creación y administración de objetos de active directory
TRANSCRIPT
Creación y administración de objetos de
Active Directory
Introducción
Creación de unidades organizativas, cuentas de usuario y cuentas de equipo
Creación y modificación de grupos
Estrategias para el uso de grupos
Uso de permisos para controlar el acceso a los objetos de Active Directory
Delegar el control de los objetos de Active Directory para lograr una administración segura y descentralizada
Mover objetos de Active Directory
Lección: Creación de unidades organizativas, cuentas de usuario y cuentas de equipo
Modelos jerárquicos de unidad organizativa
Nombres asociados a las unidades organizativas
Cómo crear una unidad organizativa
Cómo crear una cuenta de usuario
Cómo y dónde crear cuentas de equipo en un dominio
Opciones de cuenta de equipo
Cómo crear una cuenta de equipo
Modelos jerárquicos de unidad organizativa
Basado en la función
S
C M
Ejemplo de modelo híbrido
Función Organización
Ubicación Función
Organización Ubicación
Basado en la organización
M
E R
Basado en la ubicación
N
F I
S – SalesC – ConsultantsM – Marketing
M – ManufacturingE – EngineeringR – Research
N – Norway F – FranceI – Indonesia
Nombres asociados a las unidades organizativas
Nombre Ejemplo
Nombre completo relativo LDAP OU=MiUnidadOrganizativa
Nombre completo LDAP
OU=MiUnidadOrganizativa, DC=microsoft, DC=com
Nombre canónico Microsoft.com/MiUnidadOrganizativa
Cómo y dónde crear cuentas de equipo en un dominio
Los administradores pueden:Los administradores pueden:
Crear una cuenta de equipo en una unidad organizativa específicaCrear una cuenta de equipo en una unidad organizativa específica
Crear una cuenta de equipo en el contenedor Equipos y, a continuación, moverla a la unidad organizativa correspondienteCrear una cuenta de equipo en el contenedor Equipos y, a continuación, moverla a la unidad organizativa correspondiente
Crear cuentas ensayadas previamente para los usuarios que se unen a un dominioCrear cuentas ensayadas previamente para los usuarios que se unen a un dominio
Los usuarios pueden:Los usuarios pueden:
Utilizar una cuenta ensayada previamente para unir una cuenta de equipo al dominioUtilizar una cuenta ensayada previamente para unir una cuenta de equipo al dominio
Unir una cuenta de equipo al dominio y después agregarla al contenedor Equipos de Active DirectoryUnir una cuenta de equipo al dominio y después agregarla al contenedor Equipos de Active Directory
Opciones de cuenta de equipo
Lección: Creación y modificación de grupos
¿Qué son los grupos?
Presentación multimedia: Servidor de catálogo global
Grupos y niveles funcionales de dominio
Cómo decidir el tipo y el ámbito de un grupo
Cómo crear un grupo
Cambiar el ámbito y el tipo de un grupo
Cómo modificar un grupo
Grupo VentasGrupo Ventas
Jefes de ventasRepresentantes de ventasAsistentes de ventas
Jefes de ventasRepresentantes de ventasAsistentes de ventas
¿Qué son los grupos?
Un grupo es un conjunto de usuarios, equipos, contactos y otros gruposLos grupos simplifican la administración al permitir asignar privilegios a múltiples usuarios de una sola vez
Tipo de grupo Se utiliza para
Seguridad Designar derechos de usuario y permisosPuede utilizarse como una lista de distribución de correo electrónico
DistributionAsignar listas de usuarios a aplicaciones de correo electrónicoNo puede usarse para asignar permisos
Ámbito de grupo Descripción
Global Administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuario y de equipo
Universal Consolidar grupos que abarcan varios dominios
Dominio local Definir y administrar el acceso a los recursos en un mismo dominio
Presentación multimedia: Servidor de catálogo global
En esta presentación se introducen las funciones del catálogo global de Active Directory
Grupos y niveles funcionales de dominio
Windows 2000 mixto
(predeterminado)
Windows 2000 nativo
Windows Server 2003
Controladores de dominio admitidos
Windows NT Server 4.0, Windows 2000, Windows Server 2003
Windows 2000,
Windows Server 2003
Windows Server 2003
Ámbitos de grupo admitidos
Global, Dominio local
Global, Dominio local, Universal
Global, Dominio local, Universal
Cómo decidir el tipo y el ámbito de un grupo
Grupo Se utiliza para
Grupo global
Organizar los usuarios con trabajos y requisitos de acceso a la red similares
No crear un grupo global para el acceso a recursos específicos del dominio
Grupouniversal
Anidar grupos globales para asignar permisos sobre los recursos relacionados de varios dominios
Grupo de dominio local
Asignar permisos para los recursos ubicados en el mismo dominio que el grupo local
Ubicar todos los grupos globales que comparten los mismos recursos en el grupo de dominio local adecuado
Grupo localAsignar permisos para recursos ubicados en el equipo en el que se ha creado el grupo local
Cambiar el ámbito y el tipo de un grupo
Cambiar el ámbito de grupo
De global a universal
De dominio local a universal
De universal a global
De universal a dominio local
Cambiar el tipo de grupo
De seguridad a distribución
De distribución a seguridad
Lección: Estrategias para el uso de grupos
¿Qué es el anidamiento de grupos?
Presentación multimedia: Estrategia de utilización de los grupos en un único dominio
Grupos predeterminados y grupos de sistema
Grupo
GrupoGrupoGrupoGrupo
¿Qué es el anidamiento de grupos?
Los grupos pueden anidarse para consolidar su administraciónEl diseño de la red debe limitarse a un nivel de anidamientoLas opciones de anidamiento varían según el nivel funcional del dominio de Windows Server 2003
Windows 2000 nativo Windows 2000 mixto
El anidamiento de grupos significa agregar un grupo como integrante de otro grupo
El anidamiento de grupos significa agregar un grupo como integrante de otro grupo
GrupoGrupoGrupoGrupo
Presentación multimedia: Estrategia de utilización de los grupos en un único dominio
Esta presentación explica la estrategia AGDLP para el uso de grupos
AA GG DLDL PP
Debate de la clase: Utilizar grupos en un único dominio
Situación de ejemplo 1
Northwind Traders tiene un solo dominio ubicado en París, Francia
Los administradores de Northwind Traders necesitan tener acceso a la base de datos de inventario
¿Qué puede hacer para garantizar que todos los administradorestengan acceso a dicha base de datos?
Situación de ejemplo 2
Northwind Traders desea que todos los datos de contabilidad estén a disposición del personal contable
Northwind Traders desea crear la estructura de grupos de toda la división de contabilidad, que incluye los departamentos de cuentas por pagar y cuentas por cobrar
¿Qué haría para garantizar que los administradores tengan el accesonecesario y que haya el mínimo trabajo de administración?
Grupos predeterminados y grupos de sistema
Grupo Descripción Se utilizan para
Grupos predeterminados
Grupos creados durante la instalación que reciben automáticamente un conjunto de derechos de usuario
Controlar el acceso a los recursos compartidos y delegar tareas administrativas específicas
Grupos de sistema
Grupos de sistema que representan a usuarios diferentes en momentos diferentes
Ejemplos : Anónimo, Todos y Red
Conceder derechos de usuario y permisos
Consideraciones de seguridad
En lugar de: Intente:
Agregar un usuario a un grupo predeterminado
Agregar el usuario a un nuevo grupo de seguridad que tenga asignados los privilegios mínimos necesarios
Iniciar una sesión interactiva con credenciales administrativas
Iniciar una sesión sin derechos de administración y utilizar el comando Ejecutar como
Debate de la clase: Uso de grupos predeterminados frente a creación de nuevos grupos
Northwind Traders tiene más de 100 servidores en todo el mundo
Usted debe recomendar el nivel de acceso mínimo que requieren los usuarios para realizar tareas específicas
Debe decidir si:
Utilizar grupos predeterminados
Crear grupos y, después, asignarles derechos de usuario y permisos específicos para realizar tareas determinadas
Lección: Uso de permisos para controlar el acceso a los objetos de Active Directory
Presentación multimedia: La estructura de unidades organizativas¿Qué son los permisos de objeto de Active Directory?Características de los permisos de objeto de Active DirectoryHerencia de permisos Efectos de modificar los objetos en la herencia de permisosCómo modificar los permisos de objetos de Active DirectoryPermisos efectivos de objetos de Active DirectoryCómo determinar los permisos efectivos de objetos de Active Directory
Presentación multimedia: La estructura de unidades organizativas
En esta presentación se explica lo siguiente:
Uso de las unidades organizativas para agrupar objetos y lograr una administración más efectiva
Los dos propósitos principales de una jerarquía de unidad organizativa
¿Qué son los permisos de objeto de Active Directory?
Permiso Permite al usuario:
Control totalCambiar los permisos, tomar posesión y realizar las tareas que permiten todos los demás permisos estándar
Escribir Cambiar los atributos del objeto
LeerVer los objetos, atributos de objeto, el propietario del objeto y los permisos de Active Directory
Crear todos los objetos secundarios
Agregar cualquier tipo de objeto a una unidad organizativa
Eliminar todos los objetos secundarios
Quitar cualquier tipo de objeto secundario de una unidad organizativa
Características de los permisos de objeto de Active Directory
Los permisos de objeto de Active Directory pueden ser:
Concedidos o denegados
Denegados implícita o explícitamente
Establecidos como permisos estándar o especialesLos permisos estándar son los que se asignan con mayor frecuenciaLos permisos especiales proporcionan un mayor grado de control para asignar el acceso a los objetos
Establecidos en el objeto o heredados del objeto principal
Herencia de permisos
Los contenedores secundarios y sus objetos heredan los permisos establecidos en su contenedor principal
Los permisos heredables se propagan del objeto principal a un objeto secundario:
Al crear el objeto secundario
Cuando se modifican los permisos en el objeto principal
Contenedor principal
AccesoAcceso
Usuario 1Usuario 1 LeerLeer
Grupo 1Grupo 1 Control totalControl total
Usuario 1Usuario 1 LeerLeer
Grupo 1Grupo 1 Control totalControl total
Contenedorsecundario
Los usuarios tienen asignado permiso de acceso para el
contenedor principal
Los contenedores secundarios heredan los
permisos
Permisos
Permisos
Efectos de modificar los objetos en la herencia de permisos
Al mover un objeto de una unidad organizativa a otra se ve afectada la herencia de permisos:
Los permisos establecidos explícitamente se mantienen
Los objetos movidos heredan los permisos de la nueva unidad organizativa principal
Los objetos movidos ya no heredan los permisos de la unidad organizativa anterior
Impedir la herencia de permisos estableciendo permisos explícitos para un objeto secundario
Permisos efectivos de objetos de Active Directory
Características de los permisos efectivos: Los permisos son acumulativos La denegación de permisos prevalece sobre todos los
demás permisos Los propietarios de los objetos siempre pueden cambiar
los permisosSon necesarios permisos para leer la información de permisos efectivos: Los administradores de dominio tienen permiso para leer
la información de pertenencia de todos los objetos Los usuarios autenticados del dominio pueden leer la
información de pertenencia sólo cuando el dominio se encuentra en modo de compatibilidad anterior a Windows 2000
Lección: Delegar el control de los objetos de Active Directory para lograr una administración segura y descentralizada
Delegación del control de una unidad organizativa
Asistente para delegación de control
Cómo delegar el control de una unidad organizativa
¿Por qué asignar un administrador a un grupo?
Cómo asignar un administrador a un grupo
Delegación del control de una unidad organizativa
Por qué delegar la administración La administración de la red es
más sencilla porque las tareas rutinarias se distribuyen
Los usuarios tienen un mayor control de los recursos de red locales
Son necesarias menos cuentas administrativas con autoridad amplia
Asignación de la responsabilidad de administrar una unidad organizativa a otro usuario o grupo
Dominio
UO1
UO2
Admin2Admin2
Admin1Admin1
Admin3Admin3
UO3
Asistente para delegación de control
Con el Asistente para delegación de control puede especificar:
El usuario o grupo en el que desea delegar el control
Las unidades organizativas y los objetos cuyo control desea delegar en el usuario o grupo
Las tareas que desea que el usuario o grupo pueda realizar
El Asistente para delegación de control asigna automáticamente a los usuarios los permisos necesarios para el acceso y modificación de los objetos especificados
Ejercicio: Delegar el control de una unidad organizativa
En este ejercicio, se ocupará de:
Delegar el control de la unidad organizativa Computers
Probar los permisos delegados para la unidad organizativa Computers
Delegar el control de la unidad organizativa Users
Probar los permisos delegados para la unidad organizativa Users
¿Por qué asignar un administrador a un grupo?
Para permitirle: Determinar quién es el responsable de cada grupo Delegar en el administrador del grupo la autoridad para
agregar y quitar usuarios del grupo Para distribuir la responsabilidad administrativa de agregar usuarios a los grupos a quienes solicitan el grupo
GrupoGrupoAdministradorAdministrador
Lección: Mover objetos de Active Directory
¿Cuándo es conveniente mover un objeto de Active Directory?
Cómo mover un objeto de Active Directory
Unidad organizativa 1
Unidad organizativa 2
Dominio
¿Cuándo es conveniente mover un objeto de Active Directory?