Gestin de Objetos de Servicios de

Dominio de Active Directory

Administracin de Sistemas Operativos
Adriana Arista V.

Cul es la diferencia entre una

cuenta de usuario local y una
de dominio?
Qu es una cuenta de
usuario?

Cules serian las recomendaciones

para contraseas seguras?

ndice
Introduccin
Objetivo General
Objetivos Especficos
1. Administrando Cuentas de Usuario
1.1. Herramientas Administrativas en AD DS
1.2. Creacin de Cuentas de Usuario
1.3. Configuracin de Atributos de Cuentas de Usuarios
1.4. Creacin de Perfiles de Usuario
1.5. Creacin de Cuentas de Usuario usando plantillas de
Cuentas de Usuario
1.6. Demostracin: Administrando cuentas de usuario
mediante la herramienta Usuarios y Equipos de Active
Directory.

2. Administrando Cuentas de Grupo

2.1. Tipos de Grupo
2.2. mbitos de grupo
2.3. Implementando Administracin de Grupo
2.4. Grupos Predeterminados e Identidades Especiales
2.5. Demostracin: Administrar Grupos
3. Administrando Cuentas de Equipo
3.1. Qu es el contenedor de Equipos?
3.2. Especificacin de la ubicacin de cuentas de equipo
3.3. Control de Permisos para crear cuentas de equipo.
3.4. Cuentas de Equipo y Canales Seguro
3.5. Restablecer el Canal Seguro

4. Delegar la administracin
4.1. Permisos en AD DS
4.2. Permisos Efectivos en AD DS
4.3. Demostracin: Delegando Control Administrativo

Introduccin
Se presentar la importancia de la administracin de
usuarios, grupos y equipos de Active Directory Domain
Services (AD DS), para lograr que su estructura jerrquica
permita mantenerlos con componentes de una red, como
tambin permisos, asignacin de recursos y polticas de
acceso.

Objetivo General
Describir la administracin de los objetos del AD.

Objetivos Especficos
Administrar cuentas
herramientas grficas.

de

usuario

con

Administrar grupos con herramientas grficas.

Administrar cuentas de equipo.
Delegar permisos para realizar tareas de
administracin de los servicios de dominio de
Active Directory (AD DS).

1. Administrando cuentas de usuario

Herramientas administrativas en AD DS
Creacin de cuentas de usuario
Configuracin de Atributos de cuentas de usuarios
Creacin de perfiles de usuario
Creacin de cuentas de usuario usando plantillas de
cuentas de usuario
Demostracin: Administrando cuentas de usuario
mediante la herramienta Usuarios y equipos de Active
Directory

1.1. Herramientas administrativas de AD DS

Para administrar los objetos de AD DS, puede utilizar las
siguientes herramientas grficas :
Active Directory Administration snap-ins
Active Directory Administrative Center
Tambin puede utilizar las siguientes herramientas de lnea de
comandos:
Modulo Active Directory en Windows PowerShell

Comandos del Directory Service

1.2. Creacin de cuentas de usuario

1.3. Propiedades de Cuentas de Usuario

1.4. Creacin de perfiles de usuario

1.5. Creacin de cuentas de usuario usando

plantillas de cuentas de usuario
Una plantilla de cuenta de usuario es una cuenta
con propiedades comunes que se han configurado
previamente
Las plantillas de cuentas de usuario se aprovechan
de las similitudes entre cuentas de usuario
Se pueden crear nuevas cuentas de usuario mediante la
creacin de plantillas de cuentas de usuario:

Crear varios usuarios tpicos que reflejan diversos grupos

dentro de su organizacin

Copiar la cuenta de usuario que es la ms parecida a la

nueva cuenta que desea crear

Modificar los atributos de cuenta tales como nombre,

direccin de correo electrnico, y el nombre de inicio de
sesin

1.6. Demostracin: Gestin de cuentas de

usuario mediante Usuarios y equipos de
Active Directory
En esta demostracin, ver cmo:
Abra la herramienta Usuarios y equipos de Active

Directory
Eliminar una cuenta de usuario
Crear una plantilla de cuenta de usuario
Crear una nueva cuenta de usuario desde una plantilla
Modificar las propiedades de una cuenta de usuario
Cambiar el nombre de una cuenta de usuario
Mover una cuenta de usuario

2. Gestin de cuentas de grupo

Tipos de grupo
mbitos de grupo
Implementando administracin de grupo
Grupos predeterminados e Identidades especiales
Demostracin: Administrar grupos

2.1. Tipos de Grupos

Grupos de Distribucin
Slo se utiliza con aplicaciones de
correo electrnico
Sin seguridad habilitada (no SID);
no se puede otorgar permisos
Grupos de Seguridad
Seguridad principal con un SID;
se puede dar permisos
Tambin puede ser habilitada para
correo electrnico

2.2. mbito de Grupos

mbito de
grupo

Miembros del
mismo dominio

Miembros del
dominio en el
mismo
bosque

Miembros de
dominios
externos de
confianza

Pueden ser
Asignados
permisos a los
recursos

Local

U, C,
GG, DLG, UG
y usuarios locales

U, C,
GG, UG

U, C,
GG

En el equipo local
solamente

Dominio Local

U, C,
GG, DLG, UG

U, C,
GG, UG

U, C,
GG

En cualquier parte
del dominio

Universal

U, C,
GG, UG

U, C,
GG, UG

N/A

En cualquier lugar
en el bosque

Global

U, C,
GG

N/A

N/A

En cualquier parte
del dominio o de un
dominio de
confianza

U
C
GG
DLG
UG

Usuario
Computador (Equipo)
Grupo Global
Grupo de Dominio Local
Grupo Universal

2.3. Implementando la Administracin de

Grupos
Identidades (I) (usuarios o

equipos) Son miembros de

Los grupos globales (G) que

agrupan miembros basados en

los roles de esos miembros, de
los que son miembros

Los grupos locales de dominio

(DL) Que ofrecen Gestin de

algn tipo, tal como la gestin
de acceso a un recurso

Los cuales son :

Acceso asignado a un recurso

(A)

En un bosque con varios

dominios: IGUDLA, donde U es

universal.

2.4. Grupos predeterminados e Identidades

especiales
Windows Server proporciona dos grupos adicionales :

Grupos predeterminados
Los grupos predeterminados que proporcionan privilegios
administrativos deben ser administrados con cuidado :
Por lo general tienen privilegios ms amplios que los
necesarios para ambientes ms delegados
A menudo aplican proteccin a sus miembros
Identidades especiales
Grupos para los que la pertenencia es controlado por el sistema
operativo
La importancia de estas identidades especiales es que se puede
utilizar para proporcionar acceso a los recursos en funcin del
tipo de autenticacin o conexin, en lugar de la cuenta de
usuario

2.5. Demostracin: Administrando Grupos

En esta demostracin, ver cmo:
Crear un nuevo grupo
Agregar miembros al grupo
Aadir un usuario al grupo
Cambiar el alcance y el tipo de grupo

3. Gestin de cuentas de equipo

Qu es el contenedor de Equipos?
Especificacin de la ubicacin de cuentas de equipo
Control de permisos para crear cuentas de equipo
Cuentas de equipo y canales seguros
Restablecer el canal seguro

3.1. Qu es el contenedor de Equipos?

3.2. Especificacin de la ubicacin de cuentas

de equipo
La mejor prctica es crear unidades

organizativas para objetos de equipo

Servidores
Normalmente subdividido por rol de
servidor
Equipos Clientes
Normalmente subdivididos por
regin

Divida las unidades organizativas :

Por administracin
Para facilitar la configuracin de
directiva de grupo

3.3. Control de permisos para crear cuentas

de equipo

3.4. Cuentas de equipo y canales seguros

Los equipos tienen cuentas

sAMAccountName y contrasea
Se utiliza para crear un canal seguro entre el ordenador y un
controlador de dominio

Escenarios donde un canal seguro puede ser quebrantado

Reinstalacin de un equipo, incluso con el mismo nombre,

genera un nuevo SID y contrasea
Restauracin de un equipo desde una copia de seguridad
antigua, o reversin de un equipo a una imagen anterior
Equipo y Dominio no estn de acuerdo sobre cual es la
contrasea

3.5. Restablecer el canal seguro

No elimine un equipo del dominio y simplemente trate

de volver a unirlo.
Crea una nueva cuenta: nuevo SID, la pertenencia a
grupos se pierde
Opciones para restablecer el canal seguro
Usuarios y equipos de Active Directory
DSMod
NetDom
NLTest
Windows PowerShell

4. Delegando la Administracin
Permisos en AD DS
Permisos efectivos en AD DS
Demonstracin: Delegando Control Administrativo

4.1. Permisos en AD DS

4.2. Permisos efectivos en AD DS

Permisos asignados a usted y a sus grupos

La mejor prctica es asignar permisos a grupos, no a

usuarios individuales
En el caso de conflictos:
Permisos Denegar anulan Permisos Permitir.
Los permisos explcitos tienen prioridad sobre los
permisos heredados
Permisos Explcitos anulan a permisos Denegar
heredados
Para evaluar los permisos efectivos, puede utilizar :
La ficha Permisos efectivos

Anlisis manual

4.3. Demostracin: Delegacin del control

administrativo
En esta demostracin, ver cmo:
Delegar una tarea estndar
Delegar una tarea personalizada
Visualizar los permisos AD DS resultantes de estas delegaciones

Pregunta:
Usted es responsible de la gestin de cuentas y el
acceso a los rescurso para los miembros de su
grupo. Un usuario en su grupo es transferido a otro
departamento dentro de la empresa Que debe
hacer con la cuenta de usuario?
RPTA: Aunque su empresa puede tener un representante
de Recursos Humanos con permisos en AD DS para mover
cuentas de usuario, la mejor solucin es mover la cuenta
de usuario a la unidad organizativa apropiada del nuevo
departamento. De esta manera, las directivas de grupo
asociadas al nuevo departamento se hacen cumplir.

Bibliografa
20410B Installing and Configuring Windows Server 2012
Official Microsoft Learning Product. Microsoft.
William R. Stanek (2013). Inside Out Windows Server
2012. Washington: Inside Out Microsoft Press.
(005.43WI/S78)
Carretero Prez, Jess (2001). Sistemas operativos. Una
visin aplicada. Madrid: Mc Graw-Hill (005.43/C28)
Charte Ojeda, Francisco (2008). Windows Server 2008.
Madrid: Anaya Multimedia (005.43WI/C525)
Raya Gonzalez, Laura. (2005).Sistemasoperativos en
entorno monousuarios y multiusuarios . Mxico D.F.:
Alfaomega (005.43/R28R)

FIN DE LA UNIDAD

Prxima Sesin:
Automatizacin de Administracin
de Servicios de Dominio de Active
Directory
Administracin de Sistemas Operativos