Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Creacion y Administracion de Objetos de Active Directory
Creacion y Administracion de Objetos de Active Directory
de objetos de Active
Directory
Contenido
Introduccin
21
38
Leccin: Uso de permisos para controlar el acceso a los objetos de Active Directory
48
Leccin: Delegar el control de los objetos de Active Directory para lograr una administracin
segura y descentralizada
65
79
83
Introduccin
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Objetivos
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Objetivos de la leccin
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Jerarqua basada en
la funcin
Jerarqua basada en
la organizacin
Jerarqua basada en
la ubicacin
Jerarqua hbrida
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Nombre completo
relativo LDAP
Nombre cannico
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesin en
un dominio y tener acceso a recursos de cualquier lugar de la red, mientras que
las cuentas locales de usuario permiten a los usuarios iniciar sesiones y tener
acceso nicamente a los recursos del equipo en el que se ha creado la cuenta de
usuario local. Como administrador de sistemas, debe crear cuentas de usuario
locales y de dominio para administrar el entorno de red.
Importante No es posible crear cuentas de usuario locales en un controlador
de dominio.
Procedimiento para
crear una cuenta de
usuario de dominio
10
11
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Los administradores
determinan la ubicacin
de las cuentas de
equipo
Cuentas de equipo
ensayadas previamente
Lecturas adicionales
12
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Anterior a
Windows 2000
Controlador de dominio
de reserva
Lectura complementaria
13
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento
14
15
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivos
Instrucciones
Situacin de ejemplo
16
Ejercicio: Creacin de
unidades organizativas
Situacin de ejemplo
Situacin de ejemplo
Ejercicio: Crear y
modificar cuentas
de usuario
Ciudad
Brown, Robert
Acapulco
Browne, Kevin F.
Acapulco
Byham, Richard A.
Auckland
Calafato, Ryan
Auckland
Berg, Karen
Bangalore
Berge, Karen
Bangalore
Barnhill, Josh
Bonn
Barr, Adam
Bonn
Brisbane
Anderson, Nancy
Brisbane
Chapman, Greg
Caracas
Charles, Mathew
Caracas
Bonifaz, Luis
Casablanca
Boseman, Randall
Casablanca
Ackerman, Pilar
Denver
Adams, Jay
Denver
Connelly, Peter
Khartoum
17
18
Ciudad
Conroy, Stephanie
Khartoum
Lima
Bashary, Shay
Lima
Arthur, John
Lisbon
Ashton, Chris
Lisbon
Bankert, Julie
Manila
Clark, Brian
Manila
Burke, Brian
Miami
Burlacu, Ovidiu
Miami
Chor, Anthony
Montevideo
Ciccu, Alice
Montevideo
Casselman, Kevin A.
Moscow
Cavallari, Matthew J.
Moscow
Cornelsen, Ryan
Nairobi
Cox, Brian
Nairobi
Alberts, Amy E.
Perth
Perth
Benshoof, Wanida
Santiago
Benson, Max
Santiago
Bezio, Marin
Singapore
Bischoff, Jimmy
Singapore
Carothers, Andy
Stockholm
Carroll, Matthew
Stockholm
Cannon, Chris
Suva
Suva
Combel, Craig M.
Tokyo
Con, Aaron
Tokyo
Bradley, David M.
Tunis
Bready, Richard
Tunis
Abolrous, Sam
Vancouver
Acevedo, Humberto
Vancouver
Situacin de ejemplo
Ejercicio: Buscar
cuentas de usuario
19
20
Situacin de ejemplo
Ejercicio: Creacin de
cuentas de equipo
Situacin de ejemplo
Ejercicio: Buscar
cuentas de equipo
21
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Objetivos de la leccin
Crear un grupo.
22
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Definicin
Tipos de grupos
Grupos de seguridad
Los grupos de seguridad se utilizan para asignar derechos de usuario y
permisos a los grupos de usuarios y equipos. Los derechos determinan
qu pueden hacer los integrantes de un grupo de seguridad en un dominio
o bosque, y los permisos determinan a qu recursos de la red tienen acceso
los integrantes del grupo.
Tambin peden utilizarse grupos de seguridad para enviar mensajes
de correo electrnico a mltiples usuarios. Cuando se enva un mensaje
de correo electrnico al grupo, se enva a cada uno de sus integrantes.
Por ello, los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribucin.
23
Grupos de distribucin
Los grupos de distribucin se utilizan con aplicaciones de correo
electrnico, como Microsoft Exchange, para enviar mensajes de correo
electrnico a conjuntos de usuarios. El propsito principal de este tipo de
grupo es reunir objetos relacionados, no conceder permisos.
Los grupos de distribucin no tienen habilitada la seguridad; es decir, no
pueden utilizarse para asignar permisos. Si necesita un grupo para controlar
el acceso a los recursos compartidos, debe crear un grupo de seguridad.
Aunque los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribucin, stos siguen siendo necesarios, ya que algunas aplicaciones
slo pueden utilizar grupos de distribucin.
mbito de grupo
Tanto los grupos de distribucin como los de seguridad admiten uno de los tres
mbitos de grupo.
El mbito del grupo determina si el grupo abarca mltiples dominios o se limita
a un solo dominio.
El mbito de grupo determina:
Los dominios en los que puede utilizarse el grupo para conceder permisos.
Los dominios en los que puede anidarse el grupo dentro de otros grupos.
Contenido posible
Descripcin
Global
Universal
Dominio local
Un grupo de seguridad de
dominio local slo puede recibir
derechos y permisos para recursos
que residan en el mismo dominio
en el que se encuentra.
24
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Catlogo global
Servidor de catlogo
global
Si no hay disponible un
catlogo global
25
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Niveles funcionales
de dominio
Caractersticas
habilitadas
Controladores de
dominio admitidos
Windows NT 4.0,
Windows 2000, familia de
Windows Server 2003
Anidamiento y conversin
de grupos
Grupos universales,
seguridad y distribucin
SIDHistory
26
Caractersticas
habilitadas
Controladores de
dominio admitidos
Familia de Windows
Server 2003
Familia de Windows
Server 2003
Actualizar atributo de
marca de hora de inicio
de sesin
Nmeros de versin de
KDC Kerberos
Contrasea de usuario
en INetOrgPerson
Herramienta de cambio
de nombre de dominio
Grupos de seguridad
universales y niveles
funcionales de dominio
No
Nota Slo es posible cambiar de tipo de grupo cuando el nivel funcional del
dominio es Windows 2000 nativo o superior.
Nota Windows Server 2003 versin provisional slo se utiliza para
actualizaciones directas de Windows NT 4.0 a la familia de
Windows Server 2003, sin pasar por Windows 2000. Los controladores
de dominio con Windows 2000 no admiten la funcionalidad de dominio
Windows Server 2003 versin provisional.
Despus de elevar el nivel funcional de un dominio, no es posible agregar
controladores de dominio que ejecuten sistemas operativos anteriores.
Por ejemplo, si eleva el nivel funcional de dominio a la familia de
Windows Server 2003, los controladores de dominio con Windows Server 2000
no podrn agregarse al dominio.
Precaucin El cambio del nivel funcional de dominio es irreversible. Una vez
elevado el nivel funcional de un dominio, no es posible reducirlo de nuevo.
Informacin adicional
27
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Cundo utilizar un
mbito global
Una ventaja de utilizar el mbito global es que las cuentas de un grupo que
tiene mbito global pueden modificarse frecuentemente sin generar trfico de
replicacin en el catlogo global. Esta ventaja proviene del hecho de que los
grupos globales no se replican fuera de su propio dominio.
Los grupos con mbito global pueden utilizarse para administrar objetos de
directorio que requieran mantenimiento diario, como las cuentas de usuario y de
equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuarios
que comparten las mismas tareas y tienen requisitos de acceso a la red similares.
Cundo utilizar un
mbito universal
Los grupos con mbito universal pueden utilizarse para consolidar grupos que
abarcan ms de un dominio. Para ello, agregue las cuentas a grupos con mbito
global y anide estos grupos en otros que tengan mbito universal. Con esta
estrategia, los cambios en la pertenencia a los grupos con mbito global no
afectarn a los grupos con mbito universal.
Por ejemplo, en una red con dos dominios, North y South, y un grupo
denominado GLAccounting que tenga mbito global en ambos dominios,
puede crear un grupo con mbito universal denominado UAccounting, que
tenga como integrantes los dos grupos GLAccounting, North\GLAccounting y
South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugar
de la organizacin. Los cambios en la pertenencia a los grupos individuales
GLAccounting no provocarn la replicacin del grupo UAccounting.
28
Cundo utilizar el
mbito de dominio local
29
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento para
crear un grupo en un
dominio
30
Procedimiento para
crear un grupo local en
un servidor integrante
Descripcin
NCDeGrupo
NombreSAM
yes | no
l|g|u
Nota Para ver la sintaxis completa de este comando, escriba dsadd group /?
en el smbolo del sistema.
Procedimiento para
eliminar un grupo
31
Descripcin
NCDeGrupo
32
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Cambiar el mbito
de grupo
33
De seguridad a distribucin
Una compaa se divide en dos. Los usuarios migran de un dominio a otro,
pero conservan sus antiguas direcciones de correo electrnico. Desea
enviarles mensajes de correo electrnico utilizando los grupos de seguridad
antiguos, pero desea retirar el contexto de seguridad del grupo.
De distribucin a seguridad
Un grupo de distribucin crece mucho y los usuarios desean utilizarlo para
tareas relacionadas con la seguridad. Sin embargo, tambin desean mantener
el grupo para enviar correo electrnico.
34
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento
35
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivos
Instrucciones
Situacin de ejemplo
36
Situacin de ejemplo
37
Ejercicio: Cambiar el
mbito de grupo
Situacin de ejemplo
Ejercicio: Cambiar
el tipo de grupo
38
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Objetivos de la leccin
39
Qu es el anidamiento de grupos?
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Diseo para
anidamiento mnimo
Las opciones de
anidamiento dependen
del nivel funcional de
dominio
Nivel funcional
Windows 2000 nativo
Los grupos de los dominios con nivel funcional Windows 2000 nativo y los
grupos de distribucin de los dominios con nivel funcional Windows 2000
mixto pueden tener los integrantes siguientes:
Grupo con este mbito:
Universal
Global
Dominio local
40
Nivel funcional
Windows 2000 mixto
Los grupos de seguridad de los dominios con el nivel funcional Windows 2000
mixto estn restringidos a los tipos de pertenencia siguientes:
Grupo con este mbito:
Global
Slo cuentas
Dominio local
41
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Esta animacin explica la estrategia AGDLP para el uso de grupos. Para iniciar
la presentacin, abrir el archivo media10_2.html que se puede encontrar dentro
del fichero media10.zip.
Para obtener ms informacin acerca de las estrategias de grupos, consulte el
apndice E: Estrategias de grupo.
42
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Ejemplo 1
Ejemplo 2
43
44
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Grupos de sistema
Grupos
predeterminados en los
servidores integrantes
Grupos
predeterminados en
Active Directory
Consideraciones de
seguridad relativas a los
grupos predeterminados
45
Todos los permisos asignados a ese grupo predeterminado para todos los
recursos compartidos asociados al mismo.
46
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Situacin de ejemplo
Explicacin
Debe asignar grupos predeterminados o crear grupos nuevos para las tareas
siguientes. Indique el grupo que tiene los derechos de usuario ms restrictivos
para realizar las acciones siguientes o determine si debe crear un grupo nuevo.
1. Crear copias de seguridad y restaurar controladores de dominio.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
2. Crear copias de seguridad de servidores integrantes.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
3. Crear grupos en la unidad organizativa NWTraders Groups.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
47
48
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Objetivos de la leccin
49
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Esta presentacin explica cmo utilizar las unidades organizativas para agrupar
objetos y lograr una administracin ms efectiva. Tambin explica las dos
finalidades principales de una jerarqua de unidades organizativas. Para iniciar
la presentacin, abrir el archivo media10_3.html que se puede encontrar dentro
del fichero media10.zip.
50
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Permisos estndar
y especiales
Los permisos estndar son los permisos que se conceden con ms frecuencia y
constan de un conjunto de permisos especiales. Los permisos especiales ofrecen
un mayor grado de control para el tipo de acceso a los objetos que se puede
conceder. La tabla siguiente indica algunos de los permisos estndar.
Permiso
Permite al usuario:
Control total
Escribir
Leer
51
Acceso autorizado
por los permisos
Lecturas adicionales
52
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Aunque los permisos NTFS y los permisos de objeto de Active Directory son
similares, existen ciertas caractersticas especficas de los segundos. Los permisos
de objeto de Active Directory pueden concederse o denegarse, denegarse
implcita o explcitamente, establecerse como permisos estndar o especiales,
y establecerse en el nivel de objeto o heredarse desde el objeto principal.
Conceder y denegar
permisos
Permisos implcitos
o explcitos
53
Permisos estndar
y especiales
Permisos heredados
54
Herencia de permisos
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Qu es la herencia
de permisos?
Un objeto principal es cualquier objeto que tenga una relacin con otro objeto
denominado secundario. El objeto secundario hereda los permisos del objeto
principal. La herencia de permisos de Active Directory reduce al mnimo el
nmero de veces que se necesita conceder permisos para los objetos.
Ventajas
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Efectos de mover
objetos
55
56
Impedir la herencia
de permisos
57
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento para
agregar permisos
Procedimiento para
modificar permisos
58
Procedimiento para
modificar la herencia
de permisos
59
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Caractersticas de los
permisos efectivos
60
61
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento
Lecturas adicionales
62
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivo
Instrucciones
Situacin de ejemplo
Ejercicio
63
Heredado
Explcito
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organizacin
ENTERPRISE DOMAIN
CONTROLLERS
Acceso compatible con versiones
anteriores a Windows 2000
Operadores de impresora
Sistema
64
Heredado
Explcito
65
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
En esta leccin se explican los motivos para delegar el control de una unidad
organizativa y cmo se asigna un administrador a un grupo.
Objetivos de la leccin
66
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Definicin
Formas de definir la
delegacin del control
administrativo
67
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Delegacin de permisos
68
Opciones
Descripcin
Usuarios o grupos
Permisos
69
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento para
delegar el control de
tareas comunes
70
71
72
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivo
Instrucciones
Situacin de ejemplo
Ejercicio
73
74
75
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Ventajas de asignar
un administrador a
un grupo
76
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivo
Instrucciones
Situacin de ejemplo
Ejercicio
77
78
79
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Objetivos de la leccin
80
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Elementos de
Active Directory que
pueden moverse
Cuenta de usuario
Cuenta de contacto
Grupo
Carpeta compartida
Impresora
Equipo
Controlador de dominio
Unidad organizativa
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Procedimiento
81
82
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivo
Instrucciones
Situacin de ejemplo
Ejercicio
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Objetivos
Instrucciones
83
84
Ejercicio 1
Delegacin del control administrativo
En este ejercicio delegar el control administrativo de los objetos de una unidad organizativa.
Situacin de ejemplo
Northwind Traders desea que todo el personal de tecnologa de la informacin pueda crear, eliminar
y modificar grupos en todas las unidades organizativas ciudad. Usted debe delegar la autoridad en
su unidad organizativa NombreDeEquipo de modo que un grupo global denominado G NWTraders
IT Personnel tenga permisos para crear, eliminar y administrar grupos y modificar la pertenencia a
los mismos.
Tareas
1.
Delegue el control de la
unidad organizativa
NombreDeEquipo/Groups.
Instrucciones especficas
Unidad organizativa:
nwtraders.msft/Locations/NombreDeEquipo/Groups
85
Ejercicio 2
Documentacin de la seguridad de un objeto de Active Directory
En este ejercicio documentar la configuracin de seguridad del objeto creado en la unidad
organizativa delegada.
Situacin de ejemplo
Acaba de crear varios grupos en una unidad organizativa delegada y se le ha pedido que documente
los permisos que ha heredado cada uno de ellos. Escriba en la tabla siguiente la informacin
necesaria para documentar los permisos del grupo.
Tareas
2.
Instrucciones especficas
__________________________________