administracion basica de una red windows 2008

ADMINISTRACION BASICA DE UNA RED WINDOWS 2008

Las interrupciones o los problemas de rendimiento de las redes pueden generar un impacto económico significativo en las operaciones diarias. Es fundamental administrar los dispositivos de red para mantener el estado y la integridad de su red. La administración básica de redes (los “servicios” o el “servicio”) ofrece recursos y herramientas de Windows para monitorear y administrar de forma remota la red, lo que le permite a su limitado equipo de TI concentrarse en iniciativas de TI de mayor valor. Windows monitorea de forma proactiva los dispositivos de red las 24 horas del día, los 365 días del año, mediante herramientas automatizadas de Dell. Además de estas herramientas, el Servicio incluye un equipo de ingenieros altamente capacitados que brindan soporte en caso de problemas complejos con la red para diversos niveles de soporte. A fin de adquirir este Servicio, se necesitan cincuenta (50) dispositivos contratados como mínimo.

http://4.bp.blogspot.com/-hrigTIcUOa0/VqxTKup4XmI/AAAAAAAACGc/X3BB_fwz4NY/s1600/contenido.gif

CREAR CUENTAS DE USARIO• Para abrir Usuarios y equipos de Active Directory, haga clic en

Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, vuelva a hacer doble clic en Usuarios y equipos de Active Directory.

• En el árbol de consola, haga clic con el botón secundario en la carpeta a la que desea agregar una cuenta de usuario.r.

• Abrimos nuestra, ya famosa, MMC personalizada.

http://www.aprendeinformaticaconmigo.com/wp-content/uploads/2009/04/w2008gcu01.jpg

Nos posicionamos dentro de “Active Directory Users and Computers” y lo expandimos.

• Nos posicionamos en la OU “gente” dentro del dominio “contoso.com”.

• Boton derecho –> New –> User



Al pulsar en el boton “Next” pasamos a introducir la contraseña para este usuario y activamos la casilla “User must change password at next logon” para que el usuario establezca su contraseña la primera vez que se identifique en el dominio.

En el cuado de dialogo “New Object – User”, rellenamos los campos que vemos en la captura siguiente:



Pulsamos en “Next”.

Y ahora en “Finish”.Una vez creado el usuario, lo seleccionamos. Pulsamos el boton derecho del raton y seleccionamos “Properties”.



En este cuadro de dialogo podemos modificar y/o añadir otras propiedades de la cuenta de usuario.Examinamos un poco las mismas y pulsamos en “Ok”.


Ahora que ya tenemos el usuario “Dani Gonzalez” creado, para practicar un poco mas, podemos crear los suguientes usuarios:

• Juan Gabilondo (jgabilondo)• Sara Gomez (sgomez)• Sara Garcia (sgarcia)• Oscar Abad (oabad) – Aqui creamos una

cuenta con nuestro nombre, cada uno con el suyo.

Repetimos los pasos que hemos realizado antes para crar estas cuentas.Al finalizar el proceso nos quedara algo parecido a lo siguiente:


Ahora nos posicionamos en la OU “administradores” para crear una cuenta propia con permisos administrativos.

Pulsamos boton derecho en la OU “administradores” –> New –> User.


En el cuadro de dialogo “New Object – User”, rellemanos todos los datos necesarios. Fijaos que el nombre de esta cuenta es “oscar_admin”. Esto lo hago para diferenciarla de la cuenta de usuario normal que he creado antes.

Pulsamos sobre el boton “Next”, introducimos la contraseña dos veces y activamos la pestaña “User must change password at next logon”.


Es una buena practica activar esta casilla, pero tambien depende de la polica que tengamos en nuestra empresa o entorno ya que posiblemente tengamos establecidas unas constraseñas “estandar” para los usuarios dependiendo del cargo que ocupen o el departamento en el que trabajen. Esto a vuestra eleccion.

Pusar en “Next”.


Ahora en “Finish”. Volvemos a la OU “administradores” y comprobamos que se ha creado la cuenta.



ADMINISTRACIÓN DE DIRECTIVAS DE GRUPO LOCALPaso A Paso.

1. Creación de usuarios y grupos. Vamos a crear los siguientes usuarios y grupos: Grupo: Killers • carlos • manuel Grupo: Timers

• bruno • benji

Abrimos entonces el panel de control. presionamos start(inicio) y luego panel control(panel de control).

https://serviciosderednoona.files.wordpress.com/2011/10/110.png

Abriendo Panel de Control

Se abrirá una ventana en la cual damos clic sobre User Accounts(Cuentas de Usuario)

Abriendo Cuentas de Usuario

Luego damos clic en Add or remove user accounts(Agregar o eliminar cuentas de usuario)



Agregar o eliminar cuentas de usuario

En la suguiente ventana damos clic en Create a new account(Crear una nueva cuenta)

Crear una nueva cuenta

En la nueva ventana de dialogo ingresamos el nombre del usuario, definimos si es un usuario estándar o Administrador y presionamos el botón Create Account(Crear Cuenta).



Creando Cuenta de usuario carlos

Creando cuenta a usuario manuel



Creando cuenta a usuario bruno

Creando cuenta a usuario benji

Para ponerle contraseña a cada una de las cuentas que acabamos de crear simplemente damos clic en la ventana de cada usuario.


https://serviciosderednoona.files.wordpress.com/2011/10/8-1.png

Configuración de usuario.

y seleccionamos la opcion Create a password(Crear una contraseña).

Configuración de usuario(CONTRASEÑA)

En el nuevo cuadro de dialogo definimos la contraseña y presionamos el botón:• Create password(Crear contraseña).

https://serviciosderednoona.files.wordpress.com/2011/10/8-2.png


Creando contraseñaDe esta forma con los demás usuarios.Ahora crearemos los grupos killers(manuel, carlos) y timers(bruno, benji). Para ello vamos a Start(Inicio), luego damos clic derecho sobre Computer(Equipo) y seleccionamos la opcion Manage(Administrar).

Abriendo administrador de quipo.

Se abrira el administrador de el equipo, alli nos dirigimos a Configuration > Local User and Groups > Groups.



Abriendo administrador de grupos locales.

Estando en Configuration>Local User and Groups>Groups, damos clic derecho sobre el area de trabajo y seleccionamos la opcion New Group…

Añadiendo un nuevo grupo

Se abrirá una ventana de dialogo en la cual definimos Nombre y miembros de el grupo. Para añadir un miembro damos clic en Add(Agregar).



Añadiendo nuevo grupo

Se abrirá una nueva ventana en la cual escribimos el nombre de el usuario que será parte de el grupo en este caso carlos y presionamos OK.

Añadiendo nuevo miembro

Asi mismo añadimos a el grupo killers el usuario manuel y presionamos el boton Create(Crear).



Grupo killers

Creamos de la misma manera el grupo timers y añadiremos a los usuarios benji y bruno.

dministrar Directivas Locales De Grupo.

La administracion de las directivas de grupo locales se hace desde Local Group Policity Editor(Editor de politicas de grupo locales), para abrirlo nos dirigimos a Start(Inicio)>Run(Ejecutar).



Abrir ejecutar…

Se abrira entonces la ventana Run…Alli digitamos gpedit.msc

gpedit.msc

• Podemos ver que hay dos tipos de niveles de configuracion de GPOs.

• Computer Confuration(Configuración De Equipo)

• User Configuration(Configuración De Usuario)


Primero implementaremos entonces directivas de configuracion de equipo.

Vamos a aplicar una directiva para que la vigencia máxima de la contraseña para todos los usuarios de la máquina sea de 15 días. Para ello vamos a navegar por las GPOs de Configuración de equipo. Vamos entonces a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Account Policies(Directivas de Cuenta)>Password Policy(Directivas de Contraseña), damos doble clic sobre Maximum password age(Vigencia máxima de la contraseña), por defecto son 42 dias.


Maximum password age(Vigencia máxima de la contraseña)Se abrira una ventana de dialogo en la cual podemos vamos a definir que la contraseña va a tener una vigencia de 15 dias. Luego oprimimos el botonOK(Aceptar).


Contraseña con vigencia de 15 díasLas contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientosLos Requerimientos son:• No contener el nombre de cuenta del usuario o partes del

nombre completo del usuario en más de dos caracteres consecutivos No contener el nombre de la cuenta o nombre completo. Incluir caracteres de tres de las siguientes categorías: Mayúsculas (de la A a la Z) Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9) Caracteres no alfanuméricos (por ejemplo, !, $, #, %) Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.

• Para habilitar el cumplimiento de los parametros para las contraseñas vamos a navegar por las GPOs de Configuración de equipo. Vamos entonces a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Account Policies(Directivas de Cuenta)>Password Policy(Directivas de Contraseña), damos doble clic sobre Password must meetcomplexity requirements(La contraseña debe cumplir los requisitos de complejidad).


La contraseña debe cumplir los requisitos de complejidad Se abrira una ventana de dialogo en la cual podemos habilitar o desabilitar el cumplimiento de los requerimientos de complejidad de las contraseñas. Seleccionamos la opcion Enable(Habilitar) y luego oprimimos el boton OK(Aceptar).


La contraseña debe cumplir los requisitos de complejidad Procedemos entonces a aplicar la directiva para que cuando los usuarios necesiten cambiar la contraseña, no puedan usar un password que se haya usado antes, por lo menos desde los últimos dos cambios. Para ellos nos dirigimos entonces a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Account Policies(Directivas de Cuenta)>Password Policy(Directivas de Contraseña), damos doble clic sobre Enforce password history(Exigir historial de contraseñas).


Enforce password history Se abrira una ventana de dialogo en la cual podemos configurar cuantas contraseña se guardaran en el historial entre las mas recientes configuradas. En este caso configuraremos para que guarde las dos ultimas contraseñas utilizadas. Oprimimos el botón OK.


Historial de las dos ultimas contraseñas usadas Ahora aplicaremos una directiva para que los usuarios del grupo Killers puedan apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo Timers no puedan apagar el equipo (Desde el sistema operativo). Para ello nos dirigimos a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Local Policies(Directivas locales)>User rights Assignments(Asignacion de derechos de usuario), damos doble clic sobre Shutdown the system(Apagar el sistema).


Shutdown the system1 Se abrirá una ventana en la cual podemos definir los usuarios a los cuales vamos a permitir que apaguen el sistema. Presionamos entonces el boton Add User Or Group…


Add User Or Group…

Se abrira una ventana en la cual podemos simplemente copiar el nombre de los usuarios o los grupos a los cuales vamos a permitir el apagado de el sistema, por ende permitiremos a todos los usuarios menos a el grupo Timers. Por ende solo agregaremos a el grupo killers y dejaremos los administradores de el sistema. Presionamos el boton OK.


Añadir Los GruposAplicamos los cambios.

Apagado de el sistema

Cambiamos la seccion de usuario y entramos como el usuario benji que pertenece al grupo timers que no debe poder apagar el equipo.


Cambio de usuario a benji(Del grupo Timers)Al iniciar el sistema, presionamos Start>log off y podemos ver que el botón de apagado(Shut down) y reinicio(Restart) de el sistema estan desactivados.


El usuario benji de el grupo timers no puede apagar ni reiniciar el PC

Ahora vamos a permitirle a los usuarios de el grupo timers cambiar la hora de la maquina local.

Para ello nos dirigimos a Computer Confiration(Configuración de Equipo)>Windows Settings(Configuración de Windows)>Security Settings(Configuración de Seguridad)>Local Policies(Directivas locales)>User rights Assignments(Asignacion de derechos de usuario), damos doble clic sobre Change the system time(Cambiar la hora de el sistema).


Change the system time Se abrirá una ventana en la cual incluiremos a los usuarios y/o grupos a los cuales les permitiremos que cambien la hora, en este caso timers. Presionamos el boton Add user or group…

Add user or group…

…escribimos entonces timers y presionamos el boton OK.



Add user or group…

Aplicamos los cambios a las GPO.

Aplicar los cambios

Cambiamos de usuario, iniciamos entonces sesion con el usuario benji que pertenece al grupo timers.



Cambio de sesión

Damos clic en la barra de herramientas a el icono de la hora y seleccionamos la opción cambiar la configuración de fecha y hora, intentamos hacer cambios y efectivamente el usuario tiene permisos de hacerlo.


Cambiando la hora de el sistema

Vamos a aplicar políticas que afectan el uso de Internet Explorer. Primero vamos a restringir a los usuarios en general la posibilidad de eliminar el historial de navegación. Para ello vamos a Configuración del equipo>Plantillas administrativas>Componentes de windows>Internet explorer y damos doble clic en la opción Desactivar la funcionalidad”Eliminar el historial de exploración”.


Desactivar funcionalidad”Eliminar el historial de exploración”

Se abrirá una ventana de dialogo en la cual seleccionamos la opción Habilitada y presionamos el botón aceptar.


Desactivar funcionalidad”Eliminar el historial de exploración” Ahora desactivaremos la configuración de el historial. Vamos a aplicar políticas que afectan el uso de Internet Explorer. Primero vamos a restringir a los usuarios en general la posibilidad de eliminar el historial de navegación. Para ello vamos a Configuración del equipo>Plantillas administrativas>Componentes de windows>Internet explorer y damos doble clic en la opción Deshabilitar la configuración de el historial.


Desabilitar la configuración de el historial

Se abrirá una ventana de dialogo en la cual seleccionamos la opción Habilitada y presionamos el botón aceptar.

Desabilitar la configuración de el historial

Ahora aplicaremos una política para que los usuarios no puedan cambiar el proxy. Para ello primero configuraremos el proxy, vamos a User Configuration(Configuración de usuario)>Windows Settings( Configuración de windows)>Internet explorer Maintenance(Mantenimiento de Internet explorer)>Connection(Conexión) y damos doble clic en Proxy Settings(Configuracion de los servidores proxy).

Se abrirá una ventana de dialogo en la cual seleccionamos la casilla Enable proxy settings(Habilitar configuracion de proxy) y configuramos el proxy y los puertos. Al terminar presionamos el botón OK(aceptar).


Configuración de servidor proxy

Para impedir que los usuarios cambien la configuración anterior vamos a Computer Configuration(Configuración del equipo)>Administrative templates(Plantillas administrativas)>Windows components(Componentes de windows)>Internet Explorer(Internet Explorer) y damos doble clic en Disable changing proxy settings(Desabilitar el cambio de configuracion de proxy).

Desabilitar el cambio de configuracion de proxy Se abrirá una nueva ventana de dialogo en la cual seleccionamos la opcion Enable(Habilitar) y luego el botón OK(Aceptar).

https://serviciosderednoona.files.wordpress.com/2011/10/5i.png

ADMINISTRACIÓN DEL USUARIO

Administrador de usuarios representa los grupos globales con un gráfico de dos caras impuestas a través de un globo. Los grupos globales contener cuentas de usuario de un dominio agrupadas como un nombre de grupo. Un grupo global no puede contener otro grupo global o un grupo local. Los grupos globales predeterminados en un servidor avanzado son los administradores de dominio y los grupos de usuarios del dominio. Una estación de trabajo de Windows NT no define los grupos globales predeterminados. Sin embargo, dado que un grupo global puede ser un miembro de un grupo local, un grupo local definido en una estación de trabajo de Windows NT puede contener un grupo global del dominio.

GLOBALIDADLa interconección efectiva y global de carácter económico, cultural, turístico, científico, técnico y comunicativo. Todo tiene que ver con todo y todo actúa sobre todo, lo que en cierto sentido siempre he habido. Pero globalidad significa, además, que existe una autopercepción de la interconexión y, en segundo lugar interconexión que es percibida como tal. La globalidad es autorreferencial y se lleva a cabo mediante los modernas técnicas comunicativas en tiempo real.De ahí se deriva el concepto de Globalización que abarca los procesos económicos, mediales, técnicos, y culturales que se desprenden de dicha globalidad, a veces de forma espontánea, pero también de modo premeditado y planificado.El tercer punto es el globalismo. Se podría denominar como la ideología de la globalización. Refleja la globalización fáctica y la exalta simultáneamente a la calidad de norma. En el globalismo el ser global deviene una especie de obligación de deber ser global. El globalismo predica que la humanidad sólo se desarrollará en el futuro mediante la globalización y que esta ultima esta en condiciones de garantizar la paz futura.

LOCALIDADLocalidad es una división territorial o administrativa genérica para cualquier núcleo de población con identidad propia. Puede ser tanto un núcleo de pequeño tamaño y pocos habitantes (aldea, pueblo) como un núcleo de gran tamaño y muy poblado (ciudad). También existen localidades despobladas.La definición de localidad varía según los países, en algunos de ellos la unión de varias localidades forma una entidad política o jurisdiccional como, por ejemplo, un municipio. También es posible que tal entidad política se forme con una única localidad. Una u otra cosa suelen estar determinadas por factores geográficos (como el grado depoblamiento concentrado o poblamiento disperso que exista sobre el espacio geográfico, a su vez influido por factores físicos y humanos), factores históricos (por ejemplo, en España, la forma en que se produjo la repoblación en la Edad Media) o factores políticos.Una localidad definida como una porción de la superficie de la tierra caracterizada por la forma, cantidad, tamaño y proximidad entre sí de ciertos objetos físicos artificiales fijos (edificios) y por ciertas modificaciones artificiales del suelo (calles), necesarias para conectar aquellos entre sí, suele ser la base de unidades censales.

UNIVERSALIDADCalidad o carácter universal. Hecho o idea que abarca o es para todos.

GRUPOS DE SEGURIDAD Y DE DISTRIBUCIÓN

Los tipos de grupos determinan cómo se utiliza el grupo. Los tipos de grupos de Microsoft Active Directory son los siguientes:

• Grupos de seguridad: Microsoft Active Directory utiliza los grupos de seguridad para otorgar permisos para, así, obtener acceso a los recursos.

• Grupos de distribución: las aplicaciones basadas en Windows utilizan los grupos de distribución

como listas para funciones no relacionadas con la seguridad. Los grupos de distribución se utilizan para enviar mensajes de correo electrónico a grupos de usuarios. No puede otorgar permisos de Windows a grupos de distribución.

Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red. Con los grupos de seguridad se puede:

Asignar derechos de usuario a los grupos de seguridad de AD DS

Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese grupo en el ámbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario automáticamente cuando se instala AD DS para ayudar a los administradores a definir el rol administrativo de una persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad en AD DS, éste puede realizar operaciones de copia de seguridad y restauración de archivos y directorios en cada controlador de dominio del dominio. Asignar permisos para recursos a los grupos de seguridad

Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede tener acceso a un recurso compartido. También determinan el nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.

Como sucede con los grupos de distribución, los grupos de seguridad también se pueden usar como entidades de correo electrónico. Al enviar un mensaje de correo electrónico a un grupo de seguridad, se envía a todos sus miembros. Identidades especiales Además de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen pertenencias específicas que se puedan modificar. Sin embargo, pueden representar a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos siguientes son identidades especiales:

• Inicio de sesión anónimoEste grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus recursos a través de la red sin usar un nombre de cuenta, contraseña o nombre de dominio. En los equipos con Windows NT y versiones anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesión anónimo no es miembro del grupo Todos de manera predeterminada.

• Todos

Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cuando un usuario inicia sesión en la red, se agrega automáticamente al grupo Todos.

• Red

Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de la red, frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local en el equipo en el que reside el recurso. Cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega automáticamente al grupo Red.

• Interactivo

Este grupo representa a todos los usuarios que disponen de una sesión iniciada en un equipo determinado y que están obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a través de la red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesión, se agrega automáticamente al grupo Interactivo.

Aunque a las identidades especiales se les pueden conceder derechos y permisos para los recursos, las pertenencias de identidades especiales no se pueden ver ni modificar. Las identidades especiales no tienen ámbitos de grupo. Los usuarios son asignados automáticamente a ellas cuando inician sesión u obtienen acceso a un recurso concreto.Aunque WebSphere Application Server pueda utilizar cualquier tipo de grupo, los grupos de seguridad están vinculados, normalmente, a los roles de seguridad de WebSphere Application Server. Los ámbitos de grupo describen qué tipo de objetos se pueden organizar juntos dentro de un grupo. La anidación de grupos se describe cuándo un grupo es un miembro de otros grupos. Los ámbitos de grupos de Microsoft Active Directory son los siguientes:

Uso de Windows: los miembros de este grupo pueden provenir de cualquier dominio, pero pueden acceder a los recursos de Windows sólo en el dominio local. Utilice este ámbito para otorgar permisos a los recursos del dominio que estén ubicados en el mismo dominio en el que creó el grupo local del dominio. Los grupos locales de dominio pueden existir en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques. Restricción: no se puede definir la anidación de grupos en un grupo local de dominio. Un grupo local de dominio no puede ser miembro de otro grupo local de dominio ni de cualquier otro grupo del mismo dominio. Uso de WebSphere: los usuarios, normalmente, no se colocan en grupos de dominio local, debido a estas restricciones. Por lo general, los roles de seguridad de WebSphere Application Server no están enlazados a los grupos locales de dominio.

GRUPO LOCAL DEL DOMINIO:

GRUPO GLOBAL:Uso de Windows: los miembros de este grupo tienen su origen en un dominio local, pero pueden acceder a los recursos de Windows de cualquier dominio. El grupo global se utiliza para organizar los usuarios que comparten requisitos de acceso a red similares de Windows. Puede añadir miembros sólo desde el dominio en que se cree el grupo global. Puede utilizar este grupo para asignar los permisos para obtener acceso a los recursos de Windows que estén ubicados en cualquier dominio del dominio, árbol o bosque.Puede agrupar usuarios con funciones similares bajo el ámbito global, y otorgar permiso para acceder a los recursos de Windows como, por ejemplo, una impresora o una carpeta y archivos compartidos, disponibles en el dominio local u otro dominio del mismo bosque. Puede utilizar los grupos globales para otorgar permiso para obtener acceso a los recursos de Windows que estén ubicados en cualquier dominio de un único bosque, ya que sus pertenencias están limitadas. Puede añadir cuentas de usuario y grupos globales sólo desde el dominio en el que se cree el grupo global.La anidación es posible para los grupos globales dentro de otros grupos, ya que puede añadir un grupo global en otro grupo global de cualquier dominio. Los miembros de un grupo global pueden ser miembros de un grupo local de dominio. Los grupos globales existen en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques.Uso de WebSphere Application Server: los grupos globales son visibles en cada controlador de dominio, pero las pertenencias sólo resultan visibles para los usuarios locales. Es decir, puede ver las pertenencias a grupo sólo si consulta su controlador de dominio de inicio. Un grupo global debe contener grupos de usuarios. Los grupos globales se han diseñado para que se incluyan en los grupos universales.

GRUPO UNIVERSAL:Uso de Windows: los miembros de este grupo pueden provenir de cualquier dominio, y pueden acceder a los recursos de Windows de varios dominios. Las pertenencias a los grupos universales no están limitadas, como ocurre en los grupos globales. Todas las cuentas de usuario y grupos del dominio pueden ser miembros de un grupo universal. Restricciones:Los grupos universales están disponibles cuando el dominio está en un nivel funcional mixto de Windows.

DIRECTRICES DE GRUPO UNIVERSAL

1. Asigne permisos a los grupos universales para los recursos de Windows de cualquier dominio de la red.

2. Utilice los grupos universales sólo cuando su pertenencia sea estática. Los cambios efectuados en la pertenencia pueden provocar un tráfico de red excesivo entre los controladores de dominio. La pertenencia de los grupos universales se puede replicar a muchos controladores de dominio.

3. Añada grupos globales de varios dominios a un grupo universal.4. Asigne permisos para el acceso a un recurso de Windows al grupo universal, y para que pueda

utilizarlo la resolución de pertenencia a grupos de WebSphere Application Server en varios dominios.5. Utilice un grupo universal del mismo modo que un grupo local de dominio cuando asigne permisos

de recursos.Evite problemas: Cuando seleccione cualquiera de estos escenarios, consulte la información adecuada de Microsoft Active Directory para entender completamente las implicaciones que los escenarios pueden tener en la planificación de la configuración.

ÁMBITO DE GRUPOLos grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres ámbitos de grupo: local de dominio, global y universal.Grupos locales de dominioLos miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2. A los miembros de estos grupos solo se les pueden asignar permisos dentro de un dominio.Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio único. Estos grupos pueden tener los siguientes miembros:• Cuentas de cualquier dominio• Grupos globales de cualquier dominio• Grupos universales de cualquier dominio• Grupos locales de dominio, pero solo del mismo dominio que el grupo local de dominio primario• Una combinación de los anteriores

GRUPOS GLOBALES Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con ámbito Global no se replican fuera de su propio dominio, las cuentas de un grupo con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de replicación en el catálogo global. Aunque las asignaciones de derechos y permisos solo son válidas en el dominio en el que se asignan, al aplicar grupos con ámbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a cuentas con fines similares. De esta manera se simplifica y se racionaliza la administración de grupos entre dominios. Por ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo con ámbito Global denominado GLAccounting en el dominio UnitedStates, debería haber también un grupo denominado GLAccounting en el dominio Europe (a menos que esa función de contabilidad (Accounting) no exista en el dominio Europe).

GRUPOS UNIVERSALESLos grupos universales pueden tener los siguientes miembros:• Cuentas de cualquier dominio del bosque en el que reside este grupo universal• Grupos globales de cualquier dominio del bosque en el que reside este grupo universal• Grupos universales de cualquier dominio del bosque en el que reside este grupo universal A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios. Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas a los grupos con ámbito Global y anide estos grupos dentro de los grupos que tengan ámbito Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen ámbito Global no afectan a los grupos con ámbito Universal.Por ejemplo, si una red tiene dos dominios, Europe y UnitedStates, y hay un grupo con ámbito Global denominado GLAccounting en cada dominio, cree un grupo con ámbito Universal denominado UAccounting que tenga como miembros los dos grupos GLAccounting, UnitedStates\GLAccounting y Europe\GLAccounting. Después, podrá usar el grupo UAccounting en cualquier lugar de la organización. Los cambios de pertenencia de los grupos GLAccounting individuales no producirá la replicación del grupo UAccounting.No cambie la pertenencia de un grupo con ámbito Universal frecuentemente. Los cambios de pertenencia de este tipo de grupo hacen que se replique toda la pertenencia del grupo en cada catálogo global del bosque.

RESUMEN

Las cuentas de usuario de Active Directory representan entidades físicas, como personas. Las cuentas de usuario también se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.

A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:

Autentica la identidad de un usuario.

Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.

Autoriza o deniega el acceso a los recursos del dominio.

Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.

Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).

Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

Confianza entre bosques

La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.

SUMMARY

User accounts in Active Directory represent physical entities, such as people. User accounts can also be used as dedicated service accounts for some applications.

Sometimes, the user accounts are also called principals. Security principals are directory objects automatically to security identifiers (SIDs), which can be used to access domain resources are allocated. Primarily, a user account:Authenticates the identity of a user.

A user account enables a user to log on to computers and domains with an identity that the domain can authenticate. A user who logs on to the network must have a user account and own unique password. To maximize security, avoid having multiple users sharing one account.

Authorizes or denies access to domain resources.

After a user authenticates, it is granted or denied access to domain resources based on the explicit permissions that are assigned to you on the resource.

It is the term used to describe Microsoft implementation of directory service in a distributed computer network. Using different protocols (mostly LDAP, DNS, DHCP, Kerberos ...).Its hierarchical structure allows to maintain a number of objects related to network components, such as users, groups, permissions and resource allocation and access policies.

Trust between forests

Trust between forests allows interconnection between domains forests, creating two-way transitive relations. In Windows 2000, the trusts between forests are of explicit type, unlike Windows Server 2003.

RECOMENDACIONES

• Cuando creamos una cuenta debemos ingresar bien los datos sobre todo la contraseña ya que si perdemos esta tendremos problemas para acceder a nuestra cuenta y nuestro computador.

• A pesar de ser una herramienta difícil visualmente brinda herramientas de gran apoyo .

• Antes de realizar cualquier cambio el administrador siempre tiene preparados los mecanismos para volver al estado anterior. Idea: "Un paso atrás para tomar impulso".

CONCLUSIONES

• El control en una red es de gran importancia para el correcto manejo y fluidéz de la información y los recursos.

• Una solución en software Libre es SAMBA.• Active Directory de Microsoft es un servicio de directorio que permite a los administradores

reducir el costo y el esfuerzo de la administración de una red de dominio basado en Windows. AD facilita la centralización de los recursos y de gestión, así como la autenticación y autorización de usuarios. Puedes utilizar un entorno de Active Directory para redes grandes y pequeñas

GLOSARIO DE TÉRMINOSRed: Una red de computadoras es un conjunto de dos o más computadoras o dispositivos conectados entre sí y que comparten información (archivos), recursos (CD-ROM, impresoras, etc.) y servicios (e-mail, Chat, juegos), etc. Cliente: es un programa o computadora que accede a recursos y servicios brindados por otro llamado Servidor.TCP/IP: protocolo base de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas operativos, incluyendo PC, computadoras centrales sobre redes de área local (LAN) y área extensa (WAN).NTFS: (siglas en inglés de New Technology File System) es un sistema de archivos diseñado específicamente para Windows NT, con el objetivo de crear un sistema de archivos eficiente, robusto y con seguridad incorporada desde su base. También soporta compresión nativa de archivos y encriptación (esto último sólo a partir de Windows 2000).FAT: (File Allocation Table o "tabla de ubicación de archivos") es el principal sistema de archivos desarrollado para MS-DOS y Windows. El sistema de archivos FAT es relativamente sencillo, y debido a eso es muy popular como formato para disquetes.

LINKOGRAFIA• https://technet.microsoft.com/es-es/library/cc753319(v=ws.10).aspx • http://www.aprendeinformaticaconmigo.com/windows-server-2008-crear-cuentas- de-

usuario/ • https://technet.microsoft.com/es-es/library/cc753762(v=ws.10).aspx • http://www.ite.educacion.es/formacion/materiales/85/cd/windows/10Usuarios/

creacin_de_usuarios.html • https://technet.microsoft.com/es-es/library/cc732808.aspx • https://aitorbarcina.wordpress.com/2013/05/30/windows-server-2008-administracion-de-

usuarios-grupos-y-directivas/

administracion basica de una red windows 2008

Software