SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD USUARIOS Y GRUPOS EN REDES WINDOWS CON AD INDICE 1. Herramienta Usuarios y equipos de Active Directory 2. Unidades organizativas. 3. Cuentas de usuario. 3.1 Tipos. 3.2 Identificación. 3.3 Creación, modificación y eliminación. 4. Configuración y administración de cuentas de equipos. 5. Los grupos y su configuración. 5.1. Definición. 5.2. Clasificación. 5.3. Creación y asignación de miembros. 5.4. Estrategias de administración. 6. Relaciones de confianza entre dominios. 7. Documentación. [1] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 1. Herramienta Usuarios y equipos de Active Directory • Usuarios y equipos del Active Directory es la herramienta de administración más importante de Active Directory. • Permite manejar todas las tareas relativas a cuentas de usuarios, grupos y equipos, además de administrar las unidades organizativas. • Inicio / Programas / Herramientas administrativas/ Usuarios y equipos del Active Directory • Por defecto se trabaja con el dominio al que esté conectado el equipo, accediendo a la información del Active Directory y a los objetos de usuario que estén definidos en el mismo. • También es posible conectarnos a otro controlador de dominio de ese dominio, o de otro dominio. Al acceder a un dominio con Usuarios y equipos del AD, existen por defecto una serie de unidades organizativas: – – – – – Integrada (Builtin): Contiene los objetos que definen las cuentas integradas, (como los Administradores y Operadores de cuentas). Equipos (Computers): La unidad organizativa predeterminada para las cuentas de los equipos de los servidores miembro Controladores de dominio (Domain Controllers): La unidad organizativa predeterminada para los equipos que son controladores de dominio. ForeignSecurityPrincipals: La unidad organizativa por defecto para los identificadores de seguridad (SIDs) asociados con los objetos de dominios externos en los que se confía Usuarios (Users): La unidad organizativa para los usuarios. [2] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 2. Unidades organizativas. Como ya se comentó en el anterior tema, las unidades organizativas son objetos contenedores que tienen como misión ordenar los recursos u objetos dentro de un dominio. Para crearlas se utiliza la herramienta Usuarios y equipos de AD, nos posicionamos dentro del dominio en el que queramos crear la OU, botón derecho, nuevo, Unidad organizativa, ponemos el nombre (que haga referencia a la entidad que se quiere agrupar), y ya está creada. En Windows 2008, la UO, están protegidas contra la eliminación accidental (a no ser que durante su creación se indicara lo contrario), de tal forma, que si seleccionamos la UO, botón dcho. y eliminar, no podremos realizar esta acción; necesitaremos antes seguir un sencillo procedimiento: Seleccionaremos la opción Ver del menú principal de AD, y marcaremos Características avanzadas. Después seleccionaremos la UO-> Propiedades y seleccionaremos la pestaña Objeto, desmarcando el checkBox Proteger objeto contra eliminación accidental. Ahora podremos volver a marcar la UO y eliminar. 3. Cuentas de usuario : tipos y características 3.1 Tipos de cuentas de usuario W2008 ofrece cuatro tipos de cuentas de usuario: – Cuentas de usuarios locales • • • • Cuentas de usuario definidas en el equipo local, con acceso solamente al equipo local y, por tanto, a los recursos del mismo. Los usuarios pueden tener acceso a los recursos de otro equipo de la red si disponen de una cuenta en dicho equipo Se pueden crear en estaciones de trabajo o en servidores miembros pero NO en controladores de dominio. Al usar cuentas locales de un servidor miembro, el usuario no podrán usar los recursos del dominio (al no estar autenticadas en él). [3] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD – Cuentas de usuario de dominio • • Permiten a un usuario iniciar sesión en el dominio para obtener acceso a los recursos de la red En los controladores de dominio sólo puede haber cuentas de este tipo, no se pueden definir cuentas de usuario local. – Cuentas de usuario integradas • Estas cuentas se crean automáticamente durante la instalación de Windows o la de un dominio del Active Directory. • Permite a un usuario realizar tareas administrativas u obtener acceso temporalmente a los recursos de red. • Existen dos cuentas de usuario integradas que no pueden eliminarse: Administrador e Invitado. – Cuentas de usuario implícitas • Creadas de forma implícita por el sistema operativo o aplicaciones, se usan para asignar permisos en ciertas situaciones • SistemaLocal (Localsystem): permite ejecutar procesos del sistema y administrar las tareas relativas al sistema. No se puede iniciar una sesión con esta cuenta, pero algunos procesos se ejecutan con ella: por ejemplo, esta cuenta es la que se usa para ejecutar muchos de los servicios del sistema (los demonios). • LocalService: acceso al sistema local. • NetworService: acceso al sistema local y en la red. • Otras cuentas son, por ejemplo, las de Internet Information Services o los servicios de terminales. 3.2 Identificación de las cuentas de usuarios. Cada cuenta (de usuario, grupo o equipo) tiene asociado un número único, el identificador de seguridad, SID,que la identifica de forma única y que es generado al crear la cuenta. Los procesos internos de Windows hacen referencia al SID de las cuentas y no a los nombres de las cuentas – Cada cuenta tiene un SID diferente – Un SID nunca se reutiliza (Si se elimina una cuenta, y después se crea una nueva cuenta usando el nombre de cuenta anterior, a la nueva se le asigna un SID distinto y la nueva cuenta NO tendrá los derechos o permisos de la anterior) – Se utiliza, por ejemplo, para el cifrado de archivos. Si el usuario es borrado, sus ficheros no se pueden descifrar. [4] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 3.3 Creación, modificación y eliminación. Herramienta Usuarios y equipos del AD, clic con el botón derecho del ratón en la unidad organizativa donde se quiera añadir la nueva cuenta, seleccionando el menú Nuevo y la opción Usuario. Los nombres de inicio de sesión de usuario pueden: • Contener hasta 20 caracteres en mayúsculas y minúsculas. • Incluir una combinación de caracteres alfanuméricos y especiales, excepto los especificados a continuación: " / \ [ ] : ; | = , + * ? < >. Una vez cumplimentado los datos iniciales de usuarios, nombre, apellidos, así como el nombre de inicio de sesión (que comprende el nombre de dominio), pasaremos a la siguiente ventana, en donde pondremos la contraseña, e indicaremos si el usuarios puede, no puede o debe cambiar la contraseña y si la cuenta está habilitada. [5] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD El usuario ya está creado. Ahora podremos configurar y/o modificar algunas características. Seleccionamos el usuario, y pulsamos el botón izquierdo, haciendo click sobre propiedades, desplegándose entonces la ventana de la derecha, en la que aparecen todas las propiedades aplicables al objetos cuenta de usuario. Si seleccionamos la pestaña Cuenta, podremos configurar el horario de acceso del usuario dentro del dominio. Para eliminar una cuenta, basta con seleccionarla, hacer click en el botón derecho, y seleccionar eliminar. [6] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD A la hora de crear usuarios, podemos utilizar plantillas, que nos sirvan de base para el resto. Esto consiste en crear un usuario con todas las características comunes de los usuarios a crear, por ejemplo, en una unidad organizativa, y una vez creado, realizar tantas copias del mismo como usuarios queramos crear. 4. Configuración y administración de cuentas de equipos. Una cuenta de equipo representan un equipo concreto de la red. Sirve para auditar las tareas que se realizan desde ese equipo, para otorgar permisos y restricciones o para controlar el acceso a la red y a los recursos. Al unirse un equipo a un dominio, se crea de forma automática la cuenta de equipo y se ubica en el contenedor Equipos o en Controladores de dominio (si es un controlador de dominio). Se pueden crear directamente con la herramienta Usuarios y equipos de AD, eliminar o modificarlos, seleccionando sus propiedades. [7] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 5. Los grupos y su configuración. 5.1. Definición. Un grupo es una colección de usuarios, equipos u otros grupos. Los grupos se usan para simplificar la administración del acceso de usuarios y equipos a los recursos (directorios, ficheros, impresoras, etc.) porque permiten conceder permisos de acceso a varios usuarios al mismo tiempo, en lugar de concederlos usuario a usuario. • • • Los miembros de un grupo tienen los mismos derechos y permisos concedidos al grupo Los usuarios pueden pertenecer a varios grupos Los grupos y las cuentas de equipos también pueden pertenecer a un grupo. Por defecto hay establecidas una serie de pertenencias en un dominio • • • Todos los usuarios de dominio son miembros del grupo Usuarios de dominio y ese es su grupo principal. Todos los equipos (servidores miembro) del dominio son miembros de Equipos de dominio y ese es su grupo principal. Todos los controladores de dominio son miembros de Controladores de dominio y ese es su grupo principal. 5.2. Clasificación. Los grupos de AD se pueden clasificar en grupos de distribución y grupos de seguridad. 5.2.1 Grupos de distribución Puede utilizar los grupos de distribución con aplicaciones de correo electrónico, como Microsoft® Exchange, para enviar mensajes de correo electrónico a grupos de usuarios. La finalidad principal de este tipo de grupo es recopilar objetos relacionados, no conceder permisos. Los grupos de distribución no tienen habilitada la seguridad, es decir, no pueden utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribución, estos últimos todavía son necesarios, porque algunas aplicaciones sólo pueden utilizar grupos de distribución. [8] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 5.2.2 Grupos de seguridad Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a grupos de usuarios y equipos. Los derechos especifican las acciones que pueden realizar los miembros de un grupo de seguridad en un dominio o bosque, y los permisos especifican los recursos a los que puede obtener acceso un miembro de un grupo en la red. También puede utilizar grupos de seguridad para enviar mensajes de correo electrónico a varios usuarios. Al enviar un mensaje de correo electrónico al grupo, el mensaje se envía a todos sus miembros. Por lo tanto, los grupos de seguridad tienen funciones de grupos de distribución. El ámbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. Los ámbitos de grupo permiten utilizar grupos para la concesión de permisos. El ámbito de grupo determina: • • • Los dominios desde los que puede agregar miembros al grupo. Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos. Dentro de los grupos de seguridad hay tres tipos de grupo según su ámbito: locales de dominio, globales y universales. Ámbito grupo El grupo miembros… Universal • son visibles en todos los dominios del bosque y dominios de confianza. • Global es visible dentro de su dominio y de todos los dominios de confianza. sólo es visible en el dominio al que pertenece incluir como Al grupo se le pueden asignar permisos en… Las cuentas de cualquier dominio. Los grupos globales de cualquier dominio. Cualquier dominio. • Los grupos universales de cualquier dominio. • Las cuentas del mismo dominio. • Los grupos globales del mismo dominio. • Dominio local puede • Cuentas de cualquier dominio. Grupos dominio. globales de cualquier • Grupos universales de cualquier dominio. • Cualquier dominio. Grupos locales de dominio pero sólo del mismo dominio. Los permisos de miembro sólo se pueden asignar en el mismo dominio. [9] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 5.3. Creación y asignación de miembros. Para crear un grupo, utilizamos la herramienta Usuarios y equipos de AD, y colocándonos sobre la OU deseada, click sobre botón derecho, nuevo, grupo. En la ventana teclearemos el nombre , el tipo y el ámbito. Si el nivel funcional es inferior a 2003, no tendremos disponibles los grupos universales. Para eliminarlo o modificarlo, se selecciona, se hace click en el botón derecho y seleccionamos Eliminar o Propiedades. [10] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD Para asignar o eliminar a los miembros de un grupo, podemos abrir la ventana propiedades del grupo y seleccionar la pestaña Miembros. Para añadir, hacemos click en el botón Agregar, y podemos teclear directamente las cuentas, equipos o grupos, o bien utilizar el botón Avanzadas, y buscarlos. Para añadir usuarios, también podemos seleccionarlos con el ratón y las teclas Ctrl o Shift y después botón derecho y Agregar a un grupo. Por último, también podemos agregar miembros, seleccionando la pestaña Miembro de de las propiedades del objeto. [11] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD 5.4. Estrategias de administración. Las estrategias a seguir para la administración de Grupos, vendrá determinada por la organización de los dominios que queramos administrar, así como de la visión que tengamos sobre el futuro de la empresa/s. Siglas: • A Account: usuario G Grupo Global DL Grupo Local de Dominio U Grupo Universal P Permisos Estrategia AGP: Tenemos las cuentas de Usuario y las incluimos en Grupos Globales, a los Grupos asignamos los permisos. Esta estrategia puede ser buena cuando tenemos un bosque conformado tan sólo por un Dominio. • Estrategia ADLP Esta estrategia es buena cuando la usemos en un bosque con un solo Dominio y no se agregarán otros dominios al bosque, lo cual nos puede delimitar en un futuro si existen dominios de confianza u otros dominios dentro del bosque, ya que no podremos asignar permisos a los grupos locales si los recursos están fuera del dominio donde se encuentra el Grupo Local de Dominio. • Estrategia AGDLP , la mejor estrategia, creamos usuarios, que englobamos dentro de Grupos Globales y estos a su vez en Grupos Locales de Dominio y a estos últimos se les asignan los Permisos. Es posible hacer uso de esta estrategia en bosques con un dominio o con varios, con lo cual ya es flexible. Podemos crear los Grupos Globales de Usuarios para cada dominio a modo de agrupación simple, y después delimitar los permisos a los recursos en Grupos Locales de Dominio, definiendo perfectamente cada permiso. La única desventaja es la complejidad de administración inicial al crear los Grupos, pero una vez realizado, es muy fácil de administrar y de mantener. [12] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD • Estrategia AGUDLP (Usuario-Grupo Global-Grupo Universal- Grupo Local de DominioPermisos): Se usa esta estrategia cuando tenemos un Bosque con varios dominios y que se use administración centralizada. Debe tenerse en cuenta que los Grupos Universales se guardan en la base de datos de AD, denominada Catálogo Global y por defecto el primer DC es Catálogo Global. Esto significa que si usamos Grupos Universales, será necesaria la creación de más de un Catalogo Global para que exista replicación entre las Bases de Datos y no haya latencia a la hora de acceder los usuarios a los recursos compartidos. Debemos tener en cuenta otro factor, como es el ancho de banda entre los distintos dominios, ya que deben replicarse los Catálogos Globales de los distintos DC´s del bosque para que contengan la misma información. 6. Relación de confianza. Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los Controladores de Dominio de otro dominio, y por tanto acceder a los recursos de otro dominio, y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio. Además, se establecer comunicación entre varios controladores de dominio, con el fin de poder administrar desde un solo punto de la red a todos los usuarios y recursos que tengas. Los diferentes tipos de relaciones se diferencian en función de 3 rasgos característicos: Implícita: se crean de forma automática Según su método de creación Explícita: las crea el administrador del sistema Según su dirección Unidireccional: El dominio A confía en B, pero B no confía en A Bidireccional: El dominio A confía en B y B confía en A. Transitiva: si un dominio A confía en otro B, y este confía en un tercero C, entonces, de forma automática, A confía en C. Según su transitividad Intransitiva: si un dominio A confía en otro B, y este confía en un tercero C, A no confía en C de forma automática y debería añadirse explícitamente. [13] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD Para crear una relación de confianza explícita, primero deberemos configurar los reenviadores, para ello, abrimos la herramienta administrativa DNS, seleccionamos nuestra máquina, botón derecho propiedades, pestaña reenviadores, editar: Tecleamos la ip del controlador de dominio, con el que queremos establecer relaciones de confianza, y pulsamos enter. Esperamos hasta que el icono de reloj de arena se transforme en el icono de correcto, como muestra la ventana inferior: Esta operación deberemos realizarla en ambos dominios, por lo que es aconsejable, tener los datos de ambos previamente (ip, nombre equipo, nombre DNS). Finalizada esta operación, deberemos comprobar que las máquinas se ven, para lo que utilizaremos el comando ping con: • • • La ip. Con el nombre de la máquina. Con el FQDN. Deberemos hacerlo desde ambos servidores. Una vez comprobada la visibilidad, procedemos a establecer la relación de confianza mediante la herramienta Dominios y confianzas de Active Directory, desde cualquiera de los dos dominios. En la herramienta, seleccionamos nuestro dominio, propiedades y pestaña Confía. [14] SISTEMAS OPERATIVOS EN RED. UT. 03 : Usuarios y grupos en redes WINDOWS con AD Hacemos click en Nueva confianza, y se abre un asistente para la creación de confianzas. Este asistente nos solicitará los datos del dominio con el que se va a establecer la relación, así como el tipo de relación, y según sea esta, los datos del usuario administrador de la otra máquina. 7. Documentación. • Gestión de Grupos en Windows Server 2008: http://asir1012.wikispaces.com/Gesti%C3%B3n+de+Grupos+en+Windows+Server+2008+%C2%A0 • Crear cuentas de usuario: http://www.aprendeinformaticaconmigo.com/windows-server-2008-crear-cuentas-de-usuario • Cuentas locales de equipo. http://www.youtube.com/watch?v=IAK_rA-RX5c • Crear usuarios y grupos, unir un equipo a un dominio: http://wiki.elhacker.net/redes/windows/crear-usuarios-y-grupos-unir-un-equipo-a-undominio-y-perfiles-moviles • Estrategias http://katherine057.blogspot.com.es/2008/08/estrategias-de-utilizacion-de-grupo.html http://davidgarcia7.wordpress.com/2009/12/13/administracion-de-dominios-estrategias/ • Relaciones de confianza: http://personals.ac.upc.edu/elara/documentacion/WSERVER%20-%20UD12%2020Relaciones%20de%20confianza%20entre%20dominios.pdf http://josephcoupe.wordpress.com/2011/11/11/6-crear-una-relacion-de-confianza-entre-2dominios-independientes/ [15]