Ricardo Armando Sava Daz SISE 2013

OBJETOS DE ACTIVE DIRECTORY

USUARIOS:
Las cuentas de usuario de Active Directory representan entidades fsicas,
como personas. Las cuentas de usuario tambin se pueden usar como
cuentas de servicio dedicadas para algunas aplicaciones.

CUENTA DE USUARIO PREDETERMINADA

Administrador.- La cuenta Administrador tiene control total del

dominio. Puede asignar derechos de usuario y permisos de control
de acceso a los usuarios del dominio segn sea necesario.

Invitado.- Los usuarios que no tienen una cuenta en el dominio

pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya
deshabilitado (pero no eliminado) tambin puede usar la cuenta
Invitado. La cuenta Invitado no requiere ninguna contrasea.

Asistente de ayuda (se instala con una sesin de Asistencia remota)

-Es la cuenta principal para establecer una sesin de Asistencia
remota. Tiene acceso limitado al equipo.

OPCIONES DE CUENTA:

El usuario debe cambiar la contrasea en el siguiente inicio de

sesin.- Obliga al usuario a cambiar su contrasea la prxima vez
que inicie sesin en la red.

El usuario no puede cambiar la contrasea.- Impide que un usuario

cambie su contrasea. Habilite esta opcin si desea mantener el
control de una cuenta de usuario, tal como una cuenta Invitado o
una cuenta temporal.

La contrasea nunca expira.- Impide que una contrasea de usuario

expire. Recomendamos que las cuentas de servicio tengan esta
opcin habilitada y usen contraseas seguras.

Almacenar contraseas usando cifrado reversible.- Permite al

usuario iniciar sesin en una red de Windows desde un equipo
Apple. Si el usuario no inicia sesin desde un equipo Apple, no
habilite esta opcin.

La cuenta est deshabilitada.- Impide al usuario iniciar sesin con la

cuenta seleccionada. Muchos administradores usan cuentas
deshabilitadas como plantillas para las cuentas de usuario normales.
Ricardo Armando Sava Daz SISE 2013

GRUPOS
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos
y otros grupos que se pueden administrar como una sola unidad. Los
usuarios y los equipos que pertenecen a un grupo determinado se
denominan miembros del grupo.

Los grupos de AD DS se pueden usar para:

Simplificar la administracin al asignar los permisos para un recurso

compartido a un grupo en lugar de a usuarios individuales. Cuando se
asignan permisos a un grupo, se concede el mismo acceso al recurso a
todos los miembros de dicho grupo.

Delegar la administracin al asignar derechos de usuario a un grupo

una sola vez mediante la directiva de grupo.

Crear listas de distribucin de correo electrnico.

Informacin acerca de los grupos predeterminados .-Los grupos

predeterminados, como es el caso del grupo Administradores del
dominio, son grupos de seguridad que se crean automticamente
cuando se crea un dominio de Active Directory.

Cuando se agrega un usuario a un grupo, ese usuario recibe:

Todos los derechos de usuario asignados al grupo

Todos los permisos asignados al grupo para los recursos compartidos

Informacin acerca del mbito de grupo .- Los grupos se caracterizan

por un mbito que identifica su alcance en el bosque o rbol de
dominios. Existen tres mbitos de grupo: local de dominio, global y
universal.

Informacin acerca de los grupos locales de dominio.- Los miembros de

los grupos locales de dominio pueden incluir otros grupos y cuentas de
dominios de Windows Server 2003, Windows 2000, Windows NT, Windows
Server 2008 y Windows Server 2008 R2. A los miembros de estos grupos
slo se les pueden asignar permisos dentro de un dominio.

Los grupos con mbito Local de dominio ayudan a definir y administrar

el acceso a los recursos dentro de un dominio nico. Estos grupos
pueden tener los siguientes miembros:

Grupos con mbito Global

Grupos con mbito Universal

Otros grupos con mbito Local de dominio

Ricardo Armando Sava Daz SISE 2013

UNIDAD ORGANIZATIVA
Las Unidades Organizativas pueden usarse para organizar cientos de
objetos en el directorio dentro de unidades administrables. Las Unidades
Organizativas se usaran para agrupar y organizar objetos con propsitos
administrativos, como delegar permisos, asignar polticas de seguridad
para uno o varios objetos como uno solo. La jerarqua de contenedores se
puede extender tanto como sea necesario dentro de un dominio.

Ventajas

Las unidades organizativas permiten a disminuir el nmero de dominios

necesarios en una red.

Puede aplicar directivas de seguridad y permisos administrativos a varios

objetos (usuarios)como uno solo.

Puede utilizar unidades organizativas para crear un modelo administrativo

que se puede ampliar a cualquier tamao.

Un usuario puede tener autoridad administrativa para todas las unidades

organizativas de un dominio o slo para una de ellas.

El administrador de una unidad organizativa no necesita tener autoridad

administrativa sobre cualquier otra unidad organizativa del dominio.

Delegar control administrativo

Podemos asignar control administrativo, como el control total de permisos

sobre objetos de la unidad organizativa, o de forma limitada a modificar la
informacin de Correo electrnico de los usuarios de la unidad
Ricardo Armando Sava Daz SISE 2013

organizativa. Para delegar control administrativo podemos especificar

permisos en la propia unidad organizativa y los objetos que contiene para
uno o varios usuarios y grupos.

Reduccin de recursos agrupados

Podemos usar las unidades organizativas para delegar la autoridad

administrativa. Un usuario puede tener privilegios administrativos sobre una
unidad organizativa o todas las unidades organizativas de un dominio.
Podemos entonces administrar la configuracin y uso de las cuentas y
recursos basndonos en nuestro propio modelo de organizacin.