Módulo 3: Administrar

grupos
Introducción

Crear grupos
Administrar la pertenencia a grupos
Estrategias de uso de grupos
Modificar grupos
Uso de grupos predeterminados
Prácticas recomendadas para la administración
de grupos
Lección: Crear grupos

¿Qué son los grupos?

¿Qué son los niveles funcionales de dominio?
¿Qué son los grupos globales?
¿Qué son los grupos universales?
¿Qué son los grupos locales de dominio?
¿Qué son los grupos locales?
¿Dónde crear grupos?
Directrices para la nomenclatura de grupos
¿Cómo crear un grupo?
¿Qué son los grupos?

Los grupos simplifican la administración, ya que

permiten asignar permisos para los recursos

Grupo
Los grupos se distinguen por su ámbito y tipo
 El ámbito de un grupo determina si el grupo comprende varios dominios
o se limita a uno solo
 Los 3 ámbitos de grupo son: global, local de dominio, universal y local
Tipo de grupo Descripción
Se utiliza para asignar derechos y permisos
Seguridad deusuario Se puede usar como una lista
de distribución de correo electrónico
Sólo se puede usar con aplicaciones de
Distribución correo electrónico No se puede utilizar
para asignar permisos
¿Qué son los niveles funcionales de dominio?

Windows 2000
Windows 200 Windows
mixto
0 nativo Server 2003
(predeterminado)

Windows NT
Controladores Server 4.0, Windows
2000, Windows
de dominio Windows 2000,
Windows Server 2003
admitidos Windows
Server 2003
Server 2003
Ámbitos Global, local Global, local de
Global y local de
de grupo de dominio y dominio y
dominio
admitidos universal universal
 ¿Qué son los grupos globales?

Reglas de los grupos globales

Modo mixto: Cuentas de usuario del mismo dominio
Miembros Modo native: Cuentas de usuario, cuentas de equipo y
grupos globales del mismo dominio
Modo mixto: Grupos locales de dominio
Puede ser
miembro de Modo nativo: Universal y grupos locales de dominio en
todos los grupos de dominio y globales del mismo dominio
Ámbito Todos los dominios del bosque y dominios de confianza
Permisos Todos los dominios del bosque y dominios de confianza
 ¿Qué son los grupos universales?

Reglas de los grupos universales

Modo mixto: No se puede aplicar
Miembros Modo nativo: Cuentas de usuario, cuentas de equipo, grupos
globales y otros grupos universales de cualquier dominio del
bosque
Modo mixto: No se puede aplicar
Puede ser
miembro de Modo nativo: Grupos locales de dominio y universales
de cualquier dominio
Ámbito Visible en todos los dominios de un bosque
Permisos Todos los dominios de un bosque
 ¿Qué son los grupos locales de dominio?

Reglas de los grupos locales de dominio

Modo mixto: Cuentas de usuario, cuentas de equipo y
grupos globales de cualquier dominio
Miembros Modo nativo: Cuentas de usuario, cuentas de equipo,
grupos globales y grupos universales de cualquier dominio
del bosque, y grupos locales de dominio del mismo dominio

Puede ser Modo mixto: Ninguno

miembro de Modo nativo: Grupos locales de dominio del mismo dominio
Ámbito Visible sólo en su propio dominio
Permisos Dominio al que pertenece el grupo local de dominio
 ¿Qué son los grupos locales?

Reglas de los grupos locales

Cuentas de usuarios locales del equipo, cuentas de
Miembro
dominio y grupos de dominio

Puede ser miembro de Ninguno

¿Dónde crear grupos?

Los grupos se pueden crear en el dominio raíz del

bosque, en cualquier otro dominio del bosque o en una
unidad organizativa
Seleccione el dominio o unidad organizativa en que
crear un grupo en función de los requisitos
de administración del grupo
 Por ejemplo:
Si su directorio tiene varias unidades organizativas,
cada una de ellas con un administrador diferente,
puede crear grupos globales en dichas unidades
 Directrices para la nomenclatura de grupos

Para grupos de seguridad:

Incorpore el ámbito en la convención de nomenclatura del nombre del grupo
El nombre debe reflejar la posesión (nombre de la división o del equipo)
Coloque los nombres de dominio o su abreviatura al principio del nombre del
grupo
Use un descriptor para identificar los permisos máximos que puede tener un
grupo, como DL Admins de TI de OU de London

Para grupos de distribución:

Utilice un nombre de alias corto
No incluya un nombre de alias como parte del nombre para mostrar
Un único grupo de distribución puede tener un máximo de cinco
copropietarios
¿Cómo crear un grupo?

El instructor mostrará cómo:

Crear un grupo en un dominio

Crear un grupo local en un servidor miembro
Crear un grupo con la línea de comandos
Eliminar un grupo
Eliminar un grupo con la línea de comandos
Ejercicio: Creación de grupos

En este ejercicio, se ocupará de:

 Crear grupos mediante Usuarios
y equipos de Active Directory
 Crear grupos utilizando la herramienta
de línea de comandos dsadd
Lección: Administrar la pertenencia a grupos

Las propiedades Miembros y Miembro de

Demostración: Miembros y Miembro de
¿Cómo determinar los grupos de los que es miembro
una cuenta de usuario?
¿Cómo agregar y eliminar miembros de un grupo?
 Las propiedades Miembros y Miembro de

Grupo o equipo Grupo global Grupo local de dominio

Tom, Jo, y Kim Administradores

Administradores dede
Administradores de Denver
Madrid
Madrid Administradores de UO de Denver

Miembros Miembro de Miembros

Miembros Miembro
Miembrode de Miembros Miembro de
Tomás, Juana Administradores de UO de
N/A Administradores Tom, Administradores
de Denver
y Carmen
Jo y Kim
Madrid
de UO de Denver Administradores N/A
de Denver,
Administradores
de Vancouver

Sam, Scott y Amy Administradores de Vancouver

Miembros Miembro de Miembros Miembro de
N/A Administradores Sam, Scott Administradores
de Vancouver y Amy de UO de Denver
Ejercicio: Administrar la pertenencia a grupos

En este ejercicio, se agregarán usuarios

a un grupo global
Lección: Estrategias de uso de grupos

Presentación multimedia: Estrategia de utilización de los

grupos en un único dominio
¿Qué es el anidamiento de grupos?
Estrategias de grupo
Presentación multimedia: Estrategia de utilización
de los grupos en un único dominio

Esta presentación explica la estrategia

de AGDLP para el uso de grupos
¿Qué es el anidamiento de grupos?

Significa agregar un grupo como miembro de otro

Grupo Grupo
Grupo Grupo
Grupo

Anide grupos para consolidar la administración

de grupos
Las opciones de anidamiento varían según se haya
establecido el nivel funcional del dominio de Windows
Server 2003 en Windows 2000 nativo o Windows 2000
mixto
Estrategias de grupo

AAAG
AAGGDL
UGDL
LDL
PPPPP
Cuentas de Grupos globales Grupos universales Grupos locales de
usuario
Cuentas de Grupos Grupos Grupos locales dominio
Permisos
usuario globales universales de dominio
Cuentas
Cuentas
Cuentas de de
Cuentas
de de Grupos Grupos
Grupos Grupos localesGrupos
Grupos locales
usuario
usuario globales de dominio delocales
dominio
Permisos
Permisos
Permisos
Permisos
usuario
usuario globales globales

A G U DL
A G U DL P
Permisos
Cuentas de
Grupos locales
Grupos
Estrategias de grupo:
usuario globales
AGP A G U DL P
A G
DL A DL P A GPL P
A G DL
L P
A G DL P
A P G L
Debate de clase: Uso de grupos en un único
dominio

Northwind Traders
Northwind Traders tiene
desea un único
reaccionar dominio
de forma ubicado
más rápida a las en París,
demandas
del mercado.
Francia. LosSeadministradores
ha dispuesto que losdedatos de contabilidad
Northwind Traders deben estar
necesitan
disponibles para todo el personal de contabilidad. Northwind Traders desea
acceder a la base de datos de inventario para realizar
crear la estructura de grupo de toda la división de contabilidad, que incluye
su trabajo. ¿Quédepuede
los departamentos Cuentashacer para ygarantizar
acreedoras que los¿Qué
Cuentas deudoras.
administradores
puede hacer para
Northwind Traderstengan
garantizar acceso
tieneque
unlos a la base deubicado
administradores
único dominio datosel en
tengan acceso
París,
necesario y para asegurar que haya un mínimo de administración?
de inventario?
Francia. Los administradores de Northwind Traders necesitan
Asegúrese
acceder ade
a la base
Coloque que
todosdelalos
redadministradores
datosestáde
ejecutándose
inventario enpara
en modo
un nativo.
realizar
grupo global
su trabajo.
Cree tres¿Qué
Cree un
grupospuede
grupo
globales
local dehacer parapara
llamados:
dominio garantizar
División
el que los
de contabilidad,
acceso a la base de
Cuentas acreedoras y Cuentas deudoras.
administradores tengan acceso a la base de datos
datos de inventario
Coloque el grupo global División de Contabilidad en el grupo local de
de inventario?
Convierta
dominio el que
para grupo
los global
usuariosenpuedan
miembro del agrupo
acceder localdede
los datos
dominio y conceda permisos al grupo local de dominio para
contabilidad.
acceder
Cree a la base
un grupo de dominio
local de datos de inventarioDatos de Contabilidad.
denominado
Conceda a este grupo los permisos adecuados para el archivo de
recursos de datos de contabilidad.
Ejercicio: Adición de grupos globales a grupos locales
de dominio

En este ejercicio, agregará grupos globales

a grupos locales de dominio
Lección: Modificar grupos

¿Qué es la modificación del ámbito o tipo de un grupo?

¿Cómo cambiar el ámbito o tipo de un grupo?
¿Por qué se debe asignar un administrador a un grupo?
¿Cómo asignar un administrador a un grupo?
¿Qué es la modificación del ámbito o tipo de un grupo?

Cambio del ámbito de un grupo

 De global a universal
 De local de dominio a universal
 De universal a global
 De universal a local de dominio
Cambio del tipo de grupo
 De seguridad a distribución
 De distribución a seguridad
Ejercicio: Cambio del ámbito y tipo de un grupo

En este ejercicio, se ocupará de:

 Cambiar el ámbito de grupo de global
a local de dominio
 Convertir un grupo de seguridad
en un grupo de distribución
¿Por qué se debe asignar un administrador
a un grupo?

Responsable del
departamento Grupo

Para permitirle:
 Controlar quién es la persona responsable de los grupos
 Delegar en el administrador del grupo la autoridad para
agregar y eliminar usuarios del grupo
Para distribuir la responsabilidad administrativa
de agregar usuarios a grupos entre las personas que
solicitan el grupo
Ejercicio: Asignar un administrador a un grupo

En este ejercicio, se ocupará de:

 Crear un grupo global
 Asignar un administrador a un grupo
 Probar las propiedades del administrador
del grupo
Lección: Uso de grupos predeterminados

Grupos predeterminados en servidores miembros

Grupos predeterminados en Active Directory
¿Cuándo utilizar grupos predeterminados?
Consideraciones de seguridad para los grupos
predeterminados
Grupos del sistema
Grupos predeterminados en servidores
miembros
Grupos predeterminados en Active Directory
¿Cuándo utilizar grupos predeterminados?

Los grupos predeterminados son:

 Los creados durante la instalación del sistema operativo
o cuando se agregan servicios como Active Directory
o DHCP
 Los que se les asigna automáticamente un conjunto
de derechos de usuario
Los grupos predeterminados se usan para:
 Controlar el acceso a recursos compartidos
 Delegar determinada administración a todo el dominio
Consideraciones de seguridad para los grupos
predeterminados

Coloque un usuario en un grupo predeterminado sólo

cuando esté seguro de que desea ofrecerle todos los
derechos y permisos de usuario asignados a dicho grupo
en Active Directory; de lo contrario, cree un nuevo grupo
de seguridad
Por seguridad, los miembros de los grupos
predeterminados deben usar Ejecutar como
Grupos del sistema

Los grupos del sistema representan a diferentes

usuarios en distintas ocasiones
Puede conceder derechos y permisos de usuario a los
grupos del sistema, pero no puede modificar ni ver los
miembros
Los ámbitos de grupo no se aplican a los grupos del
sistema
Los usuarios se asignan automáticamente a los grupos
del sistema cada vez que inician una sesión o acceden
a un determinado recurso
Debate de clase: Uso de grupos predeterminados frente
a creación de nuevos grupos

Northwind Traders tiene más de 100 servidores en todo

el mundo. Usted asiste a una reunión para discutir las
tareas actuales que deben realizar los administradores y
qué nivel mínimo de acceso necesitan los usuarios para
realizar tareas específicas. También debe determinar si
pueden utilizar grupos predeterminados
o si se deben crear grupos y asignar derechos y
permisos de usuario específicos a los grupos para
realizar estas tareas.
Prácticas recomendadas para la administración
de grupos

Crear grupos en función de las necesidades administrativas

Utilizar grupos locales en un equipo que no sea miembro de ningún

dominio

Agregar cuentas de usuario al grupo más restrictivo

Utilizar el grupo integrado cuando sea posible, en lugar de crear

un grupo nuevo

Utilice el grupos Usuarios autenticados en lugar del grupo Todos para

conceder la mayor parte de los derechos y permisos de usuario

Limite el número de usuarios del grupo Administradores

Confíe en todos los miembros de los grupos Administradores, Usuarios

avanzados, Operadores de impresión, Operadores de copia de seguridad
Práctica A: Crear y administrar grupos

En esta práctica, se ocupará de:

 Crear grupos locales y globales
 Asignar nombres a los grupos según una
convención de nomenclatura
 Agregar miembros a grupos