Sunteți pe pagina 1din 33
Creación y administración de objetos de Active Directory
Creación y
administración de
objetos de
Active Directory

Introducción

Creación de unidades organizativas, cuentas de usuario y cuentas de equipo

Creación y modificación de grupos

Estrategias para el uso de grupos

Uso de permisos para controlar el acceso a los objetos de Active Directory

Delegar el control de los objetos de Active Directory para lograr una administración segura y descentralizada

Mover objetos de Active Directory

Lección: Creación de unidades organizativas, cuentas de usuario y cuentas de equipo

Modelos jerárquicos de unidad organizativa

Nombres asociados a las unidades organizativas

Cómo crear una unidad organizativa

Cómo crear una cuenta de usuario

Cómo y dónde crear cuentas de equipo en un dominio

Opciones de cuenta de equipo

Cómo crear una cuenta de equipo

Modelos jerárquicos de unidad organizativa Basado en la función S S – Sales C – Consultants
Modelos jerárquicos de unidad
organizativa
Basado en la función
S
S – Sales
C – Consultants
M – Marketing
Ejemplo de modelo
híbrido
Función
 Organización
C
M
Basado en la
organización
Ubicación
 Función
M
M – Manufacturing
E – Engineering
R – Research
Organización
 Ubicación
E
R
Basado en la ubicación
N
N – Norway
F – France
I – Indonesia
F
I

Nombres asociados a las unidades organizativas

Nombre Ejemplo Nombre completo relativo LDAP OU=MiUnidadOrganizativa Nombre completo LDAP OU=MiUnidadOrganizativa, DC=microsoft, DC=com Nombre canónico Microsoft.com/MiUnidadOrga
Nombre
Ejemplo
Nombre completo
relativo LDAP
OU=MiUnidadOrganizativa
Nombre completo
LDAP
OU=MiUnidadOrganizativa,
DC=microsoft, DC=com
Nombre canónico Microsoft.com/MiUnidadOrga
nizativa
Cómo y dónde crear cuentas de equipo en un dominio Los Los administradores administradores pueden: pueden:
Cómo y dónde crear cuentas de equipo
en un dominio
Los
Los administradores
administradores pueden:
pueden:
Crear una cuenta de equipo en una unidad
Crear una cuenta de equipo en una unidad
organizativa específica
organizativa específica
Crear una cuenta de equipo en el contenedor
Crear una cuenta de equipo en el contenedor
Equipos y, a continuación, moverla a la unidad
Equipos y, a continuación, moverla a la unidad
organizativa correspondiente
organizativa correspondiente
Crear cuentas ensayadas previamente para los
Crear cuentas ensayadas previamente para los
usuarios
usuarios
que se unen a un dominio
que se unen a un dominio
Los
Los usuarios
usuarios pueden:
pueden:
Utilizar una cuenta ensayada previamente para
Utilizar una cuenta ensayada previamente para
unir una cuenta de equipo al dominio
unir una cuenta de equipo al dominio
Unir una cuenta de equipo al dominio y después
Unir una cuenta de equipo al dominio y después
agregarla al contenedor Equipos de Active
agregarla al contenedor Equipos de Active
Directory
Directory

Opciones de cuenta de equipo

Opciones de cuenta de equipo

Lección: Creación y modificación de grupos

¿Qué son los grupos?

Presentación multimedia: Servidor de catálogo global

Grupos y niveles funcionales de dominio

Cómo decidir el tipo y el ámbito de un grupo

Cómo crear un grupo

Cambiar el ámbito y el tipo de un grupo

Cómo modificar un grupo

¿Qué son los grupos?

Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos Los grupos simplifican la
Un grupo es un conjunto de usuarios,
equipos, contactos y otros grupos
Los grupos simplifican la administración al
permitir asignar privilegios a múltiples
usuarios de una sola vez
Tipo de
Se utiliza para
grupo
Seguridad
Designar derechos de usuario y permisos
Jefes de ventas
Jefes de ventas
Puede utilizarse como una lista de distribución de
correo electrónico
Representantes de ventas
Representantes de ventas
Asistentes de ventas
Asistentes de ventas
Grupo
Grupo Ventas
Distribution Asignar listas de usuarios a aplicaciones de correo
Ventas
Ámbito
Descripción
electrónico
de grupo
No puede usarse para asignar permisos
Global
Administrar objetos de directorio que requieren
mantenimiento diario, como las cuentas de usuario
y de equipo
Universal
Consolidar grupos que abarcan varios dominios
Dominio
Definir y administrar el acceso a los recursos en un
local
mismo dominio

Presentación multimedia: Servidor de catálogo global

En esta presentación se introducen las funciones del catálogo global de Active Directory
En esta presentación se
introducen
las funciones del catálogo
global de Active Directory

Grupos y niveles funcionales de dominio

Windows 2000 Windows Windows mixto 2000 nativo Server 2003 (predeterminad o) Controlador Windows NT Windows Windows
Windows 2000
Windows
Windows
mixto
2000 nativo Server 2003
(predeterminad
o)
Controlador
Windows NT
Windows
Windows
es de
Server 4.0,
2000,
Server 2003
Windows 2000, Windows
dominio
Server 2003
admitidos
Windows
Server 2003
Ámbitos
Global,
Global,
Global,
de grupo
Dominio local
Dominio
Dominio
local,
local,
admitidos
Universal
Universal

Cómo decidir el tipo y el ámbito de un grupo

Grupo Se utiliza para Grupo Organizar los usuarios con trabajos y requisitos de acceso a la
Grupo
Se utiliza para
Grupo
Organizar los usuarios con trabajos y
requisitos de acceso a la red similares
global
No crear un grupo global para el acceso
a recursos específicos del dominio
Grupo
Anidar grupos globales para asignar
permisos sobre los recursos
universal
relacionados de varios dominios
Grupo de
dominio local
Asignar permisos para los recursos
ubicados en el mismo dominio que el
grupo local
Ubicar todos los grupos globales que
comparten los mismos recursos en el
grupo de dominio local adecuado
Grupo local
Asignar permisos para recursos
ubicados en el equipo en el que se ha

creado el grupo local

Cambiar el ámbito y el tipo de un grupo

Cambiar el ámbito de grupo De global a universal De dominio local a universal De universal a global De universal a dominio local

Cambiar el tipo de grupo De seguridad a distribución De distribución a seguridad

Lección: Estrategias para el uso de grupos

¿Qué es el anidamiento de grupos?

Presentación multimedia: Estrategia de utilización de los grupos en un único dominio

Grupos predeterminados y grupos de sistema

¿Qué es el anidamiento de grupos? El anidamiento de grupos significa agregar El anidamiento de grupos
¿Qué es el anidamiento de
grupos?
El anidamiento de grupos significa agregar
El anidamiento de grupos significa agregar
un grupo como integrante de otro grupo
un grupo como integrante de otro grupo
Grupo
Grupo
Grupo
Grupo Grupo
Grupo
Grupo Grupo
Grupo
Los grupos pueden anidarse para
consolidar su administración
El diseño de la red debe limitarse a un nivel
de anidamiento
Las opciones de anidamiento varían según
el nivel funcional del dominio de Windows
Server 2003
 Windows 2000 nativo
 Windows 2000 mixto
Presentación multimedia: Estrategia de utilización de los grupos en un único dominio Esta presentación explica la
Presentación multimedia: Estrategia de
utilización de los grupos en un único
dominio
Esta presentación explica la
estrategia AGDLP para el uso
de grupos
D
D
AA
GG
PP
L
L

Debate de la clase: Utilizar grupos en un único dominio

Situación de ejemplo 1 Northwind Traders tiene un solo dominio ubicado en París, Francia Los administradores
Situación de ejemplo 1
Northwind Traders tiene un solo dominio
ubicado en París, Francia
Los administradores de Northwind Traders
necesitan tener acceso
a la base de datos de inventario
¿Qué puede hacer para garantizar que todos los
administradores
tengan acceso a dicha base de datos?
Situación de ejemplo 2
Northwind Traders desea que todos los datos
de contabilidad estén a disposición del
personal contable
Northwind Traders desea crear la estructura
de grupos de toda la división de contabilidad,
que incluye los departamentos de cuentas por

pagar y cuentas por cobrar

Grupos predeterminados y grupos de sistema Grupo Descripción Se utilizan para Grupos Grupos creados durante la
Grupos predeterminados y grupos
de sistema
Grupo
Descripción
Se utilizan para
Grupos
Grupos creados durante la
Controlar el acceso a los
predeterminad
instalación que reciben
recursos compartidos y
os
automáticamente un
delegar tareas
conjunto
administrativas
de derechos de usuario
específicas
Grupos de
Grupos de sistema que
Conceder derechos de
sistema
representan a usuarios
usuario y permisos
diferentes en momentos
diferentes
Ejemplos : Anónimo, Todos
Consideraciones de seguridad
y Red
En lugar de:
Intente:
Agregar un usuario a un
Agregar el usuario a un nuevo grupo de
grupo predeterminado
seguridad que tenga asignados los
privilegios mínimos necesarios
Iniciar una sesión
Iniciar una sesión sin derechos de
interactiva con credenciales administración y utilizar el comando
administrativas
Ejecutar como

Debate de la clase: Uso de grupos predeterminados frente a creación de nuevos grupos

 Northwind Traders tiene más de 100 servidores en todo el mundo  Usted debe recomendar
 Northwind Traders tiene más de 100
servidores en todo el mundo
 Usted debe recomendar el nivel de
acceso mínimo que requieren los
usuarios para realizar tareas
específicas
 Debe decidir si:
 Utilizar grupos predeterminados
 Crear grupos y, después, asignarles
derechos de usuario y permisos
específicos para realizar tareas
determinadas

Lección: Uso de permisos para controlar el acceso a los objetos de Active Directory

Presentación multimedia: La estructura

de unidades organizativas

¿Qué son los permisos de objeto de

Active Directory?

Características de los permisos de

objeto de Active Directory

Herencia de permisos

Efectos de modificar los objetos en la

herencia de permisos

Cómo modificar los permisos de objetos

de Active Directory

Permisos efectivos de objetos de Active

Directory

Cómo determinar los permisos efectivos

de objetos

de Active Directory

Presentaci n multimedia: La estructura de unidades organizativas

En esta presentación se explica lo siguiente:  Uso de las unidades organizativas para agrupar objetos
En esta presentación se
explica lo siguiente:
 Uso de las unidades
organizativas
para agrupar objetos y lograr
una administración más
efectiva
 Los dos propósitos principales
de una jerarquía de unidad
organizativa
¿Qué son los permisos de objeto de Active Directory? Permiso Permite al usuario: Control total Cambiar
¿Qué son los permisos de objeto de
Active Directory?
Permiso
Permite al usuario:
Control total
Cambiar los permisos, tomar posesión y
realizar las tareas que permiten todos
los demás permisos estándar
Escribir
Cambiar los atributos del objeto
Leer
Ver los objetos, atributos de objeto, el
propietario del objeto y los permisos de
Active Directory
Crear todos
Agregar cualquier tipo de objeto a una
los objetos
unidad organizativa
secundarios
Eliminar todos
Quitar cualquier tipo de objeto
los objetos
secundario de una unidad organizativa
secundarios

Características de los permisos de objeto de Active Directory

Los permisos de objeto de Active

Directory pueden ser:

Concedidos o denegados

Denegados implícita o explícitamente

Establecidos como permisos estándar o

especiales

Los permisos estándar son los que

se asignan

con mayor frecuencia

Los permisos especiales

proporcionan un mayor grado

de control para asignar el acceso a

los objetos

Establecidos en el objeto o heredados del

Herencia de permisos

Los contenedores secundarios y sus objetos heredan los permisos establecidos en su contenedor principal Los permisos
Los contenedores secundarios y sus
objetos heredan los permisos
establecidos en su contenedor principal
Los permisos heredables se propagan
del objeto principal a un objeto
secundario:
 Al crear el objeto secundario
Permisos
 Cuando se modifican los permisos en el
Los
Acces
Acces
principal Contenedor Usuario 1
contenedo
Usuario 1
Leer
Leer
objeto
o o
res
principal
Grupo
Grupo 1
1 Control total
Control total
secundario
s
heredan
Permisos
los
Contenedor Usuario 1
Usuario 1
Leer
Los usuarios tienen
Leer
permisos
asignado permiso de
secundario
Grupo
Grupo 1
1 Control total
Control total
acceso para el
contenedor principal

Efectos de modificar los objetos en la herencia de permisos

Al mover un objeto de una unidad

organizativa a otra se ve afectada la

herencia de permisos:

Los permisos establecidos explícitamente

se mantienen

Los objetos movidos heredan los permisos

de la nueva unidad organizativa principal

Los objetos movidos ya no heredan los

permisos de la unidad organizativa

anterior

Impedir la herencia de permisos

estableciendo permisos explícitos para

un objeto secundario

Permisos efectivos de objetos de Active Directory

Características de los permisos efectivos:

Los permisos son acumulativos

La denegación de permisos prevalece sobre

todos los

demás permisos

Los propietarios de los objetos siempre

pueden cambiar

los permisos

Son necesarios permisos para leer la

información

de permisos efectivos:

Los administradores de dominio tienen

permiso para leer la información de

pertenencia de todos los objetos

Los usuarios autenticados del dominio

pueden leer la información de pertenencia

Lección: Delegar el control de los objetos de Active Directory para lograr una administración segura y descentralizada

Delegación del control de una unidad

organizativa

Asistente para delegación de control

Cómo delegar el control de una unidad

organizativa

¿Por qué asignar un administrador a un

grupo?

Cómo asignar un administrador a un

grupo

Delegación del control de una unidad organizativa Asignación de la responsabilidad de administrar una unidad organizativa
Delegación del control de una unidad
organizativa
Asignación de la responsabilidad de
administrar una unidad organizativa a otro
usuario o grupo
Por qué delegar la
administración
 La administración de la
red es más sencilla
porque las tareas
rutinarias se distribuyen
 Los usuarios tienen un
mayor control de los
recursos de red locales
UO1
Admin1
Admin1
 Son necesarias menos
cuentas administrativas
con autoridad amplia
UO2
UO3
Dominio
Admin2
Admin2
Admin3
Admin3

Asistente para delegación de control

Con el Asistente para delegación de

control puede especificar:

El usuario o grupo en el que desea

delegar el control

Las unidades organizativas y los objetos

cuyo control desea delegar en el usuario o

grupo

Las tareas que desea que el usuario o

grupo pueda realizar

El Asistente para delegación de control

asigna automáticamente a los usuarios

los permisos necesarios para el acceso

y modificación de los

objetos especificados

Ejercicio: Delegar el control de una unidad organizativa

En este ejercicio, se ocupará de:  Delegar el control de la unidad organizativa Computers 
En este ejercicio, se ocupará
de:
 Delegar el control de la
unidad organizativa
Computers
 Probar los permisos
delegados para la unidad
organizativa Computers
 Delegar el control de la
unidad organizativa Users
 Probar los permisos
delegados para la unidad

organizativa Users

¿Por qué asignar un administrador a un grupo?

Administrador Administrador Grupo Grupo Para permitirle:  Determinar quién es el responsable de cada grupo 
Administrador
Administrador
Grupo
Grupo
Para permitirle:
 Determinar quién es el responsable de
cada grupo
 Delegar en el administrador del grupo la
autoridad para agregar y quitar usuarios
del grupo
Para distribuir la responsabilidad
administrativa
de agregar usuarios a los grupos a

Lección: Mover objetos de Active Directory

¿Cuándo es conveniente mover un

objeto

de Active Directory?

Cómo mover un objeto de Active

Directory

¿Cuándo es conveniente mover un objeto de Active Directory?

Unidad organizativa 1 Dominio Unidad organizativa 2
Unidad organizativa 1
Dominio
Unidad organizativa 2