430 likes | 726 Views
Módulo 3: Administrar grupos. Introducción. Crear grupos Administrar la pertenencia a grupos Estrategias de uso de grupos Modificar grupos Uso de grupos predeterminados Prácticas recomendadas para la administración de grupos. Lección: Crear grupos. ¿Qué son los grupos?
E N D
Introducción • Crear grupos • Administrar la pertenencia a grupos • Estrategias de uso de grupos • Modificar grupos • Uso de grupos predeterminados • Prácticas recomendadas para la administración de grupos
Lección: Crear grupos • ¿Qué son los grupos? • ¿Qué son los niveles funcionales de dominio? • ¿Qué son los grupos globales? • ¿Qué son los grupos universales? • ¿Qué son los grupos locales de dominio? • ¿Qué son los grupos locales? • ¿Dónde crear grupos? • Directrices para la nomenclatura de grupos • ¿Cómo crear un grupo?
¿Qué son los grupos? Los grupos simplifican la administración, ya que permiten asignar permisos para los recursos Grupo Los grupos se distinguen por su ámbito y tipo • El ámbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo • Los 3 ámbitos de grupo son: global, local de dominio, universal y local
¿Qué son los grupos globales? Reglas de los grupos globales
¿Qué son los grupos universales? Reglas de los grupos universales
¿Qué son los grupos locales de dominio? Reglas de los grupos locales de dominio
¿Qué son los grupos locales? Reglas de los grupos locales
¿Dónde crear grupos? • Los grupos se pueden crear en el dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa • Seleccione el dominio o unidad organizativa en que crear un grupo en función de los requisitos de administración del grupo • Por ejemplo: • Si su directorio tiene varias unidades organizativas, cada una de ellas con un administrador diferente, puede crear grupos globales en dichas unidades
Directrices para la nomenclatura de grupos Para grupos de seguridad: • Incorpore el ámbito en la convención de nomenclatura del nombre del grupo • El nombre debe reflejar la posesión (nombre de la división o del equipo) • Coloque los nombres de dominio o su abreviatura al principio del nombre del grupo • Use un descriptor para identificar los permisos máximos que puede tener un grupo, como DL Admins de TI de OU de London Para grupos de distribución: • Utilice un nombre de alias corto • No incluya un nombre de alias como parte del nombre para mostrar • Un único grupo de distribución puede tener un máximo de cinco copropietarios
¿Cómo crear un grupo? El instructor mostrará cómo: • Crear un grupo en un dominio • Crear un grupo local en un servidor miembro • Crear un grupo con la línea de comandos • Eliminar un grupo • Eliminar un grupo con la línea de comandos
Ejercicio: Creación de grupos En este ejercicio, se ocupará de: • Crear grupos mediante Usuarios y equipos de Active Directory • Crear grupos utilizando la herramienta de línea de comandos dsadd
Lección: Administrar la pertenencia a grupos • Las propiedades Miembros y Miembro de • Demostración:Miembros y Miembro de • ¿Cómo determinar los grupos de los que es miembro una cuenta de usuario? • ¿Cómo agregar y eliminar miembros de un grupo?
Las propiedades Miembros y Miembro de Grupo o equipo Grupo global Grupo local de dominio Tom, Jo, y Kim Administradores de Denver Administradores de Madrid Administradores de UO de Denver Administradores de Vancouver Sam, Scott y Amy
Demostración: Miembros y Miembro de En esta demostración, el instructor mostrará cómo utilizar las propiedades Miembros y Miembro de
¿Cómo determinar los grupos de los que es miembro una cuenta de usuario? El instructor mostrará cómo: • Determinar los grupos de los que es miembro un usuario • Determinar con la línea de comandos los grupos de los que es miembro un usuario
¿Cómo agregar y eliminar miembros de un grupo? El instructor demostrará cómo agregar miembros a un grupo y quitarlos del mismo
Ejercicio: Administrar la pertenencia a grupos En este ejercicio, se agregarán usuarios a un grupo global
Lección: Estrategias de uso de grupos • Presentación multimedia:Estrategia de utilización de los grupos en un único dominio • ¿Qué es el anidamiento de grupos? • Estrategias de grupo
Presentación multimedia: Estrategia de utilización de los grupos en un único dominio Esta presentación explica la estrategia de AGDLP para el uso de grupos
¿Qué es el anidamiento de grupos? • Significa agregar un grupo como miembro de otro Grupo Grupo Grupo Grupo Grupo • Anide grupos para consolidar la administración de grupos • Las opciones de anidamiento varían según se haya establecido el nivel funcional del dominio de Windows Server 2003 en Windows 2000 nativo o Windows 2000 mixto
A G P A G L P A G U DL P A G DL P A DL P Grupos universales Grupos locales de dominio Cuentas de usuario Grupos globales Cuentas de usuario Grupos globales Grupos universales Grupos locales de dominio Permisos Cuentas de usuario Cuentas de usuario Cuentas de usuario Cuentas de usuario Grupos globales Grupos globales Grupos locales de dominio Grupos globales Grupos locales de dominio Grupos locales Permisos Permisos Permisos Permisos U DL A G A G U DL P Permisos Grupos locales Estrategias de grupo: Cuentas de usuario Grupos globales • A G P • A DL P • A G DL P • A G U DL P • A G L P A A DL G P P A A G G DL L P P P L A G Estrategias de grupo
Debate de clase: Uso de grupos en un único dominio Northwind Traders tiene un único dominio ubicado en París, Francia.Los administradores de Northwind Traders necesitan acceder a la base de datos de inventario para realizar su trabajo.¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario? Northwind Traders desea reaccionar de forma más rápida a las demandas del mercado.Se ha dispuesto que los datos de contabilidad deben estar disponibles para todo el personal de contabilidad.Northwind Traders desea crear la estructura de grupo de toda la división de contabilidad, que incluye los departamentos de Cuentas acreedoras y Cuentas deudoras.¿Qué puede hacer para garantizar que los administradores tengan el acceso necesario y para asegurar que haya un mínimo de administración? Northwind Traders tiene un único dominio ubicado en París, Francia.Los administradores de Northwind Traders necesitan acceder a la base de datos de inventario para realizar su trabajo.¿Qué puede hacer para garantizar que los administradores tengan acceso a la base de datos de inventario? • Coloque a todos los administradores en un grupo global • Cree un grupo local de dominio para el acceso a la base de datos de inventario • Convierta el grupo global en miembro del grupo local de dominio y conceda permisos al grupo local de dominio para acceder a la base de datos de inventario • Asegúrese de que la red está ejecutándose en modo nativo. • Cree tres grupos globales llamados: División de contabilidad, Cuentas acreedoras y Cuentas deudoras. • Coloque el grupo global División de Contabilidad en el grupo local de dominio para que los usuarios puedan acceder a los datos de contabilidad. • Cree un grupo local de dominio denominado Datos de Contabilidad. Conceda a este grupo los permisos adecuados para el archivo de recursos de datos de contabilidad.
Ejercicio: Adición de grupos globales a grupos locales de dominio En este ejercicio, agregará grupos globales a grupos locales de dominio
Lección: Modificar grupos • ¿Qué es la modificación del ámbito o tipo de un grupo? • ¿Cómo cambiar el ámbito o tipo de un grupo? • ¿Por qué se debe asignar un administrador a un grupo? • ¿Cómo asignar un administrador a un grupo?
¿Qué es la modificación del ámbito o tipo de un grupo? • Cambio del ámbito de un grupo • De global a universal • De local de dominio a universal • De universal a global • De universal a local de dominio • Cambio del tipo de grupo • De seguridad a distribución • De distribución a seguridad
¿Cómo cambiar el ámbito o tipo de un grupo? El instructor mostrará cómo cambiar el ámbito o tipo de un grupo
Ejercicio: Cambio del ámbito y tipo de un grupo En este ejercicio, se ocupará de: • Cambiar el ámbito de grupo de global a local de dominio • Convertir un grupo de seguridad en un grupo de distribución
¿Por qué se debe asignar un administrador a un grupo? • Para permitirle: • Controlar quién es la persona responsable de los grupos • Delegar en el administrador del grupo la autoridad para agregar y eliminar usuarios del grupo • Para distribuir la responsabilidad administrativa de agregar usuarios a grupos entre las personas que solicitan el grupo Responsable del departamento Grupo
¿Cómo asignar un administrador a un grupo? El instructor mostrará cómo asignar un administrador a un grupo
Ejercicio: Asignar un administrador a un grupo En este ejercicio, se ocupará de: • Crear un grupo global • Asignar un administrador a un grupo • Probar las propiedades del administrador del grupo
Lección: Uso de grupos predeterminados • Grupos predeterminados en servidores miembros • Grupos predeterminados en Active Directory • ¿Cuándo utilizar grupos predeterminados? • Consideraciones de seguridad para los grupos predeterminados • Grupos del sistema
¿Cuándo utilizar grupos predeterminados? • Los grupos predeterminados son: • Los creados durante la instalación del sistema operativo o cuando se agregan servicios como Active Directory o DHCP • Los que se les asigna automáticamente un conjunto de derechos de usuario • Los grupos predeterminados se usan para: • Controlar el acceso a recursos compartidos • Delegar determinada administración a todo el dominio
Consideraciones de seguridad para los grupos predeterminados • Coloque un usuario en un grupo predeterminado sólo cuando esté seguro de que desea ofrecerle todos los derechos y permisos de usuario asignados a dicho grupo en Active Directory; de lo contrario, cree un nuevo grupo de seguridad • Por seguridad, los miembros de los grupos predeterminados deben usar Ejecutar como
Grupos del sistema • Los grupos del sistema representan a diferentes usuarios en distintas ocasiones • Puede conceder derechos y permisos de usuario a los grupos del sistema, pero no puede modificar ni ver los miembros • Los ámbitos de grupo no se aplican a los grupos del sistema • Los usuarios se asignan automáticamente a los grupos del sistema cada vez que inician una sesión o acceden a un determinado recurso
Debate de clase: Uso de grupos predeterminados frente a creación de nuevos grupos Northwind Traders tiene más de 100 servidores en todo el mundo.Usted asiste a una reunión para discutir las tareas actuales que deben realizar los administradores y qué nivel mínimo de acceso necesitan los usuarios para realizar tareas específicas.También debe determinar si pueden utilizar grupos predeterminados o si se deben crear grupos y asignar derechos y permisos de usuario específicos a los grupos para realizar estas tareas.
Prácticas recomendadas para la administración de grupos • Crear grupos en función de las necesidades administrativas • Utilizar grupos locales en un equipo que no sea miembro de ningún dominio • Agregar cuentas de usuario al grupo más restrictivo • Utilizar el grupo integrado cuando sea posible, en lugar de crear un grupo nuevo • Utilice el grupos Usuarios autenticados en lugar del grupo Todos para conceder la mayor parte de los derechos y permisos de usuario • Limite el número de usuarios del grupo Administradores • Confíe en todos los miembros de los grupos Administradores, Usuarios avanzados, Operadores de impresión, Operadores de copia de seguridad
Práctica A: Crear y administrar grupos En esta práctica, se ocupará de: • Crear grupos locales y globales • Asignar nombres a los grupos según una convención de nomenclatura • Agregar miembros a grupos