Creación y administración

de objetos de
Active Directory
Introducción

Creación de unidades organizativas, cuentas de usuario y

cuentas de equipo
Creación y modificación de grupos
Estrategias para el uso de grupos
Uso de permisos para controlar el acceso a los objetos de
Active Directory
Delegar el control de los objetos de Active Directory para
lograr una administración segura y descentralizada
Mover objetos de Active Directory
Lección: Creación de unidades organizativas, cuentas de
usuario y cuentas de equipo

Modelos jerárquicos de unidad organizativa

Nombres asociados a las unidades organizativas
Cómo crear una unidad organizativa
Cómo crear una cuenta de usuario
Cómo y dónde crear cuentas de equipo en un dominio
Opciones de cuenta de equipo
Cómo crear una cuenta de equipo
Modelos jerárquicos de unidad organizativa

Basado en la función
Ejemplo de modelo híbrido
S S – Sales
C – Consultants Función
M – Marketing  Organización
C M
Ubicación
Basado en la organización  Función

M M – Manufacturing Organización
E – Engineering
 Ubicación
R – Research
E R

Basado en la ubicación

N N – Norway
F – France
I – Indonesia
F I
Nombres asociados a las unidades organizativas

Nombre Ejemplo

Nombre completo
OU=MiUnidadOrganizativa
relativo LDAP

Nombre completo OU=MiUnidadOrganizativa,

LDAP DC=microsoft, DC=com

Nombre canónico Microsoft.com/MiUnidadOrganizativa

Cómo y dónde crear cuentas de equipo en un dominio

Los administradores pueden:

Crear una cuenta de equipo en una unidad organizativa específica

Crear una cuenta de equipo en el contenedor Equipos y, a

continuación, moverla a la unidad organizativa correspondiente

Crear cuentas ensayadas previamente para los usuarios

que se unen a un dominio

Los usuarios pueden:

Utilizar una cuenta ensayada previamente para unir una cuenta de
equipo al dominio

Unir una cuenta de equipo al dominio y después agregarla al

contenedor Equipos de Active Directory
Opciones de cuenta de equipo
Lección: Creación y modificación de grupos

¿Qué son los grupos?

Presentación multimedia: Servidor de catálogo global
Grupos y niveles funcionales de dominio
Cómo decidir el tipo y el ámbito de un grupo
Cómo crear un grupo
Cambiar el ámbito y el tipo de un grupo
Cómo modificar un grupo
¿Qué son los grupos?

Un grupo es un conjunto de usuarios, equipos, contactos y otros

grupos
Los grupos simplifican la administración al permitir asignar
privilegios a múltiples usuarios de una sola vez
Tipo de grupo
Se utiliza para

Designar derechos de usuario y permisos

Jefes de ventas
Seguridad
Puede utilizarse como una lista de distribución de correo electrónico
Representantes de ventas
Asistentes de ventas Grupo Ventas
Ámbito Asignar listas de usuarios a aplicaciones de correo electrónico
Distribution
de grupo Descripción
No puede usarse para asignar permisos
Administrar objetos de directorio que requieren mantenimiento diario,
Global
como las cuentas de usuario y de equipo

Universal Consolidar grupos que abarcan varios dominios

Dominio local Definir y administrar el acceso a los recursos en un mismo dominio

Presentación multimedia: Servidor de catálogo global

En esta presentación se introducen

las funciones del catálogo global de Active
Directory
Grupos y niveles funcionales de dominio

Windows 2000
Windows 2000 Windows
mixto
nativo Server 2003
(predeterminado)
Windows NT
Controladores Windows 2000,
Server 4.0,
Windows
de dominio Windows 2000,
Windows Server 2003
admitidos Windows
Server 2003
Server 2003

Ámbitos Global, Global,

Global, Dominio
de grupo Dominio local, Dominio local,
local
admitidos Universal Universal
Cómo decidir el tipo y el ámbito de un grupo

Grupo Se utiliza para

Organizar los usuarios con trabajos y requisitos de
Grupo acceso a la red similares
global No crear un grupo global para el acceso a recursos
específicos del dominio
Grupo Anidar grupos globales para asignar permisos sobre
universal los recursos relacionados de varios dominios

Asignar permisos para los recursos ubicados en el

mismo dominio que el grupo local
Grupo de
Ubicar todos los grupos globales que comparten los
dominio local mismos recursos en el grupo de dominio local
adecuado

Asignar permisos para recursos ubicados en el

Grupo local equipo en el que se ha creado el grupo local
Cambiar el ámbito y el tipo de un grupo

Cambiar el ámbito de grupo

 De global a universal
 De dominio local a universal
 De universal a global
 De universal a dominio local
Cambiar el tipo de grupo
 De seguridad a distribución
 De distribución a seguridad
Lección: Estrategias para el uso de grupos

¿Qué es el anidamiento de grupos?

Presentación multimedia: Estrategia de utilización de los
grupos en un único dominio
Grupos predeterminados y grupos de sistema
¿Qué es el anidamiento de grupos?

El anidamiento de grupos significa agregar

un grupo como integrante de otro grupo

Grupo Grupo
Grupo Grupo
Grupo

Los grupos pueden anidarse para consolidar su administración

El diseño de la red debe limitarse a un nivel de anidamiento
Las opciones de anidamiento varían según el nivel funcional del
dominio de Windows Server 2003
 Windows 2000 nativo
 Windows 2000 mixto
Presentación multimedia: Estrategia de utilización de los
grupos en un único dominio

Esta presentación explica la estrategia AGDLP

para el uso de grupos

A G DL P
Debate de la clase: Utilizar grupos en un único dominio

Situación de ejemplo 1
Northwind Traders tiene un solo dominio ubicado en París, Francia
Los administradores de Northwind Traders necesitan tener acceso
a la base de datos de inventario
¿Qué puede hacer para garantizar que todos los administradores
tengan acceso a dicha base de datos?

Situación de ejemplo 2
Northwind Traders desea que todos los datos de contabilidad estén a
disposición del personal contable
Northwind Traders desea crear la estructura de grupos de toda la división
de contabilidad, que incluye los departamentos de cuentas por pagar y
cuentas por cobrar
¿Qué haría para garantizar que los administradores tengan el acceso
necesario y que haya el mínimo trabajo de administración?
 Grupos predeterminados y grupos de sistema

Grupo Descripción Se utilizan para

Grupos creados durante la
Controlar el acceso a los recursos
Grupos instalación que reciben
compartidos y delegar tareas
predeterminados automáticamente un conjunto
administrativas específicas
de derechos de usuario

Grupos de sistema que

representan a usuarios diferentes Conceder derechos de usuario y
Grupos de sistema en momentos diferentes
permisos
EjemplosConsideraciones
: Anónimo, Todosde seguridad
y Red
En lugar de: Intente:
Agregar el usuario a un nuevo grupo de seguridad
Agregar un usuario a un grupo
que tenga asignados los privilegios mínimos
predeterminado
necesarios

Iniciar una sesión interactiva con Iniciar una sesión sin derechos de administración y
credenciales administrativas utilizar el comando Ejecutar como
Debate de la clase: Uso de grupos predeterminados frente a
creación de nuevos grupos

 Northwind Traders tiene más de 100 servidores en todo el

mundo
 Usted debe recomendar el nivel de acceso mínimo que
requieren los usuarios para realizar tareas específicas
 Debe decidir si:
 Utilizar grupos predeterminados
 Crear grupos y, después, asignarles derechos de usuario
y permisos específicos para realizar tareas determinadas
Lección: Uso de permisos para controlar el acceso a los
objetos de Active Directory

Presentación multimedia: La estructura de unidades

organizativas
¿Qué son los permisos de objeto de Active Directory?
Características de los permisos de objeto de Active Directory
Herencia de permisos
Efectos de modificar los objetos en la herencia de permisos
Cómo modificar los permisos de objetos de Active Directory
Permisos efectivos de objetos de Active Directory
Cómo determinar los permisos efectivos de objetos
de Active Directory
Presentación multimedia: La estructura de unidades
organizativas

En esta presentación se explica lo siguiente:

 Uso de las unidades organizativas
para agrupar objetos y lograr una
administración más efectiva
 Los dos propósitos principales de una
jerarquía de unidad organizativa
¿Qué son los permisos de objeto de Active Directory?

Permiso Permite al usuario:

Cambiar los permisos, tomar posesión y realizar las
Control total tareas que permiten todos los demás permisos
estándar
Escribir Cambiar los atributos del objeto

Ver los objetos, atributos de objeto, el propietario del

Leer
objeto y los permisos de Active Directory
Crear todos
Agregar cualquier tipo de objeto a una unidad
los objetos
secundarios
organizativa

Eliminar todos los

Quitar cualquier tipo de objeto secundario de una
objetos
secundarios
unidad organizativa
Características de los permisos de objeto de Active Directory

Los permisos de objeto de Active Directory pueden ser:

 Concedidos o denegados
 Denegados implícita o explícitamente
 Establecidos como permisos estándar o especiales
Los permisos estándar son los que se asignan
con mayor frecuencia
Los permisos especiales proporcionan un mayor grado
de control para asignar el acceso a los objetos
 Establecidos en el objeto o heredados del objeto
principal
Herencia de permisos

Los contenedores secundarios y sus objetos heredan los

permisos establecidos en su contenedor principal
Los permisos heredables se propagan del objeto principal a
un objeto secundario:
 Al crear el objeto secundario
 Cuando se modifican los permisos en el objeto principal
Permisos Los
Acceso Contenedor Usuario
Usuario 11 Leer
Leer contenedores
principal Grupo
Grupo 11 Control
Control total
total
secundarios
heredan los
permisos
Permisos
Los usuarios tienen asignado Contenedor Usuario
Usuario 11 Leer
Leer
permiso de acceso para el secundario Grupo
Grupo 11 Control
Control total
total
contenedor principal
Efectos de modificar los objetos en la herencia de permisos

Al mover un objeto de una unidad organizativa a otra se ve

afectada la herencia de permisos:
 Los permisos establecidos explícitamente se mantienen
 Los objetos movidos heredan los permisos de la nueva
unidad organizativa principal
 Los objetos movidos ya no heredan los permisos de la
unidad organizativa anterior
Impedir la herencia de permisos estableciendo permisos
explícitos para un objeto secundario
Permisos efectivos de objetos de Active Directory

Características de los permisos efectivos:

 Los permisos son acumulativos
 La denegación de permisos prevalece sobre todos los
demás permisos
 Los propietarios de los objetos siempre pueden cambiar
los permisos
Son necesarios permisos para leer la información
de permisos efectivos:
 Los administradores de dominio tienen permiso para leer
la información de pertenencia de todos los objetos
 Los usuarios autenticados del dominio pueden leer la
información de pertenencia sólo cuando el dominio se
encuentra en modo de compatibilidad anterior a
Windows 2000
Lección: Delegar el control de los objetos de Active Directory para
lograr una administración segura y descentralizada

Delegación del control de una unidad organizativa

Asistente para delegación de control
Cómo delegar el control de una unidad organizativa
¿Por qué asignar un administrador a un grupo?
Cómo asignar un administrador a un grupo
Delegación del control de una unidad organizativa

Asignación de la responsabilidad de administrar una unidad

organizativa a otro usuario o grupo
Por qué delegar la administración
 La administración de la red es
más sencilla porque las tareas
rutinarias se distribuyen
 Los usuarios tienen un mayor
control de los recursos de red
locales
 Son necesarias menos UO1 Admin1
cuentas administrativas
con autoridad amplia UO2 UO3

Admin2 Dominio Admin3

Asistente para delegación de control

Con el Asistente para delegación de control puede

especificar:
 El usuario o grupo en el que desea delegar el control
 Las unidades organizativas y los objetos cuyo control
desea delegar en el usuario o grupo
 Las tareas que desea que el usuario o grupo pueda
realizar
El Asistente para delegación de control asigna
automáticamente a los usuarios los permisos necesarios
para el acceso y modificación de los
objetos especificados
Ejercicio: Delegar el control de una unidad organizativa

En este ejercicio, se ocupará de:

 Delegar el control de la unidad
organizativa Computers
 Probar los permisos delegados para la
unidad organizativa Computers
 Delegar el control de la unidad
organizativa Users
 Probar los permisos delegados para la
unidad organizativa Users
¿Por qué asignar un administrador a un grupo?

Administrador Grupo

Para permitirle:
 Determinar quién es el responsable de cada grupo
 Delegar en el administrador del grupo la autoridad para
agregar y quitar usuarios del grupo
Para distribuir la responsabilidad administrativa
de agregar usuarios a los grupos a quienes solicitan
el grupo
Lección: Mover objetos de Active Directory

¿Cuándo es conveniente mover un objeto

de Active Directory?
Cómo mover un objeto de Active Directory
¿Cuándo es conveniente mover un objeto de Active
Directory?

Unidad organizativa 1

Dominio

Unidad organizativa 2