidad organizativa
nwtraders.msft/Locations/NombreDeEquipo/Users, cree las cuentas de
los usuarios de la tabla siguiente que correspondan a la ubicacin de laorganizacin en su ciudad. Utilice los parmetros siguientes (dondeNombreyApellido son el nombre y apellido de cada uno de los usuarios):
Nombre:Nombre
Apellido:Apellido
Nombre de inicio de sesin de usuario: Primeras tres letras del nombre yprimeras tres letras del apellido
Nombre de inicio de sesin de usuario (anterior a Windows 2000):Primeras tres letras del nombre y primeras tres letras del apellido
Contrasea: P@ssw0rd
Deshabilite la cuenta de usuario.
Ejercicio: Creacin deunidades organizativas
Situacin de ejemplo
Ejercicio: Utilizar unalnea de comandos
Situacin de ejemplo
Ejercicio : Crear ymodificar cuentasde usuario
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
17/85
Creacin y administr acin de objetos de Active Directory 17
Modifique las cuentas de usuario En la pgina Propiedades del usuario puede hacer las modificaciones
siguientes:
Ciudad:NombreDeEquipo (en la ficha Direccin)
Nmero de telfono: 555-2469 (en la ficha Telfonos)
Administrador:NombreDeEquipoUser (en la ficha Organizacin)
Apellido, Nombre Ciudad
Brown, Robert Acapulco
Browne, Kevin F. Acapulco
Byham, Richard A. Auckland
Calafato, Ryan Auckland
Berg, Karen Bangalore
Berge, Karen Bangalore
Barnhill, Josh Bonn
Barr, Adam Bonn
Altman, Gary E. III Brisbane
Anderson, Nancy Brisbane
Chapman, Greg Caracas
Charles, Mathew Caracas
Bonifaz, Luis Casablanca
Boseman, Randall Casablanca
Ackerman, Pilar Denver
Adams, Jay Denver
Connelly, Peter Khartoum
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
18/85
18 Creacin y administr acin de objetos de Activ e Directory
(continuacin)
Apellido, Nombre Ciudad
Conroy, Stephanie Khartoum
Barreto de Mattos, Paula Lima
Bashary, Shay Lima
Arthur, John Lisbon
Ashton, Chris Lisbon
Bankert, Julie Manila
Clark, Brian Manila
Burke, Brian Miami
Burlacu, Ovidiu Miami
Chor, Anthony Montevideo
Ciccu, Alice Montevideo
Casselman, Kevin A. Moscow
Cavallari, Matthew J. Moscow
Cornelsen, Ryan Nairobi
Cox, Brian Nairobi
Alberts, Amy E. Perth
Alderson, Gregory F. (Greg) Perth
Benshoof, Wanida Santiago
Benson, Max Santiago
Bezio, Marin Singapore
Bischoff, Jimmy Singapore
Carothers, Andy Stockholm
Carroll, Matthew Stockholm
Cannon, Chris Suva
Canuto, Suzana De Abreu A. Suva
Combel, Craig M. Tokyo
Con, Aaron Tokyo
Bradley, David M. Tunis
Bready, Richard Tunis
Abolrous, Sam Vancouver
Acevedo, Humberto Vancouver
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
19/85
Creacin y administr acin de objetos de Active Directory 19
Los ingenieros de sistemas de Northwind Traders han importado cuentas deusuario para todo el dominio nwtraders. Usted y su grupo de administradores
de sistemas deben buscar las cuentas de usuario cuyo atributo de ubicacin
corresponda con la ciudad del nombre de su equipo y moverlas a la unidadorganizativa Users situada bajo la unidad organizativaNombreDeEquipo.
Busque y mueva las cuentas de usuarioComplete esta tarea desde los equipos de ambos alumnos. Utilice la ficha
Opciones avanzadas del cuadro de dilogo Buscar.
1. Utilice la informacin siguiente para buscar las cuentas de usuario.
Nombre de usuario: nwtraders\NombreDeEquipoAdmin
Contrasea: P@ssw0rd
Punto inicial de la bsqueda: nwtraders.msft
Buscar: Usuarios, contactos y grupos Campo: Ciudad
Condicin: Es (exactamente)
Valor:NombreDeEquipo
2. Mueva las cuentas de usuario que encuentre a Nwtraders.msft/Locations/NombreDeEquipo/Users (donde el nombre de la cuenta de equipo
corresponde a la carpetaNombreDeEquipo).
Situacin de ejemplo
Ejercicio: Buscarcuentas de usuario
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
20/85
20 Creacin y administr acin de objetos de Activ e Directory
Se espera recibir cuatro nuevos equipos porttiles y cinco equipos de escritorioen su ubicacin. Un consultor que tiene una cuenta de usuario en el dominio
agregar estos equipos al dominio. Las directivas de Northwind Traders
estipulan que los administradores de la unidad organizativa ciudaddebenadministrar los equipos porttiles y de escritorio.
Cree cuentas de equipo1. Cree las cuentas de equipo siguientes para cinco equipos de escritorio en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/Computers/Desktops.
Cuentas de equipo:
NombreDeEquipo01Desk
NombreDeEquipo02Desk
NombreDeEquipo03Desk
NombreDeEquipo04Desk
NombreDeEquipo05Desk
2. Cree las cuentas de equipo siguientes para cinco equipos porttiles en launidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Laptops.
Cuentas de equipo:
NombreDeEquipo01Lap
NombreDeEquipo02Lap
NombreDeEquipo03Lap
NombreDeEquipo04Lap
NombreDeEquipo05Lap
Los ingenieros de sistemas de Northwind Traders han importado cuentas deequipo para todo el dominio nwtraders. Usted debe buscar las cuentas de equipo
que incluyenNombreDeEquipo0 en su nombre de cuenta. A continuacin debemover las cuentas a la carpeta Computers de la unidad organizativa
NombreDeEquipo correspondiente.
Busque las cuentas de equipo Busque las cuentas de equipo con los siguientes criterios:
Punto inicial de la bsqueda: nwtraders.msft
Buscar: Equipos
Campo: Nombre de equipo (anterior a Windows 2000)
Condicin: Empieza con
Valor:NombreDeEquipo0
Mueva las cuentas de equipo a otra unidad organizativa Mueva las cuentas de equipo que encuentre a Nwtraders.msft/Locations/
NombreDeEquipo/Computers (donde el nombre de la cuenta de equipocorresponde a la carpetaNombreDeEquipo).
Situacin de ejemplo
Ejercicio: Creacin decuentas de equipo
Situacin de ejemplo
Ejercicio: Buscarcuentas de equipo
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
21/85
Creacin y administr acin de objetos de Active Directory 21
Leccin: Creacin y modificacin de grupos
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Esta leccin proporciona los conocimientos y la prctica necesarios para crear ymodificar grupos.
Despus de finalizar esta leccin, podr:
Explicar el propsito de los grupos y los tipos y mbitos de grupo.
Explicar la funcin de un servidor de catlogo global.
Explicar la relacin entre los grupos y los niveles funcionales de dominio.
Elegir el tipo y el mbito de grupo adecuados.
Crear un grupo.
Explicar qu implica modificar el mbito o el tipo de un grupo.
Modificar el mbito o el tipo de un grupo.
Introduccin
Objetivos de la leccin
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
22/85
22 Creacin y administr acin de objetos de Activ e Directory
Qu son los grupos?
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Losgrupos pueden basarse en un dominio y estar almacenados en Active Directory,
o ser locales en un equipo determinado.
Los grupos facilitan la administracin al permitir conceder permisos sobre
recursos a todo un grupo de una vez, en lugar de concederlos a cuentas deusuarios individuales.
Existen dos tipos bsicos de grupos:
Grupos de seguridad
Los grupos de seguridad se utilizan para asignar derechos de usuario ypermisos a los grupos de usuarios y equipos. Los derechos determinanqu pueden hacer los integrantes de un grupo de seguridad en un dominio
o bosque, y los permisos determinan a qu recursos de la red tienen accesolos integrantes del grupo.
Tambin peden utilizarse grupos de seguridad para enviar mensajes
de correo electrnico a mltiples usuarios. Cuando se enva un mensajede correo electrnico al grupo, se enva a cada uno de sus integrantes.
Por ello, los grupos de seguridad tienen toda la funcionalidad de los gruposde distribucin.
Definicin
Ventajas del usode grupos
Tipos de grupos
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
23/85
Creacin y administr acin de objetos de Active Directory 23
Grupos de distribucin
Los grupos de distribucin se utilizan con aplicaciones de correoelectrnico, como Microsoft Exchange, para enviar mensajes de correo
electrnico a conjuntos de usuarios. El propsito principal de este tipo degrupo es reunir objetos relacionados, no conceder permisos.
Los grupos de distribucin no tienen habilitada la seguridad; es decir, no
pueden utilizarse para asignar permisos. Si necesita un grupo para controlarel acceso a los recursos compartidos, debe crear un grupo de seguridad.
Aunque los grupos de seguridad tienen toda la funcionalidad de los gruposde distribucin, stos siguen siendo necesarios, ya que algunas aplicaciones
slo pueden utilizar grupos de distribucin.
Tanto los grupos de distribucin como los de seguridad admiten uno de los tresmbitos de grupo.
El mbito del grupo determina si el grupo abarca mltiples dominios o se limitaa un solo dominio.
El mbito de grupo determina:
Los dominios desde los que se puede agregar integrantes al grupo.
Los dominios en los que puede utilizarse el grupo para conceder permisos.
Los dominios en los que puede anidarse el grupo dentro de otros grupos.
Un grupo de seguridad o de distribucin puede tener uno de tres mbitosposibles: global, universal o de dominio local. El contenido del grupo determina
el tipo de mbito que se le puede aplicar. Cada tipo de mbito tiene unpropsito diferente.
El mbito de los grupos se explica en la tabla siguiente.
mbito Contenido posible Descripcin
Global Usuarios, grupos y equipos del
mismo dominio que el grupo
global
Un grupo de seguridad global
asigna derechos de usuario y
permisos sobre los recursos de
cualquier dominio del bosque.
Universal Usuarios, grupos y equipos de
cualquier dominio del bosque
Un grupo de seguridad universal
asigna derechos de usuario y
permisos para los recursos de
cualquier dominio del bosque.
Dominio local Grupos con mbito global,
grupos con mbito universal,
cuentas, otros grupos con mbito
de dominio local o una mezcla
de los anteriores
Un grupo de seguridad de
dominio local slo puede recibir
derechos y permisos para recursos
que residan en el mismo dominio
en el que se encuentra.
mbito de grupo
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
24/85
24 Creacin y administr acin de objetos de Activ e Directory
Presentacin multimedia: Servidor de catlogo global
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Esta presentacin ilustra las funciones de catlogo global de Active Directory.Para iniciar la presentacin, abrir el archivo media10_1.html que se puede
encontrar dentro del fichero media10.zip.
El catlogo global es un depsito de informacin que contiene un subconjunto de
atributos para todos los objetos de Active Directory. De forma predeterminada,los atributos que se almacenan en el catlogo global son los que se utilizan con
ms frecuencia en las consultas, como el nombre, el apellido y el nombre deinicio de sesin de un usuario. El catlogo global contiene la informacin
necesaria para determinar la ubicacin de cualquier objeto del directorio.
Un servidor de catlogo global es un controlador de dominio que procesa las
consultas al catlogo global y almacena una copia de las mismas. El primercontrolador de dominio que se crea en Active Directory es un servidor de
catlogo global. Puede configurar controladores de dominio adicionales paraque sean servidores de catlogo global con el fin de equilibrar el trfico de
autenticacin de inicio de sesin y la transferencia de consultas.
El catlogo global cumple dos funciones importantes en el directorio:
Permite que un usuario inicie una sesin en la red al suministrar lainformacin de pertenencia a grupos universales a un controlador de
dominio cuando se inicia un proceso de inicio de sesin.
Permite que un usuario busque informacin de directorio en todo el bosque,
independientemente de la ubicacin de los datos.
Si no hay disponible un catlogo global cuando un usuario inicia una sesin en
un dominio con el nivel funcional Windows 2000 nativo o superior, el equipoutilizar las credenciales en cach para iniciar la sesin del usuario si ste ha
iniciado una sesin anteriormente en el dominio. Si el usuario no ha iniciadouna sesin en el dominio anteriormente, slo podr iniciar una sesin en el
equipo local. Sin embargo, si el usuario es integrante del grupoAdministradores del dominio, podr iniciar una sesin en el dominio aunque
no haya un catlogo global disponible.
Introduccin
Catlogo gl obal
Servidor de catlogoglobal
Funciones del servidorde catlogo global en
Active Directory
Si no hay disponible uncatlogo global
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
25/85
Creacin y administr acin de objetos de Active Directory 25
Grupos y niveles funcionales de dominio
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
El sistema operativo de los controladores de dominio determina el nivelfuncional que el dominio puede utilizar.
La funcionalidad del dominio habilita caractersticas que afectan a todo
el dominio.
Existen tres niveles funcionales de dominio:
Windows 2000 mixto (predeterminado)
Windows 2000 nativo
Familia de Windows Server 2003
De forma predeterminada, los dominios aplican el nivel de funcionalidadWindows 2000 mixto. Puede elevar el nivel funcional a Windows 2000 nativo o
a la familia de Windows Server 2003.
En la tabla siguiente se comparan los mbitos de grupo posibles en los distintos
niveles funcionales de dominio y se indican los controladores de dominiocompatibles.
Nivel funcionalde dominio
Caractersticashabilitadas
Controladores dedominio admitidos
Windows 2000 mixto
(predeterminado)
Instalacin de Active Directory
desde un medio de copia
Almacenamiento en cach de
grupos universales
Windows NT 4.0,
Windows 2000, familia de
Windows Server 2003
Windows 2000 nativo Todo el modo mixto, y adems:
Anidamiento y conversin
de grupos
Grupos universales,
seguridad y distribucin
SIDHistory
Windows 2000, familia de
Windows Server 2003
Introduccin
Niveles funcionalesde dominio
Niveles funcionalesde dominio, mbito degrupo y controladoresde dominio
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
26/85
26 Creacin y administr acin de objetos de Activ e Directory
(continuacin)
Nivel funcionalde dominio
Caractersticashabilitadas
Controladores dedominio admitidos
Windows Server 2003
versin provisional
Igual que Windows 2000 en
modo mixto o nativo
Windows NT 4.0, familia
de Windows Server 2003
Familia de Windows
Server 2003
Todo Windows 2000 nativo, y
adems:
Actualizar atributo de
marca de hora de inicio
de sesin
Nmeros de versin de
KDC Kerberos
Contrasea de usuario
en INetOrgPerson
Herramienta de cambio
de nombre de dominio
Familia de Windows
Server 2003
La tabla siguiente resume las reglas que determinan si se puede utilizar ungrupo de seguridad con mbito universal en un nivel funcional de dominio
determinado.
Nivel funcional de dominioGrupos de seguridad con mbitouniversal?
Windows 2000 nativo S
Windows 2000 mixto No
Windows Server 2003 S
Slo es posible cambiar de tipo de grupo cuando el nivel funcional del
dominio es Windows 2000 nativo o superior.
Windows Server 2003 versin provisional slo se utiliza para
actualizaciones directas de Windows NT 4.0 a la familia deWindows Server 2003, sin pasar por Windows 2000. Los controladores
de dominio con Windows 2000 no admiten la funcionalidad de dominioWindows Server 2003 versin provisional.
Despus de elevar el nivel funcional de un dominio, no es posible agregarcontroladores de dominio que ejecuten sistemas operativos anteriores.
Por ejemplo, si eleva el nivel funcional de dominio a la familia deWindows Server 2003, los controladores de dominio con Windows Server 2000no podrn agregarse al dominio.
El cambio del nivel funcional de dominio es irreversible. Una vez
elevado el nivel funcional de un dominio, no es posible reducirlo de nuevo.
Para obtener ms informacin, consulte el artculo de Microsoft KnowledgeBase 322692, How To: Raise the Domain Functional Level in
Windows Server 2003 (en ingls).
Grupos de seguridaduniversales y nivelesfuncionales de dominio
Nota
Nota
Precaucin
Informacin adicional
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
27/85
Creacin y administr acin de objetos de Active Directory 27
Cmo decidir el tipo y el mbito de un grupo
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Una ventaja de utilizar el mbito global es que las cuentas de un grupo quetiene mbito global pueden modificarse frecuentemente sin generar trfico de
replicacin en el catlogo global. Esta ventaja proviene del hecho de que losgrupos globales no se replican fuera de su propio dominio.
Los grupos con mbito global pueden utilizarse para administrar objetos dedirectorio que requieran mantenimiento diario, como las cuentas de usuario y de
equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuariosque comparten las mismas tareas y tienen requisitos de acceso a la red similares.
Observe las siguientes limitaciones del uso del mbito global:
Un dominio de Windows Server 2003 debe estar en modo Windows 2000
nativo o superior para poder utilizar grupos universales.
Debido a que los grupos globales tienen visibilidad en todo el bosque, nodeben crearse para el acceso a recursos especficos del dominio.
Los grupos con mbito universal pueden utilizarse para consolidar grupos queabarcan ms de un dominio. Para ello, agregue las cuentas a grupos con mbito
global y anide estos grupos en otros que tengan mbito universal. Con estaestrategia, los cambios en la pertenencia a los grupos con mbito global no
afectarn a los grupos con mbito universal.
Por ejemplo, en una red con dos dominios, North y South, y un grupodenominado GLAccounting que tenga mbito global en ambos dominios,
puede crear un grupo con mbito universal denominado UAccounting, quetenga como integrantes los dos grupos GLAccounting, North\GLAccounting y
South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugarde la organizacin. Los cambios en la pertenencia a los grupos individuales
GLAccounting no provocarn la replicacin del grupo UAccounting.
Cundo utilizar unmbito global
Limitaciones del usodel mbito global
Cundo utilizar unmbito universal
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
28/85
28 Creacin y administr acin de objetos de Activ e Directory
La pertenencia a un grupo con mbito universal no debe cambiar confrecuencia, ya que tales cambios provocan que se replique toda la informacin
de pertenencia del grupo en todos los catlogos globales del bosque.
Los grupos con mbito de dominio local ayudan a definir y administrar elacceso a los recursos de un solo dominio.
Es posible asignar permisos para los recursos ubicados en el mismo dominioque el grupo local. Puede colocar todos los grupos globales que deban
compartir los mismos recursos en el grupo de dominio local adecuado.
Puede asignar permisos para recursos ubicados en el equipo en el que se hacreado el grupo local. Cree grupos locales para limitar la capacidad de accesode los usuarios y grupos locales a los recursos de la red cuando no desee crear
grupos de dominio.
Es importante distinguir entre un grupo de dominio local y un grupo
local. Un grupo de dominio local es un grupo de seguridad o de distribucinque puede contener grupos universales, grupos globales, otros grupos dedominio local de su propio dominio y cuentas de cualquier dominio del bosque.
Un grupo local es un conjunto de cuentas de usuario o grupos de dominiocreado en un servidor integrante o en un servidor independiente.
Limitaciones del usodel mbito universal
Cundo utili zar elmbito de dominio l ocal
Cundo utilizar un grupolocal
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
29/85
Creacin y administr acin de objetos de Active Directory 29
Cmo crear un grupo
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
En la mayora de los entornos corporativos, los grupos se crean en dominios.Active Directory cuenta con caractersticas de seguridad y seguimiento que
limitan la adicin de usuarios a grupos. Active Directory ofrece tambin a lasorganizaciones la flexibilidad de poder utilizar grupos en los servidores
integrantes. A menudo, las organizaciones tienen servidores expuestos aInternet y desean utilizar grupos locales en los servidores integrantes en lugar
de grupos de dominio local con el fin de limitar el riesgo de seguridad para losgrupos internos y los integrantes de los grupos.
Para crear un grupo en un dominio de Active Directory:
1. En Usuarios y equipos de Active Directory, en el rbol de la consola, hagaclic con el botn secundario del mouse en la carpeta a la que desee agregar
el grupo, seleccione Nuevo y, a continuacin, haga clic en Grupo.
2. En el cuadro de dilogo Nuevo objeto - Grupo, en el cuadro Nombre degrupo, escriba el nombre del nuevo grupo.
3. En mbito de grupo, haga clic en el mbito del nuevo grupo.
4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.
Para realizar este procedimiento, debe ser integrante de los grupos
Operadores de cuentas, Administradores del dominio o Administradores de
organizacin en Active Directory o tener delegada la autoridad correspondiente.Como recomendacin de seguridad, considere la posibilidad de utilizarEjecutar como para realizar este procedimiento.
Si el dominio en el que crea el grupo tiene establecido el nivelfuncional de dominio Windows 2000 mixto, slo podr seleccionar grupos de
seguridad con mbito de dominio local o global.
Introduccin
Procedimiento paracrear un grupo en undominio
Nota
Importante
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
30/85
30 Creacin y administr acin de objetos de Activ e Directory
Para crear un grupo local en un servidor integrante:
1. En Administracin de equipos, en el rbol de la consola, haga clicen Grupos.
2. En el men Accin, haga clic en Grupo nuevo.
3. En el cuadro de dilogo Grupo nuevo, en el cuadro Nombre de grupo,escriba el nombre del grupo nuevo.
4. En el cuadro Descripcin, escriba una descripcin para el grupo nuevo.
5. Para agregar uno o ms usuarios al grupo nuevo, haga clic en Agregar.
6. Haga clic en Crear y, despus, en Cerrar.
Para realizar este procedimiento debe ser integrante del grupo Usuarios
avanzados o Administradores del equipo local, o tener delegada la autoridadcorrespondiente. Si el equipo se une a un dominio, los integrantes del grupo
Administradores del dominio pueden llevar a cabo este procedimiento. Comorecomendacin de seguridad, considere la posibilidad de utilizar Ejecutarcomo para realizar este procedimiento.
Para crear un grupo en un dominio de Active Directory con el comando dsadd:
1. Abra un smbolo del sistema.
2. Escriba dsadd groupNCDeGrupo-samidNombreSAM-secgrpyes | no-scopel | g | u
Valor Descripcin
NCDeGrupo Especifica el nombre completo del objeto grupo que se desea
agregar.
NombreSAM Especifica el nombre SAM (Security Accounts Managero
Administrador de cuentas de seguridad) como nombre de cuenta
SAM nico para este grupo (por ejemplo, operadores).
yes | no Especifica si el grupo que se desea agregar es un grupo de
seguridad (yes) o un grupo de distribucin (no).
l | g | u Especifica si el mbito del grupo que se desea agregar es de
dominio local (l), global (g) o universal (u).
Para ver la sintaxis completa de este comando, escriba dsadd group /?
en el smbolo del sistema.
Procedimiento paracrear un grupo local enun servidor integrante
Nota
Utilizar una lneade comandos
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
31/85
Creacin y administr acin de objetos de Active Directory 31
Para eliminar un grupo:
1. En Usuarios y equipos de Active Directory, en el rbol de la consola, hagaclic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botn secundario del mouse en elgrupo y, a continuacin, haga clic en Eliminar.
Para realizar este procedimiento, debe ser integrante de los gruposOperadores de cuentas, Administradores del dominio o Administradores de
organizacin en Active Directory o tener delegada la autoridad correspondiente.Como recomendacin de seguridad, considere la posibilidad de utilizarEjecutar como para realizar este procedimiento.
Para eliminar un grupo con el comando dsrm:
1. Abra un smbolo del sistema.2. Escriba dsrmNCDeGrupo
Valor Descripcin
NCDeGrupo Especifica el nombre completo del objeto grupo que se desea
eliminar.
Para ver la sintaxis completa de este comando, escriba dsrm /? en elsmbolo del sistema.
Procedimiento paraeliminar un grupo
Nota
Utilizar una lneade comandos
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
32/85
32 Creacin y administr acin de objetos de Activ e Directory
Cambiar el mbito y el tipo de un grupo
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Cuando se crea un grupo nuevo, queda configurado como grupo de seguridadcon mbito global de forma predeterminada, independientemente del nivel
funcional de dominio existente.
Aunque no es posible cambiar el mbito de un grupo en los dominios con
nivel funcional Windows 2000 mixto, s son posibles los cambios de mbitosiguientes en los dominios que tengan el nivel funcional Windows 2000 nativo
o Windows Server 2003:
De global a universal. Este cambio slo se permite si el grupo que se desea
cambiar no es integrante de otro grupo global.
No es posible cambiar directamente el mbito de un grupo de global a
dominio local. Para ello es necesario cambiar el mbito del grupo de globala universal y, a continuacin, de universal a dominio local.
De dominio local a universal. Este cambio slo se permite si el grupo que sedesea cambiar no tiene como integrante otro grupo de dominio local.
De universal a global. Este cambio slo se permite si el grupo que se desea
cambiar no tiene como integrante otro grupo universal.
De universal a dominio local. No existe ninguna restriccin para este cambio.
Introduccin
Cambiar el mbitode grupo
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
33/85
Creacin y administr acin de objetos de Active Directory 33
Un grupo puede convertirse de grupo de seguridad a grupo de distribucin, yviceversa, en cualquier momento, pero slo si el nivel funcional de dominio
est establecido como Windows 2000 nativo o posterior. No es posible
convertir un grupo si el nivel funcional de dominio es Windows 2000 mixto.
Puede convertir grupos de un tipo a otro en las situaciones siguientes:
De seguridad a distribucin
Una compaa se divide en dos. Los usuarios migran de un dominio a otro,pero conservan sus antiguas direcciones de correo electrnico. Desea
enviarles mensajes de correo electrnico utilizando los grupos de seguridadantiguos, pero desea retirar el contexto de seguridad del grupo.
De distribucin a seguridad
Un grupo de distribucin crece mucho y los usuarios desean utilizarlo para
tareas relacionadas con la seguridad. Sin embargo, tambin desean mantener
el grupo para enviar correo electrnico.
Aunque es posible agregar contactos a los grupos de seguridad y a los
grupos de distribucin, no es posible conceder permisos a los contactos. Sin
embargo, se puede enviar correo electrnico a los contactos.
Cambiar el tipo de grupo
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
34/85
34 Creacin y administr acin de objetos de Activ e Directory
Cmo modificar un grupo
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Para cambiar el mbito o el tipo de un grupo, el nivel funcional del dominiodebe ser Windows 2000 nativo o superior. No es posible cambiar el mbito ni el
tipo de los grupos si el nivel funcional del dominio es Windows 2000 mixto.
Para cambiar el mbito o el tipo de un grupo:
1. En Usuarios y equipos de Active Directory, en el rbol de la consola, haga
clic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botn secundario del mouse en elgrupo y, a continuacin, haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, en la ficha General, bajo Tipo degrupo, haga clic en el tipo de grupo para cambiarlo.
4. En mbito de grupo, haga clic en el mbito de grupo para cambiarlo.
Para realizar este procedimiento, debe ser integrante de los grupos
Operadores de cuentas, Administradores del dominio o Administradores deorganizacin en Active Directory o tener delegada la autoridad correspondiente.
Como recomendacin de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
Introduccin
Procedimiento
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
35/85
Creacin y administr acin de objetos de Active Directory 35
Ejercicio: Creacin y modificacin de grupos
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
En este ejercicio, se ocupar de:
Crear grupos globales y locales con Usuarios y equipos de Active Directory.
Crear grupos globales con la herramienta de lnea de comandos dsadd.
Cambiar el mbito de grupo de global a dominio local.
Convertir un grupo de seguridad en un grupo de distribucin.
Debe haber iniciado sesin con una cuenta (por ejemplo,
NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar
el comando Ejecutar como con una cuenta de usuario que disponga de lascredenciales administrativas apropiadas para realizar la tarea.
Como administrador de sistemas, debe crear varios grupos para el departamentode contabilidad. Estos grupos se utilizarn posteriormente para agrupar cuentas
y asignar grupos a los recursos.
Objetivos
Instrucciones
Situacin de ejemplo
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
36/85
36 Creacin y administr acin de objetos de Activ e Directory
Cree los grupos con Usuarios y equipos de Active Directory Complete esta tarea desde los equipos de ambos alumnos.
Credenciales para iniciar la sesin: Dominio: NWTraders
Nombre de usuario:NombreDeEquipoUser
Contrasea: P@ssw0rd
Credenciales para utilizar Ejecutar como:
Dominio: NWTraders
Nombre de usuario:NombreDeEquipoAdmin
Contrasea: P@ssw0rd
1. Cree la unidad organizativa Locations/NombreDeEquipo/Groups
(dondeNombreDeEquipo es el nombre de su equipo).2. Cree los grupos globales siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
GNombreDeEquipo Accounting Managers
GNombreDeEquipo Accounting Personnel
3. Cree los grupos de dominio local siguientes en la unidad organizativaLocations/NombreDeEquipo/Groups:
DLNombreDeEquipo Accounting Managers Full Control
DLNombreDeEquipo Accounting Managers Read
DLNombreDeEquipo Accounting Personnel Full Control
DLNombreDeEquipo Accounting Personnel Read
Cree grupos con la herramienta de lnea de comandos dsadd
Para iniciar un smbolo del sistema con el comando Ejecutar como,haga clic con el botn secundario del mouse en el acceso directo Smbolo delsistema del men Inicio y haga clic en Ejecutar como.
1. Cree el grupo global siguiente en la unidad organizativa IT Test:
GNombreDeEquipoTest
Ejemplo: C:\>dsadd group "cn=G London Test,ou=it test,dc=nwtraders,dc=msft" -secgrp yes -scope g -samid "G London Test"
2. Cree el grupo de dominio local siguiente en la unidad organizativa IT Test:
DLNombreDeEquipoTest
Ejemplo: C:\>dsadd group "cn=DL London Test,ou=it test,dc=nwtraders,
dc=msft" -secgrp yes -scope L -samid "DL London Test"
Ejercicio: Crear gruposcon Usuarios y equiposde Active Directory
Ejercicio: Utilizar unalnea de comandos
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
37/85
Creacin y administr acin de objetos de Active Directory 37
Los administradores de tecnologa de la informacin de Northwind Tradersdesean que escriba un procedimiento para cambiar el mbito de un grupo de
seguridad de global a dominio local. Debe crear todos los grupos de prueba en
la unidad organizativa IT Test.
Debe haber iniciado sesin con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta deusuario que disponga de las credenciales administrativas apropiadas para
realizar la tarea.
Cree un grupo de seguridad global En la unidad organizativa IT Test, cree un grupo de seguridad global
denominadoNombreDeEquipo Group Scope Test.
Documente el procedimiento para convertir el grupo global en grupo de
dominio local________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Los administradores de tecnologa de la informacin de Northwind Tradersdesean que pruebe la funcin de Active Directory que permite convertir un
grupo de seguridad en grupo de distribucin. Para ello, le piden que conviertael grupo de seguridad que ha creado en un grupo de distribucin.
Convierta el grupo de seguridad global en un grupo de distribucin Convierta el grupo de seguridadNombreDeEquipo Group Scope Test en un
grupo de distribucin.
Situacin de ejemplo
Ejercicio: Cambiar elmbito de grupo
Situacin de ejemplo
Ejercicio: Cambiarel tipo de grupo
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
38/85
38 Creacin y administr acin de objetos de Activ e Directory
Leccin: Estrategias para el uso de grupos
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Esta leccin le ayudar a disear una estrategia para el uso de grupos en unsolo dominio.
Despus de finalizar esta leccin, podr:
Explicar el anidamiento de grupos y las opciones de anidamiento
disponibles en el modo nativo de Windows.
Aplicar la estrategia AGDLP al utilizar grupos en un solo dominio.
Explicar qu son los grupos predeterminados y los grupos de sistema, ycundo deben utilizarse.
Introduccin
Objetivos de la leccin
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
39/85
Creacin y administr acin de objetos de Active Directory 39
Qu es el anidamiento de grupos?
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
El anidamiento permite agregar un grupo como integrante de otro grupo.Los grupos se anidan para consolidar las cuentas integrantes y reducir el trfico
de replicacin.
El diseo de la red debe reducir el anidamiento a slo un nivel. Un solo nivel
de anidamiento es lo ms efectivo, ya que el seguimiento de los permisos sehace ms complejo cuando existen varios niveles. Asimismo la solucin de
problemas es ms difcil cuando hay que trazar los permisos a lo largo demltiplos niveles de anidamiento. Por ello debe documentar la pertenencia a
grupos para hacer un seguimiento de los permisos.
Las opciones de anidamiento no son las mismas si el nivel funcional de
dominio de Windows Server 2003 se ha establecido como Windows 2000nativo o Windows 2000 mixto. Con el nivel funcional Windows 2000 nativo es
posible anidar distintos tipos de integrantes en un grupo, dependiendo de sumbito. Con el nivel funcional Windows 2000 mixto, slo pueden anidarse
grupos de seguridad cuyo mbito sea global o de dominio local.
Los grupos de los dominios con nivel funcional Windows 2000 nativo y losgrupos de distribucin de los dominios con nivel funcional Windows 2000
mixto pueden tener los integrantes siguientes:
Grupo con este mbito: Puede tener los integrantes siguientes:
Universal Cuentas, cuentas de equipo, otros grupos con mbito
universal y grupos con mbito global de cualquier dominio
Global Cuentas del mismo dominio y otros grupos con mbito
global del mismo dominio.
Dominio local Cuentas, grupos con mbito universal y grupos con mbito
global de cualquier dominio. Este grupo tambin puede
tener como integrantes otros grupos con mbito local del
mismo dominio.
Introduccin
Diseo paraanidamiento mnimo
Las opciones deanidamiento dependendel nivel funcional dedominio
Nivel funcionalWindows 2000 nativo
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
40/85
40 Creacin y administr acin de objetos de Activ e Directory
Los grupos de seguridad de los dominios con el nivel funcional Windows 2000mixto estn restringidos a los tipos de pertenencia siguientes:
Grupo con este mbito: Puede tener los integrantes siguientes:
Global Slo cuentas
Dominio local Otros grupos con mbito global y cuentas
Los grupos de seguridad con mbito universal no pueden crearse en dominioscon nivel funcional Windows 2000 mixto, ya que el mbito universal slo escompatible con los dominios que tienen el nivel funcional Windows 2000
nativo o Windows Server 2003.
Nivel funcionalWindows 2000 mixto
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
41/85
Creacin y administr acin de objetos de Active Directory 41
Presentacin multimedia: Estrategia de utilizacin de los grupos enun nico dominio
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Esta animacin explica la estrategia AGDLP para el uso de grupos. Para iniciarla presentacin, abrir el archivo media10_2.html que se puede encontrar dentro
del fichero media10.zip.
Para obtener ms informacin acerca de las estrategias de grupos, consulte el
apndice E: Estrategias de grupo.
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
42/85
42 Creacin y administr acin de objetos de Activ e Directory
Debate de la clase: Utilizar grupos en un nico dominio
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Northwind Traders tiene un solo dominio ubicado en Pars, Francia.Los administradores de Northwind Traders necesitan tener acceso a la
base de datos de inventario para realizar su trabajo.
Qu puede hacer para garantizar que todos los administradores tengan acceso a
dicha base de datos?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Ejemplo 1
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
43/85
Creacin y administr acin de objetos de Active Directory 43
Northwind Traders desea reaccionar con ms rapidez a las exigencias delmercado. Se ha determinado que los datos de contabilidad deben estar
disponibles para todo el personal del departamento de contabilidad. Northwind
Traders desea crear la estructura de grupos para toda la divisin decontabilidad, que incluye los departamentos de cuentas por pagar y cuentas porcobrar.
Qu hara para garantizar que los administradores tengan el acceso necesario y
que haya el mnimo trabajo de administracin?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Ejemplo 2
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
44/85
44 Creacin y administr acin de objetos de Activ e Directory
Grupos predeterminados y grupos de sistema
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Existen tres tipos de grupos predefinidos:
Grupos predeterminados en los servidores integrantes
Grupos predeterminados en Active Directory
Grupos de sistema
En los servidores integrantes, la carpeta Grupos se encuentra en la consolaUsuarios y grupos locales, que muestra todos los grupos locales integrados
predeterminados y todos los grupos locales creados posteriormente. Los gruposlocales predeterminados se crean automticamente al instalarWindows Server 2003. Los grupos locales pueden contener cuentas de usuario
locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.
En Active Directory, los grupos predeterminados son grupos de seguridad quese crean automticamente al instalar un dominio de Active Directory. Puede
utilizar estos grupos predefinidos para administrar los recursos compartidos ydelegar funciones administrativas especficas que afecten a todo el dominio.
Los grupos Operadores de cuentas y Operadores de servidor son ejemplos degrupos predeterminados que se instalan con Active Directory. Otros grupos son:
Controladores de dominio, Invitados de dominio y Administradores deorganizacin.
Los grupos predefinidos ayudan a controlar el acceso a los recursos
compartidos y delegar funciones administrativas especficas que afecten atodo el dominio. Muchos grupos predeterminados reciben automticamente
un conjunto de derechos de usuario que autoriza a sus integrantes a realizaracciones especficas en un dominio, como iniciar sesiones en un sistema local
o crear copias de seguridad de archivos y carpetas.
Introduccin
Grupospredeterminados en losservidores integrantes
Grupospredeterminados enActive Directory
Uso de los grupospredeterminados
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
45/85
Creacin y administr acin de objetos de Active Directory 45
Slo debe agregar un usuario a un grupo predeterminado si realmente deseaconcederle:
Todos los derechos de usuario asignados a ese grupo.
Todos los permisos asignados a ese grupo predeterminado para todos los
recursos compartidos asociados al mismo.
En caso contrario debe crear un nuevo grupo de seguridad y asignarle
nicamente los derechos de usuario o permisos que el usuario requiere.
Como recomendacin de seguridad, los integrantes de los grupos
predeterminados con amplio acceso administrativo no deben iniciar sesionesinteractivas con credenciales administrativas. En lugar de ello, los usuarios
que tengan este nivel de acceso deben iniciar la sesin con una cuenta noadministrativa y utilizar Ejecutar como.
Slo debe agregar a los grupos predeterminados los integrantesque requieran todos los derechos asociados a dichos grupos. Por ejemplo, si
tiene que agregar una cuenta de servicio para hacer copias de seguridad yrestaurar archivos en un servidor integrante, puede agregarla al grupo
Operadores de copia de seguridad. El grupo Operadores de copia de seguridadtiene los derechos de usuario necesarios para realizar copias de seguridad yrestaurar los archivos de un equipo.
Sin embargo, si la cuenta de servicio slo precisa hacer copias de seguridad delos archivos, pero no restaurarlos, es mejor crear un nuevo grupo. Puede asignara este grupo el derecho de usuario para crear copias de seguridad, pero no
asignarle el derecho de restaurar archivos.
Windows Server 2003 incluye varias identidades especiales denominadasgrupos de sistema. Los grupos de sistema representan a usuarios diferentes
en cada ocasin, en funcin de las circunstancias. Inicio de sesin annimo,Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que
conectan con otro equipo a travs de la red se asignan automticamente algrupo de sistema Red y reciben los permisos asignados a este grupo.
Aunque es posible conceder derechos de usuario y permisos a los grupos desistema, no es posible modificar ni ver sus integrantes.
Los mbitos de grupo no son aplicables a los grupos de sistema. Los usuarios seagregan automticamente a los grupos de sistema cuando inician una sesin o
tienen acceso a un recurso determinado.
Consideraciones deseguridad relativas a losgrupos predeterminados
Advertencia
Qu es un grupode sistema?
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
46/85
46 Creacin y administr acin de objetos de Activ e Directory
Debate de la clase: Uso de grupos predeterminados frente acreacin de nuevos grupos
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Northwind Traders tiene ms de 100 servidores en todo el mundo. Usted asistea una reunin para discutir las tareas que deben realizar los administradores y
qu nivel de acceso mnimo requieren los usuarios para realizar tareasespecficas. Tambin debe determinar si puede utilizar grupos predeterminados
o si debe crear grupos, y asignarles derechos de usuario y permisos especficospara realizar las tareas.
Debe asignar grupos predeterminados o crear grupos nuevos para las tareas
siguientes. Indique el grupo que tiene los derechos de usuario ms restrictivospara realizar las acciones siguientes o determine si debe crear un grupo nuevo.
1. Crear copias de seguridad y restaurar controladores de dominio.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
2. Crear copias de seguridad de servidores integrantes.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
3. Crear grupos en la unidad organizativa NWTraders Groups.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
Situacin de ejemplo
Explicacin
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
47/85
Creacin y administr acin de objetos de Active Directory 47
4. Iniciar sesiones en el dominio.
____________________________________________________________
____________________________________________________________
____________________________________________________________
5. Determinar quin precisa acceso de slo lectura a los servidores deProtocolo de configuracin dinmica de host (DHCP,Dynamic Host
Configuration Protocol).
____________________________________________________________
____________________________________________________________
____________________________________________________________
6. Determinar qu empleados del servicio de soporte tcnico requieren accesopara controlar el escritorio de forma remota.
____________________________________________________________
____________________________________________________________
____________________________________________________________
7. Determinar quin requiere acceso administrativo a todos los equipos de todoel dominio.
____________________________________________________________
____________________________________________________________
____________________________________________________________
8. Determinar quin requiere acceso a una carpeta compartida denominadaVentas en un servidor denominado LonSrv2.
____________________________________________________________
____________________________________________________________
____________________________________________________________
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
48/85
48 Creacin y administr acin de objetos de Activ e Directory
Leccin: Uso de permisos para controlar el acceso a losobjetos de Active Directory
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
En esta leccin se explica el funcionamiento de los permisos enActive Directory.
Despus de finalizar esta leccin, podr:
Utilizar la estructura de unidades organizativas para administrar objetos. Explicar qu son los permisos de objeto de Active Directory.
Describir las caractersticas de los permisos de objeto de Active Directory.
Describir la herencia de los permisos de objeto de Active Directory.
Describir los efectos de la modificacin de los objetos en la herencia de
permisos.
Modificar los permisos de objetos de Active Directory.
Explicar qu son los permisos efectivos de objetos de Active Directory.
Determinar los permisos efectivos de los objetos de Active Directory.
Introduccin
Objetivos de la leccin
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
49/85
Creacin y administr acin de objetos de Active Directory 49
Presentacin multimedia: La estructura de unidades organizativas
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Esta presentacin explica cmo utilizar las unidades organizativas para agruparobjetos y lograr una administracin ms efectiva. Tambin explica las dos
finalidades principales de una jerarqua de unidades organizativas. Para iniciarla presentacin, abrir el archivo media10_3.html que se puede encontrar dentro
del fichero media10.zip.
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
50/85
50 Creacin y administr acin de objetos de Activ e Directory
Qu son los permisos de objeto de Active Directory?
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Los permisos de objeto de Active Directory proporcionan seguridad a losrecursos al permitir controlar qu administradores o usuarios tienen acceso
a objetos individuales o a sus atributos, as como el tipo de acceso permitido.Con los permisos es posible asignar privilegios administrativos para una unidad
organizativa o una jerarqua de unidades organizativas, y as administrar elacceso a la red. Tambin pueden utilizarse permisos para asignar privilegios
administrativos para un objeto especfico a un usuario o grupo determinado.
Los permisos estndar son los permisos que se conceden con ms frecuencia y
constan de un conjunto de permisos especiales. Los permisos especiales ofrecenun mayor grado de control para el tipo de acceso a los objetos que se puedeconceder. La tabla siguiente indica algunos de los permisos estndar.
Permiso Permite al usuario:
Control total Cambiar los permisos, tomar posesin y realizar las
tareas que permiten todos los dems permisos estndar.
Escribir Cambiar los atributos del objeto.
Leer Ver los objetos, atributos de objeto, el propietario del
objeto y los permisos de Active Directory.Crear todos los objetos
secundarios
Agregar cualquier tipo de objeto a una unidad
organizativa.
Eliminar todos los objetos
secundarios
Quitar cualquier tipo de objeto secundario de una unidad
organizativa.
Introduccin
Permisos estndary especiales
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
51/85
Creacin y administr acin de objetos de Active Directory 51
Para que los usuarios puedan tener acceso a un objeto, un administrador o elpropietario del objeto deben conceder permisos sobre el mismo. Para cada objeto
de Active Directory, la familia de sistemas operativos Windows 2003 Server
almacena una lista de permisos de acceso de los usuarios denominada lista decontrol de acceso discrecional (DACL,Discretionary Access Control List).La DACL de un objeto muestra quin puede tener acceso al objeto y las acciones
especficas que cada usuario puede realizar con el objeto.
Para obtener ms informacin acerca de los permisos en Active Directory,consulte el artculo Best practices for assigning permissions on Active
Directory objects (en ingls) enhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp.
Acceso autorizadopor los permisos
Lecturas adicionales
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
52/85
52 Creacin y administr acin de objetos de Activ e Directory
Caractersticas de los permisos de objeto de Active Directory
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Aunque los permisos NTFS y los permisos de objeto de Active Directory sonsimilares, existen ciertas caractersticas especficas de los segundos. Los permisos
de objeto de Active Directory pueden concederse o denegarse, denegarseimplcita o explcitamente, establecerse como permisos estndar o especiales,
y establecerse en el nivel de objeto o heredarse desde el objeto principal.
Puede conceder o denegar permisos. Los permisos denegados tienen prioridad
sobre cualquier otro permiso que se conceda de otra forma a los grupos y lascuentas de usuario. Slo deben denegarse permisos cuando sea necesario quitar
un permiso concedido a un usuario a travs de su pertenencia a un grupo.
Los permisos pueden denegarse de forma implcita o explcita como sigue:
Cuando los permisos para realizar una operacin no se conceden
explcitamente, entonces se deniegan implcitamente.
Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto
usuario y no hay ningn otro principal de seguridad en la lista DACL de eseobjeto, se deniega implcitamente el acceso a los usuarios que no sean
integrantes del grupo Marketing. El sistema operativo no permite leer laspropiedades del objeto usuario a los usuarios que no sean integrantes del
grupo Marketing.
Un permiso se deniega explcitamente cuando se desea impedir que un
subconjunto de un grupo mayor realice una tarea para la que el resto del
grupo tiene permiso.
Por ejemplo, puede ser necesario impedir que un usuario denominado Donvea las propiedades de un objeto usuario. Sin embargo, Don es integrante
del grupo Marketing, que tiene permisos para ver las propiedades del objetousuario. Para evitar que Don pueda ver las propiedades del objeto usuario,
puede denegarle explcitamente el permiso Leer.
Introduccin
Conceder y denegarpermisos
Permisos implcitoso explcitos
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
53/85
Creacin y administr acin de objetos de Active Directory 53
La mayora de las tareas con objetos de Active Directory pueden configurarse atravs de los permisos estndar. Estos permisos son los de uso ms habitual; sin
embargo, si es necesario conceder permisos ms detallados, puede utilizar
permisos especiales.
Cuando se establecen permisos en un objeto principal, los nuevos objetos
heredan sus permisos. Es posible quitar los permisos heredados, pero tambinpueden volver a habilitarse si se desea.
Permisos estndary especiales
Permisos heredados
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
54/85
54 Creacin y administr acin de objetos de Activ e Directory
Herencia de permisos
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Un objeto principal es cualquier objeto que tenga una relacin con otro objetodenominado secundario. El objeto secundario hereda los permisos del objeto
principal. La herencia de permisos de Active Directory reduce al mnimo elnmero de veces que se necesita conceder permisos para los objetos.
La herencia de permisos en Windows Server 2003 simplifica la tarea deadministrar los permisos en los aspectos siguientes:
No es necesario aplicar permisos manualmente a los objetos secundarios en
el momento de crearlos.
Los permisos aplicados a un objeto principal se aplican de forma coherente
a todos los objetos secundarios.
Cuando se deben modificar los permisos de todos los objetos de un
contenedor, slo es necesario modificar los del objeto principal. Los objetos
secundarios heredan los cambios automticamente.
Qu es la herenciade permisos?
Ventajas
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
55/85
Creacin y administr acin de objetos de Active Directory 55
Efectos de modificar los objetos en la herencia de permisos
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
La modificacin de los objetos de Active Directory afecta a la herencia depermisos. Como administrador de sistemas, se le pedir que mueva objetos
de una unidad organizativa a otra en Active Directory cuando las funcionesorganizativas o administrativas cambien. Al hacerlo, los permisos heredados
tambin cambian. Es esencial que tenga presente estas consecuencias antes demodificar los objetos de Active Directory.
Cuando se mueven objetos entre unidades organizativas, se aplican lascondiciones siguientes:
Los permisos establecidos explcitamente se mantienen.
Los objetos heredan los permisos de la unidad organizativa a la que se les
mueve.
Los objetos dejan de heredar los permisos de la unidad organizativa de la
que provienen.
Cuando se modifican objetos de Active Directory, es posible mover
mltiples objetos al mismo tiempo.
Introduccin
Efectos de moverobjetos
Nota
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de Active Directory
56/85
56 Creacin y administr acin de objetos de Activ e Directory
Es posible impedir la herencia de permisos de forma que un objeto secundariono herede los permisos de su objeto primario. Cuando se impide la herencia,
slo se aplican los permisos establecidos explcitamente.
Cuando se impide la herencia de permisos, la familia de sistemas operativosWindows Server 2003 permite:
Copiar los permisos heredados al objeto. Los nuevos permisos se convierten
en permisos explcitos para el objeto. Se trata de una copia de los permisos
que el objeto hered previamente de su objeto principal. Despus de copiarlos permisos heredados, puede hacer en ellos los cambios necesarios.
Quitar los permisos heredados del objeto. Al quitar estos permisos, se
eliminan todos los permisos del objeto. Despus puede conceder cualquier
permiso nuevo que desee para el objeto.
Impedir la herenciade permisos
8/8/2019 10.- Creacion y Admin is Trac Ion de Objetos de