wserver - ud3 - usuarios y grupos en windows 2003 server i.pdf

1

UNIDAD DIDACTICA 3

USUARIOS Y GRUPOS EN REDES WINDOWS 2003 SERVER I

Eduard Lara

2

1. INTRODUCCIÓN

Si Active Directory no está instalado- Los grupos y usuarios que definamos sólo servirán como Locales. Podrán iniciar sesión en el propio equipo y como usuarios de algún dominio al que pertenezca el equipo. - La gestión de usuarios y grupos se realiza desde el Administrador de equipos

Si Active Directory está instalado- Los usuarios dados de alta serán usuarios globales del dominio y podrán iniciar sesión desde cualquier ordenador del dominio, incluido el servidor donde esté dado de alta.- La gestión de usuarios y grupos se realiza desde Usuarios y equipos de Active Directory.

3

2. GRUPOS DEL ACTIVE DIRECTORY

Son objetos del servicio del Directorio Activo. Un grupo se define como un conjunto de usuarios,

contactos, equipos y eventualmente otros grupos, aunque lo normal es que sólo contenga cuentas de usuario.

Simplifican la administración porque proporcionan un método fácil para conceder capacidades comunes (permisos) a múltiples usuarios simultáneamente.

En lugar de asignar permisos a cada usuario, se asignan una sola vez al grupo, y son heredados por los usuarios pertenecientes a ese grupo.

Los grupos se distinguen por su ámbito y por tipo.

4

2. TIPOS DE GRUPOS

Se puede trabajar con dos tipos de grupos: - Grupos de seguridad: son los más comunes y se usan para designar derechos (qué puedo hacer dentro de un dominio) y permisos (a qué tengo acceso) a usuarios. También pueden utilizarse como una lista de distribución de correo electrónico.- Grupos de distribución: Únicamente sirven para asignar listas de usuarios aplicaciones de correo electrónico, sin poder emplearse para asignar permisos.Esta diferencia entre los grupos es necesaria a la hora de emplear software concreto de Microsoft, como el Microsoft Exchange, donde es necesario que los grupos se definan como grupos de distribución.

5

2. ÁMBITO DE UN GRUPO

El ámbito del grupo determina la visibilidad del mismo dentro del dominio (es decir si el grupo comprende varios dominios o se limita a un solo dominio), así como las características que pueden conceder a los objetos que contiene.- Grupos de ámbito global. Los permisos concedidos a este grupo tienen validez en cualquier dominio. Sus miembros solo pueden actuar en el dominio donde estádado de alta el grupo global. Pueden ser miembros de grupos universales o locales en cualquier dominio y pueden tener como miembros a otros grupos globales del mismo dominio y a cuentas de usuario del mismo dominio.

6


Grupos locales: Se utilizan para asignar permisos para recursos ubicados en el equipo en el que se ha creado el grupo local.

Grupos de ámbito local de dominio. Es lo contrario de un grupo local, ya que sus miembros actúan sobre cualquier dominio pero sus permisos solo son efectivos para recursos ubicados en el mismo dominio en el que se crea el grupo. Pueden tener como miembros a otros grupos locales de dominio en el mismo dominio, grupos globales de cualquier dominio, grupos universales de cualquier dominio y usuarios de cualquier dominio.

7


Grupos de ámbito universal. Pueden tener miembros procedentes de cualquier dominio y se les puede asignar permisos para recursos de cualquier dominio. Solo se pueden gestionar en servidores en modo nativo (servidores y equipos del mismo tipo de sistema operativo 2000 o 2003). Pueden tener como miembros a otros grupos universales, grupos globales de cualquier dominio y cuentas individuales de usuarios de cualquier dominio

8

3. HERRAMIENTA USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY

Bajo users aparecen los usuarios y los grupos mezclados.

1) Dominio sobre el que estamos trabajando. Si tuviéramos subdominios dentro de este dominio podríamos actuar sobre los usuarios y grupos de esos subdominios.

Contenedores de grupos de objetos con los que podemos trabajar: equipos, usuarios y grupos.

9

3. DONDE SE PUEDEN CREAR LOS GRUPOS

Los grupos pueden crearse en:- el dominio raíz del bosque- en cualquier otro dominio del bosque- en una unidad organizativa.

Dominio raíz del bosque

Unidad Organizativa

10

4. UNIDAD ORGANIZATIVA

Una unidad Organizativa permite agrupar objetos del active directory en nuevos contenedores que solo muestren la información deseada (ej. agrupar equipos por versión de S.O., impresoras).

Las UO o contenedores son modificables, y no afectan al funcionamiento del equipo.

En la herramienta Usuarios y grupos de Active Directory aparecen todos los usuarios y grupos del sistema mezclados bajo la UO users.

Puede resultar interesante hacer dos nuevos contenedores de objetos, uno para usuarios y otro para grupos, de tal forma que tengamos mejor organizados estos dos tipos de objetos.

11

4. CREACIÓN DE UNA UNIDAD ORGANIZATIVA

Paso 1. Sobre el nombre de dominio, haremos click con el botón derecho del ratón y seleccionaremos la opción Nuevo, Unidad Organizativa. Paso 2. Introduciremos el nombre de la nueva unidad, por ejemplo, GRUPOS.

12

4. CREACIÓN DE UNA UNIDAD ORGANIZATIVA

Paso 3. Una vez creada, pasaremos los grupos de usuarios de la UO Users a la que acabamos de crear. Dentro de la UO Users seleccionaremos todos los grupos de usuarios.Paso 4. Haremos click con el botón derecho del ratón en la opción Mover. Indicaremos el destino de los objetos seleccionados, en nuestro caso, la UO GRUPOS.

13

5. CREACIÓN DE GRUPOS

Paso 1. Nos situaremos sobre la UO que contiene los grupos, y haremos click botón derecho del ratón seleccionando Nuevo, Grupo o desde el menú Acción seleccionaremos Nuevo, Grupo.

14


Nos encontramos con las siguientes camposNombre del grupo. Nombre del grupo con el que

quedará reconocido en el sistema. El S.O. le asigna un SID (Security IDentifiers) al grupo para gestionarlo de forma interna, transparente al usuario. El nombre del grupo tiene ser único en el dominio o dentro de cada equipo local pudiendo repetirse en otros equipos locales o dominios.

Nombre del grupo (anterior a Windows 2000). Es el nombre del grupo como lo verán los servidores pre-Windows 2000, en caso de trabajar con servidores NT 4.0 con los que tengamos establecidas relaciones de confianza. Se rellenará automáticamente, por lo que tampoco será necesario indicar nada.

15


Ámbito del grupo. Puede ser local, global o universal. Por defecto el ámbito siempre será global, para otorgar compatibilidad con otros dominios

Tipo de grupo. Indica si el grupo será de Seguridad o distribución. Lo más normal es crear grupos de Seguridad. Son utilizados para asignar privilegios de utilización de recursos compartidos en el equipo. Los grupos de distribución se utilizan para realizar instalaciones remotas de software en los equipos clientes en los que se validan usuarios que pertenezcan al grupo.

16


Paso 2. Si una empresa consta de 3 departamentos (contabilidad, almacén y mantenimiento) lo normal serácrear 3 grupos dentro de una nueva unidad organizativa llamada Departamentos. Crearemos los grupos con las características que el sistema genera por defecto.

17

5. ELIMINACION DE GRUPOS

Paso 1. Para eliminar un grupo, se debe seleccionar de su correspondiente UO, hacer click botón derecho y seleccionar Eliminar.La eliminación del grupo no elimina los usuarios u objetos que este contenga, ya que solo eliminará los permisos que este grupo tiene asociado.

Podemos eliminar los grupos que acabamos de crear así como la UO “Departamentos” que los contenía.

La UO Users no la podemos eliminar, ya que está protegida contra eliminación accidental.

18

5. INCORPORACIÓN DE USUARIOS A GRUPOS

Paso 0.Trabajaremos con los dos únicos usuarios definidos en el sistema: Administrador e Invitado.Podemos utilizar los grupos creados anteriormente: Contabilidad, Almacén y Mantenimiento, dentro de la UO Departamentos.

19


Paso 1.Seleccionaremos los usuarios de la UO Users o la UO que los contenga, utilizando las teclas Control y Shift o el ratón. Haremos click botón derecho del ratón en una de las cuentas de usuario seleccionadas y elegiremos la opción Agregar a un grupo.

20


Paso 2.En el cuadro de diálogo que aparece introduciremos las primeras iniciales del grupo, por ejemplo CONTA y pulsaremos Comprobar nombres. Cuando aparezca el grupo, pulsaremos Aceptar.

21


Paso 3.También podemos realizar la asociación pulsando en Avanzadas + Buscar ahora, para mostrar la lista de grupos y seleccionar el grupo deseado

22


Paso 4.El mismo proceso lo podemos realizar desde el propio grupo. Lo seleccionamos y hacemos clic con el botón derecho del ratón en Propiedades. Se abre un cuadro de diálogo en el que pulsaremos Miembros.

23


Paso 5. Pulsamos agregar y aparecerá otra pantalla , en la que realizaremos la selección de los usuarios y grupos que queremos incluir en el grupo recién creado.Haremos clic en Avanzadas, Buscar ahora. Si el grupo es global, agregaremos solo usuarios nuevos, y si es local, agregaremos usuarios y otros grupos globales.

24

6. LOS GRUPOS INTEGRADOS EN ACTIVE DIRECTORY

Son grupos predefinidos por el sistema que tienen un conjunto predeterminado de derechos de usuario (tareas del sistema que puede realizar un usuario o un miembro del grupo integrado)

Los grupos integrados que por defecto incorpora Windows 2003 Server son locales, globales y universales.

25

6. GRUPOS LOCALES INTEGRADOS WINDOWS 2003 SERVER

Los miembros de este grupo pueden iniciar sesión en el equipo, realizar copias de seguridad y restaurar archivos en el equipo. También pueden apagarlo. No pueden cambiar la configuración de seguridad. No tiene miembros predeterminados

Operadores de Copia

Tienen control total sobre todos los controladores de dominio. Cualquier derecho que no tenga el administrador de forma predeterminada se lo puede conceder a si mismo

Administradores

Pueden modificar la configuración TCP/IP y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado

Operadores de configuración de red

Los usuarios de este grupo tienen derecho de solo lectura al servicio DHCP

Usuarios DHCP

Sus miembros pueden crear, modificar y eliminar cuentas de usuario y grupos. No tienen permiso modificar los grupos Administradores o Administradores del dominio ni las cuentas de dichos grupos. Los miembros de este grupo pueden iniciar sesión en modo local en los controladores del dominio y apagarlos. No hay miembros predeterminados

Operadores de cuentas

DESCRIPCIÓNGRUPO

26


Los miembros de este grupo pueden realizar la mayoría de las tareas administrativas en los controladores de dominio de forma remota.Este grupo no tiene miembros predeterminados.

Operadores de servidores

Sus miembros pueden replicar los servicios en un controlador de dominio. No debe contener usuarios estándares.

Replicador

Pueden administrar las impresoras y las colas de impresión. No tiene miembros predeterminados.

Operadores de impresión

Los miembros de este grupo solo pueden realizar tareas para las que el administrador les haya concedido permisos. Son miembros de este grupo los grupos Usuario invitado e Invitados del dominio.

Invitados

Pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, iniciar sesión y apagarlos. Este grupo no tiene ningún miembro predeterminado. No es igual que el anterior

Operadores de Copia de seguridad

DESCRIPCIÓNGRUPO

27


Los miembros de este grupo solo tienen acceso administrativo al servicio DNS. No tiene ningún miembro predeterminado

DnsAdmins

Pueden iniciar sesión en un servidor de forma remota. Este grupo no tiene miembros predeterminados

Usuarios de escritorio remoto

Los miembros de este grupo pueden crear y modificar las cuentas de usuario e instalar programas en el quipo local, pero no pueden ver los archivos de otros usurarios. Peden crear y eliminar grupos locales y quitar usuarios de los grupos. No hay miembros predeterminados

Usuarios avanzados

Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la red, guardar documentos y apagar el equipo. No pueden instalar programas. Cualquier derecho que no tenga el administrador de forma predeterminada, se lo puede conceder a sí mismo o realizar cambios en el sistema. Cuando añadimos un equipo servidor miembro 2000/2003 a un dominio, se integra en este grupo. Por defecto todas las cuentas que se crean en el dominio son miembros de este grupo

UsuariosDESCRIPCIÓNGRUPO

28

6. GRUPOS GLOBALES INTEGRADOS WINDOWS 2003 SERVER

Los miembros de este grupo pueden modificar el esquema de Directorio Activo

Administradores

Todos los usuarios del dominio y la cuenta Administrador son miembros

Usuarios del dominio

Tiene como cuenta predeterminada a InvitadosInvitados del dominio

Contiene todos los controladores de dominioControladores de dominio

Todos los controladores y estaciones de trabajo del dominio son miembros de este grupo

Equipos del dominio

Este grupo pasa a ser miembro automáticamente del grupo local Administradores en todos los controladores, de forma que sus miembros pueden realizar tareas administrativas en cualquier equipo del dominio. De forma predeterminada la cuenta Administrador es, miembro de este grupo

Administradores del dominio

DESCRIPCIÓNGRUPO

29

6. GRUPOS UNIVERSALES INTEGRADOS WINDOWS 2003 SERVER

Los miembros de este grupo son controladores de dominio de solo lectura en la empresa.

Enterprise DomainControllers de solo lectura

Administradores designados del esquema.Administradores de esquema

Administradores designados de la empresa.Administradores de empresas

DESCRIPCIÓNGRUPO

30

PRACTICA 5. CREACIÓN DE GRUPOS DE USUARIO EN A.D.

Esta práctica debe realizarse mediante la captura de imágenes de los procesos o aplicaciones implicados en el guión, y posterior inserción de las mismas en un documento.

Paso 1. Crear un nuevo grupo de dominio local llamado “Alumnos”. Desde Usuarios y equipos de Active Directory, vamos a hacer clickcon el botón derecho sobre la raíz del dominio (upc.local). Este grupo ha de definirse como un grupo de seguridad.Paso 2. Captura la imagen que muestre donde haya creado el grupoPaso 3. De la misma forma vamos a definir otro grupo llamado “Profesores” también de dominio local y de tipo seguridad, desde la raíz del dominio. Paso 4. Captura la imagen que muestre donde haya creado el grupoPaso 5. ¿A que lugares se pueden mover los grupos anteriormente creados?

31


Paso 6. Comprueba como al hacer click con el botón derecho sobre cada grupo, nos aparece la opción de enviar correo. ¿Qué mensaje muestra? Para poder hacer uso de esta opción hemos de tener instalado el cliente de correo masivo de Microsoft, no obstante ahora ya conoces la posibilidad. Paso 7. De la misma forma vamos a definir otro grupo llamado “personal de administración” ahora de dominio local y de tipo distribución. ¿Existe alguna diferencia aparente entre los dos tipos de grupos de seguridad y distribución creados?Paso 9. Crear una unidad organizativa sobre la raíz del dominio, llamada “Clases”.Paso 10. Dentro de la Unidad Organizativa anterior crear 3 grupos de alumnos: AlumnosA32, AlumnosA33 y AlumnosA34. Deben ser grupos de seguridad y de ámbito dominio local.

32


Paso 11. Mover los grupos iniciales “Alumnos” y “Profesores” a la unidad organizativa “Clases”.Paso 12. Asignar el usuario Administrador al grupo “Profesores”, partiendo desde Administrador/Agregar a un grupo… y buscando por “Profe”Paso 13. Agregar el usuario “Invitado” al grupo “Alumnos”, pero ahora desde el grupo y añadiéndole el usuario Paso 14. Existen unas directrices a la hora de nombrar los grupos, de forma que es útil que el nombre refleje la posesión y el ámbito. Lo siguiente que vamos a hacer es crear grupos de ámbito global,para ello vamos a aplicar las directrices de nombre de grupo.Paso 15. Crear un nuevo grupo local llamado “GAlumnosRest”, sobre la UO “clases”. De esta forma en el nombre queda implícito que el grupo es de ámbito global y con acceso restringido. Este grupo ha de definirse como un grupo de seguridad.

33


Paso 16. De la misma forma vamos a definir otro grupo también global y de tipo seguridad llamado “GProfesoresTot”. De esta forma en el nombre queda implícito que el grupo es de ámbito global y con acceso Total.Paso 17. El nombre de los grupos se puede modificar haciendo clickcon el botón derecho sobre el grupo seleccionado. Modifica el nombre de los dos grupos de dominio local creados al principio “Alumnos” y “Profesores” de forma que se reconozca en el nombre el ámbito al que pertenecen. Para ello aplica DL delante del nombre y con respecto al tipo deacceso déjalos igual que sus correspondientes de ámbito global (para los alumnos “Rest” y para los profesores “Tot”.Paso 18. Supón que nos interesa tener un grupo común para poder únicamente enviar e-mails tanto a profesores como a alumnos. ¿Que nombre, ámbito y tipo le pondrías?

wserver - ud3 - usuarios y grupos en windows 2003 server i.pdf

Documents