Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
Este mdulo contiene la informacin que precisa un administrador de sistemas para administrar los objetos del servicio de directorio de directorio activo: Despus de finalizar este mdulo, podr: Crear unidades organizativas, cuentas de usuario y cuentas de equipo. Crear y modificar grupos. Aplicar las estrategias adecuadas al trabajar con grupos. Utilizar permisos para controlar el acceso a los objetos de Directorio Activo. Delegar el control de los objetos de Directorio Activo para lograr una administracin segura y descentralizada. Mover objetos de Directorio Activo.
Planeamiento. En esta fase se planea la estructura de la unidad organizativa. Se decide qu unidades organizativas se van a crear y cmo se va a delegar el control administrativo de stas.
Implementacin. En esta fase se crea la estructura de la unidad organizativa tomando como base el plan de la unidad organizativa. Mantenimiento. Una vez que se haya creado la estructura de la unidad organizativa en Directorio Activo, podr cambiar el nombre de las unidades organizativas, desplazarlas o modificarlas segn sea necesario para satisfacer los requisitos continuos de la organizacin.
Eliminacin. Todos los objetos de Directorio Activo, incluidas las unidades organizativas, ocupan espacio en el controlador de dominio que aloja Directorio Activo. Cuando ya no necesite unidades organizativas, deber eliminarlas.
Tambin se puede combinar los modelos generando lo que se denomina modelos hbridos. Como se muestra en la figura
Auque en teoria no hay limites para crear OU, no es recomendable exagerarse en la cantidad de niveles de creacion para no entorpeser la administracion.
Utilice el siguiente diagrama de flujo como un rbol de decisiones paradeterminar la estructura de unidad organizativa apropiada para una organizacin.
La razn principal para crear unidades organizativas es la distribucin de tareas administrativas en la organizacin, delegando el control administrativo a otros administradores. Esta delegacin resulta especialmente importante cuando se desarrolla un modelo administrativo descentralizado.
La capacidad de establecer el acceso a unidades organizativas individuales es una caracterstica de seguridad importante en Directorio Activo; se puede controlar el acceso al nivel ms bajo de una organizacin sin necesidad de crear muchos dominios de Directorio Activo. La autoridad que se delega en el nivel de sitio permite expandir dominios. La autoridad delegada en el nivel de dominio afectar a todos los objetos del dominio. La autoridad delegada en el nivel de la unidad organizativa puede afectar al objeto y a todos sus objetos secundarios, o slo al propio objeto. Se delega control administrativo para proporcionar autonoma administrativa de servicios y datos a organizaciones o para aislar servicios o datos en una organizacin. Puede eliminar la necesidad de varias cuentas administrativas que tienen una autoridad amplia, como las de un dominio completo y seguir
utilizando el grupo Admins. del dominio predeterminado para administrar el dominio completo. Windows Server 2008 contiene permisos y derechos de usuario especficos que se pueden utilizar para delegar control administrativo. Mediante una combinacin de unidades organizativas, grupos y permisos puede designar derechos administrativos a un usuario particular, de modo que el usuario tenga un nivel adecuado de administracin sobre un dominio completo, sobre todas las unidades organizativas de un dominio o sobre una nica unidad organizativa. Para delegar el control se sigue los siguientes pasos:
1. Clic sobre
derecho la OU,
en al
incluir usuarios.
5. Click Finalizar
en
Implementar Polticas de grupo. Permiten que cada OU, tengan las politicas que la organizacin establezca, tanto para mejorar la seguridad como para tener eficiencia en los trabajadores. Ejemplos: OU Estudiantes no podran acceder al panel de control. OU Bodega no tendran acceso a los juegos. OU Cajeros no pueden usar Messenger.
Para gestionar las politicas de grupo, se selecciona Administracion de directivas de grupo de las herramientas administrativas.o con el comando gpedit.msc. para las politicas de grupo locales.
Las politicas de grupo afectan a sitios, dominios y unidades organizativas, se selecciona uno de estos objetos y se pulsa clic derecho. Y luego la opcion Crear un GPO en este dominio y vincularlo aqu. Para luego dar un nombre de GPO (objeto de politica de grupo) y configurar las politicas tanto para computadoras como para usuarios. Como se indica en las figuras siguientes.
Y luego se escribe el nombre de la OU. Se recomienda que el nombre empiece con las letras en mayusculas OU.
Otra forma de crear es mediante la seleccin de las opciones con clic derecho en el lugar donde se desea crear, tal como se muestra en la figura.
Herramientas de lineas de comandos. Puede utilizar las herramientas de lnea de comandos del servicio de directorio Dsadd, Dsmod y Dsrm para crear y administrar unidades organizativas desde el smbolo del sistema. Tambin
puede utilizar estos comandos en archivos de secuencias de comandos y en archivos por lotes. Para crear dsadd ou NCUnidadOrganizativa NombreUsuario -p Contrasea -desc Descripcin -d Dominio u
Para modificar la descripcin de una unidad organizativa dsmod ou NCUnidadOrganizativa NombreUsuario -p Contrasea -desc Descripcin -d Dominio u
Las unidades organizativas de Directorio Activo que ya no se utilicen se deben eliminar. Para eliminar una unidad organizativa, ejecute el siguiente comando: dsrm NCUnidadOrganizativa -d Dominio -u NombreUsuario p Contrasea
cuenta de usuario, la misma que usara para autenticarse y obtener acceso a la red. Una cuenta de usuario es un objeto que contiene toda la informacin que define a un usuario de Windows Server 2008 y puede ser local o de dominio. Incluye el nombre de usuario y la contrasea, con los que el usuario inicia la sesin.
Una cuenta local solo se puede crear en servidores que no tienen instalado Directorio Activo o en equipos clientes. Una cuenta de usuario local se crea mediante el administrador de equipos, y se almacena en la SAM (Administrador de cuentas de seguridad). Cuando se autentifica se entrega la llave de acceso (Access Token) en la propia maquina.
En cambio cuando es una cuenta de dominio la autentificacion se realiza en el directorio activo para lo cual por seguridad primero se debe cifrar. Las cuentas de usuario de Directorio Activo representan entidades fsicas, como personas.
A veces, las cuentas de usuario tambin se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario: Autentica la identidad de un usuario. Una cuenta de usuario permite que un usuario inicie sesin en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesin en la red debe tener una cuenta de usuario y una contrasea propias y nicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta. Autoriza o deniega el acceso a los recursos del dominio. Despus de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en funcin de los permisos explcitos que se le hayan asignado en el recurso. El contenedor de usuarios de Usuarios y equipos de Directorio Activo muestra tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automticamente al crear el dominio. Cada cuenta integrada tiene una combinacin diferente de derechos y permisos. La cuenta Administrador es la que tiene ms derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio en los que se ejecuta el sistema operativo Windows Server 2008.
Descripcion La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio segn sea necesario. Esta cuenta slo se debe usar para las tareas que requieran
credenciales administrativas. Es recomendable que configure esta cuenta con una contrasea segura. La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Directorio Activo: Administradores, Administradores del dominio Administradores de organizacin Propietarios del creador de directivas de grupo Administradores de esquema.
La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultar el acceso a ella a usuarios malintencionados.
Invitado
Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) tambin puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contrasea. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesin en un dominio. La cuenta Invitado est deshabilitada de forma predeterminada y recomendamos que permanezca as.
Asistente de ayuda
Es la cuenta principal para establecer una sesin de Asistencia remota. Esta cuenta se crea automticamente al solicitar una sesin de Asistencia remota. Tiene acceso limitado al equipo. La cuenta Asistente de ayuda se administra mediante el servicio Administrador
de sesin de Ayuda de escritorio remoto. La cuenta se elimina automticamente si no hay solicitudes de Asistencia remota pendientes
Una
recomendacin
de
seguridad
para
proteger
estas
cuentas
es
deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva tambin las dems propiedades, como la descripcin, la contrasea, la pertenencia a grupos, el perfil de usuario, la informacin de cuenta y todos los permisos y derechos de usuario asignados. Para obtener las ventajas de seguridad de la autenticacin y autorizacin de usuarios, utilice Usuarios y equipos de Directorio Activo para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Despus, podr agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesin en ella y que stos tienen acceso slo a los recursos permitidos. Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseas seguras e implementar una directiva de bloqueo de cuenta. Las contraseas seguras reducen el riesgo de que se adivinen las contraseas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin. Una directiva de bloqueo de cuenta determina cuntos intentos de inicio de sesin con error puede realizar una cuenta de usuario antes de que sea deshabilitada.
2. Nos ubicamos en la OU
donde deseamos crear usuario pulsamos clic derecho selecciona mos Nuevo y luego el y
Usuario.
4. Escribimos la clave,
ingresar informacin del usuario como: Nombre, Apellido, Oficina, Descripcin, nmeros de
En la hoja Cuenta se puede establecer: Horas de inicio de sesin Equipos en donde se puede ingresar. Desbloquear cuenta Opciones contraseas. Caducidad cuenta. de la de una
En horas de inicio de sesion se debe ingresar las horas permitidas en azul y denegadas las blancas
pueden no se
puede
Se puede administrar la contrasea para que el usuario cambie en el prximo sesin, o inicio de
configurar
En
la
caducidad
de
caducara la cuenta.
En la hoja perfil se puede ingresar: La carpeta en la que el usuario tiene el perfil Un programa que se ejecute al iniciar. La ruta de una carpeta local.
En la hoja miembros de se puede establecer los grupos a los que el usuario pertenecer para puede que
Los grupos se caracterizan por su mbito y su tipo. El mbito de un grupo determina el alcance del grupo dentro de un dominio o bosque. El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo slo para las listas de distribucin de correo electrnico (para grupos de distribucin). Tambin existen grupos cuyas pertenencias a grupos no se pueden ver ni modificar. Estos grupos se conocen con el nombre de identidades especiales. Representan a distintos usuarios en distintas ocasiones, en funcin de las circunstancias. Por ejemplo, el grupo Todos es una identidad especial que
representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios.
Los grupos predeterminados se encuentran en el contenedor Builtin y en el contenedor Users. Los grupos predeterminados del contenedor Builtin tienen el mbito de grupo Integrado local. Su mbito de grupo y tipo de grupo no se pueden cambiar. El contenedor Users incluye grupos definidos con mbito Global y grupos definidos con mbito Local de dominio. Los grupos ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas del dominio, pero no se pueden mover a otros dominios.
El mbito de un grupo determina cules son los miembros del grupo. Las reglas de pertenencia controlan los miembros que pueden contener un grupo y los grupos de los que puede ser miembro. Los miembros de un grupo estn formados por cuentas de usuario, cuentas de equipo y otros grupos. Para asignar los miembros correctos a los grupos y para anidar un grupo, es importante conocer las caractersticas del mbito de grupo. Existen los siguientes mbitos de grupo: Global Local de dominio
Universal
5.3.5.3.1.
Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y Windows Server 2008. A los miembros de estos grupos slo se les pueden asignar permisos dentro de un dominio. Los grupos con mbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio nico. Estos grupos pueden tener los siguientes miembros: Grupos con mbito Global Grupos con mbito Universal Cuentas Otros grupos con mbito Local de dominio Una combinacin de los anteriores
Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar las cinco cuentas de usuario a la lista de permisos de la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios
tengan acceso a otra impresora, deber volver a especificar las cinco cuentas en la lista de permisos para la nueva impresora.
5.3.5.3.2.
Grupos globales
Los miembros de los grupos globales pueden incluir slo otros grupos y cuentas del dominio en el! que se encuentra definido el grupo. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.
Use los grupos con mbito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con mbito Global no se replican fuera de su propio dominio, las cuentas de un grupo con mbito Global se pueden cambiar frecuentemente sin generar trfico de replicacin en el catlogo global. Aunque las asignaciones de derechos y permisos slo son vlidas en el dominio en el que se asignan, al aplicar grupos con mbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a cuentas con fines similares. De esta manera se simplifica y se racionaliza la administracin de grupos entre dominios.
5.3.5.3.3.
Grupos universales
Los miembros de los grupos universales pueden incluir otros grupos y cuentas de cualquier dominio del bosque o del rbol de dominios. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del rbol de dominios.
Use los grupos con mbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas a los grupos con mbito Global y anide estos grupos dentro de los grupos que tienen mbito Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen mbito Global no afectan a los grupos con mbito Universal. Por ejemplo, si una red tiene dos dominios, ESPOCH y AMICROSOFT, y hay un grupo con mbito Global denominado GPROFESORES en cada dominio, cree un grupo con mbito Universal denominado UPROFESORES que tenga como miembros los dos grupos ESPOCH\GPROFESORES y
UNACH\GPROFESORES. Despus podr usar el grupo UPROFESORES en cualquier lugar de la organizacin. Los cambios de pertenencia de los grupos
GPROFESORES UPROFESORES.
individuales
no
producir
la
replicacin
del
grupo
Los grupos de distribucin se usan para crear listas de distribucin de correo electrnico y los grupos de seguridad se usan para asignar permisos para los recursos compartidos.
Los grupos de distribucin slo se pueden usar con aplicaciones de correo electrnico (como Microsoft Exchange Server 2007) para enviar mensajes a conjuntos de usuarios. Los grupos de distribucin no tienen seguridad habilitada lo que significa que no pueden aparecer en las listas de control de acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad.
Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red. Con los grupos de seguridad se puede: Asignar derechos de usuario a los grupos de seguridad de AD DS
Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacerlos miembros de ese grupo en el mbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario automticamente cuando se instala AD DS para ayudar a los administradores a definir la funcin administrativa de una persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad de Directorio Activo, este puede realizar operaciones de copia de seguridad y restauracin de archivos y directorios en cada controlador de dominio del dominio. Asignar permisos para recursos a los grupos de seguridad
Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quin puede obtener acceso a un recurso compartido y el nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en objetos de dominio se asignan
automticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio. Como sucede con los grupos de distribucin, los grupos de seguridad tambin se pueden usar como entidades de correo electrnico. Al enviar un mensaje de correo electrnico al grupo, se enva a todos sus miembros.
Sin embargo pueden representar a distintos usuarios en distintas ocasiones, en funcin de las circunstancias. Los grupos siguientes son identidades especiales:
Entidad Especial
Descripcin
Inicio de sesin Este grupo representa a los usuarios y servicios que annimo obtienen acceso a un equipo y sus recursos a travs de la red sin usar un nombre de cuenta, contrasea o nombre de dominio. En los equipos con Windows NT y versiones anteriores, el grupo Inicio de sesin annimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 o Windows Server 2003. El grupo Inicio de sesin annimo no es miembro del grupo Todos de manera predeterminada.
Todos
Este grupo representa a todos los usuarios actuales de la red incluidos invitados y usuarios de otros dominios. Cuando un usuario inicia sesin en la red, se agrega automticamente al grupo Todos.
Red
Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a travs de la red, frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesin local en el equipo en el que reside el recurso
Interactivo
Este grupo representa a todos los usuarios que disponen de una sesin iniciada en un equipo determinado y que estn obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a travs de la red. Cuando un usuario obtiene
acceso a un recurso dado en el equipo en el que ha iniciado sesin, se agrega automticamente al grupo Interactivo.
Aunque a las identidades especiales se les puede conceder derechos y permisos para los recursos, sus pertenencias no se pueden ver ni modificar. Las identidades especiales no tienen mbitos de grupo. Los usuarios son asignados automticamente a ellas cuando inician sesin u obtienen acceso a un recurso concreto.
En Directorio Activo, los grupos se crean en dominios. Si tiene los permisos necesarios y asocia correctamente los usuarios y equipos con los grupos, puede crear grupos en otro dominio del bosque o en una unidad organizativa. Seleccione un determinado dominio, o unidad organizativa, en el que crear un grupo en funcin de los requisitos de administracin del grupo.
Por ejemplo, suponga que el directorio tiene varias unidades organizativas, cada una de ellas con un administrador diferente. Es posible que desee crear grupos globales en esas unidades organizativas para que los administradores puedan administrar la pertenencia al grupo de los usuarios incluidos en sus respectivas unidades organizativas. Si es necesario que los grupos controlen el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad organizativa en grupos universales (o en otros grupos con mbito global) que puedan utilizarse en cualquier otra ubicacin del bosque. Puede resultar ms eficaz anidar grupos globales si el nivel funcional de domino se establece en Windows 2000 nativo o superior, los dominios contienen una jerarqua de unidades organizativas y la administracin se delega a los administradores de cada unidad organizativa.
Las siguientes convenciones de nomenclatura pueden ayudar a administrar grupos. Las organizaciones establecen sus propias convenciones de nomenclatura para los grupos de distribucin y de seguridad. Un nombre de
grupo debera identificar su mbito, tipo, la finalidad de su creacin y los permisos que puede tener. Tenga en cuenta los siguientes puntos al definir una convencin de nomenclatura para los grupos de seguridad: Aunque el tipo y mbito de grupo se muestra como tipo de grupo en Usuarios y equipos de Directorio Activo, las organizaciones suelen incorporar el mbito en la convencin de nomenclatura del nombre de grupo: o G para grupos globales. G_PROFESORES o U para grupos universales U_PROFESORES o DL para grupos locales de dominio DL_PROFESORES. Debe identificar de forma clara al propietario del grupo e incluir el nombre del departamento o equipo al que pertenece. Ejemplo G_PROFESORES_FIE El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a peticin del cliente. Por ejemplo:
G_ESPOCH_PROFESORES_FIE Por ltimo, se pude incluir en el nombre la finalidad empresarial del grupo y los permisos mximos que debera tener el grupo en la red. Esta convencin de nomenclatura se suele aplicar a los grupos locales o grupos locales de dominio. Por ejemplo
DL_ESPOCH_CONTABILIDAD_CONTROLTOTAL. Para grupos de seguridad debe utilizar la convencin de nomenclatura que tenga en cuenta los siguientes puntos: Nombres de correo electrnico. Utilice un alias corto. Para respetar las normas actuales de datos descendentes, la longitud mnima de este campo es de tres caracteres y la longitud mxima, de ocho. Palabras ofensivas. No cree grupos de distribucin con palabras que puedan considerarse ofensivas. Si no est seguro, no utilice la palabra.
Caracteres permitidos. Puede utilizar cualquier carcter ASCII. Los nicos caracteres especiales permitidos son el guin (-) y el carcter de subrayado (_).
En Nombres para mostrar no incluya alias o como parte del nombre. Palabras ofensivas. No cree grupos de distribucin con palabras que puedan considerarse ofensivas. La longitud mxima de nombre para mostrar es de 40 caracteres. Se aceptan abreviaturas, siempre que su significado no sea confuso. No ponga en maysculas toda la descripcin, pero s la primera letra del nombre para mostrar. Utilice ortografa y puntuacin correctas. No utilice la palabra Un/a, nmeros, caracteres especiales (sobre todo, comillas) o un espacio en blanco al inicio de la descripcin. Esto hace que aparezca en la parte superior de la libreta de direcciones.
Caracteres especiales. Las barras diagonales (/) se aceptan en los nombres para mostrar, pero no al inicio de los nombres de servidor. No utilice ms de un apstrofe () y ninguno de los siguientes caracteres especiales: " * @ # $ % | [ ] ; < > =
herramientas de Directorio Activo o tambin nos ubicamos en el dominio o OU en donde se desea crear el grupo y con clic derecho seleccionamos Nuevo y luego Grupo. O tambin en el men accin.
En el cuadro escribimos el nombre del grupo, siguiendo la nomenclatura explicada anteriormente, seleccionamos el mbito y tipo de Grupo y luego Aceptar.
Para crear un grupo en un dominio de Directorio Activo mediante dsadd: Abra un smbolo del sistema. Escriba dsadd group GrupoDN -samid NombreSAM -secgrp yes |no scope l| g | u Valor Descripcin
GrupoDN Especifica el nombre completo del objeto de grupo que desea agregar. NombreSAM Especifica el nombre de Administrador de cuentas de seguridad (SAM, Security Accounts Manager) que se utilizar como nombre de cuenta SAM nico para este grupo (por ejemplo, operadores).
yes | no Especifica si el grupo que desea agregar es un grupo de seguridad (yes) o un grupo de distribucin (no). Especifica si el mbito del grupo que desea agregar es local de dominio (l), global (g) o universal (u).
Para eliminar un grupo haga clic con el botn secundario del mouse en el grupo y, a continuacin, haga clic en Eliminar. Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuenta, Administradores del dominio o Administradores de organizacin en Directorio Activo o que hayan delegado en usted la autoridad adecuada. Para eliminar un grupo mediante dsrm. Abra un smbolo del sistema escriba dsrm GrupoDN. GrupoDN Especifica el nombre completo del objeto de grupo que se va a eliminar.
Mediante las propiedades Miembros y Miembro de, puede determinar los grupos a los que pertenece el usuario y los grupos a los que pertenece el grupo.
Para agregar miembros a un grupo debemos seguir los siguientes pasos: 1. Para agregar Miembros al grupo, damos doble clic en el grupo, seleccionamos la pagina Miembros, Y luego Agregar
2. Con lo cual nos pide que seleccionemos los usuarios o grupos que sern Miembros. Seleccionamos el tipo de objeto y ubicacin para una bsqueda rpida y luego Avanzadas
3. En el siguiente cuadro seleccionamos Buscar ahora y se desplegara la lista de usuarios y/o grupos. Seleccionamos, si son ms de uno podemos seleccionar teniendo presionada la tecla control, y luego Aceptar
4. La figura muestra los dos usuarios seleccionados como miembros del grupo global estudiantes de proyecto
AGP A DL P A G DL P A G U DL P AGLP
En donde A es de cuenta de usuario (Account), G de Grupo Global, DL de grupo local de dominio, U de Universal y de Permisos. La estrategia AGDLP es la ms usada en redes de un solo dominio, significa que las cuentas usuario debemos agregarlas a un grupo global, el grupo global le hacemos miembro de un grupo local de dominio y a este le damos los permisos.
A continuacin explicaremos paso a paso el procedimiento que debe seguir para cumplir con este objetivo.
1. Identificamos usuarios que tengan una funcin similar. Por ejemplo. Profesores Empleados Cajeros Ventas Y creamos un grupo global.
3. Se debe determinar si se puede usar un grupo local de dominio predeterminado o se debe crear uno nuevo.
4. Se debe identificar los grupos que van a necesitar el mismo recurso y se les hace miembros del grupo local de dominio.
5. Por ejemplo si se quiere que los de ventas tengan acceso a una impresora a color, es necesario crear un grupo local de dominio. Se hace miembro al grupo global del grupo local de dominio y finalmente se concede los permisos sobre la impresora al grupo local de dominio.
En A G U DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos universales (U) y estos grupos universales en grupos locales de dominio (DL), y, a continuacin, se conceden permisos (P) a los grupos locales de dominio. Utilice A G U DL P para un bosque con ms de un dominio, en el que los administradores necesiten una administracin centralizada para varios grupos globales.
Para
asignar
un de
administrador
Administrador