Liceo Politecnico Andes Fundacin DuocUC J.A.G/Adm.de Redes.

/2010

Active Directory
Active Directory es el servicio de directorio de la familia Windows Server 2003. Ampla la funcionalidad bsica de un servicio de directorio y proporciona las siguientes ventajas:

1. Integracin DNS
Active Directory utiliza las convenciones de nomenclatura DNS para crear una estructura jerrquica que proporciona una vista de conexiones de red sencilla, ordenada y escalable. Tambin se utiliza para asignar nombres de host, como microsoft.com, o direcciones TCP/IP numricas, como 192.168.19.2.

2. Escalabilidad
Active Directory est organizado en secciones que permiten el almacenamiento de un mayor nmero de objetos. Por tanto, Active Directory se ampla a medida que la empresa crece. Una empresa que tiene un solo servidor con cientos de objetos puede crecer hasta tener miles de servidores y millones de objetos. Administracin centralizada

Active Directory permite a los administradores gestionar escritorios distribuidos, servicios de red y aplicaciones, desde una ubicacin central y mediante una interfaz de administracin coherente. Adems, ofrece control centralizado de acceso a los recursos de la red, lo que permite a los usuarios iniciar la sesin slo una vez para obtener acceso completo a los recursos a travs de Active Directory. Administracin delegada

La estructura jerrquica de Active Directory permite delegar el control administrativo en segmentos especficos de la jerarqua. Un usuario autorizado por una autoridad administrativa superior puede realizar tareas de administracin en una parte de la estructura designada a l. Por ejemplo, los usuarios pueden tener control administrativo limitado sobre la configuracin de su estacin de trabajo y el administrador del departamento tendr derechos de administracin para crear usuarios nuevos en una unidad organizativa.

Estructura de active directory

Active Directory

Prof. Jorge Amigo G.

Componentes lgicos
Los componentes lgicos de la estructura de Active Directory son los siguientes: Dominio. La unidad principal de la estructura lgica de Active Directory es el dominio. Un dominio es una coleccin de equipos definidos por un administrador que comparten una base de datos de directorios comn. Tiene un nombre nico y proporciona acceso a las cuentas de usuario centralizadas y cuentas de grupo que mantiene el administrador del dominio. Unidad organizativa (OU). Es un tipo de objeto contenedor que se utiliza para organizar objetos dentro de un dominio. Puede contener objetos, como cuentas de usuario, grupos, equipos, impresoras y otras unidades organizativas. Bosque. Es uno o ms dominios que comparten una configuracin, esquema o catlogo global comn. rbol. Est compuesto por dominios de un bosque que comparten un espacio de nombres DNS contiguo.

Qu es una unidad organizativa?

Una unidad organizativa es un tipo especialmente til de objeto de Active Directory contenido en un dominio. Las unidades organizativas son tiles porque pueden organizarse cientos de miles de objetos en unidades administrables dentro de un directorio. Se utiliza una unidad organizativa para agrupar y organizar objetos con fines administrativos como, por ejemplo, delegar derechos administrativos y asignar directivas a una coleccin de objetos como una unidad nica.

Ventajas de las unidades organizativas (ou)

Se puede utilizar unidades organizativas para: Organizar objetos en un dominio: Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y de equipo. Los archivos e impresoras compartidos que estn publicados en Active Directory tambin se encuentran en unidades organizativas. Delegar el control administrativo: Puede asignar control administrativo completo de todos los objetos de una unidad organizativa, como el permiso de Control total, o asignar control administrativo limitado de los objetos de usuario en la unidad organizativa, como la capacidad de modificar la informacin del correo electrnico. Para delegar el control administrativo, puede asignar permisos especficos a uno o ms usuarios y grupos en una unidad organizativa y a los objetos que esta unidad contenga. Simplificar la administracin de los recursos agrupados ms utilizados: Se puede delegar la autoridad administrativa de atributos determinados en objetos especficos en Active Directory, pero normalmente utilizar las unidades organizativas para delegar la autoridad administrativa. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una nica unidad. Mediante estas unidades puede crear contenedores en un dominio que representen las estructuras jerrquicas y lgicas de su empresa. De esta manera, puede administrar la configuracin y la utilizacin de las cuentas y recursos basados en su modelo de organizacin.

Active Directory

Prof. Jorge Amigo G.

Modelos jerrquicos de unidad organizativa

Jerarqua basada en la funcin
La jerarqua basada en la funcin se sustenta solamente sobre las funciones empresariales de la empresa, sin tener en cuenta la situacin geogrfica ni la distincin entre divisiones y departamentos. Se elije este mtodo slo si la funcin del Departamento de Soporte tcnico no est basada en la ubicacin ni en la empresa. Cuando se decide si se organiza la estructura de Active Directory por su funcin, se tiene en cuenta las caractersticas de este tipo de diseos que se enumeran a continuacin: No le afectan las reorganizaciones. Una jerarqua basada en la funcin no se ve afectada por las reorganizaciones empresariales ni corporativas. Podra necesitar capas adicionales. Al utilizar esta estructura, puede ser necesaria la creacin de capas adicionales en la jerarqua de la unidad organizativa para adaptar la administracin de usuarios, impresoras, servidores y recursos de red compartidos. Podra afectarle la duplicacin. Las estructuras utilizadas para crear dominios no proporcionan un uso eficaz de la red, porque el contexto de nombres de dominio podra duplicarse en una o ms zonas de ancho de banda bajo.

Esta estructura slo es adecuada para empresas pequeas puesto que los departamentos funcionales de las pequeas y medianas empresas suelen estar bastante diversificados, y no pueden agruparse de forma efectiva en categoras ms amplias.

Active Directory

Prof. Jorge Amigo G.

Jerarqua basada en la organizacin

La jerarqua basada en la organizacin se centra en los departamentos o divisiones de una empresa. Si la estructura de Active Directory se organiza de forma que refleje la estructura organizativa, sera difcil delegar la autoridad administrativa, puesto que los objetos de Active Directory, como las impresoras y archivos compartidos, no se agruparan de forma que facilite esta delegacin. Ya que los usuarios nunca ven la estructura de Active Directory, el diseo debe adaptarse al administrador y no al usuario.

Jerarqua basada en la ubicacin

Si la empresa est centralizada y la administracin de la red tiene una distribucin geogrfica, se recomienda una jerarqua basada en la ubicacin. Por ejemplo, puede crear unidades organizativas para New England, Boston y Hartford en el mismo dominio, como contoso.msft. Las unidades organizativas basadas en la ubicacin y los dominios jerrquicos tienen las mismas caractersticas: No le afectan las reorganizaciones. Aunque las divisiones y los departamentos pueden cambiar frecuentemente, la ubicacin no suele cambiar en la mayora de las empresas. Se adapta a fusiones y expansiones. Si una empresa se fusiona o compra otra, es muy sencillo integrar una estructura jerrquica de dominio y las nuevas ubicaciones en las unidades organizativas existentes. Obtiene ventajas de la mayor solidez de la red. Generalmente, la topologa de una red fsica de una empresa se asemeja a la jerarqua basada en la ubicacin. Si crea dominios con este tipo de jerarqua, disfrutar de las reas donde la red tiene un ancho de banda alto y limita la cantidad de datos duplicados en zonas de ancho de banda bajo. Podra poner en peligro la seguridad. Si una ubicacin incluye varias divisiones o departamentos, una persona o ms con autoridad administrativa sobre ese dominio o unidad organizativa pueden tener tambin autoridad sobre dominios y unidades organizativas secundarias.

Jerarqua hbrida
Se llama jerarqua hbrida a aquella que est basada en la ubicacin y, adems, por empresa o cualquier otro tipo de estructura combinada. Esta jerarqua combina las ventajas de diferentes zonas para cubrir las necesidades de la empresa. Adems, cuenta con las siguientes caractersticas: Se adapta al crecimiento geogrfico de departamentos o divisiones. Crea distintos lmites de administracin segn el departamento o divisin. Necesita de la cooperacin entre administradores para garantizar la realizacin de las tareas administrativas si se encuentran en la misma ubicacin pero en departamentos o divisiones diferentes.

Usuarios
Una cuenta de usuario es un objeto que contiene toda la informacin que define a un usuario de Windows Server 2003 y puede ser local o de dominio. Incluye el nombre de usuario y la contrasea con los que el usuario inicia la sesin y los grupos de los que la cuenta es miembro. Se puede utilizar una cuenta de usuario para: Permitir que alguien inicie la sesin en un equipo basndose en la identidad de la cuenta de usuario. Permitir que los procesos y servicios se ejecuten dentro de un contexto de seguridad especfico. Administrar el acceso de un usuario a los recursos, por ejemplo, los objetos de Active Directory y sus propiedades, carpetas, archivos, directorios y colas de impresin compartidos.

Active Directory

Prof. Jorge Amigo G.

Existen 5 tipos de nombres asociados a las cuentas de usuario de dominio. En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesin de usuario, un nombre de inicio de sesin de usuario de versiones anteriores a Windows 2000 (nombre de la cuenta del Administrador de cuentas de seguridad (SAM, Security Accounts Manager), un nombre principal de inicio de sesin de usuario, un nombre completo segn el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) y un nombre relativo asociado al ldap. Al crear una cuenta de usuario, el administrador escribe un nombre de inicio de sesin de usuario. El nombre de inicio de sesin debe ser nico en el bosque en el que se crea la cuenta de usuario. Suele utilizarse como nombre completo relativo. Los usuarios utilizan este nombre slo en el proceso de inicio de sesin. Obtienen acceso con el nombre de inicio de sesin de usuario, una contrasea y el nombre de dominio en diferentes campos de la pantalla de inicio de sesin. Los nombres de inicio de sesin de usuario pueden: Contener hasta 20 caracteres en maysculas y minsculas (el campo admite ms de 20 caracteres, pero Windows Server 2003 slo reconoce 20). Incluir una combinacin de caracteres alfanumricos y especiales, excepto los especificados a continuacin: " / \ [ ] : ; | = , + * ? < >.

Un nombre de inicio de sesin de usuario podra ser, por ejemplo, Jayadams o Jadams.

Instrucciones para crear una convencin de nomenclatura de cuentas de usuario

Una convencin de nomenclatura establece cmo deben identificarse las cuentas de usuario de un dominio. Una convencin coherente facilita recordar los nombres de inicio de sesin de usuario y buscarlos en las listas. Por eso, es bueno acostumbrarse a cumplir la convencin de nomenclatura en uso de una red que admite un gran nmero de usuarios. Tenga en cuenta las siguientes directrices a la hora de crear una convencin de nomenclatura. Si hay un gran nmero de usuarios, la convencin para los nombres de inicio de sesin de usuario se deber adaptar a los empleados con nombres que se repitan. Un mtodo para seguir la nomenclatura en estos casos es utilizar el nombre y la inicial del apellido y, a continuacin, agregar letras del apellido para evitar nombres duplicados. Por ejemplo, para dos usuarios con el nombre Judy Lew, un nombre de usuario puede ser Judy1 y el otro, Judyle. En algunas empresas, es til identificar a los empleados temporales con sus cuentas de usuario. Para ello, agregue un prefijo al nombre de inicio de sesin de usuario, por ejemplo una T y un guin (-). Por ejemplo, T-Judyl. Los nombres de usuario para cuentas de dominio deben ser nicas en Active Directory. Los nombres de inicio de sesin de usuario deben ser nicos en el bosque en el que se crea la cuenta de usuario.

Active Directory

Prof. Jorge Amigo G.

Cmo crear cuentas de usuario?

Las cuentas de usuario de dominio permiten a los usuarios iniciar la sesin en un dominio y obtener acceso a los recursos de toda la red, y las cuentas de usuario locales permiten iniciar la sesin y obtener acceso a los recursos slo del equipo en el que se crea la cuenta local. Como administrador de sistemas, se deber crear cuentas de usuario local y de dominio para administrar el entorno de red.

Para crear una cuenta de usuario de dominio: 1. Haga clic en Inicio, seleccione Herramientas administrativas y, despus, haga clic en Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga doble clic en el nodo de dominio. 3. En el panel de detalles, haga clic con el botn secundario del mouse (ratn) en la unidad organizativa en la que desea agregar el usuario, seleccione Nuevo y, a continuacin, haga clic en Usuario. 4. En el cuadro de dilogo Nuevo objeto: Usuario, en el cuadro Nombre, escriba el nombre del usuario. 5. En el cuadro Iniciales, escriba las iniciales del usuario. 6. En el cuadro Apellidos, escriba los apellidos del usuario. 7. En el cuadro Nombre de inicio de sesin de usuario, escriba el nombre con el que el usuario iniciar la sesin. 8. En la lista desplegable, haga clic en el sufijo UPN que debe agregar al nombre de inicio de sesin de usuario despus del smbolo @. 9. Haga clic en Siguiente. 10. En los cuadros Contrasea y Confirmar contrasea, escriba la contrasea del usuario. 11. Seleccione las opciones de contrasea adecuadas. 12. Haga clic en Siguiente y, a continuacin, en Finalizar. Nota No puede haber un nombre de usuario idntico a otro nombre de usuario o nombre de grupo en el equipo que se administra. Puede tener hasta 20 caracteres en maysculas o minsculas, excepto los especificados a continuacin: " / \ [ ] : ; | = , + * ? < >

Utilizar una lnea de comando

Otra forma de crear una cuenta de usuario de dominio es mediante el comando dsadd. El comando dsadd user sirve para agregar un usuario individual a un directorio desde el smbolo del sistema o desde un archivo por lotes. Para crear una cuenta de usuario mediante el comando dsadd user: 1. Abra un smbolo del sistema. 2. Escriba dsadd user NombreCompletoDeUnidadOrganizativa [-samid NombreSAM] [-upn UPN] [-fn Nombre] [-ln Apellido] [-display NombreDescriptivo] [-pwd {Contrasea|*}] y utilice " " si introduce algn espacio en cualquier variable.

Sintaxis
dsadd user DNUsuario [-samid nombreSAM] [-upn UPN] [-fn nombre] [-mi inicial] [-ln apellidos] [display nombreDescriptivo] [-empid idEmpleado] [-pwd {contrasea | *}] [-desc descripcin] [-memberof grupo ...] [-office oficina] [-tel nmeroDeTelfono] [-email correoElectrnico] [-hometel nmeroDeTelfonoParticular] [-pager nmeroDeLocalizador] [-mobile nmeroDeTelfonoMvil] [-fax nmeroDeFax] [-iptel nmeroDeTelfonoIP] [-webpg pginaWeb] [-title cargo] [-dept departamento] [company compaa] [-mgr director] [-hmdir directorioPrincipal] [-hmdrv letraDeUnidad:] [-profile rutaDeAccesoDePerfil] [-loscr rutaDeAccesoDeSecuenciaDeComandos] [-mustchpwd {yes | no}] [canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires nmeroDeDas] [-disabled {yes | no}] [{-s servidor | -d dominio}] [-u nombreDeUsuario] [-p {contrasea | *}] [-q] [{-uc | -uco | -uci}]

Active Directory

Prof. Jorge Amigo G.

Parmetros DNUsuario Requerido. Especifica el nombre completo (DN) del usuario que desea agregar. Si se omite el nombre completo, se tomar de los datos de entrada estndar (stdin). -samid nombreSAM Especifica el nombre de cuenta SAM exclusivo que debe utilizarse para este usuario (por ejemplo, Laura). Si no se especifica, dsadd intentar crear el nombre de cuenta SAM con los 20 primeros caracteres del valor del nombre comn (CN) de DNUsuario. -upn UPN Especifica el nombre principal de usuario del usuario que desea agregar (por ejemplo, Laura@widgets.microsoft.com). -fn nombre -mi inicial Especifica el nombre del usuario que desea agregar. Especifica la inicial del segundo nombre del usuario que desea agregar.

-ln apellidos Especifica los apellidos del usuario que desea agregar. -display nombreDescriptivo -empid idEmpleado Especifica el nombre descriptivo del usuario que desea agregar.

Especifica el Id. de empleado del usuario que desea agregar.

-pwd {contrasea | *} Especifica que la contrasea del usuario se establezca en contrasea o *. Si se establece en *, se le solicitar una contrasea de usuario. -desc descripcin Especifica la descripcin del usuario que desea agregar. Especifica los nombres completos de los grupos de los que desea que el

-memberof DNGrupo usuario sea miembro. -office oficina

Especifica la ubicacin de la oficina del usuario que desea agregar. Especifica el nmero de telfono del usuario que desea agregar.

-tel nmeroDeTelfono

-email Correo electrnico Especifica la direccin de correo electrnico del usuario que desea agregar. -hometel nmeroDeTelfonoParticular Especifica el nmero de telfono particular del usuario que desea agregar. -pager nmeroDeLocalizador Especifica el nmero de localizador del usuario que desea agregar. -mobile nmeroDeTelfonoMvil Especifica el nmero de telfono mvil del usuario que desea agregar. -fax nmeroDeFax Especifica el nmero de fax del usuario que desea agregar. -iptel nmeroDeTelfonoIP Especifica el nmero de telfono IP del usuario que desea agregar. -webpg pginaWeb Especifica la direccin URL de la pgina Web del usuario que desea agregar. -title cargo Especifica el cargo del usuario que desea agregar. -dept departamento Especifica el departamento del usuario que desea agregar. -company compaa Especifica la informacin de compaa del usuario que desea agregar. -mgr DNDirector Especifica el nombre completo del director del usuario que desea agregar. -hmdir directorioPrincipal Especifica la ubicacin del directorio principal del usuario que desea agregar. Si directorioPrincipal se proporciona como una ruta de acceso de Convencin de nomenclatura universal (UNC), debe utilizar el parmetro <NOBR><b>-hmdrv</b></NOBR> para especificar una letra de unidad que se asignar a la ruta de acceso.

Active Directory

Prof. Jorge Amigo G.

-hmdrv letraDeUnidad Especifica la letra de unidad (por ejemplo, E:) del directorio principal del usuario que desea agregar. -profile rutaDeAccesoDePerfil Especifica la ruta de acceso del perfil del usuario que desea agregar. -loscr rutaDeAccesoDeSecuenciaDeComandos Especifica la ruta de acceso de la secuencia de comandos de inicio de sesin del usuario que desea agregar. -mustchpwd {yes | no} Indica si los usuarios deben cambiar su contrasea cuando vuelvan a iniciar una sesin (yes) o no (no). De forma predeterminada, el usuario no necesita cambiar la contrasea (no). -canchpwd {yes | no} Indica si los usuarios pueden cambiar su contrasea (yes) o no (no). De forma predeterminada, el usuario tiene permiso para cambiar la contrasea (yes). El valor de este parmetro deber ser yes si el valor del parmetro -mustchpwd es yes. -reversiblepwd {yes | no} Especifica si la contrasea de usuario debe almacenarse con cifrado reversible (yes) o no (no). De forma predeterminada, el usuario no puede utilizar cifrado reversible (no). -pwdneverexpires {yes | no} Indica si la contrasea del usuario nunca caduca (yes) o caduca (no). De forma predeterminada, la contrasea del usuario caduca (no). -acctexpires nmeroDeDas Especifica el nmero de das contados a partir del da actual al cabo de los cuales la cuenta caducar. El valor 0 establece la caducidad al final del da actual. Un valor positivo establece la caducidad en una fecha futura. Un valor negativo establece la caducidad en una fecha pasada. El valor never establece que la cuenta no caduque nunca. Por ejemplo, el valor 0 implica que la cuenta caduca al final del da actual. El valor -5 implica que la cuenta caduc hace 5 das y establece una fecha de caducidad pasada. El valor 5 define la caducidad de la cuenta en el plazo de 5 das en el futuro. -disabled {yes | no} Indica si la cuenta de usuario est deshabilitada para el inicio de sesin (yes) o no (no). Por ejemplo, el comando dsadd user CN=Nicolettep,CN=Users,DC=Widgets,DC=Microsoft,DC=Com pwd- Password1 -disabled no crea una cuenta de usuario Nicolettep con el estado habilitado. De forma predeterminada, la cuenta de usuario est deshabilitada para el inicio de sesin (yes). Por ejemplo, el comando dsadd user CN=Nathanp,CN=Users,DC=Widgets,DC=Microsoft,DC=Com crea una cuenta de usuario Nathanp con el estado deshabilitado. {-s servidor | -d dominio} Se conecta a un servidor remoto o dominio especificado. De manera predeterminada, el equipo est conectado al controlador de dominio en el dominio de inicio de sesin. -u nombreDeUsuario Indica el nombre de usuario con el cual el usuario iniciar una sesin en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que se ha iniciado la sesin. Puede especificar un nombre de usuario utilizando uno de los siguientes formatos: * nombre de usuario (por ejemplo, Laura) * dominio\nombre de usuario (por ejemplo, widgets\Laura) * nombre principal de usuario (UPN) (por ejemplo, Laura@widgets.microsoft.com)

-p {contrasea | *} Especifica si se debe utilizar una contrasea o un * para iniciar una sesin en un servidor remoto. Si escribe *, se le solicitar una contrasea. -q Suprime toda la informacin de salida a la salida estndar (modo silencioso).

Active Directory

Prof. Jorge Amigo G.

{-uc | -uco | -uci} Especifica que los datos de salida o de entrada tendrn formato Unicode. En la siguiente tabla se enumera y describe cada formato. Valor Descripcin -uc Especifica formato Unicode para la entrada desde o salida hacia una canalizacin (|). -uco Especifica formato Unicode para la salida hacia una canalizacin (|) o un archivo. -uci Especifica formato Unicode para la entrada desde una canalizacin (|) o un archivo.

Ejemplo: Crear por lnea de comando un usuario el cual debe ser creado en la ou llamada prueba, asignarlo a un grupo llamado prueba que se encuentra en la misma ou. Adems el nombre de inicio de sesin para versiones anteriores y posteriores a Windows 2000 debe ser igual. La contrasea se debe cambiar al prximo inicio de sesin. Y el CN que es el nombre que se muestra al listar el usuario debe ser igual al del display. dsadd user cn="Jorge Amigo",ou=prueba,dc=prueba,dc=cl -samid jo.amigo -upn jo.amigo@prueba.cl display "Jorge Amigo" -fn Jorge -ln Amigo -pwd abc.123456789 -desc "Usuario del sistema" -mustchpwd yes -canchpwd yes -memberof "cn=prueba,ou=prueba,dc=prueba,dc=cl"

Para modificar una cuenta de usuario se utiliza el comando dsmod user, y se utilizan los mismos parmetros que dsadd user

Qu son los grupos?

Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden administrar como una sola unidad. Los grupos: Simplifican la administracin al facilitar la concesin de permisos para recursos a todo un grupo en lugar de a cada una de las cuentas de usuario individualmente. Pueden estar basados en Active Directory o ser locales, de un equipo individual. Se distinguen por su mbito y tipo. Pueden anidarse, es decir, se puede agregar un grupo a otro.

Active Directory

Prof. Jorge Amigo G.

El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesin de permisos. El mbito de grupo determina: Los dominios desde los que puede agregar miembros al grupo Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos.

El mbito de un grupo determina cules son los miembros del grupo. Las reglas de pertenencia controlan los miembros que puede contener un grupo y los grupos de los que puede ser miembro. Los miembros de un grupo estn formados por cuentas de usuario, cuentas de equipo y otros grupos. Para asignar los miembros correctos a los grupos y para anidar un grupo, es importante conocer las caractersticas del mbito de grupo. Existen los siguientes mbitos de grupo: Global Local de dominio Universal Local

Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y otras cuentas de grupo en unidades administrables. Trabajar con grupos en lugar de con usuarios individuales, ayuda a simplificar la administracin y el mantenimiento de la red. Existen los siguientes grupos en Active Directory: Grupos de seguridad Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a grupos de usuarios y equipos. Los derechos especifican las acciones que pueden realizar los miembros de un grupo de seguridad en un dominio o bosque, y los permisos especifican los recursos a los que puede obtener acceso un miembro de un grupo en la red. Tambin puede utilizar grupos de seguridad para enviar mensajes de correo electrnico a varios usuarios. Al enviar un mensaje de correo electrnico al grupo, el mensaje se enva a todos sus miembros. Por lo tanto, los grupos de seguridad tienen funciones de grupos de distribucin. Grupos de distribucin Puede utilizar los grupos de distribucin con aplicaciones de correo electrnico, como Microsoft Exchange, para enviar mensajes de correo electrnico a grupos de usuarios. La finalidad principal de este tipo de grupo es recopilar objetos relacionados, no conceder permisos. Los grupos de distribucin no tienen habilitada la seguridad, es decir, no pueden utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribucin, estos ltimos todava son necesarios, porque algunas aplicaciones slo pueden utilizar grupos de distribucin.

Los grupos de distribucin y de seguridad admiten uno de los tres mbitos de grupo.

Active Directory

Prof. Jorge Amigo G.

Qu son los niveles funcionales de dominio?

Las caractersticas de los grupos de Active Directory dependen del nivel funcional de dominio. La funcionalidad de dominio activa funciones que afectan a todo un dominio. Hay tres niveles funcionales de dominio disponibles: Microsoft Windows 2000 mixto, Windows 2000 nativo y Microsoft Windows ServerTM 2003. Los dominios funcionan de forma predeterminada en el nivel funcional Windows 2000 mixto. Puede aumentar el nivel funcional de dominio a Windows 2000 nativo o Windows Server 2003. La tabla anterior enumera los niveles funcionales de dominio junto con los controladores de dominio y mbitos de grupo que admite cada uno de ellos

Qu son los grupos globales?

Un grupo global es un grupo de distribucin o de seguridad que puede contener usuarios, grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos de seguridad globales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque.

A continuacin, se resumen las caractersticas de los grupos globales: Miembros o o En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas de usuario y equipo del mismo dominio que el grupo global. En un nivel funcional nativo, los grupos globales pueden contener cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio que el grupo global.

Active Directory

Prof. Jorge Amigo G.

Puede ser miembro de o o En el modo mixto, un grupo global slo puede ser miembro de grupos locales de dominio. En el modo nativo, un grupo global puede ser miembro de grupos locales de dominio y universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo global.

mbito o Un grupo global es visible dentro de su dominio y de todos los dominios de confianza, en los que se incluyen todos los dominios del bosque.

Permisos o Puede conceder permisos a un grupo global para todos los dominios del bosque.

Cundo utilizar grupos globales

Debido a que los grupos globales son visibles en todo el bosque, no debe crearlos para obtener acceso a recursos especficos del dominio. Utilice un grupo global para organizar a los usuarios que comparten las mismas tareas de trabajo y necesitan requisitos de acceso a la red similares. Para controlar el acceso a los recursos de un dominio, sera conveniente utilizar otro tipo de grupo.

Qu son los grupos universales?

Un grupo universal es un grupo de distribucin o de seguridad que contiene usuarios, grupos y equipos de cualquier dominio del bosque. Puede utilizar grupos de seguridad universales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque. A continuacin, se resumen las caractersticas de los grupos universales: Miembros o o No puede crear grupos universales en el modo mixto. En el modo nativo, los grupos universales pueden contener cuentas de usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque.

Puede ser miembro de o o No se puede aplicar el grupo universal en el modo mixto. En el modo nativo, el grupo universal puede ser miembro de los grupos locales de dominio y universales de cualquier dominio.

Active Directory

Prof. Jorge Amigo G.

mbito o Los grupos universales son visibles en todos los dominios del bosque y dominios de confianza.

Permisos o Puede conceder permisos a grupos universales para todos los dominios del bosque.

Cundo utilizar grupos universales Utilice grupos universales para anidar grupos globales y poder asignar permisos a recursos relacionados de varios dominios. Un dominio de Windows Server 2003 debe estar en el modo Windows 2000 nativo o superior para poder utilizar grupos universales.

Qu son los grupos locales de dominio?

Un grupo local de dominio es un grupo de distribucin o de seguridad que puede contener grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. Puede utilizar grupos de seguridad locales de dominio para asignar derechos y permisos de usuario slo a recursos del mismo dominio en el que se encuentra ubicado el grupo local de dominio. A continuacin, se resumen las caractersticas de los grupos locales de dominio: Miembros o En el modo mixto, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo y grupos globales de cualquier dominio. Los servidores miembros no pueden utilizar grupos locales de dominio en el modo mixto. En el modo nativo, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque y grupos locales de dominio de su mismo dominio.

Puede ser miembro de o o En el modo mixto, un grupo local de dominio no puede ser miembro de ningn grupo. En el modo nativo, un grupo local de dominio puede ser miembro de grupos locales de dominio de su mismo dominio.

Active Directory

Prof. Jorge Amigo G.

mbito o Un grupo local de dominio slo es visible en el dominio al que pertenece.

Permisos o Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el grupo local de dominio.

Cundo utilizar grupos locales de dominio Utilice un grupo local de dominio para asignar permisos a recursos ubicados en el mismo dominio que el grupo local de dominio. Puede colocar todos los grupos globales que necesiten compartir los mismos recursos en el grupo local de dominio adecuado.

Qu son los grupos locales?

Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados en un servidor miembro o en un servidor independiente. Puede crear grupos locales para conceder permisos para los recursos que residen en el equipo local. Windows 2000 o Windows Server 2003 crean grupos locales en una base de datos de seguridad local. Los grupos locales pueden contener usuarios, equipos, grupos globales, grupos universales y otros grupos locales de dominio. Debido a que los grupos con un mbito local de dominio reciben a menudo el nombre de grupos locales, es importante distinguir entre un grupo local y un grupo con mbito local de dominio. Los grupos locales a veces reciben el nombre de grupos locales de equipo para distinguirlos de los grupos locales de dominio. Caractersticas de los grupos locales A continuacin, se resumen las caractersticas de los grupos locales: Los grupos locales pueden contener cuentas de usuario locales del equipo en el que se crea el grupo local. Los grupos locales no pueden ser miembros de otro grupo.

Active Directory

Prof. Jorge Amigo G.

Cundo utilizar grupos locales

A continuacin, se muestran algunas directrices para utilizar grupos locales: Slo puede utilizar grupos locales en el equipo en el se crean los grupos locales. Los permisos del grupo local ofrecen acceso slo a los recursos del equipo en el que se cre el grupo local. Puede utilizar grupos locales en los equipos que estn ejecutando actualmente sistemas operativos clientes de Microsoft admitidos y en servidores miembros en los que se est ejecutando Windows Server 2003. No puede crear grupos locales en controladores de dominio, porque stos no pueden tener una base de datos de seguridad independiente de la base de datos de Active Directory. Cree grupos locales para limitar la capacidad de acceso de los usuarios y grupos locales a los recursos de la red cuando no desee crear grupos de dominio.

Active Directory

Prof. Jorge Amigo G.