Este documento describe diferentes tipos de cuentas de usuario en Active Directory como Administrador, Invitado y Asistente de ayuda. También describe grupos en Active Directory, incluyendo sus propósitos, tipos de ámbito y usos comunes. Finalmente, explica las unidades organizativas de Active Directory y cómo se pueden usar para agrupar objetos y delegar permisos administrativos.
2. • Las cuentas de usuario de Active Directory representan entidades
físicas, como personas. Las cuentas de usuario también se pueden usar
como cuentas de servicio dedicadas para algunas aplicaciones.
CUENTA DE USUARIO PREDETERMINADA
• Administrador.- La cuenta Administrador tiene control total del dominio.
Puede asignar derechos de usuario y permisos de control de acceso a los
usuarios del dominio según sea necesario.
• Invitado.- Los usuarios que no tienen una cuenta en el dominio pueden
usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero
no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no
requiere ninguna contraseña.
• Asistente de ayuda (se instala con una sesión de Asistencia remota) .Es la cuenta principal para establecer una sesión de Asistencia remota.
Tiene acceso limitado al equipo.
3. El usuario debe cambiar la contraseña en el siguiente inicio de sesión .Obliga al usuario a cambiar su contraseña la próxima vez que inicie sesión en
la red.
El usuario no puede cambiar la contraseña.- Impide que un usuario cambie
su contraseña. Habilite esta opción si desea mantener el control de una cuenta
de usuario, tal como una cuenta Invitado o una cuenta temporal.
La contraseña nunca expira.- Impide que una contraseña de usuario expire.
Recomendamos que las cuentas de servicio tengan esta opción habilitada y
usen contraseñas seguras.
• La cuenta está deshabilitada.- Impide al usuario iniciar sesión con la
cuenta seleccionada. Muchos administradores usan cuentas deshabilitadas
como plantillas para las cuentas de usuario normales.
4. Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros
grupos que se pueden administrar como una sola unidad. Los usuarios y los
equipos que pertenecen a un grupo determinado se denominan miembros del
grupo.
Los grupos de AD DS se pueden usar para:
• Simplificar la administración al asignar los permisos para un recurso
compartido a un grupo en lugar de a usuarios individuales. Cuando se
asignan permisos a un grupo, se concede el mismo acceso al recurso a
todos los miembros de dicho grupo.
• Delegar la administración al asignar derechos de usuario a un grupo una
sola vez mediante la directiva de grupo.
• Crear listas de distribución de correo electrónico.
• Información acerca de los grupos predeterminados .-Los grupos
predeterminados, como es el caso del grupo Administradores del dominio,
son grupos de seguridad que se crean automáticamente cuando se crea un
dominio de Active Directory.
5. Cuando se agrega un usuario a un grupo, ese usuario recibe:
• Todos los derechos de usuario asignados al grupo
• Todos los permisos asignados al grupo para los recursos compartidos
Información acerca del ámbito de grupo .• Los grupos se caracterizan por un ámbito que identifica su alcance en el
bosque o árbol de dominios. Existen tres ámbitos de grupo: local de
dominio, global y universal.
Información acerca de los grupos locales de dominio.Los miembros de los grupos locales de dominio pueden incluir otros grupos y
cuentas de dominios de Windows
Server 2003, Windows 2000, Windows NT, Windows Server 2008 y Windows
Server 2008 R2. A los miembros de estos grupos
• Grupos con ámbito Global
• Grupos con ámbito Universal
• Cuentas
• Otros grupos con ámbito Local de dominio
6. Pueden usarse para organizar cientos de objetos en el directorio dentro de
unidades administrables. Las Unidades Organizativas se usaran para agrupar
y organizar objetos con propósitos administrativos, como delegar
permisos, asignar políticas de seguridad para uno o varios objetos como uno
solo. La jerarquía de contenedores se puede extender tanto como sea
necesario dentro de un dominio.
Ventajas
• Las unidades organizativas permiten a disminuir el número de dominios
necesarios en una red.
• Puede aplicar directivas de seguridad y permisos administrativos a varios
objetos(usuarios)como uno solo.
• Puede utilizar unidades organizativas para crear un modelo administrativo
que se puede ampliar a cualquier tamaño.
• Un usuario puede tener autoridad administrativa para todas las unidades
organizativas de un dominio o sólo para una de ellas.
• El administrador de una unidad organizativa no necesita tener autoridad
administrativa sobre cualquier otra unidad organizativa del dominio.
7. Delegar control administrativo
• Podemos asignar control administrativo, como el control total de permisos
sobre objetos de la unidad organizativa, o de forma limitada a modificar la
información de Correo electrónico de los usuarios de la unidad organizativa.
Para delegar control administrativo podemos especificar permisos en la
propia unidad organizativa y los objetos que contiene para uno o varios
usuarios y grupos.
Reducción de recursos agrupados
• Podemos usar las unidades organizativas para delegar la autoridad
administrativa. Un usuario puede tener privilegios administrativos sobre una
unidad organizativa o todas las unidades organizativas de un dominio.
Podemos entonces administrar la configuración y uso de las cuentas y
recursos basándonos en nuestro propio modelo de organización.