CAPITULO 5. CREACION Y ADMINISTRACION DE OBJETOS DE DIRECTORIO ACTIVO. 5.1.

Introduccin
Este mdulo contiene la informacin que precisa un administrador de sistemas para administrar los objetos del servicio de directorio de directorio activo: Despus de finalizar este mdulo, podr: Crear unidades organizativas, cuentas de usuario y cuentas de equipo. Crear y modificar grupos. Aplicar las estrategias adecuadas al trabajar con grupos. Utilizar permisos para controlar el acceso a los objetos de Directorio Activo. Delegar el control de los objetos de Directorio Activo para lograr una administracin segura y descentralizada. Mover objetos de Directorio Activo.

5.2. Unidades organizacionales.

Las unidades organizativas son contenedores del servicio de directorio de Directorio Activo que se utilizan para colocar usuarios, grupos, equipos y otras unidades organizativas. Con las unidades organizativas podr crear contenedores en un dominio que represente las estructuras jerrquicas y lgicas de su organizacin. As, podr administrar la configuracin y el uso de cuentas y recursos en funcin de su modelo organizativo. Por ejemplo, puede utilizar las unidades organizativas para aplicar de forma automtica directivas de grupo que definan opciones predeterminadas para cuentas de usuarios y equipos en Directorio Activo.

El ciclo de vida de las unidades organizativas tiene cuatro fases:

Planeamiento. En esta fase se planea la estructura de la unidad organizativa. Se decide qu unidades organizativas se van a crear y cmo se va a delegar el control administrativo de stas.

Implementacin. En esta fase se crea la estructura de la unidad organizativa tomando como base el plan de la unidad organizativa. Mantenimiento. Una vez que se haya creado la estructura de la unidad organizativa en Directorio Activo, podr cambiar el nombre de las unidades organizativas, desplazarlas o modificarlas segn sea necesario para satisfacer los requisitos continuos de la organizacin.

Eliminacin. Todos los objetos de Directorio Activo, incluidas las unidades organizativas, ocupan espacio en el controlador de dominio que aloja Directorio Activo. Cuando ya no necesite unidades organizativas, deber eliminarlas.

5.2.1. Modelos de Creacin

En la planificacin se debe considerar la creacin de OU en base a tres modelos: Funcin. , En base a la actividad que cumple cada grupo de la empresa u organizacin. Por ejemplo en la ESPOCH, se puede crear las OU para Profesores, Estudiantes, Empleados. Organizacin. En base a la estructura jerrquica de la empresa u organizacin. Por ejemplo Consejo Politcnico, Facultades, Departamentos. Ubicacin. Por el lugar en donde se encuentra la actividad. Por ejemplo en la ESPOCH, se puede crear Riobamba, Macas, Tena.

Figura 1. Modelos de creacin de DA.

Tambin se puede combinar los modelos generando lo que se denomina modelos hbridos. Como se muestra en la figura

Figura 2. Modelos hbridos de OU

Auque en teoria no hay limites para crear OU, no es recomendable exagerarse en la cantidad de niveles de creacion para no entorpeser la administracion.

Utilice el siguiente diagrama de flujo como un rbol de decisiones paradeterminar la estructura de unidad organizativa apropiada para una organizacin.

Figura 3. Diagrama de flujo para crear OU

5.2.2. Funciones de la OU.

Organizarse Las unidades organizativas son contenedores de cada dominio de Directorio Activo que representan las estructuras jerrquicas de una organizacin y ayudan a mantener orgnizados cada uno de los objetos de la red, Para crear una estructura de unidad organizativa que represente de la mejor forma la estructura de la organizacin, debe entender los factores de la organizacin que afectan a la creacin de unidades organizativas. Delegar el control

La razn principal para crear unidades organizativas es la distribucin de tareas administrativas en la organizacin, delegando el control administrativo a otros administradores. Esta delegacin resulta especialmente importante cuando se desarrolla un modelo administrativo descentralizado.

Figura 4. Delegacin de funciones en OU

La capacidad de establecer el acceso a unidades organizativas individuales es una caracterstica de seguridad importante en Directorio Activo; se puede controlar el acceso al nivel ms bajo de una organizacin sin necesidad de crear muchos dominios de Directorio Activo. La autoridad que se delega en el nivel de sitio permite expandir dominios. La autoridad delegada en el nivel de dominio afectar a todos los objetos del dominio. La autoridad delegada en el nivel de la unidad organizativa puede afectar al objeto y a todos sus objetos secundarios, o slo al propio objeto. Se delega control administrativo para proporcionar autonoma administrativa de servicios y datos a organizaciones o para aislar servicios o datos en una organizacin. Puede eliminar la necesidad de varias cuentas administrativas que tienen una autoridad amplia, como las de un dominio completo y seguir

utilizando el grupo Admins. del dominio predeterminado para administrar el dominio completo. Windows Server 2008 contiene permisos y derechos de usuario especficos que se pueden utilizar para delegar control administrativo. Mediante una combinacin de unidades organizativas, grupos y permisos puede designar derechos administrativos a un usuario particular, de modo que el usuario tenga un nivel adecuado de administracin sobre un dominio completo, sobre todas las unidades organizativas de un dominio o sobre una nica unidad organizativa. Para delegar el control se sigue los siguientes pasos:

1. Clic sobre

derecho la OU,

seleccionamos Delegar control

2. Clic Siguiente asistente.

en al

3. Seleccionamos Agregar para

incluir usuarios.

4. Seleccionamos las tareas que se delegar. quieran

5. Click Finalizar

en

Implementar Polticas de grupo. Permiten que cada OU, tengan las politicas que la organizacin establezca, tanto para mejorar la seguridad como para tener eficiencia en los trabajadores. Ejemplos: OU Estudiantes no podran acceder al panel de control. OU Bodega no tendran acceso a los juegos. OU Cajeros no pueden usar Messenger.

Para gestionar las politicas de grupo, se selecciona Administracion de directivas de grupo de las herramientas administrativas.o con el comando gpedit.msc. para las politicas de grupo locales.

Figura 5. Directivas de grupo

Las politicas de grupo afectan a sitios, dominios y unidades organizativas, se selecciona uno de estos objetos y se pulsa clic derecho. Y luego la opcion Crear un GPO en este dominio y vincularlo aqu. Para luego dar un nombre de GPO (objeto de politica de grupo) y configurar las politicas tanto para computadoras como para usuarios. Como se indica en las figuras siguientes.

Figura 6. Creacin de una GPO

Figura 7. Dar nombre a la GPO

Figura 8. Configurar una GPO

5.2.3. Creacin de OU.

Mediante interfaz grafica.. Se selecciona el icono herramientas de Usuarios y Equipos de Directorio Activo. de la barra de

Figura 9. Icono para crear OU

Y luego se escribe el nombre de la OU. Se recomienda que el nombre empiece con las letras en mayusculas OU.

Figura 10. Ventana para crear OU

Otra forma de crear es mediante la seleccin de las opciones con clic derecho en el lugar donde se desea crear, tal como se muestra en la figura.

Figura 11. Men para crear OU

Herramientas de lineas de comandos. Puede utilizar las herramientas de lnea de comandos del servicio de directorio Dsadd, Dsmod y Dsrm para crear y administrar unidades organizativas desde el smbolo del sistema. Tambin

puede utilizar estos comandos en archivos de secuencias de comandos y en archivos por lotes. Para crear dsadd ou NCUnidadOrganizativa NombreUsuario -p Contrasea -desc Descripcin -d Dominio u

Para modificar la descripcin de una unidad organizativa dsmod ou NCUnidadOrganizativa NombreUsuario -p Contrasea -desc Descripcin -d Dominio u

Las unidades organizativas de Directorio Activo que ya no se utilicen se deben eliminar. Para eliminar una unidad organizativa, ejecute el siguiente comando: dsrm NCUnidadOrganizativa -d Dominio -u NombreUsuario p Contrasea

5.3. Cuentas de Usuario y de Equipos

Una de las funciones como administrador de sistemas ser administrar las cuentas de usuario y de equipo. Estas cuentas son objetos de Directorio Activo y deber utilizarlas para permitir que los usuarios inicien la sesin en la red y obtengan acceso a los recursos. En este capitulo, los alumnos obtendrn los conocimientos tericos y prcticos necesarios para modificar cuentas de usuario y de equipo en equipos que utilicen Microsoft Windows Server 2008 en un entorno de red.

5.3.1. Cuentas de usuarios

Toda persona que necesite usar los recursos de la red deber tener una

cuenta de usuario, la misma que usara para autenticarse y obtener acceso a la red. Una cuenta de usuario es un objeto que contiene toda la informacin que define a un usuario de Windows Server 2008 y puede ser local o de dominio. Incluye el nombre de usuario y la contrasea, con los que el usuario inicia la sesin.

Figura 12. Tipos de cuentas de usuarios.

Una cuenta local solo se puede crear en servidores que no tienen instalado Directorio Activo o en equipos clientes. Una cuenta de usuario local se crea mediante el administrador de equipos, y se almacena en la SAM (Administrador de cuentas de seguridad). Cuando se autentifica se entrega la llave de acceso (Access Token) en la propia maquina.

Figura 13. Usuarios y administracin de equipos.

En cambio cuando es una cuenta de dominio la autentificacion se realiza en el directorio activo para lo cual por seguridad primero se debe cifrar. Las cuentas de usuario de Directorio Activo representan entidades fsicas, como personas.

A veces, las cuentas de usuario tambin se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario: Autentica la identidad de un usuario. Una cuenta de usuario permite que un usuario inicie sesin en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesin en la red debe tener una cuenta de usuario y una contrasea propias y nicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta. Autoriza o deniega el acceso a los recursos del dominio. Despus de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en funcin de los permisos explcitos que se le hayan asignado en el recurso. El contenedor de usuarios de Usuarios y equipos de Directorio Activo muestra tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automticamente al crear el dominio. Cada cuenta integrada tiene una combinacin diferente de derechos y permisos. La cuenta Administrador es la que tiene ms derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio en los que se ejecuta el sistema operativo Windows Server 2008.

Cuenta de usuario predeterminada Administrador

Descripcion La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio segn sea necesario. Esta cuenta slo se debe usar para las tareas que requieran

credenciales administrativas. Es recomendable que configure esta cuenta con una contrasea segura. La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Directorio Activo: Administradores, Administradores del dominio Administradores de organizacin Propietarios del creador de directivas de grupo Administradores de esquema.

La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultar el acceso a ella a usuarios malintencionados.

Invitado

Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) tambin puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contrasea. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesin en un dominio. La cuenta Invitado est deshabilitada de forma predeterminada y recomendamos que permanezca as.

Asistente de ayuda

Es la cuenta principal para establecer una sesin de Asistencia remota. Esta cuenta se crea automticamente al solicitar una sesin de Asistencia remota. Tiene acceso limitado al equipo. La cuenta Asistente de ayuda se administra mediante el servicio Administrador

de sesin de Ayuda de escritorio remoto. La cuenta se elimina automticamente si no hay solicitudes de Asistencia remota pendientes

Una

recomendacin

de

seguridad

para

proteger

estas

cuentas

es

deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva tambin las dems propiedades, como la descripcin, la contrasea, la pertenencia a grupos, el perfil de usuario, la informacin de cuenta y todos los permisos y derechos de usuario asignados. Para obtener las ventajas de seguridad de la autenticacin y autorizacin de usuarios, utilice Usuarios y equipos de Directorio Activo para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Despus, podr agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesin en ella y que stos tienen acceso slo a los recursos permitidos. Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseas seguras e implementar una directiva de bloqueo de cuenta. Las contraseas seguras reducen el riesgo de que se adivinen las contraseas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin. Una directiva de bloqueo de cuenta determina cuntos intentos de inicio de sesin con error puede realizar una cuenta de usuario antes de que sea deshabilitada.

5.3.2. Creacin de cuentas de usuario.

1. Ingresamos a Usuarios y equipos

de DA en herramienta s administrati vas

2. Nos ubicamos en la OU

donde deseamos crear usuario pulsamos clic derecho selecciona mos Nuevo y luego el y

Usuario.

3. Escribimos los datos

del usuario, como nombre, apellido, y

nombre de la cuenta. Pulsamos Siguiente.

4. Escribimos la clave,

que cumpla los requisitos de clave

compleja. Y selecciona mos las

condiciones como debe actuar clave. luego Siguiente la Y

5. Se presenta un resumen de la creacin de cuenta pulsamos Finalizar. la y

5.3.3. Propiedades de cuenta de usuario.

Al seleccionar la hoja General podemos

ingresar informacin del usuario como: Nombre, Apellido, Oficina, Descripcin, nmeros de

telfonos, pagina web, etc.

En la hoja Cuenta se puede establecer: Horas de inicio de sesin Equipos en donde se puede ingresar. Desbloquear cuenta Opciones contraseas. Caducidad cuenta. de la de una

En horas de inicio de sesion se debe ingresar las horas permitidas en azul y denegadas las blancas

En se puede indicar los equipos cuales ingresar, modifica desde se si se los

pueden no se

puede

ingresar desde todos los equipos.

Se puede administrar la contrasea para que el usuario cambie en el prximo sesin, o inicio de

configurar

para que la contrasea no caduque, o tambin deshabilitar la cuenta.

En

la

caducidad

de

cuenta se establece la fecha en la cual

caducara la cuenta.

En la hoja perfil se puede ingresar: La carpeta en la que el usuario tiene el perfil Un programa que se ejecute al iniciar. La ruta de una carpeta local.

En la hoja miembros de se puede establecer los grupos a los que el usuario pertenecer para puede que

obtenga los permisos del grupo.

5.3.4. Cuentas de Equipo.

Una cuenta de equipo identifica a un equipo dentro del dominio, y provee un mecanismo de autentificacin y auditoria de los accesos a los recursos de la computadora en la red. Se requieren que los sistemas operativos tengan esta posibilidad de hacerse miembro a un domino, en este caso todas las ediciones home y started quedan descartados. Se debe crear cuentas de computadoras para tener autentificacin y auditorias, adems para poder administrar los equipos de forma centralizada y poder instalar y controlar el software.

5.3.5. Cuentas de grupo 5.3.5.1. Definicin.

Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros del grupo. Los grupos de los Servicios de dominio de Directorio Activo (AD DS) son objetos de directorio que residen en un dominio y en objetos contenedores Unidad organizativa (OU). AD DS proporciona un conjunto de grupos predeterminados cuando se instala y tambin incluye una opcin para crearlos. Los grupos de AD DS se pueden usar para: Simplificar la administracin al asignar los permisos para un recurso compartido a un grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un grupo, se concede el mismo acceso al recurso a todos los miembros de dicho grupo. Delegar la administracin al asignar derechos de usuario a un grupo una sola vez mediante la directiva de grupo. Despus, a ese grupo le puede agregar miembros que desee que tengan los mismos derechos que el grupo. Crear listas de distribucin de correo electrnico.

Los grupos se caracterizan por su mbito y su tipo. El mbito de un grupo determina el alcance del grupo dentro de un dominio o bosque. El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo slo para las listas de distribucin de correo electrnico (para grupos de distribucin). Tambin existen grupos cuyas pertenencias a grupos no se pueden ver ni modificar. Estos grupos se conocen con el nombre de identidades especiales. Representan a distintos usuarios en distintas ocasiones, en funcin de las circunstancias. Por ejemplo, el grupo Todos es una identidad especial que

representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios.

5.3.5.2. Grupos predeterminados

Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos de seguridad que se crean automticamente cuando se crea un dominio de Directorio Activo. Estos grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y para delegar funciones administrativas especficas en todo el dominio. A muchos grupos predeterminados se les asigna automticamente un conjunto de derechos de usuario que autorizan a los miembros del grupo a realizar acciones especficas en un dominio, como iniciar sesin en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de seguridad para todos los controladores de dominio del dominio. Cuando se agrega un usuario a un grupo, ese usuario recibe: Todos los derechos de usuario asignados al grupo Todos los permisos asignados al grupo para los recursos compartidos

Los grupos predeterminados se encuentran en el contenedor Builtin y en el contenedor Users. Los grupos predeterminados del contenedor Builtin tienen el mbito de grupo Integrado local. Su mbito de grupo y tipo de grupo no se pueden cambiar. El contenedor Users incluye grupos definidos con mbito Global y grupos definidos con mbito Local de dominio. Los grupos ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas del dominio, pero no se pueden mover a otros dominios.

Figura 14. Grupos predeterminados de contenedor Builtin

5.3.5.3. mbito de grupo

El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesin de permisos. El mbito de grupo determina: Los dominios desde los que puede agregar miembros al grupo. Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos.

El mbito de un grupo determina cules son los miembros del grupo. Las reglas de pertenencia controlan los miembros que pueden contener un grupo y los grupos de los que puede ser miembro. Los miembros de un grupo estn formados por cuentas de usuario, cuentas de equipo y otros grupos. Para asignar los miembros correctos a los grupos y para anidar un grupo, es importante conocer las caractersticas del mbito de grupo. Existen los siguientes mbitos de grupo: Global Local de dominio

Universal

Figura 15. Tipos y mbitos de grupos

5.3.5.3.1.

Grupos locales de dominio

Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y Windows Server 2008. A los miembros de estos grupos slo se les pueden asignar permisos dentro de un dominio. Los grupos con mbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio nico. Estos grupos pueden tener los siguientes miembros: Grupos con mbito Global Grupos con mbito Universal Cuentas Otros grupos con mbito Local de dominio Una combinacin de los anteriores

Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar las cinco cuentas de usuario a la lista de permisos de la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios

tengan acceso a otra impresora, deber volver a especificar las cinco cuentas en la lista de permisos para la nueva impresora.

5.3.5.3.2.

Grupos globales

Los miembros de los grupos globales pueden incluir slo otros grupos y cuentas del dominio en el! que se encuentra definido el grupo. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.

Figura 16. Grupos locales de dominio

Use los grupos con mbito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con mbito Global no se replican fuera de su propio dominio, las cuentas de un grupo con mbito Global se pueden cambiar frecuentemente sin generar trfico de replicacin en el catlogo global. Aunque las asignaciones de derechos y permisos slo son vlidas en el dominio en el que se asignan, al aplicar grupos con mbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a cuentas con fines similares. De esta manera se simplifica y se racionaliza la administracin de grupos entre dominios.

Figura 17. Grupos Globales

5.3.5.3.3.

Grupos universales

Los miembros de los grupos universales pueden incluir otros grupos y cuentas de cualquier dominio del bosque o del rbol de dominios. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del rbol de dominios.

Use los grupos con mbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas a los grupos con mbito Global y anide estos grupos dentro de los grupos que tienen mbito Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen mbito Global no afectan a los grupos con mbito Universal. Por ejemplo, si una red tiene dos dominios, ESPOCH y AMICROSOFT, y hay un grupo con mbito Global denominado GPROFESORES en cada dominio, cree un grupo con mbito Universal denominado UPROFESORES que tenga como miembros los dos grupos ESPOCH\GPROFESORES y

UNACH\GPROFESORES. Despus podr usar el grupo UPROFESORES en cualquier lugar de la organizacin. Los cambios de pertenencia de los grupos

GPROFESORES UPROFESORES.

individuales

no

producir

la

replicacin

del

grupo

Figura 18. Grupos Universales

5.3.5.4. Tipos de Grupos.

Hay dos tipos de grupos en AD DS: Grupos de distribucin y Grupos de seguridad.

Los grupos de distribucin se usan para crear listas de distribucin de correo electrnico y los grupos de seguridad se usan para asignar permisos para los recursos compartidos.

Los grupos de distribucin slo se pueden usar con aplicaciones de correo electrnico (como Microsoft Exchange Server 2007) para enviar mensajes a conjuntos de usuarios. Los grupos de distribucin no tienen seguridad habilitada lo que significa que no pueden aparecer en las listas de control de acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad.

Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red. Con los grupos de seguridad se puede: Asignar derechos de usuario a los grupos de seguridad de AD DS

Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacerlos miembros de ese grupo en el mbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario automticamente cuando se instala AD DS para ayudar a los administradores a definir la funcin administrativa de una persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad de Directorio Activo, este puede realizar operaciones de copia de seguridad y restauracin de archivos y directorios en cada controlador de dominio del dominio. Asignar permisos para recursos a los grupos de seguridad

Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quin puede obtener acceso a un recurso compartido y el nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en objetos de dominio se asignan

automticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio. Como sucede con los grupos de distribucin, los grupos de seguridad tambin se pueden usar como entidades de correo electrnico. Al enviar un mensaje de correo electrnico al grupo, se enva a todos sus miembros.

5.3.5.5. Entidades especiales

Adems de los grupos de los contenedores Users y Builtin. Los servidores en los que se ejecuta Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen pertenencias especficas que se puedan modificar.

Sin embargo pueden representar a distintos usuarios en distintas ocasiones, en funcin de las circunstancias. Los grupos siguientes son identidades especiales:

Entidad Especial

Descripcin

Inicio de sesin Este grupo representa a los usuarios y servicios que annimo obtienen acceso a un equipo y sus recursos a travs de la red sin usar un nombre de cuenta, contrasea o nombre de dominio. En los equipos con Windows NT y versiones anteriores, el grupo Inicio de sesin annimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 o Windows Server 2003. El grupo Inicio de sesin annimo no es miembro del grupo Todos de manera predeterminada.

Todos

Este grupo representa a todos los usuarios actuales de la red incluidos invitados y usuarios de otros dominios. Cuando un usuario inicia sesin en la red, se agrega automticamente al grupo Todos.

Red

Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a travs de la red, frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesin local en el equipo en el que reside el recurso

Interactivo

Este grupo representa a todos los usuarios que disponen de una sesin iniciada en un equipo determinado y que estn obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a travs de la red. Cuando un usuario obtiene

acceso a un recurso dado en el equipo en el que ha iniciado sesin, se agrega automticamente al grupo Interactivo.

Tabla 3. Entidades especiales

Aunque a las identidades especiales se les puede conceder derechos y permisos para los recursos, sus pertenencias no se pueden ver ni modificar. Las identidades especiales no tienen mbitos de grupo. Los usuarios son asignados automticamente a ellas cuando inician sesin u obtienen acceso a un recurso concreto.

5.3.5.6. Ubicacin de los grupos

Figura 19. Ubicacin de grupos.

En Directorio Activo, los grupos se crean en dominios. Si tiene los permisos necesarios y asocia correctamente los usuarios y equipos con los grupos, puede crear grupos en otro dominio del bosque o en una unidad organizativa. Seleccione un determinado dominio, o unidad organizativa, en el que crear un grupo en funcin de los requisitos de administracin del grupo.

Por ejemplo, suponga que el directorio tiene varias unidades organizativas, cada una de ellas con un administrador diferente. Es posible que desee crear grupos globales en esas unidades organizativas para que los administradores puedan administrar la pertenencia al grupo de los usuarios incluidos en sus respectivas unidades organizativas. Si es necesario que los grupos controlen el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad organizativa en grupos universales (o en otros grupos con mbito global) que puedan utilizarse en cualquier otra ubicacin del bosque. Puede resultar ms eficaz anidar grupos globales si el nivel funcional de domino se establece en Windows 2000 nativo o superior, los dominios contienen una jerarqua de unidades organizativas y la administracin se delega a los administradores de cada unidad organizativa.

5.3.5.7. Consejos para nombrar a grupos

Figura 20. Consejos para nombrar grupos

Las siguientes convenciones de nomenclatura pueden ayudar a administrar grupos. Las organizaciones establecen sus propias convenciones de nomenclatura para los grupos de distribucin y de seguridad. Un nombre de

grupo debera identificar su mbito, tipo, la finalidad de su creacin y los permisos que puede tener. Tenga en cuenta los siguientes puntos al definir una convencin de nomenclatura para los grupos de seguridad: Aunque el tipo y mbito de grupo se muestra como tipo de grupo en Usuarios y equipos de Directorio Activo, las organizaciones suelen incorporar el mbito en la convencin de nomenclatura del nombre de grupo: o G para grupos globales. G_PROFESORES o U para grupos universales U_PROFESORES o DL para grupos locales de dominio DL_PROFESORES. Debe identificar de forma clara al propietario del grupo e incluir el nombre del departamento o equipo al que pertenece. Ejemplo G_PROFESORES_FIE El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a peticin del cliente. Por ejemplo:

G_ESPOCH_PROFESORES_FIE Por ltimo, se pude incluir en el nombre la finalidad empresarial del grupo y los permisos mximos que debera tener el grupo en la red. Esta convencin de nomenclatura se suele aplicar a los grupos locales o grupos locales de dominio. Por ejemplo

DL_ESPOCH_CONTABILIDAD_CONTROLTOTAL. Para grupos de seguridad debe utilizar la convencin de nomenclatura que tenga en cuenta los siguientes puntos: Nombres de correo electrnico. Utilice un alias corto. Para respetar las normas actuales de datos descendentes, la longitud mnima de este campo es de tres caracteres y la longitud mxima, de ocho. Palabras ofensivas. No cree grupos de distribucin con palabras que puedan considerarse ofensivas. Si no est seguro, no utilice la palabra.

Caracteres permitidos. Puede utilizar cualquier carcter ASCII. Los nicos caracteres especiales permitidos son el guin (-) y el carcter de subrayado (_).

En Nombres para mostrar no incluya alias o como parte del nombre. Palabras ofensivas. No cree grupos de distribucin con palabras que puedan considerarse ofensivas. La longitud mxima de nombre para mostrar es de 40 caracteres. Se aceptan abreviaturas, siempre que su significado no sea confuso. No ponga en maysculas toda la descripcin, pero s la primera letra del nombre para mostrar. Utilice ortografa y puntuacin correctas. No utilice la palabra Un/a, nmeros, caracteres especiales (sobre todo, comillas) o un espacio en blanco al inicio de la descripcin. Esto hace que aparezca en la parte superior de la libreta de direcciones.

Caracteres especiales. Las barras diagonales (/) se aceptan en los nombres para mostrar, pero no al inicio de los nombres de servidor. No utilice ms de un apstrofe () y ninguno de los siguientes caracteres especiales: " * @ # $ % | [ ] ; < > =

5.3.5.8. Creacin y eliminacin de grupos.

Para realizar este procedimiento, debe ser miembro del grupo Usuarios avanzados o Administradores en el equipo local o que hayan delegado en usted la autoridad adecuada. Si el equipo est unido a un dominio, podrn realizar este procedimiento los miembros del grupo Administradores del dominio. Para crear los grupos se debe seleccionar el icono de la barra de

herramientas de Directorio Activo o tambin nos ubicamos en el dominio o OU en donde se desea crear el grupo y con clic derecho seleccionamos Nuevo y luego Grupo. O tambin en el men accin.

Figura 21. Creacin de grupos

En el cuadro escribimos el nombre del grupo, siguiendo la nomenclatura explicada anteriormente, seleccionamos el mbito y tipo de Grupo y luego Aceptar.

Figura 22. Ingreso de nombre, mbito y tipo de grupo

Para crear un grupo en un dominio de Directorio Activo mediante dsadd: Abra un smbolo del sistema. Escriba dsadd group GrupoDN -samid NombreSAM -secgrp yes |no scope l| g | u Valor Descripcin

GrupoDN Especifica el nombre completo del objeto de grupo que desea agregar. NombreSAM Especifica el nombre de Administrador de cuentas de seguridad (SAM, Security Accounts Manager) que se utilizar como nombre de cuenta SAM nico para este grupo (por ejemplo, operadores).

yes | no Especifica si el grupo que desea agregar es un grupo de seguridad (yes) o un grupo de distribucin (no). Especifica si el mbito del grupo que desea agregar es local de dominio (l), global (g) o universal (u).

Para eliminar un grupo haga clic con el botn secundario del mouse en el grupo y, a continuacin, haga clic en Eliminar. Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuenta, Administradores del dominio o Administradores de organizacin en Directorio Activo o que hayan delegado en usted la autoridad adecuada. Para eliminar un grupo mediante dsrm. Abra un smbolo del sistema escriba dsrm GrupoDN. GrupoDN Especifica el nombre completo del objeto de grupo que se va a eliminar.

5.3.5.9. Administrar la perteneca de grupos.

Debido a que un gran nmero de usuarios necesitan a menudo acceso a diferentes recursos de toda la organizacin, es posible que los administradores tengan que agregar miembros a grupos que residen en Directorio Activo. La Figura describe las propiedades Miembros y Miembro de. Tom, Jo, y Kim son miembros del grupo global Administradores de Denver. El grupo global Administradores de Denver es un miembro del grupo local de dominio Administradores de UO de Denver. Sam, Scott, y Amy son miembros del grupo global Administradores de Vancouver. El grupo global Administradores de Vancouver es un miembro del grupo local de dominio Administradores de UO de Denver.

Mediante las propiedades Miembros y Miembro de, puede determinar los grupos a los que pertenece el usuario y los grupos a los que pertenece el grupo.

Figura 23. Opciones Miembros y Miembros de Grupos

Para agregar miembros a un grupo debemos seguir los siguientes pasos: 1. Para agregar Miembros al grupo, damos doble clic en el grupo, seleccionamos la pagina Miembros, Y luego Agregar

2. Con lo cual nos pide que seleccionemos los usuarios o grupos que sern Miembros. Seleccionamos el tipo de objeto y ubicacin para una bsqueda rpida y luego Avanzadas

3. En el siguiente cuadro seleccionamos Buscar ahora y se desplegara la lista de usuarios y/o grupos. Seleccionamos, si son ms de uno podemos seleccionar teniendo presionada la tecla control, y luego Aceptar

4. La figura muestra los dos usuarios seleccionados como miembros del grupo global estudiantes de proyecto

Procedimiento similar se debe seguir para agregar Miembros de

5.3.5.10. Estrategias de grupos.

Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para aplicar diferentes mbitos de grupo.

Figura 24. Estrategias de grupos

Las estrategias ms utilizadas son:

AGP A DL P A G DL P A G U DL P AGLP

En donde A es de cuenta de usuario (Account), G de Grupo Global, DL de grupo local de dominio, U de Universal y de Permisos. La estrategia AGDLP es la ms usada en redes de un solo dominio, significa que las cuentas usuario debemos agregarlas a un grupo global, el grupo global le hacemos miembro de un grupo local de dominio y a este le damos los permisos.

Figura 25. Estrategia AGDLP

A continuacin explicaremos paso a paso el procedimiento que debe seguir para cumplir con este objetivo.

1. Identificamos usuarios que tengan una funcin similar. Por ejemplo. Profesores Empleados Cajeros Ventas Y creamos un grupo global.

2. Se agrega a todos los vendedores al grupo global ventas

3. Se debe determinar si se puede usar un grupo local de dominio predeterminado o se debe crear uno nuevo.

4. Se debe identificar los grupos que van a necesitar el mismo recurso y se les hace miembros del grupo local de dominio.

5. Por ejemplo si se quiere que los de ventas tengan acceso a una impresora a color, es necesario crear un grupo local de dominio. Se hace miembro al grupo global del grupo local de dominio y finalmente se concede los permisos sobre la impresora al grupo local de dominio.

En A G U DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos universales (U) y estos grupos universales en grupos locales de dominio (DL), y, a continuacin, se conceden permisos (P) a los grupos locales de dominio. Utilice A G U DL P para un bosque con ms de un dominio, en el que los administradores necesiten una administracin centralizada para varios grupos globales.

5.3.5.11. Administracin de un grupo

Se puede asignar un administrador a un grupo como propiedad del grupo. Esto permite controlar quin es la persona responsable de los grupos, delegar en el administrador del grupo la autoridad para agregar y eliminar usuarios del grupo. Debido a que, en las grandes organizaciones, se suelen agregar y eliminar personas de los grupos con bastante frecuencia, algunas organizaciones distribuyen la responsabilidad administrativa de agregar usuarios a grupos entre las personas que solicitan el grupo.

Figura 26. Administracin de un grupo

Para

asignar

un de

administrador

grupo pulsamos dos clic en el grupo y seleccionamos hoja la

Administrador

por. Luego Cambiar y seleccionamos el usuario Administrador.