Más contenido relacionado
La actualidad más candente (17)
Similar a Unidad 7: Administración de objetos de Active Directory. (20)
Unidad 7: Administración de objetos de Active Directory.
- 1. u n i d a d 7
© MACMILLAN Profesional
Administración de objetos deAdministración de objetos de
Active DirectoryActive Directory
u n i d a d
7
- 2. u n i d a d 7
© MACMILLAN Profesional
- 3. u n i d a d 7
© MACMILLAN Profesional
Unidades organizativas
Active Directory es una base de datos jerárquica y distribuida
orientada a objetos. Almacena los objetos que la red necesita para la
gestión de sus recursos. Para organizar los objetos del dominio
existen unos contenedores llamados unidades organizativas que
facilitan su administración. En su interior puede haber objetos como
usuarios, grupos, equipos e impresoras, así como otras unidades
organizativas.
Una de las diferencias respecto a las carpetas es que los objetos
que están dentro de las unidades organizativas pueden ser movidos
a otras unidades organizativas, pero nunca pueden copiarse, ya que
son únicos.
Las unidades organizativas son muy prácticas porque evitan la
necesidad de crear subdominios para cada departamento o sección.
- 4. u n i d a d 7
© MACMILLAN Profesional
Administración de usuarios en Active Directory
En un dominio, los permisos sobre los recursos son idénticos a los
vistos para la gestión de usuarios y grupos locales en un equipo,
pero los usuarios y grupos se gestionan de manera centralizada
para todo el bosque.
Una cuenta de usuario permite:
Existen dos tipos de cuentas de usuarios en Active Directory:
• Autenticar la identidad de la persona que inicia la sesión.
• Controlar el acceso a los recursos.
• Auditar las acciones del usuario.
Local: permite iniciar la sesión y acceder a los recursos del
equipo o servidor donde se creó la cuenta.
De dominio o global: permite al usuario iniciar la sesión en el
dominio y acceder a los recursos de su dominio o de otro del
mismo bosque. Pueden ser ampliadas con nuevos atributos
modificando el esquema
- 5. u n i d a d 7
© MACMILLAN Profesional
Administración de grupos en Active Directory
La verdadera potencia y complejidad de los grupos se encuentra
en los que se crean en Active Directory. Se denominan grupos del
dominio y son visibles desde todos los equipos conectados al
dominio y, dependiendo del tipo de grupo, desde otros dominios.
Los grupos del dominio se diferencian por:
•Los tipos de grupos y usuarios que pueden contener.
•Desde dónde son visibles.
Grupos de dominio en Active Directory
Se utilizan para asignar permisos a los recursos de un dominio.
Esto quiere decir que siempre que se quiera asignar permisos a
un recurso, se le debería asignar a un grupo de dominio local.
Grupos de dominio local
- 6. u n i d a d 7
© MACMILLAN Profesional
Administración de grupos en Active Directory
Funciones de un sistema operativo de servidor
Sirven para englobar a usuarios del mismo dominio y para
asignarles a esos usuarios permisos a recursos de otros
dominios.
Grupos globales
Sirven para agrupar elementos de diferentes dominios en un
mismo grupo. Además, si este grupo necesita permisos en
diferentes dominios, pueden usarse los grupos universales para
asignar permisos a los recursos.
Grupos universales
Grupos por defecto en Active Directory
En Active Directory también se crean grupos por defecto que
tienen alcance para todo el dominio o bosque. Los más
importantes son:
• Administradores del dominio.
• Usuarios del dominio.
• Administradores de empresas.
• Propietarios del creador de directivas de grupo.
- 7. u n i d a d 7
© MACMILLAN Profesional
Administración de grupos en Active Directory
Estrategias para la creación de grupos
La estrategia más conveniente a la hora de crear grupos se detalla a
continuación:
•Asignar usuarios de un dominio con responsabilidades
comunes a grupos globales.
•Asignar usuarios y grupos globales con responsabilidades
similares pero de diferentes dominios a grupos universales.
•Crear grupos de dominio local para dar permisos a los
recursos que se van a compartir.
•Incluir los grupos globales y los universales en grupos de
dominio local.
•En un servidor miembro de un dominio se desaconseja usar
grupos locales para así tener una gestión centralizada
•Asignar permisos a grupos de dominio local
donde se encuentra el recurso.
- 8. u n i d a d 7
© MACMILLAN Profesional
Administración de equipos e impresoras en Active Directory
Active Directory también mantiene un listado con todos los
equipos del dominio en el que almacena características tales
como el nombre del equipo, su dirección y su identificador único,
conocido como ID.
Los equipos también poseen un número identificador que les
permitirá autenticarse y ser auditados en el acceso a la red.
Los objetos equipos en Active Directory sirven para controlar las
máquinas que se pueden conectar a un dominio, así como para
aplicar directivas sobre estos equipos.
Los equipos en Active Directory pueden agregarse desde el mismo
equipo cliente o desde el propio servidor.
En cuanto a las impresoras, los usuarios pueden
acceder a las impresoras agregadas a Active Directory
de la misma forma que a las carpetas compartidas.
- 9. u n i d a d 7
© MACMILLAN Profesional
Delegación de la administración
Delegar el control de la administración supone dar permiso a
usuarios del dominio para realizar algunas tareas que le
corresponden al administrador de sistemas sobre objetos como:
• Usuarios.
• Equipos.
• Unidades organizativas.
• Otros objetos ubicados en alguna unidad organizativa de
Active Directory.
Hay que tener mucho cuidado cuando se concede la delegación,
ya que una mala gestión podría traer serios problemas en la
seguridad del servidor.
- 10. u n i d a d 7
© MACMILLAN Profesional
Tipos de perfiles de usuario
Los perfiles de usuario son la forma en que Windows almacena la
información sobre los usuarios creados en el sistema. Realmente se
crean cuando el usuario se valida, no cuando este es creado. Un
perfil de usuario puede ser:
Local: se crea la primera vez que el usuario inicia sesión en un
equipo concreto, se almacena en él y solo sirve en este equipo.
Obligatorio: permite a los administradores disponer de
escritorios que no pueden cambiarse. Al cerrar la sesión, se
ignoran los posibles cambios que el usuario haya realizado.
Móvil: la configuración de un usuario se muestra en cualquier
equipo del dominio.
Perfiles móviles
Los perfiles móviles permiten que el escritorio y otras
características del entorno le aparezcan con la misma configuración
al usuario siempre que se valide en el dominio, permitiendo que los
usuarios puedan moverse de un equipo a otro dentro del
dominio.