Cuentas de usuarioCuentas de usuarios locales• Cuentas de usuario definidas en el equipo local, con accesosolamente al equipo local y, por tanto, a los recursos del mismo• Los usuarios pueden tener acceso a los recursos de otro

equipode la red si disponen de una cuenta en dicho equipo• Para poder acceder a los recursos que un equipo comparte,

esnecesario autenticarse en él• Estas cuentas de usuario residen en el administrador de

cuentasde seguridad (Security Account Manager, SAM) del equipo,

quees la BD de cuentas de seguridad local

Cuentas de usuarioCuentas de usuario de dominio• Permiten a un usuario iniciar sesión en el

dominio para obteneracceso a los recursos de la red• El usuario tendrá acceso en cualquier

equipo de la red con unaúnica cuenta y contraseña• Estas cuentas de usuario residen en el

servicio de directorio AD yse crean definiéndolas en un controlador de

dominio

Cuentas de usuarioCuentas de usuario integradas• Permite a un usuario realizar tareas administrativas

u obteneracceso temporalmente a los recursos de red• Existen dos cuentas de usuario integradas que no

puedeneliminarse: Administrador e Invitado• Las cuentas de usuario locales Administrador e

Invitadoresiden en SAM• Las cuentas de usuario integradas de dominio

residen en AD

Cuentas de usuarioCuentas de usuario implícitas• Creadas de forma implícita por el sistema operativo oaplicaciones, se usan para asignar permisos en ciertassituaciones• SistemaLocal (Localsystem): permite ejecutar

procesosdel sistema y administrar las tareas relativas al sistema.No se puede iniciar una sesión con esta cuenta, peroalgunos procesos se ejecutan con ella:– Por ejemplo, esta cuenta es la que se usa para ejecutar

muchos delos servicios del sistema (los demonios)• LocalService: acceso al sistema local• NetworService: acceso al sistema local y en la red

Grupos• Un grupo es una colección de usuarios, equipos uotros grupos• Los grupos se usan para simplificar laadministración del acceso de usuarios y equipos alos recursos (directorios, ficheros, impresoras,etc.)• Permiten conceder permisos de acceso a variosusuarios al mismo tiempo, en lugar de concederlosusuario a usuario

GRUPOS• Grupos en un equipo local, llamados grupos locales– Se crean en equipos que son estaciones de trabajo independientes oservidores miembro, pero NO en controladores de dominio– Residen en SAM (Security Accounts Manager)– Se usan para otorgar permisos a recursos y otorgar derechos paralas tareas del sistema en el equipo local

• Grupos en un dominio:– Se crean únicamente en controladores de dominio– Residen en el servicio de directorio Active Directory– Se usan para otorgar permisos a recursos y otorgar derechos paratareas del sistema en cualquier equipo del dominio

Tipos de grupos de dominio– Grupos de seguridad:• Pueden tener descriptores de seguridad asociados• Permiten asignar permisos para el acceso a los recursoscompartidos en el dominio– Su finalidad es controlar quién puede usar qué recursos• También pueden ser usados para enviar mensajes decorreo– Grupos de distribución:• Se usan para listas de distribución de correo electrónico• A estos grupos no se les puede asignar permisos para elacceso a los recursos

Ámbito de grupos de seguridad de dominio– El ámbito de un grupo determina dónde se usará ese grupo, y

afectaa la pertenencia del grupo y al anidamiento de grupos (agrupar

grupos comomiembros de otros grupos)– Grupos de ámbito local de dominio (grupos locales de

dominio): seusan para garantizar permisos a recursos de dominio situados en

elmismo dominio• Están pensados para ayudar a administrar el acceso a los

recursos, tales como impresoras y carpetas compartidas• El recurso no tiene por qué residir en un controlador de

dominio,puede estar en un servidor miembro

– Grupos de ámbito global (grupos globales): se usanpara otorgar permisos a objetos del dominio• Están pensados para administrar cuentas de usuario y grupo enel dominio particular• Se incluyen en un grupo de dominio local para acceder a susrecursos

Grupos de ámbito universal (grupos universales): seusan para otorgar permisos a gran escala en el árbol dedominio o en el bosque• Usados para conceder permisos de acceso a recursos

situados encualquier dominio• Pensados para consolidar grupos que abarcan varios

dominios.Normalmente se agregan grupos globales como

miembros• Tienen pertenencia abierta, pueden tener como

miembros cualquiercuenta de usuario del dominio, grupos globales y

universales decualquier dominio

UNIDAD ORGANIZATIVA Una OU es, al fin y al cabo, un tipo particular y útil

objeto de Active Directory contenido en un dominio. Las OUs son útiles porque pueden usarse para organizar cientos de objetos en el directorio dentro de unidades administrables. Usaremos las OUs para agrupar y organizar objetos con propósitos administrativos, como delegar derechos administrativos y asignar políticas para una colección de objetos como una unidad simple.

En  un primer resumen:- Permiten organizar objetos en un dominio- Nos permiten delegar control administrativo- Simplifican la administración de los recursos

comúnmente agrupados.

Organiza objetos en un dominio:- Las OUs contienen los objetos del dominio,

como cuentas de usuario, equipo y grupos. Archivos e impresoras compartidas publicados en AD también pueden estar dentro de una OU.

 Delegar control administrativo:- Podemos asignar control administrativo, como

el control total de permisos sobre objetos de la OU, o de forma limitada a modificar la información de correo electrónico de los usuariosde la OU. Para delegar control administrativo podemos especificar permisos en la propia OU y los objetos que contiene para uno o varios usuarios y grupos.

Simplifican la administración de recursos comúnmente agrupados:

- Podemos delegar privilegios administrativos sobre atributos individuales en objetos individuales de AD, pero normalmente usaremos las OU para delegar esa autoridad administrativa. Un usuario puede tener privilegios administrativos sobre una OU o toas las OUs de un dominio. Utilizándolas podemos crear contenedores que dentro del dominio representen la jerarquía o las estructuras lógicas de la empresa. Podemos entonces administrar la configuración y uso de las cuentas y recursos basándonos en nuestro modelo de organización.