CAPITULO 5.

CREACION Y ADMINISTRACION DE OBJETOS DE

DIRECTORIO ACTIVO.
5.1. Introduccin
Este mdulo contiene la informacin que precisa un administrador de sistemas
para administrar los objetos del servicio de directorio de directorio activo:
Despus de finalizar este mdulo, podr:

Crear unidades organizativas, cuentas de usuario y cuentas de equipo.

Crear y modificar grupos.

Aplicar las estrategias adecuadas al trabajar con grupos.

Utilizar permisos para controlar el acceso a los objetos de Directorio

Activo.

Delegar el control de los objetos de Directorio Activo para lograr una

administracin segura y descentralizada.

Mover objetos de Directorio Activo.

5.2. Unidades organizacionales.

Las unidades organizativas son contenedores del servicio de directorio de
Directorio Activo que se utilizan para colocar usuarios, grupos, equipos y
otras unidades organizativas. Con las unidades organizativas podr crear
contenedores en un dominio que represente las estructuras jerrquicas y
lgicas de su organizacin. As, podr administrar la configuracin y el uso de
cuentas y recursos en funcin de su modelo organizativo. Por ejemplo, puede
utilizar las unidades organizativas para aplicar de forma automtica directivas
de grupo que definan opciones predeterminadas para cuentas de usuarios y
equipos en Directorio Activo.

El ciclo de vida de las unidades organizativas tiene cuatro fases:

Planeamiento. En esta fase se planea la estructura de la unidad

organizativa. Se decide qu unidades organizativas se van a crear y
cmo se va a delegar el control administrativo de stas.

Implementacin. En esta fase se crea la estructura de la unidad

organizativa tomando como base el plan de la unidad organizativa.

Mantenimiento. Una vez que se haya creado la estructura de la unidad

organizativa en Directorio Activo, podr cambiar el nombre de las
unidades organizativas, desplazarlas o modificarlas segn sea necesario
para satisfacer los requisitos continuos de la organizacin.

Eliminacin. Todos los objetos de Directorio Activo, incluidas las

unidades organizativas, ocupan espacio en el controlador de dominio
que aloja Directorio Activo. Cuando ya no necesite unidades
organizativas, deber eliminarlas.

5.2.1. Modelos de Creacin

En la planificacin se debe considerar la creacin de OU en base a tres
modelos:
Funcin. , En base a la actividad que cumple cada grupo de la empresa u
organizacin. Por ejemplo en la ESPOCH, se puede crear las OU para
Profesores, Estudiantes, Empleados.
Organizacin. En base a la estructura jerrquica de la empresa u organizacin.
Por ejemplo Consejo Politcnico, Facultades, Departamentos.
Ubicacin. Por el lugar en donde se encuentra la actividad. Por ejemplo en la
ESPOCH, se puede crear Riobamba, Macas, Tena.

Figura 1. Modelos de creacin de DA.

Tambin se puede combinar los modelos generando lo que se denomina

modelos hbridos. Como se muestra en la figura

Figura 2. Modelos hbridos de OU

Auque en teoria no hay limites para crear OU, no es recomendable exagerarse

en la cantidad de niveles de creacion para no entorpeser la administracion.

Utilice el siguiente diagrama de flujo como un rbol de decisiones

paradeterminar la estructura de unidad organizativa apropiada para una
organizacin.

Figura 3. Diagrama de flujo para crear OU

5.2.2. Funciones de la OU.

Organizarse
Las unidades organizativas son contenedores de cada dominio de Directorio
Activo que representan las estructuras jerrquicas de una organizacin y
ayudan a mantener orgnizados cada uno de los objetos de la red,
Para crear una estructura de unidad organizativa que represente de la mejor
forma la estructura de la organizacin, debe entender los factores de la
organizacin que afectan a la creacin de unidades organizativas.
Delegar el control

La razn principal para crear unidades organizativas es la distribucin de tareas

administrativas en la organizacin, delegando el control administrativo a otros
administradores. Esta delegacin resulta especialmente importante cuando se
desarrolla un modelo administrativo descentralizado.

Figura 4. Delegacin de funciones en OU

La capacidad de establecer el acceso a unidades organizativas individuales es

una caracterstica de seguridad importante en Directorio Activo; se puede
controlar el acceso al nivel ms bajo de una organizacin sin necesidad de
crear muchos dominios de Directorio Activo.
La autoridad que se delega en el nivel de sitio permite expandir dominios. La
autoridad delegada en el nivel de dominio afectar a todos los objetos del
dominio. La autoridad delegada en el nivel de la unidad organizativa puede
afectar al objeto y a todos sus objetos secundarios, o slo al propio objeto.
Se delega control administrativo para proporcionar autonoma administrativa de
servicios y datos a organizaciones o para aislar servicios o datos en una
organizacin. Puede eliminar la necesidad de varias cuentas administrativas
que tienen una autoridad amplia, como las de un dominio completo y seguir

utilizando el grupo Admins. del dominio predeterminado para administrar el

dominio completo.
Windows Server 2008 contiene permisos y derechos de usuario especficos
que se pueden utilizar para delegar control administrativo. Mediante una
combinacin de unidades organizativas, grupos y permisos puede designar
derechos administrativos a un usuario particular, de modo que el usuario tenga
un nivel adecuado de administracin sobre un dominio completo, sobre todas
las unidades organizativas de un dominio o sobre una nica unidad
organizativa.
Para delegar el control se sigue los siguientes pasos:

1. Clic
sobre

derecho
la

OU,

seleccionamos
Delegar control

2. Clic
Siguiente
asistente.

en
al

3. Seleccionamos
Agregar

para

incluir usuarios.

4. Seleccionamos
las tareas que
se
delegar.

quieran

5. Click

en

Finalizar

Implementar Polticas de grupo.

Permiten que cada OU, tengan las politicas que la organizacin establezca,
tanto para mejorar la seguridad como para tener eficiencia en los trabajadores.
Ejemplos:

OU Estudiantes no podran acceder al panel de control.

OU Bodega no tendran acceso a los juegos.

OU Cajeros no pueden usar Messenger.

Para gestionar las politicas de grupo, se selecciona Administracion de

directivas de grupo de las herramientas administrativas.o con el comando
gpedit.msc. para las politicas de grupo locales.

Figura 5. Directivas de grupo

Las politicas de grupo afectan a sitios, dominios y unidades organizativas,

se selecciona uno de estos objetos y se pulsa clic derecho. Y luego la
opcion Crear un GPO en este dominio y vincularlo aqu. Para luego dar un
nombre de GPO (objeto de politica de grupo) y configurar las politicas tanto
para computadoras como para usuarios. Como se indica en las figuras
siguientes.

Figura 6. Creacin de una GPO

Figura 7. Dar nombre a la GPO

Figura 8. Configurar una GPO

5.2.3. Creacin de OU.

Mediante interfaz grafica.. Se selecciona el icono

de la barra de

herramientas de Usuarios y Equipos de Directorio Activo.

Figura 9. Icono para crear OU

Y luego se escribe el nombre de la OU. Se recomienda que el nombre empiece

con las letras en mayusculas OU.

Figura 10. Ventana para crear OU

Otra forma de crear es mediante la seleccin de las opciones con clic derecho
en el lugar donde se desea crear, tal como se muestra en la figura.

Figura 11. Men para crear OU

Herramientas de lineas de comandos. Puede utilizar las herramientas de lnea

de comandos del servicio de directorio Dsadd, Dsmod y Dsrm para crear y
administrar unidades organizativas desde el smbolo del sistema. Tambin

puede utilizar estos comandos en archivos de secuencias de comandos y en

archivos por lotes.
Para crear
dsadd ou NCUnidadOrganizativa
NombreUsuario -p Contrasea

-desc

Descripcin

-d

Dominio

-d

Dominio

Para modificar la descripcin de una unidad organizativa

dsmod ou NCUnidadOrganizativa
NombreUsuario -p Contrasea

-desc

Descripcin

Las unidades organizativas de Directorio Activo que ya no se utilicen se deben

eliminar. Para eliminar una unidad organizativa, ejecute el siguiente comando:
dsrm NCUnidadOrganizativa -d Dominio -u NombreUsuario p Contrasea

5.3. Cuentas de Usuario y de Equipos

Una de las funciones como administrador de sistemas ser administrar las
cuentas de usuario y de equipo. Estas cuentas son objetos de Directorio
Activo y deber utilizarlas para permitir que los usuarios inicien la sesin en la
red y obtengan acceso a los recursos. En este capitulo, los alumnos obtendrn
los conocimientos tericos y prcticos necesarios para modificar cuentas de
usuario y de equipo en equipos que utilicen Microsoft Windows Server 2008
en un entorno de red.

5.3.1. Cuentas de usuarios

Toda persona que necesite usar los recursos de la red

deber tener una

cuenta de usuario, la misma que usara para autenticarse y obtener acceso a

la red.
Una cuenta de usuario es un objeto que contiene toda la informacin que
define a un usuario de Windows Server 2008 y puede ser local o de dominio.
Incluye el nombre de usuario y la contrasea, con los que el usuario inicia la
sesin.

Figura 12. Tipos de cuentas de usuarios.

Una cuenta local solo se puede crear en servidores que no tienen instalado
Directorio Activo o en equipos clientes. Una cuenta de usuario local se crea
mediante el administrador de equipos, y se almacena en la SAM (Administrador
de cuentas de seguridad). Cuando se autentifica se entrega la llave de acceso
(Access Token) en la propia maquina.

Figura 13. Usuarios y administracin de equipos.

En cambio cuando es una cuenta de dominio la autentificacion se realiza en el

directorio activo para lo cual por seguridad primero se debe cifrar.
Las cuentas de usuario de Directorio Activo representan entidades fsicas,
como personas.

A veces, las cuentas de usuario tambin se denominan entidades de

seguridad. Las entidades de seguridad son objetos de directorio a los que se
asignan automticamente identificadores de seguridad (SID), que se pueden
usar para obtener acceso a recursos del dominio. Principalmente, una cuenta
de usuario:

Autentica la identidad de un usuario. Una cuenta de usuario permite que

un usuario inicie sesin en equipos y dominios con una identidad que el
dominio pueda autenticar. Un usuario que inicia sesin en la red debe
tener una cuenta de usuario y una contrasea propias y nicas. Para
maximizar la seguridad, evite que varios usuarios compartan una misma
cuenta.

Autoriza o deniega el acceso a los recursos del dominio. Despus de

que un usuario se autentica, se le concede o se le deniega el acceso a
los recursos del dominio en funcin de los permisos explcitos que se le
hayan asignado en el recurso.

El contenedor de usuarios de Usuarios y equipos de Directorio Activo muestra

tres cuentas de usuario integradas: Administrador, Invitado y Asistente de
ayuda. Estas cuentas de usuario integradas se crean automticamente al crear
el dominio.
Cada cuenta integrada tiene una combinacin diferente de derechos y
permisos. La cuenta Administrador es la que tiene ms derechos y permisos en
el dominio, mientras que la cuenta Invitado tiene derechos y permisos
limitados. En la tabla siguiente se describen las cuentas de usuario
predeterminadas de los controladores de dominio en los que se ejecuta el
sistema operativo Windows Server 2008.

Cuenta de usuario
predeterminada
Administrador

Descripcion
La cuenta Administrador tiene control total del
dominio. Puede asignar derechos de usuario y
permisos de control de acceso a los usuarios
del dominio segn sea necesario. Esta cuenta
slo se debe usar para las tareas que requieran

credenciales administrativas. Es recomendable

que configure esta cuenta con una contrasea
segura.
La cuenta Administrador es un miembro
predeterminado de los siguientes grupos de
Directorio Activo:

Administradores,
Administradores del dominio
Administradores de organizacin
Propietarios del creador de directivas de
grupo
Administradores de esquema.

La cuenta Administrador nunca se puede

eliminar ni quitar del grupo Administradores,
pero es posible cambiarle el nombre o
deshabilitarla. Como es sabido que la cuenta
Administrador existe en muchas versiones de
Windows, si le cambia el nombre o la
deshabilita dificultar el acceso a ella a
usuarios malintencionados.

Invitado

Los usuarios que no tienen una cuenta en el

dominio pueden usar la cuenta Invitado. Un
usuario cuya cuenta se haya deshabilitado
(pero no eliminado) tambin puede usar la
cuenta Invitado. La cuenta Invitado no requiere
ninguna contrasea.
Puede asignar derechos y permisos para la
cuenta Invitado de la misma forma que para
cualquier cuenta de usuario. De manera
predeterminada, la cuenta Invitado es miembro
del grupo integrado Invitados y del grupo global
Invitados de dominio, lo que permite al usuario
iniciar sesin en un dominio. La cuenta Invitado
est deshabilitada de forma predeterminada y
recomendamos que permanezca as.

Asistente de ayuda

Es la cuenta principal para establecer una

sesin de Asistencia remota. Esta cuenta se
crea automticamente al solicitar una sesin de
Asistencia remota. Tiene acceso limitado al
equipo. La cuenta Asistente de ayuda se
administra mediante el servicio Administrador

de sesin de Ayuda de escritorio remoto. La

cuenta se elimina automticamente si no hay
solicitudes de Asistencia remota pendientes

Una

recomendacin

de

seguridad

para

proteger

estas

cuentas

es

deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo

nombre se ha cambiado conserva el SID, conserva tambin las dems
propiedades, como la descripcin, la contrasea, la pertenencia a grupos, el
perfil de usuario, la informacin de cuenta y todos los permisos y derechos de
usuario asignados.
Para obtener las ventajas de seguridad de la autenticacin y autorizacin de
usuarios, utilice Usuarios y equipos de Directorio Activo para crear una cuenta
de usuario individual para cada usuario que vaya a participar en la red.
Despus, podr agregar la cuenta de usuario (incluidas las cuentas
Administrador e Invitado) a un grupo con el fin de controlar los derechos y
permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados
para una red se garantiza que se puede identificar a los usuarios que inician
sesin en ella y que stos tienen acceso slo a los recursos permitidos.
Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de
contraseas seguras e implementar una directiva de bloqueo de cuenta. Las
contraseas seguras reducen el riesgo de que se adivinen las contraseas y de
que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de
cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio
mediante continuos intentos de inicio de sesin. Una directiva de bloqueo de
cuenta determina cuntos intentos de inicio de sesin con error puede realizar
una cuenta de usuario antes de que sea deshabilitada.

5.3.2. Creacin de cuentas de usuario.

1. Ingresamos
a Usuarios
y

equipos

de DA en
herramienta
s
administrati
vas

2. Nos
ubicamos
en

la

OU

donde
deseamos
crear

el

usuario

pulsamos
clic derecho
selecciona
mos Nuevo
y

luego

Usuario.

3. Escribimos
los

datos

del usuario,
como
nombre,
apellido,

nombre de
la cuenta.
Pulsamos
Siguiente.

4. Escribimos
la

clave,

que cumpla
los
requisitos
de

clave

compleja. Y
selecciona
mos

las

condiciones
como debe
actuar

la

clave.

luego
Siguiente

5. Se
presenta un
resumen de
la creacin
de

la

cuenta

pulsamos
Finalizar.

5.3.3. Propiedades de cuenta de usuario.

Al seleccionar la hoja
General

podemos

ingresar informacin del

usuario como: Nombre,
Apellido,
Oficina,

Descripcin,
nmeros

de

telfonos, pagina web,

etc.

En la hoja Cuenta se
puede establecer:
Horas de inicio de
sesin
Equipos en donde se
puede ingresar.
Desbloquear

una

cuenta

Opciones

de

contraseas.
Caducidad

de

la

cuenta.

En horas de inicio de
sesion se debe ingresar
las horas permitidas en
azul y denegadas las
blancas

En
se puede indicar los
equipos
cuales

desde
se

ingresar,

si

modifica

se

los

pueden
no

se

puede

ingresar desde todos los

equipos.

Se puede administrar la
contrasea para que el
usuario cambie en el
prximo
sesin,

inicio
o

de

configurar

para que la contrasea

no caduque, o tambin
deshabilitar la cuenta.

En

la

caducidad

de

cuenta se establece la
fecha

en

la

caducara la cuenta.

cual

En la hoja perfil se
puede ingresar:
La carpeta en la que el
usuario tiene el perfil
Un programa que se
ejecute al iniciar.
La ruta de una carpeta
local.

En la hoja miembros de
se puede establecer los
grupos a los que el
usuario
pertenecer

puede
para

que

obtenga los permisos

del grupo.

5.3.4. Cuentas de Equipo.

Una cuenta de equipo identifica a un equipo dentro del dominio, y provee un
mecanismo de autentificacin y auditoria de los accesos a los recursos de la
computadora en la red. Se requieren que los sistemas operativos tengan esta
posibilidad de hacerse miembro a un domino, en este caso todas las ediciones
home y started quedan descartados.
Se debe crear cuentas de computadoras para tener autentificacin y auditorias,
adems para poder administrar los equipos de forma centralizada y poder
instalar y controlar el software.

5.3.5. Cuentas de grupo

5.3.5.1. Definicin.
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros
grupos que se pueden administrar como una sola unidad. Los usuarios y los
equipos que pertenecen a un grupo determinado se denominan miembros del
grupo.
Los grupos de los Servicios de dominio de Directorio Activo (AD DS) son
objetos de directorio que residen en un dominio y en objetos contenedores
Unidad organizativa (OU). AD DS proporciona un conjunto de grupos
predeterminados cuando se instala y tambin incluye una opcin para crearlos.
Los grupos de AD DS se pueden usar para:

Simplificar la administracin al asignar los permisos para un recurso

compartido a un grupo en lugar de a usuarios individuales. Cuando se
asignan permisos a un grupo, se concede el mismo acceso al recurso a
todos los miembros de dicho grupo.

Delegar la administracin al asignar derechos de usuario a un grupo una

sola vez mediante la directiva de grupo. Despus, a ese grupo le puede
agregar miembros que desee que tengan los mismos derechos que el
grupo.

Crear listas de distribucin de correo electrnico.

Los grupos se caracterizan por su mbito y su tipo. El mbito de un grupo

determina el alcance del grupo dentro de un dominio o bosque. El tipo de grupo
determina si se puede usar un grupo para asignar permisos desde un recurso
compartido (para grupos de seguridad) o si se puede usar un grupo slo para
las listas de distribucin de correo electrnico (para grupos de distribucin).
Tambin existen grupos cuyas pertenencias a grupos no se pueden ver ni
modificar. Estos grupos se conocen con el nombre de identidades especiales.
Representan a distintos usuarios en distintas ocasiones, en funcin de las
circunstancias. Por ejemplo, el grupo Todos es una identidad especial que

representa a todos los usuarios actuales de la red, incluidos invitados y

usuarios de otros dominios.

5.3.5.2. Grupos predeterminados

Los grupos predeterminados, como es el caso del grupo Administradores del
dominio, son grupos de seguridad que se crean automticamente cuando se
crea un dominio de Directorio Activo. Estos grupos predefinidos pueden usarse
para ayudar a controlar el acceso a los recursos compartidos y para delegar
funciones administrativas especficas en todo el dominio.
A muchos grupos predeterminados se les asigna automticamente un conjunto
de derechos de usuario que autorizan a los miembros del grupo a realizar
acciones especficas en un dominio, como iniciar sesin en un sistema local o
realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro
del grupo Operadores de copia de seguridad puede realizar operaciones de
copia de seguridad para todos los controladores de dominio del dominio.
Cuando se agrega un usuario a un grupo, ese usuario recibe:

Todos los derechos de usuario asignados al grupo

Todos los permisos asignados al grupo para los recursos compartidos

Los grupos predeterminados se encuentran en el contenedor Builtin y en el

contenedor Users. Los grupos predeterminados del contenedor Builtin tienen el
mbito de grupo Integrado local. Su mbito de grupo y tipo de grupo no se
pueden cambiar. El contenedor Users incluye grupos definidos con mbito
Global y grupos definidos con mbito Local de dominio. Los grupos ubicados
en estos contenedores se pueden mover a otros grupos o unidades
organizativas del dominio, pero no se pueden mover a otros dominios.

Figura 14. Grupos predeterminados de contenedor Builtin

5.3.5.3. mbito de grupo

El mbito de un grupo determina si el grupo comprende varios dominios o se
limita a uno solo. Los mbitos de grupo permiten utilizar grupos para la
concesin de permisos. El mbito de grupo determina:

Los dominios desde los que puede agregar miembros al grupo.

Los dominios en los que puede utilizar el grupo para conceder permisos.

Los dominios en los que puede anidar el grupo en otros grupos.

El mbito de un grupo determina cules son los miembros del grupo. Las reglas
de pertenencia controlan los miembros que pueden contener un grupo y los
grupos de los que puede ser miembro. Los miembros de un grupo estn
formados por cuentas de usuario, cuentas de equipo y otros grupos.
Para asignar los miembros correctos a los grupos y para anidar un grupo, es
importante conocer las caractersticas del mbito de grupo. Existen los
siguientes mbitos de grupo:

Global

Local de dominio

Universal

Figura 15. Tipos y mbitos de grupos

5.3.5.3.1.

Grupos locales de dominio

Los miembros de los grupos locales de dominio pueden incluir otros grupos y
cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y
Windows Server 2008. A los miembros de estos grupos slo se les pueden
asignar permisos dentro de un dominio.
Los grupos con mbito Local de dominio ayudan a definir y administrar el
acceso a los recursos dentro de un dominio nico. Estos grupos pueden tener
los siguientes miembros:

Grupos con mbito Global

Grupos con mbito Universal

Cuentas

Otros grupos con mbito Local de dominio

Una combinacin de los anteriores

Por ejemplo, para conceder acceso a una impresora determinada a cinco

usuarios, puede agregar las cinco cuentas de usuario a la lista de permisos de
la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios

tengan acceso a otra impresora, deber volver a especificar las cinco cuentas
en la lista de permisos para la nueva impresora.

5.3.5.3.2.

Grupos globales

Los miembros de los grupos globales pueden incluir slo otros grupos y
cuentas del dominio en el! que se encuentra definido el grupo. A los miembros
de estos grupos se les pueden asignar permisos en cualquier dominio del
bosque.

Figura 16. Grupos locales de dominio

Use los grupos con mbito Global para administrar objetos de directorio que
requieran un mantenimiento diario, como las cuentas de usuario y de equipo.
Dado que los grupos con mbito Global no se replican fuera de su propio
dominio, las cuentas de un grupo con mbito Global se pueden cambiar
frecuentemente sin generar trfico de replicacin en el catlogo global.
Aunque las asignaciones de derechos y permisos slo son vlidas en el
dominio en el que se asignan, al aplicar grupos con mbito Global de manera
uniforme entre los dominios apropiados, es posible consolidar las referencias a
cuentas con fines similares. De esta manera se simplifica y se racionaliza la
administracin de grupos entre dominios.

Figura 17. Grupos Globales

5.3.5.3.3.

Grupos universales

Los miembros de los grupos universales pueden incluir otros grupos y cuentas
de cualquier dominio del bosque o del rbol de dominios. A los miembros de
estos grupos se les pueden asignar permisos en cualquier dominio del bosque
o

del

rbol

de

dominios.

Use los grupos con mbito Universal para consolidar los grupos que abarquen
varios dominios. Para ello, agregue las cuentas a los grupos con mbito Global
y anide estos grupos dentro de los grupos que tienen mbito Universal. Si usa
esta estrategia, los cambios de pertenencias en los grupos que tienen mbito
Global no afectan a los grupos con mbito Universal.
Por ejemplo, si una red tiene dos dominios, ESPOCH y AMICROSOFT, y hay
un grupo con mbito Global denominado GPROFESORES en cada dominio,
cree un grupo con mbito Universal denominado UPROFESORES que tenga
como

miembros

los

dos

grupos

ESPOCH\GPROFESORES

UNACH\GPROFESORES. Despus podr usar el grupo UPROFESORES en

cualquier lugar de la organizacin. Los cambios de pertenencia de los grupos

GPROFESORES

individuales

no

producir

la

replicacin

del

grupo

UPROFESORES.

Figura 18. Grupos Universales

5.3.5.4. Tipos de Grupos.

Hay dos tipos de grupos en AD DS:

Grupos de distribucin y

Grupos de seguridad.

Los grupos de distribucin se usan para crear listas de distribucin de correo

electrnico y los grupos de seguridad se usan para asignar permisos para los
recursos

compartidos.

Los grupos de distribucin slo se pueden usar con aplicaciones de correo

electrnico (como Microsoft Exchange Server 2007) para enviar mensajes a
conjuntos de usuarios. Los grupos de distribucin no tienen seguridad
habilitada lo que significa que no pueden aparecer en las listas de control de
acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los
recursos

compartidos,

cree

un

grupo

de

seguridad.

Si se usan con cuidado, los grupos de seguridad son eficaces para conceder
acceso a los recursos de la red. Con los grupos de seguridad se puede:

Asignar derechos de usuario a los grupos de seguridad de AD DS

Se asignan derechos de usuario a un grupo de seguridad para determinar lo

que pueden hacerlos miembros de ese grupo en el mbito de un dominio (o
bosque). A algunos grupos de seguridad se les asignan derechos de usuario
automticamente cuando se instala AD DS para ayudar a los administradores a
definir la funcin administrativa de una persona en el dominio. Por ejemplo, si
se agrega un usuario al grupo Operadores de copia de seguridad de Directorio
Activo, este puede realizar operaciones de copia de seguridad y restauracin
de archivos y directorios en cada controlador de dominio del dominio.

Asignar permisos para recursos a los grupos de seguridad

Los permisos y los derechos de usuario no son lo mismo. Los permisos

determinan quin puede obtener acceso a un recurso compartido y el nivel de
acceso, como Control total. Los grupos de seguridad se pueden usar para
administrar el acceso y los permisos en un recurso compartido. Algunos
permisos

que

se

establecen

en

objetos

de

dominio

se

asignan

automticamente para proporcionar varios niveles de acceso a los grupos de

seguridad predeterminados, como el grupo Operadores de cuentas o el grupo
Administradores del dominio.
Como sucede con los grupos de distribucin, los grupos de seguridad tambin
se pueden usar como entidades de correo electrnico. Al enviar un mensaje de
correo electrnico al grupo, se enva a todos sus miembros.

5.3.5.5. Entidades especiales

Adems de los grupos de los contenedores Users y Builtin. Los servidores en
los que se ejecuta Windows Server 2008 o Windows Server 2003 incluyen
varias identidades especiales. Por comodidad se las suele llamar grupos.
Estos grupos especiales no tienen pertenencias especficas que se puedan
modificar.

Sin embargo pueden representar a distintos usuarios en distintas ocasiones, en

funcin de las circunstancias. Los grupos siguientes son identidades
especiales:

Entidad Especial

Descripcin

Inicio de sesin Este grupo representa a los usuarios y servicios que

annimo

obtienen acceso a un equipo y sus recursos a travs de la

red sin usar un nombre de cuenta, contrasea o nombre
de dominio. En los equipos con Windows NT y versiones
anteriores, el grupo Inicio de sesin annimo es un
miembro predeterminado del grupo Todos. En los equipos
con Windows Server 2008 o Windows Server 2003. El
grupo Inicio de sesin annimo no es miembro del grupo
Todos de manera predeterminada.

Todos

Este grupo representa a todos los usuarios actuales de la

red incluidos invitados y usuarios de otros dominios.
Cuando un usuario inicia sesin en la red, se agrega
automticamente al grupo Todos.

Red

Este grupo representa a los usuarios que obtienen acceso

en ese momento a un recurso dado a travs de la red,
frente a los usuarios que obtienen acceso a un recurso
mediante un inicio de sesin local en el equipo en el que
reside el recurso

Interactivo

Este grupo representa a todos los usuarios que disponen

de una sesin iniciada en un equipo determinado y que
estn obteniendo acceso a un recurso ubicado en ese
equipo, frente a los usuarios que obtienen acceso al
recurso a travs de la red. Cuando un usuario obtiene

acceso a un recurso dado en el equipo en el que ha

iniciado sesin, se agrega automticamente al grupo
Interactivo.

Tabla 3. Entidades especiales

Aunque a las identidades especiales se les puede conceder derechos y

permisos para los recursos, sus pertenencias no se pueden ver ni modificar.
Las identidades especiales no tienen mbitos de grupo. Los usuarios son
asignados automticamente a ellas cuando inician sesin u obtienen acceso a
un recurso concreto.

5.3.5.6. Ubicacin de los grupos

Figura 19. Ubicacin de grupos.

En Directorio Activo, los grupos se crean en dominios. Si tiene los permisos

necesarios y asocia correctamente los usuarios y equipos con los grupos,
puede crear grupos en otro dominio del bosque o en una unidad organizativa.
Seleccione un determinado dominio, o unidad organizativa, en el que crear un
grupo en funcin de los requisitos de administracin del grupo.

Por ejemplo, suponga que el directorio tiene varias unidades organizativas,

cada una de ellas con un administrador diferente. Es posible que desee crear
grupos globales en esas unidades organizativas para que los administradores
puedan administrar la pertenencia al grupo de los usuarios incluidos en sus
respectivas unidades organizativas.
Si es necesario que los grupos controlen el acceso fuera de la unidad
organizativa, puede anidar los grupos de la unidad organizativa en grupos
universales (o en otros grupos con mbito global) que puedan utilizarse en
cualquier otra ubicacin del bosque. Puede resultar ms eficaz anidar grupos
globales si el nivel funcional de domino se establece en Windows 2000 nativo o
superior, los dominios contienen una jerarqua de unidades organizativas y la
administracin se delega a los administradores de cada unidad organizativa.

5.3.5.7. Consejos para nombrar a grupos

Figura 20. Consejos para nombrar grupos

Las siguientes convenciones de nomenclatura pueden ayudar a administrar

grupos. Las organizaciones establecen sus propias convenciones de
nomenclatura para los grupos de distribucin y de seguridad. Un nombre de

grupo debera identificar su mbito, tipo, la finalidad de su creacin y los

permisos que puede tener.
Tenga en cuenta los siguientes puntos al definir una convencin de
nomenclatura para los grupos de seguridad:

Aunque el tipo y mbito de grupo se muestra como tipo de grupo en

Usuarios y equipos de Directorio Activo, las organizaciones suelen
incorporar el mbito en la convencin de nomenclatura del nombre de
grupo:
o G para grupos globales. G_PROFESORES
o U para grupos universales U_PROFESORES
o DL para grupos locales de dominio DL_PROFESORES.

Debe identificar de forma clara al propietario del grupo e incluir el

nombre del departamento o equipo al que pertenece. Ejemplo
G_PROFESORES_FIE

El nombre de dominio o su abreviatura se coloca al principio del nombre

de

grupo

peticin

del

cliente.

Por

ejemplo:

G_ESPOCH_PROFESORES_FIE

Por ltimo, se pude incluir en el nombre la finalidad empresarial del

grupo y los permisos mximos que debera tener el grupo en la red.
Esta convencin de nomenclatura se suele aplicar a los grupos locales
o

grupos

locales

de

dominio.

Por

ejemplo

DL_ESPOCH_CONTABILIDAD_CONTROLTOTAL.
Para grupos de seguridad debe utilizar la convencin de nomenclatura que
tenga en cuenta los siguientes puntos:

Nombres de correo electrnico. Utilice un alias corto. Para respetar las

normas actuales de datos descendentes, la longitud mnima de este
campo es de tres caracteres y la longitud mxima, de ocho.

Palabras ofensivas. No cree grupos de distribucin con palabras que

puedan considerarse ofensivas. Si no est seguro, no utilice la palabra.

Caracteres permitidos. Puede utilizar cualquier carcter ASCII. Los

nicos caracteres especiales permitidos son el guin (-) y el carcter de
subrayado (_).

En Nombres para mostrar no incluya alias o como parte del nombre.

Palabras ofensivas. No cree grupos de distribucin con palabras que

puedan considerarse ofensivas.

La longitud mxima de nombre para mostrar es de 40 caracteres.

Se aceptan abreviaturas, siempre que su significado no sea confuso.

No ponga en maysculas toda la descripcin, pero s la primera letra del

nombre para mostrar. Utilice ortografa y puntuacin correctas.

No utilice la palabra Un/a, nmeros, caracteres especiales (sobre todo,

comillas) o un espacio en blanco al inicio de la descripcin. Esto hace
que aparezca en la parte superior de la libreta de direcciones.

Caracteres especiales. Las barras diagonales (/) se aceptan en los

nombres para mostrar, pero no al inicio de los nombres de servidor.

No utilice ms de un apstrofe () y ninguno de los siguientes caracteres

especiales: " * @ # $ % | [ ] ; < > =

5.3.5.8. Creacin y eliminacin de grupos.

Para realizar este procedimiento, debe ser miembro del grupo Usuarios
avanzados o Administradores en el equipo local o que hayan delegado en
usted la autoridad adecuada. Si el equipo est unido a un dominio, podrn
realizar este procedimiento los miembros del grupo Administradores del
dominio.
Para crear los grupos se debe seleccionar el icono

de la barra de

herramientas de Directorio Activo o tambin nos ubicamos en el dominio o OU

en donde se desea crear el grupo y con clic derecho seleccionamos Nuevo y
luego Grupo. O tambin en el men accin.

Figura 21. Creacin de grupos

En el cuadro escribimos el nombre del grupo, siguiendo la nomenclatura

explicada anteriormente, seleccionamos el mbito y tipo de Grupo y luego
Aceptar.

Figura 22. Ingreso de nombre, mbito y tipo de grupo

Para crear un grupo en un dominio de Directorio Activo mediante dsadd:

Abra un smbolo del sistema.

Escriba dsadd group GrupoDN -samid NombreSAM -secgrp yes |no scope l| g | u

Valor Descripcin

GrupoDN Especifica el nombre completo del objeto de grupo que desea

agregar.

NombreSAM Especifica el nombre de Administrador de cuentas de

seguridad (SAM, Security Accounts Manager) que se utilizar como
nombre de cuenta SAM nico para este grupo (por ejemplo,
operadores).

yes | no Especifica si el grupo que desea agregar es un grupo de

seguridad (yes) o un grupo de distribucin (no).

Especifica si el mbito del grupo que desea agregar es local de dominio

(l), global (g) o universal (u).

Para eliminar un grupo haga clic con el botn secundario del mouse en el
grupo y, a continuacin, haga clic en Eliminar.
Para realizar este procedimiento, debe ser miembro del grupo Operadores de
cuenta, Administradores del dominio o Administradores de organizacin en
Directorio Activo o que hayan delegado en usted la autoridad adecuada.
Para eliminar un grupo mediante dsrm. Abra un smbolo del sistema escriba
dsrm GrupoDN. GrupoDN Especifica el nombre completo del objeto de grupo
que se va a eliminar.

5.3.5.9. Administrar la perteneca de grupos.

Debido a que un gran nmero de usuarios necesitan a menudo acceso a
diferentes recursos de toda la organizacin, es posible que los administradores
tengan que agregar miembros a grupos que residen en Directorio Activo.
La Figura describe las propiedades Miembros y Miembro de. Tom, Jo, y Kim
son miembros del grupo global Administradores de Denver. El grupo global
Administradores de Denver es un miembro del grupo local de dominio
Administradores de UO de Denver. Sam, Scott, y Amy son miembros del grupo
global Administradores de Vancouver. El grupo global Administradores de
Vancouver es un miembro del grupo local de dominio Administradores de UO
de Denver.

Mediante las propiedades Miembros y Miembro de, puede determinar los

grupos a los que pertenece el usuario y los grupos a los que pertenece el
grupo.

Figura 23. Opciones Miembros y Miembros de Grupos

Para agregar miembros a un grupo debemos seguir los siguientes pasos:

1. Para agregar
Miembros
al
grupo, damos
doble clic en el
grupo,
seleccionamos
la
pagina
Miembros,
Y
luego Agregar

2. Con lo cual nos

pide
que
seleccionemos
los usuarios o
grupos
que
sern
Miembros.
Seleccionamos
el
tipo
de
objeto
y
ubicacin para
una bsqueda
rpida y luego
Avanzadas

3. En el siguiente
cuadro
seleccionamos
Buscar ahora y
se desplegara la
lista de usuarios
y/o
grupos.
Seleccionamos,
si son ms de
uno
podemos
seleccionar
teniendo
presionada
la
tecla control, y
luego Aceptar

4. La
figura
muestra los dos
usuarios
seleccionados
como miembros
del grupo global
estudiantes de
proyecto

Procedimiento similar se debe seguir para agregar Miembros de

5.3.5.10. Estrategias de grupos.

Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para
aplicar diferentes mbitos de grupo.

Figura 24. Estrategias de grupos

Las estrategias ms utilizadas son:

AGP
A DL P
A G DL P
A G U DL P
AGLP

En donde A es de cuenta de usuario (Account), G de Grupo Global, DL de

grupo local de dominio, U de Universal y de Permisos.
La estrategia AGDLP es la ms usada en redes de un solo dominio, significa
que las cuentas usuario debemos agregarlas a un grupo global, el grupo global
le hacemos miembro de un grupo local de dominio y a este le damos los
permisos.

Figura 25. Estrategia AGDLP

A continuacin explicaremos paso a paso el procedimiento que debe seguir

para cumplir con este objetivo.

1. Identificamos
usuarios
que
tengan
una
funcin similar.
Por ejemplo.
Profesores
Empleados
Cajeros
Ventas
Y creamos un
grupo global.

2. Se agrega a
todos
los
vendedores
al
grupo
global
ventas

3. Se
debe
determinar si se
puede usar un
grupo local de
dominio
predeterminado
o se debe crear
uno nuevo.

4. Se
debe
identificar
los
grupos que van a
necesitar
el
mismo recurso y
se
les
hace
miembros
del
grupo local de
dominio.

5. Por ejemplo si se
quiere que los de
ventas
tengan
acceso a una
impresora
a
color,
es
necesario crear
un grupo local de
dominio. Se hace
miembro
al
grupo global del
grupo local de
dominio
y
finalmente
se
concede
los
permisos sobre
la impresora al
grupo local de
dominio.

En A G U DL P, se colocan cuentas de usuario (A) en grupos globales (G), se

colocan los grupos globales en grupos universales (U) y estos grupos
universales en grupos locales de dominio (DL), y, a continuacin, se conceden
permisos (P) a los grupos locales de dominio.
Utilice A G U DL P para un bosque con ms de un dominio, en el que los
administradores necesiten una administracin centralizada para varios grupos
globales.

5.3.5.11. Administracin de un grupo

Se puede asignar un administrador a un grupo como propiedad del grupo. Esto
permite controlar quin es la persona responsable de los grupos, delegar en el
administrador del grupo la autoridad para agregar y eliminar usuarios del grupo.
Debido a que, en las grandes organizaciones, se suelen agregar y eliminar
personas de los grupos con bastante frecuencia, algunas organizaciones
distribuyen la responsabilidad administrativa de agregar usuarios a grupos
entre las personas que solicitan el grupo.

Figura 26. Administracin de un grupo

Para

asignar

administrador

un
de

grupo pulsamos dos

clic en el grupo y
seleccionamos
hoja

la

Administrador

por. Luego Cambiar

y seleccionamos el
usuario
Administrador.