mod2-clase1

8/4/2019 mod2-clase1

1/33

Creacin yadministracin de

objetos deActive Directory


2/33

Introduccin

Creacin de unidades organizativas,cuentas de usuario y cuentas de equipo

Creacin y modificacin de grupos

Estrategias para el uso de grupos

Uso de permisos para controlar elacceso a los objetos de Active Directory

Delegar el control de los objetos deActive Directory para lograr una

administracin segura ydescentralizada

Mover objetos de Active Directory


3/33

organizativas, cuentas de usuario ycuentas de equipo

Modelos jerrquicos de unidadorganizativa

Nombres asociados a las unidadesorganizativas

Cmo crear una unidad organizativaCmo crear una cuenta de usuario

Cmo y dnde crear cuentas de equipoen un dominio

Opciones de cuenta de equipo

Cmo crear una cuenta de equipo


4/33

Modelos jerrquicos de unidadorganizativa

Basado en la funcinS

C M

Ejemplo de modelohbrido

Funcin Organizacin

Ubicacin

FuncinOrganizacin Ubicacin

Basado en laorganizacin

M

E R

Basado en la ubicacin

N

F I

S SalesC ConsultantsM Marketing

M ManufacturingE EngineeringR Research

N NorwayF FranceI Indonesia


5/33

Nombres asociados a las unidadesorganizativas

Nombre Ejemplo

Nombre completo

relativo LDAP

OU=MiUnidadOrganizativa

Nombre completoLDAP

OU=MiUnidadOrganizativa,DC=microsoft, DC=com

Nombre cannico Microsoft.com/MiUnidadOrganizativa


6/33

Cmo y dnde crear cuentas de equipoen un dominio

Los administradores pueden:

Los administradores pueden:Crear una cuenta de equipo en una unidadorganizativa especfica

Crear una cuenta de equipo en una unidadorganizativa especfica

Crear una cuenta de equipo en el contenedorEquipos y, a continuacin, moverla a la unidadorganizativa correspondiente

Crear una cuenta de equipo en el contenedorEquipos y, a continuacin, moverla a la unidadorganizativa correspondienteCrear cuentas ensayadas previamente para losusuariosque se unen a un dominio

Crear cuentas ensayadas previamente para losusuariosque se unen a un dominio

Los usuarios pueden:

Los usuarios pueden:

Utilizar una cuenta ensayada previamente paraunir una cuenta de equipo al dominio

Utilizar una cuenta ensayada previamente paraunir una cuenta de equipo al dominio

Unir una cuenta de equipo al dominio y despusagregarla al contenedor Equipos de ActiveDirectory

Unir una cuenta de equipo al dominio y despusagregarla al contenedor Equipos de ActiveDirectory


7/33

Opciones de cuenta de equipo


8/33

Leccin: Creacin y modificacinde grupos

Qu son los grupos?Presentacin multimedia: Servidor decatlogo global

Grupos y niveles funcionales de dominio

Cmo decidir el tipo y el mbito de ungrupo

Cmo crear un grupo

Cambiar el mbito y el tipo de un grupoCmo modificar un grupo


9/33

Grupo VentasGrupo Ventas

Jefes de ventasRepresentantes de ventasAsistentes de ventas

Jefes de ventasRepresentantes de ventasAsistentes de ventas

Qu son los grupos?

Un grupo es un conjunto de usuarios,

equipos, contactos y otros gruposLos grupos simplifican la administracin alpermitir asignar privilegios a mltiplesusuarios de una sola vezTipo de

grupoSe utiliza para

Seguridad Designar derechos de usuario y permisosPuede utilizarse como una lista de distribucin decorreo electrnico

Distribution Asignar listas de usuarios a aplicaciones de correoelectrnicoNo puede usarse para asignar permisos

mbitode grupo

Descripcin

Global Administrar objetos de directorio que requieren

mantenimiento diario, como las cuentas de usuarioy de equipo

Universal Consolidar grupos que abarcan varios dominios

Dominiolocal

Definir y administrar el acceso a los recursos en unmismo dominio


10/33

Presentacin multimedia: Servidor decatlogo global

En esta presentacin seintroducenlas funciones del catlogoglobal de Active Directory

G i l f i l d


11/33

Grupos y niveles funcionales dedominio

Windows 2000mixto

(predeterminado)

Windows2000 nativo

WindowsServer 2003

Controladores dedominioadmitidos

Windows NTServer 4.0,Windows 2000,

WindowsServer 2003

Windows2000,WindowsServer 2003

WindowsServer 2003

mbitosde grupoadmitidos

Global,Dominio local Global,Dominiolocal,Universal

Global,Dominiolocal,Universal


12/33

Cmo decidir el tipo y el mbito de ungrupo

Grupo Se utiliza paraGrupoglobal

Organizar los usuarios con trabajos yrequisitos de acceso a la red similares

No crear un grupo global para el accesoa recursos especficos del dominio

Grupouniversal

Anidar grupos globales para asignarpermisos sobre los recursosrelacionados de varios dominios

Grupo de

dominio local

Asignar permisos para los recursosubicados en el mismo dominio que el

grupo localUbicar todos los grupos globales quecomparten los mismos recursos en elgrupo de dominio local adecuado

Grupo local Asignar permisos para recursosubicados en el equipo en el que se ha

C bi l bit l ti d


13/33

Cambiar el mbito y el tipo de ungrupo

Cambiar el mbito de grupoDe global a universal

De dominio local a universal

De universal a globalDe universal a dominio local

Cambiar el tipo de grupo

De seguridad a distribucinDe distribucin a seguridad

L i E t t i l


14/33

Leccin: Estrategias para el usode grupos

Qu es el anidamiento de grupos?Presentacin multimedia: Estrategia deutilizacin de los grupos en un nicodominio

Grupos predeterminados y grupos desistema

Q l id i t d


15/33

Grupo

GrupoGrupoGrupoGrupo

Qu es el anidamiento degrupos?

Los grupos pueden anidarse paraconsolidar su administracin

El diseo de la red debe limitarse a un nivel

de anidamientoLas opciones de anidamiento varan segnel nivel funcional del dominio de WindowsServer 2003

Windows 2000 nativo

Windows 2000 mixto

El anidamiento de grupos significa agregarun grupo como integrante de otro grupoEl anidamiento de grupos significa agregar

un grupo como integrante de otro grupo

GrupoGrupoGrupoGrupo


16/33

utilizacin de los grupos en un nicodominio

Esta presentacin explica laestrategia AGDLP para el usode grupos

AA GGDLDL P

P

D b d l l U ili


17/33

Debate de la clase: Utilizar grupos enun nico dominio

Situacin de ejemplo 1Northwind Traders tiene un solo dominioubicado en Pars, Francia

Los administradores de Northwind Tradersnecesitan tener accesoa la base de datos de inventario

Qu puede hacer para garantizar que todos losadministradores

tengan acceso a dicha base de datos?

Situacin de ejemplo 2

Northwind Traders desea que todos los datosde contabilidad estn a disposicin delpersonal contable

Northwind Traders desea crear la estructurade grupos de toda la divisin de contabilidad,

que incluye los departamentos de cuentas porpagar y cuentas por cobrar

G pos p edete minados pos


18/33

Grupos predeterminados y gruposde sistema

Grupo Descripcin Se utilizan para

Grupospredeterminados

Grupos creados durante lainstalacin que recibenautomticamente unconjuntode derechos de usuario

Controlar el acceso a losrecursos compartidos ydelegar tareasadministrativasespecficas

Grupos desistema Grupos de sistema querepresentan a usuariosdiferentes en momentosdiferentes

Ejemplos : Annimo, Todosy Red

Conceder derechos deusuario y permisos

Consideraciones de seguridad

En lugar de: Intente:

Agregar un usuario a ungrupo predeterminado

Agregar el usuario a un nuevo grupo deseguridad que tenga asignados losprivilegios mnimos necesarios

Iniciar una sesininteractiva con credencialesadministrativas

Iniciar una sesin sin derechos deadministracin y utilizar el comandoEjecutar como


19/33

predeterminados frente a creacin denuevos grupos

Northwind Traders tiene ms de 100servidores en todo el mundo

Usted debe recomendar el nivel deacceso mnimo que requieren los

usuarios para realizar tareasespecficas

Debe decidir si:

Utilizar grupos predeterminados

Crear grupos y, despus, asignarlesderechos de usuario y permisosespecficos para realizar tareasdeterminadas


20/33

controlar el acceso a los objetos deActive Directory

Presentacin multimedia: La estructurade unidades organizativas

Qu son los permisos de objeto deActive Directory?

Caractersticas de los permisos de

objeto de Active DirectoryHerencia de permisos

Efectos de modificar los objetos en laherencia de permisos

Cmo modificar los permisos de objetosde Active Directory

Permisos efectivos de objetos de ActiveDirectory

Cmo determinar los permisos efectivos

de objetos


21/33

estructura de unidadesorganizativas

En esta presentacin seexplica lo siguiente:

Uso de las unidadesorganizativas

para agrupar objetos y lograruna administracin msefectiva

Los dos propsitos principales

de una jerarqua de unidadorganizativa

Qu son los permisos de objeto de


22/33

Qu son los permisos de objeto deActive Directory?

Permiso Permite al usuario:Control total Cambiar los permisos, tomar posesin y

realizar las tareas que permiten todoslos dems permisos estndar

Escribir Cambiar los atributos del objeto

Leer Ver los objetos, atributos de objeto, elpropietario del objeto y los permisos deActive Directory

Crear todos

los objetossecundarios

Agregar cualquier tipo de objeto a una

unidad organizativa

Eliminar todoslos objetossecundarios

Quitar cualquier tipo de objetosecundario de una unidad organizativa

Caractersticas de los permisos de objeto


23/33

Caractersticas de los permisos de objetode Active Directory

Los permisos de objeto de ActiveDirectory pueden ser:

Concedidos o denegados

Denegados implcita o explcitamente

Establecidos como permisos estndar oespecialesLospermisos estndarson los quese asignan

con mayor frecuenciaLospermisos especialesproporcionan un mayor gradode control para asignar el acceso alos objetos


24/33

Herencia de permisos

Los contenedores secundarios y susobjetos heredan los permisosestablecidos en su contenedor principal

Los permisos heredables se propagandel objeto principal a un objeto

secundario: Al crear el objeto secundario

Cuando se modifican los permisos en elobjeto principal

Contenedor

principal

Acceso

Acceso

Usuario 1Usuario 1 LeerLeer

Grupo 1Grupo 1Control totalControl total

Usuario 1Usuario 1 LeerLeer

Grupo 1Grupo 1Control totalControl total

Contenedorsecundario

Los usuarios tienenasignado permiso de

acceso para el

contenedor principal

Loscontenedo

ressecundario

sheredan

lospermisos

Permisos

Permisos

Efectos de modificar los objetos en la


25/33

Efectos de modificar los objetos en laherencia de permisos

Al mover un objeto de una unidadorganizativa a otra se ve afectada laherencia de permisos:

Los permisos establecidos explcitamente

se mantienen Los objetos movidos heredan los permisosde la nueva unidad organizativa principal

Los objetos movidos ya no heredan los

permisos de la unidad organizativaanterior

Impedir la herencia de permisosestableciendo permisos explcitos para

un objeto secundario

Permisos efectivos de objetos de


26/33

Permisos efectivos de objetos deActive Directory

Caractersticas de los permisos efectivos:

Los permisos son acumulativos La denegacin de permisos prevalece sobre

todos losdems permisos

Los propietarios de los objetos siemprepueden cambiarlos permisos

Son necesarios permisos para leer lainformacin

de permisos efectivos: Los administradores de dominio tienen

permiso para leer la informacin depertenencia de todos los objetos

Los usuarios autenticados del dominiopueden leer la informacin de pertenencia


27/33

de Active Directory para lograr unaadministracin segura y descentralizada

Delegacin del control de una unidadorganizativa

Asistente para delegacin de control

Cmo delegar el control de una unidad

organizativaPor qu asignar un administrador a ungrupo?

Cmo asignar un administrador a un

grupo

Delegacin del control de una unidad


28/33

Delegacin del control de una unidadorganizativa

Por qu delegar laadministracin La administracin de lared es ms sencillaporque las tareasrutinarias se distribuyen Los usuarios tienen un

mayor control de losrecursos de red locales Son necesarias menoscuentas administrativascon autoridad amplia

Asignacin de la responsabilidad deadministrar una unidad organizativa a otrousuario o grupo

Dominio

UO1

UO2

Admin2Admin2

Admin1Admin1

Admin3Admin3

UO3

Asistente para delegacin de


29/33

Asistente para delegacin decontrol

Con el Asistente para delegacin decontrol puede especificar:

El usuario o grupo en el que deseadelegar el control

Las unidades organizativas y los objetoscuyo control desea delegar en el usuario ogrupo

Las tareas que desea que el usuario o

grupo pueda realizarEl Asistente para delegacin de controlasigna automticamente a los usuarioslos permisos necesarios para el acceso

y modificacin de losob etos es ecificados

Ejercicio: Delegar el control de una


30/33

Ejercicio: Delegar el control de unaunidad organizativa

En este ejercicio, se ocuparde:

Delegar el control de launidad organizativa

Computers Probar los permisos

delegados para la unidadorganizativa Computers

Delegar el control de launidad organizativa Users

Probar los permisosdelegados para la unidad

organizativa Users

Por qu asignar un


31/33

Por qu asignar unadministrador a un grupo?

Para permitirle:

Determinar quin es el responsable decada grupo

Delegar en el administrador del grupo laautoridad para agregar y quitar usuariosdel grupo

Para distribuir la responsabilidad

administrativade agregar usuarios a los grupos a

GrupoGrupoAdministradorAdministrador

Leccin: Mover objetos de Active


32/33

Leccin: Mover objetos de ActiveDirectory

Cundo es conveniente mover unobjetode Active Directory?

Cmo mover un objeto de ActiveDirectory

Cundo es conveniente mover un


33/33

Unidad organizativa 1

Unidad organizativa 2

Dominio

Cundo es conveniente mover unobjeto de Active Directory?

mod2-clase1

Documents