Transcript Creación y administración de objetos de Active

Creación y administración
de objetos de
Active Directory
Introducción
Creación de unidades organizativas, cuentas de usuario
y cuentas de equipo
Creación y modificación de grupos
Estrategias para el uso de grupos
Uso de permisos para controlar el acceso a los objetos
de Active Directory
Delegar el control de los objetos de Active Directory
para lograr una administración segura y descentralizada
Mover objetos de Active Directory
Lección: Creación de unidades organizativas, cuentas
de usuario y cuentas de equipo
Modelos jerárquicos de unidad organizativa
Nombres asociados a las unidades organizativas
Cómo crear una unidad organizativa
Cómo crear una cuenta de usuario
Cómo y dónde crear cuentas de equipo en un dominio
Opciones de cuenta de equipo
Cómo crear una cuenta de equipo
Modelos jerárquicos de unidad organizativa
Basado en la función
S
C
M
Ejemplo de modelo híbrido
S – Sales
C – Consultants
M – Marketing
Función
 Organización
Basado en la organización
M
E
R
M – Manufacturing
E – Engineering
R – Research
Basado en la ubicación
N
F
I
N – Norway
F – France
I – Indonesia
Ubicación
 Función
Organización
 Ubicación
Nombres asociados a las unidades organizativas
Nombre
Ejemplo
Nombre completo
relativo LDAP
OU=MiUnidadOrganizativa
Nombre completo
LDAP
OU=MiUnidadOrganizativa,
DC=microsoft, DC=com
Nombre canónico
Microsoft.com/MiUnidadOrganizativa
Cómo y dónde crear cuentas de equipo en un dominio
Los administradores pueden:
Crear una cuenta de equipo en una unidad organizativa
específica
Crear una cuenta de equipo en el contenedor Equipos y, a
continuación, moverla a la unidad organizativa correspondiente
Crear cuentas ensayadas previamente para los usuarios
que se unen a un dominio
Los usuarios pueden:
Utilizar una cuenta ensayada previamente para unir una cuenta
de equipo al dominio
Unir una cuenta de equipo al dominio y después agregarla al
contenedor Equipos de Active Directory
Opciones de cuenta de equipo
Lección: Creación y modificación de grupos
¿Qué son los grupos?
Presentación multimedia: Servidor de catálogo global
Grupos y niveles funcionales de dominio
Cómo decidir el tipo y el ámbito de un grupo
Cómo crear un grupo
Cambiar el ámbito y el tipo de un grupo
Cómo modificar un grupo
¿Qué son los grupos?
Un grupo es un conjunto de usuarios, equipos, contactos y
otros grupos
Los grupos simplifican la administración al permitir asignar
privilegios a múltiples usuarios de una sola vez
Tipo de
grupo
Se utiliza para
Jefes de ventas
Designar derechos de usuario y permisos
Representantes de ventas
Segurida
unaVentas
lista de distribución
Grupo
Asistentes dePuede
ventas utilizarse como
d Ámbito
de correo electrónico
Descripción
Asignar
listas
dedeusuarios
aque
aplicaciones
de
Administrar
objetos
directorio
requieren
Distributi
correo
electrónico
Global
mantenimiento
diario, como las cuentas de usuario y de
on
equipo
No
puede usarse para asignar permisos
de grupo
Universal
Consolidar grupos que abarcan varios dominios
Dominio
local
Definir y administrar el acceso a los recursos en un mismo
dominio
Presentación multimedia: Servidor de catálogo global
En esta presentación se introducen
las funciones del catálogo global de
Active Directory
Grupos y niveles funcionales de dominio
Windows 2000
mixto
(predeterminado)
Windows
2000 nativo
Windows
Server 2003
Windows NT
Controladore Server 4.0,
s de dominio Windows 2000,
Windows
admitidos
Server 2003
Windows
2000,
Windows
Server 2003
Ámbitos
de grupo
admitidos
Global,
Global,
Dominio local, Dominio local,
Universal
Universal
Global, Dominio
local
Windows
Server 2003
Cómo decidir el tipo y el ámbito de un grupo
Grupo
Grupo
global
Grupo
universal
Grupo de
dominio local
Grupo local
Se utiliza para
Organizar los usuarios con trabajos y requisitos de
acceso a la red similares
No crear un grupo global para el acceso a
recursos específicos del dominio
Anidar grupos globales para asignar permisos
sobre los recursos relacionados de varios
dominios
Asignar permisos para los recursos ubicados en el
mismo dominio que el grupo local
Ubicar todos los grupos globales que comparten
los mismos recursos en el grupo de dominio local
adecuado
Asignar permisos para recursos ubicados en el
equipo en el que se ha creado el grupo local
Cambiar el ámbito y el tipo de un grupo
Cambiar el ámbito de grupo
 De global a universal
 De dominio local a universal
 De universal a global
 De universal a dominio local
Cambiar el tipo de grupo
 De seguridad a distribución
 De distribución a seguridad
Lección: Estrategias para el uso de grupos
¿Qué es el anidamiento de grupos?
Presentación multimedia: Estrategia de utilización de los
grupos en un único dominio
Grupos predeterminados y grupos de sistema
¿Qué es el anidamiento de grupos?
El anidamiento de grupos significa agregar
un grupo como integrante de otro grupo
Grupo
Grupo
Grupo
Grupo
Grupo
Los grupos pueden anidarse para consolidar su
administración
El diseño de la red debe limitarse a un nivel de anidamiento
Las opciones de anidamiento varían según el nivel funcional
del dominio de Windows Server 2003
 Windows 2000 nativo
 Windows 2000 mixto
Presentación multimedia: Estrategia de utilización de los
grupos en un único dominio
Esta presentación explica la estrategia
AGDLP para el uso de grupos
A
G
DL
P
Debate de la clase: Utilizar grupos en un único dominio
Situación de ejemplo 1
Northwind Traders tiene un solo dominio ubicado en París, Francia
Los administradores de Northwind Traders necesitan tener acceso
a la base de datos de inventario
¿Qué puede hacer para garantizar que todos los administradores
tengan acceso a dicha base de datos?
Situación de ejemplo 2
Northwind Traders desea que todos los datos de contabilidad estén
a disposición del personal contable
Northwind Traders desea crear la estructura de grupos de toda la
división de contabilidad, que incluye los departamentos de cuentas
por pagar y cuentas por cobrar
¿Qué haría para garantizar que los administradores tengan el acceso
necesario y que haya el mínimo trabajo de administración?
Grupos predeterminados y grupos de sistema
Grupo
Descripción
Se utilizan para
Grupos creados durante la
Controlar el acceso a los
instalación que reciben
Grupos
recursos compartidos y
predetermina automáticamente un
delegar tareas
conjunto
dos
administrativas específicas
de derechos de usuario
Grupos de sistema que
representan a usuarios
diferentes
en momentosde seguridad
Consideraciones
Conceder derechos de
Grupos de
usuario
y permisos
sistemaEn lugardiferentes
de:
Intente:
Ejemplos : Anónimo,
Todos
Agregar el usuario a un nuevo grupo de
Agregar un usuario
a un
y Red
seguridad que tenga asignados los privilegios
grupo predeterminado
mínimos necesarios
Iniciar una sesión
Iniciar una sesión sin derechos de
interactiva con credenciales administración y utilizar el comando Ejecutar
administrativas
como
Debate de la clase: Uso de grupos predeterminados
frente a creación de nuevos grupos

Northwind Traders tiene más de 100 servidores en todo
el mundo

Usted debe recomendar el nivel de acceso mínimo que
requieren los usuarios para realizar tareas específicas

Debe decidir si:
 Utilizar grupos predeterminados
 Crear grupos y, después, asignarles derechos de usuario
y permisos específicos para realizar tareas determinadas
Lección: Uso de permisos para controlar el acceso a los
objetos de Active Directory
Presentación multimedia: La estructura de unidades
organizativas
¿Qué son los permisos de objeto de Active Directory?
Características de los permisos de objeto de Active
Directory
Herencia de permisos
Efectos de modificar los objetos en la herencia de
permisos
Cómo modificar los permisos de objetos de Active
Directory
Permisos efectivos de objetos de Active Directory
Cómo determinar los permisos efectivos de objetos
de Active Directory
Presentación multimedia: La estructura de
unidades organizativas
En esta presentación se explica lo
siguiente:
 Uso de las unidades organizativas
para agrupar objetos y lograr una
administración más efectiva
 Los dos propósitos principales de una
jerarquía de unidad organizativa
¿Qué son los permisos de objeto de Active Directory?
Permiso
Permite al usuario:
Control total
Cambiar los permisos, tomar posesión y
realizar las tareas que permiten todos los
demás permisos estándar
Escribir
Cambiar los atributos del objeto
Leer
Ver los objetos, atributos de objeto, el
propietario del objeto y los permisos de
Active Directory
Crear todos
los objetos
secundarios
Agregar cualquier tipo de objeto a una unidad
organizativa
Eliminar todos
los objetos
secundarios
Quitar cualquier tipo de objeto secundario de
una unidad organizativa
Características de los permisos de objeto de Active Directory
Los permisos de objeto de Active Directory pueden ser:
 Concedidos o denegados
 Denegados implícita o explícitamente
 Establecidos como permisos estándar o especiales
Los permisos estándar son los que se asignan
con mayor frecuencia
Los permisos especiales proporcionan un mayor grado
de control para asignar el acceso a los objetos
 Establecidos en el objeto o heredados del objeto
principal
Herencia de permisos
Los contenedores secundarios y sus objetos heredan
los permisos establecidos en su contenedor principal
Los permisos heredables se propagan del objeto
principal a un objeto secundario:
 Al crear el objeto secundario
 Cuando se modifican los permisos en el objeto principal
Los
contenedores
Leer
Contenedor Usuario 1
principal
Grupo 1 Control total secundarios
heredan los
permisos
Permisos
Acceso
Permisos
Los usuarios tienen asignado
permiso de acceso para el
contenedor principal
Leer
Contenedor Usuario 1
secundario Grupo 1 Control total
Efectos de modificar los objetos en la herencia de permisos
Al mover un objeto de una unidad organizativa a otra se
ve afectada la herencia de permisos:
 Los permisos establecidos explícitamente se mantienen
 Los objetos movidos heredan los permisos de la nueva
unidad organizativa principal
 Los objetos movidos ya no heredan los permisos de la
unidad organizativa anterior
Impedir la herencia de permisos estableciendo permisos
explícitos para un objeto secundario
Permisos efectivos de objetos de Active Directory
Características de los permisos efectivos:
 Los permisos son acumulativos
 La denegación de permisos prevalece sobre todos los
demás permisos
 Los propietarios de los objetos siempre pueden cambiar
los permisos
Son necesarios permisos para leer la información
de permisos efectivos:
 Los administradores de dominio tienen permiso para leer
la información de pertenencia de todos los objetos
 Los usuarios autenticados del dominio pueden leer la
información de pertenencia sólo cuando el dominio se
encuentra en modo de compatibilidad anterior a
Windows 2000
Lección: Delegar el control de los objetos de Active Directory
para lograr una administración segura y descentralizada
Delegación del control de una unidad organizativa
Asistente para delegación de control
Cómo delegar el control de una unidad organizativa
¿Por qué asignar un administrador a un grupo?
Cómo asignar un administrador a un grupo
Delegación del control de una unidad organizativa
Asignación de la responsabilidad de administrar
una unidad organizativa a otro usuario o grupo
Por qué delegar la administración
La administración de la red es
más sencilla porque las tareas
rutinarias se distribuyen
Los usuarios tienen un mayor
control de los recursos de red
locales
Son necesarias menos
cuentas administrativas
con autoridad amplia
Admin2
UO1
UO2
Admin1
UO3
Dominio
Admin3
Asistente para delegación de control
Con el Asistente para delegación de control puede
especificar:
 El usuario o grupo en el que desea delegar el control
 Las unidades organizativas y los objetos cuyo control
desea delegar en el usuario o grupo
 Las tareas que desea que el usuario o grupo pueda
realizar
El Asistente para delegación de control asigna
automáticamente a los usuarios los permisos
necesarios para el acceso y modificación de los
objetos especificados
Ejercicio: Delegar el control de una unidad organizativa
En este ejercicio, se ocupará de:
 Delegar el control de la unidad
organizativa Computers
 Probar los permisos delegados para la
unidad organizativa Computers
 Delegar el control de la unidad
organizativa Users
 Probar los permisos delegados para la
unidad organizativa Users
¿Por qué asignar un administrador a un grupo?
Administrador
Grupo
Para permitirle:
 Determinar quién es el responsable de cada grupo
 Delegar en el administrador del grupo la autoridad para
agregar y quitar usuarios del grupo
Para distribuir la responsabilidad administrativa
de agregar usuarios a los grupos a quienes solicitan
el grupo
Lección: Mover objetos de Active Directory
¿Cuándo es conveniente mover un objeto
de Active Directory?
Cómo mover un objeto de Active Directory
¿Cuándo es conveniente mover un objeto de
Active Directory?
Unidad organizativa 1
Dominio
Unidad organizativa 2