2. Introducción
Crear grupos
Administrar la pertenencia a grupos
Estrategias de uso de grupos
Modificar grupos
Uso de grupos predeterminados
Prácticas recomendadas para la administración
de grupos
3. Lección: Crear grupos
¿Qué son los grupos?
¿Qué son los niveles funcionales de dominio?
¿Qué son los grupos globales?
¿Qué son los grupos universales?
¿Qué son los grupos locales de dominio?
¿Qué son los grupos locales?
¿Dónde crear grupos?
Directrices para la nomenclatura de grupos
¿Cómo crear un grupo?
4. ¿Qué son los grupos?
Los grupos simplifican la administración, ya que
permiten asignar permisos para los recursos
Los grupos se distinguen por su ámbito y tipo
Tipo de grupo Descripción
Seguridad
Se utiliza para asignar derechos y permisos
deusuario Se puede usar como una lista
de distribución de correo electrónico
Distribución
Sólo se puede usar con aplicaciones de
correo electrónico No se puede utilizar
para asignar permisos
El ámbito de un grupo determina si el grupo comprende varios dominios
o se limita a uno solo
Los 3 ámbitos de grupo son: global, local de dominio, universal y local
GrupoGrupo
5. ¿Qué son los niveles funcionales de dominio?
Controladores
de dominio
admitidos
Windows NT
Server 4.0,
Windows 2000,
Windows
Server 2003
Windows
2000,
Windows
Server 2003
Windows
Server 2003
Ámbitos
de grupo
admitidos
Global y local de
dominio
Global, local
de dominio y
universal
Global, local de
dominio y
universal
Windows 2000
mixto
(predeterminado)
Windows 200
0 nativo
Windows
Server 2003
6. Reglas de los grupos globales
¿Qué son los grupos globales?
Miembros
Modo mixto: Cuentas de usuario del mismo dominio
Modo native: Cuentas de usuario, cuentas de equipo y
grupos globales del mismo dominio
Puede ser
miembro de
Modo mixto: Grupos locales de dominio
Modo nativo: Universal y grupos locales de dominio en
todos los grupos de dominio y globales del mismo dominio
Ámbito Todos los dominios del bosque y dominios de confianza
Permisos Todos los dominios del bosque y dominios de confianza
7. Reglas de los grupos universales
¿Qué son los grupos universales?
Miembros
Modo mixto: No se puede aplicar
Modo nativo: Cuentas de usuario, cuentas de equipo, grupos
globales y otros grupos universales de cualquier dominio del
bosque
Puede ser
miembro de
Modo mixto: No se puede aplicar
Modo nativo: Grupos locales de dominio y universales
de cualquier dominio
Ámbito Visible en todos los dominios de un bosque
Permisos Todos los dominios de un bosque
8. Reglas de los grupos locales de dominio
¿Qué son los grupos locales de dominio?
Miembros
Modo mixto: Cuentas de usuario, cuentas de equipo y
grupos globales de cualquier dominio
Modo nativo: Cuentas de usuario, cuentas de equipo,
grupos globales y grupos universales de cualquier dominio
del bosque, y grupos locales de dominio del mismo dominio
Puede ser
miembro de
Modo mixto: Ninguno
Modo nativo: Grupos locales de dominio del mismo dominio
Ámbito Visible sólo en su propio dominio
Permisos Dominio al que pertenece el grupo local de dominio
9. Reglas de los grupos locales
¿Qué son los grupos locales?
Miembro
Cuentas de usuarios locales del equipo, cuentas de
dominio y grupos de dominio
Puede ser miembro de Ninguno
10. ¿Dónde crear grupos?
Los grupos se pueden crear en el dominio raíz del
bosque, en cualquier otro dominio del bosque o en una
unidad organizativa
Seleccione el dominio o unidad organizativa en que
crear un grupo en función de los requisitos
de administración del grupo
Por ejemplo:
Si su directorio tiene varias unidades organizativas,
cada una de ellas con un administrador diferente,
puede crear grupos globales en dichas unidades
11. Directrices para la nomenclatura de grupos
Para grupos de seguridad:Para grupos de seguridad:
Incorpore el ámbito en la convención de nomenclatura del nombre del grupo
El nombre debe reflejar la posesión (nombre de la división o del equipo)
Coloque los nombres de dominio o su abreviatura al principio del nombre del
grupo
Use un descriptor para identificar los permisos máximos que puede tener un
grupo, como DL Admins de TI de OU de London
Incorpore el ámbito en la convención de nomenclatura del nombre del grupo
El nombre debe reflejar la posesión (nombre de la división o del equipo)
Coloque los nombres de dominio o su abreviatura al principio del nombre del
grupo
Use un descriptor para identificar los permisos máximos que puede tener un
grupo, como DL Admins de TI de OU de London
Para grupos de distribución:Para grupos de distribución:
Utilice un nombre de alias corto
No incluya un nombre de alias como parte del nombre para mostrar
Un único grupo de distribución puede tener un máximo de cinco
copropietarios
Utilice un nombre de alias corto
No incluya un nombre de alias como parte del nombre para mostrar
Un único grupo de distribución puede tener un máximo de cinco
copropietarios
12. ¿Cómo crear un grupo?
El instructor mostrará cómo:El instructor mostrará cómo:
Crear un grupo en un dominio
Crear un grupo local en un servidor miembro
Crear un grupo con la línea de comandos
Eliminar un grupo
Eliminar un grupo con la línea de comandos
Crear un grupo en un dominio
Crear un grupo local en un servidor miembro
Crear un grupo con la línea de comandos
Eliminar un grupo
Eliminar un grupo con la línea de comandos
13. Ejercicio: Creación de grupos
En este ejercicio, se ocupará de:
Crear grupos mediante Usuarios
y equipos de Active Directory
Crear grupos utilizando la herramienta
de línea de comandos dsadd
14. Lección: Administrar la pertenencia a grupos
Las propiedades Miembros y Miembro de
Demostración: Miembros y Miembro de
¿Cómo determinar los grupos de los que es miembro
una cuenta de usuario?
¿Cómo agregar y eliminar miembros de un grupo?
15. Las propiedades Miembros y Miembro de
Grupo o equipoGrupo o equipo Grupo globalGrupo global Grupo local de dominioGrupo local de dominio
Miembros Miembro de
N/A Administradores
de Denver
Tom, Jo, y KimTom, Jo, y Kim
Miembros Miembro de
N/A Administradores
de Vancouver
Sam, Scott y AmySam, Scott y Amy
Miembros Miembro de
Tomás, Juana
y Carmen
Administradores de UO de
Madrid
Administradores de MadridAdministradores de Madrid
Miembros Miembro de
Tom,
Jo y Kim
Administradores
de UO de Denver
Administradores de DenverAdministradores de Denver
Miembros Miembro de
Sam, Scott
y Amy
Administradores
de UO de Denver
Administradores de VancouverAdministradores de Vancouver
Administradores de UO de DenverAdministradores de UO de Denver
Miembros Miembro de
Administradores
de Denver,
Administradores
de Vancouver
N/A
16. Ejercicio: Administrar la pertenencia a grupos
En este ejercicio, se agregarán usuarios
a un grupo global
17. Lección: Estrategias de uso de grupos
Presentación multimedia: Estrategia de utilización de los
grupos en un único dominio
¿Qué es el anidamiento de grupos?
Estrategias de grupo
18. Presentación multimedia: Estrategia de utilización
de los grupos en un único dominio
Esta presentación explica la estrategia
de AGDLP para el uso de grupos
19. Grupo
GrupoGrupo
GrupoGrupo
GrupoGrupo
GrupoGrupo
¿Qué es el anidamiento de grupos?
Significa agregar un grupo como miembro de otro
Anide grupos para consolidar la administración
de grupos
Las opciones de anidamiento varían según se haya
establecido el nivel funcional del dominio de Windows
Server 2003 en Windows 2000 nativo o Windows 2000
mixto
20. Estrategias de grupo
A G P
AA PPGG
Grupos
globales
Grupos
globales
PermisosPermisos
Cuentas de
usuario
Cuentas de
usuario
A DL P
AA PPDLDL
Grupos locales
de dominio
Grupos locales
de dominio
PermisosPermisos
Cuentas de
usuario
Cuentas de
usuario
A G DL P
AA PP
Grupos locales
de dominio
Grupos locales
de dominio
DLDLGG
PermisosPermisos
Grupos
globales
Grupos
globales
Cuentas de
usuario
Cuentas de
usuario
A G U DL P
AA PP
Grupos locales
de dominio
Grupos locales
de dominio
DLDLGG
PermisosPermisos
Grupos
globales
Grupos
globales
Cuentas de
usuario
Cuentas de
usuario
Grupos
universales
Grupos
universales
UU
AA GG
Grupos
globales
Grupos
globales
Cuentas de
usuario
Cuentas de
usuario
A G L P
AA PP
Grupos
locales
Grupos
locales
LLGG
PermisosPermisos
Grupos
globales
Grupos
globales
Cuentas de
usuario
Cuentas de
usuario
Cuentas de
usuario
Cuentas de
usuario
AA
Grupos globalesGrupos globales
GG
Grupos universalesGrupos universales
UU
Grupos locales de
dominio
Grupos locales de
dominio
DLDL
Estrategias de grupo:Estrategias de grupo:
A G P
A DL P
A G DL P
A G P
A DL P
A G DL P
A G U DL P
A G L P
PermisosPermisos
PP
Grupos localesGrupos locales
LL
21. Northwind Traders tiene un único dominio ubicado en París,
Francia. Los administradores de Northwind Traders necesitan
acceder a la base de datos de inventario para realizar
su trabajo. ¿Qué puede hacer para garantizar que los
administradores tengan acceso a la base de datos
de inventario?
Northwind Traders tiene un único dominio ubicado en París,
Francia. Los administradores de Northwind Traders necesitan
acceder a la base de datos de inventario para realizar
su trabajo. ¿Qué puede hacer para garantizar que los
administradores tengan acceso a la base de datos
de inventario?
Debate de clase: Uso de grupos en un único
dominio
Coloque a todos los administradores en un grupo global
Cree un grupo local de dominio para el acceso a la base de
datos de inventario
Convierta el grupo global en miembro del grupo local de
dominio y conceda permisos al grupo local de dominio para
acceder a la base de datos de inventario
Coloque a todos los administradores en un grupo global
Cree un grupo local de dominio para el acceso a la base de
datos de inventario
Convierta el grupo global en miembro del grupo local de
dominio y conceda permisos al grupo local de dominio para
acceder a la base de datos de inventario
Northwind Traders desea reaccionar de forma más rápida a las demandas
del mercado. Se ha dispuesto que los datos de contabilidad deben estar
disponibles para todo el personal de contabilidad. Northwind Traders desea
crear la estructura de grupo de toda la división de contabilidad, que incluye
los departamentos de Cuentas acreedoras y Cuentas deudoras. ¿Qué
puede hacer para garantizar que los administradores tengan el acceso
necesario y para asegurar que haya un mínimo de administración?
Northwind Traders desea reaccionar de forma más rápida a las demandas
del mercado. Se ha dispuesto que los datos de contabilidad deben estar
disponibles para todo el personal de contabilidad. Northwind Traders desea
crear la estructura de grupo de toda la división de contabilidad, que incluye
los departamentos de Cuentas acreedoras y Cuentas deudoras. ¿Qué
puede hacer para garantizar que los administradores tengan el acceso
necesario y para asegurar que haya un mínimo de administración?
Asegúrese de que la red está ejecutándose en modo nativo.
Cree tres grupos globales llamados: División de contabilidad,
Cuentas acreedoras y Cuentas deudoras.
Coloque el grupo global División de Contabilidad en el grupo local de
dominio para que los usuarios puedan acceder a los datos de
contabilidad.
Cree un grupo local de dominio denominado Datos de Contabilidad.
Conceda a este grupo los permisos adecuados para el archivo de
recursos de datos de contabilidad.
Asegúrese de que la red está ejecutándose en modo nativo.
Cree tres grupos globales llamados: División de contabilidad,
Cuentas acreedoras y Cuentas deudoras.
Coloque el grupo global División de Contabilidad en el grupo local de
dominio para que los usuarios puedan acceder a los datos de
contabilidad.
Cree un grupo local de dominio denominado Datos de Contabilidad.
Conceda a este grupo los permisos adecuados para el archivo de
recursos de datos de contabilidad.
Northwind Traders tiene un único dominio ubicado en París,
Francia. Los administradores de Northwind Traders necesitan
acceder a la base de datos de inventario para realizar
su trabajo. ¿Qué puede hacer para garantizar que los
administradores tengan acceso a la base de datos
de inventario?
Northwind Traders tiene un único dominio ubicado en París,
Francia. Los administradores de Northwind Traders necesitan
acceder a la base de datos de inventario para realizar
su trabajo. ¿Qué puede hacer para garantizar que los
administradores tengan acceso a la base de datos
de inventario?
22. Ejercicio: Adición de grupos globales a grupos locales
de dominio
En este ejercicio, agregará grupos globales
a grupos locales de dominio
23. Lección: Modificar grupos
¿Qué es la modificación del ámbito o tipo de un grupo?
¿Cómo cambiar el ámbito o tipo de un grupo?
¿Por qué se debe asignar un administrador a un grupo?
¿Cómo asignar un administrador a un grupo?
24. ¿Qué es la modificación del ámbito o tipo de un grupo?
Cambio del ámbito de un grupo
De global a universal
De local de dominio a universal
De universal a global
De universal a local de dominio
Cambio del tipo de grupo
De seguridad a distribución
De distribución a seguridad
25. Ejercicio: Cambio del ámbito y tipo de un grupo
En este ejercicio, se ocupará de:
Cambiar el ámbito de grupo de global
a local de dominio
Convertir un grupo de seguridad
en un grupo de distribución
26. ¿Por qué se debe asignar un administrador
a un grupo?
Para permitirle:
Controlar quién es la persona responsable de los grupos
Delegar en el administrador del grupo la autoridad para
agregar y eliminar usuarios del grupo
Para distribuir la responsabilidad administrativa
de agregar usuarios a grupos entre las personas que
solicitan el grupo
Responsable del
departamento
Responsable del
departamento GrupoGrupo
27. Ejercicio: Asignar un administrador a un grupo
En este ejercicio, se ocupará de:
Crear un grupo global
Asignar un administrador a un grupo
Probar las propiedades del administrador
del grupo
28. Lección: Uso de grupos predeterminados
Grupos predeterminados en servidores miembros
Grupos predeterminados en Active Directory
¿Cuándo utilizar grupos predeterminados?
Consideraciones de seguridad para los grupos
predeterminados
Grupos del sistema
31. ¿Cuándo utilizar grupos predeterminados?
Los grupos predeterminados son:
Los creados durante la instalación del sistema operativo
o cuando se agregan servicios como Active Directory
o DHCP
Los que se les asigna automáticamente un conjunto
de derechos de usuario
Los grupos predeterminados se usan para:
Controlar el acceso a recursos compartidos
Delegar determinada administración a todo el dominio
32. Consideraciones de seguridad para los grupos
predeterminados
Coloque un usuario en un grupo predeterminado sólo
cuando esté seguro de que desea ofrecerle todos los
derechos y permisos de usuario asignados a dicho grupo
en Active Directory; de lo contrario, cree un nuevo grupo
de seguridad
Por seguridad, los miembros de los grupos
predeterminados deben usar Ejecutar como
33. Grupos del sistema
Los grupos del sistema representan a diferentes
usuarios en distintas ocasiones
Puede conceder derechos y permisos de usuario a los
grupos del sistema, pero no puede modificar ni ver los
miembros
Los ámbitos de grupo no se aplican a los grupos del
sistema
Los usuarios se asignan automáticamente a los grupos
del sistema cada vez que inician una sesión o acceden
a un determinado recurso
34. Northwind Traders tiene más de 100 servidores en todo
el mundo. Usted asiste a una reunión para discutir las
tareas actuales que deben realizar los administradores y
qué nivel mínimo de acceso necesitan los usuarios para
realizar tareas específicas. También debe determinar si
pueden utilizar grupos predeterminados
o si se deben crear grupos y asignar derechos y
permisos de usuario específicos a los grupos para
realizar estas tareas.
Northwind Traders tiene más de 100 servidores en todo
el mundo. Usted asiste a una reunión para discutir las
tareas actuales que deben realizar los administradores y
qué nivel mínimo de acceso necesitan los usuarios para
realizar tareas específicas. También debe determinar si
pueden utilizar grupos predeterminados
o si se deben crear grupos y asignar derechos y
permisos de usuario específicos a los grupos para
realizar estas tareas.
Debate de clase: Uso de grupos predeterminados frente
a creación de nuevos grupos
35. Prácticas recomendadas para la administración
de grupos
Crear grupos en función de las necesidades administrativasCrear grupos en función de las necesidades administrativas
Utilizar grupos locales en un equipo que no sea miembro de ningún
dominio
Utilizar grupos locales en un equipo que no sea miembro de ningún
dominio
Agregar cuentas de usuario al grupo más restrictivoAgregar cuentas de usuario al grupo más restrictivo
Utilice el grupos Usuarios autenticados en lugar del grupo Todos para
conceder la mayor parte de los derechos y permisos de usuario
Utilice el grupos Usuarios autenticados en lugar del grupo Todos para
conceder la mayor parte de los derechos y permisos de usuario
Limite el número de usuarios del grupo AdministradoresLimite el número de usuarios del grupo Administradores
Utilizar el grupo integrado cuando sea posible, en lugar de crear
un grupo nuevo
Utilizar el grupo integrado cuando sea posible, en lugar de crear
un grupo nuevo
Confíe en todos los miembros de los grupos Administradores, Usuarios
avanzados, Operadores de impresión, Operadores de copia de seguridad
Confíe en todos los miembros de los grupos Administradores, Usuarios
avanzados, Operadores de impresión, Operadores de copia de seguridad
36. Práctica A: Crear y administrar grupos
En esta práctica, se ocupará de:
Crear grupos locales y globales
Asignar nombres a los grupos según una
convención de nomenclatura
Agregar miembros a grupos