Creacion y Administracion de Objetos de Active Directory

Creacin y administracin
de objetos de Active
Directory
Contenido
Introduccin
Leccin: Creacin de unidades organizativas, cuentas de usuario y cuentas de equipo
Leccin: Creacin y modificacin de grupos
21
Leccin: Estrategias para el uso de grupos
38
Leccin: Uso de permisos para controlar el acceso a los objetos de Active Directory
48
Leccin: Delegar el control de los objetos de Active Directory para lograr una administracin
segura y descentralizada
65
Leccin: Mover objetos de Active Directory
79
Prctica A: Administrar el acceso a los objetos de unidades organizativas
83
Creacin y administracin de objetos de Active Directory
Introduccin
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Este mdulo contiene la informacin que precisa un administrador de sistemas

para administrar los objetos del servicio de directorio Active Directory.
Objetivos
Despus de finalizar este mdulo, podr:
Crear unidades organizativas, cuentas de usuario y cuentas de equipo.
Crear y modificar grupos.
Aplicar las estrategias adecuadas al trabajar con grupos.
Utilizar permisos para controlar el acceso a los objetos de Active Directory.
Delegar el control de los objetos de Active Directory para lograr una

administracin segura y descentralizada.
Mover objetos de Active Directory.
Leccin: Creacin de unidades organizativas, cuentas de

usuario y cuentas de equipo
Introduccin
Esta leccin proporciona los conocimientos y la prctica necesarios para crear

unidades organizativas, cuentas de usuario y cuentas de equipo.
Objetivos de la leccin
Despus de finalizar esta leccin, podr:
Explicar los cuatro modelos jerrquicos de unidad organizativa.
Explicar los nombres asociados a las unidades organizativas.
Crear una unidad organizativa.
Crear una cuenta de usuario.
Explicar cmo y dnde se crean las cuentas de equipo en un dominio.
Explicar las dos opciones de cuenta de equipo.
Crear una cuenta de equipo.
Modelos jerrquicos de unidad organizativa
Introduccin
Como administrador de sistemas, no es su funcin elegir el diseo estructural

de Active Directory para su organizacin. Sin embargo, es importante que
conozca las caractersticas y ramificaciones de cada estructura. Este
conocimiento puede ser crucial a la hora de realizar tareas de administracin
de sistemas en la estructura de Active Directory. En este tema se describen los
cuatro diseos jerrquicos bsicos.
Jerarqua basada en
la funcin
La jerarqua basada en la funcin considera slo las funciones de negocio de

la organizacin, sin importar la ubicacin geogrfica o los lmites de los
departamentos o divisiones. Elija esta alternativa slo cuando la funcin de
tecnologa de la informacin no se base en la ubicacin o la organizacin.
Cuando necesite decidir si la estructura de Active Directory debe organizarse
por funcin, considere las caractersticas siguientes de los diseos basados en
funciones:
No se ven afectados por las reorganizaciones. Una jerarqua basada en

la funcin no se ve afectada por las reestructuraciones corporativas u
organizativas.
Pueden requerir niveles adicionales. Cuando se utiliza esta estructura,

puede ser necesario crear niveles adicionales en la jerarqua de unidades
organizativas para acomodar la administracin de usuarios, impresoras,
servidores y otros recursos de red.
Pueden afectar a la replicacin. Las estructuras empleadas para crear los

dominios pueden no ser las mejores para un uso eficiente de la red, ya que el
contexto de nombres de dominio puede replicarse entre una o ms reas de
bajo ancho de banda.
Esta estructura slo es adecuada en organizaciones pequeas porque los

departamentos funcionales de las organizaciones medianas y grandes son a
menudo muy diversos y no pueden agruparse en grandes categoras.
Jerarqua basada en
la organizacin
La jerarqua basada en la organizacin considera los departamentos o divisiones

de la organizacin. Si la estructura de Active Directory se ha creado para reflejar
la estructura organizativa, puede ser difcil delegar la autoridad administrativa, ya
que los objetos de Active Directory, como las impresoras y recursos compartidos
de archivo pueden no estar agrupados de modo que faciliten la delegacin de
dicha autoridad. Dado que los usuarios nunca ven la estructura de
Active Directory, el diseo debe acomodarse al administrador, no al usuario.
Jerarqua basada en
la ubicacin
Si la organizacin est centralizada y la administracin de la red est distribuida

geogrficamente, es recomendable utilizar una jerarqua basada en la ubicacin.
Por ejemplo, puede decidir crear unidades organizativas para Providence,
Boston y Hartford en el mismo dominio, por ejemplo contoso.msft.
Una jerarqua de unidad organizativa o dominio basada en la ubicacin tiene las
caractersticas siguientes:
Jerarqua hbrida
No se ve afectada por las reorganizaciones. Aunque las divisiones y

departamentos pueden cambiar con frecuencia, en la mayora de las
organizaciones la ubicacin no suele cambiar.
Se adapta a fusiones y expansiones. Si una organizacin se fusiona o

adquiere otra compaa, resulta sencillo integrar las nuevas ubicaciones en
la estructura jerrquica existente de unidades organizativas y dominios.
Aprovecha la capacidad de la red. Normalmente, la topologa de la red fsica

de una organizacin se corresponde con una jerarqua basada en la ubicacin.
Si se crean dominios con una jerarqua basada en la ubicacin, es posible
aprovechar las reas donde la red tiene mayor ancho de banda y limitar la
cantidad de datos que se replican entre reas con bajo ancho de banda.
Puede comprometer la seguridad. Si una ubicacin consta de mltiples

divisiones o departamentos, un individuo o grupo con autoridad
administrativa sobre ese dominio o sobre las unidades organizativas puede
tener tambin autoridad sobre los dominios o unidades organizativas
secundarios.
Una jerarqua basada primero en la ubicacin y despus en la organizacin, o en

cualquier otra combinacin de estructuras, se denomina jerarqua hbrida. La
jerarqua hbrida combina las ventajas de los distintos tipos para satisfacer los
requisitos de la organizacin. Este tipo de jerarqua tiene las caractersticas
siguientes:
Se adapta al crecimiento geogrfico o de los diferentes departamentos o

divisiones.
Crea lmites de administracin definidos en funcin de los departamentos

o divisiones.
Requiere la cooperacin entre los administradores para asegurar la

finalizacin de las tareas administrativas cuando ataen a la misma
ubicacin pero a distintas divisiones o departamentos.
Nombres asociados a las unidades organizativas
Introduccin
Las referencias a objetos especficos de Active Directory pueden hacerse

mediante distintos tipos de nombres que describen su ubicacin.
Active Directory crea un nombre completo relativo, un nombre completo y un
nombre cannico para cada objeto, en funcin de la informacin suministrada
por el administrador en el momento de crear o modificar el objeto.
Nombre completo
relativo LDAP
El nombre completo relativo LDAP (Lightweight Directory Access Protocol,

Protocolo ligero de acceso a directorio) identifica de forma nica al objeto en su
contenedor principal. Por ejemplo, el nombre completo relativo LDAP de una
unidad organizativa denominada MiUnidadOrganizativa es
OU=MiUnidadOrganizativa. Los nombres completos relativos deben ser nicos
dentro de la unidad organizativa. Es importante entender la sintaxis del nombre
completo relativo LDAP cuando se utilizan secuencias de comandos para
consultar y administrar Active Directory.
Nombre completo LDAP
A diferencia del nombre completo relativo LDAP, el nombre completo LDAP

es nico globalmente. Un ejemplo de nombre completo LDAP nico de una
unidad organizativa denominada MiUnidadOrganizativa en el dominio
microsoft.com es OU=MiUnidadOrganizativa, DC=microsoft, DC=com.
Los administradores de sistemas slo utilizan el nombre completo relativo
LDAP y el nombre completo LDAP cuando escriben secuencias de comandos
administrativas o durante la administracin en la lnea de comandos.
Nombre cannico
La sintaxis del nombre cannico se construye de la misma forma que la del

nombre completo LDAP, pero se representa con una notacin distinta. El
nombre cannico de la unidad organizativa denominada MiUnidadOrganizativa
en el dominio microsoft.com es Microsoft.com/MiUnidadOrganizativa.
Los administradores usan los nombres cannicos en algunas herramientas
administrativas. El nombre cannico se utiliza para representar una jerarqua en
las herramientas administrativas.
Cmo crear una unidad organizativa
Introduccin
Con la creacin de unidades organizativas puede representar una jerarqua o

administrar los objetos incluidos en ellas.
Procedimiento
Para crear una nueva unidad organizativa:

1. Abra Usuarios y equipos de Active Directory.
2. En el rbol de la consola, haga doble clic en el nodo de dominio.
3. Haga doble clic con el botn secundario del mouse (ratn) en el nodo del
dominio o en la carpeta en la que de desee agregar la unidad organizativa,
seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.
4. En el cuadro de dilogo Nuevo objeto - Unidad organizativa, en el cuadro
Nombre, escriba el nombre de la unidad organizativa y, a continuacin,
haga clic en Aceptar.
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Administradores de dominio o Administradores de organizacin en
Active Directory, o tener delegada la autoridad correspondiente. Como
recomendacin de seguridad, considere la posibilidad de utilizar Ejecutar
como para realizar este procedimiento.
Utilizar una lnea

de comandos
Para crear una unidad organizativa con el comando dsadd:

1. Abra un smbolo del sistema.
2. Escriba dsadd ou NombreDeDominioDeUnidadOrganizativa
[-desc Descripcin] [{-s Servidor | -d Dominio}] [-u NombreDeUsuario]
[-p {Contrasea | *}] [-q] [{-uc | -uco | -uci}]
El siguiente es un ejemplo de un comando dsadd ou:
dsadd ou "ou=testou,ou=locations,dc=nwtraders,dc=msft"
Cmo crear una cuenta de usuario
Introduccin
Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesin en
un dominio y tener acceso a recursos de cualquier lugar de la red, mientras que
las cuentas locales de usuario permiten a los usuarios iniciar sesiones y tener
acceso nicamente a los recursos del equipo en el que se ha creado la cuenta de
usuario local. Como administrador de sistemas, debe crear cuentas de usuario
locales y de dominio para administrar el entorno de red.
Importante No es posible crear cuentas de usuario locales en un controlador
de dominio.
Procedimiento para
crear una cuenta de
usuario de dominio
Para crear una cuenta de usuario de dominio:

2. En el rbol de la consola, haga doble clic en el nodo de dominio.
3. En el panel de detalles, haga clic con el botn secundario del mouse en la
unidad organizativa a la que desee agregar el usuario, seleccione Nuevo y,
a continuacin, haga clic en Usuario.
4. En el cuadro de dilogo Nuevo objeto - Usuario, en el cuadro Nombre,
escriba el nombre del usuario.
5. En el cuadro Iniciales, escriba las iniciales del usuario.
6. En el cuadro Apellidos, escriba el apellido del usuario.
7. En el cuadro Nombre de inicio de sesin de usuario, escriba el nombre
con el que usuario iniciar la sesin.
8. En la lista desplegable, haga clic en el sufijo UPN que debe anexarse al
nombre de inicio de sesin del usuario despus del signo (@).
9. Haga clic en Siguiente.
10
10. En los cuadros Contrasea y Confirmar contrasea, escriba la contrasea

del usuario.
11. Seleccione las opciones de contrasea adecuadas.
12. Haga clic en Siguiente y, a continuacin, haga clic en Finalizar.
Procedimiento para
crear una cuenta de
usuario local
Para crear una cuenta de usuario local:

1. Haga clic en Inicio, seleccione Herramientas administrativas y,
a continuacin, haga clic en Administracin de equipos.
2. En el rbol de la consola, expanda Usuarios y grupos locales y,
a continuacin, haga clic en Usuarios.
3. En el men Accin, haga clic en Usuario nuevo.
4. En el cuadro Usuario nuevo, en el cuadro Nombre de usuario,
escriba el nombre con el que usuario iniciar la sesin.
5. Modifique el nombre completo como sea necesario.
6. En los cuadros Contrasea y Confirmar contrasea, escriba la contrasea
del usuario.
7. Seleccione las opciones de contrasea adecuadas.
8. Haga clic en Crear y, despus, en Cerrar.
Nota Un nombre de usuario no puede ser idntico al de ningn otro usuario o
grupo del equipo que se administra. Puede contener hasta 20 caracteres en
maysculas o minsculas, excepto los siguientes:
"/\[]:;|=,+*?<>
Un nombre de usuario no puede estar formado nicamente por puntos o espacios.
Utilizar una lnea

de comandos
Otra forma de crear una cuenta de usuario de dominio es utilizar el comando

dsadd. El comando dsadd user agrega un solo usuario al directorio desde el
smbolo del sistema o desde un archivo por lotes.
Para crear una cuenta de usuario con dsadd user:
2. Escriba dsadd user NombreDeDominioDeUsuario [-samid NombreSAM]
[-upn UPN] [-fn Nombre] [-ln Apellido] [-display NombreParaMostrar]
[-pwd {Contrasea|*}] Utilice comillas (" ") si hay espacios en alguna
variable.
Nota Si desea consultar la sintaxis completa del comando dsadd user, escriba
dsadd user /? en el smbolo del sistema.
El siguiente es un ejemplo de un comando dsadd user:
dsadd user "cn=testuser,cn=users,dc=nwtraders,dc=msft" samid
testuser upn testuser@nwtraders.msft fn test ln user
display "test user" pwd P@ssw0rd
11
Cmo y dnde crear cuentas de equipo en un dominio
Introduccin
Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir la

unidad organizativa en la que desea crearla. Si un equipo se une a un dominio,
la cuenta de equipo se crea en el contenedor Equipos y el administrador puede
moverla a la unidad organizativa correspondiente si es necesario.
Los administradores
determinan la ubicacin
de las cuentas de
equipo
De forma predeterminada, los usuarios de Active Directory pueden agregar

hasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta
configuracin predeterminada puede cambiarse. Si el administrador de sistemas
agrega una cuenta de equipo directamente a Active Directory, un usuario podr
agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipo
asignadas.
Cuentas de equipo
ensayadas previamente
La operacin de agregar un equipo al dominio mediante una cuenta creada

anteriormente se denomina ensayo previo y significa que los equipos pueden
agregarse a cualquier unidad organizativa en la que el administrador de
sistemas tenga permiso para agregar cuentas de equipo. Normalmente, los
usuarios no tienen los permisos necesarios para el ensayo previo de una cuenta
de equipo, de modo que como alternativa pueden unir un equipo al dominio
mediante una cuenta ensayada previamente.
Los usuarios crean

cuentas de equipo
Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agrega

al contenedor Equipos de Active Directory. Esto tiene lugar a travs de un
servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta de
sistema tambin registra el nmero de equipos que cada usuario ha agregado al
dominio. De forma predeterminada, cualquier usuario autenticado tiene permiso
para agregar estaciones de trabajo a un dominio y puede crear hasta diez
cuentas de equipo en el dominio.
Lecturas adicionales
Para obtener ms informacin acerca de cmo los usuarios pueden agregar

cuentas de equipo a un dominio, consulte el artculo de Microsoft Knowledge
Base 251335, Los usuarios de un dominio no pueden unir la estacin de
trabajo o el servidor a un dominio, en la direccin
http://support.microsoft.com/default.aspx?scid=kb;es;251335.
12
Opciones de cuenta de equipo
Introduccin
En Microsoft Windows Server 2003 existen dos caractersticas opcionales

que puede habilitar al crear una cuenta de equipo. Puede asignar una cuenta de
equipo como correspondiente a un equipo anterior a Windows 2000 o como
controlador de dominio de reserva (BDC, Backup Domain Controller).
Anterior a
Windows 2000
Active la casilla de verificacin Asignar la cuenta de este equipo como un

equipo anterior a Windows 2000 para asignar una contrasea basada en el
nombre del equipo. Si no activa esta casilla de verificacin, se asignar a la
cuenta de equipo una contrasea inicial aleatoria. La contrasea de conexin
entre el equipo y el dominio al que pertenece cambia automticamente cada
cinco das. Esta opcin garantiza que los equipos con versiones de Windows
anteriores a Windows 2000 puedan interpretar si la contrasea satisface los
requisitos asignados.
Controlador de dominio
de reserva
Active la casilla de verificacin Asignar la cuenta de este equipo como un

controlador de dominio de reserva si desea utilizar el equipo como controlador
de dominio de reserva. Debe utilizar esta opcin en los entornos mixtos, con un
controlador de dominio con Windows Server 2003 y un BDC con Microsoft
Windows NT 4.0. Una vez creada la cuenta en Active Directory, puede agregar
el BDC al dominio durante la instalacin de Windows NT 4.0.
Lectura complementaria
Para obtener ms informacin acerca de la delegacin de la autenticacin, busque

el trmino Delegar autenticacin en http://www.microsoft.com/spain/technet.
13
Cmo crear una cuenta de equipo
Introduccin
De forma predeterminada, los integrantes del grupo Operadores de cuentas

pueden crear cuentas de equipo en el contenedor Equipos y en las nuevas
unidades organizativas. Sin embargo, no pueden crear cuentas de equipo en los
contenedores Builtin, DomainControllers, ForeignSecurityPrincipals,
LostAndFound, Program Data, System o Users.
Procedimiento
Para crear una cuenta de equipo:

2. En Usuarios y equipos de Active Directory, en el rbol de la consola,
haga doble clic en el nodo de dominio.
3. Haga clic con el botn secundario del mouse en Equipos o en la unidad
organizativa a la que desee agregar el equipo, seleccione Nuevo y haga clic
en Equipo.
4. En el cuadro de dilogo Nuevo objeto - Equipo, en el cuadro Nombre de
equipo, escriba el nombre del equipo.
5. Seleccione las opciones correspondientes y haga clic en Siguiente.
6. En el cuadro de dilogo Administrado, haga clic en Siguiente.
7. Haga clic en Finalizar.
Operadores de cuentas, Administradores del dominio o Administradores de
organizacin en Active Directory o tener delegada la autoridad correspondiente.
Como recomendacin de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
14
Utilizar una lnea

de comandos
Para crear una cuenta de equipo con el comando dsadd computer:

2. Escriba dsadd computer NombreDeDominioDeEquipo
[-samid NombreSAM] [-desc Descripcin] [-loc Ubicacin] [-memberof
NombreDeDominioDeGrupo ..] [{-s Servidor | -d Dominio}] [-u
NombreDeUsuario] [-p {Contrasea | *}] [-q] [{-uc | -uco | -uci}]
Nota Si desea consultar la sintaxis completa del comando dsadd computer,
escriba dsadd computer /? en el smbolo del sistema.
El siguiente es un ejemplo de un comando dsadd computer:
dsadd computer
"cn=testcomputer,ou=testou,dc=nwtraders,dc=msft" samid
testcomputer
15
Ejercicio: Creacin de unidades organizativas, cuentas de usuario y

cuentas de equipo
Objetivos
Despus de finalizar este ejercicio, podr:
Crear unidades organizativas.
Crear cuentas de usuario y de equipo.
Mover cuentas de usuario y de equipo a una nueva unidad organizativa.
Habilitar cuentas de usuario.
Instrucciones
Debe haber iniciado sesin con una cuenta (por ejemplo,

NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar
el comando Ejecutar como con una cuenta de usuario que disponga de las
credenciales administrativas apropiadas para realizar la tarea.
Situacin de ejemplo
Como administrador de sistemas de Northwind Traders, se le ha asignado la

tarea de crear una jerarqua de unidad organizativa ideada por el grupo de
diseo de Northwind Traders. El diseo de la jerarqua de unidad organizativa
se basar en la ubicacin y separar los equipos porttiles de los equipos de
escritorio. Usted crear una jerarqua de unidades organizativas en la unidad
organizativa de su ciudad para separar los tipos de equipos.
La siguiente es una representacin grfica de lo que debe crear en el dominio
NWTraders. Las unidades organizativas Locations y NombreDeEquipo ya han
sido creadas.
16
Ejercicio: Creacin de
unidades organizativas
Cree las unidades organizativas Computers, Laptodps y Desktops
Complete esta tarea desde los equipos de ambos alumnos.
Utilice la informacin siguiente para iniciar CustomMMC:

Usuario: nwtraders\NombreDeEquipoAdmin
Contrasea: P@ssw0rd
En Usuarios y equipos de Active Directory/nwtraders.msft/Locations/

NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo),
cree las unidades organizativas siguientes:
Locations/NombreDeEquipo/Computers
Locations/NombreDeEquipo/Computers/Laptops
Locations/NombreDeEquipo/Computers/Desktops
La jerarqua de unidades organizativas debe tener la misma apariencia que
el diagrama anterior.
Situacin de ejemplo
Los ingenieros de sistemas desean probar algunas caractersticas avanzadas de

Active Directory. Desean que su grupo cree algunas unidades organizativas en
la unidad organizativa IT Test.
La unidad organizativa IT Test ya ha sido creada. Debe agregar una unidad
organizativa adicional para su ciudad, como se indica en el grfico siguiente.
Ejercicio: Utilizar una

lnea de comandos
Cree una unidad organizativa con el comando dsadd

En una lnea de comandos, cree una unidad organizativa denominada IT
Test/NombreDeEquipo mediante el comando dsadd.
(Ejemplo del comando dsadd: dsadd ou "ou=London,ou=IT Test,
dc=nwtraders,dc=msft")
Situacin de ejemplo
Ejercicio: Crear y
modificar cuentas
de usuario
Se le ha suministrado una lista de usuarios deben agregarse a Active Directory.

Busque los usuarios de la lista cuya oficina est en su ciudad y agrguelos a la
unidad organizativa correspondiente de su ciudad.
Cree cuentas de usuario
En la unidad organizativa
nwtraders.msft/Locations/NombreDeEquipo/Users, cree las cuentas de
los usuarios de la tabla siguiente que correspondan a la ubicacin de la
organizacin en su ciudad. Utilice los parmetros siguientes (donde Nombre
y Apellido son el nombre y apellido de cada uno de los usuarios):
Nombre: Nombre
Apellido: Apellido
Nombre de inicio de sesin de usuario: Primeras tres letras del nombre y
primeras tres letras del apellido
Nombre de inicio de sesin de usuario (anterior a Windows 2000):
Primeras tres letras del nombre y primeras tres letras del apellido
Contrasea: P@ssw0rd
Deshabilite la cuenta de usuario.
Modifique las cuentas de usuario

En la pgina Propiedades del usuario puede hacer las modificaciones
siguientes:
Ciudad: NombreDeEquipo (en la ficha Direccin)
Nmero de telfono: 555-2469 (en la ficha Telfonos)
Administrador: NombreDeEquipoUser (en la ficha Organizacin)
Apellido, Nombre
Ciudad
Brown, Robert
Acapulco
Browne, Kevin F.
Acapulco
Byham, Richard A.
Auckland
Calafato, Ryan
Auckland
Berg, Karen
Bangalore
Berge, Karen
Bangalore
Barnhill, Josh
Bonn
Barr, Adam
Bonn
Altman, Gary E. III
Brisbane
Anderson, Nancy
Brisbane
Chapman, Greg
Caracas
Charles, Mathew
Caracas
Bonifaz, Luis
Casablanca
Boseman, Randall
Casablanca
Ackerman, Pilar
Denver
Adams, Jay
Denver
Connelly, Peter
Khartoum
17
18

(continuacin)
Apellido, Nombre
Ciudad
Conroy, Stephanie
Khartoum
Barreto de Mattos, Paula
Lima
Bashary, Shay
Lima
Arthur, John
Lisbon
Ashton, Chris
Lisbon
Bankert, Julie
Manila
Clark, Brian
Manila
Burke, Brian
Miami
Burlacu, Ovidiu
Miami
Chor, Anthony
Montevideo
Ciccu, Alice
Montevideo
Casselman, Kevin A.
Moscow
Cavallari, Matthew J.
Moscow
Cornelsen, Ryan
Nairobi
Cox, Brian
Nairobi
Alberts, Amy E.
Perth
Alderson, Gregory F. (Greg)
Perth
Benshoof, Wanida
Santiago
Benson, Max
Santiago
Bezio, Marin
Singapore
Bischoff, Jimmy
Singapore
Carothers, Andy
Stockholm
Carroll, Matthew
Stockholm
Cannon, Chris
Suva
Canuto, Suzana De Abreu A.
Suva
Combel, Craig M.
Tokyo
Con, Aaron
Tokyo
Bradley, David M.
Tunis
Bready, Richard
Tunis
Abolrous, Sam
Vancouver
Acevedo, Humberto
Vancouver
Situacin de ejemplo
Ejercicio: Buscar
cuentas de usuario
Los ingenieros de sistemas de Northwind Traders han importado cuentas de

usuario para todo el dominio nwtraders. Usted y su grupo de administradores
de sistemas deben buscar las cuentas de usuario cuyo atributo de ubicacin
corresponda con la ciudad del nombre de su equipo y moverlas a la unidad
organizativa Users situada bajo la unidad organizativa NombreDeEquipo.
Busque y mueva las cuentas de usuario
Complete esta tarea desde los equipos de ambos alumnos. Utilice la ficha
Opciones avanzadas del cuadro de dilogo Buscar.
1. Utilice la informacin siguiente para buscar las cuentas de usuario.
Nombre de usuario: nwtraders\NombreDeEquipoAdmin
Contrasea: P@ssw0rd
Punto inicial de la bsqueda: nwtraders.msft
Buscar: Usuarios, contactos y grupos
Campo: Ciudad
Condicin: Es (exactamente)
Valor: NombreDeEquipo
2. Mueva las cuentas de usuario que encuentre a Nwtraders.msft/Locations/
NombreDeEquipo/Users (donde el nombre de la cuenta de equipo
corresponde a la carpeta NombreDeEquipo).
19
20
Situacin de ejemplo
Ejercicio: Creacin de
cuentas de equipo
Se espera recibir cuatro nuevos equipos porttiles y cinco equipos de escritorio

en su ubicacin. Un consultor que tiene una cuenta de usuario en el dominio
agregar estos equipos al dominio. Las directivas de Northwind Traders
estipulan que los administradores de la unidad organizativa ciudad deben
administrar los equipos porttiles y de escritorio.
Cree cuentas de equipo
1. Cree las cuentas de equipo siguientes para cinco equipos de escritorio en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Desktops.
Cuentas de equipo:
NombreDeEquipo01Desk
2. Cree las cuentas de equipo siguientes para cinco equipos porttiles en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Laptops.
Cuentas de equipo:
NombreDeEquipo01Lap
NombreDeEquipo02Lap
NombreDeEquipo03Lap
NombreDeEquipo04Lap
NombreDeEquipo05Lap
Situacin de ejemplo
Ejercicio: Buscar
cuentas de equipo
Los ingenieros de sistemas de Northwind Traders han importado cuentas de

equipo para todo el dominio nwtraders. Usted debe buscar las cuentas de equipo
que incluyen NombreDeEquipo0 en su nombre de cuenta. A continuacin debe
mover las cuentas a la carpeta Computers de la unidad organizativa
NombreDeEquipo correspondiente.
Busque las cuentas de equipo
Busque las cuentas de equipo con los siguientes criterios:
Punto inicial de la bsqueda: nwtraders.msft
Buscar: Equipos
Campo: Nombre de equipo (anterior a Windows 2000)
Condicin: Empieza con
Valor: NombreDeEquipo0
Mueva las cuentas de equipo a otra unidad organizativa
Mueva las cuentas de equipo que encuentre a Nwtraders.msft/Locations/
NombreDeEquipo/Computers (donde el nombre de la cuenta de equipo
corresponde a la carpeta NombreDeEquipo).
21
Leccin: Creacin y modificacin de grupos
Introduccin
Esta leccin proporciona los conocimientos y la prctica necesarios para crear y

modificar grupos.
Explicar el propsito de los grupos y los tipos y mbitos de grupo.
Explicar la funcin de un servidor de catlogo global.
Explicar la relacin entre los grupos y los niveles funcionales de dominio.
Elegir el tipo y el mbito de grupo adecuados.
Crear un grupo.
Explicar qu implica modificar el mbito o el tipo de un grupo.
Modificar el mbito o el tipo de un grupo.
22
Qu son los grupos?
Definicin
Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Los

grupos pueden basarse en un dominio y estar almacenados en Active Directory,
o ser locales en un equipo determinado.
Ventajas del uso

de grupos
Los grupos facilitan la administracin al permitir conceder permisos sobre

recursos a todo un grupo de una vez, en lugar de concederlos a cuentas de
usuarios individuales.
Tipos de grupos
Existen dos tipos bsicos de grupos:
Grupos de seguridad
Los grupos de seguridad se utilizan para asignar derechos de usuario y
permisos a los grupos de usuarios y equipos. Los derechos determinan
qu pueden hacer los integrantes de un grupo de seguridad en un dominio
o bosque, y los permisos determinan a qu recursos de la red tienen acceso
los integrantes del grupo.
Tambin peden utilizarse grupos de seguridad para enviar mensajes
de correo electrnico a mltiples usuarios. Cuando se enva un mensaje
de correo electrnico al grupo, se enva a cada uno de sus integrantes.
Por ello, los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribucin.
23
Grupos de distribucin
Los grupos de distribucin se utilizan con aplicaciones de correo
electrnico, como Microsoft Exchange, para enviar mensajes de correo
electrnico a conjuntos de usuarios. El propsito principal de este tipo de
grupo es reunir objetos relacionados, no conceder permisos.
Los grupos de distribucin no tienen habilitada la seguridad; es decir, no
pueden utilizarse para asignar permisos. Si necesita un grupo para controlar
el acceso a los recursos compartidos, debe crear un grupo de seguridad.
Aunque los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribucin, stos siguen siendo necesarios, ya que algunas aplicaciones
slo pueden utilizar grupos de distribucin.
mbito de grupo
Tanto los grupos de distribucin como los de seguridad admiten uno de los tres
mbitos de grupo.
El mbito del grupo determina si el grupo abarca mltiples dominios o se limita
a un solo dominio.
El mbito de grupo determina:
Los dominios desde los que se puede agregar integrantes al grupo.
Los dominios en los que puede utilizarse el grupo para conceder permisos.
Los dominios en los que puede anidarse el grupo dentro de otros grupos.
Un grupo de seguridad o de distribucin puede tener uno de tres mbitos

posibles: global, universal o de dominio local. El contenido del grupo determina
el tipo de mbito que se le puede aplicar. Cada tipo de mbito tiene un
propsito diferente.
El mbito de los grupos se explica en la tabla siguiente.
mbito
Contenido posible
Descripcin
Global
Usuarios, grupos y equipos del

mismo dominio que el grupo
global
Un grupo de seguridad global

asigna derechos de usuario y
permisos sobre los recursos de
cualquier dominio del bosque.
Universal
Usuarios, grupos y equipos de

cualquier dominio del bosque
Un grupo de seguridad universal

asigna derechos de usuario y
permisos para los recursos de
cualquier dominio del bosque.
Dominio local
Grupos con mbito global,

grupos con mbito universal,
cuentas, otros grupos con mbito
de dominio local o una mezcla
de los anteriores
Un grupo de seguridad de
dominio local slo puede recibir
derechos y permisos para recursos
que residan en el mismo dominio
en el que se encuentra.
24
Presentacin multimedia: Servidor de catlogo global
Introduccin
Esta presentacin ilustra las funciones de catlogo global de Active Directory.

Para iniciar la presentacin, abrir el archivo media10_1.html que se puede
encontrar dentro del fichero media10.zip.
Catlogo global
El catlogo global es un depsito de informacin que contiene un subconjunto de

atributos para todos los objetos de Active Directory. De forma predeterminada,
los atributos que se almacenan en el catlogo global son los que se utilizan con
ms frecuencia en las consultas, como el nombre, el apellido y el nombre de
inicio de sesin de un usuario. El catlogo global contiene la informacin
necesaria para determinar la ubicacin de cualquier objeto del directorio.
Servidor de catlogo
global
Un servidor de catlogo global es un controlador de dominio que procesa las

consultas al catlogo global y almacena una copia de las mismas. El primer
controlador de dominio que se crea en Active Directory es un servidor de
catlogo global. Puede configurar controladores de dominio adicionales para
que sean servidores de catlogo global con el fin de equilibrar el trfico de
autenticacin de inicio de sesin y la transferencia de consultas.
Funciones del servidor

de catlogo global en
Active Directory
El catlogo global cumple dos funciones importantes en el directorio:
Si no hay disponible un
catlogo global
Permite que un usuario inicie una sesin en la red al suministrar la

informacin de pertenencia a grupos universales a un controlador de
dominio cuando se inicia un proceso de inicio de sesin.
Permite que un usuario busque informacin de directorio en todo el bosque,

independientemente de la ubicacin de los datos.
Si no hay disponible un catlogo global cuando un usuario inicia una sesin en

un dominio con el nivel funcional Windows 2000 nativo o superior, el equipo
utilizar las credenciales en cach para iniciar la sesin del usuario si ste ha
iniciado una sesin anteriormente en el dominio. Si el usuario no ha iniciado
una sesin en el dominio anteriormente, slo podr iniciar una sesin en el
equipo local. Sin embargo, si el usuario es integrante del grupo
Administradores del dominio, podr iniciar una sesin en el dominio aunque
no haya un catlogo global disponible.
25
Grupos y niveles funcionales de dominio
Introduccin
El sistema operativo de los controladores de dominio determina el nivel

funcional que el dominio puede utilizar.
Niveles funcionales
de dominio
La funcionalidad del dominio habilita caractersticas que afectan a todo

el dominio.
Existen tres niveles funcionales de dominio:
Windows 2000 mixto (predeterminado)
Windows 2000 nativo
Familia de Windows Server 2003
De forma predeterminada, los dominios aplican el nivel de funcionalidad

Windows 2000 mixto. Puede elevar el nivel funcional a Windows 2000 nativo o
a la familia de Windows Server 2003.
Niveles funcionales
de dominio, mbito de
grupo y controladores
de dominio
En la tabla siguiente se comparan los mbitos de grupo posibles en los distintos

niveles funcionales de dominio y se indican los controladores de dominio
compatibles.
Nivel funcional
de dominio
Caractersticas
habilitadas
Controladores de
dominio admitidos
Windows 2000 mixto

(predeterminado)
Instalacin de Active Directory

desde un medio de copia
Almacenamiento en cach de
grupos universales
Todo el modo mixto, y adems:
Windows NT 4.0,
Windows 2000, familia de
Windows Server 2003
Windows 2000 nativo
Anidamiento y conversin
de grupos
Grupos universales,
seguridad y distribucin
SIDHistory
Windows 2000, familia de

Windows Server 2003
26

(continuacin)
Nivel funcional
de dominio
Caractersticas
habilitadas
Controladores de
dominio admitidos
Windows Server 2003

versin provisional
Igual que Windows 2000 en

modo mixto o nativo
Windows NT 4.0, familia

de Windows Server 2003
Familia de Windows
Server 2003
Todo Windows 2000 nativo, y

adems:
Familia de Windows
Server 2003
Actualizar atributo de
marca de hora de inicio
de sesin
Nmeros de versin de
KDC Kerberos
Contrasea de usuario
en INetOrgPerson
Herramienta de cambio
de nombre de dominio
Grupos de seguridad
universales y niveles
funcionales de dominio
La tabla siguiente resume las reglas que determinan si se puede utilizar un

grupo de seguridad con mbito universal en un nivel funcional de dominio
determinado.
Nivel funcional de dominio
Grupos de seguridad con mbito

universal?
Windows 2000 nativo
Windows 2000 mixto
No
Windows Server 2003
Nota Slo es posible cambiar de tipo de grupo cuando el nivel funcional del
dominio es Windows 2000 nativo o superior.
Nota Windows Server 2003 versin provisional slo se utiliza para
actualizaciones directas de Windows NT 4.0 a la familia de
Windows Server 2003, sin pasar por Windows 2000. Los controladores
de dominio con Windows 2000 no admiten la funcionalidad de dominio
Windows Server 2003 versin provisional.
Despus de elevar el nivel funcional de un dominio, no es posible agregar
controladores de dominio que ejecuten sistemas operativos anteriores.
Por ejemplo, si eleva el nivel funcional de dominio a la familia de
Windows Server 2003, los controladores de dominio con Windows Server 2000
no podrn agregarse al dominio.
Precaucin El cambio del nivel funcional de dominio es irreversible. Una vez
elevado el nivel funcional de un dominio, no es posible reducirlo de nuevo.
Informacin adicional
Para obtener ms informacin, consulte el artculo de Microsoft Knowledge

Base 322692, How To: Raise the Domain Functional Level in
Windows Server 2003 (en ingls).
27
Cmo decidir el tipo y el mbito de un grupo
Cundo utilizar un
mbito global
Una ventaja de utilizar el mbito global es que las cuentas de un grupo que
tiene mbito global pueden modificarse frecuentemente sin generar trfico de
replicacin en el catlogo global. Esta ventaja proviene del hecho de que los
grupos globales no se replican fuera de su propio dominio.
Los grupos con mbito global pueden utilizarse para administrar objetos de
directorio que requieran mantenimiento diario, como las cuentas de usuario y de
equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuarios
que comparten las mismas tareas y tienen requisitos de acceso a la red similares.
Limitaciones del uso

del mbito global
Cundo utilizar un
mbito universal
Observe las siguientes limitaciones del uso del mbito global:
Un dominio de Windows Server 2003 debe estar en modo Windows 2000

nativo o superior para poder utilizar grupos universales.
Debido a que los grupos globales tienen visibilidad en todo el bosque, no

deben crearse para el acceso a recursos especficos del dominio.
Los grupos con mbito universal pueden utilizarse para consolidar grupos que
abarcan ms de un dominio. Para ello, agregue las cuentas a grupos con mbito
global y anide estos grupos en otros que tengan mbito universal. Con esta
estrategia, los cambios en la pertenencia a los grupos con mbito global no
afectarn a los grupos con mbito universal.
Por ejemplo, en una red con dos dominios, North y South, y un grupo
denominado GLAccounting que tenga mbito global en ambos dominios,
puede crear un grupo con mbito universal denominado UAccounting, que
tenga como integrantes los dos grupos GLAccounting, North\GLAccounting y
South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugar
de la organizacin. Los cambios en la pertenencia a los grupos individuales
GLAccounting no provocarn la replicacin del grupo UAccounting.
28
Limitaciones del uso

del mbito universal
La pertenencia a un grupo con mbito universal no debe cambiar con

frecuencia, ya que tales cambios provocan que se replique toda la informacin
de pertenencia del grupo en todos los catlogos globales del bosque.
Cundo utilizar el
mbito de dominio local
Los grupos con mbito de dominio local ayudan a definir y administrar el

acceso a los recursos de un solo dominio.
Es posible asignar permisos para los recursos ubicados en el mismo dominio
que el grupo local. Puede colocar todos los grupos globales que deban
compartir los mismos recursos en el grupo de dominio local adecuado.
Cundo utilizar un grupo

local
Puede asignar permisos para recursos ubicados en el equipo en el que se ha

creado el grupo local. Cree grupos locales para limitar la capacidad de acceso
de los usuarios y grupos locales a los recursos de la red cuando no desee crear
grupos de dominio.
Nota Es importante distinguir entre un grupo de dominio local y un grupo
local. Un grupo de dominio local es un grupo de seguridad o de distribucin
que puede contener grupos universales, grupos globales, otros grupos de
dominio local de su propio dominio y cuentas de cualquier dominio del bosque.
Un grupo local es un conjunto de cuentas de usuario o grupos de dominio
creado en un servidor integrante o en un servidor independiente.
29
Cmo crear un grupo
Introduccin
En la mayora de los entornos corporativos, los grupos se crean en dominios.

Active Directory cuenta con caractersticas de seguridad y seguimiento que
limitan la adicin de usuarios a grupos. Active Directory ofrece tambin a las
organizaciones la flexibilidad de poder utilizar grupos en los servidores
integrantes. A menudo, las organizaciones tienen servidores expuestos a
Internet y desean utilizar grupos locales en los servidores integrantes en lugar
de grupos de dominio local con el fin de limitar el riesgo de seguridad para los
grupos internos y los integrantes de los grupos.
Procedimiento para
crear un grupo en un
dominio
Para crear un grupo en un dominio de Active Directory:

1. En Usuarios y equipos de Active Directory, en el rbol de la consola, haga
clic con el botn secundario del mouse en la carpeta a la que desee agregar
el grupo, seleccione Nuevo y, a continuacin, haga clic en Grupo.
2. En el cuadro de dilogo Nuevo objeto - Grupo, en el cuadro Nombre de
grupo, escriba el nombre del nuevo grupo.
3. En mbito de grupo, haga clic en el mbito del nuevo grupo.
4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.
Importante Si el dominio en el que crea el grupo tiene establecido el nivel
funcional de dominio Windows 2000 mixto, slo podr seleccionar grupos de
seguridad con mbito de dominio local o global.
30
Procedimiento para
crear un grupo local en
un servidor integrante
Para crear un grupo local en un servidor integrante:

1. En Administracin de equipos, en el rbol de la consola, haga clic
en Grupos.
2. En el men Accin, haga clic en Grupo nuevo.
3. En el cuadro de dilogo Grupo nuevo, en el cuadro Nombre de grupo,
escriba el nombre del grupo nuevo.
4. En el cuadro Descripcin, escriba una descripcin para el grupo nuevo.
5. Para agregar uno o ms usuarios al grupo nuevo, haga clic en Agregar.
6. Haga clic en Crear y, despus, en Cerrar.
Nota Para realizar este procedimiento debe ser integrante del grupo Usuarios
avanzados o Administradores del equipo local, o tener delegada la autoridad
correspondiente. Si el equipo se une a un dominio, los integrantes del grupo
Administradores del dominio pueden llevar a cabo este procedimiento. Como
recomendacin de seguridad, considere la posibilidad de utilizar Ejecutar
como para realizar este procedimiento.
Utilizar una lnea

de comandos
Para crear un grupo en un dominio de Active Directory con el comando dsadd:

2. Escriba dsadd group NCDeGrupo -samid NombreSAM -secgrp yes | no
-scope l | g | u
Valor
Descripcin
NCDeGrupo
Especifica el nombre completo del objeto grupo que se desea

agregar.
NombreSAM
Especifica el nombre SAM (Security Accounts Manager o

Administrador de cuentas de seguridad) como nombre de cuenta
SAM nico para este grupo (por ejemplo, operadores).
yes | no
Especifica si el grupo que se desea agregar es un grupo de

seguridad (yes) o un grupo de distribucin (no).
l|g|u
Especifica si el mbito del grupo que se desea agregar es de

dominio local (l), global (g) o universal (u).
Nota Para ver la sintaxis completa de este comando, escriba dsadd group /?
en el smbolo del sistema.
Procedimiento para
eliminar un grupo
31
Para eliminar un grupo:

clic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botn secundario del mouse en el
grupo y, a continuacin, haga clic en Eliminar.
Utilizar una lnea

de comandos
Para eliminar un grupo con el comando dsrm:

2. Escriba dsrm NCDeGrupo
Valor
Descripcin
NCDeGrupo
Especifica el nombre completo del objeto grupo que se desea

eliminar.
Nota Para ver la sintaxis completa de este comando, escriba dsrm /? en el

smbolo del sistema.
32
Cambiar el mbito y el tipo de un grupo
Introduccin
Cuando se crea un grupo nuevo, queda configurado como grupo de seguridad

con mbito global de forma predeterminada, independientemente del nivel
funcional de dominio existente.
Cambiar el mbito
de grupo
Aunque no es posible cambiar el mbito de un grupo en los dominios con

nivel funcional Windows 2000 mixto, s son posibles los cambios de mbito
siguientes en los dominios que tengan el nivel funcional Windows 2000 nativo
o Windows Server 2003:
De global a universal. Este cambio slo se permite si el grupo que se desea

cambiar no es integrante de otro grupo global.
Nota No es posible cambiar directamente el mbito de un grupo de global a
dominio local. Para ello es necesario cambiar el mbito del grupo de global
a universal y, a continuacin, de universal a dominio local.
De dominio local a universal. Este cambio slo se permite si el grupo que se

desea cambiar no tiene como integrante otro grupo de dominio local.
De universal a global. Este cambio slo se permite si el grupo que se desea

cambiar no tiene como integrante otro grupo universal.
De universal a dominio local. No existe ninguna restriccin para este cambio.
Cambiar el tipo de grupo
33
Un grupo puede convertirse de grupo de seguridad a grupo de distribucin, y

viceversa, en cualquier momento, pero slo si el nivel funcional de dominio
est establecido como Windows 2000 nativo o posterior. No es posible
convertir un grupo si el nivel funcional de dominio es Windows 2000 mixto.
Puede convertir grupos de un tipo a otro en las situaciones siguientes:
De seguridad a distribucin
Una compaa se divide en dos. Los usuarios migran de un dominio a otro,
pero conservan sus antiguas direcciones de correo electrnico. Desea
enviarles mensajes de correo electrnico utilizando los grupos de seguridad
antiguos, pero desea retirar el contexto de seguridad del grupo.
De distribucin a seguridad
Un grupo de distribucin crece mucho y los usuarios desean utilizarlo para
tareas relacionadas con la seguridad. Sin embargo, tambin desean mantener
el grupo para enviar correo electrnico.
Nota Aunque es posible agregar contactos a los grupos de seguridad y a los

grupos de distribucin, no es posible conceder permisos a los contactos. Sin
embargo, se puede enviar correo electrnico a los contactos.
34
Cmo modificar un grupo
Introduccin
Para cambiar el mbito o el tipo de un grupo, el nivel funcional del dominio

debe ser Windows 2000 nativo o superior. No es posible cambiar el mbito ni el
tipo de los grupos si el nivel funcional del dominio es Windows 2000 mixto.
Procedimiento
Para cambiar el mbito o el tipo de un grupo:

clic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botn secundario del mouse en el
grupo y, a continuacin, haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, en la ficha General, bajo Tipo de
grupo, haga clic en el tipo de grupo para cambiarlo.
4. En mbito de grupo, haga clic en el mbito de grupo para cambiarlo.
35
Ejercicio: Creacin y modificacin de grupos
Objetivos
En este ejercicio, se ocupar de:
Crear grupos globales y locales con Usuarios y equipos de Active Directory.
Crear grupos globales con la herramienta de lnea de comandos dsadd.
Cambiar el mbito de grupo de global a dominio local.
Convertir un grupo de seguridad en un grupo de distribucin.
Instrucciones

Situacin de ejemplo
Como administrador de sistemas, debe crear varios grupos para el departamento

de contabilidad. Estos grupos se utilizarn posteriormente para agrupar cuentas
y asignar grupos a los recursos.
36
Ejercicio: Crear grupos

con Usuarios y equipos
de Active Directory
Cree los grupos con Usuarios y equipos de Active Directory
Complete esta tarea desde los equipos de ambos alumnos.
Credenciales para iniciar la sesin:

Dominio: NWTraders
Nombre de usuario: NombreDeEquipoUser
Contrasea: P@ssw0rd
Credenciales para utilizar Ejecutar como:

Dominio: NWTraders
Nombre de usuario: NombreDeEquipoAdmin
Contrasea: P@ssw0rd
1. Cree la unidad organizativa Locations/NombreDeEquipo/Groups

(donde NombreDeEquipo es el nombre de su equipo).
2. Cree los grupos globales siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
G NombreDeEquipo Accounting Managers
G NombreDeEquipo Accounting Personnel
3. Cree los grupos de dominio local siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
DL NombreDeEquipo Accounting Managers Full Control
DL NombreDeEquipo Accounting Managers Read
DL NombreDeEquipo Accounting Personnel Full Control
DL NombreDeEquipo Accounting Personnel Read
Ejercicio: Utilizar una
lnea de comandos
Cree grupos con la herramienta de lnea de comandos dsadd

Nota Para iniciar un smbolo del sistema con el comando Ejecutar como,
haga clic con el botn secundario del mouse en el acceso directo Smbolo del
sistema del men Inicio y haga clic en Ejecutar como.
1. Cree el grupo global siguiente en la unidad organizativa IT Test:
G NombreDeEquipoTest
Ejemplo: C:\>dsadd group "cn=G London Test,ou=it test,dc=nwtraders,
dc=msft" -secgrp yes -scope g -samid "G London Test"
2. Cree el grupo de dominio local siguiente en la unidad organizativa IT Test:
DL NombreDeEquipoTest
Ejemplo: C:\>dsadd group "cn=DL London Test,ou=it test,dc=nwtraders,
dc=msft" -secgrp yes -scope L -samid "DL London Test"
Situacin de ejemplo
37
Los administradores de tecnologa de la informacin de Northwind Traders

desean que escriba un procedimiento para cambiar el mbito de un grupo de
seguridad de global a dominio local. Debe crear todos los grupos de prueba en
la unidad organizativa IT Test.
Debe haber iniciado sesin con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas para
realizar la tarea.
Ejercicio: Cambiar el
mbito de grupo
Cree un grupo de seguridad global

En la unidad organizativa IT Test, cree un grupo de seguridad global
denominado NombreDeEquipo Group Scope Test.
Documente el procedimiento para convertir el grupo global en grupo de
dominio local
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Situacin de ejemplo
Ejercicio: Cambiar
el tipo de grupo
Los administradores de tecnologa de la informacin de Northwind Traders

desean que pruebe la funcin de Active Directory que permite convertir un
grupo de seguridad en grupo de distribucin. Para ello, le piden que convierta
el grupo de seguridad que ha creado en un grupo de distribucin.
Convierta el grupo de seguridad global en un grupo de distribucin
Convierta el grupo de seguridad NombreDeEquipo Group Scope Test en un
grupo de distribucin.
38
Leccin: Estrategias para el uso de grupos
Introduccin
Esta leccin le ayudar a disear una estrategia para el uso de grupos en un

solo dominio.
Explicar el anidamiento de grupos y las opciones de anidamiento

disponibles en el modo nativo de Windows.
Aplicar la estrategia AGDLP al utilizar grupos en un solo dominio.
Explicar qu son los grupos predeterminados y los grupos de sistema, y

cundo deben utilizarse.
39
Qu es el anidamiento de grupos?
Introduccin
El anidamiento permite agregar un grupo como integrante de otro grupo.

Los grupos se anidan para consolidar las cuentas integrantes y reducir el trfico
de replicacin.
Diseo para
anidamiento mnimo
El diseo de la red debe reducir el anidamiento a slo un nivel. Un solo nivel

de anidamiento es lo ms efectivo, ya que el seguimiento de los permisos se
hace ms complejo cuando existen varios niveles. Asimismo la solucin de
problemas es ms difcil cuando hay que trazar los permisos a lo largo de
mltiplos niveles de anidamiento. Por ello debe documentar la pertenencia a
grupos para hacer un seguimiento de los permisos.
Las opciones de
anidamiento dependen
del nivel funcional de
dominio
Las opciones de anidamiento no son las mismas si el nivel funcional de

dominio de Windows Server 2003 se ha establecido como Windows 2000
nativo o Windows 2000 mixto. Con el nivel funcional Windows 2000 nativo es
posible anidar distintos tipos de integrantes en un grupo, dependiendo de su
mbito. Con el nivel funcional Windows 2000 mixto, slo pueden anidarse
grupos de seguridad cuyo mbito sea global o de dominio local.
Nivel funcional
Windows 2000 nativo
Los grupos de los dominios con nivel funcional Windows 2000 nativo y los
grupos de distribucin de los dominios con nivel funcional Windows 2000
mixto pueden tener los integrantes siguientes:
Grupo con este mbito:
Puede tener los integrantes siguientes:
Universal
Cuentas, cuentas de equipo, otros grupos con mbito

universal y grupos con mbito global de cualquier dominio
Global
Cuentas del mismo dominio y otros grupos con mbito

global del mismo dominio.
Dominio local
Cuentas, grupos con mbito universal y grupos con mbito

global de cualquier dominio. Este grupo tambin puede
tener como integrantes otros grupos con mbito local del
mismo dominio.
40
Nivel funcional
Windows 2000 mixto
Los grupos de seguridad de los dominios con el nivel funcional Windows 2000
mixto estn restringidos a los tipos de pertenencia siguientes:
Grupo con este mbito:
Puede tener los integrantes siguientes:
Global
Slo cuentas
Dominio local
Otros grupos con mbito global y cuentas
Los grupos de seguridad con mbito universal no pueden crearse en dominios

con nivel funcional Windows 2000 mixto, ya que el mbito universal slo es
compatible con los dominios que tienen el nivel funcional Windows 2000
nativo o Windows Server 2003.
41
Presentacin multimedia: Estrategia de utilizacin de los grupos en

un nico dominio
Esta animacin explica la estrategia AGDLP para el uso de grupos. Para iniciar
la presentacin, abrir el archivo media10_2.html que se puede encontrar dentro
del fichero media10.zip.
Para obtener ms informacin acerca de las estrategias de grupos, consulte el
apndice E: Estrategias de grupo.
42
Debate de la clase: Utilizar grupos en un nico dominio
Ejemplo 1
Northwind Traders tiene un solo dominio ubicado en Pars, Francia.

Los administradores de Northwind Traders necesitan tener acceso a la
base de datos de inventario para realizar su trabajo.
Qu puede hacer para garantizar que todos los administradores tengan acceso a
dicha base de datos?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Ejemplo 2
43
Northwind Traders desea reaccionar con ms rapidez a las exigencias del

mercado. Se ha determinado que los datos de contabilidad deben estar
disponibles para todo el personal del departamento de contabilidad. Northwind
Traders desea crear la estructura de grupos para toda la divisin de
contabilidad, que incluye los departamentos de cuentas por pagar y cuentas por
cobrar.
Qu hara para garantizar que los administradores tengan el acceso necesario y
que haya el mnimo trabajo de administracin?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
44
Grupos predeterminados y grupos de sistema
Introduccin
Existen tres tipos de grupos predefinidos:
Grupos predeterminados en los servidores integrantes
Grupos predeterminados en Active Directory
Grupos de sistema
Grupos
predeterminados en los
servidores integrantes
En los servidores integrantes, la carpeta Grupos se encuentra en la consola

Usuarios y grupos locales, que muestra todos los grupos locales integrados
predeterminados y todos los grupos locales creados posteriormente. Los grupos
locales predeterminados se crean automticamente al instalar
Windows Server 2003. Los grupos locales pueden contener cuentas de usuario
locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.
Grupos
predeterminados en
Active Directory
En Active Directory, los grupos predeterminados son grupos de seguridad que

se crean automticamente al instalar un dominio de Active Directory. Puede
utilizar estos grupos predefinidos para administrar los recursos compartidos y
delegar funciones administrativas especficas que afecten a todo el dominio.
Los grupos Operadores de cuentas y Operadores de servidor son ejemplos de
grupos predeterminados que se instalan con Active Directory. Otros grupos son:
Controladores de dominio, Invitados de dominio y Administradores de
organizacin.
Uso de los grupos

predeterminados
Los grupos predefinidos ayudan a controlar el acceso a los recursos

compartidos y delegar funciones administrativas especficas que afecten a
todo el dominio. Muchos grupos predeterminados reciben automticamente
un conjunto de derechos de usuario que autoriza a sus integrantes a realizar
acciones especficas en un dominio, como iniciar sesiones en un sistema local
o crear copias de seguridad de archivos y carpetas.
Consideraciones de
seguridad relativas a los
grupos predeterminados
45
Slo debe agregar un usuario a un grupo predeterminado si realmente desea

concederle:
Todos los derechos de usuario asignados a ese grupo.
Todos los permisos asignados a ese grupo predeterminado para todos los
recursos compartidos asociados al mismo.
En caso contrario debe crear un nuevo grupo de seguridad y asignarle

nicamente los derechos de usuario o permisos que el usuario requiere.
Como recomendacin de seguridad, los integrantes de los grupos
predeterminados con amplio acceso administrativo no deben iniciar sesiones
interactivas con credenciales administrativas. En lugar de ello, los usuarios
que tengan este nivel de acceso deben iniciar la sesin con una cuenta no
administrativa y utilizar Ejecutar como.
Advertencia Slo debe agregar a los grupos predeterminados los integrantes
que requieran todos los derechos asociados a dichos grupos. Por ejemplo, si
tiene que agregar una cuenta de servicio para hacer copias de seguridad y
restaurar archivos en un servidor integrante, puede agregarla al grupo
Operadores de copia de seguridad. El grupo Operadores de copia de seguridad
tiene los derechos de usuario necesarios para realizar copias de seguridad y
restaurar los archivos de un equipo.
Sin embargo, si la cuenta de servicio slo precisa hacer copias de seguridad de
los archivos, pero no restaurarlos, es mejor crear un nuevo grupo. Puede asignar
a este grupo el derecho de usuario para crear copias de seguridad, pero no
asignarle el derecho de restaurar archivos.
Qu es un grupo
de sistema?
Windows Server 2003 incluye varias identidades especiales denominadas

grupos de sistema. Los grupos de sistema representan a usuarios diferentes
en cada ocasin, en funcin de las circunstancias. Inicio de sesin annimo,
Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que
conectan con otro equipo a travs de la red se asignan automticamente al
grupo de sistema Red y reciben los permisos asignados a este grupo.
Aunque es posible conceder derechos de usuario y permisos a los grupos de
sistema, no es posible modificar ni ver sus integrantes.
Los mbitos de grupo no son aplicables a los grupos de sistema. Los usuarios se
agregan automticamente a los grupos de sistema cuando inician una sesin o
tienen acceso a un recurso determinado.
46
Debate de la clase: Uso de grupos predeterminados frente a

creacin de nuevos grupos
Situacin de ejemplo
Northwind Traders tiene ms de 100 servidores en todo el mundo. Usted asiste

a una reunin para discutir las tareas que deben realizar los administradores y
qu nivel de acceso mnimo requieren los usuarios para realizar tareas
especficas. Tambin debe determinar si puede utilizar grupos predeterminados
o si debe crear grupos, y asignarles derechos de usuario y permisos especficos
para realizar las tareas.
Explicacin
Debe asignar grupos predeterminados o crear grupos nuevos para las tareas
siguientes. Indique el grupo que tiene los derechos de usuario ms restrictivos
para realizar las acciones siguientes o determine si debe crear un grupo nuevo.
1. Crear copias de seguridad y restaurar controladores de dominio.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
2. Crear copias de seguridad de servidores integrantes.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
3. Crear grupos en la unidad organizativa NWTraders Groups.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
47
4. Iniciar sesiones en el dominio.

____________________________________________________________
____________________________________________________________
____________________________________________________________
5. Determinar quin precisa acceso de slo lectura a los servidores de
Protocolo de configuracin dinmica de host (DHCP, Dynamic Host
Configuration Protocol).
____________________________________________________________
____________________________________________________________
____________________________________________________________
6. Determinar qu empleados del servicio de soporte tcnico requieren acceso
para controlar el escritorio de forma remota.
____________________________________________________________
____________________________________________________________
____________________________________________________________
7. Determinar quin requiere acceso administrativo a todos los equipos de todo
el dominio.
____________________________________________________________
____________________________________________________________
____________________________________________________________
8. Determinar quin requiere acceso a una carpeta compartida denominada
Ventas en un servidor denominado LonSrv2.
____________________________________________________________
____________________________________________________________
____________________________________________________________
48
Leccin: Uso de permisos para controlar el acceso a los

objetos de Active Directory
Introduccin
En esta leccin se explica el funcionamiento de los permisos en

Active Directory.
Utilizar la estructura de unidades organizativas para administrar objetos.
Explicar qu son los permisos de objeto de Active Directory.
Describir las caractersticas de los permisos de objeto de Active Directory.
Describir la herencia de los permisos de objeto de Active Directory.
Describir los efectos de la modificacin de los objetos en la herencia de

permisos.
Modificar los permisos de objetos de Active Directory.
Explicar qu son los permisos efectivos de objetos de Active Directory.
Determinar los permisos efectivos de los objetos de Active Directory.
49
Presentacin multimedia: La estructura de unidades organizativas
Esta presentacin explica cmo utilizar las unidades organizativas para agrupar
objetos y lograr una administracin ms efectiva. Tambin explica las dos
finalidades principales de una jerarqua de unidades organizativas. Para iniciar
la presentacin, abrir el archivo media10_3.html que se puede encontrar dentro
del fichero media10.zip.
50
Qu son los permisos de objeto de Active Directory?
Introduccin
Los permisos de objeto de Active Directory proporcionan seguridad a los

recursos al permitir controlar qu administradores o usuarios tienen acceso
a objetos individuales o a sus atributos, as como el tipo de acceso permitido.
Con los permisos es posible asignar privilegios administrativos para una unidad
organizativa o una jerarqua de unidades organizativas, y as administrar el
acceso a la red. Tambin pueden utilizarse permisos para asignar privilegios
administrativos para un objeto especfico a un usuario o grupo determinado.
Permisos estndar
y especiales
Los permisos estndar son los permisos que se conceden con ms frecuencia y
constan de un conjunto de permisos especiales. Los permisos especiales ofrecen
un mayor grado de control para el tipo de acceso a los objetos que se puede
conceder. La tabla siguiente indica algunos de los permisos estndar.
Permiso
Permite al usuario:
Control total
Cambiar los permisos, tomar posesin y realizar las

tareas que permiten todos los dems permisos estndar.
Escribir
Cambiar los atributos del objeto.
Leer
Ver los objetos, atributos de objeto, el propietario del

objeto y los permisos de Active Directory.
Crear todos los objetos

secundarios
Agregar cualquier tipo de objeto a una unidad

organizativa.
Eliminar todos los objetos

secundarios
Quitar cualquier tipo de objeto secundario de una unidad

organizativa.
51
Acceso autorizado
por los permisos
Para que los usuarios puedan tener acceso a un objeto, un administrador o el

propietario del objeto deben conceder permisos sobre el mismo. Para cada objeto
de Active Directory, la familia de sistemas operativos Windows 2003 Server
almacena una lista de permisos de acceso de los usuarios denominada lista de
control de acceso discrecional (DACL, Discretionary Access Control List).
La DACL de un objeto muestra quin puede tener acceso al objeto y las acciones
especficas que cada usuario puede realizar con el objeto.
Para obtener ms informacin acerca de los permisos en Active Directory,

consulte el artculo Best practices for assigning permissions on Active
Directory objects (en ingls) en
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp.
52
Caractersticas de los permisos de objeto de Active Directory
Introduccin
Aunque los permisos NTFS y los permisos de objeto de Active Directory son
similares, existen ciertas caractersticas especficas de los segundos. Los permisos
de objeto de Active Directory pueden concederse o denegarse, denegarse
implcita o explcitamente, establecerse como permisos estndar o especiales,
y establecerse en el nivel de objeto o heredarse desde el objeto principal.
Conceder y denegar
permisos
Puede conceder o denegar permisos. Los permisos denegados tienen prioridad

sobre cualquier otro permiso que se conceda de otra forma a los grupos y las
cuentas de usuario. Slo deben denegarse permisos cuando sea necesario quitar
un permiso concedido a un usuario a travs de su pertenencia a un grupo.
Permisos implcitos
o explcitos
Los permisos pueden denegarse de forma implcita o explcita como sigue:
Cuando los permisos para realizar una operacin no se conceden

explcitamente, entonces se deniegan implcitamente.
Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto
usuario y no hay ningn otro principal de seguridad en la lista DACL de ese
objeto, se deniega implcitamente el acceso a los usuarios que no sean
integrantes del grupo Marketing. El sistema operativo no permite leer las
propiedades del objeto usuario a los usuarios que no sean integrantes del
grupo Marketing.
Un permiso se deniega explcitamente cuando se desea impedir que un

subconjunto de un grupo mayor realice una tarea para la que el resto del
grupo tiene permiso.
Por ejemplo, puede ser necesario impedir que un usuario denominado Don
vea las propiedades de un objeto usuario. Sin embargo, Don es integrante
del grupo Marketing, que tiene permisos para ver las propiedades del objeto
usuario. Para evitar que Don pueda ver las propiedades del objeto usuario,
puede denegarle explcitamente el permiso Leer.
53
Permisos estndar
y especiales
La mayora de las tareas con objetos de Active Directory pueden configurarse a

travs de los permisos estndar. Estos permisos son los de uso ms habitual; sin
embargo, si es necesario conceder permisos ms detallados, puede utilizar
permisos especiales.
Permisos heredados
Cuando se establecen permisos en un objeto principal, los nuevos objetos

heredan sus permisos. Es posible quitar los permisos heredados, pero tambin
pueden volver a habilitarse si se desea.
54
Herencia de permisos
Qu es la herencia
de permisos?
Un objeto principal es cualquier objeto que tenga una relacin con otro objeto
denominado secundario. El objeto secundario hereda los permisos del objeto
principal. La herencia de permisos de Active Directory reduce al mnimo el
nmero de veces que se necesita conceder permisos para los objetos.
Ventajas
La herencia de permisos en Windows Server 2003 simplifica la tarea de

administrar los permisos en los aspectos siguientes:
No es necesario aplicar permisos manualmente a los objetos secundarios en

el momento de crearlos.
Los permisos aplicados a un objeto principal se aplican de forma coherente

a todos los objetos secundarios.
Cuando se deben modificar los permisos de todos los objetos de un

contenedor, slo es necesario modificar los del objeto principal. Los objetos
secundarios heredan los cambios automticamente.
Efectos de modificar los objetos en la herencia de permisos
Introduccin
La modificacin de los objetos de Active Directory afecta a la herencia de

permisos. Como administrador de sistemas, se le pedir que mueva objetos
de una unidad organizativa a otra en Active Directory cuando las funciones
organizativas o administrativas cambien. Al hacerlo, los permisos heredados
tambin cambian. Es esencial que tenga presente estas consecuencias antes de
modificar los objetos de Active Directory.
Efectos de mover
objetos
Cuando se mueven objetos entre unidades organizativas, se aplican las

condiciones siguientes:
Los permisos establecidos explcitamente se mantienen.
Los objetos heredan los permisos de la unidad organizativa a la que se les

mueve.
Los objetos dejan de heredar los permisos de la unidad organizativa de la

que provienen.
Nota Cuando se modifican objetos de Active Directory, es posible mover

mltiples objetos al mismo tiempo.
55
56
Impedir la herencia
de permisos
Es posible impedir la herencia de permisos de forma que un objeto secundario

no herede los permisos de su objeto primario. Cuando se impide la herencia,
slo se aplican los permisos establecidos explcitamente.
Cuando se impide la herencia de permisos, la familia de sistemas operativos
Windows Server 2003 permite:
Copiar los permisos heredados al objeto. Los nuevos permisos se convierten

en permisos explcitos para el objeto. Se trata de una copia de los permisos
que el objeto hered previamente de su objeto principal. Despus de copiar
los permisos heredados, puede hacer en ellos los cambios necesarios.
Quitar los permisos heredados del objeto. Al quitar estos permisos, se

eliminan todos los permisos del objeto. Despus puede conceder cualquier
permiso nuevo que desee para el objeto.
57
Cmo modificar los permisos de objetos de Active Directory
Introduccin
Para determinar si un usuario est autorizado a utilizar un objeto,

Windows Server 2003 comprueba los permisos concedidos al usuario para ese
objeto, que se encuentran en la DACL. Cuando se conceden o deniegan
permisos para un objeto, esta configuracin prevalece sobre los permisos
heredados de un objeto principal.
Procedimiento para
agregar permisos
Para agregar permisos sobre un objeto:

1. Si la opcin Caractersticas avanzadas no est activada, en Usuarios y
equipos de Active Directory, en el men Ver, haga clic en Caractersticas
avanzadas.
2. En el rbol de la consola, haga clic con el botn secundario del mouse en el
objeto y, a continuacin, haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, en la ficha Seguridad, haga clic en
Agregar.
4. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba los nombres de objeto que desea seleccionar, escriba el
nombre del usuario o grupo al que desea conceder los permisos y, a
continuacin, haga clic en Aceptar.
Procedimiento para
modificar permisos
Para modificar un permiso existente:

1. Si la opcin Caractersticas avanzadas no est activada, en Usuarios y
equipos de Active Directory, en el men Ver, haga clic en Caractersticas
avanzadas.
2. En el rbol de la consola, haga clic con el botn secundario del mouse en el
objeto y, a continuacin, haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, en la ficha Seguridad, en el rea de
permisos, active la casilla de verificacin Permitir o Denegar para cada
permiso que desee conceder o denegar.
58
Procedimiento para ver

permisos especiales
Los permisos estndar son suficientes para la mayora de las tareas

administrativas. Sin embargo, quizs necesite ver los permisos especiales
que constituyen un permiso estndar.
Para ver permisos especiales:
2. Abra el cuadro de dilogo Propiedades correspondiente al objeto que
desea ver.
3. En el cuadro de dilogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
4. En el cuadro de dilogo Configuracin de seguridad avanzada, en la ficha
Permisos, haga clic en la entrada que desee ver y, despus, haga clic en
Modificar.
5. Para ver los permisos de atributos especficos, en el cuadro de dilogo
Entrada de permiso, haga clic en la ficha Propiedades.
Procedimiento para
modificar la herencia
de permisos
Para modificar la herencia de permisos:

2. Abra el cuadro de dilogo Propiedades correspondiente al objeto que desea
modificar.
3. En el cuadro de dilogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
4. En el cuadro de dilogo Configuracin de seguridad avanzada para
Objeto, en la ficha Permisos, haga clic en la entrada que desee ver y,
despus, haga clic en Modificar.
5. En el cuadro de dilogo Entrada de permiso para Objeto, en la ficha
Objeto, en el cuadro Aplicar en, seleccione la opcin que desee y los
permisos adecuados y, a continuacin, haga clic en Aceptar.
6. En el cuadro de dilogo Configuracin de seguridad avanzada para
Objeto, active la casilla de verificacin Permitir que los permisos
heredables del primario se propaguen a este objeto y a todos los objetos
secundarios. Incluirlos junto con las entradas indicadas aqu de forma
explcita para permitir la herencia. Desactive esta casilla de verificacin a
fin de impedir la herencia de permisos para este objeto.
59
Permisos efectivos de objetos de Active Directory
Introduccin
La herramienta Permisos efectivos permite determinar cules son los permisos

de un objeto de Active Directory. Esta herramienta calcula los permisos
asignados al usuario o grupo especificado y tiene en cuenta los permisos activos
derivados de la pertenencia a grupos y los heredados de objetos principales.
Caractersticas de los
permisos efectivos
Los permisos efectivos de los objetos de Active Directory tienen las

caractersticas siguientes:
Los permisos acumulados son la combinacin de los permisos de Active

Directory concedidos a las cuentas de usuario y de grupo.
La denegacin de permisos prevalece sobre todos los permisos heredados.

Los permisos asignados explcitamente tienen prioridad.
Todos los objetos tienen un propietario, tanto si se encuentran en un

volumen NTFS como en Active Directory. El propietario controla los
permisos establecidos en un objeto y a quin se conceden.
De forma predeterminada, en Windows Server 2003 el propietario es el
grupo Administradores. El propietario siempre puede cambiar los permisos
de un objeto aunque se le deniegue todo acceso al mismo.
El propietario actual puede conceder el permiso Tomar posesin a otro
usuario, lo que permite a ste tomar posesin del objeto en cualquier
momento. El usuario debe tomar posesin del objeto para completar la
transferencia de la posesin.
60
Recuperar los permisos

efectivos
Para recuperar informacin acerca de los permisos efectivos en Active

Directory, es necesario tener el permiso de leer la informacin de pertenencia.
Si el usuario o grupo especificado es un objeto de dominio, es necesario el
permiso de leer la informacin de pertenencia del objeto en su dominio.
Los usuarios siguientes tienen los permisos de dominio correspondientes
de forma predeterminada:
Los administradores del dominio tienen permiso para leer la informacin

de pertenencia de todos los objetos.
Los administradores locales de una estacin de trabajo o servidor

independiente no pueden leer la informacin de pertenencia de un
usuario de dominio.
Los usuarios autenticados del dominio pueden leer la informacin de

pertenencia slo cuando el dominio se encuentra en modo de compatibilidad
anterior a Windows 2000.
61
Cmo determinar los permisos efectivos de objetos de Active

Directory
Introduccin
El procedimiento siguiente permite ver el registro de permisos efectivos de los

objetos de Active Directory.
Procedimiento
Para ver el registro de permisos efectivos:

1. En Usuarios y equipos de Active Directory, en el rbol de la consola, busque
la unidad organizativa o el objeto cuyos permisos efectivos desea ver.
2. Haga clic con el botn secundario del mouse en la unidad organizativa u
objeto y, despus, haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades, en la ficha Seguridad, haga clic en
Opciones avanzadas.
4. En el cuadro de dilogo Configuracin de seguridad avanzada, en la ficha
Permisos efectivos, haga clic en Seleccionar.
5. En el cuadro de dilogo Seleccionar Usuario, Equipo o Grupo, en el
cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre de
un usuario o grupo y, a continuacin, haga clic en Aceptar.
Las casillas de verificacin activadas indican los permisos efectivos del
usuario o grupo para el objeto.
Para obtener ms informacin acerca de los permisos efectivos, consulte el

artculo Effective Permissions tool (en ingls) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/acl_effective_perm.asp.
62
Ejercicio: Modificar los permisos de objetos de Active Directory
Objetivo
Quitar los permisos heredados de su unidad organizativa ciudad.
Documentar los cambios de seguridad realizados en su unidad

organizativa ciudad.
Instrucciones

Situacin de ejemplo
El ingeniero de sistemas de Northwind Traders ha delegado el control

administrativo a los administradores de cada ubicacin NombreDeEquipo. Usted
debe determinar qu permisos hereda su unidad organizativa NombreDeEquipo y,
a continuacin, quitar todos los permisos heredados. Documente los resultados de
cada paso efectuado para quitar los permisos heredados.
Ejercicio
63
Documente la seguridad de su unidad organizativa ciudad

1. Utilice la informacin siguiente para abrir CustomMMC:
Usuario: NombreDeEquipoAdmin
Contrasea: P@ssw0rd
Dominio: NWTraders
2. Muestre las cuentas de usuario y de grupo incluidas en la unidad
organizativa Locations/NombreDeEquipo. Documente los nombres de
usuario o grupo que tienen permisos heredados o explcitos en la tabla
siguiente. Escriba S (S) en la columna Heredados o Explcitos para cada
elemento de la columna Nombres de usuario o de grupo.
Los permisos explcitos tienen activada una casilla de verificacin en la
columna Permitir o Denegar. Los permisos no modificables y los heredados
tienen la casilla de verificacin atenuada y no es posible cambiarla.
Nombres de usuario o de grupo
Heredado
Explcito
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organizacin
ENTERPRISE DOMAIN
CONTROLLERS
Acceso compatible con versiones
anteriores a Windows 2000
Operadores de impresora
Sistema
Quite los permisos heredados

1. Unidad organizativa: Locations/NombreDeEquipo
2. Desactive la casilla de verificacin Permitir que los permisos heredables
del primario se propaguen a este objeto y a todos los objetos secundarios.
Incluirlos junto con las entradas indicadas aqu de forma explcita.
3. Quite las entradas de permiso aplicadas anteriormente desde el objeto
principal y mantenga slo los permisos definidos aqu explcitamente.
64
Documente los cambios de la seguridad de su unidad organizativa

ciudad
Muestre las cuentas de usuario y de grupo de la unidad organizativa
Locations/NombreDeEquipo. Documente los nombres de usuario o grupo
que tienen permisos heredados o explcitos en la tabla siguiente. Escriba S
(S) en la columna Heredados o Explcitos para cada elemento de la
columna Nombres de usuario o de grupo.
Los permisos heredados tienen activada una casilla de verificacin en la
columna Permitir o Denegar. Los permisos no modificables y los permisos
explcitos tienen la casilla de verificacin atenuada y no es posible cambiarla.
Nombres de usuario o de grupo
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organizacin
ENTERPRISE DOMAIN CONTROLLERS
Acceso compatible con versiones anteriores
a Windows 2000
Operadores de impresora
Sistema
Heredado
Explcito
65
Leccin: Delegar el control de los objetos de Active

Directory para lograr una administracin segura y
descentralizada
Introduccin
En esta leccin se explican los motivos para delegar el control de una unidad
organizativa y cmo se asigna un administrador a un grupo.
Explicar el significado de la delegacin del control de una unidad organizativa.
Describir la finalidad y la funcin del Asistente para delegacin del control.
Delegar el control de una unidad organizativa mediante el Asistente para

delegacin de control.
Explicar por qu se asigna un administrador a un grupo.
Asignar un administrador a un grupo.
66
Delegacin del control de una unidad organizativa
Definicin
La delegacin del control es la capacidad de asignar la responsabilidad de

administrar objetos de Active Directory a otro usuario, grupo u organizacin.
Con la delegacin del control puede eliminarse la necesidad de mantener
mltiples cuentas administrativas con amplia autoridad.
Es posible delegar los tipos de control siguientes:
Motivos para delegar el

control administrativo
Permisos para crear o modificar objetos de una unidad organizativa especfica.
Permisos para modificar atributos especficos de un objeto, como conceder

el permiso para restablecer contraseas en una cuenta de usuario.
La delegacin del control de objetos de Active Directory simplifica el trabajo

administrativo de la red gracias a la distribucin de las tareas administrativas
rutinarias entre mltiples usuarios. Con la administracin delegada, es posible
asignar tareas administrativas bsicas a usuarios o grupos normales, y asignar
tareas administrativas que afecten a todo el dominio o a todo el bosque a
usuarios de confianza de los grupos Administradores del dominio y
Administradores de organizacin.
La delegacin de la administracin ofrece a los grupos de la organizacin un
mayor control sobre sus recursos de red locales. Tambin ayuda a proteger la
red frente a daos accidentales o provocados al limitar la pertenencia a grupos
de administradores.
Formas de definir la
delegacin del control
administrativo
La delegacin del control administrativo se define de las siguientes tres formas:
Cambiar las propiedades de un contenedor particular.
Crear y eliminar objetos de un tipo determinado bajo una unidad

organizativa, como usuarios, grupos o impresoras.
Actualizar propiedades especficas en objetos de un tipo especfico dentro

de una unidad organizativa. Por ejemplo, puede delegar el permiso para
establecer una contrasea en un objeto usuario o en todos los objetos de una
unidad organizativa.
67
Asistente para delegacin de control
Introduccin
El Asistente para delegacin de control permite seleccionar el usuario o grupo

en el que se desea delegar el control. Este asistente tambin puede utilizarse
para conceder a los usuarios permisos para controlar unidades organizativas y
objetos, y para tener acceso a objetos y modificarlos.
Delegacin de permisos
Puede utilizar el Asistente para delegacin de control con el fin de conceder

permisos en el nivel de unidad organizativa. Los permisos adicionales
especficos se conceden manualmente en el nivel de objeto.
En Usuarios y equipos de Active Directory, haga clic con el botn secundario
del mouse en las unidades organizativas para las que desea delegar el control y,
despus, haga clic en Delegar control para iniciar el asistente. Tambin puede
seleccionar la unidad organizativa y, a continuacin, hacer clic en Delegar
control en el men Accin.
68
Opciones
En la tabla siguiente se describen las opciones del Asistente para delegacin de

control.
Opcin
Descripcin
Usuarios o grupos
Las cuentas de usuario o los grupos en los que desea

delegar el control.
Tareas para delegar
Una lista de las tareas comunes o la opcin para

personalizar una tarea. Si selecciona una tarea comn, el
asistente resume las selecciones que ha realizado para
completar el proceso de delegacin. Cuando selecciona
personalizar una tarea, el asistente muestra los tipos de
objetos y permisos de Active Directory que puede elegir.
Tipo de objeto de Active

Directory
Todos los objetos o slo los tipos de objeto especficos

de la unidad organizativa indicada.
Permisos
Los permisos que se van a conceder para el objeto u

objetos.
Nota El Asistente para delegacin de control puede anexar permisos a una

unidad organizativa si se ejecuta ms de una vez. Sin embargo, los permisos
delegados deben quitarse manualmente.
69
Cmo delegar el control de una unidad organizativa
Introduccin
Para conceder permisos en el nivel de unidad organizativa, utilice el Asistente

para delegacin de control. Puede conceder permisos para administrar objetos
o para administrar atributos especficos de los objetos. El Asistente para
delegacin de control es el mtodo ms aconsejable para delegar el control,
ya que reduce la posibilidad de que se produzcan efectos no deseados en la
asignacin de permisos.
Procedimiento para
delegar el control de
tareas comunes
Para delegar el control administrativo de tareas comunes:

1. Inicie el Asistente para delegacin de control siguiendo estos pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la que desee delegar el control.
b. En el men Accin, haga clic en Delegar control.
2. En el Asistente para delegacin de control, en la pgina inicial, haga clic
en Siguiente.
3. En la pgina Usuarios o grupos, seleccione el usuario o grupo al que desee
conceder permisos y, a continuacin, haga clic en Siguiente. Si no aparece
ningn usuario o grupo que seleccionar, siga estos pasos:
a. Haga clic en Agregar.
b. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba los nombres de objeto que desea seleccionar, escriba el
nombre de un usuario o grupo, y despus, haga clic en Aceptar.
70
4. En la pgina Tareas que se delegarn, especifique una o ms de las tareas

siguientes:
Crear, eliminar y administrar cuentas de usuario.
Restablecer contraseas de usuario y forzar el cambio de contrasea en
el siguiente inicio de sesin
Leer toda la informacin de usuario
Crear, eliminar y administrar grupos
Modificar la pertenencia de un grupo
Administrar los vnculos de directiva de grupo
Generar conjunto resultante de directivas (planeacin)
Generar conjunto resultante de directivas (registro)
Crear, eliminar y administrar cuentas de inetOrgPerson
Restablecer contraseas de inetOrgPerson y forzar el cambio de
contrasea en el siguiente inicio de sesin
Leer toda la informacin de inetOrgPerson
Nota Para delegar una tarea personalizada en usuarios o grupos, haga clic
en Crear una tarea personalizada para delegar.
6. En la pgina Finalizacin del Asistente para delegacin de control, haga
clic en Finalizar.
Procedimiento para
delegar el control de una
tarea personalizada
Para delegar el control administrativo de una tarea personalizada:

1. Inicie el Asistente para delegacin de control siguiendo estos pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la que desee delegar el control.
b. En el men Accin, haga clic en Delegar control.
2. En el Asistente para delegacin de control, en la pgina inicial, haga clic
en Siguiente.
3. En la pgina Usuarios o grupos, seleccione el usuario o grupo al que
desee conceder permisos y, a continuacin, haga clic en Siguiente.
4. En la pgina Tareas que se delegarn, haga clic en Crear una tarea
personalizada para delegar y, a continuacin, en Siguiente.
5. En la pgina Tipo de objeto de Active Directory, haga clic en Siguiente.
71
6. En la pgina Permisos, especifique los permisos que desea conceder a la

unidad organizativa o a sus objetos.
Puede seleccionar los tipos de permisos siguientes:
General. Muestra los permisos de uso ms comn que estn disponibles
para la unidad organizativa seleccionada o para los objetos de esa unidad
organizativa.
Especfico de la propiedad. Muestra todos los permisos de atributo
aplicables al tipo de objeto.
Creacin o eliminacin de objetos secundarios especficos. Muestra
los permisos necesarios para crear objetos nuevos en la unidad
organizativa.
8. En la pgina Finalizacin del Asistente para delegacin de control, haga
clic en Finalizar.
72
Ejercicio: Delegar el control de una unidad organizativa
Objetivo
Instrucciones
Delegar el control de la unidad organizativa Computers.
Probar los permisos delegados para la unidad organizativa Computers.
Delegar el control de la unidad organizativa Users.
Probar los permisos delegados para la unidad organizativa Users.
Antes de comenzar este ejercicio:
Inicie una sesin en el dominio con la cuenta NombreDeEquipoUser.
Abra CustomMMC con el comando Ejecutar como.

Utilice la cuenta de usuario Nwtraders\NombreDeEquipoAdmin
(por ejemplo: LondonAdmin).
Situacin de ejemplo
Con el fin de distribuir la carga de trabajo entre los administradores, Northwind

Traders desea que puedan realizar tareas especficas en las unidades
organizativas que tengan designadas. Las tareas siguientes deben delegarse en
las unidades organizativas indicadas:
Unidad organizativa: Locations/NombreDeEquipo/Computers

Tarea: Crear y eliminar cuentas de equipo en la unidad organizativa
Unidad organizativa: Locations/NombreDeEquipo/Users

Tarea: Restablecer contraseas de usuario y forzar el cambio de contrasea
en el siguiente inicio de sesin
Tarea: Leer toda la informacin de usuario
Ejercicio
Delegue el control de la unidad organizativa Computers

1. Delegue el control de la unidad organizativa
Locations/NombreDeEquipo/Computers.
2. Delegue el control en el usuario NombreDeEquipoUser
(donde NombreDeEquipo es el nombre de su equipo).
3. Delegue las tareas personalizadas siguientes:
Objetos equipo
Crear los objetos seleccionados en esta carpeta
Eliminar los objetos seleccionados en esta carpeta
4. Delegue los permisos generales siguientes:
Leer
Escribir
Pruebe los permisos de la unidad organizativa Computers mediante la
cuenta NombreDeEquipoUser
1. Abra CustomMMC con la cuenta NombreDeEquipoUser.
2. Utilice la informacin siguiente para crear una cuenta de equipo:
Ubicacin: Locations/NombreDeEquipo/Computers
Nombre de cuenta de equipo: Primeras tres letras de la ciudad y Test
(por ejemplo: LonTest)
Debera poder crear una cuenta de equipo en la unidad organizativa
Locations/NombreDeEquipo/Computers.
Delegue el control de la unidad organizativa Users
1. Abra CustomMMC con la cuenta NombreDeEquipoAdmin.
2. Delegue el control de la unidad organizativa
Locations/NombreDeEquipo/Users.
3. Delegue el control en el usuario NombreDeEquipoUser.
4. Delegue las tareas comunes siguientes:
Restablecer contraseas de usuario y forzar el cambio de contrasea en
el siguiente inicio de sesin
Leer toda la informacin de usuario
73
74
Pruebe los permisos para la unidad organizativa Users

1. Abra CustomMMC con la cuenta NombreDeEquipoUser.
2. Haga lo siguiente en la unidad organizativa:
Locations/NombreDeEquipo/Users:
a. Intente eliminar una cuenta de usuario.
No debe poder hacerlo.
b. Intente habilitar o deshabilitar alguna cuenta de usuario.
No debe poder hacerlo.
c. Restablezca la contrasea de algn usuario.
Debera poder restablecer la contrasea de cualquier cuenta de usuario
en la unidad organizativa Locations/NombreDeEquipo/Users.
75
Por qu asignar un administrador a un grupo?
Ventajas de asignar
un administrador a
un grupo
En Windows Server 2003, Active Directory permite asignar un administrador a

un grupo como propiedad del grupo. Esto permite:
Determinar quin es el responsable de cada grupo.
Delegar en el administrador del grupo la autoridad para agregar y quitar

usuarios del grupo.
Debido a que en las grandes organizaciones se agregan y quitan usuarios de

grupos con mucha frecuencia, algunas optan por distribuir la responsabilidad
administrativa de agregar usuarios a los grupos a quienes solicitan el grupo.
Si se establece quin es el administrador del grupo, la informacin de contacto
de esa cuenta de usuario queda registrada. Si en alguna ocasin es necesario
migrar el grupo a otro dominio o eliminarlo, el administrador de la red tendr
un registro de quin es el propietario del grupo y su informacin de contacto.
De este modo, el administrador de la red podr llamar o enviar un mensaje de
correo electrnico al administrador del grupo para notificarle el cambio que
debe realizar.
76
Cmo asignar un administrador a un grupo
Introduccin
Para asignar un administrador a un grupo, utilice el procedimiento siguiente.
Procedimiento
Para asignar un administrador a un grupo:

1. En Usuarios y equipos de Active Directory, en el rbol de la consola,
haga doble clic en el grupo que precisa un administrador.
2. En el cuadro de dilogo Propiedades, en la ficha Administrado por,
haga clic en Cambiar para agregar un administrador al grupo o cambiar
el administrador existente.
3. En el cuadro de dilogo Seleccionar usuario o contacto, en el cuadro
Escriba el nombre de objeto que desea seleccionar, escriba el nombre
del usuario que vaya a administrar el grupo y, a continuacin, haga clic
en Aceptar.
4. Active la casilla de verificacin El administrador puede actualizar la lista
de suscripciones si desea que el administrador pueda agregar y quitar
usuarios y grupos.
5. En el cuadro de dilogo Propiedades, haga clic en Aceptar.
Ejercicio: Asignar un administrador a un grupo
Objetivo
Instrucciones
Crear un grupo global.
Asignar al grupo un administrador que pueda modificar la pertenencia

al grupo.
Probar las propiedades del administrador del grupo.

Situacin de ejemplo
Ejercicio
Se le ha pedido que cree para el departamento de ventas un grupo denominado

G NombreDeEquipo Sales Strategy. El propietario del grupo ser el jefe de
ventas de su unidad organizativa ciudad.
Cree un grupo global en su unidad organizativa ciudad
Contrasea: P@ssw0rd
Dominio: djelo en blanco
2. Cree un grupo global en la unidad organizativa
Locations/NombreDeEquipo.
3. Cree el grupo global G NombreDeEquipo Sales Strategy.
77
78
Compruebe que no puede agregar integrantes al grupo

G NombreDeEquipo Sales Strategy para probar las propiedades
del administrador del grupo
a. Usuario: NombreDeEquipoUser
b. Contrasea: P@ssw0rd
c. Dominio: djelo en blanco
2. Abra CustomMMC e intente agregar un usuario a G NombreDeEquipo
Sales Strategy.
No debe poder agregar ningn usuario a este grupo.
Haga que NombreDeEquipo sea el administrador de
G NombreDeEquipo Sales Strategy
Contrasea: P@ssw0rd
2. Cambie el administrador del grupo G NombreDeEquipo Sales Strategy en
la unidad organizativa Locations/NombreDeEquipo.
3. Agregue la cuenta NombreDeEquipoUser.
4. Active la casilla de verificacin El administrador puede actualizar la lista
de suscripciones.
Pruebe las propiedades del administrador del grupo
Usuario: NombreDeEquipoUser
Contrasea: P@ssw0rd
2. En la unidad organizativa Locations/NombreDeEquipo, en el grupo
G NombreDeEquipo Sales Strategy, agregue el usuario User0001.
79
Leccin: Mover objetos de Active Directory
Introduccin
Esta leccin presenta los conocimientos necesarios para mover objetos

de dominio.
Enumerar las razones para mover un objeto de dominio de Active Directory.
Mover un objeto de dominio de Active Directory.
80
Cundo es conveniente mover un objeto de Active Directory?
Introduccin
Una parte del trabajo del administrador de sistemas es mantener la estructura

de Active Directory cuando cambian las necesidades del negocio.
Razones para mover

elementos de
Active Directory
La necesidad de mover objetos de Active Directory suele ser la consecuencia

de un cambio en las necesidades de negocio. Por ejemplo, puede ser necesario
mover objetos como respuesta a las situaciones siguientes:
Elementos de
Active Directory que
pueden moverse
Cambio en la estructura del personal de una unidad de negocio, por ejemplo

cuando un empleado pasa de un departamento a otro.
Separacin o fusin de una unidad de negocio con otra.
Traslado de una unidad de negocio de una ubicacin fsica a otra.
Cambio de la ubicacin de una unidad de negocio.
Algunos recursos, tales como servidores o impresoras, se redistribuyen entre

las unidades de negocio.
Los elementos siguientes pueden moverse dentro de la estructura de

Active Directory:
Cuenta de usuario
Cuenta de contacto
Grupo
Carpeta compartida
Impresora
Equipo
Controlador de dominio
Unidad organizativa
Cmo mover un objeto de Active Directory
Introduccin
Para mover objetos de dominio puede utilizar la opcin de men

correspondiente o puede arrastrarlos de una unidad organizativa a otra.
Procedimiento
Para mover un objeto de dominio:

1. En Usuarios y equipos de Active Directory, haga clic con el botn
secundario del mouse en el objeto que desea mover y, a continuacin,
haga clic en Mover.
Tambin puede arrastrar el objeto hasta su nueva ubicacin.
2. En el cuadro de dilogo Mover, busque el contenedor al que desea mover
el objeto y, a continuacin, haga clic en Aceptar.
81
82
Ejercicio: Mover objetos de Active Directory
Objetivo
En este ejercicio mover objetos de Active Directory de una unidad

organizativa a otra.
Instrucciones

Situacin de ejemplo
Ejercicio
Los ingenieros de sistemas estn probando la funcionalidad de informes

avanzada de Active Directory. Le han pedido que cree algunos objetos de
dominio y que los mueva de la unidad organizativa IT Test a una unidad
organizativa denominada IT Test Move.
Cree y mueva unidades organizativas
1. Cree las unidades organizativas siguientes en la unidad organizativa IT Test:
OUNombreDeEquipo1
OUNombreDeEquipo2
2. Muvalas a la unidad organizativa IT Test Move.
Prctica A: Administrar el acceso a los objetos de

unidades organizativas
Objetivos
Al terminar esta prctica, podr administrar el acceso a los objetos de las

unidades organizativas.
Instrucciones
Antes de comenzar esta prctica:

Tiempo previsto para

completar esta prctica:
30 minutos
Asegrese de que CustomMMC contiene Usuarios y equipos de

Active Directory.
83
84
Ejercicio 1
Delegacin del control administrativo
En este ejercicio delegar el control administrativo de los objetos de una unidad organizativa.
Situacin de ejemplo
Northwind Traders desea que todo el personal de tecnologa de la informacin pueda crear, eliminar
y modificar grupos en todas las unidades organizativas ciudad. Usted debe delegar la autoridad en
su unidad organizativa NombreDeEquipo de modo que un grupo global denominado G NWTraders
IT Personnel tenga permisos para crear, eliminar y administrar grupos y modificar la pertenencia a
los mismos.
Tareas
1.
Delegue el control de la
unidad organizativa
NombreDeEquipo/Groups.
Instrucciones especficas
Unidad organizativa:
nwtraders.msft/Locations/NombreDeEquipo/Groups
Usuarios o grupos: G NWTraders IT Personnel

Tareas para delegar:
Crear, eliminar y administrar grupos
Modificar la pertenencia de un grupo
85
Ejercicio 2
Documentacin de la seguridad de un objeto de Active Directory
En este ejercicio documentar la configuracin de seguridad del objeto creado en la unidad
organizativa delegada.
Situacin de ejemplo
Acaba de crear varios grupos en una unidad organizativa delegada y se le ha pedido que documente
los permisos que ha heredado cada uno de ellos. Escriba en la tabla siguiente la informacin
necesaria para documentar los permisos del grupo.
Tareas
2.
Documente los permisos

especiales de un grupo
creado en una unidad
organizativa delegada.
Instrucciones especficas
Documente los permisos especiales para el grupo G NWTraders IT

Personnel.
__________________________________

Creacion y Administracion de Objetos de Active Directory

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Creacion y Administracion de Objetos de Active Directory

Cargado por

Copyright:

Formatos disponibles

Creacin y administracin

Leccin: Creacin de unidades organizativas, cuentas de usuario y cuentas de equipo

Leccin: Creacin y modificacin de grupos

Leccin: Estrategias para el uso de grupos

Leccin: Mover objetos de Active Directory

Prctica A: Administrar el acceso a los objetos de unidades organizativas

Creacin y administracin de objetos de Active Directory

Este mdulo contiene la informacin que precisa un administrador de sistemas

Despus de finalizar este mdulo, podr:

Crear unidades organizativas, cuentas de usuario y cuentas de equipo.

Crear y modificar grupos.

Aplicar las estrategias adecuadas al trabajar con grupos.

Utilizar permisos para controlar el acceso a los objetos de Active Directory.

Delegar el control de los objetos de Active Directory para lograr una

Mover objetos de Active Directory.

Creacin y administracin de objetos de Active Directory

Leccin: Creacin de unidades organizativas, cuentas de

Esta leccin proporciona los conocimientos y la prctica necesarios para crear

Despus de finalizar esta leccin, podr:

Explicar los cuatro modelos jerrquicos de unidad organizativa.

Explicar los nombres asociados a las unidades organizativas.

Crear una unidad organizativa.

Crear una cuenta de usuario.

Explicar cmo y dnde se crean las cuentas de equipo en un dominio.

Explicar las dos opciones de cuenta de equipo.

Crear una cuenta de equipo.

Creacin y administracin de objetos de Active Directory

Modelos jerrquicos de unidad organizativa

Como administrador de sistemas, no es su funcin elegir el diseo estructural

La jerarqua basada en la funcin considera slo las funciones de negocio de

No se ven afectados por las reorganizaciones. Una jerarqua basada en

Pueden requerir niveles adicionales. Cuando se utiliza esta estructura,

Pueden afectar a la replicacin. Las estructuras empleadas para crear los

Esta estructura slo es adecuada en organizaciones pequeas porque los

Creacin y administracin de objetos de Active Directory

La jerarqua basada en la organizacin considera los departamentos o divisiones

Si la organizacin est centralizada y la administracin de la red est distribuida

No se ve afectada por las reorganizaciones. Aunque las divisiones y

Se adapta a fusiones y expansiones. Si una organizacin se fusiona o

Aprovecha la capacidad de la red. Normalmente, la topologa de la red fsica

Puede comprometer la seguridad. Si una ubicacin consta de mltiples

Una jerarqua basada primero en la ubicacin y despus en la organizacin, o en

Se adapta al crecimiento geogrfico o de los diferentes departamentos o

Crea lmites de administracin definidos en funcin de los departamentos

Requiere la cooperacin entre los administradores para asegurar la

Creacin y administracin de objetos de Active Directory

Nombres asociados a las unidades organizativas

Las referencias a objetos especficos de Active Directory pueden hacerse

El nombre completo relativo LDAP (Lightweight Directory Access Protocol,

Nombre completo LDAP

A diferencia del nombre completo relativo LDAP, el nombre completo LDAP

La sintaxis del nombre cannico se construye de la misma forma que la del

Creacin y administracin de objetos de Active Directory

Cmo crear una unidad organizativa

Con la creacin de unidades organizativas puede representar una jerarqua o

Para crear una nueva unidad organizativa:

Creacin y administracin de objetos de Active Directory

Utilizar una lnea

Para crear una unidad organizativa con el comando dsadd:

Creacin y administracin de objetos de Active Directory

Cmo crear una cuenta de usuario

Para crear una cuenta de usuario de dominio:

Creacin y administracin de objetos de Active Directory