Administrar grupos

Anuncio
Administrar grupos
Contenido
Introducción
2
Lección: Crear grupos
3
Lección: Administrar la pertenencia a grupos
23
Lección: Estrategias de uso de grupos
30
Lección: Modificar grupos
42
Lección: Uso de grupos predeterminados
52
Prácticas recomendadas para la administración de grupos
66
2
Administrar grupos
Introducción
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Un grupo es un conjunto de cuentas de usuario. Puede utilizar grupos para
administrar de forma eficaz el acceso a los recursos de un dominio
y simplificar, de este modo, la administración y mantenimiento de la red.
También puede utilizar grupos de forma independiente o incluir un grupo
dentro de otro para simplificar aún mas la administración.
Antes de poder utilizar grupos de forma eficaz, debe conocer la función de los
grupos y los tipos de grupo que se pueden crear. El servicio de directorios
Active Directory® admite diferentes tipos de grupos y ofrece también opciones
para determinar el ámbito del grupo, es decir, cómo puede utilizarse el grupo
en varios dominios.
Objetivos
Después de completar este módulo, el alumno será capaz de:
„
Crear grupos.
„
Administrar la pertenencia a grupos.
„
Aplicar estrategias de uso de grupos.
„
Modificar grupos.
„
Utilizar grupos predeterminados.
Administrar grupos
Lección: Crear grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Esta lección presenta los conocimientos teóricos y prácticos necesarios para
crear grupos.
Objetivos de la lección
Después de finalizar esta lección, el alumno será capaz de:
„
Explicar la finalidad de los grupos, y de los tipos y ámbitos de grupo.
„
Identificar los niveles funcionales de dominio.
„
Describir grupos globales.
„
Describir grupos universales.
„
Describir grupos locales de dominio.
„
Describir grupos locales.
„
Decidir si crear grupos en un dominio o en una unidad organizativa.
„
Determinar directrices de nomenclatura para los grupos.
„
Crear un grupo.
3
4
Administrar grupos
¿Qué son los grupos?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Ámbitos de grupo
Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden
administrar como una sola unidad. Los grupos:
„
Simplifican la administración al facilitar la concesión de permisos para
recursos a todo un grupo en lugar de a cada una de las cuentas de usuario
individualmente.
„
Pueden estar basados en Active Directory® o ser locales, de un equipo
individual.
„
Se distinguen por su ámbito y tipo.
„
Pueden anidarse, es decir, se puede agregar un grupo a otro.
El ámbito de un grupo determina si el grupo comprende varios dominios
o se limita a uno solo. Los ámbitos de grupo permiten utilizar grupos para
la concesión de permisos. El ámbito de grupo determina:
„
Los dominios desde los que puede agregar miembros al grupo.
„
Los dominios en los que puede utilizar el grupo para conceder permisos.
„
Los dominios en los que puede anidar el grupo en otros grupos.
El ámbito de un grupo determina cuáles son los miembros del grupo. Las reglas
de pertenencia controlan los miembros que puede contener un grupo y los
grupos de los que puede ser miembro. Los miembros de un grupo están
formados por cuentas de usuario, cuentas de equipo y otros grupos.
Administrar grupos
5
Para asignar los miembros correctos a los grupos y para anidar un grupo,
es importante conocer las características del ámbito de grupo. Existen los
siguientes ámbitos de grupo:
Tipos de grupo
„
Global
„
Local de dominio
„
Universal
„
Local
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo
y otras cuentas de grupo en unidades administrables. Trabajar con grupos
en lugar de con usuarios individuales, ayuda a simplificar la administración
y el mantenimiento de la red. Existen los siguientes grupos en Active Directory:
„
Grupos de seguridad
Puede utilizar los grupos de seguridad para asignar derechos y permisos
de usuario a grupos de usuarios y equipos. Los derechos especifican las
acciones que pueden realizar los miembros de un grupo de seguridad
en un dominio o bosque, y los permisos especifican los recursos a los que
puede obtener acceso un miembro de un grupo en la red.
También puede utilizar grupos de seguridad para enviar mensajes de correo
electrónico a varios usuarios. Al enviar un mensaje de correo electrónico
al grupo, el mensaje se envía a todos sus miembros. Por lo tanto, los grupos
de seguridad tienen funciones de grupos de distribución.
„
Grupos de distribución
Puede utilizar los grupos de distribución con aplicaciones de correo
electrónico, como Microsoft® Exchange, para enviar mensajes de correo
electrónico a grupos de usuarios. La finalidad principal de este tipo de grupo
es recopilar objetos relacionados, no conceder permisos.
Los grupos de distribución no tienen habilitada la seguridad, es decir,
no pueden utilizarse para asignar permisos. Si necesita un grupo para
controlar el acceso a los recursos compartidos, cree un grupo de seguridad.
Aunque los grupos de seguridad tienen todas las funciones de los grupos
de distribución, estos últimos todavía son necesarios, porque algunas
aplicaciones sólo pueden utilizar grupos de distribución.
Los grupos de distribución y de seguridad admiten uno de los tres ámbitos
de grupo.
6
Administrar grupos
¿Qué son los niveles funcionales de dominio?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Las características de los grupos de Active Directory dependen del nivel
funcional de dominio. La funcionalidad de dominio activa funciones que
afectan a todo un dominio y sólo a ese dominio. Hay tres niveles funcionales
de dominio disponibles: Microsoft Windows® 2000 mixto, Windows 2000
nativo y Microsoft Windows ServerTM 2003. Los dominios funcionan de forma
predeterminada en el nivel funcional Windows 2000 mixto. Puede aumentar
el nivel funcional de dominio a Windows 2000 nativo o Windows Server 2003.
La tabla anterior enumera los niveles funcionales de dominio junto con los
controladores de dominio y ámbitos de grupo que admite cada uno de ellos.
Nota Puede convertir en cualquier momento un grupo de seguridad
en un grupo de distribución y viceversa, pero sólo si el nivel funcional
de dominio se encuentra definido en Windows 2000 nativo o superior.
Lectura adicional
Para obtener más información sobre el aumento de los niveles funcionales,
consulte el artículo de Knowledge Base, HOW TO: Raise Domain and Forest
Functional Levels in Windows Server 2003 en
http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b322692
(en inglés).
Administrar grupos
7
¿Qué son los grupos globales?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Un grupo global es un grupo de distribución o de seguridad que puede contener
usuarios, grupos y equipos procedentes del mismo dominio que el grupo global.
Puede utilizar grupos de seguridad globales para asignar derechos y permisos
de usuario a los recursos de cualquier dominio del bosque.
Características de los
grupos globales
A continuación, se resumen las características de los grupos globales:
„
Miembros
• En un nivel funcional de dominio mixto, los grupos globales pueden
contener cuentas de usuario y equipo del mismo dominio que el grupo
global.
• En un nivel funcional nativo, los grupos globales pueden contener
cuentas de usuario, cuentas de equipo y grupos globales del mismo
dominio que el grupo global.
„
Puede ser miembro de
• En el modo mixto, un grupo global sólo puede ser miembro de grupos
locales de dominio.
• En el modo nativo, un grupo global puede ser miembro de grupos
locales de dominio y universales en cualquier dominio, y de grupos
globales del mismo dominio que el grupo global.
„
Ámbito
Un grupo global es visible dentro de su dominio y de todos los dominios
de confianza, en los que se incluyen todos los dominios del bosque.
„
Permisos
Puede conceder permisos a un grupo global para todos los dominios del
bosque.
8
Administrar grupos
Cuándo utilizar grupos
globales
Debido a que los grupos globales son visibles en todo el bosque, no debe
crearlos para obtener acceso a recursos específicos del dominio. Utilice
un grupo global para organizar a los usuarios que comparten las mismas tareas
de trabajo y necesitan requisitos de acceso a la red similares. Para controlar
el acceso a los recursos de un dominio, sería conveniente utilizar otro tipo
de grupo.
Administrar grupos
9
¿Qué son los grupos universales?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Un grupo universal es un grupo de distribución o de seguridad que contiene
usuarios, grupos y equipos de cualquier dominio del bosque. Puede utilizar
grupos de seguridad universales para asignar derechos y permisos de usuario
a los recursos de cualquier dominio del bosque.
Características de los
grupos universales
A continuación, se resumen las características de los grupos universales:
„
Miembros
• No puede crear grupos universales en el modo mixto.
• En el modo nativo, los grupos universales pueden contener cuentas
de usuario, cuentas de equipo, grupos globales y otros grupos
universales de cualquier dominio del bosque.
„
Puede ser miembro de
• No se puede aplicar el grupo universal en el modo mixto.
• En el modo nativo, el grupo universal puede ser miembro de los grupos
locales de dominio y universales de cualquier dominio.
„
Ámbito
Los grupos universales son visibles en todos los dominios del bosque y
dominios de confianza.
„
Permisos
Puede conceder permisos a grupos universales para todos los dominios del
bosque.
Cuándo utilizar grupos
universales
Utilice grupos universales para anidar grupos globales y poder asignar permisos
a recursos relacionados de varios dominios. Un dominio
de Windows Server 2003 debe estar en el modo Windows 2000 nativo o
superior para poder utilizar grupos universales.
10
Administrar grupos
¿Qué son los grupos locales de dominio?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Un grupo local de dominio es un grupo de distribución o de seguridad que
puede contener grupos universales, grupos globales, otros grupos locales de
dominio de su propio dominio y cuentas de cualquier dominio del bosque.
Puede utilizar grupos de seguridad locales de dominio para asignar derechos y
permisos de usuario sólo a recursos del mismo dominio en el que se encuentra
ubicado el grupo local de dominio.
Características de los
grupos locales de
dominio
A continuación, se resumen las características de los grupos locales de dominio:
„
Miembros
• En el modo mixto, los grupos locales de dominio pueden contener
cuentas de usuario, cuentas de equipo y grupos globales de cualquier
dominio. Los servidores miembros no pueden utilizar grupos locales de
dominio en el modo mixto.
• En el modo nativo, los grupos locales de dominio pueden contener
cuentas de usuario, cuentas de equipo, grupos globales y grupos
universales de cualquier dominio del bosque y grupos locales de
dominio de su mismo dominio.
„
Puede ser miembro de
• En el modo mixto, un grupo local de dominio no puede ser miembro
de ningún grupo.
• En el modo nativo, un grupo local de dominio puede ser miembro
de grupos locales de dominio de su mismo dominio.
„
Ámbito
Un grupo local de dominio sólo es visible en el dominio al que pertenece.
„
Permisos
Puede asignar permisos a un grupo local de dominio para el dominio al que
pertenece el grupo local de dominio.
Administrar grupos
Cuándo utilizar grupos
locales de dominio
Utilice un grupo local de dominio para asignar permisos a recursos ubicados
en el mismo dominio que el grupo local de dominio. Puede colocar todos los
grupos globales que necesiten compartir los mismos recursos en el grupo local
de dominio adecuado.
11
12
Administrar grupos
¿Qué son los grupos locales?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Un grupo local es un conjunto de cuentas de usuario y grupos de dominio
creados en un servidor miembro o en un servidor independiente. Puede crear
grupos locales para conceder permisos para los recursos que residen
en el equipo local. Windows 2000 o Windows Server 2003 crean grupos locales
en una base de datos de seguridad local. Los grupos locales pueden contener
usuarios, equipos, grupos globales, grupos universales y otros grupos locales
de dominio.
Debido a que los grupos con un ámbito local de dominio reciben a menudo
el nombre de grupos locales, es importante distinguir entre un grupo local
y un grupo con ámbito local de dominio. Los grupos locales a veces reciben
el nombre de grupos locales de equipo para distinguirlos de los grupos locales
de dominio.
Características de los
grupos locales
Cuándo utilizar grupos
locales
A continuación, se resumen las características de los grupos locales:
„
Los grupos locales pueden contener cuentas de usuario locales del equipo
en el que se crea el grupo local.
„
Los grupos locales no pueden ser miembros de otro grupo.
A continuación, se muestran algunas directrices para utilizar grupos locales:
„
Sólo puede utilizar grupos locales en el equipo en el se crean los grupos
locales. Los permisos del grupo local ofrecen acceso sólo a los recursos del
equipo en el que se creó el grupo local.
Administrar grupos
„
Puede utilizar grupos locales en los equipos que estén ejecutando
actualmente sistemas operativos clientes de Microsoft admitidos
y en servidores miembros en los que se esté ejecutando
Windows Server 2003. No puede crear grupos locales en controladores
de dominio, porque éstos no pueden tener una base de datos de seguridad
independiente de la base de datos de Active Directory.
„
Cree grupos locales para limitar la capacidad de acceso de los usuarios
y grupos locales a los recursos de la red cuando no desee crear grupos
de dominio.
13
14
Administrar grupos
¿Dónde crear grupos?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
En Active Directory, los grupos se crean en dominios. Puede utilizar Usuarios
y equipos de Active Directory para crear grupos. Si tiene los permisos
necesarios y asocia correctamente los usuarios y equipos con los grupos, puede
crear grupos en otro dominio del bosque o en una unidad organizativa.
Además de por el dominio en el que se ha creado, un grupo también se
caracteriza por su ámbito. El ámbito de un grupo determina:
Selección de un dominio
o de una unidad
organizativa
„
El dominio desde el que se pueden agregar miembros.
„
El dominio en el que son válidos los derechos y permisos de usuario
asignados al grupo.
Seleccione un determinado dominio, o unidad organizativa, en el que crear
un grupo en función de los requisitos de administración del grupo.
Por ejemplo, suponga que el directorio tiene varias unidades organizativas, cada
una de ellas con un administrador diferente. Es posible que desee crear grupos
globales en esas unidades organizativas para que los administradores puedan
administrar la pertenencia al grupo de los usuarios incluidos en sus respectivas
unidades organizativas.
Si es necesario que los grupos controlen el acceso fuera de la unidad
organizativa, puede anidar los grupos de la unidad organizativa en grupos
universales (o en otros grupos con ámbito global) que puedan utilizarse
en cualquier otra ubicación del bosque. Puede resultar más eficaz anidar grupos
globales si el nivel funcional de domino se establece en Windows 2000 nativo o
superior, los dominios contienen una jerarquía de unidades organizativas y la
administración se delega a los administradores de cada unidad organizativa.
Administrar grupos
Directrices para la nomenclatura de grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
En Active Directory, hay un gran número de grupos de distribución
y seguridad. Las siguientes convenciones de nomenclatura pueden ayudar
a administrar estos grupos. Las organizaciones establecen sus propias
convenciones de nomenclatura para los grupos de distribución y de seguridad.
Un nombre de grupo debería identificar su ámbito, tipo, la finalidad
de su creación y los permisos que puede tener.
Grupo de seguridad
Tenga en cuenta los siguientes puntos al definir una convención
de nomenclatura para los grupos de seguridad:
„
Ámbito de los grupos de seguridad
Aunque el tipo y ámbito de grupo se muestra como tipo de grupo
en Usuarios y equipos de Active Directory, las organizaciones suelen
incorporar el ámbito en la convención de nomenclatura del nombre
de grupo.
Por ejemplo, para identificar el ámbito de los grupos de seguridad,
Northwind Traders añade una letra al principio del nombre de grupo:
• G IT Admins
G para grupos globales
• U All IT Admins
U para grupos universales
• DL IT Admins Full Control
DL para grupos locales de dominio
15
16
Administrar grupos
„
Posesión del grupo de seguridad
El nombre de un grupo de seguridad de dominio, ya sea universal, global
o local de dominio, debe identificar de forma clara al propietario del grupo e
incluir el nombre del departamento o equipo al que pertenece.
A continuación, se muestra un ejemplo de convención de nomenclatura que
podría utilizar Northwind Traders para identificar al propietario del grupo:
• G Marketing Managers
• DL IT Admins Full Control
„
Nombre de dominio
El nombre de dominio o su abreviatura se coloca al principio del nombre
de grupo a petición del cliente. Por ejemplo:
• G NWTraders Marketing
• DL S.N.MSFT IT Admins Read
„
Finalidad del grupo de seguridad
Por último, se pude incluir en el nombre la finalidad empresarial del grupo
y los permisos máximos que debería tener el grupo en la red. Esta
convención de nomenclatura se suele aplicar a los grupos locales o grupos
locales de dominio.
A continuación, se muestra un ejemplo de convención de nomenclatura que
podría utilizar Northwind Traders para identificar la finalidad del grupo
de seguridad: Northwind Traders utiliza un descriptor para identificar los
permisos máximos que debería tener el grupo en la red. Por ejemplo:
• DL IT London OU Admins
• DL IT Admins Full Control
Grupos de distribución
Como los grupos de seguridad se utilizan sobre todo para la administración
de la red, sólo el personal encargado de esta tarea debe utilizar la convención
de nomenclatura. Los usuarios finales utilizan grupos de distribución; por
lo tanto, debe interesarles la convención de nomenclatura.
Al definir una convención de nomenclatura para los grupos de distribución,
tenga en cuenta los siguientes puntos:
„
Nombres de correo electrónico
• Longitud. Utilice un alias corto. Para respetar las normas actuales
de datos descendentes, la longitud mínima de este campo es de tres
caracteres y la longitud máxima, de ocho.
• Palabras ofensivas. No cree grupos de distribución con palabras que
puedan considerarse ofensivas. Si no está seguro, no utilice la palabra.
• Caracteres permitidos. Puede utilizar cualquier carácter ASCII. Los
únicos caracteres especiales permitidos son el guión (-) y el carácter
de subrayado (_).
Administrar grupos
17
• Designaciones especiales. No utilice las siguientes combinaciones
de caracteres para los grupos de distribución:
• Un carácter de subrayado (_) al principio del nombre de grupo del
alias.
• Un nombre o una combinación de nombre y apellidos que pueda
confundirse fácilmente con un nombre de cuenta de usuario.
„
Nombres para mostrar
• Alias de usuario. Con el fin de estandarizar los nombres, no incluya
un alias como parte del nombre para mostrar (por ejemplo, Informes
directos de Sfeli). Incluya el nombre completo (por ejemplo, Informes
directos de Susana Félix).
• Palabras ofensivas. No cree grupos de distribución con palabras que
puedan considerarse ofensivas.
• Discusiones sociales. No debería permitirse la utilización de grupos
de distribución para discusiones sociales, porque el área de carpetas
públicas es un medio más eficaz para transmitir y almacenar un gran
número de comunicaciones relacionadas con discusiones sociales. Ya
que un mensaje puede ser visto por varios usuarios, se minimiza
el tráfico de red y el almacenamiento de datos si se utilizan las carpetas
públicas en lugar de los grupos de distribución.
• Longitud. La longitud máxima de este campo es de 40 caracteres.
Se aceptan abreviaturas, siempre que su significado no sea confuso.
• Estilo. No ponga en mayúsculas toda la descripción, pero sí la primera
letra del nombre para mostrar. Utilice ortografía y puntuación correctas.
• Parte superior de la libreta de direcciones. No utilice la palabra Un/a,
números, caracteres especiales (sobre todo, comillas) o un espacio
en blanco al inicio de la descripción. Esto hace que aparezca en la parte
superior de la libreta de direcciones. La libreta de direcciones debería
comenzar por nombres de usuario individuales que empiecen por A.
• Caracteres especiales. Las barras diagonales (/) se aceptan en los
nombres para mostrar, pero no al inicio de los nombres de servidor.
No utilice más de un apóstrofe (‘) y ninguno de los siguientes caracteres
especiales: " * @ # $ % | [ ] ; < > =
„
Posesión
Un único grupo de distribución puede tener un máximo de cinco
copropietarios.
Grupos locales
El nombre de un grupo local no puede coincidir con ningún otro nombre
de grupo o de usuario del equipo local que se está administrando. Un nombre
de grupo local no puede estar formado exclusivamente por puntos (.) o espacios
en blanco. Puede contener hasta 256 caracteres, en mayúsculas o minúsculas,
exceptuando los siguientes: " / \ [ ] : ; | = , + * ? < >
Nota Puede que su entorno no permita utilizar estas directrices, pero es muy
probable que utilice algunas de las convenciones de nomenclatura de grupos.
18
Administrar grupos
¿Cómo crear un grupo?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
En la mayoría de los entornos corporativos, los grupos se crearán en dominios.
Active Directory incluye características de seguridad y seguimiento que limitan
la adición de usuarios a grupos. Active Directory también ofrece a las
compañías flexibilidad para utilizar grupos en servidores miembros. Las
compañías a menudo tienen servidores expuestos a Internet y desean utilizar
grupos locales en servidores miembros en lugar de grupos locales de dominio
para limitar la exposición de los grupos internos y de los miembros de grupo.
Procedimiento para la
creación de un grupo en
un dominio
Para crear un grupo en un dominio de Active Directory:
1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic
con el botón secundario del mouse (ratón) en la carpeta a la que desea
agregar el grupo, seleccione Nuevo y, a continuación, haga clic en Grupo.
2. En el cuadro de diálogo Nuevo objeto – Grupo, en el cuadro Nombre
de grupo, escriba el nombre del nuevo grupo.
3. En Ámbito de grupo, haga clic en el ámbito del nuevo grupo.
4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.
Nota Para realizar este procedimiento, debe ser miembro del grupo Operadores
de cuenta, del grupo Administradores del dominio o Administradores
de organización en Active Directory o que hayan delegado en usted la autoridad
adecuada. Como práctica de seguridad recomendada, considere la posibilidad
de utilizar Ejecutar como para realizar este procedimiento.
Importante Si se ha establecido el nivel funcional de dominio como Windows
2000 mixto en el dominio en el que está creando el grupo, sólo podrá
seleccionar los grupos de seguridad con un ámbito global o local de dominio.
Administrar grupos
Procedimiento para la
creación de un grupo
local en un servidor
miembro
19
Para crear un grupo local en un servidor miembro:
1. En Administración de equipos, en el árbol de consola, haga clic en Grupos.
2. En el menú Acción, haga clic en Grupo nuevo.
3. En el cuadro de diálogo Grupo nuevo, en el cuadro Nombre de grupo,
escriba el nombre del nuevo grupo.
4. En el cuadro Descripción, escriba una descripción para el grupo nuevo.
5. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar.
6. Haga clic en Crear y, después, en Cerrar.
Nota Para realizar este procedimiento, debe ser miembro del grupo Usuarios
avanzados o Administradores en el equipo local o que hayan delegado en usted
la autoridad adecuada. Si el equipo está unido a un dominio, podrán realizar
este procedimiento los miembros del grupo Administradores del dominio.
Como práctica de seguridad recomendada, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
Procedimiento para la
creación de un grupo
con la línea de
comandos
Para crear un grupo en un dominio de Active Directory mediante dsadd:
1. Abra un símbolo del sistema.
2. Escriba dsadd group GrupoDN -samid NombreSAM -secgrp yes |
no -scope l | g | u
Valor
Descripción
GrupoDN
Especifica el nombre completo del objeto de grupo que desea
agregar.
NombreSAM
Especifica el nombre de Administrador de cuentas de seguridad
(SAM, Security Accounts Manager) que se utilizará como nombre
de cuenta SAM único para este grupo (por ejemplo, operadores).
yes | no
Especifica si el grupo que desea agregar es un grupo de seguridad
(yes) o un grupo de distribución (no).
l|g|u
Especifica si el ámbito del grupo que desea agregar es local
de dominio (l), global (g) o universal (u).
Nota Para ver la sintaxis completa de este comando, escriba en el símbolo del
sistema: dsadd group /?
20
Administrar grupos
Procedimiento para la
eliminación de un grupo
Para eliminar un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic
en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botón secundario del mouse en el
grupo y, a continuación, haga clic en Eliminar.
Nota Para realizar este procedimiento, debe ser miembro del grupo Operadores
de cuenta, Administradores del dominio o Administradores de organización
en Active Directory o que hayan delegado en usted la autoridad adecuada.
Como práctica de seguridad recomendada, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
Procedimiento para la
eliminación de un grupo
con la línea de
comandos
Para eliminar un grupo mediante dsrm:
1. Abra un símbolo del sistema.
2. Escriba dsrm GrupoDN
Valor
Descripción
GrupoDN
Especifica el nombre completo del objeto de grupo que
se va a eliminar.
Nota Para ver la sintaxis completa de este comando, escriba en el símbolo del
sistema: dsrm /?
Administrar grupos
21
Ejercicio: Creación de grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivo
En este ejercicio, se crearán grupos locales y globales mediante Usuarios
y equipos de Active Directory. También se crearán grupos globales mediante la
herramienta de línea de comandos dsadd.
Instrucciones
Antes de comenzar este ejercicio:
„
Inicie una sesión en el dominio mediante la cuenta NombreEquipoUser.
„
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (Ejemplo:
LondonAdmin).
Situación
„
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
„
Repase los procedimientos de esta lección que describen cómo realizar esta
tarea.
Como administrador del sistema, debe crear varios grupos para el departamento
de contabilidad. Estos grupos se utilizarán más adelante para agrupar cuentas
y asignar grupos a recursos.
22
Administrar grupos
Ejercicio
Ë Crear grupos mediante Usuarios y equipos de Active Directory
1. Cree los siguientes grupos globales en la unidad organizativa
Locations/NombreEquipo/Grupos:
• G NombreEquipo Accounting Managers
• G NombreEquipo Accounting Personnel
2. Cree los siguientes grupos locales de dominio en la unidad organizativa
Locations/NombreEquipo/Grupos:
• DL NombreEquipo Accounting Managers Full Control
• DL NombreEquipo Accounting Managers Read
• DL NombreEquipo Accounting Personnel Full Control
• DL NombreEquipo Accounting Personnel Read
Ejercicio: Utilización de
la línea de comandos
Ë Crear grupos utilizando la herramienta de línea de comandos dsadd
1. Cree el siguiente grupo global en la unidad organizativa IT Test:
• G NombreEquipo Test
Ejemplo: C:\>dsadd group "cn=G London Test,ou=it
test,dc=nwtraders,dc=msft" -secgrp yes -scope g -samid "G London Test"
2. Cree el siguiente grupo local de dominio en la unidad organizativa IT Test:
• DL NombreEquipo Test
Ejemplo: C:\>dsadd group "cn=DL London Test, ou=it test,
dc=nwtraders,dc=msft" -secgrp yes -scope L -samid "DL London Test"
Administrar grupos
23
Lección: Administrar la pertenencia a grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Debido a que un gran número de usuarios necesitan a menudo acceso
a diferentes recursos de toda la organización, es posible que los administradores
tengan que agregar miembros a grupos que residen en Active Directory
o en equipos locales.
Si se agregan o eliminan miembros de grupos en un equipo local,
el administrador puede utilizar Administración de equipos para cambiar
la pertenencia al grupo en el equipo local.
Objetivos de la lección
Después de finalizar esta lección, el alumno será capaz de:
„
Distinguir entre las propiedades Miembros y Miembro de.
„
Utilizar las propiedades Miembros y Miembro de mediante la interfaz.
„
Determinar los grupos de los que es miembro una cuenta de usuario.
„
Agregar y eliminar miembros de un grupo.
24
Administrar grupos
Las propiedades Miembros y Miembro de
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
La ilustración de la diapositiva describe las propiedades Miembros y Miembro de.
Definición de Miembros
y Miembro de
Tom, Jo, y Kim son miembros del grupo global Administradores de Denver.
El grupo global Administradores de Denver es un miembro del grupo local
de dominio Administradores de UO de Denver.
Sam, Scott, y Amy son miembros del grupo global Administradores
de Vancouver. El grupo global Administradores de Vancouver es un miembro
del grupo local de dominio Administradores de UO de Denver.
La siguiente tabla resume la información de la diapositiva:
Usuario o grupo
Miembros
Tom, Jo, y Kim
Administradores
de Denver
Miembro de
Administradores
de Denver
Tom, Jo, y Kim
Sam, Scott, y Amy
Administradores de UO
de Denver
Administradores
de Vancouver
Administradores
de Vancouver
Sam, Scott, y Amy
Administradores de UO
de Denver
Administradores
de Denver
Administradores de UO
de Denver
Administradores
de Vancouver
Mediante las propiedades Miembros y Miembro de, puede determinar los
grupos a los que pertenece el usuario y los grupos a los que pertenece el grupo.
Administrar grupos
25
Demostración: Miembros y Miembro de
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivo
En esta demostración, mostrará cómo utilizar las propiedades Miembros y
Miembro de.
Demostración
Para mostrar cómo se utilizan Miembros y Miembro de:
1. Abra Usuarios y equipos de Active Directory.
2. En el árbol de consola, expanda nwtraders.msft y, a continuación,
la unidad organizativa IT Admin.
3. Haga clic en la unidad organizativa IT Users.
4. En el panel de detalles, haga doble clic en la cuenta de usuario
AcapulcoAdmin.
5. En el cuadro de diálogo Propiedades, en la ficha Miembro de, observe que
la cuenta de usuario AcapulcoAdmin es miembro de los siguientes grupos:
• Usuarios del dominio
• G Acapulco Admins
• G IT Admins
6. Haga doble clic en el grupo G IT Admins.
7. En el cuadro de diálogo Propiedades, en la ficha Miembros, observe que
el grupo G IT Admins tiene varios miembros.
8. En la ficha Miembro de, observe que el grupo G IT Admins es miembro del
grupo DL IT OU Administrators.
9. Haga doble clic en el grupo DL IT OU Administrators.
10. En el cuadro de diálogo Propiedades, en la ficha Miembros, observe que
el grupo G IT Admins es un miembro.
26
Administrar grupos
¿Cómo determinar los grupos de los que es miembro una cuenta
de usuario?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Después de agregar usuarios a los grupos, Active Directory actualiza
la propiedad Miembro de de las cuentas de usuario.
Procedimiento
Para determinar los grupos de los que es miembro un usuario:
1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic
en Users o en la carpeta que contiene la cuenta de usuario.
2. En el panel de detalles, haga clic con el botón secundario del mouse
en la cuenta de usuario y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, haga clic en la ficha Miembro de.
Nota No necesita credenciales administrativas para realizar esta tarea. Por
lo tanto, como práctica de seguridad recomendada, considere la posibilidad
de realizar esta tarea como un usuario sin credenciales administrativas.
Utilización de una línea
de comandos
Para determinar los grupos de los que es miembro un usuario mediante dsget:
1. Abra un símbolo del sistema.
2. Escriba dsget user DNUsuario -memberof
Valor
Descripción
DNUsuario
Especifica el nombre completo del objeto de usuario para el que
desea mostrar la pertenencia al grupo.
Nota Para ver la sintaxis completa de este comando, escriba en el símbolo del
sistema: dsget user /?
Administrar grupos
27
¿Cómo agregar y eliminar miembros de un grupo?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Después de crear un grupo, puede agregar miembros mediante Usuarios
y equipos de Active Directory. Entre los miembros de grupos, se pueden incluir
cuentas de usuario, equipos y otros grupos.
Procedimiento
Para agregar y eliminar miembros de un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic
en la carpeta que contiene el grupo al que desea agregar un miembro.
2. En el panel de detalles, haga clic con el botón secundario del mouse
en el grupo y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Miembros, haga clic
en Agregar.
Si desea eliminar un miembro del grupo, haga clic en el miembro
y, a continuación, en Quitar.
4. En el cuadro de diálogo Seleccionar usuarios, contactos, equipos
o grupos, en el cuadro Escriba los nombres de objeto que desea
seleccionar, escriba el nombre del grupo, usuario o equipo que desea
agregar al grupo y, a continuación, haga clic en Aceptar.
Sugerencia También puede agregar una cuenta de usuario o grupo mediante
la ficha Miembro de del cuadro de diálogo Propiedades de ese grupo o cuenta
de usuario. Utilice este método para agregar rápidamente el mismo usuario
o grupo a varios grupos.
28
Administrar grupos
Ejercicio: Administrar la pertenencia a grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivos
En este ejercicio, se agregarán usuarios a un grupo global.
Instrucciones
Antes de comenzar este ejercicio:
„
Inicie una sesión en el dominio con la cuenta NombreEquipoUser.
„
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (Ejemplo:
LondonAdmin).
„
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
„
Asegúrese de que los siguientes grupos se encuentran en la unidad
organizativa Locations/NombreEquipo/Grupos:
• Grupos globales:
• G NombreEquipo Accounting Managers
• G NombreEquipo Accounting Personnel
„
Situación
Repase los procedimientos de esta lección que describen cómo realizar esta
tarea.
Northwind Traders está comenzando a implementar grupos globales. Deberá
encontrar a todo el personal de contabilidad de la unidad organizativa
de la ciudad y agregarlo al grupo G NombreEquipo Accounting Personnel.
Administrar grupos
Ejercicio
29
Ë Realizar una búsqueda personalizada de Accounting Personnel
(personal de contabilidad)
• Busque usuarios con el atributo de búsqueda Ciudad de NombreEquipo
(Ejemplo: London) y el atributo de búsqueda Departamento de Accounting.
Esta búsqueda debería dar como resultado 10 usuarios aproximadamente.
Uno de los usuarios es el Accounting Manager (Administrador de
contabilidad).
Ë Agregar usuarios a G NombreEquipo Accounting Personnel
1. Seleccione todos los usuarios que se ofrecieron como resultado
en la anterior búsqueda.
2. Haga clic con el botón secundario del mouse en la selección y,
a continuación, haga clic en Agregar a un grupo.
3. Agregue los usuarios a G NombreEquipo Accounting Personnel.
30
Administrar grupos
Lección: Estrategias de uso de grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para
aplicar diferentes ámbitos de grupo. Esta lección cubre los conocimientos
teóricos y prácticos necesarios para utilizar grupos de forma óptima empleando
diferentes estrategias.
Objetivos de la lección
Después de finalizar esta lección, el alumno será capaz de:
„
Explicar la estrategia AGDLP para la utilización de grupos en un único
dominio.
„
Describir el anidamiento de grupos.
„
Describir las siguientes estrategias de utilización de grupos:
• AGP
• A DL P
• A G DL P
• A G U DL P
• AGLP
Administrar grupos
31
Presentación multimedia: Estrategia de utilización de los grupos
en un único dominio
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Ubicación del archivo
Para ver la presentación Estrategia de utilización de los grupos en un único
dominio, abra el archivo media13.htm que se puede encontrar dentro del fichero
media13.zip.
Puntos clave
Cuentas de usuario Æ Grupos globales Æ Grupos locales de dominio Å
Permisos
(A)
(G)
(DL)
(P)
32
Administrar grupos
¿Qué es el anidamiento de grupos?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Mediante el anidamiento, puede agregar un grupo como miembro de otro.
Puede anidar grupos para consolidar la administración de grupos. El
anidamiento aumenta las cuentas de miembros que se ven afectadas por una
única acción y reduce el tráfico provocado por la replicación de los cambios
en la pertenencia a grupos.
Opciones de
anidamiento
Las opciones de anidamiento varían en función de que el nivel funcional del
dominio de Windows Server 2003 se haya establecido como Windows 2000
nativo o Windows 2000 mixto. En los dominios en los que se ha establecido el
nivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos
viene determinada de la siguiente manera:
„
Los grupos universales pueden tener los siguientes miembros: cuentas
de usuario, cuentas de equipo, grupos universales y grupos globales
de cualquier dominio.
„
Los grupos globales pueden tener los siguientes miembros: cuentas
de usuario, cuentas de equipo y grupos globales del mismo dominio.
„
Los grupos locales de dominio pueden tener los siguientes miembros:
cuentas de usuario, cuentas de equipo, grupos universales y grupos globales
de cualquier dominio. Pueden tener también como miembros grupos locales
de dominio del mismo dominio.
Administrar grupos
33
No puede crear grupos de seguridad con ámbito universal en dominios en los
que el nivel funcional de dominio se ha establecido en Windows 2000 mixto.
Sólo admiten un ámbito universal, los dominios en los que el nivel funcional de
dominio se ha establecido en Windows 2000 nativo o Windows Server 2003.
Nota Minimice los niveles de anidamiento. Un único nivel de anidamiento
es el método más eficaz, porque el seguimiento de los permisos se complica
cuando hay varios niveles.
Además, la solución de problemas se dificulta si es necesario realizar
un seguimiento de los permisos en varios niveles de anidamiento. Por lo tanto,
documente la pertenencia a grupos para realizar un seguimiento de los
permisos.
34
Administrar grupos
Estrategias de grupo
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para
aplicar los diferentes ámbitos de grupo. La selección de la estrategia depende
del entorno de red de Windows de la organización. En un único dominio,
la práctica habitual consiste en utilizar grupos globales y locales de dominio
para conceder permisos para los recursos de red. En una red con varios
dominios, puede incorporar grupos globales y universales a su estrategia.
AGP
En A G P, se colocan cuentas de usuario (A) en grupos globales (G)
y se conceden permisos (P) a los grupos globales. Esta estrategia presenta
la limitación de complicar la administración cuando se utilizan varios dominios.
Si los grupos globales de varios dominios necesitan los mismos permisos, debe
conceder permisos a cada uno de los grupos globales de forma individual.
Cuándo utilizar la
estrategia A G P
Utilice A G P para bosques con un dominio, a los que no agregará nunca otros
dominios, y con muy pocos usuarios.
A G P tiene las siguientes ventajas:
„
No se anidan los grupos y, por lo tanto, la solución de problemas puede
simplificarse.
„
Las cuentas pertenecen a un único ámbito de grupo.
A G P tiene las siguientes desventajas:
„
Cada vez que un usuario se autentica con un recurso, el servidor debe
comprobar la pertenencia al grupo global para determinar si el usuario
es aún miembro del grupo.
„
Se degrada el rendimiento debido a que el grupo global no se almacena
en caché.
Administrar grupos
A DL P
En A DL P, se colocan cuentas de usuario (A) en grupos locales de dominio
(DL) y se conceden permisos (P) a los grupos locales de dominio. Esta
estrategia presenta una limitación: no permite conceder permisos para recursos
que se encuentran fuera del dominio. Por lo tanto, se reduce la flexibilidad
a medida que crece la red.
Cuándo utilizar la
estrategia A DL P
Utilice A DL P para un bosque que reúna los siguientes requisitos:
35
„
El bosque sólo tiene un dominio y muy pocos usuarios.
„
No se agregarán nunca otros dominios al bosque.
„
No hay servidores miembros de Microsoft Windows NT® 4.0 en el dominio.
A DL P tiene las siguientes ventajas:
„
Las cuentas pertenecen sólo a un único ámbito de grupo.
„
No se anidan los grupos y, por lo tanto, la solución de problemas puede
simplificarse.
A DL P tiene las siguientes desventajas:
„
Se degrada el rendimiento debido a que cada grupo local de dominio tiene
varios miembros que deben autenticarse.
A G DL P
En A G DL P, se colocan cuentas de usuario (A) en grupos globales (G),
se colocan los grupos globales en grupos locales de dominio (DL)
y, a continuación, se conceden permisos (P) a los grupos locales de dominio.
Esta estrategia ofrece flexibilidad para el crecimiento de la red y reduce
el número de veces que se deben definir los permisos.
Cuándo utilizar la
estrategia A G DL P
Utilice A G DL P para un bosque formado por uno o varios dominios,
y en el que puede que deba agregar futuros dominios.
A G DL P tiene las siguientes ventajas:
„
Los dominios son flexibles.
„
Los propietarios de los recursos necesitan menos acceso a Active Directory
para proteger de forma flexible sus recursos.
A G DL P tiene la siguiente desventaja:
„
A G U DL P
Una estructura de administración por niveles es más compleja de configurar
al principio, pero, con el tiempo, es más fácil de administrar.
En A G U DL P, se colocan cuentas de usuario (A) en grupos globales (G),
se colocan los grupos globales en grupos universales (U) y estos grupos
universales en grupos locales de dominio (DL), y, a continuación, se conceden
permisos (P) a los grupos locales de dominio.
36
Administrar grupos
Cuándo utilizar la
estrategia A G U DL P
Utilice A G U DL P para un bosque con más de un dominio, en el que los
administradores necesiten una administración centralizada para varios grupos
globales.
A G U DL P tiene las siguientes ventajas:
„
Existe flexibilidad en todo el bosque.
„
Permite una administración centralizada.
Nota Los grupos locales de dominio no deben utilizarse para asignar permisos
de objetos de Active Directory en un bosque con más de un dominio. Para
obtener más información, consulte el artículo 231273 de Microsoft Knowledge
Base, Group Type and Scope Usage in Windows,
en http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B231273
(en inglés).
A G U DL P tiene la siguiente desventaja:
„
La pertenencia a grupos universales se almacena en el catálogo global.
Nota El catálogo global es un controlador de dominio que almacena una
copia de todos los objetos de Active Directory de un bosque. El catálogo
global almacena una copia completa de todos los objetos de
Active Directory para el dominio de host y una copia parcial de todos los
objetos para los demás dominios del bosque.
„
Puede ser necesario agregar más servidores de catálogo global.
„
Puede existir latencia de replicación del catálogo global. La latencia,
en relación con el catálogo global, es el tiempo necesario para replicar
un cambio en cada servidor de catálogo global del bosque.
La utilización de grupos universales puede suponer una desventaja sólo si
tienen una pertenencia a grupos muy dinámica, con una gran cantidad de tráfico
de replicación de catálogo global mientras se modifica la pertenencia a grupos
en un bosque multidominio. En A G U DL P, esto no supone un gran problema
porque la pertenencia a grupos universales es relativamente estática (es decir,
el grupo universal tiene como miembros a grupos globales, y no a usuarios
individuales).
AGLP
Utilice la estrategia A G L P para colocar cuentas de usuario en un grupo global
y conceder permisos al grupo local. Esta estrategia presenta una limitación:
no se pueden conceder permisos para recursos que se encuentran fuera del
equipo local.
Por lo tanto, coloque las cuentas de usuarios en un grupo global, agregue
el grupo global al grupo local y, a continuación, conceda permisos al grupo
local. Puede utilizar, con esta estrategia, el mismo grupo global en varios
equipos locales.
Nota Utilice grupos locales de dominio siempre que sea posible. Utilice grupos
locales sólo cuando no se haya creado un grupo local de dominio para este fin.
Administrar grupos
Cuándo utilizar la
estrategia A G L P
Utilice la estrategia A G L P cuando el dominio tenga las siguientes
características:
„
Se ha actualizado de Windows NT 4.0 a Windows Server 2003.
„
Contiene un dominio.
„
Tiene pocos usuarios.
„
No se agregarán más dominios.
„
Para mantener una estrategia de grupo de Windows NT 4.0.
„
Para mantener una administración de usuarios centralizada y una
administración de recursos descentralizada.
Es recomendable que utilice A G L P con Windows Server 2003,
Active Directory y servidores miembros de Windows NT 4.0.
A G L P tiene las siguientes ventajas:
„
Mantiene la estrategia de grupo de Windows NT 4.0.
„
Los propietarios de recursos poseen pertenencia a cada grupo que necesita
acceso.
A G L P tiene las siguientes desventajas:
„
Active Directory no controla el acceso.
„
Debe crear grupos redundantes en todos los servidores miembros.
„
No permite la administración centralizada.
37
38
Administrar grupos
Debate de clase: Uso de grupos en un único dominio
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Ejemplo 1
Northwind Traders tiene un único dominio ubicado en París (Francia). Los
administradores de Northwind Traders necesitan tener acceso a la base de datos
de inventario para realizar su trabajo.
¿Qué puede hacer para garantizar que los administradores tengan acceso
a la base de datos de inventario?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Administrar grupos
Ejemplo 2
39
Northwind Traders desea reaccionar de forma más rápida a las demandas del
mercado. Se ha dispuesto que los datos de contabilidad deben estar disponibles
para todo el personal de contabilidad. Northwind Traders desea crear
la estructura de grupo de toda la división de contabilidad, que incluye los
departamentos de Cuentas acreedoras y Cuentas deudoras.
¿Qué puede hacer para garantizar que los administradores tengan el acceso
necesario y para asegurar que haya un mínimo de administración?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
40
Administrar grupos
Ejercicio: Adición de grupos globales a grupos locales de dominio
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivo
En este ejercicio, se agregará un grupo global a un grupo local de dominio.
Instrucciones
Antes de comenzar este ejercicio:
„
Inicie una sesión en el dominio mediante la cuenta NombreEquipoUser.
„
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (Ejemplo:
LondonAdmin).
„
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
„
Asegúrese de que los siguientes grupos se encuentran en la unidad
organizativa Locations/NombreEquipo/Grupos:
• Grupos globales:
• G NombreEquipo Accounting Managers
• G NombreEquipo Accounting Personnel
• Grupos locales de dominio:
• DL NombreEquipo Accounting Managers Full Control
• DL NombreEquipo Accounting Managers Read
• DL NombreEquipo Accounting Personnel Full Control
• DL NombreEquipo Accounting Personnel Read
„
Repase los procedimientos de esta lección que describen cómo realizar esta
tarea.
Administrar grupos
Situación
Northwind Traders está implementando A G DL P y necesita que agregue
grupos globales a grupos locales de dominio.
Ejercicio
Ë Agregar grupos globales a grupos locales de dominio
1. Agregue el grupo global G NombreEquipo Accounting Managers a DL
NombreEquipo Accounting Managers Full Control.
2. Agregue el grupo global G NombreEquipo Accounting Managers a DL
NombreEquipo Accounting Managers Read.
3. Agregue el grupo global G NombreEquipo Accounting Personnel a DL
NombreEquipo Accounting Personnel Full Control.
4. Agregue el grupo global G NombreEquipo Accounting Personnel a DL
NombreEquipo Accounting Personnel Read.
41
42
Administrar grupos
Lección: Modificar grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
En esta lección se presentan los conocimientos teóricos y prácticos necesarios
para modificar grupos.
Objetivos de la lección
Después de finalizar esta lección, el alumno será capaz de:
„
Explicar qué significa modificar el ámbito o tipo de un grupo.
„
Cambiar el ámbito o tipo de un grupo.
„
Explicar por qué se asigna un administrador a un grupo.
„
Asignar un administrador a un grupo.
Administrar grupos
¿Qué es la modificación del ámbito o tipo de un grupo?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Al crear un grupo nuevo, éste se configura de forma predeterminada como
grupo de seguridad con ámbito global, independientemente del nivel funcional
de dominio actual.
Cambio del ámbito de
un grupo
Aunque no se puede cambiar el ámbito de grupo en dominios con un nivel
funcional de dominio definido en Windows 2000 mixto, puede realizar los
siguientes cambios de ámbito en dominios con un nivel funcional de dominio
definido en Windows 2000 nativo o Windows Server 2003:
„
De global a universal. Sólo se permite realizar este cambio si el grupo que
desea cambiar no es miembro de otro grupo global.
Nota No puede cambiar un ámbito de grupo de global a local de dominio
directamente. Para realizar esta acción, debe cambiar primero el ámbito
de grupo de global a universal y, a continuación, de universal a local
de dominio.
„
De local de dominio a universal. Sólo se permite realizar este cambio
si el grupo que desea cambiar no tiene otro grupo local de dominio como
miembro.
„
De universal a global. Sólo se permite realizar este cambio si el grupo que
desea cambiar no tiene otro grupo universal como miembro.
„
De universal a local de dominio. No existen restricciones para realizar este
cambio.
43
44
Administrar grupos
Cambio del tipo de
grupo
Puede convertir en cualquier momento un grupo de seguridad en un grupo
de distribución y viceversa, pero sólo si el nivel funcional de dominio
se encuentra definido en Windows 2000 nativo o superior. No puede convertir
un grupo si el nivel funcional de dominio se encuentra definido en Windows
2000 mixto.
Puede convertir grupos de un tipo a otro en las siguientes situaciones:
„
De seguridad a distribución
Una compañía se divide en dos. Los usuarios se migran de un dominio
a otro, pero mantienen sus direcciones de correo electrónico antiguas. Desea
enviarles mensajes de correo electrónico, mediante los grupos de seguridad
antiguos, pero prefiere eliminar el contexto de seguridad del grupo.
„
De distribución a seguridad
Un grupo de distribución aumenta considerablemente y los usuarios desean
utilizarlo para tareas relacionadas con la seguridad. Sin embargo, aún
desean utilizar el grupo para tareas de correo electrónico.
Nota Aunque se puede agregar un contacto a un grupo de seguridad o de
distribución, no está permitido conceder permisos a los contactos. No obstante,
se pueden enviar mensajes de correo electrónico a los contactos.
Administrar grupos
45
¿Cómo cambiar el ámbito o tipo de un grupo?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Para cambiar el ámbito o tipo de un grupo, debe definirse el nivel funcional
de dominio en Windows 2000 nativo o superior. No se puede cambiar el ámbito
o tipo de grupo si el nivel funcional de dominio se encuentra definido
en Windows 2000 mixto.
Procedimiento
Para cambiar el ámbito o tipo de un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic
en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botón secundario del mouse
en el grupo y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha General, haga clic, debajo
de Tipo de grupo, en el tipo de grupo al que desea cambiar.
4. Haga clic, debajo de Ámbito de grupo, en el ámbito de grupo al que desea
cambiar.
Nota Para realizar este procedimiento, debe ser miembro del grupo Operadores
de cuenta, Administradores del dominio o Administradores de organización en
Active Directory o que hayan delegado en usted la autoridad adecuada. Como
práctica de seguridad recomendada, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
46
Administrar grupos
Ejercicio: Cambio del ámbito y tipo de un grupo
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivo
Instrucciones
En este ejercicio, se ocupará de:
„
Cambiar el ámbito de grupo de global a local de dominio.
„
Convertir un grupo de seguridad en un grupo de distribución.
Antes de comenzar este ejercicio:
„
Inicie una sesión en el dominio mediante la cuenta NombreEquipoUser.
„
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (Ejemplo:
LondonAdmin).
„
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
Situación
Los administradores de TI de Northwind Traders desean elaborar un
procedimiento para cambiar el ámbito de un grupo de seguridad de global
a local de dominio. Debe crear todos los grupos de prueba en la unidad
organizativa IT Test.
Ejercicio: Cambio del
ámbito de grupo
Ë Crear un grupo de seguridad global
• En la unidad organizativa IT Test, cree un grupo de seguridad global con
el nombre NombreEquipo Group Scope Test.
Administrar grupos
47
Ë Ponga por escrito el procedimiento para convertir el grupo global
en un grupo local de dominio
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Situación
Los administradores de TI de Northwind Traders desean que pruebe la función
de Active Directory que permite convertir un grupo de seguridad en un grupo
de distribución. Desean que convierta el grupo de seguridad creado en un grupo
de distribución.
Ejercicio: Cambio del
tipo de grupo
Ë Convertir un grupo de seguridad global en un grupo de distribución
• Convierta el grupo de seguridad NombreEquipo Group Scope en un grupo
de distribución.
48
Administrar grupos
¿Por qué se debe asignar un administrador a un grupo?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Ventajas de asignar un
administrador a un
grupo
Active Directory de Windows Server 2003 permite asignar un administrador
a un grupo como propiedad del grupo. Esto le permite:
„
Controlar quién es la persona responsable de los grupos.
„
Delegar en el administrador del grupo la autoridad para agregar y eliminar
usuarios del grupo.
Debido a que, en las grandes organizaciones, se suelen agregar y eliminar
personas de los grupos con bastante frecuencia, algunas organizaciones
distribuyen la responsabilidad administrativa de agregar usuarios a grupos entre
las personas que solicitan el grupo.
Al documentar quién es el administrador del grupo, la información de contacto
de esa cuenta de usuario queda registrada. Si se necesita alguna vez migrar
el grupo a otro dominio, o si es necesario eliminarlo, el administrador de red
tiene un registro que contiene información sobre el propietario del grupo
y su información de contacto. Por lo tanto, el administrador de red puede llamar
o enviar un mensaje al administrador del grupo para notificarle el cambio que
es necesario realizar en el grupo.
Administrar grupos
49
¿Cómo asignar un administrador a un grupo?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Utilice el siguiente procedimiento para asignar un administrador a un grupo.
Procedimiento
Para asignar un administrador a un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga
doble clic en el grupo que necesita un administrador.
2. En el cuadro de diálogo Propiedades, en la ficha Administrado por, haga
clic en Cambiar para agregar o cambiar el administrador de un grupo.
3. En el cuadro de diálogo Seleccionar Usuario o contacto, en el cuadro
Escriba el nombre de objeto que desea seleccionar, escriba el nombre del
usuario que desea que administre el grupo y haga clic en Aceptar.
4. Seleccione la casilla de verificación El administrador puede actualizar
la lista de suscripciones si desea que el administrador agregue o elimine
usuarios o grupos.
5. En el cuadro de diálogo Propiedades, haga clic en Aceptar.
50
Administrar grupos
Ejercicio: Asignar un administrador a un grupo
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivo
Instrucciones
En este ejercicio, se ocupará de:
„
Crear un grupo global.
„
Asignar un administrador al grupo que pueda modificar la pertenencia
al grupo.
„
Probar las propiedades del administrador del grupo.
Antes de comenzar este ejercicio:
„
Inicie una sesión en el dominio mediante la cuenta NombreEquipoUser.
„
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (Ejemplo:
LondonAdmin).
„
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
Situación
Se le ha pedido que cree un grupo para el departamento de ventas con
el nombre G NombreEquipo Sales Strategy. El propietario del grupo será el
Administrador de ventas de la unidad organizativa de la ciudad.
Ejercicio
Ë Crear un grupo global en la unidad organizativa de la ciudad
1. Cree un grupo global con el nombre G NombreEquipo Sales Strategy en la
unidad organizativa Locations/NombreEquipo.
2. Cierre la sesión.
Administrar grupos
51
Ë Probar las propiedades del administrador del grupo
1. Inicie una sesión con la cuenta NombreEquipoUser.
2. Abra CustomMMC e intente agregar un usuario a G NombreEquipo Sales
Strategy.
No debería poder agregar ningún usuario a este grupo.
3. Cierre CustomMMC.
4. Abra CustomMMC (no utilice el comando Ejecutar como).
5. En Usuarios y equipos de Active Directory, desplácese hasta la unidad
organizativa de su ciudad y, a continuación, haga doble clic
en G NombreEquipo Sales Strategy.
6. En el cuadro de diálogo Propiedades, haga clic en la ficha Miembros
y observe que el botón Agregar no está disponible y, por lo tanto, no puede
agregar ningún usuario.
7. Cierre CustomMMC.
Ë Convertir NombreEquipoUser en administrador de G NombreEquipo
Sales Strategy
1. Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta Nwtraders\NombreEquipoAdmin.
2. En Usuarios y equipos de Active Directory, desplácese hasta la unidad
organizativa de su ciudad y, a continuación, haga doble clic
en G NombreEquipo Sales Strategy.
3. En el cuadro de diálogo Propiedades, en la ficha Administrado por,
agregue la cuenta de usuario NombreEquipoUser.
4. Seleccione la casilla de verificación El administrador puede actualizar
la lista de suscripciones.
5. Cierre CustomMMC.
Ë Probar las propiedades del administrador del grupo
1. En Usuarios y equipos de Active Directory, desplácese hasta la unidad
organizativa de su ciudad y, a continuación, haga doble clic
en G NombreEquipo Sales Strategy.
2. En el cuadro de diálogo Propiedades, en la ficha Miembros, agregue
la cuenta de usuario User0001.
3. Cierre todas las ventanas y CustomMMC.
52
Administrar grupos
Lección: Uso de grupos predeterminados
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
Esta lección presenta el modo de utilizar los grupos predeterminados.
Objetivos de la lección
Después de finalizar esta lección, el alumno será capaz de:
„
Explicar cómo se utilizan los grupos predeterminados en servidores
miembros.
„
Explicar cómo se utilizan los grupos predeterminados en Active Directory.
„
Identificar cuándo se deben utilizar grupos predeterminados.
„
Identificar las consideraciones de seguridad de los grupos predeterminados.
„
Explicar cómo se utilizan los grupos del sistema.
Administrar grupos
53
Grupos predeterminados en servidores miembros
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
La carpeta Grupos está ubicada en un servidor miembro de la consola Usuarios
y grupos locales, que muestra todos los grupos locales predeterminados
integrados y demás grupos locales que se han creado. Los grupos locales
predeterminados se crean automáticamente al instalar Windows Server 2003.
Los grupos locales pueden contener cuentas de usuario locales, cuentas
de usuario de dominio, cuentas de equipo y grupos globales.
Grupos locales
predeterminados en un
servidor miembro
La siguiente tabla describe algunos de los grupos locales predeterminados
de un servidor miembro o independiente con Windows Server 2003.
Grupo
Descripción
Administradores
• Los miembros tienen control total del servidor y pueden
asignar derechos y permisos de control de acceso a los
usuarios cuando sea necesario.
• Administrador es una cuenta miembro predeterminada y
tiene control total del servidor.
• Deberían agregarse usuarios con precaución.
• Cuando el grupo Administradores del dominio se une a un
dominio, se agrega automáticamente a este grupo.
Invitados
• Se crea un perfil temporal para cada miembro que inicia
una sesión.
• Cuando el miembro invitado cierra una sesión, se elimina
el perfil.
• La cuenta Invitado está desactivada de forma
predeterminada.
Usuarios del registro
de rendimiento
• Los miembros pueden administrar los contadores,
registros y alertas de rendimiento del servidor de forma
local y desde clientes remotos sin ser miembros del grupo
Administradores.
54
Administrar grupos
(continuación)
Grupo
Descripción
Usuarios del monitor
de sistema
• Los miembros pueden supervisar los contadores
de rendimiento del servidor de forma local y desde
clientes remotos sin ser miembros de los grupos
Administradores o Usuarios de registro de
rendimiento.
Usuarios avanzados
• Los miembros pueden crear cuentas de usuario
y, a continuación, modificarlas o eliminarlas.
• Los miembros pueden crear grupos locales
y, a continuación, agregar o eliminar usuarios en los
grupos locales creados.
• Los miembros también pueden agregar o eliminar
usuarios en los grupos Usuarios avanzados,
Usuarios e Invitados.
• Los miembros pueden crear recursos compartidos
y administrarlos.
• Los miembros no pueden tomar posesión de los
archivos, hacer copias de seguridad de los
directorios o restaurarlos, cargar o descargar
controladores de dispositivo, o administrar los
registros de auditoría y seguridad.
Operadores de
impresión
• Los miembros pueden administrar impresoras
y colas de impresión.
Usuarios
• Los miembros pueden realizar tareas comunes,
como ejecutar aplicaciones, utilizar impresoras
locales y de red y bloquear el servidor.
• Los usuarios no pueden compartir directorios
ni crear impresoras locales.
• Los grupos Usuarios del dominio, Usuarios
autentificados e Interactivo son miembros de este
grupo. Por lo tanto, cualquier cuenta de usuario
creada en el dominio se convierte en miembro
de este grupo.
Los siguientes grupos adicionales también son grupos predeterminados
en un servidor miembro, aunque no se utilizan habitualmente.
„
Operadores de configuración de red
„
Usuarios de escritorio remoto
„
Replicador
„
HelpServicesGroup
„
Usuarios de Terminal Server
Nota Para obtener más información sobre los grupos predeterminados
en servidores miembros, busque “grupos locales predeterminados” en Ayuda
de Windows Server 2003.
Administrar grupos
Grupos
predeterminados
utilizados por servicios
de red
55
La siguiente tabla describe los grupos predeterminados utilizados por los
servicios de red e instalados sólo con el servicio de Protocolo de configuración
dinámica de host (DHCP, Dynamic Host Configuration Protocol).
Grupo
Miembros
Administradores de
DHCP
• Los miembros tienen acceso administrativo al servicio
DHCP.
• El grupo Administradores de DHCP ofrece seguridad para
asignar acceso administrativo limitado al servidor DHCP,
sin ofrecer acceso completo al servidor.
• Los miembros pueden administrar DHCP en un servidor
mediante la consola de DHCP o el comando Netsh, pero
no pueden realizar otras tareas administrativas
en el servidor.
Usuarios de DHCP
• Los miembros tienen acceso de sólo lectura al servicio
DHCP.
• Los miembros pueden ver la información y las
propiedades almacenadas en un servidor DHCP
específico. Esta información puede ser útil para
el personal cuando se necesita obtener informes
de estado de DHCP.
Usuarios de WINS
• A los miembros se les permite tener acceso de sólo lectura
al Servicio de nombres Internet de Windows (WINS,
Windows Internet Name Service).
• Los miembros pueden ver la información y propiedades
almacenadas en un servidor WINS específico. Esta
información resulta útil para el personal cuando necesita
obtener informes de estado de WINS.
56
Administrar grupos
Grupos predeterminados en Active Directory
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Definición
Los grupos predeterminados son grupos de seguridad que se crean
automáticamente al instalar un dominio de Active Directory. Puede utilizar
estos grupos predefinidos para administrar los recursos compartidos y delegar
determinadas funciones administrativas en todo el dominio.
A un gran número de grupos predeterminados se les asigna automáticamente
un conjunto de derechos de usuario que determinan las acciones que puede
realizar cada grupo y sus miembros en el ámbito de un dominio o bosque. Los
derechos de usuario autorizan a los miembros de un grupo a realizar acciones
específicas, como iniciar una sesión en un sistema local o realizar copias
de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo
Operadores de copia tiene derecho a realizar copias de seguridad de todos los
controladores de dominio del dominio.
Algunos grupos predeterminados están disponibles en los contenedores Users
(Usuarios) y Builtin (Integrado) de Active Directory. El contenedor Builtin
contiene grupos locales de dominio. El contenedor Users contiene grupos
globales y grupos locales de dominio. Puede mover grupos de los contenedores
Users y Builtin a otro grupo o a carpetas de una unidad organizativa del
dominio, pero no puede moverlos a otros dominios.
Administrar grupos
Grupos del contenedor
Builtin
57
La siguiente tabla describe cada grupo predeterminado del contenedor Builtin
que se ha agregado a los grupos predeterminados de un servidor miembro
o independiente al instalar Active Directory. Todos estos grupos
predeterminados se agregaron con derechos de usuario asignados a cada grupo.
Grupo
Descripción
Operadores de cuentas
• Los miembros pueden crear, modificar y eliminar
cuentas de usuarios, grupos y equipos ubicadas en los
contenedores Users o Computers y las unidades
organizativas del dominio, excepto la unidad
organizativa Domain Controllers.
• Los miembros no tienen permiso para modificar los
grupos Administradores o Administradores del
dominio o las cuentas de los miembros de esos
grupos.
• Los miembros pueden iniciar una sesión de forma
local en los controladores de dominio del dominio
y también apagarlos.
• Agregue usuarios con precaución, ya que este grupo
tiene bastante poder en el dominio.
Creadores de confianza de
bosque de entrada
• Los miembros pueden crear confianzas de bosque
de entrada unidireccionales en el dominio raíz del
bosque.
• Este grupo no tiene miembros predeterminados.
Acceso compatible con
versiones anteriores de
Windows 2000
• Los miembros tienen acceso de lectura en todos los
usuarios y grupos del dominio.
• Se proporciona este grupo para obtener
compatibilidad con versiones anteriores en los
equipos que ejecutan Windows NT 4.0 o una versión
anterior.
• Agregue usuarios a este grupo sólo si se está
utilizando el Servicio de acceso remoto (RAS, Remote
Access Service) en un equipo con Windows NT 4.0 o
una versión anterior.
Operadores de servidores
• Los miembros pueden iniciar una sesión de forma
interactiva, crear y eliminar recursos compartidos,
iniciar y detener algunos servicios, hacer copias
de seguridad de archivos y restaurarlos, formatear
el disco duro y apagar el equipo.
• Este grupo no tiene miembros predeterminados.
• Agregue usuarios con precaución, ya que este grupo
tiene mucho poder en los controladores
de dominio.
58
Administrar grupos
Grupos del contenedor
Users
La siguiente tabla describe cada uno de los grupos predeterminados del
contenedor Users y los derechos de usuario que se les han asignado.
Grupo
Descripción
Controladores de
dominio
• Este grupo contiene todos los controladores de dominio
del dominio.
Invitados del dominio
• Este grupo contiene todos los invitados del dominio.
Usuarios del dominio
• Este grupo contiene todos los usuarios del dominio.
• Todas las cuentas de usuario creadas en el dominio son
automáticamente miembros de este grupo.
Equipos del dominio
• Este grupo contiene todas las estaciones de trabajo
y servidores unidos al dominio.
• Todas las cuentas de equipo creadas se convierten
automáticamente en miembros de este grupo.
Administradores del
dominio
• Los miembros tienen control total del dominio.
• Este grupo se convierte en miembro del grupo
Administradores en todos los controladores, todas las
estaciones de trabajo y todos los servidores miembros
de dominio en el momento en que se unen al dominio.
• La cuenta Administrador es miembro de este grupo.
Agregue usuarios con precaución, ya que este grupo
tiene poder total sobre el dominio.
Administradores de
organización
• Los miembros tienen control total de todos los dominios
del bosque.
• Este grupo es miembro del grupo Administradores
en todos los controladores de dominio del bosque.
• La cuenta Administrador es miembro de este grupo.
Agregue usuarios con precaución, ya que este grupo
tiene control total de todos los dominios del bosque.
Propietarios del creador
de directivas de grupo
• Los miembros pueden modificar la Directiva de grupo
del dominio.
• La cuenta Administrador es miembro de este grupo.
Agregue usuarios con precaución, ya que este grupo
tiene bastante poder en el dominio.
Administrar grupos
La siguiente lista contiene los grupos predeterminados adicionales que
utilizarían los ingenieros de sistemas para administrar grupos:
„
Administradores de esquema
„
DnsAdmins
„
DnsUpdateProxy
„
Publicadores de certificados
„
Servidores RAS (remote access server, servidor de acceso remoto) e IAS
(Internet Authentication Service, servidor de autenticación de Internet)
Nota Para obtener más información sobre otros grupos del contenedor Users,
busque “Grupos predeterminados de Active Directory” en Ayuda de Windows
Server 2003.
59
60
Administrar grupos
¿Cuándo utilizar grupos predeterminados?
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Utilización de grupos
predeterminados
Los grupos predeterminados le ayudan a controlar el acceso a los recursos
compartidos y a delegar determinadas funciones administrativas en todo
el dominio. A un gran número de grupos predeterminados se les asigna
automáticamente un conjunto de derechos de usuario que autorizan a sus
miembros a realizar acciones específicas en un dominio, como iniciar una
sesión en un sistema local o realizar copias de seguridad de archivos y carpetas.
Al agregar un usuario a un grupo, el usuario recibe todos los derechos
de usuario y permisos asignados al grupo para todos los recursos compartidos.
Como práctica de seguridad recomendada, es conveniente que los miembros
de grupos predeterminados con un acceso administrativo amplio utilicen
Ejecutar como para realizar tareas administrativas.
Administrar grupos
61
Consideraciones de seguridad para los grupos predeterminados
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Consideraciones de
seguridad para los
grupos predeterminados
Coloque un usuario en un grupo predeterminado sólo cuando esté seguro de que
desea ofrecer al usuario:
„
Todos los derechos de usuario asignados a ese grupo en Active Directory.
„
Todos los permisos asignados a ese grupo para todos los recursos
compartidos asociados a ese grupo predeterminado.
De lo contrario, cree un nuevo grupo de seguridad y asígnele sólo aquellos
derechos de usuario y permisos que necesite el usuario.
Como práctica de seguridad recomendada, los miembros de grupos
predeterminados que tengan un acceso administrativo amplio no deberían
realizar un inicio de sesión interactivo con credenciales administrativas. En
lugar de ello, los usuarios con ese nivel de acceso deberían utilizar Ejecutar
como.
Advertencia Agregue miembros a los grupos predeterminados sólo cuando
éstos necesiten todos los derechos asociados al grupo. Por ejemplo, si necesita
agregar una cuenta de servicio para realizar copias de seguridad de archivos
y restaurarlos en un servidor miembro, agregue la cuenta de servicio al grupo
Operadores de copia. El grupo Operadores de copia tiene derechos de usuario
para hacer copias de seguridad de archivos y restaurarlos en el equipo.
Sin embargo, si la cuenta de servicio sólo necesita hacer copias de seguridad
de archivos pero no restaurarlos, es mejor crear un grupo nuevo. Puede
conceder al grupo el derecho de usuario para la realización de copias
de seguridad de archivos, pero no el derecho de restaurar archivos.
62
Administrar grupos
Grupos del sistema
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción
No puede cambiar la pertenencia a grupos del sistema. El sistema operativo
es el encargado de crearlos y no se pueden cambiar o administrar. Es importante
que conozca los grupos del sistema porque puede utilizarlos para fines
de seguridad.
Definición
Los servidores con Windows Server 2003 incluyen algunas identidades
especiales, además de los grupos de los contenedores Users y Builtin.
Normalmente, por comodidad, estas identidades reciben el nombre de grupos
del sistema.
Los grupos del sistema representan a diferentes usuarios en distintas ocasiones,
en función de las circunstancias. Aunque se pueden conceder derechos
y permisos de usuario a los grupos del sistema, no se pueden modificar o ver
sus miembros.
Los ámbitos de grupo no se aplican a los grupos del sistema. Los usuarios
se asignan automáticamente a los grupos del sistema cada vez que inician una
sesión o tienen acceso a un determinado recurso.
Administrar grupos
Grupos del sistema
63
En la tabla siguiente se describen los grupos del sistema.
Grupo del sistema
Descripción
Inicio de sesión anónimo
El grupo del sistema Inicio de sesión anónimo representa a
los usuarios y servicios que tienen acceso a un equipo y sus
recursos mediante una red, sin utilizar un nombre
de cuenta, contraseña o nombre de dominio.
En los equipos con Windows NT o anterior, el grupo Inicio
de sesión anónimo es miembro del grupo Todos
de forma predeterminada.
En los equipos con un miembro de la familia
Windows Server 2003, el grupo Inicio de sesión anónimo no
es miembro del grupo Todos de forma predeterminada. Si
desea crear un recurso compartido
de archivo para un usuario anónimo, debe conceder permisos
al grupo Inicio de sesión anónimo.
Todos
El grupo del sistema Todos representa a todos los usuarios
de red actuales, incluidos invitados y usuarios
de otros dominios. Cada vez que un usuario inicia una sesión
en la red, se agrega automáticamente al grupo Todos.
Si la seguridad de un determinado grupo del dominio no le
supone ningún problema, puede conceder permisos al grupo
Todos. Sin embargo, como el grupo Inicio de sesión
anónimo puede convertirse en miembro del grupo Todos, no
es conveniente que utilice este grupo para conceder permisos
superiores a los de sólo lectura.
Red
El grupo del sistema Red representa a los usuarios que tienen
acceso actualmente a un determinado recurso a través de la
red, en contraposición a los usuarios que tienen acceso a un
recurso iniciando una sesión de forma local en el equipo en
el que se encuentra el recurso. Cada vez que un usuario tiene
acceso a un determinado recurso a través de la red, se agrega
automáticamente al grupo Red.
Interactivo
El grupo del sistema Interactivo representa a todos los
usuarios que están iniciando actualmente una sesión en un
determinado equipo y tienen acceso a un determinado
recurso de ese equipo, en contraposición a los usuarios que
tienen acceso al recurso a través de la red. Cada vez que un
usuario tiene acceso a un recurso del equipo en el que está
iniciando una sesión actualmente, se agrega
automáticamente al grupo Interactivo.
Usuarios autentificados
El grupo del sistema Usuarios autentificados representa
a todos los usuarios de Active Directory. Utilice siempre el
grupo Usuarios autentificados en lugar del grupo Todos al
conceder permisos para un recurso, para así evitar
el acceso de los invitados a los recursos.
Creator /Owner
El grupo del sistema Creator /Owner incluye las cuentas del
usuario que creó o tomó posesión de un recurso.
Si un miembro del grupo Administradores crea un recurso,
este grupo es el propietario del recurso.
64
Administrar grupos
Debate de clase: Uso de grupos predeterminados frente a creación
de nuevos grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Situación
Northwind Traders tiene más de 100 servidores en todo el mundo. Usted asiste
a una reunión para discutir las tareas actuales que deben realizar los
administradores y qué nivel mínimo de acceso necesitan los usuarios para
realizar tareas específicas. También debe determinar si puede utilizar grupos
predeterminados o si se deben crear grupos y asignar derechos y permisos
de usuario específicos a los grupos para realizar estas tareas.
Debate
Debe asignar grupos predeterminados o crear nuevos grupos para las siguientes
tareas. Nombre el grupo que tiene los derechos de usuario más restrictivos para
la realización de las siguientes acciones o determine si se debe crear un grupo
nuevo.
1. Realización de copias de seguridad y restauración de controladores
de dominio
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
2. Realización de copias de seguridad de servidores miembros
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
Administrar grupos
65
3. Creación de grupos en la unidad organizativa NWTraders Groups
____________________________________________________________
____________________________________________________________
____________________________________________________________
4. Inicio de una sesión en el dominio
____________________________________________________________
____________________________________________________________
____________________________________________________________
5. Especificación de los usuarios que necesitan acceso de sólo lectura a los
servidores DHCP
____________________________________________________________
____________________________________________________________
____________________________________________________________
6. Especificación de los empleados del servicio de asistencia técnica que
necesitan acceso para controlar de forma remota el escritorio
____________________________________________________________
____________________________________________________________
____________________________________________________________
7. Especificación de los usuarios que necesitan acceso administrativo a todos
los equipos de todo el dominio
____________________________________________________________
____________________________________________________________
____________________________________________________________
8. Especificación de los usuarios que necesitan acceso a la carpeta compartida
Ventas en un servidor con el nombre LonSrv2
____________________________________________________________
____________________________________________________________
____________________________________________________________
66
Administrar grupos
Prácticas recomendadas para la administración
de grupos
******El uso por quienes no sean instructores no está autorizado y resulta ilegal******
Prácticas recomendadas
Tenga en consideración las siguientes prácticas recomendadas para
la administración de grupos:
„
Cree grupos en función de las necesidades administrativas. Si crea un grupo
basado en un puesto de trabajo y otra persona se hace cargo de este puesto,
sólo deberá cambiar la pertenencia del miembro al grupo. No es necesario
cambiar todos los permisos concedidos a la cuenta de usuario individual.
Debido a esto, a menudo, es conveniente crear un grupo con un solo
miembro.
„
Utilice grupos locales para ofrecer a los usuarios acceso a los recursos de los
equipos locales cuando el equipo no es miembro de un dominio.
„
Si tiene varios grupos a los que puede agregar cuentas de usuario,
agréguelas al grupo más restrictivo. Sin embargo, asegúrese de que concede
los derechos y permisos adecuados para que los usuarios puedan realizar
cualquier tarea necesaria.
„
Siempre que un grupo predeterminado permita a los usuarios realizar una
tarea, utilice el grupo predeterminado en lugar de crear uno nuevo. Cree
grupos únicamente cuando no haya grupos predeterminados que ofrezcan
los derechos y permisos de usuario necesarios.
„
Utilice el grupo Usuarios autentificados en lugar del grupo Todos para
conceder la mayor parte de los derechos y permisos de usuario. Al utilizar
este grupo, se minimiza el riesgo de acceso no autorizado, ya que Windows
Server 2003 sólo agrega cuentas de usuario válidas a los miembros del
grupo del sistema Usuarios autentificados.
Administrar grupos
67
„
Limite el número de usuarios del grupo Administradores. Los miembros del
grupo Administradores de un equipo local tienen permisos de control total
en ese equipo. Agregue al grupo Administradores los usuarios que
únicamente vayan a realizar tareas administrativas.
„
La organización debe tener igual confianza en todos los miembros de los
grupos Administradores, Usuarios avanzados, Operadores de impresión
y Operadores de copia. Algunos derechos de usuario predeterminados
asignados a grupos locales predeterminados específicos pueden permitir
a los miembros de esos grupos obtener derechos adicionales en el equipo,
incluidos derechos administrativos.
Descargar