Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capitulo 5
Capitulo 5
1. Clic
sobre
derecho
la
OU,
seleccionamos
Delegar control
2. Clic
Siguiente
asistente.
en
al
3. Seleccionamos
Agregar
para
incluir usuarios.
4. Seleccionamos
las tareas que
se
delegar.
quieran
5. Click
en
Finalizar
de la barra de
Otra forma de crear es mediante la seleccin de las opciones con clic derecho
en el lugar donde se desea crear, tal como se muestra en la figura.
-desc
Descripcin
-d
Dominio
-d
Dominio
-desc
Descripcin
Una cuenta local solo se puede crear en servidores que no tienen instalado
Directorio Activo o en equipos clientes. Una cuenta de usuario local se crea
mediante el administrador de equipos, y se almacena en la SAM (Administrador
de cuentas de seguridad). Cuando se autentifica se entrega la llave de acceso
(Access Token) en la propia maquina.
Cuenta de usuario
predeterminada
Administrador
Descripcion
La cuenta Administrador tiene control total del
dominio. Puede asignar derechos de usuario y
permisos de control de acceso a los usuarios
del dominio segn sea necesario. Esta cuenta
slo se debe usar para las tareas que requieran
Administradores,
Administradores del dominio
Administradores de organizacin
Propietarios del creador de directivas de
grupo
Administradores de esquema.
Invitado
Asistente de ayuda
Una
recomendacin
de
seguridad
para
proteger
estas
cuentas
es
equipos
de DA en
herramienta
s
administrati
vas
2. Nos
ubicamos
en
la
OU
donde
deseamos
crear
el
usuario
pulsamos
clic derecho
selecciona
mos Nuevo
y
luego
Usuario.
3. Escribimos
los
datos
del usuario,
como
nombre,
apellido,
nombre de
la cuenta.
Pulsamos
Siguiente.
4. Escribimos
la
clave,
que cumpla
los
requisitos
de
clave
compleja. Y
selecciona
mos
las
condiciones
como debe
actuar
la
clave.
luego
Siguiente
5. Se
presenta un
resumen de
la creacin
de
la
cuenta
pulsamos
Finalizar.
podemos
Descripcin,
nmeros
de
En la hoja Cuenta se
puede establecer:
Horas de inicio de
sesin
Equipos en donde se
puede ingresar.
Desbloquear
una
cuenta
Opciones
de
contraseas.
Caducidad
de
la
cuenta.
En horas de inicio de
sesion se debe ingresar
las horas permitidas en
azul y denegadas las
blancas
En
se puede indicar los
equipos
cuales
desde
se
ingresar,
si
modifica
se
los
pueden
no
se
puede
Se puede administrar la
contrasea para que el
usuario cambie en el
prximo
sesin,
inicio
o
de
configurar
En
la
caducidad
de
cuenta se establece la
fecha
en
la
caducara la cuenta.
cual
En la hoja perfil se
puede ingresar:
La carpeta en la que el
usuario tiene el perfil
Un programa que se
ejecute al iniciar.
La ruta de una carpeta
local.
En la hoja miembros de
se puede establecer los
grupos a los que el
usuario
pertenecer
puede
para
que
Los dominios en los que puede utilizar el grupo para conceder permisos.
El mbito de un grupo determina cules son los miembros del grupo. Las reglas
de pertenencia controlan los miembros que pueden contener un grupo y los
grupos de los que puede ser miembro. Los miembros de un grupo estn
formados por cuentas de usuario, cuentas de equipo y otros grupos.
Para asignar los miembros correctos a los grupos y para anidar un grupo, es
importante conocer las caractersticas del mbito de grupo. Existen los
siguientes mbitos de grupo:
Global
Local de dominio
Universal
5.3.5.3.1.
Los miembros de los grupos locales de dominio pueden incluir otros grupos y
cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y
Windows Server 2008. A los miembros de estos grupos slo se les pueden
asignar permisos dentro de un dominio.
Los grupos con mbito Local de dominio ayudan a definir y administrar el
acceso a los recursos dentro de un dominio nico. Estos grupos pueden tener
los siguientes miembros:
Cuentas
tengan acceso a otra impresora, deber volver a especificar las cinco cuentas
en la lista de permisos para la nueva impresora.
5.3.5.3.2.
Grupos globales
Los miembros de los grupos globales pueden incluir slo otros grupos y
cuentas del dominio en el! que se encuentra definido el grupo. A los miembros
de estos grupos se les pueden asignar permisos en cualquier dominio del
bosque.
Use los grupos con mbito Global para administrar objetos de directorio que
requieran un mantenimiento diario, como las cuentas de usuario y de equipo.
Dado que los grupos con mbito Global no se replican fuera de su propio
dominio, las cuentas de un grupo con mbito Global se pueden cambiar
frecuentemente sin generar trfico de replicacin en el catlogo global.
Aunque las asignaciones de derechos y permisos slo son vlidas en el
dominio en el que se asignan, al aplicar grupos con mbito Global de manera
uniforme entre los dominios apropiados, es posible consolidar las referencias a
cuentas con fines similares. De esta manera se simplifica y se racionaliza la
administracin de grupos entre dominios.
5.3.5.3.3.
Grupos universales
Los miembros de los grupos universales pueden incluir otros grupos y cuentas
de cualquier dominio del bosque o del rbol de dominios. A los miembros de
estos grupos se les pueden asignar permisos en cualquier dominio del bosque
o
del
rbol
de
dominios.
Use los grupos con mbito Universal para consolidar los grupos que abarquen
varios dominios. Para ello, agregue las cuentas a los grupos con mbito Global
y anide estos grupos dentro de los grupos que tienen mbito Universal. Si usa
esta estrategia, los cambios de pertenencias en los grupos que tienen mbito
Global no afectan a los grupos con mbito Universal.
Por ejemplo, si una red tiene dos dominios, ESPOCH y AMICROSOFT, y hay
un grupo con mbito Global denominado GPROFESORES en cada dominio,
cree un grupo con mbito Universal denominado UPROFESORES que tenga
como
miembros
los
dos
grupos
ESPOCH\GPROFESORES
GPROFESORES
individuales
no
producir
la
replicacin
del
grupo
UPROFESORES.
Grupos de distribucin y
Grupos de seguridad.
compartidos.
compartidos,
cree
un
grupo
de
seguridad.
Si se usan con cuidado, los grupos de seguridad son eficaces para conceder
acceso a los recursos de la red. Con los grupos de seguridad se puede:
que
se
establecen
en
objetos
de
dominio
se
asignan
Entidad Especial
Descripcin
Todos
Red
Interactivo
grupo
peticin
del
cliente.
Por
ejemplo:
G_ESPOCH_PROFESORES_FIE
grupos
locales
de
dominio.
Por
ejemplo
DL_ESPOCH_CONTABILIDAD_CONTROLTOTAL.
Para grupos de seguridad debe utilizar la convencin de nomenclatura que
tenga en cuenta los siguientes puntos:
de la barra de
Escriba dsadd group GrupoDN -samid NombreSAM -secgrp yes |no scope l| g | u
Valor Descripcin
Para eliminar un grupo haga clic con el botn secundario del mouse en el
grupo y, a continuacin, haga clic en Eliminar.
Para realizar este procedimiento, debe ser miembro del grupo Operadores de
cuenta, Administradores del dominio o Administradores de organizacin en
Directorio Activo o que hayan delegado en usted la autoridad adecuada.
Para eliminar un grupo mediante dsrm. Abra un smbolo del sistema escriba
dsrm GrupoDN. GrupoDN Especifica el nombre completo del objeto de grupo
que se va a eliminar.
3. En el siguiente
cuadro
seleccionamos
Buscar ahora y
se desplegara la
lista de usuarios
y/o
grupos.
Seleccionamos,
si son ms de
uno
podemos
seleccionar
teniendo
presionada
la
tecla control, y
luego Aceptar
4. La
figura
muestra los dos
usuarios
seleccionados
como miembros
del grupo global
estudiantes de
proyecto
AGP
A DL P
A G DL P
A G U DL P
AGLP
1. Identificamos
usuarios
que
tengan
una
funcin similar.
Por ejemplo.
Profesores
Empleados
Cajeros
Ventas
Y creamos un
grupo global.
2. Se agrega a
todos
los
vendedores
al
grupo
global
ventas
3. Se
debe
determinar si se
puede usar un
grupo local de
dominio
predeterminado
o se debe crear
uno nuevo.
4. Se
debe
identificar
los
grupos que van a
necesitar
el
mismo recurso y
se
les
hace
miembros
del
grupo local de
dominio.
5. Por ejemplo si se
quiere que los de
ventas
tengan
acceso a una
impresora
a
color,
es
necesario crear
un grupo local de
dominio. Se hace
miembro
al
grupo global del
grupo local de
dominio
y
finalmente
se
concede
los
permisos sobre
la impresora al
grupo local de
dominio.
Para
asignar
administrador
un
de
la
Administrador