mod2-clase1
TRANSCRIPT
-
8/4/2019 mod2-clase1
1/33
Creacin yadministracin de
objetos deActive Directory
-
8/4/2019 mod2-clase1
2/33
Introduccin
Creacin de unidades organizativas,cuentas de usuario y cuentas de equipo
Creacin y modificacin de grupos
Estrategias para el uso de grupos
Uso de permisos para controlar elacceso a los objetos de Active Directory
Delegar el control de los objetos deActive Directory para lograr una
administracin segura ydescentralizada
Mover objetos de Active Directory
-
8/4/2019 mod2-clase1
3/33
organizativas, cuentas de usuario ycuentas de equipo
Modelos jerrquicos de unidadorganizativa
Nombres asociados a las unidadesorganizativas
Cmo crear una unidad organizativaCmo crear una cuenta de usuario
Cmo y dnde crear cuentas de equipoen un dominio
Opciones de cuenta de equipo
Cmo crear una cuenta de equipo
-
8/4/2019 mod2-clase1
4/33
Modelos jerrquicos de unidadorganizativa
Basado en la funcinS
C M
Ejemplo de modelohbrido
Funcin Organizacin
Ubicacin
FuncinOrganizacin Ubicacin
Basado en laorganizacin
M
E R
Basado en la ubicacin
N
F I
S SalesC ConsultantsM Marketing
M ManufacturingE EngineeringR Research
N NorwayF FranceI Indonesia
-
8/4/2019 mod2-clase1
5/33
Nombres asociados a las unidadesorganizativas
Nombre Ejemplo
Nombre completo
relativo LDAP
OU=MiUnidadOrganizativa
Nombre completoLDAP
OU=MiUnidadOrganizativa,DC=microsoft, DC=com
Nombre cannico Microsoft.com/MiUnidadOrganizativa
-
8/4/2019 mod2-clase1
6/33
Cmo y dnde crear cuentas de equipoen un dominio
Los administradores pueden:
Los administradores pueden:Crear una cuenta de equipo en una unidadorganizativa especfica
Crear una cuenta de equipo en una unidadorganizativa especfica
Crear una cuenta de equipo en el contenedorEquipos y, a continuacin, moverla a la unidadorganizativa correspondiente
Crear una cuenta de equipo en el contenedorEquipos y, a continuacin, moverla a la unidadorganizativa correspondienteCrear cuentas ensayadas previamente para losusuariosque se unen a un dominio
Crear cuentas ensayadas previamente para losusuariosque se unen a un dominio
Los usuarios pueden:
Los usuarios pueden:
Utilizar una cuenta ensayada previamente paraunir una cuenta de equipo al dominio
Utilizar una cuenta ensayada previamente paraunir una cuenta de equipo al dominio
Unir una cuenta de equipo al dominio y despusagregarla al contenedor Equipos de ActiveDirectory
Unir una cuenta de equipo al dominio y despusagregarla al contenedor Equipos de ActiveDirectory
-
8/4/2019 mod2-clase1
7/33
Opciones de cuenta de equipo
-
8/4/2019 mod2-clase1
8/33
Leccin: Creacin y modificacinde grupos
Qu son los grupos?Presentacin multimedia: Servidor decatlogo global
Grupos y niveles funcionales de dominio
Cmo decidir el tipo y el mbito de ungrupo
Cmo crear un grupo
Cambiar el mbito y el tipo de un grupoCmo modificar un grupo
-
8/4/2019 mod2-clase1
9/33
Grupo VentasGrupo Ventas
Jefes de ventasRepresentantes de ventasAsistentes de ventas
Jefes de ventasRepresentantes de ventasAsistentes de ventas
Qu son los grupos?
Un grupo es un conjunto de usuarios,
equipos, contactos y otros gruposLos grupos simplifican la administracin alpermitir asignar privilegios a mltiplesusuarios de una sola vezTipo de
grupoSe utiliza para
Seguridad Designar derechos de usuario y permisosPuede utilizarse como una lista de distribucin decorreo electrnico
Distribution Asignar listas de usuarios a aplicaciones de correoelectrnicoNo puede usarse para asignar permisos
mbitode grupo
Descripcin
Global Administrar objetos de directorio que requieren
mantenimiento diario, como las cuentas de usuarioy de equipo
Universal Consolidar grupos que abarcan varios dominios
Dominiolocal
Definir y administrar el acceso a los recursos en unmismo dominio
-
8/4/2019 mod2-clase1
10/33
Presentacin multimedia: Servidor decatlogo global
En esta presentacin seintroducenlas funciones del catlogoglobal de Active Directory
G i l f i l d
-
8/4/2019 mod2-clase1
11/33
Grupos y niveles funcionales dedominio
Windows 2000mixto
(predeterminado)
Windows2000 nativo
WindowsServer 2003
Controladores dedominioadmitidos
Windows NTServer 4.0,Windows 2000,
WindowsServer 2003
Windows2000,WindowsServer 2003
WindowsServer 2003
mbitosde grupoadmitidos
Global,Dominio local Global,Dominiolocal,Universal
Global,Dominiolocal,Universal
-
8/4/2019 mod2-clase1
12/33
Cmo decidir el tipo y el mbito de ungrupo
Grupo Se utiliza paraGrupoglobal
Organizar los usuarios con trabajos yrequisitos de acceso a la red similares
No crear un grupo global para el accesoa recursos especficos del dominio
Grupouniversal
Anidar grupos globales para asignarpermisos sobre los recursosrelacionados de varios dominios
Grupo de
dominio local
Asignar permisos para los recursosubicados en el mismo dominio que el
grupo localUbicar todos los grupos globales quecomparten los mismos recursos en elgrupo de dominio local adecuado
Grupo local Asignar permisos para recursosubicados en el equipo en el que se ha
C bi l bit l ti d
-
8/4/2019 mod2-clase1
13/33
Cambiar el mbito y el tipo de ungrupo
Cambiar el mbito de grupoDe global a universal
De dominio local a universal
De universal a globalDe universal a dominio local
Cambiar el tipo de grupo
De seguridad a distribucinDe distribucin a seguridad
L i E t t i l
-
8/4/2019 mod2-clase1
14/33
Leccin: Estrategias para el usode grupos
Qu es el anidamiento de grupos?Presentacin multimedia: Estrategia deutilizacin de los grupos en un nicodominio
Grupos predeterminados y grupos desistema
Q l id i t d
-
8/4/2019 mod2-clase1
15/33
Grupo
GrupoGrupoGrupoGrupo
Qu es el anidamiento degrupos?
Los grupos pueden anidarse paraconsolidar su administracin
El diseo de la red debe limitarse a un nivel
de anidamientoLas opciones de anidamiento varan segnel nivel funcional del dominio de WindowsServer 2003
Windows 2000 nativo
Windows 2000 mixto
El anidamiento de grupos significa agregarun grupo como integrante de otro grupoEl anidamiento de grupos significa agregar
un grupo como integrante de otro grupo
GrupoGrupoGrupoGrupo
-
8/4/2019 mod2-clase1
16/33
utilizacin de los grupos en un nicodominio
Esta presentacin explica laestrategia AGDLP para el usode grupos
AA GGDLDL P
P
D b d l l U ili
-
8/4/2019 mod2-clase1
17/33
Debate de la clase: Utilizar grupos enun nico dominio
Situacin de ejemplo 1Northwind Traders tiene un solo dominioubicado en Pars, Francia
Los administradores de Northwind Tradersnecesitan tener accesoa la base de datos de inventario
Qu puede hacer para garantizar que todos losadministradores
tengan acceso a dicha base de datos?
Situacin de ejemplo 2
Northwind Traders desea que todos los datosde contabilidad estn a disposicin delpersonal contable
Northwind Traders desea crear la estructurade grupos de toda la divisin de contabilidad,
que incluye los departamentos de cuentas porpagar y cuentas por cobrar
G pos p edete minados pos
-
8/4/2019 mod2-clase1
18/33
Grupos predeterminados y gruposde sistema
Grupo Descripcin Se utilizan para
Grupospredeterminados
Grupos creados durante lainstalacin que recibenautomticamente unconjuntode derechos de usuario
Controlar el acceso a losrecursos compartidos ydelegar tareasadministrativasespecficas
Grupos desistema Grupos de sistema querepresentan a usuariosdiferentes en momentosdiferentes
Ejemplos : Annimo, Todosy Red
Conceder derechos deusuario y permisos
Consideraciones de seguridad
En lugar de: Intente:
Agregar un usuario a ungrupo predeterminado
Agregar el usuario a un nuevo grupo deseguridad que tenga asignados losprivilegios mnimos necesarios
Iniciar una sesininteractiva con credencialesadministrativas
Iniciar una sesin sin derechos deadministracin y utilizar el comandoEjecutar como
-
8/4/2019 mod2-clase1
19/33
predeterminados frente a creacin denuevos grupos
Northwind Traders tiene ms de 100servidores en todo el mundo
Usted debe recomendar el nivel deacceso mnimo que requieren los
usuarios para realizar tareasespecficas
Debe decidir si:
Utilizar grupos predeterminados
Crear grupos y, despus, asignarlesderechos de usuario y permisosespecficos para realizar tareasdeterminadas
-
8/4/2019 mod2-clase1
20/33
controlar el acceso a los objetos deActive Directory
Presentacin multimedia: La estructurade unidades organizativas
Qu son los permisos de objeto deActive Directory?
Caractersticas de los permisos de
objeto de Active DirectoryHerencia de permisos
Efectos de modificar los objetos en laherencia de permisos
Cmo modificar los permisos de objetosde Active Directory
Permisos efectivos de objetos de ActiveDirectory
Cmo determinar los permisos efectivos
de objetos
-
8/4/2019 mod2-clase1
21/33
estructura de unidadesorganizativas
En esta presentacin seexplica lo siguiente:
Uso de las unidadesorganizativas
para agrupar objetos y lograruna administracin msefectiva
Los dos propsitos principales
de una jerarqua de unidadorganizativa
Qu son los permisos de objeto de
-
8/4/2019 mod2-clase1
22/33
Qu son los permisos de objeto deActive Directory?
Permiso Permite al usuario:Control total Cambiar los permisos, tomar posesin y
realizar las tareas que permiten todoslos dems permisos estndar
Escribir Cambiar los atributos del objeto
Leer Ver los objetos, atributos de objeto, elpropietario del objeto y los permisos deActive Directory
Crear todos
los objetossecundarios
Agregar cualquier tipo de objeto a una
unidad organizativa
Eliminar todoslos objetossecundarios
Quitar cualquier tipo de objetosecundario de una unidad organizativa
Caractersticas de los permisos de objeto
-
8/4/2019 mod2-clase1
23/33
Caractersticas de los permisos de objetode Active Directory
Los permisos de objeto de ActiveDirectory pueden ser:
Concedidos o denegados
Denegados implcita o explcitamente
Establecidos como permisos estndar oespecialesLospermisos estndarson los quese asignan
con mayor frecuenciaLospermisos especialesproporcionan un mayor gradode control para asignar el acceso alos objetos
-
8/4/2019 mod2-clase1
24/33
Herencia de permisos
Los contenedores secundarios y susobjetos heredan los permisosestablecidos en su contenedor principal
Los permisos heredables se propagandel objeto principal a un objeto
secundario: Al crear el objeto secundario
Cuando se modifican los permisos en elobjeto principal
Contenedor
principal
Acceso
Acceso
Usuario 1Usuario 1 LeerLeer
Grupo 1Grupo 1Control totalControl total
Usuario 1Usuario 1 LeerLeer
Grupo 1Grupo 1Control totalControl total
Contenedorsecundario
Los usuarios tienenasignado permiso de
acceso para el
contenedor principal
Loscontenedo
ressecundario
sheredan
lospermisos
Permisos
Permisos
Efectos de modificar los objetos en la
-
8/4/2019 mod2-clase1
25/33
Efectos de modificar los objetos en laherencia de permisos
Al mover un objeto de una unidadorganizativa a otra se ve afectada laherencia de permisos:
Los permisos establecidos explcitamente
se mantienen Los objetos movidos heredan los permisosde la nueva unidad organizativa principal
Los objetos movidos ya no heredan los
permisos de la unidad organizativaanterior
Impedir la herencia de permisosestableciendo permisos explcitos para
un objeto secundario
Permisos efectivos de objetos de
-
8/4/2019 mod2-clase1
26/33
Permisos efectivos de objetos deActive Directory
Caractersticas de los permisos efectivos:
Los permisos son acumulativos La denegacin de permisos prevalece sobre
todos losdems permisos
Los propietarios de los objetos siemprepueden cambiarlos permisos
Son necesarios permisos para leer lainformacin
de permisos efectivos: Los administradores de dominio tienen
permiso para leer la informacin depertenencia de todos los objetos
Los usuarios autenticados del dominiopueden leer la informacin de pertenencia
-
8/4/2019 mod2-clase1
27/33
de Active Directory para lograr unaadministracin segura y descentralizada
Delegacin del control de una unidadorganizativa
Asistente para delegacin de control
Cmo delegar el control de una unidad
organizativaPor qu asignar un administrador a ungrupo?
Cmo asignar un administrador a un
grupo
Delegacin del control de una unidad
-
8/4/2019 mod2-clase1
28/33
Delegacin del control de una unidadorganizativa
Por qu delegar laadministracin La administracin de lared es ms sencillaporque las tareasrutinarias se distribuyen Los usuarios tienen un
mayor control de losrecursos de red locales Son necesarias menoscuentas administrativascon autoridad amplia
Asignacin de la responsabilidad deadministrar una unidad organizativa a otrousuario o grupo
Dominio
UO1
UO2
Admin2Admin2
Admin1Admin1
Admin3Admin3
UO3
Asistente para delegacin de
-
8/4/2019 mod2-clase1
29/33
Asistente para delegacin decontrol
Con el Asistente para delegacin decontrol puede especificar:
El usuario o grupo en el que deseadelegar el control
Las unidades organizativas y los objetoscuyo control desea delegar en el usuario ogrupo
Las tareas que desea que el usuario o
grupo pueda realizarEl Asistente para delegacin de controlasigna automticamente a los usuarioslos permisos necesarios para el acceso
y modificacin de losob etos es ecificados
Ejercicio: Delegar el control de una
-
8/4/2019 mod2-clase1
30/33
Ejercicio: Delegar el control de unaunidad organizativa
En este ejercicio, se ocuparde:
Delegar el control de launidad organizativa
Computers Probar los permisos
delegados para la unidadorganizativa Computers
Delegar el control de launidad organizativa Users
Probar los permisosdelegados para la unidad
organizativa Users
Por qu asignar un
-
8/4/2019 mod2-clase1
31/33
Por qu asignar unadministrador a un grupo?
Para permitirle:
Determinar quin es el responsable decada grupo
Delegar en el administrador del grupo laautoridad para agregar y quitar usuariosdel grupo
Para distribuir la responsabilidad
administrativade agregar usuarios a los grupos a
GrupoGrupoAdministradorAdministrador
Leccin: Mover objetos de Active
-
8/4/2019 mod2-clase1
32/33
Leccin: Mover objetos de ActiveDirectory
Cundo es conveniente mover unobjetode Active Directory?
Cmo mover un objeto de ActiveDirectory
Cundo es conveniente mover un
-
8/4/2019 mod2-clase1
33/33
Unidad organizativa 1
Unidad organizativa 2
Dominio
Cundo es conveniente mover unobjeto de Active Directory?