Creacion y Admin Is Trac Ion de Objetos de Active Directory

Creación y administración
de objetos de Active
Directory
Contenido
Introducción 2
Lección: Creación de unidades organizativas, cuentas de usuario y cuentas de equipo 3
Lección: Creación y modificación de grupos 21
Lección: Estrategias para el uso de grupos 38
Lección: Uso de permisos para controlar el acceso a los objetos de Active Directory 48
Lección: Delegar el control de los objetos de Active Directory para lograr una administración
segura y descentralizada 65
Lección: Mover objetos de Active Directory 79
Práctica A: Administrar el acceso a los objetos de unidades organizativas 83
2 Creación y administración de objetos de Active Directory
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Este módulo contiene la información que precisa un administrador de sistemas

para administrar los objetos del servicio de directorio Active Directory®.
Objetivos Después de finalizar este módulo, podrá:
Crear unidades organizativas, cuentas de usuario y cuentas de equipo.
Crear y modificar grupos.
Aplicar las estrategias adecuadas al trabajar con grupos.
Utilizar permisos para controlar el acceso a los objetos de Active Directory.
Delegar el control de los objetos de Active Directory para lograr una
administración segura y descentralizada.
Mover objetos de Active Directory.
Creación y administración de objetos de Active Directory 3
Lección: Creación de unidades organizativas, cuentas de

usuario y cuentas de equipo
Introducción Esta lección proporciona los conocimientos y la práctica necesarios para crear
unidades organizativas, cuentas de usuario y cuentas de equipo.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar los cuatro modelos jerárquicos de unidad organizativa.
Explicar los nombres asociados a las unidades organizativas.
Crear una unidad organizativa.
Crear una cuenta de usuario.
Explicar cómo y dónde se crean las cuentas de equipo en un dominio.
Explicar las dos opciones de cuenta de equipo.
Crear una cuenta de equipo.
Modelos jerárquicos de unidad organizativa
Introducción Como administrador de sistemas, no es su función elegir el diseño estructural

de Active Directory para su organización. Sin embargo, es importante que
conozca las características y ramificaciones de cada estructura. Este
conocimiento puede ser crucial a la hora de realizar tareas de administración
de sistemas en la estructura de Active Directory. En este tema se describen los
cuatro diseños jerárquicos básicos.
Jerarquía basada en La jerarquía basada en la función considera sólo las funciones de negocio de
la función la organización, sin importar la ubicación geográfica o los límites de los
departamentos o divisiones. Elija esta alternativa sólo cuando la función de
tecnología de la información no se base en la ubicación o la organización.
Cuando necesite decidir si la estructura de Active Directory debe organizarse
por función, considere las características siguientes de los diseños basados en
funciones:
No se ven afectados por las reorganizaciones. Una jerarquía basada en
la función no se ve afectada por las reestructuraciones corporativas u
organizativas.
Pueden requerir niveles adicionales. Cuando se utiliza esta estructura,
puede ser necesario crear niveles adicionales en la jerarquía de unidades
organizativas para acomodar la administración de usuarios, impresoras,
servidores y otros recursos de red.
Pueden afectar a la replicación. Las estructuras empleadas para crear los
dominios pueden no ser las mejores para un uso eficiente de la red, ya que el
contexto de nombres de dominio puede replicarse entre una o más áreas de
bajo ancho de banda.
Esta estructura sólo es adecuada en organizaciones pequeñas porque los

departamentos funcionales de las organizaciones medianas y grandes son a
menudo muy diversos y no pueden agruparse en grandes categorías.
Jerarquía basada en La jerarquía basada en la organización considera los departamentos o divisiones

la organización de la organización. Si la estructura de Active Directory se ha creado para reflejar
la estructura organizativa, puede ser difícil delegar la autoridad administrativa, ya
que los objetos de Active Directory, como las impresoras y recursos compartidos
de archivo pueden no estar agrupados de modo que faciliten la delegación de
dicha autoridad. Dado que los usuarios nunca ven la estructura de
Active Directory, el diseño debe acomodarse al administrador, no al usuario.
Jerarquía basada en Si la organización está centralizada y la administración de la red está distribuida
la ubicación geográficamente, es recomendable utilizar una jerarquía basada en la ubicación.
Por ejemplo, puede decidir crear unidades organizativas para Providence,
Boston y Hartford en el mismo dominio, por ejemplo contoso.msft.
Una jerarquía de unidad organizativa o dominio basada en la ubicación tiene las
características siguientes:
No se ve afectada por las reorganizaciones. Aunque las divisiones y
departamentos pueden cambiar con frecuencia, en la mayoría de las
organizaciones la ubicación no suele cambiar.
Se adapta a fusiones y expansiones. Si una organización se fusiona o
adquiere otra compañía, resulta sencillo integrar las nuevas ubicaciones en
la estructura jerárquica existente de unidades organizativas y dominios.
Aprovecha la capacidad de la red. Normalmente, la topología de la red física
de una organización se corresponde con una jerarquía basada en la ubicación.
Si se crean dominios con una jerarquía basada en la ubicación, es posible
aprovechar las áreas donde la red tiene mayor ancho de banda y limitar la
cantidad de datos que se replican entre áreas con bajo ancho de banda.
Puede comprometer la seguridad. Si una ubicación consta de múltiples
divisiones o departamentos, un individuo o grupo con autoridad
administrativa sobre ese dominio o sobre las unidades organizativas puede
tener también autoridad sobre los dominios o unidades organizativas
secundarios.
Jerarquía híbrida Una jerarquía basada primero en la ubicación y después en la organización, o en

cualquier otra combinación de estructuras, se denomina jerarquía híbrida. La
jerarquía híbrida combina las ventajas de los distintos tipos para satisfacer los
requisitos de la organización. Este tipo de jerarquía tiene las características
siguientes:
Se adapta al crecimiento geográfico o de los diferentes departamentos o
divisiones.
Crea límites de administración definidos en función de los departamentos
o divisiones.
Requiere la cooperación entre los administradores para asegurar la
finalización de las tareas administrativas cuando atañen a la misma
ubicación pero a distintas divisiones o departamentos.
Nombres asociados a las unidades organizativas
Introducción Las referencias a objetos específicos de Active Directory pueden hacerse

mediante distintos tipos de nombres que describen su ubicación.
Active Directory crea un nombre completo relativo, un nombre completo y un
nombre canónico para cada objeto, en función de la información suministrada
por el administrador en el momento de crear o modificar el objeto.
Nombre completo El nombre completo relativo LDAP (Lightweight Directory Access Protocol,
relativo LDAP Protocolo ligero de acceso a directorio) identifica de forma única al objeto en su
contenedor principal. Por ejemplo, el nombre completo relativo LDAP de una
unidad organizativa denominada MiUnidadOrganizativa es
OU=MiUnidadOrganizativa. Los nombres completos relativos deben ser únicos
dentro de la unidad organizativa. Es importante entender la sintaxis del nombre
completo relativo LDAP cuando se utilizan secuencias de comandos para
consultar y administrar Active Directory.
Nombre completo LDAP A diferencia del nombre completo relativo LDAP, el nombre completo LDAP
es único globalmente. Un ejemplo de nombre completo LDAP único de una
unidad organizativa denominada MiUnidadOrganizativa en el dominio
microsoft.com es OU=MiUnidadOrganizativa, DC=microsoft, DC=com.
Los administradores de sistemas sólo utilizan el nombre completo relativo
LDAP y el nombre completo LDAP cuando escriben secuencias de comandos
administrativas o durante la administración en la línea de comandos.
Nombre canónico La sintaxis del nombre canónico se construye de la misma forma que la del
nombre completo LDAP, pero se representa con una notación distinta. El
nombre canónico de la unidad organizativa denominada MiUnidadOrganizativa
en el dominio microsoft.com es Microsoft.com/MiUnidadOrganizativa.
Los administradores usan los nombres canónicos en algunas herramientas
administrativas. El nombre canónico se utiliza para representar una jerarquía en
las herramientas administrativas.
Cómo crear una unidad organizativa
Introducción Con la creación de unidades organizativas puede representar una jerarquía o

administrar los objetos incluidos en ellas.
Procedimiento Para crear una nueva unidad organizativa:
1. Abra Usuarios y equipos de Active Directory.
2. En el árbol de la consola, haga doble clic en el nodo de dominio.
3. Haga doble clic con el botón secundario del mouse (ratón) en el nodo del
dominio o en la carpeta en la que de desee agregar la unidad organizativa,
seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.
4. En el cuadro de diálogo Nuevo objeto - Unidad organizativa, en el cuadro
Nombre, escriba el nombre de la unidad organizativa y, a continuación,
haga clic en Aceptar.
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Administradores de dominio o Administradores de organización en
Active Directory, o tener delegada la autoridad correspondiente. Como
recomendación de seguridad, considere la posibilidad de utilizar Ejecutar
como para realizar este procedimiento.
Utilizar una línea Para crear una unidad organizativa con el comando dsadd:
de comandos
1. Abra un símbolo del sistema.
2. Escriba dsadd ou NombreDeDominioDeUnidadOrganizativa
[-desc Descripción] [{-s Servidor | -d Dominio}] [-u NombreDeUsuario]
[-p {Contraseña | *}] [-q] [{-uc | -uco | -uci}]
El siguiente es un ejemplo de un comando dsadd ou:

dsadd ou "ou=testou,ou=locations,dc=nwtraders,dc=msft"
Cómo crear una cuenta de usuario
Introducción Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesión en
un dominio y tener acceso a recursos de cualquier lugar de la red, mientras que
las cuentas locales de usuario permiten a los usuarios iniciar sesiones y tener
acceso únicamente a los recursos del equipo en el que se ha creado la cuenta de
usuario local. Como administrador de sistemas, debe crear cuentas de usuario
locales y de dominio para administrar el entorno de red.
Importante No es posible crear cuentas de usuario locales en un controlador

de dominio.
Procedimiento para Para crear una cuenta de usuario de dominio:

crear una cuenta de
usuario de dominio 1. Abra Usuarios y equipos de Active Directory.
2. En el árbol de la consola, haga doble clic en el nodo de dominio.
3. En el panel de detalles, haga clic con el botón secundario del mouse en la
unidad organizativa a la que desee agregar el usuario, seleccione Nuevo y,
a continuación, haga clic en Usuario.
4. En el cuadro de diálogo Nuevo objeto - Usuario, en el cuadro Nombre,
escriba el nombre del usuario.
5. En el cuadro Iniciales, escriba las iniciales del usuario.
6. En el cuadro Apellidos, escriba el apellido del usuario.
7. En el cuadro Nombre de inicio de sesión de usuario, escriba el nombre
con el que usuario iniciará la sesión.
8. En la lista desplegable, haga clic en el sufijo UPN que debe anexarse al
nombre de inicio de sesión del usuario después del signo (@).
9. Haga clic en Siguiente.
10. En los cuadros Contraseña y Confirmar contraseña, escriba la contraseña

del usuario.
11. Seleccione las opciones de contraseña adecuadas.
12. Haga clic en Siguiente y, a continuación, haga clic en Finalizar.
Procedimiento para Para crear una cuenta de usuario local:

crear una cuenta de
usuario local 1. Haga clic en Inicio, seleccione Herramientas administrativas y,
a continuación, haga clic en Administración de equipos.
2. En el árbol de la consola, expanda Usuarios y grupos locales y,
a continuación, haga clic en Usuarios.
3. En el menú Acción, haga clic en Usuario nuevo.
4. En el cuadro Usuario nuevo, en el cuadro Nombre de usuario,
escriba el nombre con el que usuario iniciará la sesión.
5. Modifique el nombre completo como sea necesario.
6. En los cuadros Contraseña y Confirmar contraseña, escriba la contraseña
del usuario.
7. Seleccione las opciones de contraseña adecuadas.
8. Haga clic en Crear y, después, en Cerrar.
Nota Un nombre de usuario no puede ser idéntico al de ningún otro usuario o

grupo del equipo que se administra. Puede contener hasta 20 caracteres en
mayúsculas o minúsculas, excepto los siguientes:
"/\[]:;|=,+*?<>
Un nombre de usuario no puede estar formado únicamente por puntos o espacios.
Utilizar una línea Otra forma de crear una cuenta de usuario de dominio es utilizar el comando
de comandos dsadd. El comando dsadd user agrega un solo usuario al directorio desde el
símbolo del sistema o desde un archivo por lotes.
Para crear una cuenta de usuario con dsadd user:
2. Escriba dsadd user NombreDeDominioDeUsuario [-samid NombreSAM]
[-upn UPN] [-fn Nombre] [-ln Apellido] [-display NombreParaMostrar]
[-pwd {Contraseña|*}] Utilice comillas (" ") si hay espacios en alguna
variable.
Nota Si desea consultar la sintaxis completa del comando dsadd user, escriba
dsadd user /? en el símbolo del sistema.
El siguiente es un ejemplo de un comando dsadd user:

dsadd user "cn=testuser,cn=users,dc=nwtraders,dc=msft" –samid
testuser –upn testuser@nwtraders.msft –fn test –ln user –
display "test user" –pwd P@ssw0rd
Cómo y dónde crear cuentas de equipo en un dominio
Introducción Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir la
unidad organizativa en la que desea crearla. Si un equipo se une a un dominio,
la cuenta de equipo se crea en el contenedor Equipos y el administrador puede
moverla a la unidad organizativa correspondiente si es necesario.
Los administradores De forma predeterminada, los usuarios de Active Directory pueden agregar
determinan la ubicación hasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta
de las cuentas de configuración predeterminada puede cambiarse. Si el administrador de sistemas
equipo agrega una cuenta de equipo directamente a Active Directory, un usuario podrá
agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipo
asignadas.
Cuentas de equipo La operación de agregar un equipo al dominio mediante una cuenta creada
ensayadas previamente anteriormente se denomina ensayo previo y significa que los equipos pueden
agregarse a cualquier unidad organizativa en la que el administrador de
sistemas tenga permiso para agregar cuentas de equipo. Normalmente, los
usuarios no tienen los permisos necesarios para el ensayo previo de una cuenta
de equipo, de modo que como alternativa pueden unir un equipo al dominio
mediante una cuenta ensayada previamente.
Los usuarios crean Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agrega
cuentas de equipo al contenedor Equipos de Active Directory. Esto tiene lugar a través de un
servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta de
sistema también registra el número de equipos que cada usuario ha agregado al
dominio. De forma predeterminada, cualquier usuario autenticado tiene permiso
para agregar estaciones de trabajo a un dominio y puede crear hasta diez
cuentas de equipo en el dominio.
Lecturas adicionales Para obtener más información acerca de cómo los usuarios pueden agregar
cuentas de equipo a un dominio, consulte el artículo de Microsoft Knowledge
Base 251335, “Los usuarios de un dominio no pueden unir la estación de
trabajo o el servidor a un dominio”, en la dirección
http://support.microsoft.com/default.aspx?scid=kb;es;251335.
Opciones de cuenta de equipo
Introducción En Microsoft® Windows Server™ 2003 existen dos características opcionales

que puede habilitar al crear una cuenta de equipo. Puede asignar una cuenta de
equipo como correspondiente a un equipo anterior a Windows® 2000 o como
controlador de dominio de reserva (BDC, Backup Domain Controller).
Anterior a Active la casilla de verificación Asignar la cuenta de este equipo como un
Windows 2000 equipo anterior a Windows 2000 para asignar una contraseña basada en el
nombre del equipo. Si no activa esta casilla de verificación, se asignará a la
cuenta de equipo una contraseña inicial aleatoria. La contraseña de conexión
entre el equipo y el dominio al que pertenece cambia automáticamente cada
cinco días. Esta opción garantiza que los equipos con versiones de Windows
anteriores a Windows 2000 puedan interpretar si la contraseña satisface los
requisitos asignados.
Controlador de dominio Active la casilla de verificación Asignar la cuenta de este equipo como un
de reserva controlador de dominio de reserva si desea utilizar el equipo como controlador
de dominio de reserva. Debe utilizar esta opción en los entornos mixtos, con un
controlador de dominio con Windows Server 2003 y un BDC con Microsoft
Windows NT® 4.0. Una vez creada la cuenta en Active Directory, puede agregar
el BDC al dominio durante la instalación de Windows NT 4.0.
Lectura complementaria Para obtener más información acerca de la delegación de la autenticación, busque
el término “Delegar autenticación” en http://www.microsoft.com/spain/technet.
Cómo crear una cuenta de equipo
Introducción De forma predeterminada, los integrantes del grupo Operadores de cuentas

pueden crear cuentas de equipo en el contenedor Equipos y en las nuevas
unidades organizativas. Sin embargo, no pueden crear cuentas de equipo en los
contenedores Builtin, DomainControllers, ForeignSecurityPrincipals,
LostAndFound, Program Data, System o Users.
Procedimiento Para crear una cuenta de equipo:
2. En Usuarios y equipos de Active Directory, en el árbol de la consola,
haga doble clic en el nodo de dominio.
3. Haga clic con el botón secundario del mouse en Equipos o en la unidad
organizativa a la que desee agregar el equipo, seleccione Nuevo y haga clic
en Equipo.
4. En el cuadro de diálogo Nuevo objeto - Equipo, en el cuadro Nombre de
equipo, escriba el nombre del equipo.
5. Seleccione las opciones correspondientes y haga clic en Siguiente.
6. En el cuadro de diálogo Administrado, haga clic en Siguiente.
7. Haga clic en Finalizar.
Operadores de cuentas, Administradores del dominio o Administradores de
organización en Active Directory o tener delegada la autoridad correspondiente.
Como recomendación de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
Utilizar una línea Para crear una cuenta de equipo con el comando dsadd computer:
de comandos
2. Escriba dsadd computer NombreDeDominioDeEquipo
[-samid NombreSAM] [-desc Descripción] [-loc Ubicación] [-memberof
NombreDeDominioDeGrupo ..] [{-s Servidor | -d Dominio}] [-u
NombreDeUsuario] [-p {Contraseña | *}] [-q] [{-uc | -uco | -uci}]
Nota Si desea consultar la sintaxis completa del comando dsadd computer,

escriba dsadd computer /? en el símbolo del sistema.
El siguiente es un ejemplo de un comando dsadd computer:

dsadd computer
"cn=testcomputer,ou=testou,dc=nwtraders,dc=msft" –samid
testcomputer
Ejercicio: Creación de unidades organizativas, cuentas de usuario y

cuentas de equipo
Objetivos Después de finalizar este ejercicio, podrá:

Crear unidades organizativas.
Crear cuentas de usuario y de equipo.
Mover cuentas de usuario y de equipo a una nueva unidad organizativa.
Habilitar cuentas de usuario.
Instrucciones Debe haber iniciado sesión con una cuenta (por ejemplo,
NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar
el comando Ejecutar como con una cuenta de usuario que disponga de las
credenciales administrativas apropiadas para realizar la tarea.
Situación de ejemplo Como administrador de sistemas de Northwind Traders, se le ha asignado la
tarea de crear una jerarquía de unidad organizativa ideada por el grupo de
diseño de Northwind Traders. El diseño de la jerarquía de unidad organizativa
se basará en la ubicación y separará los equipos portátiles de los equipos de
escritorio. Usted creará una jerarquía de unidades organizativas en la unidad
organizativa de su ciudad para separar los tipos de equipos.
La siguiente es una representación gráfica de lo que debe crear en el dominio
NWTraders. Las unidades organizativas Locations y NombreDeEquipo ya han
sido creadas.
Ejercicio: Creación de Cree las unidades organizativas Computers, Laptodps y Desktops

unidades organizativas
Complete esta tarea desde los equipos de ambos alumnos.
Utilice la información siguiente para iniciar CustomMMC:
• Usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
En Usuarios y equipos de Active Directory/nwtraders.msft/Locations/
NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo),
cree las unidades organizativas siguientes:
• Locations/NombreDeEquipo/Computers
• Locations/NombreDeEquipo/Computers/Laptops
• Locations/NombreDeEquipo/Computers/Desktops
La jerarquía de unidades organizativas debe tener la misma apariencia que
el diagrama anterior.
Situación de ejemplo Los ingenieros de sistemas desean probar algunas características avanzadas de
Active Directory. Desean que su grupo cree algunas unidades organizativas en
la unidad organizativa IT Test.
La unidad organizativa IT Test ya ha sido creada. Debe agregar una unidad
organizativa adicional para su ciudad, como se indica en el gráfico siguiente.
Ejercicio: Utilizar una Cree una unidad organizativa con el comando dsadd
línea de comandos
• En una línea de comandos, cree una unidad organizativa denominada IT
Test/NombreDeEquipo mediante el comando dsadd.
(Ejemplo del comando dsadd: dsadd ou "ou=London,ou=IT Test,
dc=nwtraders,dc=msft")
Situación de ejemplo Se le ha suministrado una lista de usuarios deben agregarse a Active Directory.
Busque los usuarios de la lista cuya oficina está en su ciudad y agréguelos a la
unidad organizativa correspondiente de su ciudad.
Ejercicio: Crear y Cree cuentas de usuario
modificar cuentas
de usuario • En la unidad organizativa
nwtraders.msft/Locations/NombreDeEquipo/Users, cree las cuentas de
los usuarios de la tabla siguiente que correspondan a la ubicación de la
organización en su ciudad. Utilice los parámetros siguientes (donde Nombre
y Apellido son el nombre y apellido de cada uno de los usuarios):
• Nombre: Nombre
• Apellido: Apellido
• Nombre de inicio de sesión de usuario: Primeras tres letras del nombre y
primeras tres letras del apellido
• Nombre de inicio de sesión de usuario (anterior a Windows 2000):
Primeras tres letras del nombre y primeras tres letras del apellido
• Deshabilite la cuenta de usuario.
Modifique las cuentas de usuario

• En la página Propiedades del usuario puede hacer las modificaciones
siguientes:
• Ciudad: NombreDeEquipo (en la ficha Dirección)
• Número de teléfono: 555-2469 (en la ficha Teléfonos)
• Administrador: NombreDeEquipoUser (en la ficha Organización)
Apellido, Nombre Ciudad
Brown, Robert Acapulco

Browne, Kevin F. Acapulco
Byham, Richard A. Auckland
Calafato, Ryan Auckland
Berg, Karen Bangalore
Berge, Karen Bangalore
Barnhill, Josh Bonn
Barr, Adam Bonn
Altman, Gary E. III Brisbane
Anderson, Nancy Brisbane
Chapman, Greg Caracas
Charles, Mathew Caracas
Bonifaz, Luis Casablanca
Boseman, Randall Casablanca
Ackerman, Pilar Denver
Adams, Jay Denver
Connelly, Peter Khartoum
(continuación)
Apellido, Nombre Ciudad
Conroy, Stephanie Khartoum

Barreto de Mattos, Paula Lima
Bashary, Shay Lima
Arthur, John Lisbon
Ashton, Chris Lisbon
Bankert, Julie Manila
Clark, Brian Manila
Burke, Brian Miami
Burlacu, Ovidiu Miami
Chor, Anthony Montevideo
Ciccu, Alice Montevideo
Casselman, Kevin A. Moscow
Cavallari, Matthew J. Moscow
Cornelsen, Ryan Nairobi
Cox, Brian Nairobi
Alberts, Amy E. Perth
Alderson, Gregory F. (Greg) Perth
Benshoof, Wanida Santiago
Benson, Max Santiago
Bezio, Marin Singapore
Bischoff, Jimmy Singapore
Carothers, Andy Stockholm
Carroll, Matthew Stockholm
Cannon, Chris Suva
Canuto, Suzana De Abreu A. Suva
Combel, Craig M. Tokyo
Con, Aaron Tokyo
Bradley, David M. Tunis
Bready, Richard Tunis
Abolrous, Sam Vancouver
Acevedo, Humberto Vancouver
Situación de ejemplo Los ingenieros de sistemas de Northwind Traders han importado cuentas de
usuario para todo el dominio nwtraders. Usted y su grupo de administradores
de sistemas deben buscar las cuentas de usuario cuyo atributo de ubicación
corresponda con la ciudad del nombre de su equipo y moverlas a la unidad
organizativa Users situada bajo la unidad organizativa NombreDeEquipo.
Ejercicio: Buscar Busque y mueva las cuentas de usuario
cuentas de usuario
Complete esta tarea desde los equipos de ambos alumnos. Utilice la ficha
Opciones avanzadas del cuadro de diálogo Buscar.
1. Utilice la información siguiente para buscar las cuentas de usuario.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Punto inicial de la búsqueda: nwtraders.msft
• Buscar: Usuarios, contactos y grupos
• Campo: Ciudad
• Condición: Es (exactamente)
• Valor: NombreDeEquipo
2. Mueva las cuentas de usuario que encuentre a Nwtraders.msft/Locations/
NombreDeEquipo/Users (donde el nombre de la cuenta de equipo
corresponde a la carpeta NombreDeEquipo).
Situación de ejemplo Se espera recibir cuatro nuevos equipos portátiles y cinco equipos de escritorio
en su ubicación. Un consultor que tiene una cuenta de usuario en el dominio
agregará estos equipos al dominio. Las directivas de Northwind Traders
estipulan que los administradores de la unidad organizativa ciudad deben
administrar los equipos portátiles y de escritorio.
Ejercicio: Creación de Cree cuentas de equipo
cuentas de equipo
1. Cree las cuentas de equipo siguientes para cinco equipos de escritorio en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Desktops.
Cuentas de equipo:
• NombreDeEquipo01Desk
2. Cree las cuentas de equipo siguientes para cinco equipos portátiles en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Laptops.
Cuentas de equipo:
• NombreDeEquipo01Lap
Situación de ejemplo Los ingenieros de sistemas de Northwind Traders han importado cuentas de
equipo para todo el dominio nwtraders. Usted debe buscar las cuentas de equipo
que incluyen NombreDeEquipo0 en su nombre de cuenta. A continuación debe
mover las cuentas a la carpeta Computers de la unidad organizativa
NombreDeEquipo correspondiente.
Ejercicio: Buscar Busque las cuentas de equipo
cuentas de equipo
• Busque las cuentas de equipo con los siguientes criterios:
• Punto inicial de la búsqueda: nwtraders.msft
• Buscar: Equipos
• Campo: Nombre de equipo (anterior a Windows 2000)
• Condición: Empieza con
• Valor: NombreDeEquipo0
Mueva las cuentas de equipo a otra unidad organizativa

• Mueva las cuentas de equipo que encuentre a Nwtraders.msft/Locations/
NombreDeEquipo/Computers (donde el nombre de la cuenta de equipo
corresponde a la carpeta NombreDeEquipo).
Lección: Creación y modificación de grupos
Introducción Esta lección proporciona los conocimientos y la práctica necesarios para crear y
modificar grupos.
Explicar el propósito de los grupos y los tipos y ámbitos de grupo.
Explicar la función de un servidor de catálogo global.
Explicar la relación entre los grupos y los niveles funcionales de dominio.
Elegir el tipo y el ámbito de grupo adecuados.
Crear un grupo.
Explicar qué implica modificar el ámbito o el tipo de un grupo.
Modificar el ámbito o el tipo de un grupo.
¿Qué son los grupos?
Definición Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Los

grupos pueden basarse en un dominio y estar almacenados en Active Directory,
o ser locales en un equipo determinado.
Ventajas del uso Los grupos facilitan la administración al permitir conceder permisos sobre
de grupos recursos a todo un grupo de una vez, en lugar de concederlos a cuentas de
usuarios individuales.
Tipos de grupos Existen dos tipos básicos de grupos:
Grupos de seguridad
Los grupos de seguridad se utilizan para asignar derechos de usuario y
permisos a los grupos de usuarios y equipos. Los derechos determinan
qué pueden hacer los integrantes de un grupo de seguridad en un dominio
o bosque, y los permisos determinan a qué recursos de la red tienen acceso
los integrantes del grupo.
También peden utilizarse grupos de seguridad para enviar mensajes
de correo electrónico a múltiples usuarios. Cuando se envía un mensaje
de correo electrónico al grupo, se envía a cada uno de sus integrantes.
Por ello, los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribución.
Grupos de distribución
Los grupos de distribución se utilizan con aplicaciones de correo
electrónico, como Microsoft Exchange, para enviar mensajes de correo
electrónico a conjuntos de usuarios. El propósito principal de este tipo de
grupo es reunir objetos relacionados, no conceder permisos.
Los grupos de distribución no tienen habilitada la seguridad; es decir, no
pueden utilizarse para asignar permisos. Si necesita un grupo para controlar
el acceso a los recursos compartidos, debe crear un grupo de seguridad.
Aunque los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribución, éstos siguen siendo necesarios, ya que algunas aplicaciones
sólo pueden utilizar grupos de distribución.
Ámbito de grupo Tanto los grupos de distribución como los de seguridad admiten uno de los tres
ámbitos de grupo.
El ámbito del grupo determina si el grupo abarca múltiples dominios o se limita
a un solo dominio.
El ámbito de grupo determina:
Los dominios desde los que se puede agregar integrantes al grupo.
Los dominios en los que puede utilizarse el grupo para conceder permisos.
Los dominios en los que puede anidarse el grupo dentro de otros grupos.
Un grupo de seguridad o de distribución puede tener uno de tres ámbitos

posibles: global, universal o de dominio local. El contenido del grupo determina
el tipo de ámbito que se le puede aplicar. Cada tipo de ámbito tiene un
propósito diferente.
El ámbito de los grupos se explica en la tabla siguiente.
Ámbito Contenido posible Descripción
Global Usuarios, grupos y equipos del Un grupo de seguridad global

mismo dominio que el grupo asigna derechos de usuario y
global permisos sobre los recursos de
cualquier dominio del bosque.
Universal Usuarios, grupos y equipos de Un grupo de seguridad universal
cualquier dominio del bosque asigna derechos de usuario y
permisos para los recursos de
cualquier dominio del bosque.
Dominio local Grupos con ámbito global, Un grupo de seguridad de
grupos con ámbito universal, dominio local sólo puede recibir
cuentas, otros grupos con ámbito derechos y permisos para recursos
de dominio local o una mezcla que residan en el mismo dominio
de los anteriores en el que se encuentra.
Presentación multimedia: Servidor de catálogo global
Introducción Esta presentación ilustra las funciones de catálogo global de Active Directory.
Para iniciar la presentación, abrir el archivo media10_1.html que se puede
encontrar dentro del fichero media10.zip.
Catálogo global El catálogo global es un depósito de información que contiene un subconjunto de
atributos para todos los objetos de Active Directory. De forma predeterminada,
los atributos que se almacenan en el catálogo global son los que se utilizan con
más frecuencia en las consultas, como el nombre, el apellido y el nombre de
inicio de sesión de un usuario. El catálogo global contiene la información
necesaria para determinar la ubicación de cualquier objeto del directorio.
Servidor de catálogo Un servidor de catálogo global es un controlador de dominio que procesa las
global consultas al catálogo global y almacena una copia de las mismas. El primer
controlador de dominio que se crea en Active Directory es un servidor de
catálogo global. Puede configurar controladores de dominio adicionales para
que sean servidores de catálogo global con el fin de equilibrar el tráfico de
autenticación de inicio de sesión y la transferencia de consultas.
Funciones del servidor El catálogo global cumple dos funciones importantes en el directorio:
de catálogo global en
Active Directory Permite que un usuario inicie una sesión en la red al suministrar la
información de pertenencia a grupos universales a un controlador de
dominio cuando se inicia un proceso de inicio de sesión.
Permite que un usuario busque información de directorio en todo el bosque,
independientemente de la ubicación de los datos.
Si no hay disponible un Si no hay disponible un catálogo global cuando un usuario inicia una sesión en
catálogo global un dominio con el nivel funcional Windows 2000 nativo o superior, el equipo
utilizará las credenciales en caché para iniciar la sesión del usuario si éste ha
iniciado una sesión anteriormente en el dominio. Si el usuario no ha iniciado
una sesión en el dominio anteriormente, sólo podrá iniciar una sesión en el
equipo local. Sin embargo, si el usuario es integrante del grupo
Administradores del dominio, podrá iniciar una sesión en el dominio aunque
no haya un catálogo global disponible.
Grupos y niveles funcionales de dominio
Introducción El sistema operativo de los controladores de dominio determina el nivel

funcional que el dominio puede utilizar.
Niveles funcionales La funcionalidad del dominio habilita características que afectan a todo
de dominio el dominio.
Existen tres niveles funcionales de dominio:
Windows 2000 mixto (predeterminado)
Windows 2000 nativo
Familia de Windows Server 2003
De forma predeterminada, los dominios aplican el nivel de funcionalidad

Windows 2000 mixto. Puede elevar el nivel funcional a Windows 2000 nativo o
a la familia de Windows Server 2003.
Niveles funcionales En la tabla siguiente se comparan los ámbitos de grupo posibles en los distintos
de dominio, ámbito de niveles funcionales de dominio y se indican los controladores de dominio
grupo y controladores compatibles.
de dominio
Nivel funcional Características Controladores de
de dominio habilitadas dominio admitidos
Windows 2000 mixto Instalación de Active Directory Windows NT 4.0,
(predeterminado) desde un medio de copia Windows 2000, familia de
Almacenamiento en caché de Windows Server 2003
grupos universales
Windows 2000 nativo Todo el modo mixto, y además: Windows 2000, familia de
• Anidamiento y conversión Windows Server 2003
de grupos
• Grupos universales,
seguridad y distribución
• SIDHistory
(continuación)
Nivel funcional Características Controladores de
de dominio habilitadas dominio admitidos
Windows Server 2003 Igual que Windows 2000 en Windows NT 4.0, familia
versión provisional modo mixto o nativo de Windows Server 2003
Familia de Windows Todo Windows 2000 nativo, y Familia de Windows
Server 2003 además: Server 2003
• Actualizar atributo de
marca de hora de inicio
de sesión
• Números de versión de
KDC Kerberos
• Contraseña de usuario
en INetOrgPerson
• Herramienta de cambio
de nombre de dominio
Grupos de seguridad La tabla siguiente resume las reglas que determinan si se puede utilizar un
universales y niveles grupo de seguridad con ámbito universal en un nivel funcional de dominio
funcionales de dominio determinado.
¿Grupos de seguridad con ámbito
Nivel funcional de dominio universal?
Windows 2000 nativo Sí

Windows 2000 mixto No
Windows Server 2003 Sí
Nota Sólo es posible cambiar de tipo de grupo cuando el nivel funcional del
dominio es Windows 2000 nativo o superior.
Nota Windows Server 2003 versión provisional sólo se utiliza para

actualizaciones directas de Windows NT 4.0 a la familia de
Windows Server 2003, sin pasar por Windows 2000. Los controladores
de dominio con Windows 2000 no admiten la funcionalidad de dominio
Windows Server 2003 versión provisional.
Después de elevar el nivel funcional de un dominio, no es posible agregar

controladores de dominio que ejecuten sistemas operativos anteriores.
Por ejemplo, si eleva el nivel funcional de dominio a la familia de
Windows Server 2003, los controladores de dominio con Windows Server 2000
no podrán agregarse al dominio.
Precaución El cambio del nivel funcional de dominio es irreversible. Una vez

elevado el nivel funcional de un dominio, no es posible reducirlo de nuevo.
Información adicional Para obtener más información, consulte el artículo de Microsoft Knowledge
Base 322692, “How To: Raise the Domain Functional Level in
Windows Server 2003” (en inglés).
Cómo decidir el tipo y el ámbito de un grupo
Cuándo utilizar un Una ventaja de utilizar el ámbito global es que las cuentas de un grupo que
ámbito global tiene ámbito global pueden modificarse frecuentemente sin generar tráfico de
replicación en el catálogo global. Esta ventaja proviene del hecho de que los
grupos globales no se replican fuera de su propio dominio.
Los grupos con ámbito global pueden utilizarse para administrar objetos de
directorio que requieran mantenimiento diario, como las cuentas de usuario y de
equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuarios
que comparten las mismas tareas y tienen requisitos de acceso a la red similares.
Limitaciones del uso Observe las siguientes limitaciones del uso del ámbito global:
del ámbito global
Un dominio de Windows Server 2003 debe estar en modo Windows 2000
nativo o superior para poder utilizar grupos universales.
Debido a que los grupos globales tienen visibilidad en todo el bosque, no
deben crearse para el acceso a recursos específicos del dominio.
Cuándo utilizar un Los grupos con ámbito universal pueden utilizarse para consolidar grupos que
ámbito universal abarcan más de un dominio. Para ello, agregue las cuentas a grupos con ámbito
global y anide estos grupos en otros que tengan ámbito universal. Con esta
estrategia, los cambios en la pertenencia a los grupos con ámbito global no
afectarán a los grupos con ámbito universal.
Por ejemplo, en una red con dos dominios, North y South, y un grupo
denominado GLAccounting que tenga ámbito global en ambos dominios,
puede crear un grupo con ámbito universal denominado UAccounting, que
tenga como integrantes los dos grupos GLAccounting, North\GLAccounting y
South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugar
de la organización. Los cambios en la pertenencia a los grupos individuales
GLAccounting no provocarán la replicación del grupo UAccounting.
Limitaciones del uso La pertenencia a un grupo con ámbito universal no debe cambiar con
del ámbito universal frecuencia, ya que tales cambios provocan que se replique toda la información
de pertenencia del grupo en todos los catálogos globales del bosque.
Cuándo utilizar el Los grupos con ámbito de dominio local ayudan a definir y administrar el
ámbito de dominio local acceso a los recursos de un solo dominio.
Es posible asignar permisos para los recursos ubicados en el mismo dominio
que el grupo local. Puede colocar todos los grupos globales que deban
compartir los mismos recursos en el grupo de dominio local adecuado.
Cuándo utilizar un grupo Puede asignar permisos para recursos ubicados en el equipo en el que se ha
local creado el grupo local. Cree grupos locales para limitar la capacidad de acceso
de los usuarios y grupos locales a los recursos de la red cuando no desee crear
grupos de dominio.
Nota Es importante distinguir entre un grupo de dominio local y un grupo

local. Un grupo de dominio local es un grupo de seguridad o de distribución
que puede contener grupos universales, grupos globales, otros grupos de
dominio local de su propio dominio y cuentas de cualquier dominio del bosque.
Un grupo local es un conjunto de cuentas de usuario o grupos de dominio
creado en un servidor integrante o en un servidor independiente.
Cómo crear un grupo
Introducción En la mayoría de los entornos corporativos, los grupos se crean en dominios.

Active Directory cuenta con características de seguridad y seguimiento que
limitan la adición de usuarios a grupos. Active Directory ofrece también a las
organizaciones la flexibilidad de poder utilizar grupos en los servidores
integrantes. A menudo, las organizaciones tienen servidores expuestos a
Internet y desean utilizar grupos locales en los servidores integrantes en lugar
de grupos de dominio local con el fin de limitar el riesgo de seguridad para los
grupos internos y los integrantes de los grupos.
Procedimiento para Para crear un grupo en un dominio de Active Directory:
crear un grupo en un
dominio 1. En Usuarios y equipos de Active Directory, en el árbol de la consola, haga
clic con el botón secundario del mouse en la carpeta a la que desee agregar
el grupo, seleccione Nuevo y, a continuación, haga clic en Grupo.
2. En el cuadro de diálogo Nuevo objeto - Grupo, en el cuadro Nombre de
grupo, escriba el nombre del nuevo grupo.
3. En Ámbito de grupo, haga clic en el ámbito del nuevo grupo.
4. En Tipo de grupo, haga clic en el tipo del nuevo grupo.
Importante Si el dominio en el que crea el grupo tiene establecido el nivel

funcional de dominio Windows 2000 mixto, sólo podrá seleccionar grupos de
seguridad con ámbito de dominio local o global.
Procedimiento para Para crear un grupo local en un servidor integrante:

crear un grupo local en
un servidor integrante 1. En Administración de equipos, en el árbol de la consola, haga clic
en Grupos.
2. En el menú Acción, haga clic en Grupo nuevo.
3. En el cuadro de diálogo Grupo nuevo, en el cuadro Nombre de grupo,
escriba el nombre del grupo nuevo.
4. En el cuadro Descripción, escriba una descripción para el grupo nuevo.
5. Para agregar uno o más usuarios al grupo nuevo, haga clic en Agregar.
6. Haga clic en Crear y, después, en Cerrar.
Nota Para realizar este procedimiento debe ser integrante del grupo Usuarios
avanzados o Administradores del equipo local, o tener delegada la autoridad
correspondiente. Si el equipo se une a un dominio, los integrantes del grupo
Administradores del dominio pueden llevar a cabo este procedimiento. Como
recomendación de seguridad, considere la posibilidad de utilizar Ejecutar
como para realizar este procedimiento.
Utilizar una línea Para crear un grupo en un dominio de Active Directory con el comando dsadd:
de comandos
2. Escriba dsadd group NCDeGrupo -samid NombreSAM -secgrp yes | no
-scope l | g | u
Valor Descripción
NCDeGrupo Especifica el nombre completo del objeto grupo que se desea

agregar.
NombreSAM Especifica el nombre SAM (Security Accounts Manager o
Administrador de cuentas de seguridad) como nombre de cuenta
SAM único para este grupo (por ejemplo, operadores).
yes | no Especifica si el grupo que se desea agregar es un grupo de
seguridad (yes) o un grupo de distribución (no).
l|g|u Especifica si el ámbito del grupo que se desea agregar es de
dominio local (l), global (g) o universal (u).
Nota Para ver la sintaxis completa de este comando, escriba dsadd group /?
en el símbolo del sistema.
Procedimiento para Para eliminar un grupo:

eliminar un grupo
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, haga
clic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botón secundario del mouse en el
grupo y, a continuación, haga clic en Eliminar.
Utilizar una línea Para eliminar un grupo con el comando dsrm:

de comandos
2. Escriba dsrm NCDeGrupo
Valor Descripción
NCDeGrupo Especifica el nombre completo del objeto grupo que se desea

eliminar.
Nota Para ver la sintaxis completa de este comando, escriba dsrm /? en el

símbolo del sistema.
Cambiar el ámbito y el tipo de un grupo
Introducción Cuando se crea un grupo nuevo, queda configurado como grupo de seguridad
con ámbito global de forma predeterminada, independientemente del nivel
funcional de dominio existente.
Cambiar el ámbito Aunque no es posible cambiar el ámbito de un grupo en los dominios con
de grupo nivel funcional Windows 2000 mixto, sí son posibles los cambios de ámbito
siguientes en los dominios que tengan el nivel funcional Windows 2000 nativo
o Windows Server 2003:
De global a universal. Este cambio sólo se permite si el grupo que se desea
cambiar no es integrante de otro grupo global.
Nota No es posible cambiar directamente el ámbito de un grupo de global a

dominio local. Para ello es necesario cambiar el ámbito del grupo de global
a universal y, a continuación, de universal a dominio local.
De dominio local a universal. Este cambio sólo se permite si el grupo que se

desea cambiar no tiene como integrante otro grupo de dominio local.
De universal a global. Este cambio sólo se permite si el grupo que se desea
cambiar no tiene como integrante otro grupo universal.
De universal a dominio local. No existe ninguna restricción para este cambio.
Cambiar el tipo de grupo Un grupo puede convertirse de grupo de seguridad a grupo de distribución, y
viceversa, en cualquier momento, pero sólo si el nivel funcional de dominio
está establecido como Windows 2000 nativo o posterior. No es posible
convertir un grupo si el nivel funcional de dominio es Windows 2000 mixto.
Puede convertir grupos de un tipo a otro en las situaciones siguientes:
De seguridad a distribución
Una compañía se divide en dos. Los usuarios migran de un dominio a otro,
pero conservan sus antiguas direcciones de correo electrónico. Desea
enviarles mensajes de correo electrónico utilizando los grupos de seguridad
antiguos, pero desea retirar el contexto de seguridad del grupo.
De distribución a seguridad
Un grupo de distribución crece mucho y los usuarios desean utilizarlo para
tareas relacionadas con la seguridad. Sin embargo, también desean mantener
el grupo para enviar correo electrónico.
Nota Aunque es posible agregar contactos a los grupos de seguridad y a los

grupos de distribución, no es posible conceder permisos a los contactos. Sin
embargo, se puede enviar correo electrónico a los contactos.
Cómo modificar un grupo
Introducción Para cambiar el ámbito o el tipo de un grupo, el nivel funcional del dominio
debe ser Windows 2000 nativo o superior. No es posible cambiar el ámbito ni el
tipo de los grupos si el nivel funcional del dominio es Windows 2000 mixto.
Procedimiento Para cambiar el ámbito o el tipo de un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, haga
clic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botón secundario del mouse en el
grupo y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha General, bajo Tipo de
grupo, haga clic en el tipo de grupo para cambiarlo.
4. En Ámbito de grupo, haga clic en el ámbito de grupo para cambiarlo.
Ejercicio: Creación y modificación de grupos
Objetivos En este ejercicio, se ocupará de:

Crear grupos globales y locales con Usuarios y equipos de Active Directory.
Crear grupos globales con la herramienta de línea de comandos dsadd.
Cambiar el ámbito de grupo de global a dominio local.
Convertir un grupo de seguridad en un grupo de distribución.
Situación de ejemplo Como administrador de sistemas, debe crear varios grupos para el departamento
de contabilidad. Estos grupos se utilizarán posteriormente para agrupar cuentas
y asignar grupos a los recursos.
Ejercicio: Crear grupos Cree los grupos con Usuarios y equipos de Active Directory
con Usuarios y equipos
de Active Directory Complete esta tarea desde los equipos de ambos alumnos.
Credenciales para iniciar la sesión:
• Dominio: NWTraders
• Nombre de usuario: NombreDeEquipoUser
Credenciales para utilizar Ejecutar como:
• Nombre de usuario: NombreDeEquipoAdmin
1. Cree la unidad organizativa Locations/NombreDeEquipo/Groups
(donde NombreDeEquipo es el nombre de su equipo).
2. Cree los grupos globales siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
• G NombreDeEquipo Accounting Managers
• G NombreDeEquipo Accounting Personnel
3. Cree los grupos de dominio local siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
• DL NombreDeEquipo Accounting Managers Full Control
• DL NombreDeEquipo Accounting Managers Read
• DL NombreDeEquipo Accounting Personnel Full Control
• DL NombreDeEquipo Accounting Personnel Read
Ejercicio: Utilizar una Cree grupos con la herramienta de línea de comandos dsadd
línea de comandos
Nota Para iniciar un símbolo del sistema con el comando Ejecutar como,
haga clic con el botón secundario del mouse en el acceso directo Símbolo del
sistema del menú Inicio y haga clic en Ejecutar como.
1. Cree el grupo global siguiente en la unidad organizativa IT Test:

• G NombreDeEquipoTest
Ejemplo: C:\>dsadd group "cn=G London Test,ou=it test,dc=nwtraders,
dc=msft" -secgrp yes -scope g -samid "G London Test"
2. Cree el grupo de dominio local siguiente en la unidad organizativa IT Test:
• DL NombreDeEquipoTest
Ejemplo: C:\>dsadd group "cn=DL London Test,ou=it test,dc=nwtraders,
dc=msft" -secgrp yes -scope L -samid "DL London Test"
Situación de ejemplo Los administradores de tecnología de la información de Northwind Traders

desean que escriba un procedimiento para cambiar el ámbito de un grupo de
seguridad de global a dominio local. Debe crear todos los grupos de prueba en
la unidad organizativa IT Test.
Debe haber iniciado sesión con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas para
realizar la tarea.
Ejercicio: Cambiar el Cree un grupo de seguridad global
ámbito de grupo
• En la unidad organizativa IT Test, cree un grupo de seguridad global
denominado NombreDeEquipo Group Scope Test.
Documente el procedimiento para convertir el grupo global en grupo de

dominio local
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Situación de ejemplo Los administradores de tecnología de la información de Northwind Traders

desean que pruebe la función de Active Directory que permite convertir un
grupo de seguridad en grupo de distribución. Para ello, le piden que convierta
el grupo de seguridad que ha creado en un grupo de distribución.
Ejercicio: Cambiar
Convierta el grupo de seguridad global en un grupo de distribución
el tipo de grupo
• Convierta el grupo de seguridad NombreDeEquipo Group Scope Test en un
grupo de distribución.
Lección: Estrategias para el uso de grupos
Introducción Esta lección le ayudará a diseñar una estrategia para el uso de grupos en un
solo dominio.
Explicar el anidamiento de grupos y las opciones de anidamiento
disponibles en el modo nativo de Windows.
Aplicar la estrategia AGDLP al utilizar grupos en un solo dominio.
Explicar qué son los grupos predeterminados y los grupos de sistema, y
cuándo deben utilizarse.
¿Qué es el anidamiento de grupos?
Introducción El anidamiento permite agregar un grupo como integrante de otro grupo.

Los grupos se anidan para consolidar las cuentas integrantes y reducir el tráfico
de replicación.
Diseño para El diseño de la red debe reducir el anidamiento a sólo un nivel. Un solo nivel
anidamiento mínimo de anidamiento es lo más efectivo, ya que el seguimiento de los permisos se
hace más complejo cuando existen varios niveles. Asimismo la solución de
problemas es más difícil cuando hay que trazar los permisos a lo largo de
múltiplos niveles de anidamiento. Por ello debe documentar la pertenencia a
grupos para hacer un seguimiento de los permisos.
Las opciones de Las opciones de anidamiento no son las mismas si el nivel funcional de
anidamiento dependen dominio de Windows Server 2003 se ha establecido como Windows 2000
del nivel funcional de nativo o Windows 2000 mixto. Con el nivel funcional Windows 2000 nativo es
dominio posible anidar distintos tipos de integrantes en un grupo, dependiendo de su
ámbito. Con el nivel funcional Windows 2000 mixto, sólo pueden anidarse
grupos de seguridad cuyo ámbito sea global o de dominio local.
Nivel funcional Los grupos de los dominios con nivel funcional Windows 2000 nativo y los
Windows 2000 nativo grupos de distribución de los dominios con nivel funcional Windows 2000
mixto pueden tener los integrantes siguientes:
Grupo con este ámbito: Puede tener los integrantes siguientes:
Universal Cuentas, cuentas de equipo, otros grupos con ámbito

universal y grupos con ámbito global de cualquier dominio
Global Cuentas del mismo dominio y otros grupos con ámbito
global del mismo dominio.
Dominio local Cuentas, grupos con ámbito universal y grupos con ámbito
global de cualquier dominio. Este grupo también puede
tener como integrantes otros grupos con ámbito local del
mismo dominio.
Nivel funcional Los grupos de seguridad de los dominios con el nivel funcional Windows 2000
Windows 2000 mixto mixto están restringidos a los tipos de pertenencia siguientes:
Grupo con este ámbito: Puede tener los integrantes siguientes:
Global Sólo cuentas

Dominio local Otros grupos con ámbito global y cuentas
Los grupos de seguridad con ámbito universal no pueden crearse en dominios

con nivel funcional Windows 2000 mixto, ya que el ámbito universal sólo es
compatible con los dominios que tienen el nivel funcional Windows 2000
nativo o Windows Server 2003.
Presentación multimedia: Estrategia de utilización de los grupos en

un único dominio
Esta animación explica la estrategia AGDLP para el uso de grupos. Para iniciar
la presentación, abrir el archivo media10_2.html que se puede encontrar dentro
del fichero media10.zip.
Para obtener más información acerca de las estrategias de grupos, consulte el
apéndice E: “Estrategias de grupo”.
Debate de la clase: Utilizar grupos en un único dominio
Ejemplo 1 Northwind Traders tiene un solo dominio ubicado en París, Francia.

Los administradores de Northwind Traders necesitan tener acceso a la
base de datos de inventario para realizar su trabajo.
¿Qué puede hacer para garantizar que todos los administradores tengan acceso a
dicha base de datos?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Ejemplo 2 Northwind Traders desea reaccionar con más rapidez a las exigencias del
mercado. Se ha determinado que los datos de contabilidad deben estar
disponibles para todo el personal del departamento de contabilidad. Northwind
Traders desea crear la estructura de grupos para toda la división de
contabilidad, que incluye los departamentos de cuentas por pagar y cuentas por
cobrar.
¿Qué haría para garantizar que los administradores tengan el acceso necesario y
que haya el mínimo trabajo de administración?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
Grupos predeterminados y grupos de sistema
Introducción Existen tres tipos de grupos predefinidos:

Grupos predeterminados en los servidores integrantes
Grupos predeterminados en Active Directory
Grupos de sistema
Grupos En los servidores integrantes, la carpeta Grupos se encuentra en la consola

predeterminados en los Usuarios y grupos locales, que muestra todos los grupos locales integrados
servidores integrantes predeterminados y todos los grupos locales creados posteriormente. Los grupos
locales predeterminados se crean automáticamente al instalar
Windows Server 2003. Los grupos locales pueden contener cuentas de usuario
locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales.
Grupos En Active Directory, los grupos predeterminados son grupos de seguridad que
predeterminados en se crean automáticamente al instalar un dominio de Active Directory. Puede
Active Directory utilizar estos grupos predefinidos para administrar los recursos compartidos y
delegar funciones administrativas específicas que afecten a todo el dominio.
Los grupos Operadores de cuentas y Operadores de servidor son ejemplos de
grupos predeterminados que se instalan con Active Directory. Otros grupos son:
Controladores de dominio, Invitados de dominio y Administradores de
organización.
Uso de los grupos Los grupos predefinidos ayudan a controlar el acceso a los recursos
predeterminados compartidos y delegar funciones administrativas específicas que afecten a
todo el dominio. Muchos grupos predeterminados reciben automáticamente
un conjunto de derechos de usuario que autoriza a sus integrantes a realizar
acciones específicas en un dominio, como iniciar sesiones en un sistema local
o crear copias de seguridad de archivos y carpetas.
Consideraciones de Sólo debe agregar un usuario a un grupo predeterminado si realmente desea

seguridad relativas a los concederle:
grupos predeterminados
Todos los derechos de usuario asignados a ese grupo.
Todos los permisos asignados a ese grupo predeterminado para todos los
recursos compartidos asociados al mismo.
En caso contrario debe crear un nuevo grupo de seguridad y asignarle

únicamente los derechos de usuario o permisos que el usuario requiere.
Como recomendación de seguridad, los integrantes de los grupos
predeterminados con amplio acceso administrativo no deben iniciar sesiones
interactivas con credenciales administrativas. En lugar de ello, los usuarios
que tengan este nivel de acceso deben iniciar la sesión con una cuenta no
administrativa y utilizar Ejecutar como.
Advertencia Sólo debe agregar a los grupos predeterminados los integrantes

que requieran todos los derechos asociados a dichos grupos. Por ejemplo, si
tiene que agregar una cuenta de servicio para hacer copias de seguridad y
restaurar archivos en un servidor integrante, puede agregarla al grupo
Operadores de copia de seguridad. El grupo Operadores de copia de seguridad
tiene los derechos de usuario necesarios para realizar copias de seguridad y
restaurar los archivos de un equipo.
Sin embargo, si la cuenta de servicio sólo precisa hacer copias de seguridad de
los archivos, pero no restaurarlos, es mejor crear un nuevo grupo. Puede asignar
a este grupo el derecho de usuario para crear copias de seguridad, pero no
asignarle el derecho de restaurar archivos.
¿Qué es un grupo Windows Server 2003 incluye varias identidades especiales denominadas
de sistema? grupos de sistema. Los grupos de sistema representan a usuarios diferentes
en cada ocasión, en función de las circunstancias. Inicio de sesión anónimo,
Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que
conectan con otro equipo a través de la red se asignan automáticamente al
grupo de sistema Red y reciben los permisos asignados a este grupo.
Aunque es posible conceder derechos de usuario y permisos a los grupos de
sistema, no es posible modificar ni ver sus integrantes.
Los ámbitos de grupo no son aplicables a los grupos de sistema. Los usuarios se
agregan automáticamente a los grupos de sistema cuando inician una sesión o
tienen acceso a un recurso determinado.
Debate de la clase: Uso de grupos predeterminados frente a

creación de nuevos grupos
Situación de ejemplo Northwind Traders tiene más de 100 servidores en todo el mundo. Usted asiste
a una reunión para discutir las tareas que deben realizar los administradores y
qué nivel de acceso mínimo requieren los usuarios para realizar tareas
específicas. También debe determinar si puede utilizar grupos predeterminados
o si debe crear grupos, y asignarles derechos de usuario y permisos específicos
para realizar las tareas.
Explicación Debe asignar grupos predeterminados o crear grupos nuevos para las tareas
siguientes. Indique el grupo que tiene los derechos de usuario más restrictivos
para realizar las acciones siguientes o determine si debe crear un grupo nuevo.
1. Crear copias de seguridad y restaurar controladores de dominio.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
2. Crear copias de seguridad de servidores integrantes.

_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
3. Crear grupos en la unidad organizativa NWTraders Groups.

_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
4. Iniciar sesiones en el dominio.

____________________________________________________________
____________________________________________________________
____________________________________________________________
5. Determinar quién precisa acceso de sólo lectura a los servidores de

Protocolo de configuración dinámica de host (DHCP, Dynamic Host
Configuration Protocol).
____________________________________________________________
____________________________________________________________
____________________________________________________________
6. Determinar qué empleados del servicio de soporte técnico requieren acceso

para controlar el escritorio de forma remota.
____________________________________________________________
____________________________________________________________
____________________________________________________________
7. Determinar quién requiere acceso administrativo a todos los equipos de todo

el dominio.
____________________________________________________________
____________________________________________________________
____________________________________________________________
8. Determinar quién requiere acceso a una carpeta compartida denominada

Ventas en un servidor denominado LonSrv2.
____________________________________________________________
____________________________________________________________
____________________________________________________________
Lección: Uso de permisos para controlar el acceso a los

objetos de Active Directory
Introducción En esta lección se explica el funcionamiento de los permisos en

Active Directory.
Utilizar la estructura de unidades organizativas para administrar objetos.
Explicar qué son los permisos de objeto de Active Directory.
Describir las características de los permisos de objeto de Active Directory.
Describir la herencia de los permisos de objeto de Active Directory.
Describir los efectos de la modificación de los objetos en la herencia de
permisos.
Modificar los permisos de objetos de Active Directory.
Explicar qué son los permisos efectivos de objetos de Active Directory.
Determinar los permisos efectivos de los objetos de Active Directory.
Presentación multimedia: La estructura de unidades organizativas
Esta presentación explica cómo utilizar las unidades organizativas para agrupar
objetos y lograr una administración más efectiva. También explica las dos
finalidades principales de una jerarquía de unidades organizativas. Para iniciar
la presentación, abrir el archivo media10_3.html que se puede encontrar dentro
del fichero media10.zip.
¿Qué son los permisos de objeto de Active Directory?
Introducción Los permisos de objeto de Active Directory proporcionan seguridad a los

recursos al permitir controlar qué administradores o usuarios tienen acceso
a objetos individuales o a sus atributos, así como el tipo de acceso permitido.
Con los permisos es posible asignar privilegios administrativos para una unidad
organizativa o una jerarquía de unidades organizativas, y así administrar el
acceso a la red. También pueden utilizarse permisos para asignar privilegios
administrativos para un objeto específico a un usuario o grupo determinado.
Permisos estándar Los permisos estándar son los permisos que se conceden con más frecuencia y
y especiales constan de un conjunto de permisos especiales. Los permisos especiales ofrecen
un mayor grado de control para el tipo de acceso a los objetos que se puede
conceder. La tabla siguiente indica algunos de los permisos estándar.
Permiso Permite al usuario:
Control total Cambiar los permisos, tomar posesión y realizar las

tareas que permiten todos los demás permisos estándar.
Escribir Cambiar los atributos del objeto.
Leer Ver los objetos, atributos de objeto, el propietario del
objeto y los permisos de Active Directory.
Crear todos los objetos Agregar cualquier tipo de objeto a una unidad
secundarios organizativa.
Eliminar todos los objetos Quitar cualquier tipo de objeto secundario de una unidad
secundarios organizativa.
Acceso autorizado Para que los usuarios puedan tener acceso a un objeto, un administrador o el
por los permisos propietario del objeto deben conceder permisos sobre el mismo. Para cada objeto
de Active Directory, la familia de sistemas operativos Windows 2003 Server
almacena una lista de permisos de acceso de los usuarios denominada lista de
control de acceso discrecional (DACL, Discretionary Access Control List).
La DACL de un objeto muestra quién puede tener acceso al objeto y las acciones
específicas que cada usuario puede realizar con el objeto.
Lecturas adicionales Para obtener más información acerca de los permisos en Active Directory,
consulte el artículo “Best practices for assigning permissions on Active
Directory objects” (en inglés) en
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp.
Características de los permisos de objeto de Active Directory
Introducción Aunque los permisos NTFS y los permisos de objeto de Active Directory son
similares, existen ciertas características específicas de los segundos. Los permisos
de objeto de Active Directory pueden concederse o denegarse, denegarse
implícita o explícitamente, establecerse como permisos estándar o especiales,
y establecerse en el nivel de objeto o heredarse desde el objeto principal.
Conceder y denegar Puede conceder o denegar permisos. Los permisos denegados tienen prioridad
permisos sobre cualquier otro permiso que se conceda de otra forma a los grupos y las
cuentas de usuario. Sólo deben denegarse permisos cuando sea necesario quitar
un permiso concedido a un usuario a través de su pertenencia a un grupo.
Permisos implícitos Los permisos pueden denegarse de forma implícita o explícita como sigue:
o explícitos
Cuando los permisos para realizar una operación no se conceden
explícitamente, entonces se deniegan implícitamente.
Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto
usuario y no hay ningún otro principal de seguridad en la lista DACL de ese
objeto, se deniega implícitamente el acceso a los usuarios que no sean
integrantes del grupo Marketing. El sistema operativo no permite leer las
propiedades del objeto usuario a los usuarios que no sean integrantes del
grupo Marketing.
Un permiso se deniega explícitamente cuando se desea impedir que un
subconjunto de un grupo mayor realice una tarea para la que el resto del
grupo tiene permiso.
Por ejemplo, puede ser necesario impedir que un usuario denominado Don
vea las propiedades de un objeto usuario. Sin embargo, Don es integrante
del grupo Marketing, que tiene permisos para ver las propiedades del objeto
usuario. Para evitar que Don pueda ver las propiedades del objeto usuario,
puede denegarle explícitamente el permiso Leer.
Permisos estándar La mayoría de las tareas con objetos de Active Directory pueden configurarse a
y especiales través de los permisos estándar. Estos permisos son los de uso más habitual; sin
embargo, si es necesario conceder permisos más detallados, puede utilizar
permisos especiales.
Permisos heredados Cuando se establecen permisos en un objeto principal, los nuevos objetos
heredan sus permisos. Es posible quitar los permisos heredados, pero también
pueden volver a habilitarse si se desea.
Herencia de permisos
¿Qué es la herencia Un objeto principal es cualquier objeto que tenga una relación con otro objeto
de permisos? denominado secundario. El objeto secundario hereda los permisos del objeto
principal. La herencia de permisos de Active Directory reduce al mínimo el
número de veces que se necesita conceder permisos para los objetos.
Ventajas La herencia de permisos en Windows Server 2003 simplifica la tarea de
administrar los permisos en los aspectos siguientes:
No es necesario aplicar permisos manualmente a los objetos secundarios en
el momento de crearlos.
Los permisos aplicados a un objeto principal se aplican de forma coherente
a todos los objetos secundarios.
Cuando se deben modificar los permisos de todos los objetos de un
contenedor, sólo es necesario modificar los del objeto principal. Los objetos
secundarios heredan los cambios automáticamente.
Efectos de modificar los objetos en la herencia de permisos
Introducción La modificación de los objetos de Active Directory afecta a la herencia de

permisos. Como administrador de sistemas, se le pedirá que mueva objetos
de una unidad organizativa a otra en Active Directory cuando las funciones
organizativas o administrativas cambien. Al hacerlo, los permisos heredados
también cambian. Es esencial que tenga presente estas consecuencias antes de
modificar los objetos de Active Directory.
Efectos de mover Cuando se mueven objetos entre unidades organizativas, se aplican las
objetos condiciones siguientes:
Los permisos establecidos explícitamente se mantienen.
Los objetos heredan los permisos de la unidad organizativa a la que se les
mueve.
Los objetos dejan de heredar los permisos de la unidad organizativa de la
que provienen.
Nota Cuando se modifican objetos de Active Directory, es posible mover

múltiples objetos al mismo tiempo.
Impedir la herencia Es posible impedir la herencia de permisos de forma que un objeto secundario
de permisos no herede los permisos de su objeto primario. Cuando se impide la herencia,
sólo se aplican los permisos establecidos explícitamente.
Cuando se impide la herencia de permisos, la familia de sistemas operativos
Windows Server 2003 permite:
Copiar los permisos heredados al objeto. Los nuevos permisos se convierten
en permisos explícitos para el objeto. Se trata de una copia de los permisos
que el objeto heredó previamente de su objeto principal. Después de copiar
los permisos heredados, puede hacer en ellos los cambios necesarios.
Quitar los permisos heredados del objeto. Al quitar estos permisos, se
eliminan todos los permisos del objeto. Después puede conceder cualquier
permiso nuevo que desee para el objeto.
Cómo modificar los permisos de objetos de Active Directory
Introducción Para determinar si un usuario está autorizado a utilizar un objeto,

Windows Server 2003 comprueba los permisos concedidos al usuario para ese
objeto, que se encuentran en la DACL. Cuando se conceden o deniegan
permisos para un objeto, esta configuración prevalece sobre los permisos
heredados de un objeto principal.
Procedimiento para Para agregar permisos sobre un objeto:
agregar permisos
1. Si la opción Características avanzadas no está activada, en Usuarios y
equipos de Active Directory, en el menú Ver, haga clic en Características
avanzadas.
2. En el árbol de la consola, haga clic con el botón secundario del mouse en el
objeto y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic en
Agregar.
4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba los nombres de objeto que desea seleccionar, escriba el
nombre del usuario o grupo al que desea conceder los permisos y, a
continuación, haga clic en Aceptar.
Procedimiento para Para modificar un permiso existente:

modificar permisos
1. Si la opción Características avanzadas no está activada, en Usuarios y
equipos de Active Directory, en el menú Ver, haga clic en Características
avanzadas.
2. En el árbol de la consola, haga clic con el botón secundario del mouse en el
objeto y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, en el área de
permisos, active la casilla de verificación Permitir o Denegar para cada
permiso que desee conceder o denegar.
Procedimiento para ver Los permisos estándar son suficientes para la mayoría de las tareas
permisos especiales administrativas. Sin embargo, quizás necesite ver los permisos especiales
que constituyen un permiso estándar.
Para ver permisos especiales:
2. Abra el cuadro de diálogo Propiedades correspondiente al objeto que
desea ver.
3. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
4. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha
Permisos, haga clic en la entrada que desee ver y, después, haga clic en
Modificar.
5. Para ver los permisos de atributos específicos, en el cuadro de diálogo
Entrada de permiso, haga clic en la ficha Propiedades.
Procedimiento para Para modificar la herencia de permisos:

modificar la herencia
de permisos 1. Abra Usuarios y equipos de Active Directory.
2. Abra el cuadro de diálogo Propiedades correspondiente al objeto que desea
modificar.
3. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
4. En el cuadro de diálogo Configuración de seguridad avanzada para
Objeto, en la ficha Permisos, haga clic en la entrada que desee ver y,
después, haga clic en Modificar.
5. En el cuadro de diálogo Entrada de permiso para Objeto, en la ficha
Objeto, en el cuadro Aplicar en, seleccione la opción que desee y los
permisos adecuados y, a continuación, haga clic en Aceptar.
6. En el cuadro de diálogo Configuración de seguridad avanzada para
Objeto, active la casilla de verificación Permitir que los permisos
heredables del primario se propaguen a este objeto y a todos los objetos
secundarios. Incluirlos junto con las entradas indicadas aquí de forma
explícita para permitir la herencia. Desactive esta casilla de verificación a
fin de impedir la herencia de permisos para este objeto.
Permisos efectivos de objetos de Active Directory
Introducción La herramienta Permisos efectivos permite determinar cuáles son los permisos
de un objeto de Active Directory. Esta herramienta calcula los permisos
asignados al usuario o grupo especificado y tiene en cuenta los permisos activos
derivados de la pertenencia a grupos y los heredados de objetos principales.
Características de los Los permisos efectivos de los objetos de Active Directory tienen las
permisos efectivos características siguientes:
Los permisos acumulados son la combinación de los permisos de Active
Directory concedidos a las cuentas de usuario y de grupo.
La denegación de permisos prevalece sobre todos los permisos heredados.
Los permisos asignados explícitamente tienen prioridad.
Todos los objetos tienen un propietario, tanto si se encuentran en un
volumen NTFS como en Active Directory. El propietario controla los
permisos establecidos en un objeto y a quién se conceden.
De forma predeterminada, en Windows Server 2003 el propietario es el
grupo Administradores. El propietario siempre puede cambiar los permisos
de un objeto aunque se le deniegue todo acceso al mismo.
El propietario actual puede conceder el permiso Tomar posesión a otro
usuario, lo que permite a éste tomar posesión del objeto en cualquier
momento. El usuario debe tomar posesión del objeto para completar la
transferencia de la posesión.
Recuperar los permisos Para recuperar información acerca de los permisos efectivos en Active
efectivos Directory, es necesario tener el permiso de leer la información de pertenencia.
Si el usuario o grupo especificado es un objeto de dominio, es necesario el
permiso de leer la información de pertenencia del objeto en su dominio.
Los usuarios siguientes tienen los permisos de dominio correspondientes
de forma predeterminada:
Los administradores del dominio tienen permiso para leer la información
de pertenencia de todos los objetos.
Los administradores locales de una estación de trabajo o servidor
independiente no pueden leer la información de pertenencia de un
usuario de dominio.
Los usuarios autenticados del dominio pueden leer la información de
pertenencia sólo cuando el dominio se encuentra en modo de compatibilidad
anterior a Windows 2000.
Cómo determinar los permisos efectivos de objetos de Active

Directory
Introducción El procedimiento siguiente permite ver el registro de permisos efectivos de los

objetos de Active Directory.
Procedimiento Para ver el registro de permisos efectivos:
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, busque
la unidad organizativa o el objeto cuyos permisos efectivos desea ver.
2. Haga clic con el botón secundario del mouse en la unidad organizativa u
objeto y, después, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic en
Opciones avanzadas.
4. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha
Permisos efectivos, haga clic en Seleccionar.
5. En el cuadro de diálogo Seleccionar Usuario, Equipo o Grupo, en el
cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre de
un usuario o grupo y, a continuación, haga clic en Aceptar.
Las casillas de verificación activadas indican los permisos efectivos del
usuario o grupo para el objeto.
Lecturas adicionales Para obtener más información acerca de los permisos efectivos, consulte el
artículo “Effective Permissions tool” (en inglés) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/acl_effective_perm.asp.
Ejercicio: Modificar los permisos de objetos de Active Directory
Objetivo En este ejercicio, se ocupará de:

Quitar los permisos heredados de su unidad organizativa ciudad.
Documentar los cambios de seguridad realizados en su unidad
organizativa ciudad.
Situación de ejemplo El ingeniero de sistemas de Northwind Traders ha delegado el control
administrativo a los administradores de cada ubicación NombreDeEquipo. Usted
debe determinar qué permisos hereda su unidad organizativa NombreDeEquipo y,
a continuación, quitar todos los permisos heredados. Documente los resultados de
cada paso efectuado para quitar los permisos heredados.
Ejercicio Documente la seguridad de su unidad organizativa ciudad

1. Utilice la información siguiente para abrir CustomMMC:
• Usuario: NombreDeEquipoAdmin
2. Muestre las cuentas de usuario y de grupo incluidas en la unidad
organizativa Locations/NombreDeEquipo. Documente los nombres de
usuario o grupo que tienen permisos heredados o explícitos en la tabla
siguiente. Escriba S (Sí) en la columna Heredados o Explícitos para cada
elemento de la columna Nombres de usuario o de grupo.
Los permisos explícitos tienen activada una casilla de verificación en la
columna Permitir o Denegar. Los permisos no modificables y los heredados
tienen la casilla de verificación atenuada y no es posible cambiarla.
Nombres de usuario o de grupo Heredado Explícito
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organización
ENTERPRISE DOMAIN
CONTROLLERS
Acceso compatible con versiones
anteriores a Windows 2000
Operadores de impresora
Sistema
Quite los permisos heredados

1. Unidad organizativa: Locations/NombreDeEquipo
2. Desactive la casilla de verificación Permitir que los permisos heredables
del primario se propaguen a este objeto y a todos los objetos secundarios.
Incluirlos junto con las entradas indicadas aquí de forma explícita.
3. Quite las entradas de permiso aplicadas anteriormente desde el objeto
principal y mantenga sólo los permisos definidos aquí explícitamente.
Documente los cambios de la seguridad de su unidad organizativa

ciudad
• Muestre las cuentas de usuario y de grupo de la unidad organizativa
Locations/NombreDeEquipo. Documente los nombres de usuario o grupo
que tienen permisos heredados o explícitos en la tabla siguiente. Escriba S
(Sí) en la columna Heredados o Explícitos para cada elemento de la
columna Nombres de usuario o de grupo.
Los permisos heredados tienen activada una casilla de verificación en la
columna Permitir o Denegar. Los permisos no modificables y los permisos
explícitos tienen la casilla de verificación atenuada y no es posible cambiarla.
Nombres de usuario o de grupo Heredado Explícito
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organización
ENTERPRISE DOMAIN CONTROLLERS
Acceso compatible con versiones anteriores
a Windows 2000
Operadores de impresora
Sistema
Lección: Delegar el control de los objetos de Active

Directory para lograr una administración segura y
descentralizada
Introducción En esta lección se explican los motivos para delegar el control de una unidad
organizativa y cómo se asigna un administrador a un grupo.
Explicar el significado de la delegación del control de una unidad organizativa.
Describir la finalidad y la función del Asistente para delegación del control.
Delegar el control de una unidad organizativa mediante el Asistente para
delegación de control.
Explicar por qué se asigna un administrador a un grupo.
Asignar un administrador a un grupo.
Delegación del control de una unidad organizativa
Definición La delegación del control es la capacidad de asignar la responsabilidad de

administrar objetos de Active Directory a otro usuario, grupo u organización.
Con la delegación del control puede eliminarse la necesidad de mantener
múltiples cuentas administrativas con amplia autoridad.
Es posible delegar los tipos de control siguientes:
Permisos para crear o modificar objetos de una unidad organizativa específica.
Permisos para modificar atributos específicos de un objeto, como conceder
el permiso para restablecer contraseñas en una cuenta de usuario.
Motivos para delegar el La delegación del control de objetos de Active Directory simplifica el trabajo
control administrativo administrativo de la red gracias a la distribución de las tareas administrativas
rutinarias entre múltiples usuarios. Con la administración delegada, es posible
asignar tareas administrativas básicas a usuarios o grupos normales, y asignar
tareas administrativas que afecten a todo el dominio o a todo el bosque a
usuarios de confianza de los grupos Administradores del dominio y
Administradores de organización.
La delegación de la administración ofrece a los grupos de la organización un
mayor control sobre sus recursos de red locales. También ayuda a proteger la
red frente a daños accidentales o provocados al limitar la pertenencia a grupos
de administradores.
Formas de definir la La delegación del control administrativo se define de las siguientes tres formas:
delegación del control
administrativo Cambiar las propiedades de un contenedor particular.
Crear y eliminar objetos de un tipo determinado bajo una unidad
organizativa, como usuarios, grupos o impresoras.
Actualizar propiedades específicas en objetos de un tipo específico dentro
de una unidad organizativa. Por ejemplo, puede delegar el permiso para
establecer una contraseña en un objeto usuario o en todos los objetos de una
unidad organizativa.
Asistente para delegación de control
Introducción El Asistente para delegación de control permite seleccionar el usuario o grupo

en el que se desea delegar el control. Este asistente también puede utilizarse
para conceder a los usuarios permisos para controlar unidades organizativas y
objetos, y para tener acceso a objetos y modificarlos.
Delegación de permisos Puede utilizar el Asistente para delegación de control con el fin de conceder
permisos en el nivel de unidad organizativa. Los permisos adicionales
específicos se conceden manualmente en el nivel de objeto.
En Usuarios y equipos de Active Directory, haga clic con el botón secundario
del mouse en las unidades organizativas para las que desea delegar el control y,
después, haga clic en Delegar control para iniciar el asistente. También puede
seleccionar la unidad organizativa y, a continuación, hacer clic en Delegar
control en el menú Acción.
Opciones En la tabla siguiente se describen las opciones del Asistente para delegación de
control.
Opción Descripción
Usuarios o grupos Las cuentas de usuario o los grupos en los que desea
delegar el control.
Tareas para delegar Una lista de las tareas comunes o la opción para
personalizar una tarea. Si selecciona una tarea común, el
asistente resume las selecciones que ha realizado para
completar el proceso de delegación. Cuando selecciona
personalizar una tarea, el asistente muestra los tipos de
objetos y permisos de Active Directory que puede elegir.
Tipo de objeto de Active Todos los objetos o sólo los tipos de objeto específicos
Directory de la unidad organizativa indicada.
Permisos Los permisos que se van a conceder para el objeto u
objetos.
Nota El Asistente para delegación de control puede anexar permisos a una

unidad organizativa si se ejecuta más de una vez. Sin embargo, los permisos
delegados deben quitarse manualmente.
Cómo delegar el control de una unidad organizativa
Introducción Para conceder permisos en el nivel de unidad organizativa, utilice el Asistente

para delegación de control. Puede conceder permisos para administrar objetos
o para administrar atributos específicos de los objetos. El Asistente para
delegación de control es el método más aconsejable para delegar el control,
ya que reduce la posibilidad de que se produzcan efectos no deseados en la
asignación de permisos.
Procedimiento para Para delegar el control administrativo de tareas comunes:
delegar el control de
tareas comunes 1. Inicie el Asistente para delegación de control siguiendo estos pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la que desee delegar el control.
b. En el menú Acción, haga clic en Delegar control.
2. En el Asistente para delegación de control, en la página inicial, haga clic
en Siguiente.
3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee
conceder permisos y, a continuación, haga clic en Siguiente. Si no aparece
ningún usuario o grupo que seleccionar, siga estos pasos:
a. Haga clic en Agregar.
b. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba los nombres de objeto que desea seleccionar, escriba el
nombre de un usuario o grupo, y después, haga clic en Aceptar.
4. En la página Tareas que se delegarán, especifique una o más de las tareas

siguientes:
• Crear, eliminar y administrar cuentas de usuario.
• Restablecer contraseñas de usuario y forzar el cambio de contraseña en
el siguiente inicio de sesión
• Leer toda la información de usuario
• Crear, eliminar y administrar grupos
• Modificar la pertenencia de un grupo
• Administrar los vínculos de directiva de grupo
• Generar conjunto resultante de directivas (planeación)
• Generar conjunto resultante de directivas (registro)
• Crear, eliminar y administrar cuentas de inetOrgPerson
• Restablecer contraseñas de inetOrgPerson y forzar el cambio de
contraseña en el siguiente inicio de sesión
• Leer toda la información de inetOrgPerson
Nota Para delegar una tarea personalizada en usuarios o grupos, haga clic
en Crear una tarea personalizada para delegar.

6. En la página Finalización del Asistente para delegación de control, haga
clic en Finalizar.
Procedimiento para Para delegar el control administrativo de una tarea personalizada:

delegar el control de una
tarea personalizada 1. Inicie el Asistente para delegación de control siguiendo estos pasos:
a. En Usuarios y equipos de Active Directory, haga clic en la unidad
organizativa en la que desee delegar el control.
b. En el menú Acción, haga clic en Delegar control.
2. En el Asistente para delegación de control, en la página inicial, haga clic
en Siguiente.
3. En la página Usuarios o grupos, seleccione el usuario o grupo al que
desee conceder permisos y, a continuación, haga clic en Siguiente.
4. En la página Tareas que se delegarán, haga clic en Crear una tarea
personalizada para delegar y, a continuación, en Siguiente.
5. En la página Tipo de objeto de Active Directory, haga clic en Siguiente.
6. En la página Permisos, especifique los permisos que desea conceder a la

unidad organizativa o a sus objetos.
Puede seleccionar los tipos de permisos siguientes:
• General. Muestra los permisos de uso más común que están disponibles
para la unidad organizativa seleccionada o para los objetos de esa unidad
organizativa.
• Específico de la propiedad. Muestra todos los permisos de atributo
aplicables al tipo de objeto.
• Creación o eliminación de objetos secundarios específicos. Muestra
los permisos necesarios para crear objetos nuevos en la unidad
organizativa.
8. En la página Finalización del Asistente para delegación de control, haga
clic en Finalizar.
Ejercicio: Delegar el control de una unidad organizativa

Delegar el control de la unidad organizativa Computers.
Probar los permisos delegados para la unidad organizativa Computers.
Delegar el control de la unidad organizativa Users.
Probar los permisos delegados para la unidad organizativa Users.
Instrucciones Antes de comenzar este ejercicio:

Inicie una sesión en el dominio con la cuenta NombreDeEquipoUser.
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreDeEquipoAdmin
(por ejemplo: LondonAdmin).
Situación de ejemplo Con el fin de distribuir la carga de trabajo entre los administradores, Northwind
Traders desea que puedan realizar tareas específicas en las unidades
organizativas que tengan designadas. Las tareas siguientes deben delegarse en
las unidades organizativas indicadas:
Unidad organizativa: Locations/NombreDeEquipo/Computers
Tarea: Crear y eliminar cuentas de equipo en la unidad organizativa
Unidad organizativa: Locations/NombreDeEquipo/Users
Tarea: Restablecer contraseñas de usuario y forzar el cambio de contraseña
en el siguiente inicio de sesión
Tarea: Leer toda la información de usuario
Ejercicio Delegue el control de la unidad organizativa Computers

1. Delegue el control de la unidad organizativa
Locations/NombreDeEquipo/Computers.
2. Delegue el control en el usuario NombreDeEquipoUser
(donde NombreDeEquipo es el nombre de su equipo).
3. Delegue las tareas personalizadas siguientes:
• Objetos equipo
• Crear los objetos seleccionados en esta carpeta
• Eliminar los objetos seleccionados en esta carpeta
4. Delegue los permisos generales siguientes:
• Leer
• Escribir
Pruebe los permisos de la unidad organizativa Computers mediante la

cuenta NombreDeEquipoUser
1. Abra CustomMMC con la cuenta NombreDeEquipoUser.
2. Utilice la información siguiente para crear una cuenta de equipo:
• Ubicación: Locations/NombreDeEquipo/Computers
• Nombre de cuenta de equipo: Primeras tres letras de la ciudad y Test
(por ejemplo: LonTest)
Debería poder crear una cuenta de equipo en la unidad organizativa
Locations/NombreDeEquipo/Computers.
Delegue el control de la unidad organizativa Users

1. Abra CustomMMC con la cuenta NombreDeEquipoAdmin.
2. Delegue el control de la unidad organizativa
Locations/NombreDeEquipo/Users.
3. Delegue el control en el usuario NombreDeEquipoUser.
4. Delegue las tareas comunes siguientes:
• Restablecer contraseñas de usuario y forzar el cambio de contraseña en
el siguiente inicio de sesión
• Leer toda la información de usuario
Pruebe los permisos para la unidad organizativa Users

1. Abra CustomMMC con la cuenta NombreDeEquipoUser.
2. Haga lo siguiente en la unidad organizativa:
Locations/NombreDeEquipo/Users:
a. Intente eliminar una cuenta de usuario.
No debe poder hacerlo.
b. Intente habilitar o deshabilitar alguna cuenta de usuario.
No debe poder hacerlo.
c. Restablezca la contraseña de algún usuario.
Debería poder restablecer la contraseña de cualquier cuenta de usuario
en la unidad organizativa Locations/NombreDeEquipo/Users.
¿Por qué asignar un administrador a un grupo?
Ventajas de asignar En Windows Server 2003, Active Directory permite asignar un administrador a
un administrador a un grupo como propiedad del grupo. Esto permite:
un grupo
Determinar quién es el responsable de cada grupo.
Delegar en el administrador del grupo la autoridad para agregar y quitar
usuarios del grupo.
Debido a que en las grandes organizaciones se agregan y quitan usuarios de

grupos con mucha frecuencia, algunas optan por distribuir la responsabilidad
administrativa de agregar usuarios a los grupos a quienes solicitan el grupo.
Si se establece quién es el administrador del grupo, la información de contacto
de esa cuenta de usuario queda registrada. Si en alguna ocasión es necesario
migrar el grupo a otro dominio o eliminarlo, el administrador de la red tendrá
un registro de quién es el propietario del grupo y su información de contacto.
De este modo, el administrador de la red podrá llamar o enviar un mensaje de
correo electrónico al administrador del grupo para notificarle el cambio que
debe realizar.
Cómo asignar un administrador a un grupo
Introducción Para asignar un administrador a un grupo, utilice el procedimiento siguiente.

Procedimiento Para asignar un administrador a un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de la consola,
haga doble clic en el grupo que precisa un administrador.
2. En el cuadro de diálogo Propiedades, en la ficha Administrado por,
haga clic en Cambiar para agregar un administrador al grupo o cambiar
el administrador existente.
3. En el cuadro de diálogo Seleccionar usuario o contacto, en el cuadro
Escriba el nombre de objeto que desea seleccionar, escriba el nombre
del usuario que vaya a administrar el grupo y, a continuación, haga clic
en Aceptar.
4. Active la casilla de verificación El administrador puede actualizar la lista
de suscripciones si desea que el administrador pueda agregar y quitar
usuarios y grupos.
5. En el cuadro de diálogo Propiedades, haga clic en Aceptar.
Ejercicio: Asignar un administrador a un grupo

Crear un grupo global.
Asignar al grupo un administrador que pueda modificar la pertenencia
al grupo.
Probar las propiedades del administrador del grupo.

Situación de ejemplo Se le ha pedido que cree para el departamento de ventas un grupo denominado
G NombreDeEquipo Sales Strategy. El propietario del grupo será el jefe de
ventas de su unidad organizativa ciudad.
Ejercicio
Cree un grupo global en su unidad organizativa ciudad
• Dominio: déjelo en blanco
2. Cree un grupo global en la unidad organizativa
Locations/NombreDeEquipo.
3. Cree el grupo global G NombreDeEquipo Sales Strategy.
Compruebe que no puede agregar integrantes al grupo

G NombreDeEquipo Sales Strategy para probar las propiedades
del administrador del grupo
a. Usuario: NombreDeEquipoUser
b. Contraseña: P@ssw0rd
c. Dominio: déjelo en blanco
2. Abra CustomMMC e intente agregar un usuario a G NombreDeEquipo
Sales Strategy.
No debe poder agregar ningún usuario a este grupo.
Haga que NombreDeEquipo sea el administrador de

G NombreDeEquipo Sales Strategy
2. Cambie el administrador del grupo G NombreDeEquipo Sales Strategy en
la unidad organizativa Locations/NombreDeEquipo.
3. Agregue la cuenta NombreDeEquipoUser.
4. Active la casilla de verificación El administrador puede actualizar la lista
de suscripciones.
Pruebe las propiedades del administrador del grupo

• Usuario: NombreDeEquipoUser
2. En la unidad organizativa Locations/NombreDeEquipo, en el grupo
G NombreDeEquipo Sales Strategy, agregue el usuario User0001.
Lección: Mover objetos de Active Directory
Introducción Esta lección presenta los conocimientos necesarios para mover objetos
de dominio.
Enumerar las razones para mover un objeto de dominio de Active Directory.
Mover un objeto de dominio de Active Directory.
¿Cuándo es conveniente mover un objeto de Active Directory?
Introducción Una parte del trabajo del administrador de sistemas es mantener la estructura
de Active Directory cuando cambian las necesidades del negocio.
Razones para mover La necesidad de mover objetos de Active Directory suele ser la consecuencia
elementos de de un cambio en las necesidades de negocio. Por ejemplo, puede ser necesario
Active Directory mover objetos como respuesta a las situaciones siguientes:
Cambio en la estructura del personal de una unidad de negocio, por ejemplo
cuando un empleado pasa de un departamento a otro.
Separación o fusión de una unidad de negocio con otra.
Traslado de una unidad de negocio de una ubicación física a otra.
Cambio de la ubicación de una unidad de negocio.
Algunos recursos, tales como servidores o impresoras, se redistribuyen entre
las unidades de negocio.
Elementos de Los elementos siguientes pueden moverse dentro de la estructura de

Active Directory que Active Directory:
pueden moverse
Cuenta de usuario
Cuenta de contacto
Grupo
Carpeta compartida
Impresora
Equipo
Controlador de dominio
Unidad organizativa
Cómo mover un objeto de Active Directory
Introducción Para mover objetos de dominio puede utilizar la opción de menú

correspondiente o puede arrastrarlos de una unidad organizativa a otra.
Procedimiento Para mover un objeto de dominio:
1. En Usuarios y equipos de Active Directory, haga clic con el botón
secundario del mouse en el objeto que desea mover y, a continuación,
haga clic en Mover.
También puede arrastrar el objeto hasta su nueva ubicación.
2. En el cuadro de diálogo Mover, busque el contenedor al que desea mover
el objeto y, a continuación, haga clic en Aceptar.
Ejercicio: Mover objetos de Active Directory
Objetivo En este ejercicio moverá objetos de Active Directory de una unidad

organizativa a otra.
Situación de ejemplo Los ingenieros de sistemas están probando la funcionalidad de informes

avanzada de Active Directory. Le han pedido que cree algunos objetos de
dominio y que los mueva de la unidad organizativa IT Test a una unidad
organizativa denominada IT Test Move.
Ejercicio
Cree y mueva unidades organizativas
1. Cree las unidades organizativas siguientes en la unidad organizativa IT Test:
• OUNombreDeEquipo1
• OUNombreDeEquipo2
2. Muévalas a la unidad organizativa IT Test Move.
Práctica A: Administrar el acceso a los objetos de

unidades organizativas
Objetivos Al terminar esta práctica, podrá administrar el acceso a los objetos de las
unidades organizativas.
Instrucciones Antes de comenzar esta práctica:
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
Tiempo previsto para

completar esta práctica:
30 minutos
Ejercicio 1
Delegación del control administrativo
En este ejercicio delegará el control administrativo de los objetos de una unidad organizativa.
Situación de ejemplo
Northwind Traders desea que todo el personal de tecnología de la información pueda crear, eliminar
y modificar grupos en todas las unidades organizativas ciudad. Usted debe delegar la autoridad en
su unidad organizativa NombreDeEquipo de modo que un grupo global denominado G NWTraders
IT Personnel tenga permisos para crear, eliminar y administrar grupos y modificar la pertenencia a
los mismos.
Tareas Instrucciones específicas
1. Delegue el control de la Unidad organizativa:

unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/Groups
NombreDeEquipo/Groups. Usuarios o grupos: G NWTraders IT Personnel
Tareas para delegar:
• Crear, eliminar y administrar grupos
• Modificar la pertenencia de un grupo
Ejercicio 2
Documentación de la seguridad de un objeto de Active Directory
En este ejercicio documentará la configuración de seguridad del objeto creado en la unidad
organizativa delegada.
Situación de ejemplo
Acaba de crear varios grupos en una unidad organizativa delegada y se le ha pedido que documente
los permisos que ha heredado cada uno de ellos. Escriba en la tabla siguiente la información
necesaria para documentar los permisos del grupo.
Tareas Instrucciones específicas
2. Documente los permisos Documente los permisos especiales para el grupo G NWTraders IT
especiales de un grupo Personnel.
creado en una unidad __________________________________
organizativa delegada.

Creacion y Admin Is Trac Ion de Objetos de Active Directory

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Creacion y Admin Is Trac Ion de Objetos de Active Directory

Uploaded by

Copyright:

Available Formats

Creación y administración

Introducción Este módulo contiene la información que precisa un administrador de sistemas

Lección: Creación de unidades organizativas, cuentas de

Modelos jerárquicos de unidad organizativa

Introducción Como administrador de sistemas, no es su función elegir el diseño estructural

Esta estructura sólo es adecuada en organizaciones pequeñas porque los

Jerarquía basada en La jerarquía basada en la organización considera los departamentos o divisiones

Jerarquía híbrida Una jerarquía basada primero en la ubicación y después en la organización, o en

Nombres asociados a las unidades organizativas

Introducción Las referencias a objetos específicos de Active Directory pueden hacerse

Cómo crear una unidad organizativa

Introducción Con la creación de unidades organizativas puede representar una jerarquía o

El siguiente es un ejemplo de un comando dsadd ou:

Cómo crear una cuenta de usuario

Importante No es posible crear cuentas de usuario locales en un controlador

Procedimiento para Para crear una cuenta de usuario de dominio:

10. En los cuadros Contraseña y Confirmar contraseña, escriba la contraseña

Procedimiento para Para crear una cuenta de usuario local:

Nota Un nombre de usuario no puede ser idéntico al de ningún otro usuario o

El siguiente es un ejemplo de un comando dsadd user:

Cómo y dónde crear cuentas de equipo en un dominio

Opciones de cuenta de equipo

Introducción En Microsoft® Windows Server™ 2003 existen dos características opcionales

Cómo crear una cuenta de equipo

Introducción De forma predeterminada, los integrantes del grupo Operadores de cuentas

Nota Si desea consultar la sintaxis completa del comando dsadd computer,

El siguiente es un ejemplo de un comando dsadd computer:

Ejercicio: Creación de unidades organizativas, cuentas de usuario y

Objetivos Después de finalizar este ejercicio, podrá:

Ejercicio: Creación de Cree las unidades organizativas Computers, Laptodps y Desktops

Modifique las cuentas de usuario

Apellido, Nombre Ciudad

Brown, Robert Acapulco

Conroy, Stephanie Khartoum

Mueva las cuentas de equipo a otra unidad organizativa

Lección: Creación y modificación de grupos

¿Qué son los grupos?

Definición Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Los

Un grupo de seguridad o de distribución puede tener uno de tres ámbitos

Global Usuarios, grupos y equipos del Un grupo de seguridad global

Presentación multimedia: Servidor de catálogo global

Grupos y niveles funcionales de dominio

Introducción El sistema operativo de los controladores de dominio determina el nivel

De forma predeterminada, los dominios aplican el nivel de funcionalidad

Windows 2000 nativo Sí

Nota Windows Server 2003 versión provisional sólo se utiliza para

Después de elevar el nivel funcional de un dominio, no es posible agregar

Precaución El cambio del nivel funcional de dominio es irreversible. Una vez

Cómo decidir el tipo y el ámbito de un grupo

Nota Es importante distinguir entre un grupo de dominio local y un grupo

Cómo crear un grupo

Introducción En la mayoría de los entornos corporativos, los grupos se crean en dominios.

Importante Si el dominio en el que crea el grupo tiene establecido el nivel

Procedimiento para Para crear un grupo local en un servidor integrante:

NCDeGrupo Especifica el nombre completo del objeto grupo que se desea

Procedimiento para Para eliminar un grupo:

Utilizar una línea Para eliminar un grupo con el comando dsrm:

NCDeGrupo Especifica el nombre completo del objeto grupo que se desea

Nota Para ver la sintaxis completa de este comando, escriba dsrm /? en el

Cambiar el ámbito y el tipo de un grupo

Nota No es posible cambiar directamente el ámbito de un grupo de global a

 De dominio local a universal. Este cambio sólo se permite si el grupo que se

Nota Aunque es posible agregar contactos a los grupos de seguridad y a los

De dominio local a universal. Este cambio sólo se permite si el grupo que se