Professional Documents
Culture Documents
de objetos de Active
Directory
Contenido
Introducción 2
Lección: Creación de unidades organizativas, cuentas de usuario y cuentas de equipo 3
Lección: Creación y modificación de grupos 21
Lección: Estrategias para el uso de grupos 38
Lección: Uso de permisos para controlar el acceso a los objetos de Active Directory 48
Lección: Delegar el control de los objetos de Active Directory para lograr una administración
segura y descentralizada 65
Lección: Mover objetos de Active Directory 79
Práctica A: Administrar el acceso a los objetos de unidades organizativas 83
2 Creación y administración de objetos de Active Directory
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Esta lección proporciona los conocimientos y la práctica necesarios para crear
unidades organizativas, cuentas de usuario y cuentas de equipo.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar los cuatro modelos jerárquicos de unidad organizativa.
Explicar los nombres asociados a las unidades organizativas.
Crear una unidad organizativa.
Crear una cuenta de usuario.
Explicar cómo y dónde se crean las cuentas de equipo en un dominio.
Explicar las dos opciones de cuenta de equipo.
Crear una cuenta de equipo.
4 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Administradores de dominio o Administradores de organización en
Active Directory, o tener delegada la autoridad correspondiente. Como
recomendación de seguridad, considere la posibilidad de utilizar Ejecutar
como para realizar este procedimiento.
8 Creación y administración de objetos de Active Directory
Utilizar una línea Para crear una unidad organizativa con el comando dsadd:
de comandos
1. Abra un símbolo del sistema.
2. Escriba dsadd ou NombreDeDominioDeUnidadOrganizativa
[-desc Descripción] [{-s Servidor | -d Dominio}] [-u NombreDeUsuario]
[-p {Contraseña | *}] [-q] [{-uc | -uco | -uci}]
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesión en
un dominio y tener acceso a recursos de cualquier lugar de la red, mientras que
las cuentas locales de usuario permiten a los usuarios iniciar sesiones y tener
acceso únicamente a los recursos del equipo en el que se ha creado la cuenta de
usuario local. Como administrador de sistemas, debe crear cuentas de usuario
locales y de dominio para administrar el entorno de red.
Utilizar una línea Otra forma de crear una cuenta de usuario de dominio es utilizar el comando
de comandos dsadd. El comando dsadd user agrega un solo usuario al directorio desde el
símbolo del sistema o desde un archivo por lotes.
Para crear una cuenta de usuario con dsadd user:
1. Abra un símbolo del sistema.
2. Escriba dsadd user NombreDeDominioDeUsuario [-samid NombreSAM]
[-upn UPN] [-fn Nombre] [-ln Apellido] [-display NombreParaMostrar]
[-pwd {Contraseña|*}] Utilice comillas (" ") si hay espacios en alguna
variable.
Nota Si desea consultar la sintaxis completa del comando dsadd user, escriba
dsadd user /? en el símbolo del sistema.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir la
unidad organizativa en la que desea crearla. Si un equipo se une a un dominio,
la cuenta de equipo se crea en el contenedor Equipos y el administrador puede
moverla a la unidad organizativa correspondiente si es necesario.
Los administradores De forma predeterminada, los usuarios de Active Directory pueden agregar
determinan la ubicación hasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta
de las cuentas de configuración predeterminada puede cambiarse. Si el administrador de sistemas
equipo agrega una cuenta de equipo directamente a Active Directory, un usuario podrá
agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipo
asignadas.
Cuentas de equipo La operación de agregar un equipo al dominio mediante una cuenta creada
ensayadas previamente anteriormente se denomina ensayo previo y significa que los equipos pueden
agregarse a cualquier unidad organizativa en la que el administrador de
sistemas tenga permiso para agregar cuentas de equipo. Normalmente, los
usuarios no tienen los permisos necesarios para el ensayo previo de una cuenta
de equipo, de modo que como alternativa pueden unir un equipo al dominio
mediante una cuenta ensayada previamente.
Los usuarios crean Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agrega
cuentas de equipo al contenedor Equipos de Active Directory. Esto tiene lugar a través de un
servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta de
sistema también registra el número de equipos que cada usuario ha agregado al
dominio. De forma predeterminada, cualquier usuario autenticado tiene permiso
para agregar estaciones de trabajo a un dominio y puede crear hasta diez
cuentas de equipo en el dominio.
Lecturas adicionales Para obtener más información acerca de cómo los usuarios pueden agregar
cuentas de equipo a un dominio, consulte el artículo de Microsoft Knowledge
Base 251335, “Los usuarios de un dominio no pueden unir la estación de
trabajo o el servidor a un dominio”, en la dirección
http://support.microsoft.com/default.aspx?scid=kb;es;251335.
12 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Operadores de cuentas, Administradores del dominio o Administradores de
organización en Active Directory o tener delegada la autoridad correspondiente.
Como recomendación de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
14 Creación y administración de objetos de Active Directory
Utilizar una línea Para crear una cuenta de equipo con el comando dsadd computer:
de comandos
1. Abra un símbolo del sistema.
2. Escriba dsadd computer NombreDeDominioDeEquipo
[-samid NombreSAM] [-desc Descripción] [-loc Ubicación] [-memberof
NombreDeDominioDeGrupo ..] [{-s Servidor | -d Dominio}] [-u
NombreDeUsuario] [-p {Contraseña | *}] [-q] [{-uc | -uco | -uci}]
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Instrucciones Debe haber iniciado sesión con una cuenta (por ejemplo,
NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar
el comando Ejecutar como con una cuenta de usuario que disponga de las
credenciales administrativas apropiadas para realizar la tarea.
Situación de ejemplo Como administrador de sistemas de Northwind Traders, se le ha asignado la
tarea de crear una jerarquía de unidad organizativa ideada por el grupo de
diseño de Northwind Traders. El diseño de la jerarquía de unidad organizativa
se basará en la ubicación y separará los equipos portátiles de los equipos de
escritorio. Usted creará una jerarquía de unidades organizativas en la unidad
organizativa de su ciudad para separar los tipos de equipos.
La siguiente es una representación gráfica de lo que debe crear en el dominio
NWTraders. Las unidades organizativas Locations y NombreDeEquipo ya han
sido creadas.
16 Creación y administración de objetos de Active Directory
Ejercicio: Utilizar una Cree una unidad organizativa con el comando dsadd
línea de comandos
• En una línea de comandos, cree una unidad organizativa denominada IT
Test/NombreDeEquipo mediante el comando dsadd.
(Ejemplo del comando dsadd: dsadd ou "ou=London,ou=IT Test,
dc=nwtraders,dc=msft")
Situación de ejemplo Se le ha suministrado una lista de usuarios deben agregarse a Active Directory.
Busque los usuarios de la lista cuya oficina está en su ciudad y agréguelos a la
unidad organizativa correspondiente de su ciudad.
Ejercicio: Crear y Cree cuentas de usuario
modificar cuentas
de usuario • En la unidad organizativa
nwtraders.msft/Locations/NombreDeEquipo/Users, cree las cuentas de
los usuarios de la tabla siguiente que correspondan a la ubicación de la
organización en su ciudad. Utilice los parámetros siguientes (donde Nombre
y Apellido son el nombre y apellido de cada uno de los usuarios):
• Nombre: Nombre
• Apellido: Apellido
• Nombre de inicio de sesión de usuario: Primeras tres letras del nombre y
primeras tres letras del apellido
• Nombre de inicio de sesión de usuario (anterior a Windows 2000):
Primeras tres letras del nombre y primeras tres letras del apellido
• Contraseña: P@ssw0rd
• Deshabilite la cuenta de usuario.
Creación y administración de objetos de Active Directory 17
(continuación)
Apellido, Nombre Ciudad
Situación de ejemplo Los ingenieros de sistemas de Northwind Traders han importado cuentas de
usuario para todo el dominio nwtraders. Usted y su grupo de administradores
de sistemas deben buscar las cuentas de usuario cuyo atributo de ubicación
corresponda con la ciudad del nombre de su equipo y moverlas a la unidad
organizativa Users situada bajo la unidad organizativa NombreDeEquipo.
Ejercicio: Buscar Busque y mueva las cuentas de usuario
cuentas de usuario
Complete esta tarea desde los equipos de ambos alumnos. Utilice la ficha
Opciones avanzadas del cuadro de diálogo Buscar.
1. Utilice la información siguiente para buscar las cuentas de usuario.
• Nombre de usuario: nwtraders\NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Punto inicial de la búsqueda: nwtraders.msft
• Buscar: Usuarios, contactos y grupos
• Campo: Ciudad
• Condición: Es (exactamente)
• Valor: NombreDeEquipo
2. Mueva las cuentas de usuario que encuentre a Nwtraders.msft/Locations/
NombreDeEquipo/Users (donde el nombre de la cuenta de equipo
corresponde a la carpeta NombreDeEquipo).
20 Creación y administración de objetos de Active Directory
Situación de ejemplo Se espera recibir cuatro nuevos equipos portátiles y cinco equipos de escritorio
en su ubicación. Un consultor que tiene una cuenta de usuario en el dominio
agregará estos equipos al dominio. Las directivas de Northwind Traders
estipulan que los administradores de la unidad organizativa ciudad deben
administrar los equipos portátiles y de escritorio.
Ejercicio: Creación de Cree cuentas de equipo
cuentas de equipo
1. Cree las cuentas de equipo siguientes para cinco equipos de escritorio en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Desktops.
Cuentas de equipo:
• NombreDeEquipo01Desk
• NombreDeEquipo02Desk
• NombreDeEquipo03Desk
• NombreDeEquipo04Desk
• NombreDeEquipo05Desk
2. Cree las cuentas de equipo siguientes para cinco equipos portátiles en la
unidad organizativa nwtraders.msft/Locations/NombreDeEquipo/
Computers/Laptops.
Cuentas de equipo:
• NombreDeEquipo01Lap
• NombreDeEquipo02Lap
• NombreDeEquipo03Lap
• NombreDeEquipo04Lap
• NombreDeEquipo05Lap
Situación de ejemplo Los ingenieros de sistemas de Northwind Traders han importado cuentas de
equipo para todo el dominio nwtraders. Usted debe buscar las cuentas de equipo
que incluyen NombreDeEquipo0 en su nombre de cuenta. A continuación debe
mover las cuentas a la carpeta Computers de la unidad organizativa
NombreDeEquipo correspondiente.
Ejercicio: Buscar Busque las cuentas de equipo
cuentas de equipo
• Busque las cuentas de equipo con los siguientes criterios:
• Punto inicial de la búsqueda: nwtraders.msft
• Buscar: Equipos
• Campo: Nombre de equipo (anterior a Windows 2000)
• Condición: Empieza con
• Valor: NombreDeEquipo0
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Esta lección proporciona los conocimientos y la práctica necesarios para crear y
modificar grupos.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar el propósito de los grupos y los tipos y ámbitos de grupo.
Explicar la función de un servidor de catálogo global.
Explicar la relación entre los grupos y los niveles funcionales de dominio.
Elegir el tipo y el ámbito de grupo adecuados.
Crear un grupo.
Explicar qué implica modificar el ámbito o el tipo de un grupo.
Modificar el ámbito o el tipo de un grupo.
22 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Grupos de distribución
Los grupos de distribución se utilizan con aplicaciones de correo
electrónico, como Microsoft Exchange, para enviar mensajes de correo
electrónico a conjuntos de usuarios. El propósito principal de este tipo de
grupo es reunir objetos relacionados, no conceder permisos.
Los grupos de distribución no tienen habilitada la seguridad; es decir, no
pueden utilizarse para asignar permisos. Si necesita un grupo para controlar
el acceso a los recursos compartidos, debe crear un grupo de seguridad.
Aunque los grupos de seguridad tienen toda la funcionalidad de los grupos
de distribución, éstos siguen siendo necesarios, ya que algunas aplicaciones
sólo pueden utilizar grupos de distribución.
Ámbito de grupo Tanto los grupos de distribución como los de seguridad admiten uno de los tres
ámbitos de grupo.
El ámbito del grupo determina si el grupo abarca múltiples dominios o se limita
a un solo dominio.
El ámbito de grupo determina:
Los dominios desde los que se puede agregar integrantes al grupo.
Los dominios en los que puede utilizarse el grupo para conceder permisos.
Los dominios en los que puede anidarse el grupo dentro de otros grupos.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Esta presentación ilustra las funciones de catálogo global de Active Directory.
Para iniciar la presentación, abrir el archivo media10_1.html que se puede
encontrar dentro del fichero media10.zip.
Catálogo global El catálogo global es un depósito de información que contiene un subconjunto de
atributos para todos los objetos de Active Directory. De forma predeterminada,
los atributos que se almacenan en el catálogo global son los que se utilizan con
más frecuencia en las consultas, como el nombre, el apellido y el nombre de
inicio de sesión de un usuario. El catálogo global contiene la información
necesaria para determinar la ubicación de cualquier objeto del directorio.
Servidor de catálogo Un servidor de catálogo global es un controlador de dominio que procesa las
global consultas al catálogo global y almacena una copia de las mismas. El primer
controlador de dominio que se crea en Active Directory es un servidor de
catálogo global. Puede configurar controladores de dominio adicionales para
que sean servidores de catálogo global con el fin de equilibrar el tráfico de
autenticación de inicio de sesión y la transferencia de consultas.
Funciones del servidor El catálogo global cumple dos funciones importantes en el directorio:
de catálogo global en
Active Directory Permite que un usuario inicie una sesión en la red al suministrar la
información de pertenencia a grupos universales a un controlador de
dominio cuando se inicia un proceso de inicio de sesión.
Permite que un usuario busque información de directorio en todo el bosque,
independientemente de la ubicación de los datos.
Si no hay disponible un Si no hay disponible un catálogo global cuando un usuario inicia una sesión en
catálogo global un dominio con el nivel funcional Windows 2000 nativo o superior, el equipo
utilizará las credenciales en caché para iniciar la sesión del usuario si éste ha
iniciado una sesión anteriormente en el dominio. Si el usuario no ha iniciado
una sesión en el dominio anteriormente, sólo podrá iniciar una sesión en el
equipo local. Sin embargo, si el usuario es integrante del grupo
Administradores del dominio, podrá iniciar una sesión en el dominio aunque
no haya un catálogo global disponible.
Creación y administración de objetos de Active Directory 25
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
(continuación)
Nivel funcional Características Controladores de
de dominio habilitadas dominio admitidos
Windows Server 2003 Igual que Windows 2000 en Windows NT 4.0, familia
versión provisional modo mixto o nativo de Windows Server 2003
Familia de Windows Todo Windows 2000 nativo, y Familia de Windows
Server 2003 además: Server 2003
• Actualizar atributo de
marca de hora de inicio
de sesión
• Números de versión de
KDC Kerberos
• Contraseña de usuario
en INetOrgPerson
• Herramienta de cambio
de nombre de dominio
Grupos de seguridad La tabla siguiente resume las reglas que determinan si se puede utilizar un
universales y niveles grupo de seguridad con ámbito universal en un nivel funcional de dominio
funcionales de dominio determinado.
¿Grupos de seguridad con ámbito
Nivel funcional de dominio universal?
Nota Sólo es posible cambiar de tipo de grupo cuando el nivel funcional del
dominio es Windows 2000 nativo o superior.
Información adicional Para obtener más información, consulte el artículo de Microsoft Knowledge
Base 322692, “How To: Raise the Domain Functional Level in
Windows Server 2003” (en inglés).
Creación y administración de objetos de Active Directory 27
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Cuándo utilizar un Una ventaja de utilizar el ámbito global es que las cuentas de un grupo que
ámbito global tiene ámbito global pueden modificarse frecuentemente sin generar tráfico de
replicación en el catálogo global. Esta ventaja proviene del hecho de que los
grupos globales no se replican fuera de su propio dominio.
Los grupos con ámbito global pueden utilizarse para administrar objetos de
directorio que requieran mantenimiento diario, como las cuentas de usuario y de
equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuarios
que comparten las mismas tareas y tienen requisitos de acceso a la red similares.
Limitaciones del uso Observe las siguientes limitaciones del uso del ámbito global:
del ámbito global
Un dominio de Windows Server 2003 debe estar en modo Windows 2000
nativo o superior para poder utilizar grupos universales.
Debido a que los grupos globales tienen visibilidad en todo el bosque, no
deben crearse para el acceso a recursos específicos del dominio.
Cuándo utilizar un Los grupos con ámbito universal pueden utilizarse para consolidar grupos que
ámbito universal abarcan más de un dominio. Para ello, agregue las cuentas a grupos con ámbito
global y anide estos grupos en otros que tengan ámbito universal. Con esta
estrategia, los cambios en la pertenencia a los grupos con ámbito global no
afectarán a los grupos con ámbito universal.
Por ejemplo, en una red con dos dominios, North y South, y un grupo
denominado GLAccounting que tenga ámbito global en ambos dominios,
puede crear un grupo con ámbito universal denominado UAccounting, que
tenga como integrantes los dos grupos GLAccounting, North\GLAccounting y
South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugar
de la organización. Los cambios en la pertenencia a los grupos individuales
GLAccounting no provocarán la replicación del grupo UAccounting.
28 Creación y administración de objetos de Active Directory
Limitaciones del uso La pertenencia a un grupo con ámbito universal no debe cambiar con
del ámbito universal frecuencia, ya que tales cambios provocan que se replique toda la información
de pertenencia del grupo en todos los catálogos globales del bosque.
Cuándo utilizar el Los grupos con ámbito de dominio local ayudan a definir y administrar el
ámbito de dominio local acceso a los recursos de un solo dominio.
Es posible asignar permisos para los recursos ubicados en el mismo dominio
que el grupo local. Puede colocar todos los grupos globales que deban
compartir los mismos recursos en el grupo de dominio local adecuado.
Cuándo utilizar un grupo Puede asignar permisos para recursos ubicados en el equipo en el que se ha
local creado el grupo local. Cree grupos locales para limitar la capacidad de acceso
de los usuarios y grupos locales a los recursos de la red cuando no desee crear
grupos de dominio.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Operadores de cuentas, Administradores del dominio o Administradores de
organización en Active Directory o tener delegada la autoridad correspondiente.
Como recomendación de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
Nota Para realizar este procedimiento debe ser integrante del grupo Usuarios
avanzados o Administradores del equipo local, o tener delegada la autoridad
correspondiente. Si el equipo se une a un dominio, los integrantes del grupo
Administradores del dominio pueden llevar a cabo este procedimiento. Como
recomendación de seguridad, considere la posibilidad de utilizar Ejecutar
como para realizar este procedimiento.
Utilizar una línea Para crear un grupo en un dominio de Active Directory con el comando dsadd:
de comandos
1. Abra un símbolo del sistema.
2. Escriba dsadd group NCDeGrupo -samid NombreSAM -secgrp yes | no
-scope l | g | u
Valor Descripción
Nota Para ver la sintaxis completa de este comando, escriba dsadd group /?
en el símbolo del sistema.
Creación y administración de objetos de Active Directory 31
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Operadores de cuentas, Administradores del dominio o Administradores de
organización en Active Directory o tener delegada la autoridad correspondiente.
Como recomendación de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Cuando se crea un grupo nuevo, queda configurado como grupo de seguridad
con ámbito global de forma predeterminada, independientemente del nivel
funcional de dominio existente.
Cambiar el ámbito Aunque no es posible cambiar el ámbito de un grupo en los dominios con
de grupo nivel funcional Windows 2000 mixto, sí son posibles los cambios de ámbito
siguientes en los dominios que tengan el nivel funcional Windows 2000 nativo
o Windows Server 2003:
De global a universal. Este cambio sólo se permite si el grupo que se desea
cambiar no es integrante de otro grupo global.
Cambiar el tipo de grupo Un grupo puede convertirse de grupo de seguridad a grupo de distribución, y
viceversa, en cualquier momento, pero sólo si el nivel funcional de dominio
está establecido como Windows 2000 nativo o posterior. No es posible
convertir un grupo si el nivel funcional de dominio es Windows 2000 mixto.
Puede convertir grupos de un tipo a otro en las situaciones siguientes:
De seguridad a distribución
Una compañía se divide en dos. Los usuarios migran de un dominio a otro,
pero conservan sus antiguas direcciones de correo electrónico. Desea
enviarles mensajes de correo electrónico utilizando los grupos de seguridad
antiguos, pero desea retirar el contexto de seguridad del grupo.
De distribución a seguridad
Un grupo de distribución crece mucho y los usuarios desean utilizarlo para
tareas relacionadas con la seguridad. Sin embargo, también desean mantener
el grupo para enviar correo electrónico.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Para cambiar el ámbito o el tipo de un grupo, el nivel funcional del dominio
debe ser Windows 2000 nativo o superior. No es posible cambiar el ámbito ni el
tipo de los grupos si el nivel funcional del dominio es Windows 2000 mixto.
Procedimiento Para cambiar el ámbito o el tipo de un grupo:
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, haga
clic en la carpeta que contiene el grupo.
2. En el panel de detalles, haga clic con el botón secundario del mouse en el
grupo y, a continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, en la ficha General, bajo Tipo de
grupo, haga clic en el tipo de grupo para cambiarlo.
4. En Ámbito de grupo, haga clic en el ámbito de grupo para cambiarlo.
Nota Para realizar este procedimiento, debe ser integrante de los grupos
Operadores de cuentas, Administradores del dominio o Administradores de
organización en Active Directory o tener delegada la autoridad correspondiente.
Como recomendación de seguridad, considere la posibilidad de utilizar
Ejecutar como para realizar este procedimiento.
Creación y administración de objetos de Active Directory 35
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Instrucciones Debe haber iniciado sesión con una cuenta (por ejemplo,
NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar
el comando Ejecutar como con una cuenta de usuario que disponga de las
credenciales administrativas apropiadas para realizar la tarea.
Situación de ejemplo Como administrador de sistemas, debe crear varios grupos para el departamento
de contabilidad. Estos grupos se utilizarán posteriormente para agrupar cuentas
y asignar grupos a los recursos.
36 Creación y administración de objetos de Active Directory
Ejercicio: Crear grupos Cree los grupos con Usuarios y equipos de Active Directory
con Usuarios y equipos
de Active Directory Complete esta tarea desde los equipos de ambos alumnos.
Credenciales para iniciar la sesión:
• Dominio: NWTraders
• Nombre de usuario: NombreDeEquipoUser
• Contraseña: P@ssw0rd
Credenciales para utilizar Ejecutar como:
• Dominio: NWTraders
• Nombre de usuario: NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
1. Cree la unidad organizativa Locations/NombreDeEquipo/Groups
(donde NombreDeEquipo es el nombre de su equipo).
2. Cree los grupos globales siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
• G NombreDeEquipo Accounting Managers
• G NombreDeEquipo Accounting Personnel
3. Cree los grupos de dominio local siguientes en la unidad organizativa
Locations/NombreDeEquipo/Groups:
• DL NombreDeEquipo Accounting Managers Full Control
• DL NombreDeEquipo Accounting Managers Read
• DL NombreDeEquipo Accounting Personnel Full Control
• DL NombreDeEquipo Accounting Personnel Read
Ejercicio: Utilizar una Cree grupos con la herramienta de línea de comandos dsadd
línea de comandos
Nota Para iniciar un símbolo del sistema con el comando Ejecutar como,
haga clic con el botón secundario del mouse en el acceso directo Símbolo del
sistema del menú Inicio y haga clic en Ejecutar como.
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Esta lección le ayudará a diseñar una estrategia para el uso de grupos en un
solo dominio.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar el anidamiento de grupos y las opciones de anidamiento
disponibles en el modo nativo de Windows.
Aplicar la estrategia AGDLP al utilizar grupos en un solo dominio.
Explicar qué son los grupos predeterminados y los grupos de sistema, y
cuándo deben utilizarse.
Creación y administración de objetos de Active Directory 39
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Nivel funcional Los grupos de seguridad de los dominios con el nivel funcional Windows 2000
Windows 2000 mixto mixto están restringidos a los tipos de pertenencia siguientes:
Grupo con este ámbito: Puede tener los integrantes siguientes:
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Esta animación explica la estrategia AGDLP para el uso de grupos. Para iniciar
la presentación, abrir el archivo media10_2.html que se puede encontrar dentro
del fichero media10.zip.
Para obtener más información acerca de las estrategias de grupos, consulte el
apéndice E: “Estrategias de grupo”.
42 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
________________________________________________________________
________________________________________________________________
________________________________________________________________
Creación y administración de objetos de Active Directory 43
Ejemplo 2 Northwind Traders desea reaccionar con más rapidez a las exigencias del
mercado. Se ha determinado que los datos de contabilidad deben estar
disponibles para todo el personal del departamento de contabilidad. Northwind
Traders desea crear la estructura de grupos para toda la división de
contabilidad, que incluye los departamentos de cuentas por pagar y cuentas por
cobrar.
¿Qué haría para garantizar que los administradores tengan el acceso necesario y
que haya el mínimo trabajo de administración?
________________________________________________________________
________________________________________________________________
________________________________________________________________
________________________________________________________________
44 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
¿Qué es un grupo Windows Server 2003 incluye varias identidades especiales denominadas
de sistema? grupos de sistema. Los grupos de sistema representan a usuarios diferentes
en cada ocasión, en función de las circunstancias. Inicio de sesión anónimo,
Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que
conectan con otro equipo a través de la red se asignan automáticamente al
grupo de sistema Red y reciben los permisos asignados a este grupo.
Aunque es posible conceder derechos de usuario y permisos a los grupos de
sistema, no es posible modificar ni ver sus integrantes.
Los ámbitos de grupo no son aplicables a los grupos de sistema. Los usuarios se
agregan automáticamente a los grupos de sistema cuando inician una sesión o
tienen acceso a un recurso determinado.
46 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Situación de ejemplo Northwind Traders tiene más de 100 servidores en todo el mundo. Usted asiste
a una reunión para discutir las tareas que deben realizar los administradores y
qué nivel de acceso mínimo requieren los usuarios para realizar tareas
específicas. También debe determinar si puede utilizar grupos predeterminados
o si debe crear grupos, y asignarles derechos de usuario y permisos específicos
para realizar las tareas.
Explicación Debe asignar grupos predeterminados o crear grupos nuevos para las tareas
siguientes. Indique el grupo que tiene los derechos de usuario más restrictivos
para realizar las acciones siguientes o determine si debe crear un grupo nuevo.
1. Crear copias de seguridad y restaurar controladores de dominio.
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
Creación y administración de objetos de Active Directory 47
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
48 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Esta presentación explica cómo utilizar las unidades organizativas para agrupar
objetos y lograr una administración más efectiva. También explica las dos
finalidades principales de una jerarquía de unidades organizativas. Para iniciar
la presentación, abrir el archivo media10_3.html que se puede encontrar dentro
del fichero media10.zip.
50 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Acceso autorizado Para que los usuarios puedan tener acceso a un objeto, un administrador o el
por los permisos propietario del objeto deben conceder permisos sobre el mismo. Para cada objeto
de Active Directory, la familia de sistemas operativos Windows 2003 Server
almacena una lista de permisos de acceso de los usuarios denominada lista de
control de acceso discrecional (DACL, Discretionary Access Control List).
La DACL de un objeto muestra quién puede tener acceso al objeto y las acciones
específicas que cada usuario puede realizar con el objeto.
Lecturas adicionales Para obtener más información acerca de los permisos en Active Directory,
consulte el artículo “Best practices for assigning permissions on Active
Directory objects” (en inglés) en
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp.
52 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Aunque los permisos NTFS y los permisos de objeto de Active Directory son
similares, existen ciertas características específicas de los segundos. Los permisos
de objeto de Active Directory pueden concederse o denegarse, denegarse
implícita o explícitamente, establecerse como permisos estándar o especiales,
y establecerse en el nivel de objeto o heredarse desde el objeto principal.
Conceder y denegar Puede conceder o denegar permisos. Los permisos denegados tienen prioridad
permisos sobre cualquier otro permiso que se conceda de otra forma a los grupos y las
cuentas de usuario. Sólo deben denegarse permisos cuando sea necesario quitar
un permiso concedido a un usuario a través de su pertenencia a un grupo.
Permisos implícitos Los permisos pueden denegarse de forma implícita o explícita como sigue:
o explícitos
Cuando los permisos para realizar una operación no se conceden
explícitamente, entonces se deniegan implícitamente.
Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto
usuario y no hay ningún otro principal de seguridad en la lista DACL de ese
objeto, se deniega implícitamente el acceso a los usuarios que no sean
integrantes del grupo Marketing. El sistema operativo no permite leer las
propiedades del objeto usuario a los usuarios que no sean integrantes del
grupo Marketing.
Un permiso se deniega explícitamente cuando se desea impedir que un
subconjunto de un grupo mayor realice una tarea para la que el resto del
grupo tiene permiso.
Por ejemplo, puede ser necesario impedir que un usuario denominado Don
vea las propiedades de un objeto usuario. Sin embargo, Don es integrante
del grupo Marketing, que tiene permisos para ver las propiedades del objeto
usuario. Para evitar que Don pueda ver las propiedades del objeto usuario,
puede denegarle explícitamente el permiso Leer.
Creación y administración de objetos de Active Directory 53
Permisos estándar La mayoría de las tareas con objetos de Active Directory pueden configurarse a
y especiales través de los permisos estándar. Estos permisos son los de uso más habitual; sin
embargo, si es necesario conceder permisos más detallados, puede utilizar
permisos especiales.
Permisos heredados Cuando se establecen permisos en un objeto principal, los nuevos objetos
heredan sus permisos. Es posible quitar los permisos heredados, pero también
pueden volver a habilitarse si se desea.
54 Creación y administración de objetos de Active Directory
Herencia de permisos
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
¿Qué es la herencia Un objeto principal es cualquier objeto que tenga una relación con otro objeto
de permisos? denominado secundario. El objeto secundario hereda los permisos del objeto
principal. La herencia de permisos de Active Directory reduce al mínimo el
número de veces que se necesita conceder permisos para los objetos.
Ventajas La herencia de permisos en Windows Server 2003 simplifica la tarea de
administrar los permisos en los aspectos siguientes:
No es necesario aplicar permisos manualmente a los objetos secundarios en
el momento de crearlos.
Los permisos aplicados a un objeto principal se aplican de forma coherente
a todos los objetos secundarios.
Cuando se deben modificar los permisos de todos los objetos de un
contenedor, sólo es necesario modificar los del objeto principal. Los objetos
secundarios heredan los cambios automáticamente.
Creación y administración de objetos de Active Directory 55
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Impedir la herencia Es posible impedir la herencia de permisos de forma que un objeto secundario
de permisos no herede los permisos de su objeto primario. Cuando se impide la herencia,
sólo se aplican los permisos establecidos explícitamente.
Cuando se impide la herencia de permisos, la familia de sistemas operativos
Windows Server 2003 permite:
Copiar los permisos heredados al objeto. Los nuevos permisos se convierten
en permisos explícitos para el objeto. Se trata de una copia de los permisos
que el objeto heredó previamente de su objeto principal. Después de copiar
los permisos heredados, puede hacer en ellos los cambios necesarios.
Quitar los permisos heredados del objeto. Al quitar estos permisos, se
eliminan todos los permisos del objeto. Después puede conceder cualquier
permiso nuevo que desee para el objeto.
Creación y administración de objetos de Active Directory 57
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Procedimiento para ver Los permisos estándar son suficientes para la mayoría de las tareas
permisos especiales administrativas. Sin embargo, quizás necesite ver los permisos especiales
que constituyen un permiso estándar.
Para ver permisos especiales:
1. Abra Usuarios y equipos de Active Directory.
2. Abra el cuadro de diálogo Propiedades correspondiente al objeto que
desea ver.
3. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad,
haga clic en Opciones avanzadas.
4. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha
Permisos, haga clic en la entrada que desee ver y, después, haga clic en
Modificar.
5. Para ver los permisos de atributos específicos, en el cuadro de diálogo
Entrada de permiso, haga clic en la ficha Propiedades.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción La herramienta Permisos efectivos permite determinar cuáles son los permisos
de un objeto de Active Directory. Esta herramienta calcula los permisos
asignados al usuario o grupo especificado y tiene en cuenta los permisos activos
derivados de la pertenencia a grupos y los heredados de objetos principales.
Características de los Los permisos efectivos de los objetos de Active Directory tienen las
permisos efectivos características siguientes:
Los permisos acumulados son la combinación de los permisos de Active
Directory concedidos a las cuentas de usuario y de grupo.
La denegación de permisos prevalece sobre todos los permisos heredados.
Los permisos asignados explícitamente tienen prioridad.
Todos los objetos tienen un propietario, tanto si se encuentran en un
volumen NTFS como en Active Directory. El propietario controla los
permisos establecidos en un objeto y a quién se conceden.
De forma predeterminada, en Windows Server 2003 el propietario es el
grupo Administradores. El propietario siempre puede cambiar los permisos
de un objeto aunque se le deniegue todo acceso al mismo.
El propietario actual puede conceder el permiso Tomar posesión a otro
usuario, lo que permite a éste tomar posesión del objeto en cualquier
momento. El usuario debe tomar posesión del objeto para completar la
transferencia de la posesión.
60 Creación y administración de objetos de Active Directory
Recuperar los permisos Para recuperar información acerca de los permisos efectivos en Active
efectivos Directory, es necesario tener el permiso de leer la información de pertenencia.
Si el usuario o grupo especificado es un objeto de dominio, es necesario el
permiso de leer la información de pertenencia del objeto en su dominio.
Los usuarios siguientes tienen los permisos de dominio correspondientes
de forma predeterminada:
Los administradores del dominio tienen permiso para leer la información
de pertenencia de todos los objetos.
Los administradores locales de una estación de trabajo o servidor
independiente no pueden leer la información de pertenencia de un
usuario de dominio.
Los usuarios autenticados del dominio pueden leer la información de
pertenencia sólo cuando el dominio se encuentra en modo de compatibilidad
anterior a Windows 2000.
Creación y administración de objetos de Active Directory 61
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Lecturas adicionales Para obtener más información acerca de los permisos efectivos, consulte el
artículo “Effective Permissions tool” (en inglés) en
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/datacenter/acl_effective_perm.asp.
62 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Instrucciones Debe haber iniciado sesión con una cuenta (por ejemplo,
NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar
el comando Ejecutar como con una cuenta de usuario que disponga de las
credenciales administrativas apropiadas para realizar la tarea.
Situación de ejemplo El ingeniero de sistemas de Northwind Traders ha delegado el control
administrativo a los administradores de cada ubicación NombreDeEquipo. Usted
debe determinar qué permisos hereda su unidad organizativa NombreDeEquipo y,
a continuación, quitar todos los permisos heredados. Documente los resultados de
cada paso efectuado para quitar los permisos heredados.
Creación y administración de objetos de Active Directory 63
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organización
ENTERPRISE DOMAIN
CONTROLLERS
Acceso compatible con versiones
anteriores a Windows 2000
Operadores de impresora
Sistema
Operadores de cuentas
Administradores
Usuarios autenticados
DL NombreDeEquipo OU Administrators
Admins. del dominio
Admins. de organización
ENTERPRISE DOMAIN CONTROLLERS
Acceso compatible con versiones anteriores
a Windows 2000
Operadores de impresora
Sistema
Creación y administración de objetos de Active Directory 65
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción En esta lección se explican los motivos para delegar el control de una unidad
organizativa y cómo se asigna un administrador a un grupo.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar el significado de la delegación del control de una unidad organizativa.
Describir la finalidad y la función del Asistente para delegación del control.
Delegar el control de una unidad organizativa mediante el Asistente para
delegación de control.
Explicar por qué se asigna un administrador a un grupo.
Asignar un administrador a un grupo.
66 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Motivos para delegar el La delegación del control de objetos de Active Directory simplifica el trabajo
control administrativo administrativo de la red gracias a la distribución de las tareas administrativas
rutinarias entre múltiples usuarios. Con la administración delegada, es posible
asignar tareas administrativas básicas a usuarios o grupos normales, y asignar
tareas administrativas que afecten a todo el dominio o a todo el bosque a
usuarios de confianza de los grupos Administradores del dominio y
Administradores de organización.
La delegación de la administración ofrece a los grupos de la organización un
mayor control sobre sus recursos de red locales. También ayuda a proteger la
red frente a daños accidentales o provocados al limitar la pertenencia a grupos
de administradores.
Formas de definir la La delegación del control administrativo se define de las siguientes tres formas:
delegación del control
administrativo Cambiar las propiedades de un contenedor particular.
Crear y eliminar objetos de un tipo determinado bajo una unidad
organizativa, como usuarios, grupos o impresoras.
Actualizar propiedades específicas en objetos de un tipo específico dentro
de una unidad organizativa. Por ejemplo, puede delegar el permiso para
establecer una contraseña en un objeto usuario o en todos los objetos de una
unidad organizativa.
Creación y administración de objetos de Active Directory 67
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Opciones En la tabla siguiente se describen las opciones del Asistente para delegación de
control.
Opción Descripción
Usuarios o grupos Las cuentas de usuario o los grupos en los que desea
delegar el control.
Tareas para delegar Una lista de las tareas comunes o la opción para
personalizar una tarea. Si selecciona una tarea común, el
asistente resume las selecciones que ha realizado para
completar el proceso de delegación. Cuando selecciona
personalizar una tarea, el asistente muestra los tipos de
objetos y permisos de Active Directory que puede elegir.
Tipo de objeto de Active Todos los objetos o sólo los tipos de objeto específicos
Directory de la unidad organizativa indicada.
Permisos Los permisos que se van a conceder para el objeto u
objetos.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Nota Para delegar una tarea personalizada en usuarios o grupos, haga clic
en Crear una tarea personalizada para delegar.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Situación de ejemplo Con el fin de distribuir la carga de trabajo entre los administradores, Northwind
Traders desea que puedan realizar tareas específicas en las unidades
organizativas que tengan designadas. Las tareas siguientes deben delegarse en
las unidades organizativas indicadas:
Unidad organizativa: Locations/NombreDeEquipo/Computers
Tarea: Crear y eliminar cuentas de equipo en la unidad organizativa
Unidad organizativa: Locations/NombreDeEquipo/Users
Tarea: Restablecer contraseñas de usuario y forzar el cambio de contraseña
en el siguiente inicio de sesión
Tarea: Leer toda la información de usuario
Creación y administración de objetos de Active Directory 73
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Ventajas de asignar En Windows Server 2003, Active Directory permite asignar un administrador a
un administrador a un grupo como propiedad del grupo. Esto permite:
un grupo
Determinar quién es el responsable de cada grupo.
Delegar en el administrador del grupo la autoridad para agregar y quitar
usuarios del grupo.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Situación de ejemplo Se le ha pedido que cree para el departamento de ventas un grupo denominado
G NombreDeEquipo Sales Strategy. El propietario del grupo será el jefe de
ventas de su unidad organizativa ciudad.
Ejercicio
Cree un grupo global en su unidad organizativa ciudad
1. Utilice la información siguiente para abrir CustomMMC:
• Usuario: NombreDeEquipoAdmin
• Contraseña: P@ssw0rd
• Dominio: déjelo en blanco
2. Cree un grupo global en la unidad organizativa
Locations/NombreDeEquipo.
3. Cree el grupo global G NombreDeEquipo Sales Strategy.
78 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Esta lección presenta los conocimientos necesarios para mover objetos
de dominio.
Objetivos de la lección Después de finalizar esta lección, podrá:
Enumerar las razones para mover un objeto de dominio de Active Directory.
Mover un objeto de dominio de Active Directory.
80 Creación y administración de objetos de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Una parte del trabajo del administrador de sistemas es mantener la estructura
de Active Directory cuando cambian las necesidades del negocio.
Razones para mover La necesidad de mover objetos de Active Directory suele ser la consecuencia
elementos de de un cambio en las necesidades de negocio. Por ejemplo, puede ser necesario
Active Directory mover objetos como respuesta a las situaciones siguientes:
Cambio en la estructura del personal de una unidad de negocio, por ejemplo
cuando un empleado pasa de un departamento a otro.
Separación o fusión de una unidad de negocio con otra.
Traslado de una unidad de negocio de una ubicación física a otra.
Cambio de la ubicación de una unidad de negocio.
Algunos recursos, tales como servidores o impresoras, se redistribuyen entre
las unidades de negocio.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivos Al terminar esta práctica, podrá administrar el acceso a los objetos de las
unidades organizativas.
Instrucciones Antes de comenzar esta práctica:
Inicie una sesión en el dominio con la cuenta NombreDeEquipoUser.
Abra CustomMMC con el comando Ejecutar como.
Utilice la cuenta de usuario Nwtraders\NombreDeEquipoAdmin
(por ejemplo: LondonAdmin).
Asegúrese de que CustomMMC contiene Usuarios y equipos de
Active Directory.
Ejercicio 1
Delegación del control administrativo
En este ejercicio delegará el control administrativo de los objetos de una unidad organizativa.
Situación de ejemplo
Northwind Traders desea que todo el personal de tecnología de la información pueda crear, eliminar
y modificar grupos en todas las unidades organizativas ciudad. Usted debe delegar la autoridad en
su unidad organizativa NombreDeEquipo de modo que un grupo global denominado G NWTraders
IT Personnel tenga permisos para crear, eliminar y administrar grupos y modificar la pertenencia a
los mismos.
Ejercicio 2
Documentación de la seguridad de un objeto de Active Directory
En este ejercicio documentará la configuración de seguridad del objeto creado en la unidad
organizativa delegada.
Situación de ejemplo
Acaba de crear varios grupos en una unidad organizativa delegada y se le ha pedido que documente
los permisos que ha heredado cada uno de ellos. Escriba en la tabla siguiente la información
necesaria para documentar los permisos del grupo.
2. Documente los permisos Documente los permisos especiales para el grupo G NWTraders IT
especiales de un grupo Personnel.
creado en una unidad __________________________________
organizativa delegada.