Está en la página 1de 48

Contenido Introduccin Leccin: Creacin y administracin de unidades organizativas Leccin: Delegacin del control administrativo para unidades organizativas

Leccin: Planeamiento de la estrategia de una unidad organizativa Prctica A: Implementacin de la estructura de una unidad organizativa

Mdulo 3: Implementacin de la estructura de una unidad organizativa


1 2

14 25 36

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint, Visio, Visual Basis, Visual C++ y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas comerciales de sus respectivos propietarios.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

iii

Notas para el instructor


Presentacin: 90 minutos Prctica: 45 minutos Objetivos Este mdulo explica cmo crear y administrar unidades organizativas, cmo delegar tareas administrativas comunes y cmo planear la implementacin de una estructura de unidad organizativa.

Despus de completar este mdulo, los alumnos podrn:


! ! !

Crear y administrar unidades organizativas. Delegar el control de una unidad organizativa. Planear la estrategia de una unidad organizativa.

Material necesario

Para impartir este mdulo necesitar el archivo de Microsoft PowerPoint 2196A_03.ppt. Importante Se recomienda utilizar PowerPoint 2002 o una versin posterior para mostrar las diapositivas de este curso. Si usa Microsoft PowerPoint Viewer o una versin anterior de PowerPoint, puede que no se muestren correctamente todas las caractersticas de las diapositivas.

Tareas de preparacin

Para preparar este mdulo, debe:


!

Leer todo el material del mismo. A lo largo del mdulo, prever las preguntas que puedan formular los alumnos y preparar las respuestas para cada una de ellas. Realizar la prctica. Estudiar los ejercicios, las preguntas de evaluacin y las respuestas sugeridas que se proporcionan. Prever, cuando sea posible, respuestas alternativas que puedan sugerir los alumnos y preparar las rplicas adecuadas para dichas respuestas. Leer los temas de Centro de ayuda y soporte tcnico de Microsoft Windows Server 2003: acerca de las herramientas de lnea de comandos del servicio de directorio, incluidas Dsadd, Dsmod, Dsrm y Ldifde.

! !

iv

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Recomendaciones para impartir este mdulo


En esta seccin se incluye informacin para ayudarle a impartir este mdulo. Importante Este mdulo contiene evaluaciones de cada leccin que se encuentran en el disco compacto Material del alumno. Puede utilizarlas como valoraciones previas para ayudar a los alumnos a identificar reas de dificultad, o bien como valoraciones posteriores para validar el aprendizaje. Considere la posibilidad de utilizarlas para reforzar la leccin al final del da. Tambin puede usarlas al principio del da como revisin del contenido impartido el da anterior. D 10 minutos a los alumnos para preparar las respuestas a las preguntas de evaluacin. Puede optar por debatir las preguntas y respuestas todos juntos o pedir a los alumnos que preparen las respuestas ellos solos. Nota En algunos temas se hace referencia a informacin adicional que encontrar en los apndices. Los alumnos no necesitan esta informacin complementaria para realizar las tareas de este mdulo. Antes de impartir la clase, revise esta informacin en la pgina de los apndices del disco compacto Material del alumno. Durante la clase, sugiera a los alumnos que consulten la pgina de los apndices para obtener informacin adicional. Pginas de instrucciones, ejercicios y prcticas Explique a los alumnos el diseo para este curso de las pginas de instrucciones, los ejercicios y las prcticas. Un mdulo incluye dos lecciones o ms. La mayor parte de las lecciones contienen pginas de instrucciones y un ejercicio. Una vez que los alumnos completen las lecciones, el mdulo finaliza con una prctica.

Pginas de instrucciones
Las pginas de instrucciones estn diseadas para que el instructor demuestre cmo llevar a cabo una tarea. Los alumnos no tienen que realizar con el instructor las tareas de la pgina de instrucciones. Seguirn los pasos que se indiquen para efectuar el ejercicio al final de cada leccin.

Ejercicios
Despus de introducir un tema y de realizar las demostraciones de los procedimientos de la leccin, explique que los ejercicios proporcionan a los alumnos la oportunidad de llevar a cabo las tareas tratadas en la leccin.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Prcticas
Al final de cada mdulo, los alumnos utilizan la prctica para realizar las tareas que se explican en el mdulo. Cada prctica presenta una situacin de ejemplo que tiene que ver con la funcin de trabajo y un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones especficas para realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory, haga doble clic en el nodo de dominio). En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada prctica, por si los alumnos necesitan instrucciones paso a paso para completarla. Tambin pueden remitirse a los ejercicios y a las pginas de instrucciones del mdulo.

vi

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Leccin: Creacin y administracin de unidades organizativas


En esta leccin se tratan los conocimientos y capacidades necesarios para crear y administrar unidades organizativas. En el tema Mtodos para crear y administrar unidades organizativas se describen varias herramientas de lnea de comandos que se introdujeron en el mdulo 1. Al presentar el tema, compare las herramientas. Despus de explicar cmo se utilizan las herramientas Dsadd, Dsmod y Dsrm, remita a los alumnos a los apndices para buscar ejemplos adicionales de cmo utilizar las herramientas del servicio de directorio para administrar unidades organizativas. Al introducir el tema Cmo crear y administrar unidades organizativas con la herramienta Ldifde, explique cmo crear un archivo de entrada y, a continuacin, utilice ese archivo para crear una unidad organizativa. Ejercicio Al final de la leccin, pida a los alumnos que creen unidades organizativas en el dominio que aloja su equipo de alumno.

Leccin: Delegacin del control administrativo para unidades organizativas


En esta leccin se tratan los conocimientos y capacidades necesarios para delegar tareas administrativas en Active Directory. Los temas Qu es la delegacin de privilegios administrativos y Tareas administrativas para unidades organizativas proporcionan informacin adicional. Utilice estos temas para la revisin. Al introducir los temas Cmo delegar el control administrativo, Cmo personalizar el control administrativo delegado y Cmo comprobar la delegacin del control administrativo, explique cmo llevar a cabo estas tareas. Remita a los alumnos a los apndices para obtener informacin adicional sobre el uso de cuotas. Ejercicio Al final de la leccin, pida a los alumnos que deleguen el control de tareas administrativas comunes para varias unidades organizativas.

Leccin: Planeamiento de la estrategia de una unidad organizativa


En esta leccin se tratan las capacidades y conocimientos necesarios para planear una estrategia de unidad organizativa basada en las necesidades de una organizacin. Al introducir el tema Proceso de planeamiento de unidades organizativas, no ofrezca detalles sobre cmo documentar la estructura de una organizacin. Es una tarea compleja y basta con que los alumnos sean conscientes de que dicha tarea debe realizarse. Ejercicio Al final de la leccin pida a los alumnos que planeen una estructura de unidad organizativa para Northwind Traders. Los alumnos trabajarn en parejas. Asigne un nmero a cada pareja. Los alumnos aplicarn dicha estructura de unidad organizativa en la prctica.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

vii

Prctica A: Implementacin de la estructura de una unidad organizativa


Antes de empezar la prctica, asegrese de que los alumnos hayan terminado el ejercicio Planeamiento de una estructura de unidad organizativa. Los alumnos aplicarn dicha estructura en la prctica. Los alumnos que no hayan terminado el ejercicio de planeamiento pueden tener dificultades para realizar la prctica correctamente. Al final de la prctica, haga hincapi en la importancia de documentar cmo realizar una administracin de Active Directory antes de planear una estructura de unidad organizativa. Seale que, aunque sea fcil planear una estructura de unidad organizativa nicamente en funcin de consideraciones geogrficas o en la estructura de la empresa, hace falta ms tiempo y esfuerzo para planear una estructura organizativa que simplifique la administracin de Active Directory.

Configuracin de la prctica
En la lista que aparece a continuacin se indican los requisitos de configuracin para la prctica en este mdulo. Requisito de configuracin 1 Para las prcticas de este mdulo hay que configurar el equipo de cada alumno como un controlador de dominio en su propio bosque. Para preparar los equipos de los alumnos para que renan estos requisitos, complete las prcticas del mdulo 2, Implementacin de una estructura de dominios y bosques de Active Directory, del curso 2196A, Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003. Adems, esta prctica requiere la siguiente estructura de unidad organizativa:
!

NombreDeEquipo IT Sales HR Nota En el equipo de cada alumno, cambie NombreDeEquipo por el nombre del equipo del alumno en que se han creado las unidades organizativas.

Para preparar los equipos de los alumnos con el fin de que renan estos requisitos, asegrese de que completen el ejercicio Creacin de unidades organizativas de este mdulo.

viii

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Resultados de la prctica
Al realizar la prctica en este mdulo, se introducen los siguientes cambios en la configuracin:
!

Se crean las siguientes unidades organizativas en cada dominio de alumno: NombreDeEquipo Accounting Research Se crean estos grupos en la unidad organizativa IT: DL AccountingAdmins DL ResearchAdmins A cada grupo de los indicados se delega el control de la unidad de organizacin asociada al grupo.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Introduccin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En este mdulo se explica cmo crear y administrar unidades organizativas, cmo delegar tareas administrativas comunes y cmo planear la implementacin de una estructura de unidad organizativa. Despus de finalizar este mdulo, podr:
! ! !

Objetivos

Crear y administrar unidades organizativas. Delegar el control de una unidad organizativa. Planear la estrategia de una unidad organizativa.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Leccin: Creacin y administracin de unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se introduce el complemento Microsoft Management Console (MMC) y las herramientas de lnea de comandos para crear y administrar unidades organizativas, y se proporcionan los conocimientos necesarios para crear, modificar y eliminar unidades organizativas. Despus de finalizar esta leccin, podr:
! ! !

Objetivos de la leccin

Describir el ciclo de vida de unidades organizativas. Describir los mtodos para crear unidades organizativas. Administrar unidades organizativas utilizando las herramientas de lnea de comandos de servicios de directorio. Administrar unidades organizativas utilizando la herramienta Ldifde de lnea de comandos. Crear unidades organizativas utilizando Microsoft Windows Script Host.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Introduccin a la administracin de unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Las unidades organizativas son contenedores del servicio de directorio de Active Directory que se utilizan para colocar usuarios, grupos, equipos y otras unidades organizativas. Con las unidades organizativas podr crear contenedores en un dominio que represente las estructuras jerrquicas y lgicas de su organizacin. As, podr administrar la configuracin y el uso de cuentas y recursos en funcin de su modelo organizativo. Por ejemplo, puede utilizar las unidades organizativas para aplicar de forma automtica directivas de grupo que definan opciones predeterminadas para cuentas de usuarios y equipos en Active Directory. El ciclo de vida de las unidades organizativas tiene cuatro fases:
!

Ciclo de vida de las unidades organizativas

Planeamiento. En esta fase se planea la estructura de la unidad organizativa. Se decide qu unidades organizativas se van a crear y cmo se va a delegar el control administrativo de stas. Implementacin. En esta fase se crea la estructura de la unidad organizativa tomando como base el plan de la unidad organizativa. Mantenimiento. Una vez que se haya creado la estructura de la unidad organizativa en Active Directory, podr cambiar el nombre de las unidades organizativas, desplazarlas o modificarlas segn sea necesario para satisfacer los requisitos continuos de la organizacin. Eliminacin. Todos los objetos de Active Directory, incluidas las unidades organizativas, ocupan espacio en el controlador de dominio que aloja Active Directory. Cuando ya no necesite unidades organizativas, deber eliminarlas.

Nota Para obtener ms informacin acerca de las unidades organizativas, consulte el mdulo 7, Administrar el acceso a los objetos de las unidades organizativas, en el curso 2146A, Administracin de un entorno Microsoft Windows Server 2003.
s

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Mtodos para crear y administrar unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Windows Server 2003 proporciona varios complementos y herramientas de lnea de comandos que se pueden utilizar para crear unidades organizativas y para administrar la configuracin y el uso de cuentas y recursos en el modelo organizativo. Tambin puede utilizar Windows Script Host, un host de secuencias de comandos para plataformas de Microsoft Windows, para administrar unidades organizativas. En la siguiente lista se incluyen algunos de los complementos y herramientas de lnea de comandos que se pueden utilizar para crear y administrar unidades organizativas:
!

Mtodos para crear y administrar unidades organizativas

Usuarios y equipos de Active Directory. Complemento de MMC para crear, modificar y eliminar unidades organizativas. Utilice este complemento cuando tenga slo unas pocas unidades organizativas que administrar o cuando desee administrar unidades organizativas de forma interactiva. Herramientas del servicio de directorio. Conjunto de herramientas de lnea de comandos que puede utilizar para administrar objetos y para realizar consultas en Active Directory. Algunas de las herramientas de lnea de comandos son Dsadd, Dsmod y Dsrm. Al utilizar estas herramientas con el parmetro ou puede agregar, modificar y eliminar unidades organizativas de Active Directory. Tambin puede utilizar archivos de secuencias de comandos y archivos por lotes junto con estas herramientas para administrar los servicios de directorio.

Mdulo 3: Implementacin de la estructura de una unidad organizativa


!

Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange). Herramienta de lnea de comandos para crear unidades organizativas y otros objetos de Active Directory en una operacin por lotes. La herramienta Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange) utiliza un archivo de entrada que contiene informacin sobre los objetos que se desean agregar, modificar o eliminar. La informacin se almacena como una serie de registros separados por una lnea en blanco en un archivo de entrada. Microsoft Windows Script Host. Pueden crear unidades organizativas utilizando las aplicaciones de Windows o mediante secuencias de comandos de Windows con los componentes que proporciona Active Directory Service Interface (ADSI). Mediante las secuencias de comandos puede crear unidades organizativas como parte de la instalacin de la aplicacin cuando sea necesario.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Cmo crear y administrar unidades organizativas con las herramientas del servicio de directorio

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede utilizar las herramientas de lnea de comandos del servicio de directorio Dsadd, Dsmod y Dsrm para crear y administrar unidades organizativas desde el smbolo del sistema. Tambin puede utilizar estos comandos en archivos de secuencias de comandos y en archivos por lotes. Para crear una unidad organizativa, ejecute el siguiente comando Dsadd desde el smbolo del sistema:
dsadd ou NCUnidadOrganizativa -desc Descripcin -d Dominio -u NombreUsuario -p Contrasea

Procedimiento para crear una unidad organizativa

Donde:
!

NCUnidadOrganizativa indica el nombre completo de la unidad organizativa que desea agregar. Por ejemplo, para agregar una unidad organizativa denominada helpdesk al dominio nwtraders.msft, el nombre completo sera ou=helpdesk,dc=nwtraders,dc=msft. Descripcin indica la descripcin de la unidad organizativa que se desea agregar. Dominio indica el dominio al que conectar. Por defecto, el equipo se conecta al controlador de dominio en el dominio de inicio de sesin.

Mdulo 3: Implementacin de la estructura de una unidad organizativa


!

NombreUsuario indica el nombre de usuario que se debe utilizar para iniciar la sesin en un servidor remoto. Por defecto, se utiliza el nombre de usuario de inicio de sesin. Se puede indicar un nombre de usuario utilizando uno de los siguientes formatos: nombre de usuario (por ejemplo, Alicia) dominio\nombre de usuario (por ejemplo, widgets\Alicia) nombre principal de usuario (UPN, User Principal Name) (por ejemplo, Alicia@widgets.microsoft.com)

Contrasea es la contrasea que se debe utilizar para iniciar la sesin en un servidor remoto. Si introduce un *, se le pedir una contrasea.

Procedimiento para modificar una unidad organizativa

Para modificar la descripcin de una unidad organizativa, ejecute el siguiente comando:


dsmod ou NCUnidadOrganizativa -desc Descripcin -d Dominio -u NombreUsuario -p Contrasea

Los parmetros introducidos en el comando dsmod son los mismos que los del comando dsadd. La nueva descripcin se debe introducir como el parmetro desc. Procedimiento para eliminar una unidad organizativa Las unidades organizativas de Active Directory que ya no se utilicen se deben eliminar. Para eliminar una unidad organizativa, ejecute el siguiente comando:
dsrm NCUnidadOrganizativa -d Dominio -u NombreUsuario -p Contrasea

Los parmetros introducidos en el comando dsrm son los mismos que los del comando dsadd. Puede utilizar los parmetros adicionales siguientes con dsrm:
!

subtree. Indica que se debe eliminar el objeto y todos los objetos contenidos en el subrbol bajo dicho objeto. Exclude. Indica que no se debe eliminar el objeto base proporcionado por el NCUnidadOrganizativa al eliminar el subrbol que se encuentra bajo ste. Por defecto, slo se elimina el objeto base indicado. El parmetro Exclude solo se puede indicar con el parmetro subtree.

Nota Para obtener ms informacin acerca del uso de las herramientas de lnea de comandos Dsadd, Dsmod y Dsrm, consulte Centro de ayuda y soporte tcnico de Windows Server 2003. Para ver ms ejemplos del uso de estas herramientas de lnea de comandos del servicio de directorio, consulte Cmo administrar unidades organizativas con las herramientas de lnea de comandos del servicio de directorio en el mdulo 3 en la pgina de los apndices del disco compacto Material del alumno.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Cmo crear y administrar unidades organizativas con la herramienta Ldifde

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede utilizar la herramienta de lnea de comandos Ldifde para crear unidades organizativas en una operacin por lotes y para configurar jerarquas de las unidades organizativas. Tambin puede utilizar Ldifde para modificar y eliminar unidades organizativas. El primer paso para utilizar esta herramienta consiste en crear el archivo de entrada que se va a utilizar con Ldifde. Despus de crear este archivo, se debe ejecutar el comando Ldifde. Para crear unidades organizativas con la herramienta de lnea de comandos Ldifde, realice los siguientes pasos: 1. Cree un archivo de entrada. En el siguiente ejemplo se muestra el formato del archivo:
dn: OU=UOEjemplo,DC=nwtraders,DC=msft changetype: add objectClass: organizationalUnit

Procedimiento

Changetype indica el tipo de operacin que se lleva a cabo en el objeto de Active Directory. ObjectClass indica la clase del objeto de Active Directory. En el ejemplo anterior, Ldifde agrega un objeto de unidad organizativa denominado UOEjemplo al dominio nwtraders.msft. Puede agregar mltiples unidades organizativas agregando ms entradas como la anterior. Debe haber una lnea en blanco antes de cada entrada dn, excepto en la primera.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

2. Ejecutar Ldifde para crear, modificar o eliminar unidades organizativas introduciendo el siguiente comando:
C:\>ldifde -i k -f OUList.ldf -b NombreUsuario Dominio Password

Donde: -i indica el modo de importacin. Si no se especifica, el modo por defecto es de exportacin. -k ignora fallos durante una operacin de importacin y continua con el procesamiento. -f indica el nombre del archivo de importacin o exportacin. OUList.ldf es el archivo de entrada. -b indica el nombre de usuario, nombre de dominio y contrasea para la cuenta de usuario que se va a utilizar para realizar la operacin de importacin o exportacin. Nota Para obtener ms informacin acerca de Ldifde, consulte los temas de Centro de ayuda y soporte tcnico de Windows Server 2003.

10

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Cmo crear unidades organizativas con Windows Script Host

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin ADSI es una Interfaz de programacin de aplicaciones (API, Application Programming Interface) que se puede utilizar desde una secuencia de comandos de Windows Script Host para automatizar la administracin de Active Directory. ADSI utiliza el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) para comunicarse con Active Directory. Todas las operaciones de ADSI que realice en Active Directory siguen el mismo procedimiento. Primero, hay que conectarse a Active Directory. A continuacin, puede realizar tareas como recuperar informacin acerca de objetos y agregar, modificar o eliminar objetos. Si se realizan cambios en Active Directory, se deben guardar los cambios en la base de datos de Active Directory para hacerlos permanentes. Para crear una unidad organizativa con Windows Script Host, realice los siguientes pasos: 1. Utilice el Bloc de notas para crear un archivo de texto con extensin .vbs. Introduzca los siguientes comandos que se indican en los pasos a, b y c en el archivo y gurdelo. a. Primero, conctese al dominio en el que desee crear la unidad organizativa, como se indica en el siguiente ejemplo:
Set objDom = GetObject("LDAP://dc=nwtraders,dc=msft")

Procedimiento

Importante En el ejemplo anterior, LDAP debe tener todas las letras en mayscula o el comando no se ejecutar. En este ejemplo, nwtraders.msft es el dominio en que se crea la unidad organizativa.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

11

b. A continuacin, cree la unidad organizativa indicando OrganizationalUnit como el tipo de objeto de Active Directory que se va a crear y el nombre de la unidad organizativa como se indica en el siguiente ejemplo:
Set objOU = objDom.Create("OrganizationalUnit", "ou=UONueva")

En este ejemplo, UONueva es el nombre de la unidad organizativa que est creando. c. Por ultimo, guarde la informacin en la base de datos de Active Directory, como se muestra en el siguiente ejemplo:
objOU.SetInfo

2. Para ejecutar los comandos del archivo .vbs, escriba lo siguiente en el smbolo del sistema:
wscript script_file_name.vbs

Nota Para obtener ms informacin acerca de la creacin de secuencias de comandos administrativas con Windows Script Host, consulte el centro Technet Script Center en: http://www.microsoft.com/technet/ treeview/default.asp?url=/technet/scriptcenter/default.asp Consulte tambin el curso 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows Script Host Essentials (en ingls).

12

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Ejercicio: Creacin de unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivo Situacin de ejemplo En este ejercicio deber crear unidades organizativas en el dominio alojado en su equipo de alumno utilizando la herramienta de lnea de comandos Ldifde. Northwind Traders tiene varias sucursales. En su ubicacin hay tres departamentos: Information Technology, Sales y Human Resources. Como administrador de la red de su oficina, deber crear las unidades organizativas para estos departamentos.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

13

Ejercicio

! Para crear unidades organizativas utilizando la herramienta Ldifde


de lnea de comandos 1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd 2. Utilice el Bloc de notas para crear un archivo de entrada para las unidades organizativas que se indican en la siguiente ilustracin.

Sunombredeciudad

IT

Sales

HR

Archivo de respuesta del Bloc de notas para el ejemplo (sample.txt). dn: OU=Vancouver,DC=nwtraders1,DC=msft changetype: add objectclass: organizationalunit dn: OU=IT,OU=Vancouver,DC=nwtraders1,DC=msft changetype: add objectclass: organizationalunit dn: OU=Sales,OU=Vancouver,DC=nwtraders1,DC=msft changetype: add objectclass: organizationalunit dn: OU=HR,OU=Vancouver,DC=nwtraders1,DC=msft changetype: add objectclass: organizationalunit 3. Cree las nuevas unidades organizativas utilizando la herramienta Ldifde de lnea de comandos.

14

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Leccin: Delegacin del control administrativo para unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se explica el propsito de delegar privilegios administrativos, las tareas administrativas que se pueden delegan, cmo delegarlas y como comprobar que se han delegado los privilegios necesarios para realizar dichas tareas. Despus de completar esta leccin, los alumnos podrn:
!

Objetivo de la leccin

Describir las condiciones con las que se puede delegar el control administrativo a una unidad organizativa. Describir tareas administrativas comunes de unidades organizativas. Delegar control administrativo de una unidad organizativa mediante el Asistente para delegacin de control. Personalizar el control administrativo delegado mediante la creacin de una tarea personalizada que se vaya a delegar. Comprobar los privilegios administrativos que se han delegado.

! !

Mdulo 3: Implementacin de la estructura de una unidad organizativa

15

Qu es la delegacin de privilegios administrativos

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La razn principal para crear unidades organizativas es la distribucin de tareas administrativas en la organizacin, delegando el control administrativo a otros administradores. Esta delegacin resulta especialmente importante cuando se desarrolla un modelo administrativo descentralizado. La delegacin de administracin es el proceso de descentralizacin de la responsabilidad de administrar unidades organizativas desde un administrador central a otros administradores. La capacidad de establecer el acceso a unidades organizativas individuales es una caracterstica de seguridad importante en Active Directory; se puede controlar el acceso al nivel ms bajo de una organizacin sin necesidad de crear muchos dominios de Active Directory. La autoridad que se delega en el nivel de sitio permite expandir dominios o, por el contrario, no incluir destinos en el dominio. La autoridad delegada en el nivel de dominio afectar a todos los objetos del dominio. La autoridad delegada en el nivel de la unidad organizativa puede afectar al objeto y a todos sus objetos secundarios, o slo al propio objeto. Por qu delegar administracin Se delega control administrativo para proporcionar autonoma administrativa de servicios y datos a organizaciones o para aislar servicios o datos en una organizacin. Puede eliminar la necesidad de varias cuentas administrativas que tienen una autoridad amplia, como las de un dominio completo y seguir utilizando el grupo Admins. del dominio predeterminado para administrar el dominio completo. La autonoma es la capacidad de los administradores de una organizacin para administrar de forma independiente:
!

Qu es la delegacin de administracin

Toda la administracin de servicio o parte de sta (denominada autonoma de servicio). La totalidad o parte de los datos de la base de datos de Active Directory o de los equipos miembro que estn unidos al directorio (denominada autonoma de datos).

16

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Autonoma administrativa:
! !

Reduce el nmero de administradores que deben tener nivel de acceso alto. Limita el impacto de un error administrativo a un rea de administracin ms reducida.

El aislamiento es la capacidad de los administradores de una organizacin para evitar que otros administradores puedan:
!

Controlar o interferir con la administracin de servicio (denominado aislamiento de servicio). Controlar o ver un subconjunto de datos en el directorio o en los equipos miembro que estn unidos al directorio (denominado aislamiento de datos).

Windows Server 2003 contiene permisos y derechos de usuario especficos que se pueden utilizar para delegar control administrativo. Mediante una combinacin de unidades organizativas, grupos y permisos puede designar derechos administrativos a un usuario particular, de modo que el usuario tenga un nivel adecuado de administracin sobre un dominio completo, sobre todas las unidades organizativas de un dominio o sobre una nica unidad organizativa.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

17

Tareas administrativas para unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Utilice unidades organizativas para agrupar objetos de Active Directory por tipo, como usuarios, grupos y equipos, de modo que pueda administrarlos de forma eficaz. Los administradores suelen realizar las siguientes tareas en Active Directory:
!

Tareas administrativas comunes

Cambiar las propiedades de un contenedor particular. Por ejemplo, cuando est disponible un nuevo paquete de software, los administradores pueden crear una directiva de grupo que controle la distribucin del software. Crear y eliminar objetos de un tipo especfico. En una unidad organizativa, los tipos especficos pueden incluir usuarios, grupos e impresoras. Cuando se incorpora un trabajador nuevo en la organizacin, se puede crear una cuenta de usuario para el trabajador y, a continuacin, agregar el trabajador a la unidad organizativa o el grupo adecuados. Actualizar propiedades especficas en objetos de un tipo especfico en una unidad organizativa. La actualizacin de propiedades, que ser quiz la tarea administrativa ms comn que realice, incluye tareas como restablecer contraseas y cambiar la informacin personal de un trabajador, como su domicilio y telfono, cuando cambia de domicilio.

18

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Cmo delegar el control administrativo

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Se puede utilizar el Asistente para delegacin de control con el fin de delegar el control administrativo de objetos de Active Directory, como unidades organizativas. Con el asistente se pueden delegar tareas administrativas comunes, como crear, eliminar y administrar cuentas de usuario. Para delegar tareas administrativas comunes para una unidad organizativa, realice los siguientes pasos: 1. Inicie el Asistente para delegacin de control como se indica a continuacin: a. Abra Usuarios y equipos de Active Directory. b. En el rbol de la consola, haga doble clic en el nodo de dominio. c. En el panel de detalles, haga clic con el botn secundario del mouse (ratn) en la unidad organizativa, elija Delegar control y haga clic en Siguiente. 2. Seleccione los usuarios o grupos a los que desee delegar tareas administrativas comunes. Para hacerlo, realice los siguientes pasos: a. En la pgina Usuarios o grupos, haga clic en Agregar. b. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, escriba los nombres de los usuarios y grupos a los que desee delegar control de la unidad organizativa, haga clic en Aceptar y, a continuacin, haga clic en Siguiente. 3. Asigne tareas comunes para delegar. Para hacerlo, realice los siguientes pasos: a. En la pgina Tareas que se delegarn, haga clic en Delegar las siguientes tareas comunes. b. En la pgina Tareas que se delegarn, seleccione las tareas que desee delegar y haga clic en Siguiente. 4. Haga clic en Finalizar.

Procedimiento

Mdulo 3: Implementacin de la estructura de una unidad organizativa

19

Al delegar control a un usuario o grupo para crear objetos en Active Directory, ste podr crear un nmero ilimitado de objetos. En Windows Server 2003 puede limitar el nmero de objetos que un principal de seguridad puede tener en una particin de directorio implementando una cuota para ese principal de seguridad. Nota Para obtener ms informacin sobre el uso de cuotas, consulte Cmo delegar el control administrativo en el mdulo 3 en la pgina de los apndices del disco compacto Material del alumno.

20

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Cmo personalizar el control administrativo delegado

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Adems de utilizar el Asistente para delegacin de control con el fin de delegar un conjunto personalizado de tareas administrativas, como la creacin, eliminacin y administracin de cuentas de usuario, se puede utilizar el asistente para seleccionar un conjunto de tareas personalizadas y delegar control de nicamente esas tareas. Por ejemplo, puede delegar control de todos los objetos existentes en una unidad organizativa y de todos los objetos nuevos que se agreguen, o puede seleccionar los objetos de la unidad organizativa de los que desee delegar control administrativo como, por ejemplo, slo objetos de usuario de una unidad organizativa. Tambin puede especificar que desea delegar slo la creacin del objeto seleccionado o la eliminacin del objeto o ambas. Procedimiento Para delegar tareas administrativas personalizadas para una unidad organizativa, realice los siguientes pasos: 1. Inicie el Asistente para delegacin de control. 2. Seleccione los usuarios o grupos a los que desee delegar tareas administrativas.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

21

3. Asigne las tareas personalizadas que desee delegar. Para hacerlo, realice los siguientes pasos: a. En la pgina Tareas que se delegarn, haga clic en Crear una tarea personalizada para delegar y, a continuacin, en Siguiente. b. En la pgina Tipo de objeto de Active Directory, realice una de las siguientes acciones: i. Haga clic en Esta carpeta, los objetos contenidos en la misma y la creacin de nuevos objetos en esta carpeta y, a continuacin, haga clic en siguiente. ii. Haga clic en Slo los siguientes objetos en la carpeta, seleccione el tipo de objeto de Active Directory del que desea delegar control y, a continuacin, haga clic en Siguiente. c. Seleccione los permisos que desee delegar y haga clic en Siguiente. Nota Para obtener una lista de los permisos que se pueden delegar para los objetos seleccionados o para delegar la creacin y eliminacin de objetos secundarios en los objetos seleccionados, active la casilla de verificacin Especfico de la propiedad. 4. Haga clic en Finalizar.

22

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Cmo comprobar la delegacin del control administrativo

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Utilice Usuarios y equipos de Active Directory para comprobar que el Asistente para delegacin de control ha delegado correctamente la autoridad para realizar las tareas. Para comprobar la delegacin de control, realice los siguientes pasos: 1. En Usuarios y equipos de Active Directory, en el men Ver, haga clic en Caractersticas avanzadas. 2. En el rbol de la consola, haga doble clic en el nodo de dominio. 3. En el panel de detalles, haga clic con el botn secundario del mouse en la unidad organizativa y, a continuacin, haga clic en Propiedades. 4. En la ficha Seguridad, haga clic en Opciones avanzadas. 5. En la ficha Permisos, en Entradas de permisos, vea los permisos asignados.

Procedimiento

Mdulo 3: Implementacin de la estructura de una unidad organizativa

23

Ejercicio: Delegacin de tareas administrativas para una unidad organizativa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivo Situacin de ejemplo En este ejercicio delegar tareas administrativas comunes de unidades organizativas en el dominio alojado en el equipo de alumno. Usted es el administrador de red de Northwind Traders. Debido al tamao de su compaa, no tiene tiempo para realizar las tareas administrativas rutinarias para cada unidad organizativa. Desea delegar control de las unidades organizativas al personal del departamento de soporte y a administradores de departamentos concretos.

Ejercicio

! Delegar tareas administrativas comunes de unidades organizativas en


el dominio alojado en el equipo de alumno 1. Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd 2. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic con el botn secundario del mouse en Usuarios y equipos de Active Directory y, a continuacin, haga clic en Ejecutar como. 3. En el cuadro de dilogo Ejecutar como, seleccione El siguiente usuario, escriba sudominio\Administrador como nombre de usuario con la contrasea P@ssw0rd y haga clic en Aceptar. 4. Cree un grupo de seguridad local del dominio denominado DL NombreDeEquipoAdmins en la unidad organizativa NombreDeEquipo de su dominio (donde NombreDeEquipo es el nombre del equipo en el que est trabajando).

24

Mdulo 3: Implementacin de la estructura de una unidad organizativa

5. Agregue el grupo global Nwtraders\G NombreDeEquipoAdmins como un miembro del grupo local de dominio DL NombreDeEquipoAdmins. 6. Delegue la capacidad de crear, eliminar y administrar cuentas de usuario en la unidad organizativa NombreDeEquipo al grupo DL NombreDeEquipoAdmins. 7. Compruebe que se ha delegado el control para estas tareas visualizando los permisos asignados al grupo local de dominio para la unidad organizativa NombreDeEquipo.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

25

Leccin: Planeamiento de la estrategia de una unidad organizativa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Las unidades organizativas son contenedores de cada dominio de Active Directory que representan las estructuras jerrquicas de una organizacin. Para crear una estructura de unidad organizativa que represente de la mejor forma la estructura de la organizacin, debe entender los factores de la organizacin que afectan a la creacin de unidades organizativas. En esta leccin se proporcionan los conocimientos y capacidades necesarios para planear una estrategia de unidad organizativa. Despus de finalizar esta leccin, podr:
! !

Objetivos de la leccin

Describir el proceso de planeamiento de unidades organizativas. Describir los factores organizativos que afectan al planeamiento de unidades organizativas. Explicar las directrices para determinar la estructura de una unidad organizativa. Explicar las directrices para determinar cmo delegar control administrativo a una unidad organizativa.

26

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Proceso de planeamiento de unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La estructura de las unidades organizativas en Active Directory se basa en la estructura administrativa de la organizacin. El primer paso en el planeamiento de una estructura de unidad organizativa es documentar la estructura de la organizacin. Para planear la estrategia de unidades organizativas para su organizacin, realice las siguientes tareas:
!

Proceso de planeamiento de unidades organizativas

Documentar la estructura existente de la organizacin. Al documentar la estructura existente de la organizacin, una estrategia es dividir las tareas administrativas en categoras y, a continuacin, documentar los administradores que son responsables de cada categora. Identificar reas que mejorar. Trabaje con el equipo de planeamiento para identificar las reas que hay que mejorar. Por ejemplo, puede ser ms rentable combinar varios equipos de IT de distintas secciones. Puede seleccionar otros trabajadores que no sean de esta seccin para ayudar en el proceso administrativo y reducir la carga de trabajo del personal de IT. De este modo, los administradores podrn centrarse en las reas en que se requiera su experiencia.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

27

A continuacin, utilice los siguientes puntos como directrices para el plan de delegacin:
!

Determinar el nivel de administracin. Decidir lo que va a controlar cada grupo y en qu nivel se va a delegar administracin en la jerarqua administrativa. Al crear el plan, indique los grupos que: Tendrn pleno control sobre objetos de una clase particular. Estos grupos podrn crear y eliminar objetos de una clase especificada y modificar cualquier atributo de los objetos de esa clase especificada. Podrn crear objetos de una clase particular. Por defecto, los usuarios tienen control pleno sobre los objetos que crean. Slo podrn modificar atributos especficos de objetos existentes de una clase particular.

Identificar cada cuenta de administrador y usuario en la organizacin y los recursos que administran. Esta informacin le ayudar a determinar la propiedad y los permisos asignados a las unidades organizativas que cree para facilitar el plan de delegacin.

28

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Factores organizativos que afectan a la estructura de unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Los factores que afectan a la estructura de unidades organizativas son el tipo y la estructura del modelo administrativo de IT. El conocimiento de estos factores le ayudar a crear una estructura de unidades organizativas que se adapte de la mejor forma a los requisitos de su organizacin. Las organizaciones de IT ms comunes son:
!

Tipos de modelos administrativos de IT

IT centralizado. En este modelo, la organizacin de IT informa a un individuo y, normalmente, el grupo es el responsable de todos los servicios de red y de informacin, aunque algunas tareas rutinarias se pueden delegar a ciertos grupos o departamentos. IT centralizado con administracin descentralizada. En este modelo, un equipo central de IT ubicado en un lugar centralizado es el responsable de los servicios de infraestructura central, pero delega la mayor parte de las operaciones diarias a grupos de IT en sucursales, que proporcionan apoyo administrativo local a los usuarios. IT descentralizado. Este tipo de organizacin permite distintas unidades empresariales para seleccionar un modelo de IT adecuado que cumpla cumplir los requisitos. Este tipo de organizacin puede tener varios grupos de IT con requisitos y objetivos distintos. Siempre que haya iniciativas tecnolgicas que afecten a la organizacin, como una actualizacin de una aplicacin de mensajera, los grupos de IT deben trabajar juntos para implementar los cambios. IT subcontratado. Algunas organizaciones contratan a una empresa externa para administrar la totalidad o parte de su organizacin de IT. Cuando slo se subcontratan partes de la organizacin de IT, es imprescindible implementar un modelo de delegacin adecuado. De este modo, el grupo de IT interno mantiene el control de la organizacin sin comprometer los acuerdos de nivel de servicio que la otra empresa se ha comprometido a proporcionar.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

29

Estructura del modelo administrativo de IT

La estructura del modelo administrativo refleja el modo en que una organizacin administra sus recursos de IT, como usuarios, equipos, grupos, impresoras y archivos compartidos. Algunas de las distintas formas en que se estructuran los modelos administrativos son:
!

Administracin basada en la situacin geogrfica. La organizacin de IT est centralizada, como en las sedes centrales, pero la administracin de la red est distribuida de forma geogrfica; por ejemplo, cada sucursal tiene su propio grupo administrativo que administra los recursos de su ubicacin. Administracin basada en la organizacin. En esta estructura, la organizacin de IT se divide en departamentos o unidades comerciales y cada una tiene su propio grupo de IT. Administracin basada en la funcin empresarial. Una organizacin de IT descentralizada a menudo basa su modelo administrativo en funciones empresariales de la organizacin. Administracin hbrida. Esta estructura combina la eficacia de varios modelos para satisfacer las necesidades administrativas de la organizacin.

30

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Directrices para el planeamiento de una estructura de unidad organizativa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Directrices El diseo de las unidades organizativas se basa en el modelo administrativo de IT de una organizacin. Utilice las siguientes directrices como ayuda al planear la estructura de la unidad organizativa de una organizacin. La estructura puede basarse en:
!

La situacin geogrfica. Si el modelo administrativo est distribuido de forma geogrfica y si los administradores estn presentes en cada ubicacin, organice la estructura de Active Directory por ubicacin. La organizacin. Si la administracin de IT se basa en un departamento o seccin, disee Active Directory basndose en la estructura de la organizacin. Asegrese de seguir la estructura administrativa en lugar del diagrama organizativo al disear Active Directory en funcin de la organizacin. Puede que el diagrama organizativo no determine las necesidades administrativas de una organizacin. Las funciones empresariales. Si la administracin de IT es descentralizada, disee la estructura de Active Directory basndose en las funciones de la organizacin. Elija esta alternativa slo cuando la funcin de IT no se base en la ubicacin o la organizacin. Esta estructura es idnea y, en realidad, la nica apropiada, para organizaciones pequeas que tienen funciones de trabajo que abarcan varios departamentos. El modelo hbrido. Si se trata de una organizacin con alto grado de distribucin con una funcin de IT centralizada y una separacin estricta en departamentos o secciones, disee las unidades organizativas o dominios superiores por ubicacin y los niveles inferiores de unidades organizativas o dominios por organizacin. Puesto que los niveles superiores se basan en la ubicacin, este modelo tiene menos probabilidades de cambio y, por lo tanto, es menos probable que requiera un gran esfuerzo durante una reorganizacin.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

31

Utilice el siguiente diagrama de flujo como un rbol de decisiones para determinar la estructura de unidad organizativa apropiada para una organizacin.

Funcin de IT centralizada?

No

Administracin distribuida?

Separacin en departamentos o secciones?

No

No

Distribuida de forma geogrfica?

Grupo central nico

Distribuida de forma geogrfica?

Equipos mezclando departamentos

No No

No

No

Separacin en departamentos o secciones?

Separacin en departamentos o secciones?

Organizacin y despus ubicacin

Organizacin

Funcin

Grupo central nico

No

Ubicacin y despus organizacin

Ubicacin

Organizacin

32

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Directrices para la delegacin del control administrativo

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Siempre que sea posible, delegue la capacidad de conceder permisos para conservar el esfuerzo y los gastos administrativos, con lo que se reducen los gastos totales de propiedad. Antes de asignar permisos a los usuarios de una organizacin, debe decidir quin puede y quin no puede tener acceso a un objeto y a su contenido y el tipo de acceso que una persona puede o no puede tener. Tenga en cuenta las siguientes directrices al planear la delegacin de control administrativo en la organizacin:
!

Directrices

Asignar control en el nivel de unidad organizativa ms alto posible y utilizar la herencia. De este modo, podr administrar los permisos de forma ms eficaz. Se crea una pista de auditora ms simple y hay menos posibilidades de desastre si un administrador comete un error al iniciar la sesin con una cuenta administrativa. Nota Los miembros del grupo Admins. del dominio siempre podrn asumir la propiedad de un objeto en el dominio y cambiar los permisos, lo que supone una razn para limitar el nmero de usuarios en dicho grupo. Cuando un miembro del grupo Administradores crea o asume la propiedad de un objeto, el grupo Administradores se convierte en el propietario del objeto. Para poder realizar un seguimiento, Windows Server 2003 muestra el nombre de dicho miembro.

Mdulo 3: Implementacin de la estructura de una unidad organizativa


!

33

Evitar la asignacin de permisos en el nivel de propiedad o de tarea para simplificar la administracin. Tenga en cuenta la colocacin de objetos en unidades organizativas separadas en funcin de cmo se van a administrar en lugar de administrar las propiedades utilizando Listas de control de acceso discrecional (DACL, Discretionary Access Control List) separadas para los objetos de una unidad organizativa individual. Al asignar permisos: Delegue la capacidad de asignar permisos de control de acceso para objetos a usuarios o grupos de usuarios. En otras palabras, delegue la capacidad de delegar. Asigne permisos comunes o especiales sobre objetos. Utilice la herencia para permitir que los permisos de control de acceso alcancen los objetos secundarios. Sin embargo, en algunas ocasiones deber bloquear la herencia para evitar que un objeto secundario adquiera permisos establecidos para los objetos primarios. Al bloquear la herencia, se dificulta la documentacin y la solucin de problemas de permisos para un objeto, por lo que debe evitarlo.

Asignar permisos de acceso a grupos en lugar de a individuos. Los permisos a grupos facilitan el mantenimiento de DACL en redes que tienen muchos usuarios y objetos. Adems, la asignacin de permisos a grupos resulta muy eficaz, ya que le permite anidar grupos, con lo que se reduce el nmero total de objetos que administrar. Importante Delegue control administrativo a grupos locales de dominio al asignar permisos a los objetos de un dominio. Delegue control administrativo a grupos globales o universales al asignar permisos a objetos en la particin de configuracin o para atributos que estn publicados en el catlogo global.

Reducir el nmero de administradores de dominio. El grupo Admins. del dominio tiene capacidades especiales en un dominio, como la capacidad de asumir la propiedad de cualquier objeto y definir directivas de seguridad para todo el dominio. Cuando desee controlar de cerca los privilegios de los administradores de dominio, conceda derechos administrativos a los usuarios de las distintas unidades organizativas y limite los miembros del grupo Admins. del dominio.

Nota Para obtener ms informacin acerca de la delegacin de control, consulte la gua The Windows Server 2003 Deployment Planning Guide en http://www.microsoft.com/reskit. Consulte tambin Active Directory Service Interfaces Overview (en ingls) en http://www.microsoft.com/ windows2000/techinfo/howitworks/activedirectory/adsilinks.asp.

34

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Ejercicio: Planeamiento de la estructura de una unidad organizativa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivo Situacin de ejemplo En este ejercicio se trabajar en parejas para planear una estructura de unidad organizativa para Northwind Traders. Northwind Traders se est preparando la instalacin de Windows Server 2003 en sus ubicaciones de Sacramento, California y Portland (Oregn). El equipo de diseo de Active Directory utilizar un dominio raz vaco, nwtradersx.msft, y un subdominio, corpx.nwtradersx.msft, donde x es un nmero que le asignar el instructor. Todas las cuentas de equipo y de usuario se encuentran en el dominio corpx. Northwind Traders tiene 1.500 usuarios en seis departamentos en estas dos ubicaciones. Portland tiene 600 usuarios en los siguientes departamentos:
! ! ! !

Accounting IT Purchasing Shipping

Sacramento tiene 900 usuarios en los siguientes departamentos:


! ! ! ! !

Accounting Human Resources (HR) IT Purchasing Sales

En cada departamento hay un administrador local que administra las cuentas de usuario y la configuracin de directivas de grupo. El departamento de IT quiere delegar la capacidad de administrar a todos los usuarios de un departamento especfico o de administrar a todos los usuarios de un departamento de una ubicacin especfica.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

35

Procedimiento

Trabaje con su compaero para planear una estructura de unidad organizativa. Utilice el siguiente cuadro para documentar el plan para la estructura de la unidad organizativa.

A continuacin se indica una posible solucin al ejercicio: Dominio corporativo Accounting Portland Sacramento HR IT Portland Sacramento Purchasing Portland Sacramento Sales Shipping

36

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Prctica A: Implementacin de la estructura de una unidad organizativa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Despus de finalizar esta prctica, podr:
! !

Crear una unidad organizativa. Delegar el control de una unidad organizativa.

Requisitos previos

Antes de trabajar en esta prctica, debe tener:


!

Conocimientos de cmo crear un grupo con Usuarios y equipos de Active Directory. Conocimientos y capacidades para crear unidades organizativas.

Situacin de ejemplo

Northwind Traders est ampliando el personal de cuentas y de investigacin en todas sus ubicaciones. Se deben crear nuevas unidades organizativas para estos departamentos en cada ubicacin. Cada departamento tiene un administrador local que administra las cuentas de usuario. Tiene que crear una unidad organizativa de Accounting y otra de Research en la unidad organizativa NombreDeEquipo de su dominio. Adems, deber crear un grupo local de dominio DL AccountingAdmins y otro DL ResearchAdmins y, a continuacin, delegar permisos a cada grupo para administrar la unidad organizativa adecuada. Debe crear los nuevos grupos locales de dominio en la unidad organizativa NombreDeEquipo\IT de su dominio. Nota Siempre que aparezca corpx o nwtradersx en la prctica, sustituya x por el nmero asignado a su dominio.

Tiempo previsto para completar esta prctica: 45 minutos

Mdulo 3: Implementacin de la estructura de una unidad organizativa

37

Ejercicio 1 Creacin de unidades organizativas


En este ejercicio deber utilizar la herramienta de lnea de comandos Dsadd para crear las unidades organizativas en su dominio.

Tareas
1.

Instrucciones especficas

Utilizar la herramienta de lnea de comandos Dsadd para crear las unidades organizativas Accounting y Research en la unidad organizativa NombreDeEquipo de su dominio.

"

Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd

38

Mdulo 3: Implementacin de la estructura de una unidad organizativa

Ejercicio 2 Delegacin del control administrativo


En este ejercicio deber utilizar Usuarios y equipos de Active Directory para crear grupos, agregar grupos globales del dominio nwtraders.msft a los grupos que cree y, a continuacin, delegar control de cada unidad organizativa al grupo adecuado. Por ltimo, deber comprobar la delegacin de control.
Tareas
1.

Instrucciones especficas
a.

Crear los siguientes grupos locales de dominio en la unidad organizativa NombreDeEquipo\IT: DL AccountingAdmins DL ResearchAdmins

Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd Directory como SuDominio\Administrador con la contrasea P@ssw0rd

b. Utilice Ejecutar como para iniciar Usuarios y equipos de Active

2.

Agregue el grupo global G NombreDeEquipoAdmins desde el dominio Nwtraders.msft a los grupos locales de dominio DL AccountingAdmins y DL ResearchAdmins de su dominio. Utilizar el Asistente para delegacin de control para delegar la capacidad de crear, eliminar y administrar cuentas de usuario de las unidades organizativas Accounting y Research a los grupos locales de dominio adecuados que haya creado.

3.

Mdulo 3: Implementacin de la estructura de una unidad organizativa

39

Ejercicio 3 Comprobacin de la delegacin de control


En este ejercicio deber comprobar los permisos asignados a los grupos DL AccountingAdmins y DL ResearchAdmins de las unidades organizativas Accounting y Research.

Tareas
1.

Instrucciones especficas
a.

Habilitar la vista Caractersticas avanzadas en Usuarios y equipos de Active Directory. Ver los permisos asignados a los grupos locales de dominio DL AccountingAdmins y DL ResearchAdmins de su dominio para las unidades organizativas Accounting y Research.

Inicie sesin como Nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd Active Directory como SuDominio\Administrador con la contrasea P@ssw0rd

b. Utilice Ejecutar como para iniciar Usuarios y equipos de

2.

Qu permisos se han asignado al grupo DL AccountingAdmins? A qu objetos se aplican los permisos?

Qu permisos se han asignado al grupo DL ResearchAdmins? A qu objetos se aplican los permisos?

THIS PAGE INTENTIONALLY LEFT BLANK

También podría gustarte