Scribd
Cargar
22 vistas4 páginas

Grupos y Permisos en Active Directory

El documento detalla la estructura y administración de grupos en Active Directory, incluyendo tipos de grupos (seguridad y distribución) y sus ámbitos (global, local y universal). También se abordan las cuentas de usuario, políticas de contraseñas, creación de plantillas de usuarios y relaciones de confianza entre dominios. Finalmente, se describen los recursos compartidos y los permisos asociados a ellos en un entorno de dominio.

Cargado por

dh88hjx9gh
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como ODT, PDF, TXT o lee en línea desde Scribd
22 vistas4 páginas

Grupos y Permisos en Active Directory

El documento detalla la estructura y administración de grupos en Active Directory, incluyendo tipos de grupos (seguridad y distribución) y sus ámbitos (global, local y universal). También se abordan las cuentas de usuario, políticas de contraseñas, creación de plantillas de usuarios y relaciones de confianza entre dominios. Finalmente, se describen los recursos compartidos y los permisos asociados a ellos en un entorno de dominio.

Cargado por

dh88hjx9gh
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como ODT, PDF, TXT o lee en línea desde Scribd

TEMA 3

1.- Grupos del Active Directory


Los grupos son objetos del Active Directory → pueden contener usuarios, contactos, equipos u
otros grupos. Lo más usual es que un grupo solo contenga cuentas de usuarios.

Tipos de grupos:
A) Grupos de seguridad (perfiles con permisos de acceso a recursos).
B) Grupos de distribución (envío masivo de información → correo electrónico)

Los grupos facilitan la administración ya que son un método fácil para conceder permisos comunes
a múltiples usuarios simultáneamente.

1.1.- Ámbito de grupos


A) Ámbito global:
• Los permisos concedidos a este grupo tienen validez en cualquier dominio.
• Los miembros solo pueden actuar en el dominio donde está el grupo global.
• Pueden ser miembros de grupos universales o locales en otro dominio.
• Pueden tener como miembros a otros grupos globales y a cuentas de usuario del mismo
dominio.

B) Ámbito local:
• Los permisos concedidos a este grupo solo tienen validez en su dominio.
• Los miembros pueden actuar en cualquier dominio.
• Pueden ser miembros de grupos universales o locales en otro dominio.
• Pueden tener como miembros a otros grupos locales en el mismo dominio y a grupos
globales, universales y cuentas de usuario de cualquier otro dominio.

C) Ámbito universal:
• Pueden tener miembros procedentes de cualquier dominio.
• Se les puede asignar permisos sobre recursos de cualquier dominio.
• Pueden tener como miembros a otros grupos universales, globales y cuentas de usuario de
cualquier dominio.
• Solo se pueden gestionar en servidores en modo nativo (servidores y equipos del mismo
sistema operativo → 2000, 2003 o 2008)

1.5.- Eliminación de grupos


Cuando se crea un grupo en el sistema operativo se le asignará un SID (security identifiers). Este
identificativo no lo conoceremos porque es interno del sistema. El sistema usará este SID para
realizar operaciones sobre el grupo.

Al intentar eliminar un grupo del sistema, no eliminaremos los usuarios que contenga dicho grupo,
solo el grupo con su configuración de permisos. El sistema eliminará el grupo y el SID no lo
volverá a asignar a ningún otro grupo, por lo que si creamos de nuevo el grupo borrado
anteriormente se creará un nuevo SID.

Por lo que habría que asignar de nuevo todos los permisos al nuevo grupo, incluyendo todos los
usuarios que contuviera dicho grupo, ya que la configuración no se restaura al tener otro SID.
2.- Implementación de grupos en Active Directory
A) Grupos Locales
• DnsAdmins
• Servidores Ras e IAS
• Grupo de replicación de contraseña RODC denegada.
• Contraseña RODC permitida
• Publicadores de certificados
B) Grupos Globales
• Administradores del dominio
• Equipos del dominio
• Controladores de dominio
• Invitados del dominio
• Usuarios del dominio
• Administradores
C) Grupos Universales
• Administradores de empresas
• Administradores de esquema
• Enterprise Domain Controllers de solo lectura

3.- Usuarios de active directory


Todas las cuentas de usuario tendrán la catalogación de DNS, constarán de una primera parte con el
nombre principal del usuario y una segunda parte con el en el que está dado de alta dicho usuario.

Por ejemplo: profesor@[Link]

Política de contraseñas:
• El sistema operativo recordará las últimas 24 contraseñas de cada usuario.
• Si las contraseñas caducan, podrán tener una validez mín. de 1 día y una máx. de 42 días.
• Deben tener una longitud mínima de 7 caracteres.
• Deben contener al menos una letra minúscula, una mayúscula y un dígito.

4.- Creación de plantillas de usuarios


Son cuentas de usuarios estándares creadas con las propiedades que se aplican a usuarios con
necesidades comunes. Se configura la plantilla con todos los aspectos necesarios (horas,
contraseñas, equipos de validación, pertenencias a grupos…)

Si queremos crear un usuario a partir de una plantilla solo tenemos que seleccionar la opción copiar
y se creará un nuevo usuario con el mismo perfil que el de la plantilla, así nos ahorramos volver a
configurar cada usuario de forma individual.
5.- Administración avanzada en dominios Windows Server
Para poder establecer relaciones de confianza entre dominios es necesaria una configuración
específica del servicio DNS.
Los distintos controladores de dominio deben tener conectividad entre sí, estos deben ser visibles a
través del servicio DNS. Para ello configuraremos dicho servicio:

1.- Si los dominios entre los que se quiere establecer confianza son de bosques distintos es
necesario forzar la conectividad de los controladores de dominio a través de la configuración del
servicio DNS.
2.- Si los dominios entre los que se quiere establecer confianza son del mismo bosque seria
conveniente forzar la conectividad de los controladores de dominio a través de la configuración del
servicio DNS.

5.2 Relaciones de confianza


La relación de confianza se establece entre dos dominios cuando a los usuarios de un dominio
pueden ser reconocidos por los controladores de otro dominio. Estas relaciones de confianza
permiten a los usuarios de un dominio acceder a recursos de otro y los administradores definir
permisos y derechos de usuarios a los usuarios del otro dominio.

Características:
1.- Método de creación: algunas relaciones se crean de forma automática (implicita) o manual
(explicita).
2.- Dirección: Las relaciones pueden ser unidireccionales o bidireccionales. Si son
unidireccionales, los usuarios de “A” (de confianza) pueden utilizar los recursos de “B” (que
confía) pero no al revés.

En la relación bidireccional ambas acciones son posibles.


3.- Transitividad: algunas relaciones son transitivas y otras no. Si es transitiva el dominio “A”
confía en otro “B” y el “B” confía en el “C”. Entonces de forma automática el dominio “A” confía
en el dominio “C”. Y en las relaciones no transitivas, la confianza entre el dominio “A” y el
dominio “C” debería añadirse igual a como se añade la relación entre “A” y “B”.
Relaciones de confianza: estas sirven para establecer comunicación entre varios controladores de
dominio, con el fin de poder administrar desde un solo punto de la red todos los usuarios y recursos
que tenga.

TEMA 4
2.- Recursos compartidos, permisos y derechos
Un controlador de dominio puede compartir recursos con los equipos y usuarios de su dominio.
A la hora de compartirlos el administrador asignara una serie de permisos y derechos de acceso a
los distintos usuarios sobre el recurso que se haya compartido.
Permisos estándares de acceso a un recurso compartido en el servidor:
1.- Lector
2.- Colaborador
3.- Copropietario
Permisos especiales (NTFS) de acceso a un recurso compartido en el servidor:
1.- Control total
2.- Escribir
3.- Leer y ejecutar
4.- Modificar
5.- Leer
Recursos compartidos especiales:
Son aquellos creados por el propio sistema operativo para tareas administrativas. No se deben
eliminar ni modificar en la mayoría de casos:
1.- ADMIN$: Recurso usado para la administración remota.
2.- IPC$: Usado para la comunicación entre programas.
3.- NETLOGON: Usado para el inicio de sesión.
4.- SYSVOL: Catalogo global de las bases de datos de Active Directory.
5.- Unidad_logica_$ (C$): Unidad compartida en red, al tener el carácter $ estará disponible pero no
visible desde el entorno de red.
Desde un cliente es posible ver el recurso C$ del servidor de dominio, siendo útil para la
administración desde otro equipo.
-Para que los usuarios del dominio puedan compartir carpetas entre ellos, estos para compartirlas
utilizaran el mismo procedimiento que si el equipo no estuviera en el dominio. Una vez terminado
se les darán los privilegios de acceso al usuario o grupos del dominio que desee. Esta
administración no seria centralizada ya que el administrador no interviene.

También podría gustarte