1

UNIDAD DIDACTICA 3
USUARIOS Y GRUPOS EN REDES
WINDOWS 2003 SERVER I
Eduard Lara
2
1. INTRODUCCIN
Si Active Directory no est instalado
- Los grupos y usuarios que definamos slo servirn como
Locales. Podrn iniciar sesin en el propio equipo y como
usuarios de algn dominio al que pertenezca el equipo.
- La gestin de usuarios y grupos se realiza desde el
Administrador de equipos
Si Active Directory est instalado
- Los usuarios dados de alta sern usuarios globales del
dominio y podrn iniciar sesin desde cualquier ordenador
del dominio, incluido el servidor donde est dado de alta.
- La gestin de usuarios y grupos se realiza desde
Usuarios y equipos de Active Directory.
3
2. GRUPOS DEL ACTIVE DIRECTORY
Son objetos del servicio del Directorio Activo.
Un grupo se define como un conjunto de usuarios,
contactos, equipos y eventualmente otros grupos, aunque
lo normal es que slo contenga cuentas de usuario.
Simplifican la administracin porque proporcionan un
mtodo fcil para conceder capacidades comunes
(permisos) a mltiples usuarios simultneamente.
En lugar de asignar permisos a cada usuario, se asignan
una sola vez al grupo, y son heredados por los usuarios
pertenecientes a ese grupo.
Los grupos se distinguen por su mbito y por tipo.
4
2. TIPOS DE GRUPOS
Se puede trabajar con dos tipos de grupos:
- Grupos de seguridad: son los ms comunes y se usan
para designar derechos (qu puedo hacer dentro de un
dominio) y permisos (a qu tengo acceso) a usuarios.
Tambin pueden utilizarse como una lista de distribucin
de correo electrnico.
- Grupos de distribucin: nicamente sirven para
asignar listas de usuarios aplicaciones de correo
electrnico, sin poder emplearse para asignar permisos.
Esta diferencia entre los grupos es necesaria a la hora de
emplear software concreto de Microsoft, como el
Microsoft Exchange, donde es necesario que los grupos
se definan como grupos de distribucin.
5
2. MBITO DE UN GRUPO
El mbito del grupo determina la visibilidad del mismo
dentro del dominio (es decir si el grupo comprende varios
dominios o se limita a un solo dominio), as como las
caractersticas que pueden conceder a los objetos que
contiene.
- Grupos de mbito global. Los permisos concedidos a
este grupo tienen validez en cualquier dominio. Sus
miembros solo pueden actuar en el dominio donde est
dado de alta el grupo global. Pueden ser miembros de
grupos universales o locales en cualquier dominio y pueden
tener como miembros a otros grupos globales del mismo
dominio y a cuentas de usuario del mismo dominio.
6
2. MBITO DE UN GRUPO
Grupos locales: Se utilizan para asignar permisos para
recursos ubicados en el equipo en el que se ha creado el
grupo local.
Grupos de mbito local de dominio. Es lo contrario
de un grupo local, ya que sus miembros actan sobre
cualquier dominio pero sus permisos solo son efectivos
para recursos ubicados en el mismo dominio en el que se
crea el grupo. Pueden tener como miembros a otros
grupos locales de dominio en el mismo dominio, grupos
globales de cualquier dominio, grupos universales de
cualquier dominio y usuarios de cualquier dominio.
7
2. MBITO DE UN GRUPO
Grupos de mbito universal. Pueden tener miembros
procedentes de cualquier dominio y se les puede asignar
permisos para recursos de cualquier dominio. Solo se
pueden gestionar en servidores en modo nativo
(servidores y equipos del mismo tipo de sistema operativo
2000 o 2003). Pueden tener como miembros a otros
grupos universales, grupos globales de cualquier dominio y
cuentas individuales de usuarios de cualquier dominio
8
3. HERRAMIENTA USUARIOS Y
EQUIPOS DE ACTIVE DIRECTORY
Bajo users aparecen
los usuarios y los
grupos mezclados.
1) Dominio sobre el que estamos trabajando. Si
tuviramos subdominios dentro de este dominio
podramos actuar sobre los usuarios y grupos
de esos subdominios.
Contenedores de
grupos de objetos
con los que
podemos trabajar:
equipos, usuarios y
grupos.
9
3. DONDE SE PUEDEN CREAR
LOS GRUPOS
Los grupos pueden crearse en:
- el dominio raz del bosque
- en cualquier otro dominio del bosque
- en una unidad organizativa.
Dominio raz del bosque
Unidad
Organizativa
10
4. UNIDAD ORGANIZATIVA
Una unidad Organizativa permite agrupar objetos del
active directory en nuevos contenedores que solo
muestren la informacin deseada (ej. agrupar equipos por
versin de S.O., impresoras).
Las UO o contenedores son modificables, y no afectan
al funcionamiento del equipo.
En la herramienta Usuarios y grupos de Active
Directory aparecen todos los usuarios y grupos del
sistema mezclados bajo la UO users.
Puede resultar interesante hacer dos nuevos
contenedores de objetos, uno para usuarios y otro para
grupos, de tal forma que tengamos mejor organizados
estos dos tipos de objetos.
11
4. CREACIN DE UNA
UNIDAD ORGANIZATIVA
Paso 1. Sobre el nombre de dominio, haremos click con el
botn derecho del ratn y seleccionaremos la opcin
Nuevo, Unidad Organizativa.
Paso 2. Introduciremos el nombre de la nueva unidad,
por ejemplo, GRUPOS.
12
4. CREACIN DE UNA
UNIDAD ORGANIZATIVA
Paso 3. Una vez creada, pasaremos los grupos de usuarios
de la UO Users a la que acabamos de crear. Dentro de la
UO Users seleccionaremos todos los grupos de usuarios.
Paso 4. Haremos click con el botn derecho del ratn en
la opcin Mover. Indicaremos el destino de los objetos
seleccionados, en nuestro caso, la UO GRUPOS.
13
5. CREACIN DE GRUPOS
Paso 1. Nos situaremos sobre la UO que contiene los
grupos, y haremos click botn derecho del ratn
seleccionando Nuevo, Grupo o desde el men Accin
seleccionaremos Nuevo, Grupo.
14
5. CREACIN DE GRUPOS
Nos encontramos con las siguientes campos
Nombre del grupo. Nombre del grupo con el que
quedar reconocido en el sistema. El S.O. le asigna un SID
(Security IDentifiers) al grupo para gestionarlo de forma
interna, transparente al usuario. El nombre del grupo
tiene ser nico en el dominio o dentro de cada equipo local
pudiendo repetirse en otros equipos locales o dominios.
Nombre del grupo (anterior a Windows 2000). Es el
nombre del grupo como lo vern los servidores pre-
Windows 2000, en caso de trabajar con servidores NT
4.0 con los que tengamos establecidas relaciones de
confianza. Se rellenar automticamente, por lo que
tampoco ser necesario indicar nada.
15
5. CREACIN DE GRUPOS
mbito del grupo. Puede ser local, global o universal.
Por defecto el mbito siempre ser global, para otorgar
compatibilidad con otros dominios
Tipo de grupo. Indica si el grupo ser de Seguridad o
distribucin. Lo ms normal es crear grupos de
Seguridad. Son utilizados para asignar privilegios de
utilizacin de recursos compartidos en el equipo. Los
grupos de distribucin se utilizan para realizar
instalaciones remotas de software en los equipos
clientes en los que se validan usuarios que pertenezcan al
grupo.
16
5. CREACIN DE GRUPOS
Paso 2. Si una empresa consta de 3 departamentos
(contabilidad, almacn y mantenimiento) lo normal ser
crear 3 grupos dentro de una nueva unidad organizativa
llamada Departamentos. Crearemos los grupos con las
caractersticas que el sistema genera por defecto.
17
5. ELIMINACION DE GRUPOS
Paso 1. Para eliminar un grupo, se debe seleccionar de su
correspondiente UO, hacer click botn derecho y
seleccionar Eliminar.
La eliminacin del grupo no elimina los usuarios u objetos
que este contenga, ya que solo eliminar los permisos que
este grupo tiene asociado.
Podemos eliminar los grupos que
acabamos de crear as como la UO
Departamentos que los contena.
La UO Users no la podemos
eliminar, ya que est protegida
contra eliminacin accidental.
18
5. INCORPORACIN DE
USUARIOS A GRUPOS
Paso 0.Trabajaremos con los dos nicos usuarios
definidos en el sistema: Administrador e Invitado.
Podemos utilizar los grupos creados anteriormente:
Contabilidad, Almacn y Mantenimiento, dentro de la UO
Departamentos.
19
5. INCORPORACIN DE
USUARIOS A GRUPOS
Paso 1.Seleccionaremos los usuarios de la UO Users o la
UO que los contenga, utilizando las teclas Control y
Shift o el ratn. Haremos click botn derecho del ratn
en una de las cuentas de usuario seleccionadas y
elegiremos la opcin Agregar a un grupo.
20
5. INCORPORACIN DE
USUARIOS A GRUPOS
Paso 2.En el cuadro de dilogo que aparece
introduciremos las primeras iniciales del grupo, por
ejemplo CONTA y pulsaremos Comprobar nombres.
Cuando aparezca el grupo, pulsaremos Aceptar.
21
5. INCORPORACIN DE
USUARIOS A GRUPOS
Paso 3.Tambin podemos realizar la asociacin pulsando
en Avanzadas + Buscar ahora, para mostrar la lista de
grupos y seleccionar el grupo deseado
22
5. INCORPORACIN DE
USUARIOS A GRUPOS
Paso 4.El mismo proceso lo podemos realizar desde el
propio grupo. Lo seleccionamos y hacemos clic con el
botn derecho del ratn en Propiedades. Se abre un
cuadro de dilogo en el que pulsaremos Miembros.
23
5. INCORPORACIN DE
USUARIOS A GRUPOS
Paso 5. Pulsamos agregar y aparecer otra pantalla , en
la que realizaremos la seleccin de los usuarios y grupos
que queremos incluir en el grupo recin creado.
Haremos clic en Avanzadas, Buscar ahora. Si el grupo es
global, agregaremos solo usuarios nuevos, y si es local,
agregaremos usuarios y otros grupos globales.
24
6. LOS GRUPOS INTEGRADOS EN
ACTIVE DIRECTORY
Son grupos predefinidos por el sistema que tienen un
conjunto predeterminado de derechos de usuario (tareas
del sistema que puede realizar un usuario o un miembro
del grupo integrado)
Los grupos integrados que por defecto incorpora
Windows 2003 Server son locales, globales y universales.
25
6. GRUPOS LOCALES INTEGRADOS
WINDOWS 2003 SERVER
Los miembros de este grupo pueden iniciar sesin en el equipo,
realizar copias de seguridad y restaurar archivos en el equipo.
Tambin pueden apagarlo. No pueden cambiar la configuracin de
seguridad. No tiene miembros predeterminados
Operadores de
Copia
Tienen control total sobre todos los controladores de dominio.
Cualquier derecho que no tenga el administrador de forma
predeterminada se lo puede conceder a si mismo
Administradores
Pueden modificar la configuracin TCP/IP y renovar y liberar las
direcciones TCP/IP. Este grupo no tiene ningn miembro
predeterminado
Operadores de
configuracin de
red
Los usuarios de este grupo tienen derecho de solo lectura al
servicio DHCP
Usuarios DHCP
Sus miembros pueden crear, modificar y eliminar cuentas de
usuario y grupos. No tienen permiso modificar los grupos
Administradores o Administradores del dominio ni las cuentas de
dichos grupos. Los miembros de este grupo pueden iniciar sesin
en modo local en los controladores del dominio y apagarlos. No hay
miembros predeterminados
Operadores de
cuentas
DESCRIPCIN GRUPO
26
6. GRUPOS LOCALES INTEGRADOS
WINDOWS 2003 SERVER
Los miembros de este grupo pueden realizar la mayora de las tareas
administrativas en los controladores de dominio de forma remota.
Este grupo no tiene miembros predeterminados.
Operadores de
servidores
Sus miembros pueden replicar los servicios en un controlador de
dominio. No debe contener usuarios estndares.
Replicador
Pueden administrar las impresoras y las colas de impresin. No tiene
miembros predeterminados.
Operadores de
impresin
Los miembros de este grupo solo pueden realizar tareas para las que
el administrador les haya concedido permisos. Son miembros de este
grupo los grupos Usuario invitado e Invitados del dominio.
Invitados
Pueden realizar copias de seguridad y restaurar todos los archivos en
los controladores del dominio, iniciar sesin y apagarlos. Este grupo
no tiene ningn miembro predeterminado. No es igual que el anterior
Operadores de
Copia de
seguridad
DESCRIPCIN GRUPO
27
6. GRUPOS LOCALES INTEGRADOS
WINDOWS 2003 SERVER
Los miembros de este grupo solo tienen acceso administrativo al
servicio DNS. No tiene ningn miembro predeterminado
DnsAdmins
Pueden iniciar sesin en un servidor de forma remota. Este grupo no
tiene miembros predeterminados
Usuarios de
escritorio
remoto
Los miembros de este grupo pueden crear y modificar las cuentas de
usuario e instalar programas en el quipo local, pero no pueden ver los
archivos de otros usurarios. Peden crear y eliminar grupos locales y
quitar usuarios de los grupos. No hay miembros predeterminados
Usuarios
avanzados
Los miembros de este grupo pueden iniciar sesin en el equipo,
acceder a la red, guardar documentos y apagar el equipo. No pueden
instalar programas. Cualquier derecho que no tenga el administrador
de forma predeterminada, se lo puede conceder a s mismo o realizar
cambios en el sistema. Cuando aadimos un equipo servidor miembro
2000/2003 a un dominio, se integra en este grupo. Por defecto todas
las cuentas que se crean en el dominio son miembros de este grupo
Usuarios
DESCRIPCIN GRUPO
28
6. GRUPOS GLOBALES INTEGRADOS
WINDOWS 2003 SERVER
Los miembros de este grupo pueden modificar el esquema de
Directorio Activo
Administradores
Todos los usuarios del dominio y la cuenta Administrador son
miembros
Usuarios del
dominio
Tiene como cuenta predeterminada a Invitados Invitados del
dominio
Contiene todos los controladores de dominio Controladores
de dominio
Todos los controladores y estaciones de trabajo del dominio son
miembros de este grupo
Equipos del
dominio
Este grupo pasa a ser miembro automticamente del grupo local
Administradores en todos los controladores, de forma que sus
miembros pueden realizar tareas administrativas en cualquier
equipo del dominio. De forma predeterminada la cuenta
Administrador es, miembro de este grupo
Administradores
del dominio
DESCRIPCIN GRUPO
29
6. GRUPOS UNIVERSALES INTEGRADOS
WINDOWS 2003 SERVER
Los miembros de este grupo son controladores de dominio de
solo lectura en la empresa.
Enterprise Domain
Controllers de solo
lectura
Administradores designados del esquema. Administradores de
esquema
Administradores designados de la empresa. Administradores de
empresas
DESCRIPCIN GRUPO
30
PRACTICA 5. CREACIN DE
GRUPOS DE USUARIO EN A.D.
Esta prctica debe realizarse mediante la captura de imgenes de
los procesos o aplicaciones implicados en el guin, y posterior
insercin de las mismas en un documento.
Paso 1. Crear un nuevo grupo de dominio local llamado Alumnos.
Desde Usuarios y equipos de Active Directory, vamos a hacer click
con el botn derecho sobre la raz del dominio (upc.local). Este
grupo ha de definirse como un grupo de seguridad.
Paso 2. Captura la imagen que muestre donde haya creado el grupo
Paso 3. De la misma forma vamos a definir otro grupo llamado
Profesores tambin de dominio local y de tipo seguridad, desde la
raz del dominio.
Paso 4. Captura la imagen que muestre donde haya creado el grupo
Paso 5. A que lugares se pueden mover los grupos anteriormente
creados?
31
PRACTICA 5. CREACIN DE
GRUPOS DE USUARIO EN A.D.
Paso 6. Comprueba como al hacer click con el botn derecho sobre
cada grupo, nos aparece la opcin de enviar correo. Qu mensaje
muestra?
Para poder hacer uso de esta opcin hemos de tener instalado el
cliente de correo masivo de Microsoft, no obstante ahora ya
conoces la posibilidad.
Paso 7. De la misma forma vamos a definir otro grupo llamado
personal de administracin ahora de dominio local y de tipo
distribucin. Existe alguna diferencia aparente entre los dos tipos
de grupos de seguridad y distribucin creados?
Paso 9. Crear una unidad organizativa sobre la raz del dominio,
llamada Clases.
Paso 10. Dentro de la Unidad Organizativa anterior crear 3 grupos
de alumnos: AlumnosA32, AlumnosA33 y AlumnosA34. Deben ser
grupos de seguridad y de mbito dominio local.
32
PRACTICA 5. CREACIN DE
GRUPOS DE USUARIO EN A.D.
Paso 11. Mover los grupos iniciales Alumnos y Profesores a la
unidad organizativa Clases.
Paso 12. Asignar el usuario Administrador al grupo Profesores,
partiendo desde Administrador/Agregar a un grupo y buscando por
Profe
Paso 13. Agregar el usuario Invitado al grupo Alumnos, pero
ahora desde el grupo y aadindole el usuario
Paso 14. Existen unas directrices a la hora de nombrar los grupos,
de forma que es til que el nombre refleje la posesin y el mbito.
Lo siguiente que vamos a hacer es crear grupos de mbito global,
para ello vamos a aplicar las directrices de nombre de grupo.
Paso 15. Crear un nuevo grupo local llamado GAlumnosRest, sobre
la UO clases. De esta forma en el nombre queda implcito que el
grupo es de mbito global y con acceso restringido. Este grupo ha de
definirse como un grupo de seguridad.
33
PRACTICA 5. CREACIN DE
GRUPOS DE USUARIO EN A.D.
Paso 16. De la misma forma vamos a definir otro grupo tambin
global y de tipo seguridad llamado GProfesoresTot. De esta forma
en el nombre queda implcito que el grupo es de mbito global y con
acceso Total.
Paso 17. El nombre de los grupos se puede modificar haciendo click
con el botn derecho sobre el grupo seleccionado. Modifica el
nombre de los dos grupos de dominio local creados al principio
Alumnos y Profesores de forma que se reconozca en el nombre el
mbito al que pertenecen.
Para ello aplica DL delante del nombre y con respecto al tipo de
acceso djalos igual que sus correspondientes de mbito global (para
los alumnos Rest y para los profesores Tot.
Paso 18. Supn que nos interesa tener un grupo comn para poder
nicamente enviar e-mails tanto a profesores como a alumnos. Que
nombre, mbito y tipo le pondras?