13.- Administrar grupos

Contenido

Introducción 2

Lección: Crear grupos 3

Lección: Administrar la pertenencia a grupos 23

Lección: Estrategias de uso de grupos 30

Lección: Modificar grupos 42

Lección: Uso de grupos predeterminados 52

Prácticas recomendadas para la administración de grupos 66

Administrar grupos

2 Administrar grupos

Introducción

******El uso por quienes no sean instructores no está autorizado y resulta ilegal******

Un grupo es un conjunto de cuentas de usuario. Puede utilizar grupos para administrar de forma eficaz el acceso a los recursos de un dominio y simplificar, de este modo, la administración y mantenimiento de la red. También puede utilizar grupos de forma independiente o incluir un grupo dentro de otro para simplificar aún mas la administración.

Antes de poder utilizar grupos de forma eficaz, debe conocer la función de los grupos y los tipos de grupo que se pueden crear. El servicio de directorios Active Directory® admite diferentes tipos de grupos y ofrece también opciones para determinar el ámbito del grupo, es decir, cómo puede utilizarse el grupo en varios dominios.

Después de completar este módulo, el alumno será capaz de:

Crear grupos. Administrar la pertenencia a grupos. Aplicar estrategias de uso de grupos. Modificar grupos. Utilizar grupos predeterminados.

Introducción

Objetivos

Administrar grupos 3

Lección: Crear grupos


Esta lección presenta los conocimientos teóricos y prácticos necesarios para crear grupos.

Después de finalizar esta lección, el alumno será capaz de:

Explicar la finalidad de los grupos, y de los tipos y ámbitos de grupo. Identificar los niveles funcionales de dominio. Describir grupos globales. Describir grupos universales. Describir grupos locales de dominio. Describir grupos locales. Decidir si crear grupos en un dominio o en una unidad organizativa. Determinar directrices de nomenclatura para los grupos. Crear un grupo.

Introducción

Objetivos de la lección


¿Qué son los grupos?


Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden administrar como una sola unidad. Los grupos:

Simplifican la administración al facilitar la concesión de permisos para recursos a todo un grupo en lugar de a cada una de las cuentas de usuario individualmente.

Pueden estar basados en Active Directory® o ser locales, de un equipo individual.

Se distinguen por su ámbito y tipo. Pueden anidarse, es decir, se puede agregar un grupo a otro.

El ámbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. Los ámbitos de grupo permiten utilizar grupos para la concesión de permisos. El ámbito de grupo determina:

Los dominios desde los que puede agregar miembros al grupo. Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos.

El ámbito de un grupo determina cuáles son los miembros del grupo. Las reglas de pertenencia controlan los miembros que puede contener un grupo y los grupos de los que puede ser miembro. Los miembros de un grupo están formados por cuentas de usuario, cuentas de equipo y otros grupos.

Definición

Ámbitos de grupo


Para asignar los miembros correctos a los grupos y para anidar un grupo, es importante conocer las características del ámbito de grupo. Existen los siguientes ámbitos de grupo:

Global Local de dominio Universal Local

Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y otras cuentas de grupo en unidades administrables. Trabajar con grupos en lugar de con usuarios individuales, ayuda a simplificar la administración y el mantenimiento de la red. Existen los siguientes grupos en Active Directory:

Grupos de seguridad Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a grupos de usuarios y equipos. Los derechos especifican las acciones que pueden realizar los miembros de un grupo de seguridad en un dominio o bosque, y los permisos especifican los recursos a los que puede obtener acceso un miembro de un grupo en la red. También puede utilizar grupos de seguridad para enviar mensajes de correo electrónico a varios usuarios. Al enviar un mensaje de correo electrónico al grupo, el mensaje se envía a todos sus miembros. Por lo tanto, los grupos de seguridad tienen funciones de grupos de distribución.

Grupos de distribución Puede utilizar los grupos de distribución con aplicaciones de correo electrónico, como Microsoft® Exchange, para enviar mensajes de correo electrónico a grupos de usuarios. La finalidad principal de este tipo de grupo es recopilar objetos relacionados, no conceder permisos. Los grupos de distribución no tienen habilitada la seguridad, es decir, no pueden utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribución, estos últimos todavía son necesarios, porque algunas aplicaciones sólo pueden utilizar grupos de distribución.

Los grupos de distribución y de seguridad admiten uno de los tres ámbitos de grupo.

Tipos de grupo


¿Qué son los niveles funcionales de dominio?


Las características de los grupos de Active Directory dependen del nivel funcional de dominio. La funcionalidad de dominio activa funciones que afectan a todo un dominio y sólo a ese dominio. Hay tres niveles funcionales de dominio disponibles: Microsoft Windows® 2000 mixto, Windows 2000 nativo y Microsoft Windows ServerTM 2003. Los dominios funcionan de forma predeterminada en el nivel funcional Windows 2000 mixto. Puede aumentar el nivel funcional de dominio a Windows 2000 nativo o Windows Server 2003.

La tabla anterior enumera los niveles funcionales de dominio junto con los controladores de dominio y ámbitos de grupo que admite cada uno de ellos.

Puede convertir en cualquier momento un grupo de seguridad en un grupo de distribución y viceversa, pero sólo si el nivel funcional de dominio se encuentra definido en Windows 2000 nativo o superior.

Para obtener más información sobre el aumento de los niveles funcionales, consulte el artículo de Knowledge Base, HOW TO: Raise Domain and Forest Functional Levels in Windows Server 2003 en http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b322692 (en inglés).

Definición

Nota

Lectura adicional


¿Qué son los grupos globales?


Un grupo global es un grupo de distribución o de seguridad que puede contener usuarios, grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos de seguridad globales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque.

A continuación, se resumen las características de los grupos globales:

Miembros

• En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas de usuario y equipo del mismo dominio que el grupo global.

• En un nivel funcional nativo, los grupos globales pueden contener cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio que el grupo global.

Puede ser miembro de

• En el modo mixto, un grupo global sólo puede ser miembro de grupos locales de dominio.

• En el modo nativo, un grupo global puede ser miembro de grupos locales de dominio y universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo global.

Ámbito Un grupo global es visible dentro de su dominio y de todos los dominios de confianza, en los que se incluyen todos los dominios del bosque.

Permisos Puede conceder permisos a un grupo global para todos los dominios del bosque.

Definición

Características de los grupos globales


Debido a que los grupos globales son visibles en todo el bosque, no debe crearlos para obtener acceso a recursos específicos del dominio. Utilice un grupo global para organizar a los usuarios que comparten las mismas tareas de trabajo y necesitan requisitos de acceso a la red similares. Para controlar el acceso a los recursos de un dominio, sería conveniente utilizar otro tipo de grupo.

Cuándo utilizar grupos globales


¿Qué son los grupos universales?


Un grupo universal es un grupo de distribución o de seguridad que contiene usuarios, grupos y equipos de cualquier dominio del bosque. Puede utilizar grupos de seguridad universales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque.

A continuación, se resumen las características de los grupos universales:

Miembros

• No puede crear grupos universales en el modo mixto.

• En el modo nativo, los grupos universales pueden contener cuentas de usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque.


• No se puede aplicar el grupo universal en el modo mixto.

• En el modo nativo, el grupo universal puede ser miembro de los grupos locales de dominio y universales de cualquier dominio.

Ámbito Los grupos universales son visibles en todos los dominios del bosque y dominios de confianza.

Permisos Puede conceder permisos a grupos universales para todos los dominios del bosque.

Utilice grupos universales para anidar grupos globales y poder asignar permisos a recursos relacionados de varios dominios. Un dominio de Windows Server 2003 debe estar en el modo Windows 2000 nativo o superior para poder utilizar grupos universales.

Definición

Características de los grupos universales

Cuándo utilizar grupos universales


¿Qué son los grupos locales de dominio?


Un grupo local de dominio es un grupo de distribución o de seguridad que puede contener grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. Puede utilizar grupos de seguridad locales de dominio para asignar derechos y permisos de usuario sólo a recursos del mismo dominio en el que se encuentra ubicado el grupo local de dominio.

A continuación, se resumen las características de los grupos locales de dominio:

Miembros

• En el modo mixto, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo y grupos globales de cualquier dominio. Los servidores miembros no pueden utilizar grupos locales de dominio en el modo mixto.

• En el modo nativo, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque y grupos locales de dominio de su mismo dominio.


• En el modo mixto, un grupo local de dominio no puede ser miembro de ningún grupo.

• En el modo nativo, un grupo local de dominio puede ser miembro de grupos locales de dominio de su mismo dominio.

Ámbito Un grupo local de dominio sólo es visible en el dominio al que pertenece.

Permisos Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el grupo local de dominio.

Definición

Características de los grupos locales de dominio


Utilice un grupo local de dominio para asignar permisos a recursos ubicados en el mismo dominio que el grupo local de dominio. Puede colocar todos los grupos globales que necesiten compartir los mismos recursos en el grupo local de dominio adecuado.

Cuándo utilizar grupos locales de dominio


¿Qué son los grupos locales?


Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados en un servidor miembro o en un servidor independiente. Puede crear grupos locales para conceder permisos para los recursos que residen en el equipo local. Windows 2000 o Windows Server 2003 crean grupos locales en una base de datos de seguridad local. Los grupos locales pueden contener usuarios, equipos, grupos globales, grupos universales y otros grupos locales de dominio.

Debido a que los grupos con un ámbito local de dominio reciben a menudo el nombre de grupos locales, es importante distinguir entre un grupo local y un grupo con ámbito local de dominio. Los grupos locales a veces reciben el nombre de grupos locales de equipo para distinguirlos de los grupos locales de dominio.

A continuación, se resumen las características de los grupos locales:

Los grupos locales pueden contener cuentas de usuario locales del equipo en el que se crea el grupo local.

Los grupos locales no pueden ser miembros de otro grupo.

A continuación, se muestran algunas directrices para utilizar grupos locales:

Sólo puede utilizar grupos locales en el equipo en el se crean los grupos locales. Los permisos del grupo local ofrecen acceso sólo a los recursos del equipo en el que se creó el grupo local.

Definición

Características de los grupos locales

Cuándo utilizar grupos locales


Puede utilizar grupos locales en los equipos que estén ejecutando actualmente sistemas operativos clientes de Microsoft admitidos y en servidores miembros en los que se esté ejecutando Windows Server 2003. No puede crear grupos locales en controladores de dominio, porque éstos no pueden tener una base de datos de seguridad independiente de la base de datos de Active Directory.

Cree grupos locales para limitar la capacidad de acceso de los usuarios y grupos locales a los recursos de la red cuando no desee crear grupos de dominio.


¿Dónde crear grupos?


En Active Directory, los grupos se crean en dominios. Puede utilizar Usuarios y equipos de Active Directory para crear grupos. Si tiene los permisos necesarios y asocia correctamente los usuarios y equipos con los grupos, puede crear grupos en otro dominio del bosque o en una unidad organizativa.

Además de por el dominio en el que se ha creado, un grupo también se caracteriza por su ámbito. El ámbito de un grupo determina:

El dominio desde el que se pueden agregar miembros. El dominio en el que son válidos los derechos y permisos de usuario

asignados al grupo.

Seleccione un determinado dominio, o unidad organizativa, en el que crear un grupo en función de los requisitos de administración del grupo.

Por ejemplo, suponga que el directorio tiene varias unidades organizativas, cada una de ellas con un administrador diferente. Es posible que desee crear grupos globales en esas unidades organizativas para que los administradores puedan administrar la pertenencia al grupo de los usuarios incluidos en sus respectivas unidades organizativas.

Si es necesario que los grupos controlen el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad organizativa en grupos universales (o en otros grupos con ámbito global) que puedan utilizarse en cualquier otra ubicación del bosque. Puede resultar más eficaz anidar grupos globales si el nivel funcional de domino se establece en Windows 2000 nativo o superior, los dominios contienen una jerarquía de unidades organizativas y la administración se delega a los administradores de cada unidad organizativa.

Introducción

Selección de un dominio o de una unidad organizativa


Directrices para la nomenclatura de grupos


En Active Directory, hay un gran número de grupos de distribución y seguridad. Las siguientes convenciones de nomenclatura pueden ayudar a administrar estos grupos. Las organizaciones establecen sus propias convenciones de nomenclatura para los grupos de distribución y de seguridad. Un nombre de grupo debería identificar su ámbito, tipo, la finalidad de su creación y los permisos que puede tener.

Tenga en cuenta los siguientes puntos al definir una convención de nomenclatura para los grupos de seguridad:

Ámbito de los grupos de seguridad Aunque el tipo y ámbito de grupo se muestra como tipo de grupo en Usuarios y equipos de Active Directory, las organizaciones suelen incorporar el ámbito en la convención de nomenclatura del nombre de grupo. Por ejemplo, para identificar el ámbito de los grupos de seguridad, Northwind Traders añade una letra al principio del nombre de grupo:

• G IT Admins G para grupos globales

• U All IT Admins U para grupos universales

• DL IT Admins Full Control DL para grupos locales de dominio

Introducción

Grupo de seguridad


Posesión del grupo de seguridad El nombre de un grupo de seguridad de dominio, ya sea universal, global o local de dominio, debe identificar de forma clara al propietario del grupo e incluir el nombre del departamento o equipo al que pertenece. A continuación, se muestra un ejemplo de convención de nomenclatura que podría utilizar Northwind Traders para identificar al propietario del grupo:

• G Marketing Managers

• DL IT Admins Full Control Nombre de dominio

El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a petición del cliente. Por ejemplo:

• G NWTraders Marketing

• DL S.N.MSFT IT Admins Read Finalidad del grupo de seguridad

Por último, se pude incluir en el nombre la finalidad empresarial del grupo y los permisos máximos que debería tener el grupo en la red. Esta convención de nomenclatura se suele aplicar a los grupos locales o grupos locales de dominio. A continuación, se muestra un ejemplo de convención de nomenclatura que podría utilizar Northwind Traders para identificar la finalidad del grupo de seguridad: Northwind Traders utiliza un descriptor para identificar los permisos máximos que debería tener el grupo en la red. Por ejemplo:

• DL IT London OU Admins

• DL IT Admins Full Control

Como los grupos de seguridad se utilizan sobre todo para la administración de la red, sólo el personal encargado de esta tarea debe utilizar la convención de nomenclatura. Los usuarios finales utilizan grupos de distribución; por lo tanto, debe interesarles la convención de nomenclatura.

Al definir una convención de nomenclatura para los grupos de distribución, tenga en cuenta los siguientes puntos:

Nombres de correo electrónico

• Longitud. Utilice un alias corto. Para respetar las normas actuales de datos descendentes, la longitud mínima de este campo es de tres caracteres y la longitud máxima, de ocho.

• Palabras ofensivas. No cree grupos de distribución con palabras que puedan considerarse ofensivas. Si no está seguro, no utilice la palabra.

• Caracteres permitidos. Puede utilizar cualquier carácter ASCII. Los únicos caracteres especiales permitidos son el guión (-) y el carácter de subrayado (_).

Grupos de distribución


• Designaciones especiales. No utilice las siguientes combinaciones de caracteres para los grupos de distribución:

• Un carácter de subrayado (_) al principio del nombre de grupo del alias.

• Un nombre o una combinación de nombre y apellidos que pueda confundirse fácilmente con un nombre de cuenta de usuario.

Nombres para mostrar

• Alias de usuario. Con el fin de estandarizar los nombres, no incluya un alias como parte del nombre para mostrar (por ejemplo, Informes directos de Sfeli). Incluya el nombre completo (por ejemplo, Informes directos de Susana Félix).

• Palabras ofensivas. No cree grupos de distribución con palabras que puedan considerarse ofensivas.

• Discusiones sociales. No debería permitirse la utilización de grupos de distribución para discusiones sociales, porque el área de carpetas públicas es un medio más eficaz para transmitir y almacenar un gran número de comunicaciones relacionadas con discusiones sociales. Ya que un mensaje puede ser visto por varios usuarios, se minimiza el tráfico de red y el almacenamiento de datos si se utilizan las carpetas públicas en lugar de los grupos de distribución.

• Longitud. La longitud máxima de este campo es de 40 caracteres. Se aceptan abreviaturas, siempre que su significado no sea confuso.

• Estilo. No ponga en mayúsculas toda la descripción, pero sí la primera letra del nombre para mostrar. Utilice ortografía y puntuación correctas.

• Parte superior de la libreta de direcciones. No utilice la palabra Un/a, números, caracteres especiales (sobre todo, comillas) o un espacio en blanco al inicio de la descripción. Esto hace que aparezca en la parte superior de la libreta de direcciones. La libreta de direcciones debería comenzar por nombres de usuario individuales que empiecen por A.

• Caracteres especiales. Las barras diagonales (/) se aceptan en los nombres para mostrar, pero no al inicio de los nombres de servidor. No utilice más de un apóstrofe (‘) y ninguno de los siguientes caracteres especiales: " * @ # $ % | [ ] ; < > =

Posesión Un único grupo de distribución puede tener un máximo de cinco copropietarios.

El nombre de un grupo local no puede coincidir con ningún otro nombre de grupo o de usuario del equipo local que se está administrando. Un nombre de grupo local no puede estar formado exclusivamente por puntos (.) o espacios en blanco. Puede contener hasta 256 caracteres, en mayúsculas o minúsculas, exceptuando los siguientes: " / \ [ ] : ; | = , + * ? < >

Puede que su entorno no permita utilizar estas directrices, pero es muy probable que utilice algunas de las convenciones de nomenclatura de grupos.

Grupos locales

Nota


¿Cómo crear un grupo?


En la mayoría de los entornos corporativos, los grupos se crearán en dominios. Active Directory incluye características de seguridad y seguimiento que limitan la adición de usuarios a grupos. Active Directory también ofrece a las compañías flexibilidad para utilizar grupos en servidores miembros. Las compañías a menudo tienen servidores expuestos a Internet y desean utilizar grupos locales en servidores miembros en lugar de grupos locales de dominio para limitar la exposición de los grupos internos y de los miembros de grupo.

Para crear un grupo en un dominio de Active Directory:

1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic con el botón secundario del mouse (ratón) en la carpeta a la que desea agregar el grupo, seleccione Nuevo y, a continuación, haga clic en Grupo.

2. En el cuadro de diálogo Nuevo objeto – Grupo, en el cuadro Nombre de grupo, escriba el nombre del nuevo grupo.

3. En Ámbito de grupo, haga clic en el ámbito del nuevo grupo. 4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.

Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuenta, del grupo Administradores del dominio o Administradores de organización en Active Directory o que hayan delegado en usted la autoridad adecuada. Como práctica de seguridad recomendada, considere la posibilidad de utilizar Ejecutar como para realizar este procedimiento.

Si se ha establecido el nivel funcional de dominio como Windows 2000 mixto en el dominio en el que está creando el grupo, sólo podrá seleccionar los grupos de seguridad con un ámbito global o local de dominio.

Introducción

Procedimiento para la creación de un grupo en un dominio

Nota

Importante


Para crear un grupo local en un servidor miembro:

1. En Administración de equipos, en el árbol de consola, haga clic en Grupos. 2. En el menú Acción, haga clic en Grupo nuevo. 3. En el cuadro de diálogo Grupo nuevo, en el cuadro Nombre de grupo,

escriba el nombre del nuevo grupo. 4. En el cuadro Descripción, escriba una descripción para el grupo nuevo. 5. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar. 6. Haga clic en Crear y, después, en Cerrar.

Para realizar este procedimiento, debe ser miembro del grupo Usuarios avanzados o Administradores en el equipo local o que hayan delegado en usted la autoridad adecuada. Si el equipo está unido a un dominio, podrán realizar este procedimiento los miembros del grupo Administradores del dominio. Como práctica de seguridad recomendada, considere la posibilidad de utilizar Ejecutar como para realizar este procedimiento.

Para crear un grupo en un dominio de Active Directory mediante dsadd:

1. Abra un símbolo del sistema. 2. Escriba dsadd group GrupoDN -samid NombreSAM -secgrp yes |

no -scope l | g | u

Valor Descripción GrupoDN Especifica el nombre completo del objeto de grupo que desea

agregar. NombreSAM Especifica el nombre de Administrador de cuentas de seguridad

(SAM, Security Accounts Manager) que se utilizará como nombre de cuenta SAM único para este grupo (por ejemplo, operadores).

yes | no Especifica si el grupo que desea agregar es un grupo de seguridad (yes) o un grupo de distribución (no).

l | g | u Especifica si el ámbito del grupo que desea agregar es local de dominio (l), global (g) o universal (u).

Para ver la sintaxis completa de este comando, escriba en el símbolo del sistema: dsadd group /?

Procedimiento para la creación de un grupo local en un servidor miembro

Nota

Procedimiento para la creación de un grupo con la línea de comandos

Nota


Para eliminar un grupo:

1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic en la carpeta que contiene el grupo.

2. En el panel de detalles, haga clic con el botón secundario del mouse en el grupo y, a continuación, haga clic en Eliminar.

Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuenta, Administradores del dominio o Administradores de organización en Active Directory o que hayan delegado en usted la autoridad adecuada. Como práctica de seguridad recomendada, considere la posibilidad de utilizar Ejecutar como para realizar este procedimiento.

Para eliminar un grupo mediante dsrm:

1. Abra un símbolo del sistema. 2. Escriba dsrm GrupoDN

Valor Descripción GrupoDN Especifica el nombre completo del objeto de grupo que

se va a eliminar.

Para ver la sintaxis completa de este comando, escriba en el símbolo del sistema: dsrm /?

Procedimiento para la eliminación de un grupo

Nota

Procedimiento para la eliminación de un grupo con la línea de comandos

Nota


Ejercicio: Creación de grupos


En este ejercicio, se crearán grupos locales y globales mediante Usuarios y equipos de Active Directory. También se crearán grupos globales mediante la herramienta de línea de comandos dsadd.

Antes de comenzar este ejercicio:

Inicie una sesión en el dominio mediante la cuenta NombreEquipoUser. Abra CustomMMC con el comando Ejecutar como.

Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (Ejemplo: LondonAdmin).

Asegúrese de que CustomMMC contiene Usuarios y equipos de Active Directory.

Repase los procedimientos de esta lección que describen cómo realizar esta tarea.

Como administrador del sistema, debe crear varios grupos para el departamento de contabilidad. Estos grupos se utilizarán más adelante para agrupar cuentas y asignar grupos a recursos.

Objetivo

Instrucciones

Situación


Crear grupos mediante Usuarios y equipos de Active Directory

1. Cree los siguientes grupos globales en la unidad organizativa Locations/NombreEquipo/Grupos:

• G NombreEquipo Accounting Managers

• G NombreEquipo Accounting Personnel 2. Cree los siguientes grupos locales de dominio en la unidad organizativa

Locations/NombreEquipo/Grupos:

• DL NombreEquipo Accounting Managers Full Control

• DL NombreEquipo Accounting Managers Read

• DL NombreEquipo Accounting Personnel Full Control

• DL NombreEquipo Accounting Personnel Read

Crear grupos utilizando la herramienta de línea de comandos dsadd

1. Cree el siguiente grupo global en la unidad organizativa IT Test:

• G NombreEquipo Test Ejemplo: C:\>dsadd group "cn=G London Test,ou=it test,dc=nwtraders,dc=msft" -secgrp yes -scope g -samid "G London Test"

2. Cree el siguiente grupo local de dominio en la unidad organizativa IT Test:

• DL NombreEquipo Test Ejemplo: C:\>dsadd group "cn=DL London Test, ou=it test, dc=nwtraders,dc=msft" -secgrp yes -scope L -samid "DL London Test"

Ejercicio

Ejercicio: Utilización de la línea de comandos


Lección: Administrar la pertenencia a grupos


Debido a que un gran número de usuarios necesitan a menudo acceso a diferentes recursos de toda la organización, es posible que los administradores tengan que agregar miembros a grupos que residen en Active Directory o en equipos locales.

Si se agregan o eliminan miembros de grupos en un equipo local, el administrador puede utilizar Administración de equipos para cambiar la pertenencia al grupo en el equipo local.


Distinguir entre las propiedades Miembros y Miembro de. Utilizar las propiedades Miembros y Miembro de mediante la interfaz. Determinar los grupos de los que es miembro una cuenta de usuario. Agregar y eliminar miembros de un grupo.

Introducción



Las propiedades Miembros y Miembro de


La ilustración de la diapositiva describe las propiedades Miembros y Miembro de.

Tom, Jo, y Kim son miembros del grupo global Administradores de Denver. El grupo global Administradores de Denver es un miembro del grupo local de dominio Administradores de UO de Denver.

Sam, Scott, y Amy son miembros del grupo global Administradores de Vancouver. El grupo global Administradores de Vancouver es un miembro del grupo local de dominio Administradores de UO de Denver.

La siguiente tabla resume la información de la diapositiva:

Usuario o grupo Miembros Miembro de Tom, Jo, y Kim Administradores

de Denver

Administradores de Denver

Tom, Jo, y Kim Administradores de UO de Denver

Sam, Scott, y Amy Administradores de Vancouver

Administradores de Vancouver

Sam, Scott, y Amy Administradores de UO de Denver

Administradores de UO de Denver

Administradores de Denver

Administradores de Vancouver

Mediante las propiedades Miembros y Miembro de, puede determinar los grupos a los que pertenece el usuario y los grupos a los que pertenece el grupo.

Introducción

Definición de Miembros y Miembro de


Demostración: Miembros y Miembro de


En esta demostración, mostrará cómo utilizar las propiedades Miembros y Miembro de.

Para mostrar cómo se utilizan Miembros y Miembro de:

1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de consola, expanda nwtraders.msft y, a continuación,

la unidad organizativa IT Admin. 3. Haga clic en la unidad organizativa IT Users. 4. En el panel de detalles, haga doble clic en la cuenta de usuario

AcapulcoAdmin. 5. En el cuadro de diálogo Propiedades, en la ficha Miembro de, observe que

la cuenta de usuario AcapulcoAdmin es miembro de los siguientes grupos:

• Usuarios del dominio

• G Acapulco Admins

• G IT Admins 6. Haga doble clic en el grupo G IT Admins. 7. En el cuadro de diálogo Propiedades, en la ficha Miembros, observe que

el grupo G IT Admins tiene varios miembros. 8. En la ficha Miembro de, observe que el grupo G IT Admins es miembro del

grupo DL IT OU Administrators. 9. Haga doble clic en el grupo DL IT OU Administrators. 10. En el cuadro de diálogo Propiedades, en la ficha Miembros, observe que

el grupo G IT Admins es un miembro.

Objetivo

Demostración


¿Cómo determinar los grupos de los que es miembro una cuenta de usuario?


Después de agregar usuarios a los grupos, Active Directory actualiza la propiedad Miembro de de las cuentas de usuario.

Para determinar los grupos de los que es miembro un usuario:

1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic en Users o en la carpeta que contiene la cuenta de usuario.

2. En el panel de detalles, haga clic con el botón secundario del mouse en la cuenta de usuario y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades, haga clic en la ficha Miembro de.

No necesita credenciales administrativas para realizar esta tarea. Por lo tanto, como práctica de seguridad recomendada, considere la posibilidad de realizar esta tarea como un usuario sin credenciales administrativas.

Para determinar los grupos de los que es miembro un usuario mediante dsget:

1. Abra un símbolo del sistema. 2. Escriba dsget user DNUsuario -memberof

Valor Descripción DNUsuario Especifica el nombre completo del objeto de usuario para el que

desea mostrar la pertenencia al grupo.

Para ver la sintaxis completa de este comando, escriba en el símbolo del sistema: dsget user /?

Introducción

Procedimiento

Nota

Utilización de una línea de comandos

Nota


¿Cómo agregar y eliminar miembros de un grupo?


Después de crear un grupo, puede agregar miembros mediante Usuarios y equipos de Active Directory. Entre los miembros de grupos, se pueden incluir cuentas de usuario, equipos y otros grupos.

Para agregar y eliminar miembros de un grupo:

1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic en la carpeta que contiene el grupo al que desea agregar un miembro.

2. En el panel de detalles, haga clic con el botón secundario del mouse en el grupo y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades, en la ficha Miembros, haga clic en Agregar. Si desea eliminar un miembro del grupo, haga clic en el miembro y, a continuación, en Quitar.

4. En el cuadro de diálogo Seleccionar usuarios, contactos, equipos o grupos, en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba el nombre del grupo, usuario o equipo que desea agregar al grupo y, a continuación, haga clic en Aceptar.

También puede agregar una cuenta de usuario o grupo mediante la ficha Miembro de del cuadro de diálogo Propiedades de ese grupo o cuenta de usuario. Utilice este método para agregar rápidamente el mismo usuario o grupo a varios grupos.

Introducción

Procedimiento

Sugerencia


Ejercicio: Administrar la pertenencia a grupos


En este ejercicio, se agregarán usuarios a un grupo global.


Inicie una sesión en el dominio con la cuenta NombreEquipoUser. Abra CustomMMC con el comando Ejecutar como.



Asegúrese de que los siguientes grupos se encuentran en la unidad organizativa Locations/NombreEquipo/Grupos:

• Grupos globales:


• G NombreEquipo Accounting Personnel Repase los procedimientos de esta lección que describen cómo realizar esta

tarea.

Northwind Traders está comenzando a implementar grupos globales. Deberá encontrar a todo el personal de contabilidad de la unidad organizativa de la ciudad y agregarlo al grupo G NombreEquipo Accounting Personnel.

Objetivos

Instrucciones

Situación


Realizar una búsqueda personalizada de Accounting Personnel (personal de contabilidad)

• Busque usuarios con el atributo de búsqueda Ciudad de NombreEquipo (Ejemplo: London) y el atributo de búsqueda Departamento de Accounting. Esta búsqueda debería dar como resultado 10 usuarios aproximadamente. Uno de los usuarios es el Accounting Manager (Administrador de contabilidad).

Agregar usuarios a G NombreEquipo Accounting Personnel

1. Seleccione todos los usuarios que se ofrecieron como resultado en la anterior búsqueda.

2. Haga clic con el botón secundario del mouse en la selección y, a continuación, haga clic en Agregar a un grupo.

3. Agregue los usuarios a G NombreEquipo Accounting Personnel.

Ejercicio


Lección: Estrategias de uso de grupos


Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para aplicar diferentes ámbitos de grupo. Esta lección cubre los conocimientos teóricos y prácticos necesarios para utilizar grupos de forma óptima empleando diferentes estrategias.


Explicar la estrategia AGDLP para la utilización de grupos en un único dominio.

Describir el anidamiento de grupos. Describir las siguientes estrategias de utilización de grupos:

• A G P

• A DL P

• A G DL P

• A G U DL P

• A G L P

Introducción



Presentación multimedia: Estrategia de utilización de los grupos en un único dominio


Para ver la presentación Estrategia de utilización de los grupos en un único dominio, abra el archivo media13.htm que se puede encontrar dentro del fichero media13.zip.

Cuentas de usuario Grupos globales Grupos locales de dominio Permisos

(A) (G) (DL) (P)

Ubicación del archivo

Puntos clave


¿Qué es el anidamiento de grupos?


Mediante el anidamiento, puede agregar un grupo como miembro de otro. Puede anidar grupos para consolidar la administración de grupos. El anidamiento aumenta las cuentas de miembros que se ven afectadas por una única acción y reduce el tráfico provocado por la replicación de los cambios en la pertenencia a grupos.

Las opciones de anidamiento varían en función de que el nivel funcional del dominio de Windows Server 2003 se haya establecido como Windows 2000 nativo o Windows 2000 mixto. En los dominios en los que se ha establecido el nivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos viene determinada de la siguiente manera:

Los grupos universales pueden tener los siguientes miembros: cuentas de usuario, cuentas de equipo, grupos universales y grupos globales de cualquier dominio.

Los grupos globales pueden tener los siguientes miembros: cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio.

Los grupos locales de dominio pueden tener los siguientes miembros: cuentas de usuario, cuentas de equipo, grupos universales y grupos globales de cualquier dominio. Pueden tener también como miembros grupos locales de dominio del mismo dominio.

Introducción

Opciones de anidamiento


No puede crear grupos de seguridad con ámbito universal en dominios en los que el nivel funcional de dominio se ha establecido en Windows 2000 mixto. Sólo admiten un ámbito universal, los dominios en los que el nivel funcional de dominio se ha establecido en Windows 2000 nativo o Windows Server 2003.

Minimice los niveles de anidamiento. Un único nivel de anidamiento es el método más eficaz, porque el seguimiento de los permisos se complica cuando hay varios niveles. Además, la solución de problemas se dificulta si es necesario realizar un seguimiento de los permisos en varios niveles de anidamiento. Por lo tanto, documente la pertenencia a grupos para realizar un seguimiento de los permisos.

Nota


Estrategias de grupo


Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para aplicar los diferentes ámbitos de grupo. La selección de la estrategia depende del entorno de red de Windows de la organización. En un único dominio, la práctica habitual consiste en utilizar grupos globales y locales de dominio para conceder permisos para los recursos de red. En una red con varios dominios, puede incorporar grupos globales y universales a su estrategia.

En A G P, se colocan cuentas de usuario (A) en grupos globales (G) y se conceden permisos (P) a los grupos globales. Esta estrategia presenta la limitación de complicar la administración cuando se utilizan varios dominios. Si los grupos globales de varios dominios necesitan los mismos permisos, debe conceder permisos a cada uno de los grupos globales de forma individual.

Utilice A G P para bosques con un dominio, a los que no agregará nunca otros dominios, y con muy pocos usuarios.

A G P tiene las siguientes ventajas:

No se anidan los grupos y, por lo tanto, la solución de problemas puede simplificarse.

Las cuentas pertenecen a un único ámbito de grupo.

A G P tiene las siguientes desventajas:

Cada vez que un usuario se autentica con un recurso, el servidor debe comprobar la pertenencia al grupo global para determinar si el usuario es aún miembro del grupo.

Se degrada el rendimiento debido a que el grupo global no se almacena en caché.

Introducción

A G P

Cuándo utilizar la estrategia A G P


En A DL P, se colocan cuentas de usuario (A) en grupos locales de dominio (DL) y se conceden permisos (P) a los grupos locales de dominio. Esta estrategia presenta una limitación: no permite conceder permisos para recursos que se encuentran fuera del dominio. Por lo tanto, se reduce la flexibilidad a medida que crece la red.

Utilice A DL P para un bosque que reúna los siguientes requisitos:

El bosque sólo tiene un dominio y muy pocos usuarios. No se agregarán nunca otros dominios al bosque. No hay servidores miembros de Microsoft Windows NT® 4.0 en el dominio.

A DL P tiene las siguientes ventajas:

Las cuentas pertenecen sólo a un único ámbito de grupo. No se anidan los grupos y, por lo tanto, la solución de problemas puede

simplificarse.

A DL P tiene las siguientes desventajas:

Se degrada el rendimiento debido a que cada grupo local de dominio tiene varios miembros que deben autenticarse.

En A G DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos locales de dominio (DL) y, a continuación, se conceden permisos (P) a los grupos locales de dominio. Esta estrategia ofrece flexibilidad para el crecimiento de la red y reduce el número de veces que se deben definir los permisos.

Utilice A G DL P para un bosque formado por uno o varios dominios, y en el que puede que deba agregar futuros dominios.

A G DL P tiene las siguientes ventajas:

Los dominios son flexibles. Los propietarios de los recursos necesitan menos acceso a Active Directory

para proteger de forma flexible sus recursos.

A G DL P tiene la siguiente desventaja:

Una estructura de administración por niveles es más compleja de configurar al principio, pero, con el tiempo, es más fácil de administrar.

En A G U DL P, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos universales (U) y estos grupos universales en grupos locales de dominio (DL), y, a continuación, se conceden permisos (P) a los grupos locales de dominio.

A DL P

Cuándo utilizar la estrategia A DL P

A G DL P

Cuándo utilizar la estrategia A G DL P

A G U DL P


Utilice A G U DL P para un bosque con más de un dominio, en el que los administradores necesiten una administración centralizada para varios grupos globales.

A G U DL P tiene las siguientes ventajas:

Existe flexibilidad en todo el bosque. Permite una administración centralizada.

Los grupos locales de dominio no deben utilizarse para asignar permisos de objetos de Active Directory en un bosque con más de un dominio. Para obtener más información, consulte el artículo 231273 de Microsoft Knowledge Base, Group Type and Scope Usage in Windows, en http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B231273 (en inglés).

A G U DL P tiene la siguiente desventaja:

La pertenencia a grupos universales se almacena en el catálogo global.

El catálogo global es un controlador de dominio que almacena una copia de todos los objetos de Active Directory de un bosque. El catálogo global almacena una copia completa de todos los objetos de Active Directory para el dominio de host y una copia parcial de todos los objetos para los demás dominios del bosque.

Puede ser necesario agregar más servidores de catálogo global. Puede existir latencia de replicación del catálogo global. La latencia,

en relación con el catálogo global, es el tiempo necesario para replicar un cambio en cada servidor de catálogo global del bosque.

La utilización de grupos universales puede suponer una desventaja sólo si tienen una pertenencia a grupos muy dinámica, con una gran cantidad de tráfico de replicación de catálogo global mientras se modifica la pertenencia a grupos en un bosque multidominio. En A G U DL P, esto no supone un gran problema porque la pertenencia a grupos universales es relativamente estática (es decir, el grupo universal tiene como miembros a grupos globales, y no a usuarios individuales).

Utilice la estrategia A G L P para colocar cuentas de usuario en un grupo global y conceder permisos al grupo local. Esta estrategia presenta una limitación: no se pueden conceder permisos para recursos que se encuentran fuera del equipo local.

Por lo tanto, coloque las cuentas de usuarios en un grupo global, agregue el grupo global al grupo local y, a continuación, conceda permisos al grupo local. Puede utilizar, con esta estrategia, el mismo grupo global en varios equipos locales.

Utilice grupos locales de dominio siempre que sea posible. Utilice grupos locales sólo cuando no se haya creado un grupo local de dominio para este fin.

Cuándo utilizar la estrategia A G U DL P

Nota

Nota

A G L P

Nota


Utilice la estrategia A G L P cuando el dominio tenga las siguientes características:

Se ha actualizado de Windows NT 4.0 a Windows Server 2003. Contiene un dominio. Tiene pocos usuarios. No se agregarán más dominios. Para mantener una estrategia de grupo de Windows NT 4.0. Para mantener una administración de usuarios centralizada y una

administración de recursos descentralizada.

Es recomendable que utilice A G L P con Windows Server 2003, Active Directory y servidores miembros de Windows NT 4.0.

A G L P tiene las siguientes ventajas:

Mantiene la estrategia de grupo de Windows NT 4.0. Los propietarios de recursos poseen pertenencia a cada grupo que necesita

acceso.

A G L P tiene las siguientes desventajas:

Active Directory no controla el acceso. Debe crear grupos redundantes en todos los servidores miembros. No permite la administración centralizada.

Cuándo utilizar la estrategia A G L P


Debate de clase: Uso de grupos en un único dominio


Northwind Traders tiene un único dominio ubicado en París (Francia). Los administradores de Northwind Traders necesitan tener acceso a la base de datos de inventario para realizar su trabajo.

¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario?

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Ejemplo 1


Northwind Traders desea reaccionar de forma más rápida a las demandas del mercado. Se ha dispuesto que los datos de contabilidad deben estar disponibles para todo el personal de contabilidad. Northwind Traders desea crear la estructura de grupo de toda la división de contabilidad, que incluye los departamentos de Cuentas acreedoras y Cuentas deudoras.

¿Qué puede hacer para garantizar que los administradores tengan el acceso necesario y para asegurar que haya un mínimo de administración?

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Ejemplo 2


Ejercicio: Adición de grupos globales a grupos locales de dominio


En este ejercicio, se agregará un grupo global a un grupo local de dominio.





Asegúrese de que los siguientes grupos se encuentran en la unidad organizativa Locations/NombreEquipo/Grupos:

• Grupos globales:


• G NombreEquipo Accounting Personnel

• Grupos locales de dominio:

• DL NombreEquipo Accounting Managers Full Control

• DL NombreEquipo Accounting Managers Read

• DL NombreEquipo Accounting Personnel Full Control

• DL NombreEquipo Accounting Personnel Read Repase los procedimientos de esta lección que describen cómo realizar esta

tarea.

Objetivo

Instrucciones


Northwind Traders está implementando A G DL P y necesita que agregue grupos globales a grupos locales de dominio.

Agregar grupos globales a grupos locales de dominio

1. Agregue el grupo global G NombreEquipo Accounting Managers a DL NombreEquipo Accounting Managers Full Control.

2. Agregue el grupo global G NombreEquipo Accounting Managers a DL NombreEquipo Accounting Managers Read.

3. Agregue el grupo global G NombreEquipo Accounting Personnel a DL NombreEquipo Accounting Personnel Full Control.

4. Agregue el grupo global G NombreEquipo Accounting Personnel a DL NombreEquipo Accounting Personnel Read.

Situación

Ejercicio


Lección: Modificar grupos


En esta lección se presentan los conocimientos teóricos y prácticos necesarios para modificar grupos.


Explicar qué significa modificar el ámbito o tipo de un grupo. Cambiar el ámbito o tipo de un grupo. Explicar por qué se asigna un administrador a un grupo. Asignar un administrador a un grupo.

Introducción



¿Qué es la modificación del ámbito o tipo de un grupo?


Al crear un grupo nuevo, éste se configura de forma predeterminada como grupo de seguridad con ámbito global, independientemente del nivel funcional de dominio actual.

Aunque no se puede cambiar el ámbito de grupo en dominios con un nivel funcional de dominio definido en Windows 2000 mixto, puede realizar los siguientes cambios de ámbito en dominios con un nivel funcional de dominio definido en Windows 2000 nativo o Windows Server 2003:

De global a universal. Sólo se permite realizar este cambio si el grupo que desea cambiar no es miembro de otro grupo global.

No puede cambiar un ámbito de grupo de global a local de dominio directamente. Para realizar esta acción, debe cambiar primero el ámbito de grupo de global a universal y, a continuación, de universal a local de dominio.

De local de dominio a universal. Sólo se permite realizar este cambio si el grupo que desea cambiar no tiene otro grupo local de dominio como miembro.

De universal a global. Sólo se permite realizar este cambio si el grupo que desea cambiar no tiene otro grupo universal como miembro.

De universal a local de dominio. No existen restricciones para realizar este cambio.

Introducción

Cambio del ámbito de un grupo

Nota


Puede convertir en cualquier momento un grupo de seguridad en un grupo de distribución y viceversa, pero sólo si el nivel funcional de dominio se encuentra definido en Windows 2000 nativo o superior. No puede convertir un grupo si el nivel funcional de dominio se encuentra definido en Windows 2000 mixto.

Puede convertir grupos de un tipo a otro en las siguientes situaciones:

De seguridad a distribución Una compañía se divide en dos. Los usuarios se migran de un dominio a otro, pero mantienen sus direcciones de correo electrónico antiguas. Desea enviarles mensajes de correo electrónico, mediante los grupos de seguridad antiguos, pero prefiere eliminar el contexto de seguridad del grupo.

De distribución a seguridad Un grupo de distribución aumenta considerablemente y los usuarios desean utilizarlo para tareas relacionadas con la seguridad. Sin embargo, aún desean utilizar el grupo para tareas de correo electrónico.

Aunque se puede agregar un contacto a un grupo de seguridad o de distribución, no está permitido conceder permisos a los contactos. No obstante, se pueden enviar mensajes de correo electrónico a los contactos.

Cambio del tipo de grupo

Nota


¿Cómo cambiar el ámbito o tipo de un grupo?


Para cambiar el ámbito o tipo de un grupo, debe definirse el nivel funcional de dominio en Windows 2000 nativo o superior. No se puede cambiar el ámbito o tipo de grupo si el nivel funcional de dominio se encuentra definido en Windows 2000 mixto.

Para cambiar el ámbito o tipo de un grupo:

1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga clic en la carpeta que contiene el grupo.

2. En el panel de detalles, haga clic con el botón secundario del mouse en el grupo y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades, en la ficha General, haga clic, debajo de Tipo de grupo, en el tipo de grupo al que desea cambiar.

4. Haga clic, debajo de Ámbito de grupo, en el ámbito de grupo al que desea cambiar.

Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuenta, Administradores del dominio o Administradores de organización en Active Directory o que hayan delegado en usted la autoridad adecuada. Como práctica de seguridad recomendada, considere la posibilidad de utilizar Ejecutar como para realizar este procedimiento.

Introducción

Procedimiento

Nota


Ejercicio: Cambio del ámbito y tipo de un grupo


En este ejercicio, se ocupará de:

Cambiar el ámbito de grupo de global a local de dominio. Convertir un grupo de seguridad en un grupo de distribución.





Los administradores de TI de Northwind Traders desean elaborar un procedimiento para cambiar el ámbito de un grupo de seguridad de global a local de dominio. Debe crear todos los grupos de prueba en la unidad organizativa IT Test.

Crear un grupo de seguridad global

• En la unidad organizativa IT Test, cree un grupo de seguridad global con el nombre NombreEquipo Group Scope Test.

Objetivo

Instrucciones

Situación

Ejercicio: Cambio del ámbito de grupo


Ponga por escrito el procedimiento para convertir el grupo global en un grupo local de dominio

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Los administradores de TI de Northwind Traders desean que pruebe la función de Active Directory que permite convertir un grupo de seguridad en un grupo de distribución. Desean que convierta el grupo de seguridad creado en un grupo de distribución.

Convertir un grupo de seguridad global en un grupo de distribución

• Convierta el grupo de seguridad NombreEquipo Group Scope en un grupo de distribución.

Situación

Ejercicio: Cambio del tipo de grupo


¿Por qué se debe asignar un administrador a un grupo?


Active Directory de Windows Server 2003 permite asignar un administrador a un grupo como propiedad del grupo. Esto le permite:

Controlar quién es la persona responsable de los grupos. Delegar en el administrador del grupo la autoridad para agregar y eliminar

usuarios del grupo.

Debido a que, en las grandes organizaciones, se suelen agregar y eliminar personas de los grupos con bastante frecuencia, algunas organizaciones distribuyen la responsabilidad administrativa de agregar usuarios a grupos entre las personas que solicitan el grupo.

Al documentar quién es el administrador del grupo, la información de contacto de esa cuenta de usuario queda registrada. Si se necesita alguna vez migrar el grupo a otro dominio, o si es necesario eliminarlo, el administrador de red tiene un registro que contiene información sobre el propietario del grupo y su información de contacto. Por lo tanto, el administrador de red puede llamar o enviar un mensaje al administrador del grupo para notificarle el cambio que es necesario realizar en el grupo.

Ventajas de asignar un administrador a un grupo


¿Cómo asignar un administrador a un grupo?


Utilice el siguiente procedimiento para asignar un administrador a un grupo.

Para asignar un administrador a un grupo:

1. En Usuarios y equipos de Active Directory, en el árbol de consola, haga doble clic en el grupo que necesita un administrador.

2. En el cuadro de diálogo Propiedades, en la ficha Administrado por, haga clic en Cambiar para agregar o cambiar el administrador de un grupo.

3. En el cuadro de diálogo Seleccionar Usuario o contacto, en el cuadro Escriba el nombre de objeto que desea seleccionar, escriba el nombre del usuario que desea que administre el grupo y haga clic en Aceptar.

4. Seleccione la casilla de verificación El administrador puede actualizar la lista de suscripciones si desea que el administrador agregue o elimine usuarios o grupos.

5. En el cuadro de diálogo Propiedades, haga clic en Aceptar.

Introducción

Procedimiento


Ejercicio: Asignar un administrador a un grupo


En este ejercicio, se ocupará de:

Crear un grupo global. Asignar un administrador al grupo que pueda modificar la pertenencia

al grupo. Probar las propiedades del administrador del grupo.





Se le ha pedido que cree un grupo para el departamento de ventas con el nombre G NombreEquipo Sales Strategy. El propietario del grupo será el Administrador de ventas de la unidad organizativa de la ciudad.

Crear un grupo global en la unidad organizativa de la ciudad

1. Cree un grupo global con el nombre G NombreEquipo Sales Strategy en la unidad organizativa Locations/NombreEquipo.

2. Cierre la sesión.

Objetivo

Instrucciones

Situación

Ejercicio


Probar las propiedades del administrador del grupo

1. Inicie una sesión con la cuenta NombreEquipoUser. 2. Abra CustomMMC e intente agregar un usuario a G NombreEquipo Sales

Strategy. No debería poder agregar ningún usuario a este grupo.

3. Cierre CustomMMC. 4. Abra CustomMMC (no utilice el comando Ejecutar como). 5. En Usuarios y equipos de Active Directory, desplácese hasta la unidad

organizativa de su ciudad y, a continuación, haga doble clic en G NombreEquipo Sales Strategy.

6. En el cuadro de diálogo Propiedades, haga clic en la ficha Miembros y observe que el botón Agregar no está disponible y, por lo tanto, no puede agregar ningún usuario.

7. Cierre CustomMMC.

Convertir NombreEquipoUser en administrador de G NombreEquipo Sales Strategy

1. Abra CustomMMC con el comando Ejecutar como. Utilice la cuenta Nwtraders\NombreEquipoAdmin.

2. En Usuarios y equipos de Active Directory, desplácese hasta la unidad organizativa de su ciudad y, a continuación, haga doble clic en G NombreEquipo Sales Strategy.

3. En el cuadro de diálogo Propiedades, en la ficha Administrado por, agregue la cuenta de usuario NombreEquipoUser.

4. Seleccione la casilla de verificación El administrador puede actualizar la lista de suscripciones.

5. Cierre CustomMMC.

Probar las propiedades del administrador del grupo

1. En Usuarios y equipos de Active Directory, desplácese hasta la unidad organizativa de su ciudad y, a continuación, haga doble clic en G NombreEquipo Sales Strategy.

2. En el cuadro de diálogo Propiedades, en la ficha Miembros, agregue la cuenta de usuario User0001.

3. Cierre todas las ventanas y CustomMMC.


Lección: Uso de grupos predeterminados


Esta lección presenta el modo de utilizar los grupos predeterminados.


Explicar cómo se utilizan los grupos predeterminados en servidores miembros.

Explicar cómo se utilizan los grupos predeterminados en Active Directory. Identificar cuándo se deben utilizar grupos predeterminados. Identificar las consideraciones de seguridad de los grupos predeterminados. Explicar cómo se utilizan los grupos del sistema.

Introducción



Grupos predeterminados en servidores miembros


La carpeta Grupos está ubicada en un servidor miembro de la consola Usuarios y grupos locales, que muestra todos los grupos locales predeterminados integrados y demás grupos locales que se han creado. Los grupos locales predeterminados se crean automáticamente al instalar Windows Server 2003. Los grupos locales pueden contener cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.

La siguiente tabla describe algunos de los grupos locales predeterminados de un servidor miembro o independiente con Windows Server 2003.

Grupo Descripción Administradores • Los miembros tienen control total del servidor y pueden

asignar derechos y permisos de control de acceso a los usuarios cuando sea necesario.

• Administrador es una cuenta miembro predeterminada y tiene control total del servidor.

• Deberían agregarse usuarios con precaución.

• Cuando el grupo Administradores del dominio se une a un dominio, se agrega automáticamente a este grupo.

Invitados • Se crea un perfil temporal para cada miembro que inicia una sesión.

• Cuando el miembro invitado cierra una sesión, se elimina el perfil.

• La cuenta Invitado está desactivada de forma predeterminada.

Usuarios del registro de rendimiento

• Los miembros pueden administrar los contadores, registros y alertas de rendimiento del servidor de forma local y desde clientes remotos sin ser miembros del grupo Administradores.

Definición

Grupos locales predeterminados en un servidor miembro


(continuación) Grupo Descripción Usuarios del monitor de sistema

• Los miembros pueden supervisar los contadores de rendimiento del servidor de forma local y desde clientes remotos sin ser miembros de los grupos Administradores o Usuarios de registro de rendimiento.

Usuarios avanzados • Los miembros pueden crear cuentas de usuario y, a continuación, modificarlas o eliminarlas.

• Los miembros pueden crear grupos locales y, a continuación, agregar o eliminar usuarios en los grupos locales creados.

• Los miembros también pueden agregar o eliminar usuarios en los grupos Usuarios avanzados, Usuarios e Invitados.

• Los miembros pueden crear recursos compartidos y administrarlos.

• Los miembros no pueden tomar posesión de los archivos, hacer copias de seguridad de los directorios o restaurarlos, cargar o descargar controladores de dispositivo, o administrar los registros de auditoría y seguridad.

Operadores de impresión

• Los miembros pueden administrar impresoras y colas de impresión.

Usuarios • Los miembros pueden realizar tareas comunes, como ejecutar aplicaciones, utilizar impresoras locales y de red y bloquear el servidor.

• Los usuarios no pueden compartir directorios ni crear impresoras locales.

• Los grupos Usuarios del dominio, Usuarios autentificados e Interactivo son miembros de este grupo. Por lo tanto, cualquier cuenta de usuario creada en el dominio se convierte en miembro de este grupo.

Los siguientes grupos adicionales también son grupos predeterminados en un servidor miembro, aunque no se utilizan habitualmente.

Operadores de configuración de red Usuarios de escritorio remoto Replicador HelpServicesGroup Usuarios de Terminal Server

Para obtener más información sobre los grupos predeterminados en servidores miembros, busque “grupos locales predeterminados” en Ayuda de Windows Server 2003.

Nota


La siguiente tabla describe los grupos predeterminados utilizados por los servicios de red e instalados sólo con el servicio de Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol).

Grupo Miembros Administradores de DHCP

• Los miembros tienen acceso administrativo al servicio DHCP.

• El grupo Administradores de DHCP ofrece seguridad para asignar acceso administrativo limitado al servidor DHCP, sin ofrecer acceso completo al servidor.

• Los miembros pueden administrar DHCP en un servidor mediante la consola de DHCP o el comando Netsh, pero no pueden realizar otras tareas administrativas en el servidor.

Usuarios de DHCP

• Los miembros tienen acceso de sólo lectura al servicio DHCP.

• Los miembros pueden ver la información y las propiedades almacenadas en un servidor DHCP específico. Esta información puede ser útil para el personal cuando se necesita obtener informes de estado de DHCP.

Usuarios de WINS

• A los miembros se les permite tener acceso de sólo lectura al Servicio de nombres Internet de Windows (WINS, Windows Internet Name Service).

• Los miembros pueden ver la información y propiedades almacenadas en un servidor WINS específico. Esta información resulta útil para el personal cuando necesita obtener informes de estado de WINS.

Grupos predeterminados utilizados por servicios de red


Grupos predeterminados en Active Directory


Los grupos predeterminados son grupos de seguridad que se crean automáticamente al instalar un dominio de Active Directory. Puede utilizar estos grupos predefinidos para administrar los recursos compartidos y delegar determinadas funciones administrativas en todo el dominio.

A un gran número de grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que determinan las acciones que puede realizar cada grupo y sus miembros en el ámbito de un dominio o bosque. Los derechos de usuario autorizan a los miembros de un grupo a realizar acciones específicas, como iniciar una sesión en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia tiene derecho a realizar copias de seguridad de todos los controladores de dominio del dominio.

Algunos grupos predeterminados están disponibles en los contenedores Users (Usuarios) y Builtin (Integrado) de Active Directory. El contenedor Builtin contiene grupos locales de dominio. El contenedor Users contiene grupos globales y grupos locales de dominio. Puede mover grupos de los contenedores Users y Builtin a otro grupo o a carpetas de una unidad organizativa del dominio, pero no puede moverlos a otros dominios.

Definición


La siguiente tabla describe cada grupo predeterminado del contenedor Builtin que se ha agregado a los grupos predeterminados de un servidor miembro o independiente al instalar Active Directory. Todos estos grupos predeterminados se agregaron con derechos de usuario asignados a cada grupo.

Grupo Descripción Operadores de cuentas • Los miembros pueden crear, modificar y eliminar

cuentas de usuarios, grupos y equipos ubicadas en los contenedores Users o Computers y las unidades organizativas del dominio, excepto la unidad organizativa Domain Controllers.

• Los miembros no tienen permiso para modificar los grupos Administradores o Administradores del dominio o las cuentas de los miembros de esos grupos.

• Los miembros pueden iniciar una sesión de forma local en los controladores de dominio del dominio y también apagarlos.

• Agregue usuarios con precaución, ya que este grupo tiene bastante poder en el dominio.

Creadores de confianza de bosque de entrada

• Los miembros pueden crear confianzas de bosque de entrada unidireccionales en el dominio raíz del bosque.

• Este grupo no tiene miembros predeterminados.

Acceso compatible con versiones anteriores de Windows 2000

• Los miembros tienen acceso de lectura en todos los usuarios y grupos del dominio.

• Se proporciona este grupo para obtener compatibilidad con versiones anteriores en los equipos que ejecutan Windows NT 4.0 o una versión anterior.

• Agregue usuarios a este grupo sólo si se está utilizando el Servicio de acceso remoto (RAS, Remote Access Service) en un equipo con Windows NT 4.0 o una versión anterior.

Operadores de servidores • Los miembros pueden iniciar una sesión de forma interactiva, crear y eliminar recursos compartidos, iniciar y detener algunos servicios, hacer copias de seguridad de archivos y restaurarlos, formatear el disco duro y apagar el equipo.

• Este grupo no tiene miembros predeterminados.

• Agregue usuarios con precaución, ya que este grupo tiene mucho poder en los controladores de dominio.

Grupos del contenedor Builtin


La siguiente tabla describe cada uno de los grupos predeterminados del contenedor Users y los derechos de usuario que se les han asignado.

Grupo Descripción Controladores de dominio

• Este grupo contiene todos los controladores de dominio del dominio.

Invitados del dominio • Este grupo contiene todos los invitados del dominio.

Usuarios del dominio • Este grupo contiene todos los usuarios del dominio.

• Todas las cuentas de usuario creadas en el dominio son automáticamente miembros de este grupo.

Equipos del dominio • Este grupo contiene todas las estaciones de trabajo y servidores unidos al dominio.

• Todas las cuentas de equipo creadas se convierten automáticamente en miembros de este grupo.

Administradores del dominio

• Los miembros tienen control total del dominio.

• Este grupo se convierte en miembro del grupo Administradores en todos los controladores, todas las estaciones de trabajo y todos los servidores miembros de dominio en el momento en que se unen al dominio.

• La cuenta Administrador es miembro de este grupo. Agregue usuarios con precaución, ya que este grupo tiene poder total sobre el dominio.

Administradores de organización

• Los miembros tienen control total de todos los dominios del bosque.

• Este grupo es miembro del grupo Administradores en todos los controladores de dominio del bosque.

• La cuenta Administrador es miembro de este grupo. Agregue usuarios con precaución, ya que este grupo tiene control total de todos los dominios del bosque.

Propietarios del creador de directivas de grupo

• Los miembros pueden modificar la Directiva de grupo del dominio.

• La cuenta Administrador es miembro de este grupo. Agregue usuarios con precaución, ya que este grupo tiene bastante poder en el dominio.

Grupos del contenedor Users


La siguiente lista contiene los grupos predeterminados adicionales que utilizarían los ingenieros de sistemas para administrar grupos:

Administradores de esquema DnsAdmins DnsUpdateProxy Publicadores de certificados Servidores RAS (remote access server, servidor de acceso remoto) e IAS

(Internet Authentication Service, servidor de autenticación de Internet)

Para obtener más información sobre otros grupos del contenedor Users, busque “Grupos predeterminados de Active Directory” en Ayuda de Windows Server 2003.

Nota


¿Cuándo utilizar grupos predeterminados?


Los grupos predeterminados le ayudan a controlar el acceso a los recursos compartidos y a delegar determinadas funciones administrativas en todo el dominio. A un gran número de grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autorizan a sus miembros a realizar acciones específicas en un dominio, como iniciar una sesión en un sistema local o realizar copias de seguridad de archivos y carpetas.

Al agregar un usuario a un grupo, el usuario recibe todos los derechos de usuario y permisos asignados al grupo para todos los recursos compartidos.

Como práctica de seguridad recomendada, es conveniente que los miembros de grupos predeterminados con un acceso administrativo amplio utilicen Ejecutar como para realizar tareas administrativas.

Utilización de grupos predeterminados


Consideraciones de seguridad para los grupos predeterminados


Coloque un usuario en un grupo predeterminado sólo cuando esté seguro de que desea ofrecer al usuario:

Todos los derechos de usuario asignados a ese grupo en Active Directory. Todos los permisos asignados a ese grupo para todos los recursos

compartidos asociados a ese grupo predeterminado.

De lo contrario, cree un nuevo grupo de seguridad y asígnele sólo aquellos derechos de usuario y permisos que necesite el usuario.

Como práctica de seguridad recomendada, los miembros de grupos predeterminados que tengan un acceso administrativo amplio no deberían realizar un inicio de sesión interactivo con credenciales administrativas. En lugar de ello, los usuarios con ese nivel de acceso deberían utilizar Ejecutar como.

Agregue miembros a los grupos predeterminados sólo cuando éstos necesiten todos los derechos asociados al grupo. Por ejemplo, si necesita agregar una cuenta de servicio para realizar copias de seguridad de archivos y restaurarlos en un servidor miembro, agregue la cuenta de servicio al grupo Operadores de copia. El grupo Operadores de copia tiene derechos de usuario para hacer copias de seguridad de archivos y restaurarlos en el equipo. Sin embargo, si la cuenta de servicio sólo necesita hacer copias de seguridad de archivos pero no restaurarlos, es mejor crear un grupo nuevo. Puede conceder al grupo el derecho de usuario para la realización de copias de seguridad de archivos, pero no el derecho de restaurar archivos.

Consideraciones de seguridad para los grupos predeterminados

Advertencia


Grupos del sistema


No puede cambiar la pertenencia a grupos del sistema. El sistema operativo es el encargado de crearlos y no se pueden cambiar o administrar. Es importante que conozca los grupos del sistema porque puede utilizarlos para fines de seguridad.

Los servidores con Windows Server 2003 incluyen algunas identidades especiales, además de los grupos de los contenedores Users y Builtin. Normalmente, por comodidad, estas identidades reciben el nombre de grupos del sistema.

Los grupos del sistema representan a diferentes usuarios en distintas ocasiones, en función de las circunstancias. Aunque se pueden conceder derechos y permisos de usuario a los grupos del sistema, no se pueden modificar o ver sus miembros.

Los ámbitos de grupo no se aplican a los grupos del sistema. Los usuarios se asignan automáticamente a los grupos del sistema cada vez que inician una sesión o tienen acceso a un determinado recurso.

Introducción

Definición


En la tabla siguiente se describen los grupos del sistema.

Grupo del sistema Descripción Inicio de sesión anónimo El grupo del sistema Inicio de sesión anónimo representa a

los usuarios y servicios que tienen acceso a un equipo y sus recursos mediante una red, sin utilizar un nombre de cuenta, contraseña o nombre de dominio.

En los equipos con Windows NT o anterior, el grupo Inicio de sesión anónimo es miembro del grupo Todos de forma predeterminada.

En los equipos con un miembro de la familia Windows Server 2003, el grupo Inicio de sesión anónimo no es miembro del grupo Todos de forma predeterminada. Si desea crear un recurso compartido de archivo para un usuario anónimo, debe conceder permisosal grupo Inicio de sesión anónimo.

Todos El grupo del sistema Todos representa a todos los usuarios de red actuales, incluidos invitados y usuarios de otros dominios. Cada vez que un usuario inicia una sesión en la red, se agrega automáticamente al grupo Todos.

Si la seguridad de un determinado grupo del dominio no le supone ningún problema, puede conceder permisos al grupo Todos. Sin embargo, como el grupo Inicio de sesión anónimo puede convertirse en miembro del grupo Todos, no es conveniente que utilice este grupo para conceder permisos superiores a los de sólo lectura.

Red El grupo del sistema Red representa a los usuarios que tienen acceso actualmente a un determinado recurso a través de la red, en contraposición a los usuarios que tienen acceso a un recurso iniciando una sesión de forma local en el equipo en el que se encuentra el recurso. Cada vez que un usuario tiene acceso a un determinado recurso a través de la red, se agrega automáticamente al grupo Red.

Interactivo El grupo del sistema Interactivo representa a todos los usuarios que están iniciando actualmente una sesión en un determinado equipo y tienen acceso a un determinado recurso de ese equipo, en contraposición a los usuarios que tienen acceso al recurso a través de la red. Cada vez que un usuario tiene acceso a un recurso del equipo en el que está iniciando una sesión actualmente, se agrega automáticamente al grupo Interactivo.

Usuarios autentificados El grupo del sistema Usuarios autentificados representa a todos los usuarios de Active Directory. Utilice siempre el grupo Usuarios autentificados en lugar del grupo Todos al conceder permisos para un recurso, para así evitar el acceso de los invitados a los recursos.

Creator /Owner El grupo del sistema Creator /Owner incluye las cuentas del usuario que creó o tomó posesión de un recurso. Si un miembro del grupo Administradores crea un recurso, este grupo es el propietario del recurso.

Grupos del sistema


Debate de clase: Uso de grupos predeterminados frente a creación de nuevos grupos


Northwind Traders tiene más de 100 servidores en todo el mundo. Usted asiste a una reunión para discutir las tareas actuales que deben realizar los administradores y qué nivel mínimo de acceso necesitan los usuarios para realizar tareas específicas. También debe determinar si puede utilizar grupos predeterminados o si se deben crear grupos y asignar derechos y permisos de usuario específicos a los grupos para realizar estas tareas.

Debe asignar grupos predeterminados o crear nuevos grupos para las siguientes tareas. Nombre el grupo que tiene los derechos de usuario más restrictivos para la realización de las siguientes acciones o determine si se debe crear un grupo nuevo.

1. Realización de copias de seguridad y restauración de controladores de dominio _____________________________________________________________

_____________________________________________________________

_____________________________________________________________

2. Realización de copias de seguridad de servidores miembros _____________________________________________________________

_____________________________________________________________

_____________________________________________________________

Situación

Debate


3. Creación de grupos en la unidad organizativa NWTraders Groups ____________________________________________________________

____________________________________________________________

____________________________________________________________

4. Inicio de una sesión en el dominio ____________________________________________________________

____________________________________________________________

____________________________________________________________

5. Especificación de los usuarios que necesitan acceso de sólo lectura a los servidores DHCP ____________________________________________________________

____________________________________________________________

____________________________________________________________

6. Especificación de los empleados del servicio de asistencia técnica que necesitan acceso para controlar de forma remota el escritorio ____________________________________________________________

____________________________________________________________

____________________________________________________________

7. Especificación de los usuarios que necesitan acceso administrativo a todos los equipos de todo el dominio ____________________________________________________________

____________________________________________________________

____________________________________________________________

8. Especificación de los usuarios que necesitan acceso a la carpeta compartida Ventas en un servidor con el nombre LonSrv2 ____________________________________________________________

____________________________________________________________

____________________________________________________________


Prácticas recomendadas para la administración de grupos


Tenga en consideración las siguientes prácticas recomendadas para la administración de grupos:

Cree grupos en función de las necesidades administrativas. Si crea un grupo basado en un puesto de trabajo y otra persona se hace cargo de este puesto, sólo deberá cambiar la pertenencia del miembro al grupo. No es necesario cambiar todos los permisos concedidos a la cuenta de usuario individual. Debido a esto, a menudo, es conveniente crear un grupo con un solo miembro.

Utilice grupos locales para ofrecer a los usuarios acceso a los recursos de los equipos locales cuando el equipo no es miembro de un dominio.

Si tiene varios grupos a los que puede agregar cuentas de usuario, agréguelas al grupo más restrictivo. Sin embargo, asegúrese de que concede los derechos y permisos adecuados para que los usuarios puedan realizar cualquier tarea necesaria.

Siempre que un grupo predeterminado permita a los usuarios realizar una tarea, utilice el grupo predeterminado en lugar de crear uno nuevo. Cree grupos únicamente cuando no haya grupos predeterminados que ofrezcan los derechos y permisos de usuario necesarios.

Utilice el grupo Usuarios autentificados en lugar del grupo Todos para conceder la mayor parte de los derechos y permisos de usuario. Al utilizar este grupo, se minimiza el riesgo de acceso no autorizado, ya que Windows Server 2003 sólo agrega cuentas de usuario válidas a los miembros del grupo del sistema Usuarios autentificados.

Prácticas recomendadas


Limite el número de usuarios del grupo Administradores. Los miembros del grupo Administradores de un equipo local tienen permisos de control total en ese equipo. Agregue al grupo Administradores los usuarios que únicamente vayan a realizar tareas administrativas.

La organización debe tener igual confianza en todos los miembros de los grupos Administradores, Usuarios avanzados, Operadores de impresión y Operadores de copia. Algunos derechos de usuario predeterminados asignados a grupos locales predeterminados específicos pueden permitir a los miembros de esos grupos obtener derechos adicionales en el equipo, incluidos derechos administrativos.

13.- Administrar grupos

Documents

Transcript of 13.- Administrar grupos