Las unidades organizativas (OU) permiten organizar objetos como cuentas de usuario, equipos y grupos dentro de un dominio. Esto facilita la delegación de control administrativo sobre colecciones de objetos y simplifica la administración de recursos comúnmente agrupados, como cuentas de una misma unidad o departamento de una empresa.

2. Cuentas de usuario
Cuentas de usuarios locales
• Cuentas de usuario definidas en el equipo local, con acceso
solamente al equipo local y, por tanto, a los recursos del mismo
• Los usuarios pueden tener acceso a los recursos de otro equipo
de la red si disponen de una cuenta en dicho equipo
• Para poder acceder a los recursos que un equipo comparte, es
necesario autenticarse en él
• Estas cuentas de usuario residen en el administrador de
cuentas
de seguridad (Security Account Manager, SAM) del equipo, que
es la BD de cuentas de seguridad local

3. Cuentas de usuario
Cuentas de usuario de dominio
• Permiten a un usuario iniciar sesión en el dominio
para obtener
acceso a los recursos de la red
• El usuario tendrá acceso en cualquier equipo de la
red con una
única cuenta y contraseña
• Estas cuentas de usuario residen en el servicio de
directorio AD y
se crean definiéndolas en un controlador de dominio

4. Cuentas de usuario
Cuentas de usuario integradas
• Permite a un usuario realizar tareas administrativas u
obtener
acceso temporalmente a los recursos de red
• Existen dos cuentas de usuario integradas que no pueden
eliminarse: Administrador e Invitado
• Las cuentas de usuario locales Administrador e Invitado
residen en SAM
• Las cuentas de usuario integradas de dominio residen en
AD

5. Cuentas de usuario
Cuentas de usuario implícitas
• Creadas de forma implícita por el sistema operativo o
aplicaciones, se usan para asignar permisos en ciertas
situaciones
• SistemaLocal (Localsystem): permite ejecutar procesos
del sistema y administrar las tareas relativas al sistema.
No se puede iniciar una sesión con esta cuenta, pero
algunos procesos se ejecutan con ella:
– Por ejemplo, esta cuenta es la que se usa para ejecutar muchos
de
los servicios del sistema (los demonios)
• LocalService: acceso al sistema local
• NetworService: acceso al sistema local y en la red

7. Grupos
• Un grupo es una colección de usuarios, equipos u
otros grupos
• Los grupos se usan para simplificar la
administración del acceso de usuarios y equipos a
los recursos (directorios, ficheros, impresoras,
etc.)
• Permiten conceder permisos de acceso a varios
usuarios al mismo tiempo, en lugar de concederlos
usuario a usuario

9. GRUPOS
• Grupos en un equipo local, llamados grupos locales
– Se crean en equipos que son estaciones de trabajo independientes o
servidores miembro, pero NO en controladores de dominio
– Residen en SAM (Security Accounts Manager)
– Se usan para otorgar permisos a recursos y otorgar derechos para
las tareas del sistema en el equipo local
• Grupos en un dominio:
– Se crean únicamente en controladores de dominio
– Residen en el servicio de directorio Active Directory
– Se usan para otorgar permisos a recursos y otorgar derechos para
tareas del sistema en cualquier equipo del dominio

11. Tipos de grupos de dominio
– Grupos de seguridad:
• Pueden tener descriptores de seguridad asociados
• Permiten asignar permisos para el acceso a los recursos
compartidos en el dominio
– Su finalidad es controlar quién puede usar qué recursos
• También pueden ser usados para enviar mensajes de
correo
– Grupos de distribución:
• Se usan para listas de distribución de correo electrónico
• A estos grupos no se les puede asignar permisos para el
acceso a los recursos

12. Ámbito de grupos de seguridad de dominio
 – El ámbito de un grupo determina dónde se usará ese grupo, y
afecta
 a la pertenencia del grupo y al anidamiento de grupos (agrupar grupos
como
 miembros de otros grupos)
 – Grupos de ámbito local de dominio (grupos locales de dominio):
se
 usan para garantizar permisos a recursos de dominio situados en el
 mismo dominio
 • Están pensados para ayudar a administrar el acceso a los recursos,
 tales como impresoras y carpetas compartidas
 • El recurso no tiene por qué residir en un controlador de dominio,
 puede estar en un servidor miembro

13. – Grupos de ámbito global (grupos globales): se usan
para otorgar permisos a objetos del dominio
• Están pensados para administrar cuentas de usuario
y grupo en
el dominio particular
• Se incluyen en un grupo de dominio local para
acceder a sus
recursos

14. Grupos de ámbito universal (grupos universales): se
usan para otorgar permisos a gran escala en el árbol de
dominio o en el bosque
• Usados para conceder permisos de acceso a recursos
situados en
cualquier dominio
• Pensados para consolidar grupos que abarcan varios
dominios.
Normalmente se agregan grupos globales como miembros
• Tienen pertenencia abierta, pueden tener como
miembros cualquier
cuenta de usuario del dominio, grupos globales y
universales de
cualquier dominio

16. UNIDAD ORGANIZATIVA
Una OU es, al fin y al cabo, un tipo particular y útil
objeto de Active Directory contenido en un dominio. Las
OUs son útiles porque pueden usarse para organizar
cientos de objetos en el directorio dentro de unidades
administrables. Usaremos las OUs para agrupar y
organizar objetos con propósitos administrativos, como
delegar derechos administrativos y asignar políticas para
una colección de objetos como una unidad simple.
En un primer resumen:
- Permiten organizar objetos en un dominio
- Nos permiten delegar control administrativo
- Simplifican la administración de los recursos
comúnmente agrupados.

17. Organiza objetos en un dominio:
- Las OUs contienen los objetos del dominio, como
cuentas de usuario, equipo y grupos. Archivos e
impresoras compartidas publicados en AD también
pueden estar dentro de una OU.

Delegar control administrativo:
- Podemos asignar control administrativo, como el control
total de permisos sobre objetos de la OU, o de forma
limitada a modificar la información de correo electrónico
de los usuariosde la OU. Para delegar control
administrativo podemos especificar permisos en la propia
OU y los objetos que contiene para uno o varios usuarios y
grupos.

18. Simplifican la administración de recursos
comúnmente agrupados:
- Podemos delegar privilegios administrativos
sobre atributos individuales en objetos individuales
de AD, pero normalmente usaremos las OU para
delegar esa autoridad administrativa. Un usuario
puede tener privilegios administrativos sobre una OU
o toas las OUs de un dominio. Utilizándolas podemos
crear contenedores que dentro del dominio
representen la jerarquía o las estructuras lógicas de la
empresa. Podemos entonces administrar la
configuración y uso de las cuentas y recursos
basándonos en nuestro modelo de organización.