13.- Administrar grupos
Transcript of 13.- Administrar grupos
Administrar grupos
Introducción
Crear grupos
Administrar la pertenencia a grupos
Estrategias de uso de grupos
Modificar grupos
Uso de grupos predeterminados
Prácticas recomendadas para la administración de grupos
Lección: Crear grupos
¿Qué son los grupos?
¿Qué son los niveles funcionales de dominio?
¿Qué son los grupos globales?
¿Qué son los grupos universales?
¿Qué son los grupos locales de dominio?
¿Qué son los grupos locales?
¿Dónde crear grupos?
Directrices para la nomenclatura de grupos
¿Cómo crear un grupo?
¿Qué son los grupos?
Los grupos simplifican la administración, ya que permiten asignar permisos para los recursos
Los grupos se distinguen por su ámbito y tipo
Tipo de grupo Descripción
Seguridad Se utiliza para asignar derechos y permisos deusuario Se puede usar como una lista de distribución de correo electrónico
Distribución Sólo se puede usar con aplicaciones decorreo electrónico No se puede utilizar para asignar permisos
El ámbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo
Los 3 ámbitos de grupo son: global, local de dominio, universal y local
Grupo Grupo
¿Qué son los niveles funcionales de dominio?
Controladores de dominio admitidos
Windows NT Server 4.0, Windows 2000, Windows Server 2003
Windows 2000, Windows Server 2003
Windows Server 2003
Ámbitos de grupo admitidos
Global y local de dominio
Global, local de dominio y universal
Global, local de dominio y universal
Windows 2000 mixto
(predeterminado)
Windows 2000 nativo
Windows Server 2003
Reglas de los grupos globales
¿Qué son los grupos globales?
Miembros Modo mixto: Cuentas de usuario del mismo dominio Modo native: Cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio
Puede ser miembro de
Modo mixto: Grupos locales de dominio Modo nativo: Universal y grupos locales de dominio en todos los grupos de dominio y globales del mismo dominio
Ámbito Todos los dominios del bosque y dominios de confianza Permisos Todos los dominios del bosque y dominios de confianza
Reglas de los grupos universales
¿Qué son los grupos universales?
Miembros
Modo mixto: No se puede aplicar Modo nativo: Cuentas de usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque
Puede ser miembro de
Modo mixto: No se puede aplicar Modo nativo: Grupos locales de dominio y universales de cualquier dominio
Ámbito Visible en todos los dominios de un bosque Permisos Todos los dominios de un bosque
Reglas de los grupos locales de dominio
¿Qué son los grupos locales de dominio?
Miembros
Modo mixto: Cuentas de usuario, cuentas de equipo y grupos globales de cualquier dominio Modo nativo: Cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque, y grupos locales de dominio del mismo dominio
Puede ser miembro de
Modo mixto: Ninguno Modo nativo: Grupos locales de dominio del mismo dominio
Ámbito Visible sólo en su propio dominio Permisos Dominio al que pertenece el grupo local de dominio
Reglas de los grupos locales
¿Qué son los grupos locales?
Miembro Cuentas de usuarios locales del equipo, cuentas de dominio y grupos de dominio
Puede ser miembro de Ninguno
¿Dónde crear grupos?
Los grupos se pueden crear en el dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa
Seleccione el dominio o unidad organizativa en que crear un grupo en función de los requisitos de administración del grupo
Por ejemplo:
Si su directorio tiene varias unidades organizativas, cada una de ellas con un administrador diferente, puede crear grupos globales en dichas unidades
Directrices para la nomenclatura de grupos
Para grupos de seguridad: Para grupos de seguridad: Incorpore el ámbito en la convención de nomenclatura del nombre del grupo
El nombre debe reflejar la posesión (nombre de la división o del equipo)
Coloque los nombres de dominio o su abreviatura al principio del nombre del grupo
Use un descriptor para identificar los permisos máximos que puede tener un grupo, como DL Admins de TI de OU de London
Incorpore el ámbito en la convención de nomenclatura del nombre del grupo
El nombre debe reflejar la posesión (nombre de la división o del equipo)
Coloque los nombres de dominio o su abreviatura al principio del nombre del grupo
Use un descriptor para identificar los permisos máximos que puede tener un grupo, como DL Admins de TI de OU de London
Para grupos de distribución: Para grupos de distribución: Utilice un nombre de alias corto
No incluya un nombre de alias como parte del nombre para mostrar
Un único grupo de distribución puede tener un máximo de cinco copropietarios
Utilice un nombre de alias corto
No incluya un nombre de alias como parte del nombre para mostrar
Un único grupo de distribución puede tener un máximo de cinco copropietarios
¿Cómo crear un grupo?
El instructor mostrará cómo: El instructor mostrará cómo:
Crear un grupo en un dominio
Crear un grupo local en un servidor miembro
Crear un grupo con la línea de comandos
Eliminar un grupo
Eliminar un grupo con la línea de comandos
Crear un grupo en un dominio
Crear un grupo local en un servidor miembro
Crear un grupo con la línea de comandos
Eliminar un grupo
Eliminar un grupo con la línea de comandos
Ejercicio: Creación de grupos
En este ejercicio, se ocupará de:
Crear grupos mediante Usuarios y equipos de Active Directory
Crear grupos utilizando la herramienta de línea de comandos dsadd
Lección: Administrar la pertenencia a grupos
Las propiedades Miembros y Miembro de
Demostración: Miembros y Miembro de
¿Cómo determinar los grupos de los que es miembro una cuenta de usuario?
¿Cómo agregar y eliminar miembros de un grupo?
Las propiedades Miembros y Miembro de
Grupo o equipo Grupo o equipo Grupo global Grupo global Grupo local de dominio Grupo local de dominio
Miembros Miembro de
N/A Administradores de Denver
Tom, Jo, y Kim Tom, Jo, y Kim
Miembros Miembro de
N/A Administradores de Vancouver
Sam, Scott y AmySam, Scott y Amy
Miembros Miembro de
Tomás, Juana y Carmen
Administradores de UO de Madrid
Administradores de Madrid Administradores de Madrid
Miembros Miembro de
Tom, Jo y Kim
Administradores de UO de Denver
Administradores de Denver Administradores de Denver
Miembros Miembro de
Sam, Scott y Amy
Administradores de UO de Denver
Administradores de Vancouver Administradores de Vancouver
Administradores de UO de Denver Administradores de UO de Denver
Miembros Miembro de
Administradores de Denver,
Administradores de Vancouver
N/A
Demostración: Miembros y Miembro de
En esta demostración, el instructor mostrará cómo utilizar las propiedades Miembros y Miembro de
El instructor mostrará cómo: El instructor mostrará cómo:
¿Cómo determinar los grupos de los que es miembro una cuenta de usuario?
Determinar los grupos de los que es miembro un usuario
Determinar con la línea de comandos los grupos de los que es miembro un usuario
Determinar los grupos de los que es miembro un usuario
Determinar con la línea de comandos los grupos de los que es miembro un usuario
¿Cómo agregar y eliminar miembros de un grupo?
El instructor demostrará cómo agregar miembros a un grupo y quitarlos del mismo El instructor demostrará cómo agregar miembros a un grupo y quitarlos del mismo
Ejercicio: Administrar la pertenencia a grupos
En este ejercicio, se agregarán usuarios a un grupo global
Lección: Estrategias de uso de grupos
Presentación multimedia: Estrategia de utilización de los grupos en un único dominio
¿Qué es el anidamiento de grupos?
Estrategias de grupo
Presentación multimedia: Estrategia de utilización de los grupos en un único dominio
Esta presentación explica la estrategia de AGDLP para el uso de grupos
Grupo
Grupo Grupo Grupo Grupo
Grupo Grupo Grupo Grupo
¿Qué es el anidamiento de grupos?
Significa agregar un grupo como miembro de otro
Anide grupos para consolidar la administración de grupos
Las opciones de anidamiento varían según se haya establecido el nivel funcional del dominio de Windows Server 2003 en Windows 2000 nativo o Windows 2000 mixto
Estrategias de grupo
A G P
A A P P G G
Grupos globales Grupos
globales Permisos Permisos Cuentas de usuario
Cuentas de usuario
A DL P
A A P P DL DL
Grupos locales de dominio
Grupos locales de dominio Permisos Permisos Cuentas de
usuario Cuentas de
usuario
A G DL P
A A P P
Grupos locales de dominio
Grupos locales de dominio
DL DL G G
Permisos Permisos Grupos globales Grupos
globales Cuentas de
usuario Cuentas de
usuario
A G U DL P
A A P P
Grupos locales de dominio
Grupos locales de dominio
DL DL G G
Permisos Permisos Grupos globales Grupos
globales Cuentas de
usuario Cuentas de
usuario Grupos
universales Grupos
universales
U U
A A G G
Grupos globales Grupos
globales Cuentas de
usuario Cuentas de
usuario
A G L P
A A P P
Grupos locales Grupos locales
L L G G
Permisos Permisos Grupos globales Grupos
globales Cuentas de
usuario Cuentas de
usuario
Cuentas de usuario
Cuentas de usuario
A A
Grupos globales Grupos globales
G G
Grupos universales Grupos universales
U U
Grupos locales de dominio
Grupos locales de dominio
DL DL
Estrategias de grupo: Estrategias de grupo:
A G P A DL P A G DL P
A G P A DL P A G DL P
A G U DL P A G L P
Permisos Permisos
P P
Grupos locales Grupos locales
L L
Northwind Traders tiene un único dominio ubicado en París, Francia. Los administradores de Northwind Traders necesitan acceder a la base de datos de inventario para realizar su trabajo. ¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario?
Northwind Traders tiene un único dominio ubicado en París, Francia. Los administradores de Northwind Traders necesitan acceder a la base de datos de inventario para realizar su trabajo. ¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario?
Debate de clase: Uso de grupos en un único dominio
Coloque a todos los administradores en un grupo global
Cree un grupo local de dominio para el acceso a la base de datos de inventario
Convierta el grupo global en miembro del grupo local de dominio y conceda permisos al grupo local de dominio para acceder a la base de datos de inventario
Coloque a todos los administradores en un grupo global
Cree un grupo local de dominio para el acceso a la base de datos de inventario
Convierta el grupo global en miembro del grupo local de dominio y conceda permisos al grupo local de dominio para acceder a la base de datos de inventario
Northwind Traders desea reaccionar de forma más rápida a las demandas del mercado. Se ha dispuesto que los datos de contabilidad deben estar disponibles para todo el personal de contabilidad. Northwind Traders desea crear la estructura de grupo de toda la división de contabilidad, que incluye los departamentos de Cuentas acreedoras y Cuentas deudoras. ¿Qué puede hacer para garantizar que los administradores tengan el acceso necesario y para asegurar que haya un mínimo de administración?
Northwind Traders desea reaccionar de forma más rápida a las demandas del mercado. Se ha dispuesto que los datos de contabilidad deben estar disponibles para todo el personal de contabilidad. Northwind Traders desea crear la estructura de grupo de toda la división de contabilidad, que incluye los departamentos de Cuentas acreedoras y Cuentas deudoras. ¿Qué puede hacer para garantizar que los administradores tengan el acceso necesario y para asegurar que haya un mínimo de administración?
Asegúrese de que la red está ejecutándose en modo nativo.
Cree tres grupos globales llamados: División de contabilidad, Cuentas acreedoras y Cuentas deudoras.
Coloque el grupo global División de Contabilidad en el grupo local de dominio para que los usuarios puedan acceder a los datos de contabilidad.
Cree un grupo local de dominio denominado Datos de Contabilidad. Conceda a este grupo los permisos adecuados para el archivo de recursos de datos de contabilidad.
Asegúrese de que la red está ejecutándose en modo nativo.
Cree tres grupos globales llamados: División de contabilidad, Cuentas acreedoras y Cuentas deudoras.
Coloque el grupo global División de Contabilidad en el grupo local de dominio para que los usuarios puedan acceder a los datos de contabilidad.
Cree un grupo local de dominio denominado Datos de Contabilidad. Conceda a este grupo los permisos adecuados para el archivo de recursos de datos de contabilidad.
Northwind Traders tiene un único dominio ubicado en París, Francia. Los administradores de Northwind Traders necesitan acceder a la base de datos de inventario para realizar su trabajo. ¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario?
Northwind Traders tiene un único dominio ubicado en París, Francia. Los administradores de Northwind Traders necesitan acceder a la base de datos de inventario para realizar su trabajo. ¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario?
Ejercicio: Adición de grupos globales a grupos locales de dominio
En este ejercicio, agregará grupos globales a grupos locales de dominio
Lección: Modificar grupos
¿Qué es la modificación del ámbito o tipo de un grupo?
¿Cómo cambiar el ámbito o tipo de un grupo?
¿Por qué se debe asignar un administrador a un grupo?
¿Cómo asignar un administrador a un grupo?
¿Qué es la modificación del ámbito o tipo de un grupo?
Cambio del ámbito de un grupo
De global a universal
De local de dominio a universal
De universal a global
De universal a local de dominio
Cambio del tipo de grupo
De seguridad a distribución
De distribución a seguridad
¿Cómo cambiar el ámbito o tipo de un grupo?
El instructor mostrará cómo cambiar el ámbito o tipo de un grupo El instructor mostrará cómo cambiar el ámbito o tipo de un grupo
Ejercicio: Cambio del ámbito y tipo de un grupo
En este ejercicio, se ocupará de:
Cambiar el ámbito de grupo de global a local de dominio
Convertir un grupo de seguridad en un grupo de distribución
¿Por qué se debe asignar un administrador a un grupo?
Para permitirle:
Controlar quién es la persona responsable de los grupos
Delegar en el administrador del grupo la autoridad para agregar y eliminar usuarios del grupo
Para distribuir la responsabilidad administrativa de agregar usuarios a grupos entre las personas que solicitan el grupo
Responsable del departamento
Responsable del departamento GrupoGrupo
¿Cómo asignar un administrador a un grupo?
El instructor mostrará cómo asignar un administrador a un grupo El instructor mostrará cómo asignar un administrador a un grupo
Ejercicio: Asignar un administrador a un grupo
En este ejercicio, se ocupará de:
Crear un grupo global
Asignar un administrador a un grupo
Probar las propiedades del administrador del grupo
Lección: Uso de grupos predeterminados
Grupos predeterminados en servidores miembros
Grupos predeterminados en Active Directory
¿Cuándo utilizar grupos predeterminados?
Consideraciones de seguridad para los grupos predeterminados
Grupos del sistema
Grupos predeterminados en servidores miembros
Grupos predeterminados en Active Directory
¿Cuándo utilizar grupos predeterminados?
Los grupos predeterminados son:
Los creados durante la instalación del sistema operativo o cuando se agregan servicios como Active Directory o DHCP
Los que se les asigna automáticamente un conjunto de derechos de usuario
Los grupos predeterminados se usan para:
Controlar el acceso a recursos compartidos
Delegar determinada administración a todo el dominio
Consideraciones de seguridad para los grupos predeterminados
Coloque un usuario en un grupo predeterminado sólo cuando esté seguro de que desea ofrecerle todos los derechos y permisos de usuario asignados a dicho grupo en Active Directory; de lo contrario, cree un nuevo grupo de seguridad
Por seguridad, los miembros de los grupos predeterminados deben usar Ejecutar como
Grupos del sistema
Los grupos del sistema representan a diferentes usuarios en distintas ocasiones
Puede conceder derechos y permisos de usuario a los grupos del sistema, pero no puede modificar ni ver los miembros
Los ámbitos de grupo no se aplican a los grupos del sistema
Los usuarios se asignan automáticamente a los grupos del sistema cada vez que inician una sesión o acceden a un determinado recurso
Northwind Traders tiene más de 100 servidores en todo el mundo. Usted asiste a una reunión para discutir las tareas actuales que deben realizar los administradores y qué nivel mínimo de acceso necesitan los usuarios para realizar tareas específicas. También debe determinar si pueden utilizar grupos predeterminados o si se deben crear grupos y asignar derechos y permisos de usuario específicos a los grupos para realizar estas tareas.
Northwind Traders tiene más de 100 servidores en todo el mundo. Usted asiste a una reunión para discutir las tareas actuales que deben realizar los administradores y qué nivel mínimo de acceso necesitan los usuarios para realizar tareas específicas. También debe determinar si pueden utilizar grupos predeterminados o si se deben crear grupos y asignar derechos y permisos de usuario específicos a los grupos para realizar estas tareas.
Debate de clase: Uso de grupos predeterminados frente a creación de nuevos grupos
Prácticas recomendadas para la administración de grupos
Crear grupos en función de las necesidades administrativas Crear grupos en función de las necesidades administrativas
Utilizar grupos locales en un equipo que no sea miembro de ningún dominio Utilizar grupos locales en un equipo que no sea miembro de ningún dominio
Agregar cuentas de usuario al grupo más restrictivo Agregar cuentas de usuario al grupo más restrictivo
Utilice el grupos Usuarios autenticados en lugar del grupo Todos para conceder la mayor parte de los derechos y permisos de usuario Utilice el grupos Usuarios autenticados en lugar del grupo Todos para conceder la mayor parte de los derechos y permisos de usuario
Limite el número de usuarios del grupo Administradores Limite el número de usuarios del grupo Administradores
Utilizar el grupo integrado cuando sea posible, en lugar de crear un grupo nuevo Utilizar el grupo integrado cuando sea posible, en lugar de crear un grupo nuevo
Confíe en todos los miembros de los grupos Administradores, Usuarios avanzados, Operadores de impresión, Operadores de copia de seguridad Confíe en todos los miembros de los grupos Administradores, Usuarios avanzados, Operadores de impresión, Operadores de copia de seguridad
Práctica A: Crear y administrar grupos
En esta práctica, se ocupará de:
Crear grupos locales y globales
Asignar nombres a los grupos según una convención de nomenclatura
Agregar miembros a grupos