Creacin y administracin de objetos de Active Directory

Introduccin
Creacin de unidades organizativas, cuentas de usuario y cuentas de equipo Creacin y modificacin de grupos Estrategias para el uso de grupos Uso de permisos para controlar el acceso a los objetos de Active Directory Delegar el control de los objetos de Active Directory para lograr una administracin segura y descentralizada Mover objetos de Active Directory

Leccin: Creacin de unidades organizativas, cuentas de usuario y cuentas de equipo

Modelos jerrquicos de unidad organizativa Nombres asociados a las unidades organizativas Cmo crear una unidad organizativa Cmo crear una cuenta de usuario Cmo y dnde crear cuentas de equipo en un dominio Opciones de cuenta de equipo Cmo crear una cuenta de equipo

Modelos jerrquicos de unidad organizativa

Basado en la funcin S C M
S Sales C Consultants M Marketing

Ejemplo de modelo hbrido Funcin Organizacin Ubicacin Funcin Organizacin Ubicacin

Basado en la organizacin M M Manufacturing E R

E Engineering R Research

Basado en la ubicacin N F I
N Norway F France I Indonesia

Nombres asociados a las unidades organizativas

Nombre

Ejemplo

Nombre completo OU=MiUnidadOrganizativa relativo LDAP Nombre completo OU=MiUnidadOrganizativa, LDAP DC=microsoft, DC=com Nombre cannico Microsoft.com/MiUnidadOrga nizativa

Cmo y dnde crear cuentas de equipo en un dominio

Los administradores pueden:
Crear una cuenta de equipo en una unidad organizativa especfica Crear una cuenta de equipo en el contenedor Equipos y, a continuacin, moverla a la unidad organizativa correspondiente Crear cuentas ensayadas previamente para los usuarios que se unen a un dominio

Los usuarios pueden:

Utilizar una cuenta ensayada previamente para unir una cuenta de equipo al dominio Unir una cuenta de equipo al dominio y despus agregarla al contenedor Equipos de Active Directory

Opciones de cuenta de equipo

Leccin: Creacin y modificacin de grupos

Qu son los grupos? Presentacin multimedia: Servidor de catlogo global Grupos y niveles funcionales de dominio Cmo decidir el tipo y el mbito de un grupo Cmo crear un grupo Cambiar el mbito y el tipo de un grupo Cmo modificar un grupo

Qu son los grupos?

Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos Los grupos simplifican la administracin al permitir asignar privilegios a mltiples usuarios de una sola vez
Tipo de grupo Se utiliza para Seguridad Designar derechos de usuario y permisos Puede utilizarse como una lista de distribucin de Jefes de ventas correo electrnico Representantes de ventas Grupo aplicaciones de correo Asistentes deAsignar listas de usuarios aVentas Distribution ventas mbito electrnico Descripcin de grupo No puede usarse para asignar permisos Global Administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuario y de equipo Universal Dominio local Consolidar grupos que abarcan varios dominios Definir y administrar el acceso a los recursos en un mismo dominio

Presentacin multimedia: Servidor de catlogo global

En esta presentacin se introducen las funciones del catlogo global de Active Directory

Grupos y niveles funcionales de dominio

Windows 2000 Windows Windows mixto 2000 nativo Server 2003 (predeterminad o) Controlador Windows NT Windows Windows Server 4.0, 2000, Server 2003 es de Windows 2000, Windows dominio Server 2003 admitidos Windows Server 2003 mbitos de grupo admitidos Global, Dominio local Global, Dominio local, Universal Global, Dominio local, Universal

Cmo decidir el tipo y el mbito de un grupo

Grupo Grupo global Se utiliza para
Organizar los usuarios con trabajos y requisitos de acceso a la red similares No crear un grupo global para el acceso a recursos especficos del dominio Anidar grupos globales para asignar permisos sobre los recursos relacionados de varios dominios Asignar permisos para los recursos ubicados en el mismo dominio que el grupo local Ubicar todos los grupos globales que comparten los mismos recursos en el grupo de dominio local adecuado

Grupo universal Grupo de dominio local

Grupo local

Asignar permisos para recursos ubicados en el equipo en el que se ha

Cambiar el mbito y el tipo de un grupo

Cambiar el mbito de grupo De global a universal De dominio local a universal De universal a global De universal a dominio local Cambiar el tipo de grupo De seguridad a distribucin De distribucin a seguridad

Leccin: Estrategias para el uso de grupos

Qu es el anidamiento de grupos? Presentacin multimedia: Estrategia de utilizacin de los grupos en un nico dominio Grupos predeterminados y grupos de sistema

Qu es el anidamiento de grupos?
El anidamiento de grupos significa agregar un grupo como integrante de otro grupo
Grupo Grupo Grupo Grupo

Grupo

Los grupos pueden anidarse para consolidar su administracin El diseo de la red debe limitarse a un nivel de anidamiento Las opciones de anidamiento varan segn el nivel funcional del dominio de Windows Server 2003 Windows 2000 nativo Windows 2000 mixto

Presentacin multimedia: Estrategia de utilizacin de los grupos en un nico dominio

Esta presentacin explica la estrategia AGDLP para el uso de grupos

D L

Debate de la clase: Utilizar grupos en un nico dominio

Situacin de ejemplo 1 Northwind Traders tiene un solo dominio ubicado en Pars, Francia Los administradores de Northwind Traders necesitan tener acceso a la base de datos de inventario Qu puede hacer para garantizar que todos los administradores tengan acceso a dicha base de datos? Situacin de ejemplo 2 Northwind Traders desea que todos los datos de contabilidad estn a disposicin del personal contable Northwind Traders desea crear la estructura de grupos de toda la divisin de contabilidad, que incluye los departamentos de cuentas por pagar y cuentas por cobrar

Grupos predeterminados y grupos de sistema

Grupo Descripcin Se utilizan para
Grupos Grupos creados durante la Controlar el acceso a los predeterminad instalacin que reciben recursos compartidos y os automticamente un delegar tareas conjunto administrativas de derechos de usuario especficas Grupos de sistema Grupos de sistema que representan a usuarios diferentes en momentos diferentes Conceder derechos de usuario y permisos

Consideraciones de seguridad Ejemplos : Annimo, Todos y Red En lugar de: Intente:

Agregar un usuario a un grupo predeterminado Agregar el usuario a un nuevo grupo de seguridad que tenga asignados los privilegios mnimos necesarios

Iniciar una sesin Iniciar una sesin sin derechos de interactiva con credencialesadministracin y utilizar el comando administrativas Ejecutar como

Debate de la clase: Uso de grupos predeterminados frente a creacin de nuevos grupos

Northwind Usted

Traders tiene ms de 100 servidores en todo el mundo debe recomendar el nivel de acceso mnimo que requieren los usuarios para realizar tareas especficas decidir si: Utilizar grupos predeterminados Crear grupos y, despus, asignarles derechos de usuario y permisos especficos para realizar tareas determinadas

Debe

Leccin: Uso de permisos para controlar el acceso a los objetos de Active Directory
Presentacin multimedia: La estructura de unidades organizativas Qu son los permisos de objeto de Active Directory? Caractersticas de los permisos de objeto de Active Directory Herencia de permisos Efectos de modificar los objetos en la herencia de permisos Cmo modificar los permisos de objetos de Active Directory Permisos efectivos de objetos de Active Directory Cmo determinar los permisos efectivos de objetos

Presentacin multimedia: La estructura de unidades organizativas

En esta presentacin se explica lo siguiente: Uso de las unidades organizativas para agrupar objetos y lograr una administracin ms efectiva Los dos propsitos principales de una jerarqua de unidad organizativa

Qu son los permisos de objeto de Active Directory?

Permiso
Control total

Permite al usuario:
Cambiar los permisos, tomar posesin y realizar las tareas que permiten todos los dems permisos estndar Cambiar los atributos del objeto Ver los objetos, atributos de objeto, el propietario del objeto y los permisos de Active Directory Agregar cualquier tipo de objeto a una unidad organizativa

Escribir Leer

Crear todos los objetos secundarios

Eliminar todos Quitar cualquier tipo de objeto los objetos secundario de una unidad organizativa secundarios

Caractersticas de los permisos de objeto de Active Directory

Los permisos de objeto de Active Directory pueden ser: Concedidos o denegados Denegados implcita o explcitamente Establecidos como permisos estndar o especiales Los permisos estndar son los que se asignan con mayor frecuencia Los permisos especiales proporcionan un mayor grado de control para asignar el acceso a los objetos

Herencia de permisos
Los contenedores secundarios y sus objetos heredan los permisos establecidos en su contenedor principal Los permisos heredables se propagan del objeto principal a un objeto secundario: Al crear el objeto secundario
Permisos Cuando se modifican los permisos en elLos Acces contenedo Usuario 1 Leer Contenedor Usuario 1 Leer objetooprincipal principal Grupo 1Control total res Grupo Control total 1

Los usuarios tienen asignado permiso de acceso para el contenedor principal

secundario s heredan Permisos los Usuario 1 Leer ContenedorUsuario 1 Leer permisos

secundario Grupo 1 Control total Grupo 1 Control total

Efectos de modificar los objetos en la herencia de permisos

Al mover un objeto de una unidad organizativa a otra se ve afectada la herencia de permisos: Los permisos establecidos explcitamente se mantienen Los objetos movidos heredan los permisos de la nueva unidad organizativa principal Los objetos movidos ya no heredan los permisos de la unidad organizativa anterior Impedir la herencia de permisos estableciendo permisos explcitos para un objeto secundario

Permisos efectivos de objetos de Active Directory

Caractersticas de los permisos efectivos: Los permisos son acumulativos La denegacin de permisos prevalece sobre todos los dems permisos Los propietarios de los objetos siempre pueden cambiar los permisos Son necesarios permisos para leer la informacin de permisos efectivos: Los administradores de dominio tienen permiso para leer lainformacin de pertenencia de todos los objetos Los usuarios autenticados del dominio pueden leer la informacin de pertenencia

Leccin: Delegar el control de los objetos de Active Directory para lograr una administracin segura y descentralizada
Delegacin del control de una unidad organizativa Asistente para delegacin de control Cmo delegar el control de una unidad organizativa Por qu asignar un administrador a un grupo? Cmo asignar un administrador a un grupo

Delegacin del control de una unidad organizativa

Asignacin de la responsabilidad de administrar unaunidad organizativa a otro usuario o grupo la Por qu delegar administracin La administracin de la red es ms sencilla porque las tareas rutinarias se distribuyen Los usuarios tienen un mayor control de los recursos de red locales Son necesarias menos cuentas administrativas con autoridad amplia Admin2

UO1 UO2 UO3

Admin1

Dominio

Admin3

Asistente para delegacin de control

Con el Asistente para delegacin de control puede especificar: El usuario o grupo en el que desea delegar el control Las unidades organizativas y los objetos cuyo control desea delegar en el usuario o grupo Las tareas que desea que el usuario o grupo pueda realizar El Asistente para delegacin de control asigna automticamente a los usuarios los permisos necesarios para el acceso y modificacin de los

Ejercicio: Delegar el control de una unidad organizativa

En este ejercicio, se ocupar de: Delegar el control de la unidad organizativa Computers Probar los permisos delegados para la unidad organizativa Computers Delegar el control de la unidad organizativa Users Probar los permisos delegados para la unidad organizativa Users

Por qu asignar un administrador a un grupo?

Administrador

Grupo

Para permitirle: Determinar quin es el responsable de cada grupo Delegar en el administrador del grupo la autoridad para agregar y quitar usuarios del grupo Para distribuir la responsabilidad administrativa de agregar usuarios a los grupos a

Leccin: Mover objetos de Active Directory

Cundo es conveniente mover un objeto de Active Directory? Cmo mover un objeto de Active Directory

Cundo es conveniente mover un objeto de Active Directory?

Unidad organizativa 1

Dominio

Unidad organizativa 2