Mdulo 3: Administrar

grupos

Introduccin
Crear grupos
Administrar la pertenencia a grupos
Estrategias de uso de grupos
Modificar grupos
Uso de grupos predeterminados
Prcticas recomendadas para la administracin
de grupos

Leccin: Crear grupos

Qu son los grupos?
Qu son los niveles funcionales de dominio?
Qu son los grupos globales?
Qu son los grupos universales?
Qu son los grupos locales de dominio?
Qu son los grupos locales?
Dnde crear grupos?
Directrices para la nomenclatura de grupos
Cmo crear un grupo?

Qu son los grupos?

Los grupos simplifican la administracin, ya que
permiten asignar permisos para los recursos

Grupo

Los grupos se distinguen por su mbito y tipo

El mbito de un grupo determina si el grupo comprende varios dominios
o se limita a uno solo
Los 3 mbitos de grupo son: global, local de dominio, universal y local
Tipo de grupo

Descripcin

Seguridad

Se utiliza para asignar derechos y permisos

deusuario Se puede usar como una lista
de distribucin de correo electrnico

Distribucin

Slo se puede usar con aplicaciones de

correo electrnico No se puede utilizar
para asignar permisos

Qu son los niveles funcionales de dominio?

Windows 2000
Windows 2000
mixto
nativo
(predeterminado)

Windows NT
Controladores Server 4.0,
Windows 2000,
de dominio
Windows
admitidos
Server 2003
mbitos
de grupo
admitidos

Windows
2000,
Windows
Server 2003

Global, local
Global y local de
de dominio y
dominio
universal

Windows
Server 2003

Windows
Server 2003
Global, local de
dominio y
universal

Qu son los grupos globales?

Miembros

Puede ser
miembro de

Reglas de los grupos globales

Modo mixto: Cuentas de usuario del mismo dominio
Modo native: Cuentas de usuario, cuentas de equipo y
grupos globales del mismo dominio
Modo mixto: Grupos locales de dominio
Modo nativo: Universal y grupos locales de dominio en
todos los grupos de dominio y globales del mismo dominio

mbito

Todos los dominios del bosque y dominios de confianza

Permisos

Todos los dominios del bosque y dominios de confianza

Qu son los grupos universales?

Reglas de los grupos universales
Miembros

Puede ser
miembro de
mbito
Permisos

Modo mixto: No se puede aplicar

Modo nativo: Cuentas de usuario, cuentas de equipo, grupos
globales y otros grupos universales de cualquier dominio del
bosque
Modo mixto: No se puede aplicar
Modo nativo: Grupos locales de dominio y universales
de cualquier dominio
Visible en todos los dominios de un bosque
Todos los dominios de un bosque

Qu son los grupos locales de dominio?

Miembros

Puede ser
miembro de
mbito
Permisos

Reglas de los grupos locales de dominio

Modo mixto: Cuentas de usuario, cuentas de equipo y
grupos globales de cualquier dominio
Modo nativo: Cuentas de usuario, cuentas de equipo,
grupos globales y grupos universales de cualquier dominio
del bosque, y grupos locales de dominio del mismo dominio
Modo mixto: Ninguno
Modo nativo: Grupos locales de dominio del mismo dominio
Visible slo en su propio dominio
Dominio al que pertenece el grupo local de dominio

Qu son los grupos locales?

Miembro

Reglas de los grupos locales

Cuentas de usuarios locales del equipo, cuentas de
dominio y grupos de dominio

Puede ser miembro de Ninguno

Dnde crear grupos?

Los grupos se pueden crear en el dominio raz del
bosque, en cualquier otro dominio del bosque o en una
unidad organizativa
Seleccione el dominio o unidad organizativa en que
crear un grupo en funcin de los requisitos
de administracin del grupo
Por ejemplo:
Si su directorio tiene varias unidades organizativas,
cada una de ellas con un administrador diferente,
puede crear grupos globales en dichas unidades

Directrices para la nomenclatura de grupos

Para grupos de seguridad:
Incorpore el mbito en la convencin de nomenclatura del nombre del
grupo
El nombre debe reflejar la posesin (nombre de la divisin o del equipo)
Coloque los nombres de dominio o su abreviatura al principio del nombre
del grupo
Use un descriptor para identificar los permisos mximos que puede tener
un grupo, como DL Admins de TI de OU de London

Para grupos de distribucin:

Utilice un nombre de alias corto
No incluya un nombre de alias como parte del nombre para mostrar
Un nico grupo de distribucin puede tener un mximo de cinco
copropietarios

Cmo crear un grupo?

El instructor mostrar cmo:

Crear un grupo en un dominio
Crear un grupo local en un servidor miembro

Crear un grupo con la lnea de comandos

Eliminar un grupo
Eliminar un grupo con la lnea de comandos

Ejercicio: Creacin de grupos

En este ejercicio, se ocupar de:
Crear grupos mediante Usuarios
y equipos de Active Directory
Crear grupos utilizando la herramienta
de lnea de comandos dsadd

Leccin: Administrar la pertenencia a grupos

Las propiedades Miembros y Miembro de
Demostracin: Miembros y Miembro de
Cmo determinar los grupos de los que es miembro
una cuenta de usuario?
Cmo agregar y eliminar miembros de un grupo?

Las propiedades Miembros y Miembro de

Grupo o equipo

Grupo global

Grupo local de dominio

Tom, Jo, y Kim

Administradores
Administradores dede
Madrid
Denver

Administradores de UO de Denver

Miembros

Miembro de

Miembros
Miembros

Miembro
de
Miembro

N/A

Administradores
de Denver

Toms,
Juana
Tom,
y Carmen

Administradores
de UO de
Administradores
Madrid

Jo y Kim

de

de UO de Denver

Miembros

Miembro de

Administradores
de Denver,

N/A

Administradores
de Vancouver

Sam, Scott y Amy

Administradores de Vancouver

Miembros

Miembro de

Miembros

Miembro de

N/A

Administradores
de Vancouver

Sam, Scott
y Amy

Administradores
de UO de Denver

Demostracin: Miembros y Miembro de

En esta demostracin, el instructor
mostrar cmo utilizar las propiedades
Miembros y Miembro de

Cmo determinar los grupos de los que es miembro

una cuenta de usuario?

El instructor mostrar cmo:

Determinar los grupos de los que es miembro un
usuario
Determinar con la lnea de comandos los grupos de los
que es miembro un usuario

Cmo agregar y eliminar miembros de un grupo?

El instructor demostrar cmo agregar miembros

a un grupo y quitarlos del mismo

Ejercicio: Administrar la pertenencia a grupos

En este ejercicio, se agregarn usuarios
a un grupo global

Leccin: Estrategias de uso de grupos

Presentacin multimedia: Estrategia de utilizacin de los
grupos en un nico dominio

Qu es el anidamiento de grupos?
Estrategias de grupo

Presentacin multimedia: Estrategia de utilizacin

de los grupos en un nico dominio
Esta presentacin explica la estrategia
de AGDLP para el uso de grupos

Qu es el anidamiento de grupos?
Significa agregar un grupo como miembro de otro
Grupo

Grupo

Grupo

Grupo

Grupo

Anide grupos para consolidar la administracin

de grupos
Las opciones de anidamiento varan segn se haya
establecido el nivel funcional del dominio de Windows
Server 2003 en Windows 2000 nativo o Windows 2000
mixto

Estrategias de grupo

Cuentas de
Cuentasusuario
de
usuario

AAA
G
AAGGDL
UGDL
LDL
PPPPP

Grupos globales

Grupos
globales

Cuentas
Cuentas
de de
de
Cuentas
Cuentas
de
usuario
usuario
usuario
usuario

Grupos
universales

Permisos

Cuentas de
usuario

A P

Grupos locales de
Grupos locales
dominio
Permisos
de dominio

Grupos
Grupos
Grupos
Grupos Grupos
locales
Grupos
locales
globales de
dominio delocales
dominio
globales
globales

Grupos universales

Grupos locales

Grupos
globales

G
G

Permisos
Permisos
Permisos
Permisos

DL
DL

Estrategias de grupo:
DL
G

AGP
A DL P
DL
L
A G DL P

A G U DL P
A G PL P
P

Debate de clase: Uso de grupos en un nico

dominio
Northwind Traders
desea
reaccionar
de forma
ms rpida
a lasen
demandas
Northwind
Traders
tiene
un nico
dominio
ubicado
Pars,
del
mercado.
ha dispuesto que losdedatos
de contabilidad
deben
estar
Francia.
LosSeadministradores
Northwind
Traders
necesitan
disponibles para todo el personal de contabilidad. Northwind Traders
acceder
a la base de datos de inventario para realizar
desea crear la estructura de grupo de toda la divisin de contabilidad, que
su
trabajo.
Qu puededehacer
para
garantizar
que los
incluye
los departamentos
Cuentas
acreedoras
y Cuentas
deudoras.
Qu
puede hacer
para
garantizar
que los
administradores
tengan
el
administradores
tengan
acceso
a la
base de
datos
Northwind
Traders
tiene
un nico
dominio
ubicado
en Pars,
acceso
necesario y para asegurar que haya un mnimo de administracin?
de inventario?

Francia. Los administradores de Northwind Traders necesitan

Asegrese
que
red
est
nativo.
acceder
a la base
delalos
datos
deejecutndose
inventario
para
realizar
Coloque
a de
todos
administradores
enen
unmodo
grupo
global
Cree tresQu
grupos
globales
llamados:
Divisin
de contabilidad,
su trabajo.
puede
hacer
parapara
garantizar
que
los
Cree
un
grupo
local
de
dominio
el
acceso
a
la
base de
Cuentas
acreedoras
y
Cuentas
deudoras.
administradores
tengan acceso a la base de datos
datos de inventario
Coloque el grupo global Divisin de Contabilidad en el grupo local
de inventario?
Convierta
grupo
global
en miembro
del grupo
local
dede
de dominio el
para
que los
usuarios
puedan acceder
a los
datos
dominio
y conceda permisos al grupo local de dominio para
contabilidad.
acceder a la base de datos de inventario

Cree un grupo local de dominio denominado Datos de Contabilidad.

Conceda a este grupo los permisos adecuados para el archivo de
recursos de datos de contabilidad.

Recomendaciones
A,G,P: Dominio con pocos usuarios, un solo dominio ya que
no se requiere tanto anidamiento y se reducen los
problemas.
A,G,DL,P: Estructura con probabilidad de crecimiento, se
reduce el tiempo al momento de establecer permisos.
A,G,U,DL,P: Para bosques con ms de un dominio, con la
finalidad de agrupara a grupos globales que sean agregarlos
a locales de dominio.

Ejercicio: Adicin de grupos globales a grupos locales

de dominio
En este ejercicio, agregar grupos globales
a grupos locales de dominio

Leccin: Modificar grupos

Qu es la modificacin del mbito o tipo de un grupo?
Cmo cambiar el mbito o tipo de un grupo?
Por qu se debe asignar un administrador a un grupo?
Cmo asignar un administrador a un grupo?

Qu es la modificacin del mbito o tipo de un grupo?

Cambio del mbito de un grupo

De global a universal
De local de dominio a universal
De universal a global
De universal a local de dominio
Cambio del tipo de grupo
De seguridad a distribucin

De distribucin a seguridad

De global a universal. Solamente si ese grupo no es

miembro de otro global.

De local de dominio a universal. Si no tiene a otro grupo

local de dominio como miembro.
De universal a global. Solamente que no tenga otros
grupos universales o locales de otro dominio como sus
miembros.
De universal a local de dominio. No hay restricciones
para el cambio.

Para poder cambiar el mbito de un grupo, es necesario

estar ejecutando el dominio en modo nativo.

Cmo cambiar el mbito o tipo de un grupo?

El instructor mostrar cmo cambiar el mbito o tipo de

un grupo

Ejercicio: Cambio del mbito y tipo de un grupo

En este ejercicio, se ocupar de:

Cambiar el mbito de grupo de global
a local de dominio
Convertir un grupo de seguridad
en un grupo de distribucin

Por qu se debe asignar un administrador

a un grupo?

Responsable del
departamento

Grupo

Para permitirle:

Controlar quin es la persona responsable de los grupos

Delegar en el administrador del grupo la autoridad para
agregar y eliminar usuarios del grupo

Para distribuir la responsabilidad administrativa

de agregar usuarios a grupos entre las personas que
solicitan el grupo

Cmo asignar un administrador a un grupo?

El instructor mostrar cmo asignar un administrador

a un grupo

Ejercicio: Asignar un administrador a un grupo

En este ejercicio, se ocupar de:
Crear un grupo global

Asignar un administrador a un grupo

Probar las propiedades del
administrador del grupo

Leccin: Uso de grupos predeterminados

Grupos predeterminados en servidores miembros
Grupos predeterminados en Active Directory
Cundo utilizar grupos predeterminados?
Consideraciones de seguridad para los grupos
predeterminados

Grupos del sistema

Grupos predeterminados en servidores

miembros

Grupos predeterminados en Active Directory

Cundo utilizar grupos predeterminados?

Los grupos predeterminados son:
Los creados durante la instalacin del sistema operativo
o cuando se agregan servicios como Active Directory
o DHCP
Los que se les asigna automticamente un conjunto
de derechos de usuario
Los grupos predeterminados se usan para:
Controlar el acceso a recursos compartidos

Delegar determinada administracin a todo el dominio

Consideraciones de seguridad para los grupos

predeterminados
Coloque un usuario en un grupo predeterminado slo
cuando est seguro de que desea ofrecerle todos los
derechos y permisos de usuario asignados a dicho
grupo en Active Directory; de lo contrario, cree un nuevo
grupo de seguridad
Por seguridad, los miembros de los grupos
predeterminados deben usar Ejecutar como

Grupos del sistema

Los grupos del sistema representan a diferentes
usuarios en distintas ocasiones

Puede conceder derechos y permisos de usuario a los

grupos del sistema, pero no puede modificar ni ver los
miembros
Los mbitos de grupo no se aplican a los grupos del
sistema
Los usuarios se asignan automticamente a los grupos
del sistema cada vez que inician una sesin o acceden
a un determinado recurso

Algunos grupos de sistema

Anonymous logon.
Everyone.
Network.
Interactive.
Authenticated users.
Creator owner.

Debate de clase: Uso de grupos predeterminados frente

a creacin de nuevos grupos

Northwind Traders tiene ms de 100 servidores en todo

el mundo. Usted asiste a una reunin para discutir las
tareas actuales que deben realizar los administradores y
qu nivel mnimo de acceso necesitan los usuarios para
realizar tareas especficas. Tambin debe determinar si
pueden utilizar grupos predeterminados
o si se deben crear grupos y asignar derechos y
permisos de usuario especficos a los grupos para
realizar estas tareas.

Prcticas recomendadas para la administracin

de grupos
Crear grupos en funcin de las necesidades administrativas
Utilizar grupos locales en un equipo que no sea miembro de ningn
dominio
Agregar cuentas de usuario al grupo ms restrictivo
Utilizar el grupo integrado cuando sea posible, en lugar de crear
un grupo nuevo
Utilice el grupos Usuarios autenticados en lugar del grupo Todos para
conceder la mayor parte de los derechos y permisos de usuario
Limite el nmero de usuarios del grupo Administradores
Confe en todos los miembros de los grupos Administradores, Usuarios
avanzados, Operadores de impresin, Operadores de copia de seguridad

Prctica A: Crear y administrar grupos

En esta prctica, se ocupar de:

Crear grupos locales y globales
Asignar nombres a los grupos segn una
convencin de nomenclatura
Agregar miembros a grupos