Las interrupciones o los problemas de rendimiento de las redes pueden generar un impacto económico significativo en las operaciones diarias. Es fundamental administrar los dispositivos de red para mantener el estado y la integridad de su red. La administración básica de redes (los “servicios” o el “servicio”) ofrece recursos y herramientas de Dell para monitorear y administrar de forma remota la red, lo que le permite a su limitado equipo de TI concentrarse en iniciativas de TI de mayor valor.
2. Las interrupciones o los problemas de rendimiento de las
redes pueden generar un impacto económico significativo en
las operaciones diarias. Es fundamental administrar los
dispositivos de red para mantener el estado y la integridad de
su red. La administración básica de redes (los “servicios” o el
“servicio”) ofrece recursos y herramientas de Windows para
monitorear y administrar de forma remota la red, lo que le
permite a su limitado equipo de TI concentrarse en iniciativas
de TI de mayor valor. Windows monitorea de forma proactiva
los dispositivos de red las 24 horas del día, los 365 días del
año, mediante herramientas automatizadas de Dell. Además
de estas herramientas, el Servicio incluye un equipo de
ingenieros altamente capacitados que brindan soporte en caso
de problemas complejos con la red para diversos niveles de
soporte. A fin de adquirir este Servicio, se necesitan cincuenta
(50) dispositivos contratados como mínimo.
3. CREAR CUENTAS DE USARIO
• Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y
en Panel de control, haga doble clic en Herramientas administrativas y,
a continuación, vuelva a hacer doble clic en Usuarios y equipos de
Active Directory.
• En el árbol de consola, haga clic con el botón secundario en la carpeta
a la que desea agregar una cuenta de usuario.r.
• Abrimos nuestra, ya famosa, MMC personalizada.
4. Nos posicionamos dentro de “Active Directory
Users and Computers” y lo expandimos.
• Nos posicionamos en la OU “gente” dentro
del dominio “contoso.com”.
• Boton derecho –> New –> User
5. Al pulsar en el boton “Next” pasamos a introducir la
contraseña para este usuario y activamos la casilla “User
must change password at next logon” para que el
usuario establezca su contraseña la primera vez que se
identifique en el dominio.
En el cuado de dialogo “New Object – User”,
rellenamos los campos que vemos en la
captura siguiente:
6. Pulsamos en “Next”.
Y ahora en “Finish”.
Una vez creado el usuario, lo seleccionamos. Pulsamos
el boton derecho del raton y seleccionamos “Properties”.
7. En este cuadro de dialogo podemos modificar y/o
añadir otras propiedades de la cuenta de usuario.
Examinamos un poco las mismas y pulsamos en “Ok”.
8. Ahora que ya tenemos el usuario “Dani Gonzalez”
creado, para practicar un poco mas, podemos crear los
suguientes usuarios:
• Juan Gabilondo (jgabilondo)
• Sara Gomez (sgomez)
• Sara Garcia (sgarcia)
• Oscar Abad (oabad) – Aqui creamos una cuenta con
nuestro nombre, cada uno con el suyo.
Repetimos los pasos que hemos realizado antes para
crar estas cuentas.
Al finalizar el proceso nos quedara algo parecido a lo
siguiente:
9. Ahora nos posicionamos en la OU
“administradores” para crear una cuenta
propia con permisos administrativos.
Pulsamos boton derecho en la OU
“administradores” –> New –> User.
10. En el cuadro de dialogo “New Object – User”, rellemanos todos
los datos necesarios. Fijaos que el nombre de esta cuenta es
“oscar_admin”. Esto lo hago para diferenciarla de la cuenta de
usuario normal que he creado antes.
Pulsamos sobre el boton “Next”, introducimos la contraseña
dos veces y activamos la pestaña “User must change password
at next logon”.
11. Es una buena practica activar esta casilla, pero tambien
depende de la polica que tengamos en nuestra
empresa o entorno ya que posiblemente tengamos
establecidas unas constraseñas “estandar” para los
usuarios dependiendo del cargo que ocupen o el
departamento en el que trabajen. Esto a vuestra
eleccion.
Pusar en “Next”.
13. ADMINISTRACIÓN DE
DIRECTIVAS DE GRUPO LOCAL
Paso A Paso.
1. Creación de usuarios y grupos. Vamos a crear los siguientes
usuarios y grupos:
Grupo: Killers
• carlos
• manuel
Grupo: Timers
• bruno
• benji
Abrimos entonces el panel de control. presionamos
start(inicio) y luego panel control(panel de control).
14. Abriendo Panel de Control
Se abrirá una ventana en la cual damos clic sobre
User Accounts(Cuentas de Usuario)
Abriendo Cuentas de Usuario
Luego damos clic en Add or remove user
accounts(Agregar o eliminar cuentas de usuario)
15. Agregar o eliminar cuentas de usuario
En la suguiente ventana damos clic en Create a new
account(Crear una nueva cuenta)
Crear una nueva cuenta
En la nueva ventana de dialogo ingresamos el nombre
del usuario, definimos si es un usuario estándar o
Administrador y presionamos el botón Create
Account(Crear Cuenta).
17. Creando cuenta a usuario bruno
Creando cuenta a usuario benji
Para ponerle contraseña a cada una de las cuentas que
acabamos de crear simplemente damos clic en la ventana
de cada usuario.
18. Configuración de usuario.
y seleccionamos la opcion Create a password(Crear
una contraseña).
Configuración de usuario(CONTRASEÑA)
En el nuevo cuadro de dialogo definimos la contraseña y
presionamos el botón:
• Create password(Crear contraseña).
19. Creando contraseña
De esta forma con los demás usuarios.
Ahora crearemos los grupos killers(manuel, carlos) y
timers(bruno, benji). Para ello vamos a Start(Inicio), luego
damos clic derecho sobre Computer(Equipo) y
seleccionamos la opcion Manage(Administrar).
Abriendo administrador de quipo.
Se abrira el administrador de el equipo, alli nos
dirigimos a Configuration > Local User and Groups
> Groups.
20. Abriendo administrador de grupos locales.
Estando en Configuration>Local User and
Groups>Groups, damos clic derecho sobre el area de
trabajo y seleccionamos la opcion New Group…
Añadiendo un nuevo grupo
Se abrirá una ventana de dialogo en la cual
definimos Nombre y miembros de el grupo. Para
añadir un miembro damos clic en Add(Agregar).
21. Añadiendo nuevo grupo
Se abrirá una nueva ventana en la cual escribimos el
nombre de el usuario que será parte de el grupo en este
caso carlos y presionamos OK.
Añadiendo nuevo miembro
Asi mismo añadimos a el grupo killers el usuario
manuel y presionamos el boton Create(Crear).
22. Grupo killers
Creamos de la misma manera el grupo timers y
añadiremos a los usuarios benji y bruno.
dministrar Directivas Locales De Grupo.
La administracion de las directivas de grupo locales se
hace desde Local Group Policity Editor(Editor de politicas
de grupo locales), para abrirlo nos dirigimos a
Start(Inicio)>Run(Ejecutar).
23. Abrir ejecutar…
Se abrira entonces la ventana Run…Alli digitamos
gpedit.msc
gpedit.msc
• Podemos ver que hay dos tipos de niveles de
configuracion de GPOs.
• Computer Confuration(Configuración De
Equipo)
• User Configuration(Configuración De Usuario)
24. Primero implementaremos entonces directivas
de configuracion de equipo.
Vamos a aplicar una directiva para que la
vigencia máxima de la contraseña para todos
los usuarios de la máquina sea de 15 días. Para
ello vamos a navegar por las GPOs de
Configuración de equipo. Vamos entonces a
Computer Confiration(Configuración de
Equipo)>Windows Settings(Configuración de
Windows)>Security Settings(Configuración de
Seguridad)>Account Policies(Directivas de
Cuenta)>Password Policy(Directivas de
Contraseña), damos doble clic sobre Maximum
password age(Vigencia máxima de la
contraseña), por defecto son 42 dias.
25. Maximum password age(Vigencia máxima
de la contraseña)
Se abrira una ventana de dialogo en la cual
podemos vamos a definir que la
contraseña va a tener una vigencia de 15
dias. Luego oprimimos el
botonOK(Aceptar).
26. Contraseña con vigencia de 15 días
Las contraseñas deben cumplir con los requisitos de
complejidad por defecto de Windows server ¿Cuáles son estos
requerimientos
Los Requerimientos son:
• No contener el nombre de cuenta del usuario o partes del
nombre completo del usuario en más de dos caracteres
consecutivos No contener el nombre de la cuenta o
nombre completo. Incluir caracteres de tres de las
siguientes categorías: Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z) Dígitos de base 10 (del 0 al 9)
Caracteres no alfanuméricos (por ejemplo, !, $, #, %) Estos
requisitos de complejidad se exigen al cambiar o crear
contraseñas.
• Para habilitar el cumplimiento de los parametros para las
contraseñas vamos a navegar por las GPOs de
Configuración de equipo. Vamos entonces a Computer
Confiration(Configuración de Equipo)>Windows
Settings(Configuración de Windows)>Security
Settings(Configuración de Seguridad)>Account
Policies(Directivas de Cuenta)>Password Policy(Directivas
de Contraseña), damos doble clic sobre Password must
meetcomplexity requirements(La contraseña debe cumplir
los requisitos de complejidad).
27. La contraseña debe cumplir los
requisitos de complejidad
Se abrira una ventana de dialogo en la
cual podemos habilitar o desabilitar el
cumplimiento de los requerimientos de
complejidad de las contraseñas.
Seleccionamos la opcion
Enable(Habilitar) y luego oprimimos el
boton OK(Aceptar).
28. La contraseña debe cumplir los requisitos de
complejidad
Procedemos entonces a aplicar la directiva para
que cuando los usuarios necesiten cambiar la
contraseña, no puedan usar un password que se
haya usado antes, por lo menos desde los últimos
dos cambios.
Para ellos nos dirigimos entonces a Computer
Confiration(Configuración de Equipo)>Windows
Settings(Configuración de Windows)>Security
Settings(Configuración de Seguridad)>Account
Policies(Directivas de Cuenta)>Password
Policy(Directivas de Contraseña), damos doble clic
sobre Enforce password history(Exigir historial de
contraseñas).
29. Enforce password history
Se abrira una ventana de dialogo en la cual
podemos configurar cuantas contraseña se
guardaran en el historial entre las mas recientes
configuradas. En este caso configuraremos para que
guarde las dos ultimas contraseñas utilizadas.
Oprimimos el botón OK.
30. Historial de las dos ultimas contraseñas usadas
Ahora aplicaremos una directiva para que los usuarios
del grupo Killers puedan apagar la máquina una vez
hayan iniciado sesión, pero los usuarios del grupo
Timers no puedan apagar el equipo (Desde el sistema
operativo).
Para ello nos dirigimos a Computer
Confiration(Configuración de Equipo)>Windows
Settings(Configuración de Windows)>Security
Settings(Configuración de Seguridad)>Local
Policies(Directivas locales)>User rights
Assignments(Asignacion de derechos de usuario),
damos doble clic sobre Shutdown the system(Apagar el
sistema).
31. Shutdown the system1
Se abrirá una ventana en la cual podemos
definir los usuarios a los cuales vamos a
permitir que apaguen el sistema. Presionamos
entonces el boton Add User Or Group…
32. Add User Or Group…
Se abrira una ventana en la cual
podemos simplemente copiar el
nombre de los usuarios o los grupos
a los cuales vamos a permitir el
apagado de el sistema, por ende
permitiremos a todos los usuarios
menos a el grupo Timers. Por ende
solo agregaremos a el grupo killers
y dejaremos los administradores de
el sistema. Presionamos el boton
OK.
33. Añadir Los Grupos
Aplicamos los cambios.
Apagado de el sistema
Cambiamos la seccion de usuario y entramos como
el usuario benji que pertenece al grupo timers que
no debe poder apagar el equipo.
34. Cambio de usuario a benji(Del grupo
Timers)
Al iniciar el sistema, presionamos
Start>log off y podemos ver que el
botón de apagado(Shut down) y
reinicio(Restart) de el sistema estan
desactivados.
35. El usuario benji de el grupo timers no
puede apagar ni reiniciar el PC
Ahora vamos a permitirle a los usuarios
de el grupo timers cambiar la hora de la
maquina local.
Para ello nos dirigimos a Computer
Confiration(Configuración de
Equipo)>Windows
Settings(Configuración de
Windows)>Security
Settings(Configuración de
Seguridad)>Local Policies(Directivas
locales)>User rights
Assignments(Asignacion de derechos
de usuario), damos doble clic sobre
Change the system time(Cambiar la
hora de el sistema).
36. Change the system time
Se abrirá una ventana en la cual incluiremos a los
usuarios y/o grupos a los cuales les permitiremos que
cambien la hora, en este caso timers. Presionamos el
boton Add user or group…
Add user or group…
…escribimos entonces timers y presionamos el boton
OK.
37. Add user or group…
Aplicamos los cambios a las GPO.
Aplicar los cambios
Cambiamos de usuario, iniciamos entonces sesion
con el usuario benji que pertenece al grupo timers.
38. Cambio de sesión
Damos clic en la barra de
herramientas a el icono de la hora y
seleccionamos la opción cambiar la
configuración de fecha y hora,
intentamos hacer cambios y
efectivamente el usuario tiene
permisos de hacerlo.
39. Cambiando la hora de el sistema
Vamos a aplicar políticas que afectan el
uso de Internet Explorer. Primero vamos a
restringir a los usuarios en general la
posibilidad de eliminar el historial de
navegación. Para ello vamos a
Configuración del equipo>Plantillas
administrativas>Componentes de
windows>Internet explorer y damos doble
clic en la opción Desactivar la
funcionalidad”Eliminar el historial de
exploración”.
41. Desactivar funcionalidad”Eliminar el
historial de exploración”
Ahora desactivaremos la configuración
de el historial.
Vamos a aplicar políticas que afectan el
uso de Internet Explorer. Primero vamos
a restringir a los usuarios en general la
posibilidad de eliminar el historial de
navegación. Para ello vamos a
Configuración del equipo>Plantillas
administrativas>Componentes de
windows>Internet explorer y damos
doble clic en la opción Deshabilitar la
configuración de el historial.
42. Desabilitar la configuración de el historial
Se abrirá una ventana de dialogo en la cual
seleccionamos la opción Habilitada y presionamos el
botón aceptar.
Desabilitar la configuración de el historial
Ahora aplicaremos una política para que los usuarios no
puedan cambiar el proxy. Para ello primero
configuraremos el proxy, vamos a User
Configuration(Configuración de usuario)>Windows
Settings( Configuración de windows)>Internet explorer
Maintenance(Mantenimiento de Internet
explorer)>Connection(Conexión) y damos doble clic en
Proxy Settings(Configuracion de los servidores proxy).
Se abrirá una ventana de dialogo en la cual
seleccionamos la casilla Enable proxy settings(Habilitar
configuracion de proxy) y configuramos el proxy y los
puertos. Al terminar presionamos el botón OK(aceptar).
43. Configuración de servidor proxy
Para impedir que los usuarios
cambien la configuración anterior
vamos a Computer
Configuration(Configuración del
equipo)>Administrative
templates(Plantillas
administrativas)>Windows
components(Componentes de
windows)>Internet
Explorer(Internet Explorer) y
damos doble clic en Disable
changing proxy
settings(Desabilitar el cambio de
configuracion de proxy).
44. Desabilitar el cambio de configuracion
de proxy
Se abrirá una nueva ventana de
dialogo en la cual seleccionamos la
opcion Enable(Habilitar) y luego el
botón OK(Aceptar).
45. ADMINISTRACIÓN DEL USUARIO
Administrador de usuarios representa los grupos globales con un gráfico de dos caras impuestas a través de un globo.
Los grupos globales contener cuentas de usuario de un dominio agrupadas como un nombre de grupo. Un grupo
global no puede contener otro grupo global o un grupo local. Los grupos globales predeterminados en un servidor
avanzado son los administradores de dominio y los grupos de usuarios del dominio. Una estación de trabajo de
Windows NT no define los grupos globales predeterminados. Sin embargo, dado que un grupo global puede ser un
miembro de un grupo local, un grupo local definido en una estación de trabajo de Windows NT puede contener un
grupo global del dominio.
46. ADMINISTRACIÓN DEL USUARIO
Administrador de usuarios representa los grupos globales con un gráfico de dos caras impuestas a través de
un globo. Los grupos globales contener cuentas de usuario de un dominio agrupadas como un nombre de
grupo. Un grupo global no puede contener otro grupo global o un grupo local. Los grupos globales
predeterminados en un servidor avanzado son los administradores de dominio y los grupos de usuarios del
dominio. Una estación de trabajo de Windows NT no define los grupos globales predeterminados. Sin
embargo, dado que un grupo global puede ser un miembro de un grupo local, un grupo local definido en una
estación de trabajo de Windows NT puede contener un grupo global del dominio.
47. GLOBALIDAD
La interconección efectiva y global de carácter económico, cultural, turístico, científico, técnico y comunicativo. Todo
tiene que ver con todo y todo actúa sobre todo, lo que en cierto sentido siempre he habido. Pero globalidad significa,
además, que existe una autopercepción de la interconexión y, en segundo lugar interconexión que es percibida como
tal. La globalidad es autorreferencial y se lleva a cabo mediante los modernas técnicas comunicativas en tiempo real.
De ahí se deriva el concepto de Globalización que abarca los procesos económicos, mediales, técnicos, y culturales
que se desprenden de dicha globalidad, a veces de forma espontánea, pero también de modo premeditado y
planificado.
El tercer punto es el globalismo. Se podría denominar como la ideología de la globalización. Refleja la globalización
fáctica y la exalta simultáneamente a la calidad de norma. En el globalismo el ser global deviene una especie de
obligación de deber ser global. El globalismo predica que la humanidad sólo se desarrollará en el futuro mediante la
globalización y que esta ultima esta en condiciones de garantizar la paz futura.
48. LOCALIDAD
Localidad es una división territorial o administrativa genérica para cualquier núcleo de población con identidad propia.
Puede ser tanto un núcleo de pequeño tamaño y pocos habitantes (aldea, pueblo) como un núcleo de gran tamaño y
muy poblado (ciudad). También existen localidades despobladas.
La definición de localidad varía según los países, en algunos de ellos la unión de varias localidades forma una entidad
política o jurisdiccional como, por ejemplo, un municipio. También es posible que tal entidad política se forme con una
única localidad. Una u otra cosa suelen estar determinadas por factores geográficos (como el grado depoblamiento
concentrado o poblamiento disperso que exista sobre el espacio geográfico, a su vez influido por factores físicos y
humanos), factores históricos (por ejemplo, en España, la forma en que se produjo la repoblación en la Edad Media) o
factores políticos.
Una localidad definida como una porción de la superficie de la tierra caracterizada por la forma, cantidad, tamaño y
proximidad entre sí de ciertos objetos físicos artificiales fijos (edificios) y por ciertas modificaciones artificiales del suelo
(calles), necesarias para conectar aquellos entre sí, suele ser la base de unidades censales.
UNIVERSALIDAD
Calidad o carácter universal. Hecho o idea que abarca o es para todos.
49. GRUPOS DE SEGURIDAD Y DE DISTRIBUCIÓN
Los tipos de grupos determinan cómo se utiliza el grupo. Los tipos de grupos de Microsoft Active Directory
son los siguientes:
50. • Grupos de seguridad: Microsoft Active Directory utiliza los grupos de seguridad para otorgar permisos para, así,
obtener acceso a los recursos.
• Grupos de distribución: las aplicaciones basadas en Windows utilizan los grupos de distribución como listas para
funciones no relacionadas con la seguridad. Los grupos de distribución se utilizan para enviar mensajes de correo
electrónico a grupos de usuarios. No puede otorgar permisos de Windows a grupos de distribución.
Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red. Con los
grupos de seguridad se puede:
51. Asignar derechos de usuario a los grupos de seguridad de AD DS
Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese
grupo en el ámbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario
automáticamente cuando se instala AD DS para ayudar a los administradores a definir el rol administrativo de una
persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad en AD DS,
éste puede realizar operaciones de copia de seguridad y restauración de archivos y directorios en cada controlador de
dominio del dominio.
Asignar permisos para recursos a los grupos de seguridad
Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede tener acceso a un
recurso compartido. También determinan el nivel de acceso, como Control total. Los grupos de seguridad se pueden
usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en
objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de seguridad
predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.
52. Como sucede con los grupos de distribución, los grupos de seguridad también se pueden usar como entidades de
correo electrónico. Al enviar un mensaje de correo electrónico a un grupo de seguridad, se envía a todos sus
miembros.
Identidades especiales
Además de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows
Server 2008 R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad
se las suele llamar grupos. Estos grupos especiales no tienen pertenencias específicas que se puedan modificar. Sin
embargo, pueden representar a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos
siguientes son identidades especiales:
53. • Inicio de sesión anónimo
Este grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus recursos a través de la red sin usar
un nombre de cuenta, contraseña o nombre de dominio. En los equipos con Windows NT y versiones anteriores, el grupo
Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 R2,
Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesión anónimo no es miembro del grupo Todos de
manera predeterminada.
• Todos
Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cuando un
usuario inicia sesión en la red, se agrega automáticamente al grupo Todos.
• Red
Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de la red, frente a
los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local en el equipo en el que reside el recurso.
Cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega automáticamente al grupo Red.
• Interactivo
Este grupo representa a todos los usuarios que disponen de una sesión iniciada en un equipo determinado y que están
obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a través de la
red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesión, se agrega
automáticamente al grupo Interactivo.
54. Aunque a las identidades especiales se les pueden conceder derechos y permisos para los recursos, las pertenencias
de identidades especiales no se pueden ver ni modificar. Las identidades especiales no tienen ámbitos de grupo. Los
usuarios son asignados automáticamente a ellas cuando inician sesión u obtienen acceso a un recurso concreto.
Aunque WebSphere Application Server pueda utilizar cualquier tipo de grupo, los grupos de seguridad están
vinculados, normalmente, a los roles de seguridad de WebSphere Application Server.
Los ámbitos de grupo describen qué tipo de objetos se pueden organizar juntos dentro de un grupo. La anidación de
grupos se describe cuándo un grupo es un miembro de otros grupos. Los ámbitos de grupos de Microsoft Active
Directory son los siguientes:
55. Uso de Windows: los miembros de este grupo pueden provenir de cualquier dominio, pero pueden acceder a los
recursos de Windows sólo en el dominio local. Utilice este ámbito para otorgar permisos a los recursos del dominio
que estén ubicados en el mismo dominio en el que creó el grupo local del dominio. Los grupos locales de dominio
pueden existir en todos los niveles combinados, nativos y funcionales provisionales de dominios y bosques.
Restricción: no se puede definir la anidación de grupos en un grupo local de dominio. Un grupo local de dominio no
puede ser miembro de otro grupo local de dominio ni de cualquier otro grupo del mismo dominio.
Uso de WebSphere: los usuarios, normalmente, no se colocan en grupos de dominio local, debido a estas restricciones.
Por lo general, los roles de seguridad de WebSphere Application Server no están enlazados a los grupos locales de
dominio.
GRUPO LOCAL DEL DOMINIO:
56. GRUPO GLOBAL:
Uso de Windows: los miembros de este grupo tienen su origen en un dominio local, pero pueden acceder a los
recursos de Windows de cualquier dominio. El grupo global se utiliza para organizar los usuarios que comparten
requisitos de acceso a red similares de Windows. Puede añadir miembros sólo desde el dominio en que se cree el
grupo global. Puede utilizar este grupo para asignar los permisos para obtener acceso a los recursos de Windows que
estén ubicados en cualquier dominio del dominio, árbol o bosque.
Puede agrupar usuarios con funciones similares bajo el ámbito global, y otorgar permiso para acceder a los recursos
de Windows como, por ejemplo, una impresora o una carpeta y archivos compartidos, disponibles en el dominio local
u otro dominio del mismo bosque. Puede utilizar los grupos globales para otorgar permiso para obtener acceso a los
recursos de Windows que estén ubicados en cualquier dominio de un único bosque, ya que sus pertenencias están
limitadas. Puede añadir cuentas de usuario y grupos globales sólo desde el dominio en el que se cree el grupo global.
La anidación es posible para los grupos globales dentro de otros grupos, ya que puede añadir un grupo global en otro
grupo global de cualquier dominio. Los miembros de un grupo global pueden ser miembros de un grupo local de
dominio. Los grupos globales existen en todos los niveles combinados, nativos y funcionales provisionales de dominios
y bosques.
Uso de WebSphere Application Server: los grupos globales son visibles en cada controlador de dominio, pero las
pertenencias sólo resultan visibles para los usuarios locales. Es decir, puede ver las pertenencias a grupo sólo si
consulta su controlador de dominio de inicio. Un grupo global debe contener grupos de usuarios. Los grupos globales
se han diseñado para que se incluyan en los grupos universales.
57. GRUPO UNIVERSAL:
Uso de Windows: los miembros de este grupo pueden provenir de cualquier dominio, y pueden acceder a los recursos
de Windows de varios dominios. Las pertenencias a los grupos universales no están limitadas, como ocurre en los
grupos globales. Todas las cuentas de usuario y grupos del dominio pueden ser miembros de un grupo universal.
Restricciones:
Los grupos universales están disponibles cuando el dominio está en un nivel funcional mixto de Windows.
58. DIRECTRICES DE GRUPO UNIVERSAL
1. Asigne permisos a los grupos universales para los recursos de Windows de cualquier dominio de la red.
2. Utilice los grupos universales sólo cuando su pertenencia sea estática. Los cambios efectuados en la pertenencia
pueden provocar un tráfico de red excesivo entre los controladores de dominio. La pertenencia de los grupos
universales se puede replicar a muchos controladores de dominio.
3. Añada grupos globales de varios dominios a un grupo universal.
4. Asigne permisos para el acceso a un recurso de Windows al grupo universal, y para que pueda utilizarlo la
resolución de pertenencia a grupos de WebSphere Application Server en varios dominios.
5. Utilice un grupo universal del mismo modo que un grupo local de dominio cuando asigne permisos de recursos.
Evite problemas: Cuando seleccione cualquiera de estos escenarios, consulte la información adecuada de Microsoft
Active Directory para entender completamente las implicaciones que los escenarios pueden tener en la planificación
de la configuración.
59. ÁMBITO DE GRUPO
Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres
ámbitos de grupo: local de dominio, global y universal.
Grupos locales de dominio
Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows NT,
Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2. A los miembros de estos
grupos solo se les pueden asignar permisos dentro de un dominio.
Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio
único. Estos grupos pueden tener los siguientes miembros:
• Cuentas de cualquier dominio
• Grupos globales de cualquier dominio
• Grupos universales de cualquier dominio
• Grupos locales de dominio, pero solo del mismo dominio que el grupo local de dominio primario
• Una combinación de los anteriores
60. GRUPOS GLOBALES
Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los
grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden
asignar permisos en cualquier dominio del bosque.
Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario,
como las cuentas de usuario y de equipo. Dado que los grupos con ámbito Global no se replican fuera de su propio
dominio, las cuentas de un grupo con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de
replicación en el catálogo global.
Aunque las asignaciones de derechos y permisos solo son válidas en el dominio en el que se asignan, al aplicar grupos
con ámbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a cuentas
con fines similares. De esta manera se simplifica y se racionaliza la administración de grupos entre dominios. Por
ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo con ámbito Global denominado
GLAccounting en el dominio UnitedStates, debería haber también un grupo denominado GLAccounting en el dominio
Europe (a menos que esa función de contabilidad (Accounting) no exista en el dominio Europe).
61. GRUPOS UNIVERSALES
Los grupos universales pueden tener los siguientes miembros:
• Cuentas de cualquier dominio del bosque en el que reside este grupo universal
• Grupos globales de cualquier dominio del bosque en el que reside este grupo universal
• Grupos universales de cualquier dominio del bosque en el que reside este grupo universal
A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios.
Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas
a los grupos con ámbito Global y anide estos grupos dentro de los grupos que tengan ámbito Universal. Si usa esta estrategia,
los cambios de pertenencias en los grupos que tienen ámbito Global no afectan a los grupos con ámbito Universal.
Por ejemplo, si una red tiene dos dominios, Europe y UnitedStates, y hay un grupo con ámbito Global denominado
GLAccounting en cada dominio, cree un grupo con ámbito Universal denominado UAccounting que tenga como miembros los
dos grupos GLAccounting, UnitedStatesGLAccounting y EuropeGLAccounting. Después, podrá usar el grupo UAccounting en
cualquier lugar de la organización. Los cambios de pertenencia de los grupos GLAccounting individuales no producirá la
replicación del grupo UAccounting.
No cambie la pertenencia de un grupo con ámbito Universal frecuentemente. Los cambios de pertenencia de este tipo de
grupo hacen que se replique toda la pertenencia del grupo en cada catálogo global del bosque.
62. RESUMEN
Las cuentas de usuario de Active Directory representan entidades físicas, como personas. Las cuentas de
usuario también se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son
objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden
usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:
63. Autentica la identidad de un usuario.
Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio
pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y
únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.
Autoriza o deniega el acceso a los recursos del dominio.
Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función
de los permisos explícitos que se le hayan asignado en el recurso.
Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).
Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como
usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.
Confianza entre bosques
La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de
doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.
64. SUMMARY
User accounts in Active Directory represent physical entities, such as people. User accounts can also be used as
dedicated service accounts for some applications.
Sometimes, the user accounts are also called principals. Security principals are directory objects automatically
to security identifiers (SIDs), which can be used to access domain resources are allocated. Primarily, a user
account:
Authenticates the identity of a user.
A user account enables a user to log on to computers and domains with an identity that the domain can
authenticate. A user who logs on to the network must have a user account and own unique password. To
maximize security, avoid having multiple users sharing one account.
65. Authorizes or denies access to domain resources.
After a user authenticates, it is granted or denied access to domain resources based on the explicit permissions that
are assigned to you on the resource.
It is the term used to describe Microsoft implementation of directory service in a distributed computer network. Using
different protocols (mostly LDAP, DNS, DHCP, Kerberos ...).
Its hierarchical structure allows to maintain a number of objects related to network components, such as users,
groups, permissions and resource allocation and access policies.
Trust between forests
Trust between forests allows interconnection between domains forests, creating two-way transitive relations. In
Windows 2000, the trusts between forests are of explicit type, unlike Windows Server 2003.
66. RECOMENDACIONES
• Cuando creamos una cuenta debemos ingresar bien los datos sobre todo la contraseña ya que si perdemos
esta tendremos problemas para acceder a nuestra cuenta y nuestro computador.
• A pesar de ser una herramienta difícil visualmente brinda herramientas de gran apoyo .
• Antes de realizar cualquier cambio el administrador siempre tiene preparados los mecanismos para volver
al estado anterior. Idea: "Un paso atrás para tomar impulso".
67. CONCLUSIONES
• El control en una red es de gran importancia para el correcto manejo y fluidéz de la información y los
recursos.
• Una solución en software Libre es SAMBA.
• Active Directory de Microsoft es un servicio de directorio que permite a los administradores reducir el costo
y el esfuerzo de la administración de una red de dominio basado en Windows. AD facilita la centralización
de los recursos y de gestión, así como la autenticación y autorización de usuarios. Puedes utilizar un
entorno de Active Directory para redes grandes y pequeñas
68. GLOSARIO DE TÉRMINOS
Red: Una red de computadoras es un conjunto de dos o más computadoras o dispositivos conectados entre sí y que
comparten información (archivos), recursos (CD-ROM, impresoras, etc.) y servicios (e-mail, Chat, juegos), etc. Cliente:
es un programa o computadora que accede a recursos y servicios brindados por otro llamado Servidor.
TCP/IP: protocolo base de Internet, y sirve para enlazar computadoras que utilizan diferentes sistemas operativos,
incluyendo PC, computadoras centrales sobre redes de área local (LAN) y área extensa (WAN).
NTFS: (siglas en inglés de New Technology File System) es un sistema de archivos diseñado específicamente para
Windows NT, con el objetivo de crear un sistema de archivos eficiente, robusto y con seguridad incorporada desde su
base. También soporta compresión nativa de archivos y encriptación (esto último sólo a partir de Windows 2000).
FAT: (File Allocation Table o "tabla de ubicación de archivos") es el principal sistema de archivos desarrollado para
MS-DOS y Windows. El sistema de archivos FAT es relativamente sencillo, y debido a eso es muy popular como
formato para disquetes.