Creación y administración de objetos de

Active Directory

Modelos jerárquicos de unidad organizativa

Basado en la función

S

C M

Ejemplo de modelo híbrido

Función Organización

Ubicación Función

Organización Ubicación

Basado en la organización

M

E R

Basado en la ubicación

N

F I

S – SalesC – ConsultantsM – Marketing

M – ManufacturingE – EngineeringR – Research

N – Norway F – FranceI – Indonesia

Nombres asociados a las unidades organizativas

Nombre Ejemplo

Nombre completo relativo LDAP OU=MiUnidadOrganizativa

Nombre completo LDAP

OU=MiUnidadOrganizativa, DC=microsoft, DC=com

Nombre canónico Microsoft.com/MiUnidadOrganizativa

Cómo y dónde crear cuentas de equipo en un dominio

Los administradores pueden:Los administradores pueden:

Crear una cuenta de equipo en una unidad organizativa específicaCrear una cuenta de equipo en una unidad organizativa específica

Crear una cuenta de equipo en el contenedor Equipos y, a continuación, moverla a la unidad organizativa correspondienteCrear una cuenta de equipo en el contenedor Equipos y, a continuación, moverla a la unidad organizativa correspondiente

Crear cuentas ensayadas previamente para los usuarios que se unen a un dominioCrear cuentas ensayadas previamente para los usuarios que se unen a un dominio

Los usuarios pueden:Los usuarios pueden:

Utilizar una cuenta ensayada previamente para unir una cuenta de equipo al dominioUtilizar una cuenta ensayada previamente para unir una cuenta de equipo al dominio

Unir una cuenta de equipo al dominio y después agregarla al contenedor Equipos de Active DirectoryUnir una cuenta de equipo al dominio y después agregarla al contenedor Equipos de Active Directory

Grupo VentasGrupo Ventas

Jefes de ventasRepresentantes de ventasAsistentes de ventas

Jefes de ventasRepresentantes de ventasAsistentes de ventas

¿Qué son los grupos?

Un grupo es un conjunto de usuarios, equipos, contactos y otros gruposLos grupos simplifican la administración al permitir asignar privilegios a múltiples usuarios de una sola vez

Tipo de grupo Se utiliza para

Seguridad Designar derechos de usuario y permisosPuede utilizarse como una lista de distribución de correo electrónico

DistributionAsignar listas de usuarios a aplicaciones de correo electrónicoNo puede usarse para asignar permisos

Ámbito de grupo Descripción

Global Administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuario y de equipo

Universal Consolidar grupos que abarcan varios dominios

Dominio local Definir y administrar el acceso a los recursos en un mismo dominio

Cómo decidir el tipo y el ámbito de un grupo

Grupo Se utiliza para

Grupo global

Organizar los usuarios con trabajos y requisitos de acceso a la red similares

No crear un grupo global para el acceso a recursos específicos del dominio

Grupouniversal

Anidar grupos globales para asignar permisos sobre los recursos relacionados de varios dominios

Grupo de dominio local

Asignar permisos para los recursos ubicados en el mismo dominio que el grupo local

Ubicar todos los grupos globales que comparten los mismos recursos en el grupo de dominio local adecuado

Grupo localAsignar permisos para recursos ubicados en el equipo en el que se ha creado el grupo local

Grupo

GrupoGrupoGrupoGrupo

¿Qué es el anidamiento de grupos?

Los grupos pueden anidarse para consolidar su administraciónEl diseño de la red debe limitarse a un nivel de anidamientoLas opciones de anidamiento varían según el nivel funcional del dominio de Windows Server

Windows XXXX nativo Windows XXXX mixto

El anidamiento de grupos significa agregar un grupo como integrante de otro grupo

El anidamiento de grupos significa agregar un grupo como integrante de otro grupo

GrupoGrupoGrupoGrupo

Unidad organizativa 1

Unidad organizativa 2

Dominio

Debate de la clase: ¿Cuándo es conveniente mover un objeto de Active Directory?