8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
1/35
Gestión de Objetos de Servicios de
Dominio de Active Directory
Administración de Sistemas Operativos
Adriana Arista V.
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
2/35
¿Qué es una cuenta de
usuario?
¿Cuáles serian las recomendaciones
para contraseñas seguras?
¿Cuál es la diferencia entre una
cuenta de usuario local y una
de dominio?
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
3/35
Índice
• Introducción• Objetivo General• Objetivos Específicos1. Administrando Cuentas de Usuario
1.1. Herramientas Administrativas en AD DS1.2. Creación de Cuentas de Usuario1.3. Configuración de Atributos de Cuentas de Usuarios1.4. Creación de Perfiles de Usuario
1.5. Creación de Cuentas de Usuario usando plantillas deCuentas de Usuario1.6. Demostración: Administrando cuentas de usuariomediante la herramienta Usuarios y Equipos de Active
Directory.
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
4/35
2. Administrando Cuentas de Grupo2.1. Tipos de Grupo
2.2. Ámbitos de grupo2.3. Implementando Administración de Grupo2.4. Grupos Predeterminados e Identidades Especiales
2.5. Demostración: Administrar Grupos3. Administrando Cuentas de Equipo3.1. ¿Qué es el contenedor de Equipos?3.2. Especificación de la ubicación de cuentas de equipo3.3. Control de Permisos para crear cuentas de equipo.3.4. Cuentas de Equipo y Canales Seguro3.5. Restablecer el Canal Seguro
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
5/35
4. Delegar la administración4.1. Permisos en AD DS
4.2. Permisos Efectivos en AD DS4.3. Demostración: Delegando Control Administrativo
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
6/35
Introducción
• Se presentará la importancia de la administración deusuarios, grupos y equipos de Active Directory DomainServices (AD DS), para lograr que su estructura jerárquicapermita mantenerlos con componentes de una red, comotambién permisos, asignación de recursos y políticas deacceso.
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
7/35
Objetivo General
• Describir la administración de los objetos del AD.
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
8/35
Objetivos Específicos
•
Administrar cuentas de usuario conherramientas gráficas.
• Administrar grupos con herramientas gráficas.
• Administrar cuentas de equipo.
• Delegar permisos para realizar tareas deadministración de los servicios de dominio deActive Directory® (AD DS).
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
9/35
1 Administrando cuentas de usuario
• Herramientas administrativas en AD DS• Creación de cuentas de usuario
• Configuración de Atributos de cuentas de usuarios
• Creación de perfiles de usuario• Creación de cuentas de usuario usando plantillas de
cuentas de usuario
• Demostración: Administrando cuentas de usuariomediante la herramienta Usuarios y equipos de ActiveDirectory
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
10/35
1 1 Herramientas administrativas de AD DS
Para administrar los objetos de AD DS, puede utilizar lassiguientes herramientas gráficas :
También puede utilizar las siguientes herramientas de línea de
comandos:
• Active Directory Administration snap-ins
• Active Directory Administrative Center
• Modulo Active Directory en Windows PowerShell
• Comandos del Directory Service
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
11/35
1 2 Creación de cuentas de usuario
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
12/35
1 3 Propiedades de Cuentas de Usuario
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
13/35
1 4 Creación de perfiles de usuario
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
14/35
1 5 Creación de cuentas de usuario usando
plantillas de cuentas de usuario
Se pueden crear nuevas cuentas de usuario mediante lacreación de plantillas de cuentas de usuario:
• Crear varios usuarios típicos que reflejan diversos gruposdentro de su organización
• Copiar la cuenta de usuario que es la más parecida a lanueva cuenta que desea crear
• Modificar los atributos de cuenta tales como nombre,dirección de correo electrónico, y el nombre de inicio de
sesión
Una plantilla de cuenta de usuario es una cuentacon propiedades comunes que se han configurado
previamente
Las plantillas de cuentas de usuario se aprovechan
de las similitudes entre cuentas de usuario
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
15/35
1 6 Demostración: Gestión de cuentas de
usuario mediante Usuarios y equipos de
Active Directory
En esta demostración, verá cómo:
• Abra la herramienta Usuarios y equipos de ActiveDirectory
• Eliminar una cuenta de usuario
• Crear una plantilla de cuenta de usuario
• Crear una nueva cuenta de usuario desde una plantilla
•
Modificar las propiedades de una cuenta de usuario• Cambiar el nombre de una cuenta de usuario
• Mover una cuenta de usuario
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
16/35
2 Gestión de cuentas de grupo
• Tipos de grupo
• Ámbitos de grupo
• Implementando administración de grupo
• Grupos predeterminados e Identidades especiales
• Demostración: Administrar grupos
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
17/35
2 1 Tipos de Grupos
• Grupos de Distribución• Sólo se utiliza con aplicaciones de
correo electrónico
• Sin seguridad habilitada (no SID);
no se puede otorgar permisos
• Grupos de Seguridad
• Seguridad principal con un SID;se puede dar permisos
• También puede ser habilitada paracorreo electrónico
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
18/35
2 2 Ámbito de Grupos
U UsuarioC Computador (Equipo)GG Grupo GlobalDLG Grupo de Dominio LocalUG Grupo Universal
Ámbito degrupo
Miembros delmismo dominio
Miembros deldominio en el
mismobosque
Miembros dedominios
externos deconfianza
Pueden serAsignados
permisos a losrecursos
Local U, C,GG, DLG, UGy usuarios locales
U, C,GG, UG
U, C,GG
En el equipo localsolamente
Dominio Local U, C,GG, DLG, UG U, C,GG, UG U, C,GG En cualquier partedel dominio
Universal U, C,GG, UG
U, C,GG, UG
N/A En cualquier lugaren el bosque
Global U, C,GG
N/A N/A En cualquier partedel dominio o de undominio deconfianza
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
19/35
2 3 Implementando la Administración de
Grupos
•
Identidades (I) (usuarios oequipos) Son miembros de
• Los grupos globales (G) queagrupan miembros basados enlos roles de esos miembros, de
los que son miembros• Los grupos locales de dominio
(DL) Que ofrecen Gestión dealgún tipo, tal como la gestiónde acceso a un recurso
Los cuales son :
• Acceso asignado a un recurso(A)
• En un bosque con varios
dominios: IGUDLA, donde U esuniversal.
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
20/35
2 4 Grupos predeterminados e Identidades
especiales
Windows Server proporciona dos grupos adicionales :• Grupos predeterminados
• Los grupos predeterminados que proporcionan privilegiosadministrativos deben ser administrados con cuidado :
• Por lo general tienen privilegios más amplios que losnecesarios para ambientes más delegados
• A menudo aplican protección a sus miembros
• Identidades especiales
•
Grupos para los que la pertenencia es controlado por el sistemaoperativo
• La importancia de estas identidades especiales es que se puedeutilizar para proporcionar acceso a los recursos en función deltipo de autenticación o conexión, en lugar de la cuenta deusuario
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
21/35
2 5 Demostración: Administrando Grupos
En esta demostración, verá cómo:• Crear un nuevo grupo
• Agregar miembros al grupo
• Añadir un usuario al grupo
• Cambiar el alcance y el tipo de grupo
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
22/35
3 Gestión de cuentas de equipo
• ¿Qué es el contenedor de Equipos?
• Especificación de la ubicación de cuentas de equipo
• Control de permisos para crear cuentas de equipo
• Cuentas de equipo y canales seguros
• Restablecer el canal seguro
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
23/35
3 1 ¿Qué es el contenedor de Equipos?
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
24/35
3 2 Especificación de la ubicación de cuentas
de equipo
• La mejor práctica es crear unidadesorganizativas para objetos de equipo
• Servidores
• Normalmente subdividido por rol de
servidor• Equipos Clientes
• Normalmente subdivididos porregión
•
Divida las unidades organizativas :• Por administración
• Para facilitar la configuración dedirectiva de grupo
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
25/35
3 3 Control de permisos para crear cuentas
de equipo
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
26/35
3 4 Cuentas de equipo y canales seguros
• Los equipos tienen cuentas• sAMAccountName y contraseña
• Se utiliza para crear un canal seguro entre el ordenador y uncontrolador de dominio
• Escenarios donde un canal seguro puede ser quebrantado• Reinstalación de un equipo, incluso con el mismo nombre,
genera un nuevo SID y contraseña
• Restauración de un equipo desde una copia de seguridad
antigua, o reversión de un equipo a una imagen anterior• Equipo y Dominio no están de acuerdo sobre cual es la
contraseña
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
27/35
3 5 Restablecer el canal seguro
•
No elimine un equipo del dominio y simplemente tratede volver a unirlo.
• Crea una nueva cuenta: nuevo SID, la pertenencia agrupos se pierde
•
Opciones para restablecer el canal seguro• Usuarios y equipos de Active Directory
• DSMod
• NetDom
• NLTest
• Windows PowerShell
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
28/35
4 Delegando la Administración
• Permisos en AD DS
• Permisos efectivos en AD DS
• Demonstración: Delegando Control Administrativo
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
29/35
4 1 Permisos en AD DS
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
30/35
4 2 Permisos efectivos en AD DS
Permisos asignados a usted y a sus gruposLa mejor práctica es asignar permisos a grupos, no ausuarios individuales
En el caso de conflictos:
Para evaluar los permisos efectivos, puede utilizar :
•
Permisos Denegar anulan Permisos Permitir.• Los permisos explícitos tienen prioridad sobre los
permisos heredados
• Permisos Explícitos anulan a permisos Denegar
heredados
• La ficha Permisos efectivos
• Análisis manual
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
31/35
4 3 Demostración: Delegación del control
administrativo
En esta demostración, verá cómo:• Delegar una tarea estándar
• Delegar una tarea personalizada
•
Visualizar los permisos AD DS resultantes de estas delegaciones
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
32/35
Pregunta:
Usted es responsible de la gestión de cuentas y elacceso a los rescurso para los miembros de su grupo. Un usuario en su grupo es transferido a otrodepartamento dentro de la empresa ¿Que debehacer con la cuenta de usuario?
RPTA: Aunque su empresa puede tener un representantede Recursos Humanos con permisos en AD DS para movercuentas de usuario, la mejor solución es mover la cuentade usuario a la unidad organizativa apropiada del nuevo
departamento. De esta manera, las directivas de grupoasociadas al nuevo departamento se hacen cumplir.
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
33/35
Bibliografía
20410B Installing and Configuring Windows Server 2012Official Microsoft Learning Product. Microsoft.
William R. Stanek (2013). Inside Out Windows Server
2012. Washington: Inside Out Microsoft Press.
(005.43WI/S78)
Carretero Pérez, Jesús (2001). Sistemas operativos. Unavisión aplicada. Madrid: Mc Graw-Hill (005.43/C28)
Charte Ojeda, Francisco (2008). Windows Server 2008.
Madrid: Anaya Multimedia (005.43WI/C525)
Raya Gonzalez, Laura. (2005).Sistemasoperativos enentorno monousuarios y multiusuarios . México D.F.:
Alfaomega (005.43/R28R)
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
34/35
FIN DE LA UNIDAD
8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf
35/35
Próxima Sesión
Automatización de Administración
de Servicios de Dominio de Active
Directory
Administración de Sistemas Operativos
Top Related