Material de apoyo para la configuración de ibjeos en Active Directory Introducción Como administrador de sistemas, no es su función elegir el diseño estructural de Active Directory para su organización. Sin embargo, es importante que conozca las características y ramificaciones de cada estructura. Este conocimiento puede ser crucial a la hora de realizar tareas de administración de sistemas en la estructura de Active Directory. En este tema se describen los cuatro diseños jerárquicos básicos. Jerarquía basada en La jerarquía basada en la función considera sólo las funciones de negocio de la función la organización, sin importar la ubicación geográfica o los límites de los departamentos o divisiones. Elija esta alternativa sólo cuando la función de tecnología de la información no se base en la ubicación o la organización. Cuando necesite decidir si la estructura de Active Directory debe organizarse por función, considere las características siguientes de los diseños basados en funciones: No se ven afectados por las reorganizaciones. Una jerarquía basada en la función no se ve afectada por las reestructuraciones corporativas u organizativas. Pueden requerir niveles adicionales. Cuando se utiliza esta estructura, puede ser necesario crear niveles adicionales en la jerarquía de unidades organizativas para acomodar la administración de usuarios, impresoras, servidores y otros recursos de red. Pueden afectar a la replicación. Las estructuras empleadas para crear los dominios pueden no ser las mejores para un uso eficiente de la red, ya que el contexto de nombres de dominio puede replicarse entre una o más áreas de bajo ancho de banda. Esta estructura sólo es adecuada en organizaciones pequeñas porque los departamentos funcionales de las organizaciones medianas y grandes son a menudo muy diversos y no pueden agruparse en grandes categorías.
Creación y administración de objetos de Active Directory 5 Jerarquía basada en La jerarquía basada en la organización considera los departamentos o divisiones la or ganización de la organización. Si la estructura de Active Directory se ha creado para reflejar la estructura organizativa, puede ser difícil delegar la autoridad administrativa, ya que los objetos de Active Directory, como las impresoras y recursos compartidos de archivo pueden no estar agrupados de modo que faciliten la delegación de dicha autoridad. Dado que los usuarios nunca ven la estructura de Active Directory, el diseño debe acomodarse al administrador, no al usuario. Jerarquía basada en Si la organización está centralizada y la administración de la red está distribuida la ubicación geográficamente, es recomendable utilizar una jerarquía basada en la ubicación. Por ejemplo, puede decidir crear unidades organizativas para Providence, Boston y Hartford en el mismo dominio, por ejemplo contoso.msft. Una jerarquía de unidad organizativa o dominio basada en la ubicación tiene las características siguientes: No se ve afectada por las reorganizaciones. Aunque las divisiones y departamentos pueden cambiar con frecuencia, en la mayoría de las organizaciones la ubicación no suele cambiar. Se adapta a fusiones y expansiones. Si una organización se fusiona o adquiere otra compañía, resulta sencillo integrar las nuevas ubicaciones en la estructura jerárquica existente de unidades organizativas y dominios. Aprovecha la capacidad de la red. Normalmente, la topología de la red física de una organización se corresponde con una jerarquía basada en la ubicación. Si se crean dominios con una jerarquía basada en la ubicación, es posible aprovechar las áreas donde la red tiene mayor ancho de banda y limitar la cantidad de datos que se replican entre áreas con bajo ancho de banda. Puede comprometer la seguridad. Si una ubicación consta de múltiples divisiones o departamentos, un individuo o grupo con autoridad administrativa sobre ese dominio o sobre las unidades organizativas puede tener también autoridad sobre los dominios o unidades organizativas secundarios. Jerarquía híbrida Una jerarquía basada primero en la ubicación y después en la organización, o en cualquier otra combinación de estructuras, se denomina jerarquía híbrida. La jerarquía híbrida combina las ventajas de los distintos tipos para satisfacer los requisitos de la organización. Este tipo de jerarquía tiene las características siguientes: Se adapta al crecimiento geográfico o de los diferentes departamentos o divisiones. Crea límites de administración definidos en función de los departamentos o divisiones. Requiere la cooperación entre los administradores para asegurar la finalización de las tareas administrativas cuando atañen a la misma ubicación pero a distintas divisiones o departamentos.
Nombres asociados a las unidades organizativas Introducción Nombre completo relativo LDAP Las referencias a objetos específicos de Active Directory pueden hacerse mediante distintos tipos de nombres que describen su ubicación. Active Directory crea un nombre completo relativo, un nombre completo y un nombre canónico para cada objeto, en función de la información suministrada por el administrador en el momento de crear o modificar el objeto. El nombre completo relativo LDAP (Lightweight Directory Access Protocol, Protocolo ligero de acceso a directorio) identifica de forma única al objeto en su contenedor principal. Por ejemplo, el nombre completo relativo LDAP de una unidad organizativa denominada MiUnidadOrganizativa es OU=MiUnidadOrganizativa. Los nombres completos relativos deben ser únicos dentro de la unidad organizativa. Es importante entender la sintaxis del nombre completo relativo LDAP cuando se utilizan secuencias de comandos para consultar y administrar Active Directory. Nombre completo LDAP A diferencia del nombre completo relativo LDAP, el nombre completo LDAP es único globalmente. Un ejemplo de nombre completo LDAP único de una unidad organizativa denominada MiUnidadOrganizativa en el dominio microsoft.com es OU=MiUnidadOrganizativa, DC=microsoft, DC=com. Los administradores de sistemas sólo utilizan el nombre completo relativo LDAP y el nombre completo LDAP cuando escriben secuencias de comandos administrativas o durante la administración en la línea de comandos. Nombre canónico La sintaxis del nombre canónico se construye de la misma forma que la del nombre completo LDAP, pero se representa con una notación distinta. El nombre canónico de la unidad organizativa denominada MiUnidadOrganizativa en el dominio microsoft.com es Microsoft.com/MiUnidadOrganizativa. Los administradores usan los nombres canónicos en algunas herramientas administrativas. El nombre canónico se utiliza para representar una jerarquía en las herramientas administrativas.
Cómo y dónde crear cuentas de equipo en un dominio Introducción Cuando el administrador de sistemas crea una cuenta de equipo, puede elegir la unidad organizativa en la que desea crearla. Si un equipo se une a un dominio, la cuenta de equipo se crea en el contenedor Equipos y el administrador puede moverla a la unidad organizativa correspondiente si es necesario. Los administradores De forma predeterminada, los usuarios de Active Directory pueden agregar determinan la ubicación hasta diez equipos al dominio con sus credenciales de cuenta de usuario. Esta de las cuentas de configuración predeterminada puede cambiarse. Si el administrador de sistemas equipo agrega una cuenta de equipo directamente a Active Directory, un usuario podrá agregar un equipo al dominio sin utilizar ninguna de las diez cuentas de equipo asignadas. Cuentas de equipo La operación de agregar un equipo al dominio mediante una cuenta creada ensa yadas previamente anteriormente se denomina ensayo previo y significa que los equipos pueden agregarse a cualquier unidad organizativa en la que el administrador de sistemas tenga permiso para agregar cuentas de equipo. Normalmente, los usuarios no tienen los permisos necesarios para el ensayo previo de una cuenta de equipo, de modo que como alternativa pueden unir un equipo al dominio mediante una cuenta ensayada previamente. Los usuarios crean cuentas de equipo Cuando un usuario agrega un equipo al dominio, la cuenta de equipo se agrega al contenedor Equipos de Active Directory. Esto tiene lugar a través de un servicio que agrega la cuenta de equipo en nombre del usuario. La cuenta de sistema también registra el número de equipos que cada usuario ha agregado al dominio. De forma predeterminada, cualquier usuario autenticado tiene permiso para agregar estaciones de trabajo a un dominio y puede crear hasta diez cuentas de equipo en el dominio. Lecturas adicionales Para obtener más información acerca de cómo los usuarios pueden agregar cuentas de equipo a un dominio, consulte el artículo de Microsoft Knowledge Base 251335, Los usuarios de un dominio no pueden unir la estación de trabajo o el servidor a un dominio, en la dirección http://support.microsoft.com/default.aspx?scid=kb;es;251335.
cuentas de equipo Objetivos Después de finalizar este ejercicio, podrá: Crear unidades organizativas. Crear cuentas de usuario y de equipo. Mover cuentas de usuario y de equipo a una nueva unidad organizativa. Habilitar cuentas de usuario. Instrucciones Situación de jemplo e Debe haber iniciado sesión con una cuenta (por ejemplo, NombreDeEquipoUser) que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea. Como administrador de sistemas de Northwind Traders, se le ha asignado la tarea de crear una jerarquía de unidad organizativa ideada por el grupo de diseño de Northwind Traders. El diseño de la jerarquía de unidad organizativa se basará en la ubicación y separará los equipos portátiles de los equipos de escritorio. Usted creará una jerarquía de unidades organizativas en la unidad organizativa de su ciudad para separar los tipos de equipos. La siguiente es una representación gráfica de lo que debe crear en el dominio NWTraders. Las unidades organizativas Locations y NombreDeEquipo ya han sido creadas.
Qué son los grupos? Definición Ventajas del uso degrupos Tipos de grupos Un grupo es un conjunto de usuarios, equipos, contactos y otros grupos. Los grupos pueden basarse en un dominio y estar almacenados en Active Directory, o ser locales en un equipo determinado. Los grupos facilitan la administración al permitir conceder permisos sobre recursos a todo un grupo de una vez, en lugar de concederlos a cuentas de usuarios individuales. Existen dos tipos básicos de grupos: Grupos de seguridad Los grupos de seguridad se utilizan para asignar derechos de usuario y permisos a los grupos de usuarios y equipos. Los derechos determinan qué pueden hacer los integrantes de un grupo de seguridad en un dominio o bosque, y los permisos determinan a qué recursos de la red tienen acceso los integrantes del grupo. También peden utilizarse grupos de seguridad para enviar mensajes de correo electrónico a múltiples usuarios. Cuando se envía un mensaje de correo electrónico al grupo, se envía a cada uno de sus integrantes. Por ello, los grupos de seguridad tienen toda la funcionalidad de los grupos de distribución.
Grupos de distribución Los grupos de distribución se utilizan con aplicaciones de correo electrónico, como Microsoft Exchange, para enviar mensajes de correo electrónico a conjuntos de usuarios. El propósito principal de este tipo de grupo es reunir objetos relacionados, no conceder permisos. Los grupos de distribución no tienen habilitada la seguridad; es decir, no pueden utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos compartidos, debe crear un grupo de seguridad. Aunque los grupos de seguridad tienen toda la funcionalidad de los grupos de distribución, éstos siguen siendo necesarios, ya que algunas aplicaciones sólo pueden utilizar grupos de distribución. Ámbito de grupo Tanto los grupos de distribución como los de seguridad admiten uno de los tres ámbitos de grupo. El ámbito del grupo determina si el grupo abarca múltiples dominios o se limita a un solo dominio. El ámbito de grupo determina: Los dominios desde los que se puede agregar integrantes al grupo. Los dominios en los que puede utilizarse el grupo para conceder permisos. Los dominios en los que puede anidarse el grupo dentro de otros grupos. Un grupo de seguridad o de distribución puede tener uno de tres ámbitos posibles: global, universal o de dominio local. El contenido del grupo determina el tipo de ámbito que se le puede aplicar. Cada tipo de ámbito tiene un propósito diferente. El ámbito de los grupos se explica en la tabla siguiente. Ámbito Contenido posible Descripción Global Usuarios, grupos y equipos del mismo dominio que el grupo global Un grupo de seguridad global asigna derechos de usuario y permisos sobre los recursos de cualquier dominio del bosque. Universal Usuarios, grupos y equipos de cualquier dominio del bosque Un grupo de seguridad universal asigna derechos de usuario y permisos para los recursos de cualquier dominio del bosque. Dominio local Grupos con ámbito global, grupos con ámbito universal, cuentas, otros grupos con ámbito de dominio local o una mezcla de los anteriores Un grupo de seguridad de dominio local sólo puede recibir derechos y permisos para recursos que residan en el mismo dominio en el que se encuentra.
Cómo decidir el tipo y el ámbito de un grupo Cuándo utilizar un ámbito global Una ventaja de utilizar el ámbito global es que las cuentas de un grupo que tiene ámbito global pueden modificarse frecuentemente sin generar tráfico de replicación en el catálogo global. Esta ventaja proviene del hecho de que los grupos globales no se replican fuera de su propio dominio. Los grupos con ámbito global pueden utilizarse para administrar objetos de directorio que requieran mantenimiento diario, como las cuentas de usuario y de equipo. Por ejemplo, puede utilizar un grupo global para organizar los usuarios que comparten las mismas tareas y tienen requisitos de acceso a la red similares. Limitaciones del uso Observe las siguientes limitaciones del uso del ámbito global: del ámbito global Un dominio de Windows Server 2003 debe estar en modo Windows 2000 nativo o superior para poder utilizar grupos universales. Debido a que los grupos globales tienen visibilidad en todo el bosque, no deben crearse para el acceso a recursos específicos del dominio. Cuándo utilizar un ámbito universal Los grupos con ámbito universal pueden utilizarse para consolidar grupos que abarcan más de un dominio. Para ello, agregue las cuentas a grupos con ámbito global y anide estos grupos en otros que tengan ámbito universal. Con esta estrategia, los cambios en la pertenencia a los grupos con ámbito global no afectarán a los grupos con ámbito universal. Por ejemplo, en una red con dos dominios, North y South, y un grupo denominado GLAccounting que tenga ámbito global en ambos dominios, puede crear un grupo con ámbito universal denominado UAccounting, que tenga como integrantes los dos grupos GLAccounting, North\GLAccounting y South\GLAccounting. El grupo UAccounting puede utilizarse en cualquier lugar de la organización. Los cambios en la pertenencia a los grupos individuales GLAccounting no provocarán la replicación del grupo UAccounting.
Limitaciones del uso La pertenencia a un grupo con ámbito universal no debe cambiar con del ámbito universal frecuencia, ya que tales cambios provocan que se replique toda la información de pertenencia del grupo en todos los catálogos globales del bosque. Cuándo utilizar el Los grupos con ámbito de dominio local ayudan a definir y administrar el ámbito de dominio local acceso a los recursos de un solo dominio. Es posible asignar permisos para los recursos ubicados en el mismo dominio que el grupo local. Puede colocar todos los grupos globales que deban compartir los mismos recursos en el grupo de dominio local adecuado. Cuándo utilizar un grupo Puede asignar permisos para recursos ubicados en el equipo en el que se ha local creado el grupo local. Cree grupos locales para limitar la capacidad de acceso de los usuarios y grupos locales a los recursos de la red cuando no desee crear grupos de dominio. Nota Es importante distinguir entre un grupo de dominio local y un grupo local. Un grupo de dominio local es un grupo de seguridad o de distribución que puede contener grupos universales, grupos globales, otros grupos de dominio local de su propio dominio y cuentas de cualquier dominio del bosque. Un grupo local es un conjunto de cuentas de usuario o grupos de dominio creado en un servidor integrante o en un servidor independiente.
Qué es el anidamiento de grupos? Introducción El anidamiento permite agregar un grupo como integrante de otro grupo. Los grupos se anidan para consolidar las cuentas integrantes y reducir el tráfico de replicación. Diseño para El diseño de la red debe reducir el anidamiento a sólo un nivel. Un solo nivel anidamiento mínimo de anidamiento es lo más efectivo, ya que el seguimiento de los permisos se hace más complejo cuando existen varios niveles. Asimismo la solución de problemas es más difícil cuando hay que trazar los permisos a lo largo de múltiplos niveles de anidamiento. Por ello debe documentar la pertenencia a grupos para hacer un seguimiento de los permisos. Las opciones de Las opciones de anidamiento no son las mismas si el nivel funcional de anidamiento dependen dominio de Windows Server 2003 se ha establecido como Windows 2000 del nivel funcional de nativo o Windows 2000 mixto. Con el nivel funcional Windows 2000 nativo es dominio posible anidar distintos tipos de integrantes en un grupo, dependiendo de su ámbito. Con el nivel funcional Windows 2000 mixto, sólo pueden anidarse grupos de seguridad cuyo ámbito sea global o de dominio local. Nivel funcional Los grupos de los dominios con nivel funcional Windows 2000 nativo y los Windows 2000 nativogrupos de distribución de los dominios con nivel funcional Windows 2000 mixto pueden tener los integrantes siguientes: Grupo con este ámbito: Puede tener los integrantes siguientes: Universal Cuentas, cuentas de equipo, otros grupos con ámbito universal y grupos con ámbito global de cualquier dominio Global Cuentas del mismo dominio y otros grupos con ámbito global del mismo dominio. Dominio local Cuentas, grupos con ámbito universal y grupos con ámbito global de cualquier dominio. Este grupo también puede tener como integrantes otros grupos con ámbito local del mismo dominio.
Nivel funcional Los grupos de seguridad de los dominios con el nivel funcional Windows 2000 Windows 2000 mixto mixto están restringidos a los tipos de pertenencia siguientes: Grupo con este ámbito: Global Sólo Dominio local Puede tener los integrantes siguientes: cuentas Otros grupos con ámbito global y cuentas Los grupos de seguridad con ámbito universal no pueden crearse en dominios con nivel funcional Windows 2000 mixto, ya que el ámbito universal sólo es compatible con los dominios que tienen el nivel funcional Windows 2000 nativo o Windows Server 2003.
Grupos predeterminados y grupos de sistema Introducción Existen tres tipos de grupos predefinidos: Grupos predeterminados en los servidores integrantes Grupos predeterminados en Active Directory Grupos de sistema Grupos En los servidores integrantes, la carpeta Grupos se encuentra en la consola predeterminados en los Usuarios y grupos locales, que muestra todos los grupos locales integrados servidores inte grantes predeterminados y todos los grupos locales creados posteriormente. Los grupos locales predeterminados se crean automáticamente al instalar Windows Server 2003. Los grupos locales pueden contener cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y grupos globales. Grupos En Active Directory, los grupos predeterminados son grupos de seguridad que predeterminados en se crean automáticamente al instalar un dominio de Active Directory. Puede Active Directory utilizar estos grupos predefinidos para administrar los recursos compartidos y delegar funciones administrativas específicas que afecten a todo el dominio. Los grupos Operadores de cuentas y Operadores de servidor son ejemplos de grupos predeterminados que se instalan con Active Directory. Otros grupos son: Controladores de dominio, Invitados de dominio y Administradores de organización. Uso de los grupos predeterminados Los grupos predefinidos ayudan a controlar el acceso a los recursos compartidos y delegar funciones administrativas específicas que afecten a todo el dominio. Muchos grupos predeterminados reciben automáticamente un conjunto de derechos de usuario que autoriza a sus integrantes a realizar acciones específicas en un dominio, como iniciar sesiones en un sistema local o crear copias de seguridad de archivos y carpetas.
Consideraciones de Sólo debe agregar un usuario a un grupo predeterminado si realmente desea seguridad relativas a concederle: los grupos predeterminados Todos los derechos de usuario asignados a ese grupo. Todos los permisos asignados a ese grupo predeterminado para todos los recursos compartidos asociados al mismo. En caso contrario debe crear un nuevo grupo de seguridad y asignarle únicamente los derechos de usuario o permisos que el usuario requiere. Como recomendación de seguridad, los integrantes de los grupos predeterminados con amplio acceso administrativo no deben iniciar sesiones interactivas con credenciales administrativas. En lugar de ello, los usuarios que tengan este nivel de acceso deben iniciar la sesión con una cuenta no administrativa y utilizar Ejecutar como. Advertencia Sólo debe agregar a los grupos predeterminados los integrantes que requieran todos los derechos asociados a dichos grupos. Por ejemplo, si tiene que agregar una cuenta de servicio para hacer copias de seguridad y restaurar archivos en un servidor integrante, puede agregarla al grupo Operadores de copia de seguridad. El grupo Operadores de copia de seguridad tiene los derechos de usuario necesarios para realizar copias de seguridad y restaurar los archivos de un equipo. Sin embargo, si la cuenta de servicio sólo precisa hacer copias de seguridad de los archivos, pero no restaurarlos, es mejor crear un nuevo grupo. Puede asignar a este grupo el derecho de usuario para crear copias de seguridad, pero no asignarle el derecho de restaurar archivos. Qué es un grupo de sistema? Windows Server 2003 incluye varias identidades especiales denominadas grupos de sistema. Los grupos de sistema representan a usuarios diferentes en cada ocasión, en función de las circunstancias. Inicio de sesión anónimo, Todos y Red son ejemplos de grupos de sistema. Por ejemplo, los usuarios que conectan con otro equipo a través de la red se asignan automáticamente al grupo de sistema Red y reciben los permisos asignados a este grupo. Aunque es posible conceder derechos de usuario y permisos a los grupos de sistema, no es posible modificar ni ver sus integrantes. Los ámbitos de grupo no son aplicables a los grupos de sistema. Los usuarios se agregan automáticamente a los grupos de sistema cuando inician una sesión o tienen acceso a un recurso determinado.
Qué son los permisos de objeto de Active Directory? Introducción Permisos estándar y especiales Los permisos de objeto de Active Directory proporcionan seguridad a los recursos al permitir controlar qué administradores o usuarios tienen acceso a objetos individuales o a sus atributos, así como el tipo de acceso permitido. Con los permisos es posible asignar privilegios administrativos para una unidad organizativa o una jerarquía de unidades organizativas, y así administrar el acceso a la red. También pueden utilizarse permisos para asignar privilegios administrativos para un objeto específico a un usuario o grupo determinado. Los permisos estándar son los permisos que se conceden con más frecuencia y constan de un conjunto de permisos especiales. Los permisos especiales ofrecen un mayor grado de control para el tipo de acceso a los objetos que se puede conceder. La tabla siguiente indica algunos de los permisos estándar. Permiso Permite Acceso autorizado por los permisos al usuario: Control total Cambiar los permisos, tomar posesión y realizar las tareas que permiten todos los demás permisos estándar. Escribir Cambiar los atributos del objeto. Leer Ver los objetos, atributos de objeto, el propietario del objeto y los permisos de Active Directory. Crear todos los objetos secundarios Agregar cualquier tipo de objeto a una unidad organizativa. Eliminar todos los objetos secundarios Quitar cualquier tipo de objeto secundario de una unidad organizativa. Para que los usuarios puedan tener acceso a un objeto, un administrador o el propietario del objeto deben conceder permisos sobre el mismo. Para cada objeto de Active Directory, la familia de sistemas operativos Windows 2003 Server almacena una lista de permisos de acceso de los usuarios denominada lista de control de acceso discrecional (DACL, Discretionary Access Control List). La DACL de un objeto muestra quién puede tener acceso al objeto y las acciones específicas que cada usuario puede realizar con el objeto.
Introducción Aunque los permisos NTFS y los permisos de objeto de Active Directory son similares, existen ciertas características específicas de los segundos. Los permisos de objeto de Active Directory pueden concederse o denegarse, denegarse implícita o explícitamente, establecerse como permisos estándar o especiales, y establecerse en el nivel de objeto o heredarse desde el objeto principal. Conceder y denegar Puede conceder o denegar permisos. Los permisos denegados tienen prioridad permisos sobre cualquier otro permiso que se conceda de otra forma a los grupos y las cuentas de usuario. Sólo deben denegarse permisos cuando sea necesario quitar un permiso concedido a un usuario a través de su pertenencia a un grupo. Permisos implícitos Los permisos pueden denegarse de forma implícita o explícita como sigue: o explícitos Cuando los permisos para realizar una operación no se conceden explícitamente, entonces se deniegan implícitamente. Por ejemplo, si se asigna al grupo Marketing el permiso Leer para un objeto usuario y no hay ningún otro principal de seguridad en la lista DACL de ese objeto, se deniega implícitamente el acceso a los usuarios que no sean integrantes del grupo Marketing. El sistema operativo no permite leer las propiedades del objeto usuario a los usuarios que no sean integrantes del grupo Marketing. Un permiso se deniega explícitamente cuando se desea impedir que un subconjunto de un grupo mayor realice una tarea para la que el resto del grupo tiene permiso. Por ejemplo, puede ser necesario impedir que un usuario denominado Don vea las propiedades de un objeto usuario. Sin embargo, Don es integrante del grupo Marketing, que tiene permisos para ver las propiedades del objeto usuario. Para evitar que Don pueda ver las propiedades del objeto usuario, puede denegarle explícitamente el permiso Leer. Permisos estándar y especiales La mayoría de las tareas con objetos de Active Directory pueden configurarse a través de los permisos estándar. Estos permisos son los de uso más habitual; sin embargo, si es necesario conceder permisos más detallados, puede utilizar permisos especiales. Permisos heredados Cuando se establecen permisos en un objeto principal, los nuevos objetos heredan sus permisos. Es posible quitar los permisos heredados, pero también pueden volver a habilitarse si se desea.
Herencia de permisos Qué es la herencia Un objeto principal es cualquier objeto que tenga una relación con otro objeto de permisos? denominado secundario. El objeto secundario hereda los permisos del objeto principal. La herencia de permisos de Active Directory reduce al mínimo el número de veces que se necesita conceder permisos para los objetos. Ventajas La herencia de permisos en Windows Server 2003 simplifica la tarea de administrar los permisos en los aspectos siguientes: No es necesario aplicar permisos manualmente a los objetos secundarios en el momento de crearlos. Los permisos aplicados a un objeto principal se aplican de forma coherente a todos los objetos secundarios. Cuando se deben modificar los permisos de todos los objetos de un contenedor, sólo es necesario modificar los del objeto principal. Los objetos secundarios heredan los cambios automáticamente.
Efectos de modificar los objetos en la herencia de permisos Introducción Efectos de mover objetos La modificación de los objetos de Active Directory afecta a la herencia de permisos. Como administrador de sistemas, se le pedirá que mueva objetos de una unidad organizativa a otra en Active Directory cuando las funciones organizativas o administrativas cambien. Al hacerlo, los permisos heredados también cambian. Es esencial que tenga presente estas consecuencias antes de modificar los objetos de Active Directory. Cuando se mueven objetos entre unidades organizativas, se aplican las condiciones siguientes: Los permisos establecidos explícitamente se mantienen. Los objetos heredan los permisos de la unidad organizativa a la que se les mueve. Los objetos dejan de heredar los permisos de la unidad organizativa de la que provienen. Nota Cuando se modifican objetos de Active Directory, es posible mover múltiples objetos al mismo tiempo. Impedir la herencia de permisos Es posible impedir la herencia de permisos de forma que un objeto secundario no herede los permisos de su objeto primario. Cuando se impide la herencia, sólo se aplican los permisos establecidos explícitamente. Cuando se impide la herencia de permisos, la familia de sistemas operativos Windows Server 2003 permite: Copiar los permisos heredados al objeto. Los nuevos permisos se convierten en permisos explícitos para el objeto. Se trata de una copia de los permisos que el objeto heredó previamente de su objeto principal. Después de copiar los permisos heredados, puede hacer en ellos los cambios necesarios. Quitar los permisos heredados del objeto. Al quitar estos permisos, se eliminan todos los permisos del objeto. Después puede conceder cualquier permiso nuevo que desee para el objeto.
Delegación del control de una unidad organizativa Definición La delegación del control es la capacidad de asignar la responsabilidad de administrar objetos de Active Directory a otro usuario, grupo u organización. Con la delegación del control puede eliminarse la necesidad de mantener múltiples cuentas administrativas con amplia autoridad. Es posible delegar los tipos de control siguientes: Permisos para crear o modificar objetos de una unidad organizativa específica. Permisos para modificar atributos específicos de un objeto, como conceder el permiso para restablecer contraseñas en una cuenta de usuario. Motivos para delegar La el delegación del control de objetos de Active Directory simplifica el trabajo control administrativoadministrativo de la red gracias a la distribución de las tareas administrativas rutinarias entre múltiples usuarios. Con la administración delegada, es posible asignar tareas administrativas básicas a usuarios o grupos normales, y asignar tareas administrativas que afecten a todo el dominio o a todo el bosque a usuarios de confianza de los grupos Administradores del dominio y Administradores de organización. La delegación de la administración ofrece a los grupos de la organización un mayor control sobre sus recursos de red locales. También ayuda a proteger la red frente a daños accidentales o provocados al limitar la pertenencia a grupos de administradores. Formas de definir la La delegación del control administrativo se define de las siguientes tres formas: delegación del control administrativo Cambiar las propiedades de un contenedor particular. Crear y eliminar objetos de un tipo determinado bajo una unidad organizativa, como usuarios, grupos o impresoras. Actualizar propiedades específicas en objetos de un tipo específico dentro de una unidad organizativa. Por ejemplo, puede delegar el permiso para establecer una contraseña en un objeto usuario o en todos los objetos de una unidad organizativa.
Asistente para delegación de control Introducción El Asistente para delegación de control permite seleccionar el usuario o grupo en el que se desea delegar el control. Este asistente también puede utilizarse para conceder a los usuarios permisos para controlar unidades organizativas y objetos, y para tener acceso a objetos y modificarlos. Delegación de permisos Puede utilizar el Asistente para delegación de control con el fin de conceder permisos en el nivel de unidad organizativa. Los permisos adicionales específicos se conceden manualmente en el nivel de objeto. En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en las unidades organizativas para las que desea delegar el control y, después, haga clic en Delegar control para iniciar el asistente. También puede seleccionar la unidad organizativa y, a continuación, hacer clic en Delegar control en el menú Acción. Opciones En la tabla siguiente se describen las opciones del Asistente para delegación de control. Opción Descripción Usuarios o grupos Las cuentas de usuario o los grupos en los que desea delegar el control. Tareas para delegar Una lista de las tareas comunes o la opción para personalizar una tarea. Si selecciona una tarea común, el asistente resume las selecciones que ha realizado para completar el proceso de delegación. Cuando selecciona personalizar una tarea, el asistente muestra los tipos de objetos y permisos de Active Directory que puede elegir. Tipo de objeto de Active Directory Todos los objetos o sólo los tipos de objeto específicos de la unidad organizativa indicada. Permisos Los permisos que se van a conceder para el objeto u objetos. Nota El Asistente para delegación de control puede anexar permisos a una unidad organizativa si se ejecuta más de una vez. Sin embargo, los permisos delegados deben quitarse manualmente.
Por qué asignar un administrador a un grupo? Ventajas de asignar En Windows Server 2003, Active Directory permite asignar un administrador a un administrador a un grupo como propiedad del grupo. Esto permite: ungrupo Determinar quién es el responsable de cada grupo. Delegar en el administrador del grupo la autoridad para agregar y quitar usuarios del grupo. Debido a que en las grandes organizaciones se agregan y quitan usuarios de grupos con mucha frecuencia, algunas optan por distribuir la responsabilidad administrativa de agregar usuarios a los grupos a quienes solicitan el grupo. Si se establece quién es el administrador del grupo, la información de contacto de esa cuenta de usuario queda registrada. Si en alguna ocasión es necesario migrar el grupo a otro dominio o eliminarlo, el administrador de la red tendrá un registro de quién es el propietario del grupo y su información de contacto. De este modo, el administrador de la red podrá llamar o enviar un mensaje de correo electrónico al administrador del grupo para notificarle el cambio que debe realizar.
Introducción Una parte del trabajo del administrador de sistemas es mantener la estructura de Active Directory cuando cambian las necesidades del negocio. Razones para mover La necesidad de mover objetos de Active Directory suele ser la consecuencia elementos de de un cambio en las necesidades de negocio. Por ejemplo, puede ser necesario Active Director y mover objetos como respuesta a las situaciones siguientes: Cambio en la estructura del personal de una unidad de negocio, por ejemplo cuando un empleado pasa de un departamento a otro. Separación o fusión de una unidad de negocio con otra. Traslado de una unidad de negocio de una ubicación física a otra. Cambio de la ubicación de una unidad de negocio. Algunos recursos, tales como servidores o impresoras, se redistribuyen entre las unidades de negocio. Elementos de Los elementos siguientes pueden moverse dentro de la estructura de Active Directory que Active Directory: pueden moverse Cuenta de usuario Cuenta de contacto Grupo Carpeta compartida Impresora Equipo Controlador de dominio Unidad organizativa