03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf

8/16/2019 03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf

1/35

Gestión de Objetos de Servicios de

Dominio de Active Directory

Administración de Sistemas Operativos

Adriana Arista V.


2/35

¿Qué es una cuenta de

usuario?

¿Cuáles serian las recomendaciones

para contraseñas seguras?

¿Cuál es la diferencia entre una

cuenta de usuario local y una

de dominio?


3/35

Índice

• Introducción• Objetivo General• Objetivos Específicos1. Administrando Cuentas de Usuario

1.1. Herramientas Administrativas en AD DS1.2. Creación de Cuentas de Usuario1.3. Configuración de Atributos de Cuentas de Usuarios1.4. Creación de Perfiles de Usuario

1.5. Creación de Cuentas de Usuario usando plantillas deCuentas de Usuario1.6. Demostración: Administrando cuentas de usuariomediante la herramienta Usuarios y Equipos de Active

Directory.


4/35

2. Administrando Cuentas de Grupo2.1. Tipos de Grupo

2.2. Ámbitos de grupo2.3. Implementando Administración de Grupo2.4. Grupos Predeterminados e Identidades Especiales

2.5. Demostración: Administrar Grupos3. Administrando Cuentas de Equipo3.1. ¿Qué es el contenedor de Equipos?3.2. Especificación de la ubicación de cuentas de equipo3.3. Control de Permisos para crear cuentas de equipo.3.4. Cuentas de Equipo y Canales Seguro3.5. Restablecer el Canal Seguro


5/35

4. Delegar la administración4.1. Permisos en AD DS

4.2. Permisos Efectivos en AD DS4.3. Demostración: Delegando Control Administrativo


6/35

Introducción

• Se presentará la importancia de la administración deusuarios, grupos y equipos de Active Directory DomainServices (AD DS), para lograr que su estructura jerárquicapermita mantenerlos con componentes de una red, comotambién permisos, asignación de recursos y políticas deacceso.


7/35

Objetivo General

• Describir la administración de los objetos del AD.


8/35

Objetivos Específicos

•

Administrar cuentas de usuario conherramientas gráficas.

• Administrar grupos con herramientas gráficas.

• Administrar cuentas de equipo.

• Delegar permisos para realizar tareas deadministración de los servicios de dominio deActive Directory® (AD DS).


9/35

1 Administrando cuentas de usuario

• Herramientas administrativas en AD DS• Creación de cuentas de usuario

• Configuración de Atributos de cuentas de usuarios

• Creación de perfiles de usuario• Creación de cuentas de usuario usando plantillas de

cuentas de usuario

• Demostración: Administrando cuentas de usuariomediante la herramienta Usuarios y equipos de ActiveDirectory


10/35

1 1 Herramientas administrativas de AD DS

Para administrar los objetos de AD DS, puede utilizar lassiguientes herramientas gráficas :

También puede utilizar las siguientes herramientas de línea de

comandos:

• Active Directory Administration snap-ins

• Active Directory Administrative Center

• Modulo Active Directory en Windows PowerShell

• Comandos del Directory Service


11/35

1 2 Creación de cuentas de usuario


12/35

1 3 Propiedades de Cuentas de Usuario


13/35

1 4 Creación de perfiles de usuario


14/35

1 5 Creación de cuentas de usuario usando

plantillas de cuentas de usuario

Se pueden crear nuevas cuentas de usuario mediante lacreación de plantillas de cuentas de usuario:

• Crear varios usuarios típicos que reflejan diversos gruposdentro de su organización

• Copiar la cuenta de usuario que es la más parecida a lanueva cuenta que desea crear

• Modificar los atributos de cuenta tales como nombre,dirección de correo electrónico, y el nombre de inicio de

sesión

Una plantilla de cuenta de usuario es una cuentacon propiedades comunes que se han configurado

previamente

Las plantillas de cuentas de usuario se aprovechan

de las similitudes entre cuentas de usuario


15/35

1 6 Demostración: Gestión de cuentas de

usuario mediante Usuarios y equipos de

Active Directory

En esta demostración, verá cómo:

• Abra la herramienta Usuarios y equipos de ActiveDirectory

• Eliminar una cuenta de usuario

• Crear una plantilla de cuenta de usuario

• Crear una nueva cuenta de usuario desde una plantilla

•

Modificar las propiedades de una cuenta de usuario• Cambiar el nombre de una cuenta de usuario

• Mover una cuenta de usuario


16/35

2 Gestión de cuentas de grupo

• Tipos de grupo

• Ámbitos de grupo

• Implementando administración de grupo

• Grupos predeterminados e Identidades especiales

• Demostración: Administrar grupos


17/35

2 1 Tipos de Grupos

• Grupos de Distribución• Sólo se utiliza con aplicaciones de

correo electrónico

• Sin seguridad habilitada (no SID);

no se puede otorgar permisos

• Grupos de Seguridad

• Seguridad principal con un SID;se puede dar permisos

• También puede ser habilitada paracorreo electrónico


18/35

2 2 Ámbito de Grupos

U UsuarioC Computador (Equipo)GG Grupo GlobalDLG Grupo de Dominio LocalUG Grupo Universal

Ámbito degrupo

Miembros delmismo dominio

Miembros deldominio en el

mismobosque

Miembros dedominios

externos deconfianza

Pueden serAsignados

permisos a losrecursos

Local U, C,GG, DLG, UGy usuarios locales

U, C,GG, UG

U, C,GG

En el equipo localsolamente

Dominio Local U, C,GG, DLG, UG U, C,GG, UG U, C,GG En cualquier partedel dominio

Universal U, C,GG, UG

U, C,GG, UG

N/A En cualquier lugaren el bosque

Global U, C,GG

N/A N/A En cualquier partedel dominio o de undominio deconfianza


19/35

2 3 Implementando la Administración de

Grupos

•

Identidades (I) (usuarios oequipos) Son miembros de

• Los grupos globales (G) queagrupan miembros basados enlos roles de esos miembros, de

los que son miembros• Los grupos locales de dominio

(DL) Que ofrecen Gestión dealgún tipo, tal como la gestiónde acceso a un recurso

Los cuales son :

• Acceso asignado a un recurso(A)

• En un bosque con varios

dominios: IGUDLA, donde U esuniversal.


20/35

2 4 Grupos predeterminados e Identidades

especiales

Windows Server proporciona dos grupos adicionales :• Grupos predeterminados

• Los grupos predeterminados que proporcionan privilegiosadministrativos deben ser administrados con cuidado :

• Por lo general tienen privilegios más amplios que losnecesarios para ambientes más delegados

• A menudo aplican protección a sus miembros

• Identidades especiales

•

Grupos para los que la pertenencia es controlado por el sistemaoperativo

• La importancia de estas identidades especiales es que se puedeutilizar para proporcionar acceso a los recursos en función deltipo de autenticación o conexión, en lugar de la cuenta deusuario


21/35

2 5 Demostración: Administrando Grupos

En esta demostración, verá cómo:• Crear un nuevo grupo

• Agregar miembros al grupo

• Añadir un usuario al grupo

• Cambiar el alcance y el tipo de grupo


22/35

3 Gestión de cuentas de equipo

• ¿Qué es el contenedor de Equipos?

• Especificación de la ubicación de cuentas de equipo

• Control de permisos para crear cuentas de equipo

• Cuentas de equipo y canales seguros

• Restablecer el canal seguro


23/35

3 1 ¿Qué es el contenedor de Equipos?


24/35

3 2 Especificación de la ubicación de cuentas

de equipo

• La mejor práctica es crear unidadesorganizativas para objetos de equipo

• Servidores

• Normalmente subdividido por rol de

servidor• Equipos Clientes

• Normalmente subdivididos porregión

•

Divida las unidades organizativas :• Por administración

• Para facilitar la configuración dedirectiva de grupo


25/35

3 3 Control de permisos para crear cuentas

de equipo


26/35

3 4 Cuentas de equipo y canales seguros

• Los equipos tienen cuentas• sAMAccountName y contraseña

• Se utiliza para crear un canal seguro entre el ordenador y uncontrolador de dominio

• Escenarios donde un canal seguro puede ser quebrantado• Reinstalación de un equipo, incluso con el mismo nombre,

genera un nuevo SID y contraseña

• Restauración de un equipo desde una copia de seguridad

antigua, o reversión de un equipo a una imagen anterior• Equipo y Dominio no están de acuerdo sobre cual es la

contraseña


27/35

3 5 Restablecer el canal seguro

•

No elimine un equipo del dominio y simplemente tratede volver a unirlo.

• Crea una nueva cuenta: nuevo SID, la pertenencia agrupos se pierde

•

Opciones para restablecer el canal seguro• Usuarios y equipos de Active Directory

• DSMod

• NetDom

• NLTest

• Windows PowerShell


28/35

4 Delegando la Administración

• Permisos en AD DS

• Permisos efectivos en AD DS

• Demonstración: Delegando Control Administrativo


29/35

4 1 Permisos en AD DS


30/35

4 2 Permisos efectivos en AD DS

Permisos asignados a usted y a sus gruposLa mejor práctica es asignar permisos a grupos, no ausuarios individuales

En el caso de conflictos:

Para evaluar los permisos efectivos, puede utilizar :

•

Permisos Denegar anulan Permisos Permitir.• Los permisos explícitos tienen prioridad sobre los

permisos heredados

• Permisos Explícitos anulan a permisos Denegar

heredados

• La ficha Permisos efectivos

• Análisis manual


31/35

4 3 Demostración: Delegación del control

administrativo

En esta demostración, verá cómo:• Delegar una tarea estándar

• Delegar una tarea personalizada

•

Visualizar los permisos AD DS resultantes de estas delegaciones


32/35

Pregunta:

Usted es responsible de la gestión de cuentas y elacceso a los rescurso para los miembros de su grupo. Un usuario en su grupo es transferido a otrodepartamento dentro de la empresa ¿Que debehacer con la cuenta de usuario?

RPTA: Aunque su empresa puede tener un representantede Recursos Humanos con permisos en AD DS para movercuentas de usuario, la mejor solución es mover la cuentade usuario a la unidad organizativa apropiada del nuevo

departamento. De esta manera, las directivas de grupoasociadas al nuevo departamento se hacen cumplir.


33/35

Bibliografía

20410B Installing and Configuring Windows Server 2012Official Microsoft Learning Product. Microsoft.

William R. Stanek (2013). Inside Out Windows Server

2012. Washington: Inside Out Microsoft Press.

(005.43WI/S78)

Carretero Pérez, Jesús (2001). Sistemas operativos. Unavisión aplicada. Madrid: Mc Graw-Hill (005.43/C28)

Charte Ojeda, Francisco (2008). Windows Server 2008.

Madrid: Anaya Multimedia (005.43WI/C525)

Raya Gonzalez, Laura. (2005).Sistemasoperativos enentorno monousuarios y multiusuarios . México D.F.:

Alfaomega (005.43/R28R)


34/35

FIN DE LA UNIDAD


35/35

Próxima Sesión

Automatización de Administración

de Servicios de Dominio de Active

Directory

Administración de Sistemas Operativos

Documents

03 - Gestión de Objetos de Servicios de Dominio de Active Directory.pdf