administrar grupos windows server 2008
TRANSCRIPT
ADMINISTRARGRUPOS
Índice
• ¿Qué son los grupos?• Distinción de los grupos por ámbito y tipo• Tipos de grupos
– Grupo de Seguridad• Grupos locales predeterminados• Grupos predeterminados
– Grupo de Distribución• Identidades Especiales• ¿Qué son los niveles funcionales de dominio?
• Ámbitos de grupos– Grupos globales– Grupos universales– Grupos locales de dominio– Grupos locales
• Demostración de cómo crear grupos• Demostración de cómo modificar un grupo• Demostración creación y eliminación de grupos desde la línea de comandos
Para poder administrar grupos hay que contestar antes a algunas preguntas que nos ayuden a
entender que son los grupos y para que nos sirven estos grupos a la hora de administrar nuestros
usuarios del dominio
Y la primera pregunta es…¿Qué son los grupos?
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Algunas características de estos grupos son:
• Simplifican la administración al asignar los permisos para un recurso compartido a un grupo en lugar de a usuarios individuales.
• Se distinguen por su ámbito y tipo.• Pueden anidarse, es decir, se pueden agregar grupos
dentro de otros grupos.
Como se ha dicho anteriormente los grupos se distinguen por su ámbito…
El ámbito de un grupo determina si el grupo comprende a uno o varios dominios. los distintos ámbitos, que más adelante explicaremos, son:
• Global• Local de dominio• Universal• Local
…y también se distinguen por su tipo
El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido o si se puede usar un grupo sólo
para las listas de distribución. Los grupos según su tipo son:
• Grupo de seguridad.• Grupo de distribución
Grupo de Seguridad
Los grupos de seguridad se utilizan para asignar derechos y permisos de usuario a grupos de usuarios y equipos. Los derechos especifican que acciones pueden realizar los miembros del grupo de seguridad en un dominio o bosque, mientras que los permisos especifican a que
recursos tiene acceso y el nivel de acceso de un miembro de un grupo en la red .
Existen unos grupos que son de seguridad y que se crean automáticamente cuando se instala Windows Server® 2008, son los grupos locales
predeterminados. Estos grupos pueden contener cuentas de usuarios locales, cuentas de usuario de dominio, cuentas de equipo y
grupos locales. Entre estos grupos se encuentran: Administradores, Invitados,
Usuarios del registro de rendimiento, Usuarios del monitor del sistema, Usuarios avanzados u
Operadores de impresión.
Para ver estos grupos seguiremos los siguientes pasos:
• Abriremos una ventana Ejecutar y escribiremos el comando MMC (Microsoft Management Console)
• Entonces se nos abrirá una consola en la que haremos clic en archivo y de nuevo clic en agregar o quitar complemento:
• Y aquí añadiremos el complemento usuarios y grupos locales:
• Tras esto nos aparecerán los grupos locales predeterminados citados anteriormente:
• Hay que tener en cuenta que tras instalar Active Directory nos saldrá un error que no nos dejará abrir este complemento dentro de MMC:
También existen otros grupos que son de seguridad y que se crean automáticamente
cuando se crea un dominio de Active Directory, y son los grupos predeterminados. A muchos de estos grupos se les asignan automáticamente un conjunto de derechos de usuario que autorizan a los miembros del grupo a realizar ciertas
acciones en un dominio. Cuando se agrega un usuario a un grupo predeterminado, ese usuario
recibe:• Todos los derechos de usuario asignados al grupo• Todos los permisos asignados al grupo para los recursos
compartidos
Es conveniente tener en cuenta algunas consideraciones antes de agregar un usuario a
un grupo predeterminado:• Coloque un usuario en un grupo predeterminado sólo
cuando esté seguro de que desees ofrecerle todos los derechos y permisos de usuario asignados a dicho grupo en Active Directory; de lo contrario, cree un nuevo grupo de seguridad.
• Por seguridad, los miembros de los grupos predeterminados deben usar Ejecutar como para realizar tareas administrativas.
Estos grupos predeterminados se encuentran en los contenedores Builtin y Users. Los grupos predeterminados del contenedor Builtin son de ámbito Local. Su ámbito y tipo de grupo no se pueden modificar. Los grupos del contenedor
Users son de ámbito Global o Local de Dominio. Los grupos de estos contenedores se pueden mover a otros grupos o unidades organizativas, pero no se pueden mover a otros dominios.
Para llegar a ver estos grupos solo deberemos entrar en Inicio, herramientas administrativas, y allí hacer clic en usuarios y equipos de Active
Directory:
Y podremos ver tanto el contenedor Builtin:
Como el contenedor Users:
Grupo de Distribución
Estos grupos se utilizan con aplicaciones de correo electrónico como Microsoft ® Exchange, para enviar mensajes de correo electrónico a
grupos de usuarios. La finalidad principal de este tipo de grupo es recopilar objetos relacionados.Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribución, estos
son necesarios debido a que algunas aplicaciones sólo pueden utilizar grupos de
distribución.
Pero dentro de Active Directory existen otros grupos que se conocen con el nombre de Identidades Especiales, y que en Windows
Server® 2003 reciben el nombre de Grupos del sistema. Son grupos predeterminados, y las pertenencias de estos grupos a otros no se
pueden ver ni modificar. Representan a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos identidades
especiales son:
Identidad Especial Descripción
Inicio de sesiónanónimo
Este grupo representa a los usuarios y servicios que obtienen acceso a un
equipo y a sus recursos a través de la red sin usar un nombre de cuenta, contraseña
o nombre de dominio
TodosEste grupo representa a todos los
usuarios actuales de la red, incluidos invitados y usuarios de otros dominios
RedEste grupo representa a los usuarios queobtienen acceso en ese momento a un
recurso dado a través de la red.
Interactivo
Este grupo representa a todos los usuarios que disponen de una sesión
iniciada en un equipo determinado y que están obteniendo acceso a un recurso
ubicado en ese equipo
Aunque a las Identidades Especiales se les puede conceder derechos y permisos para los recursos, sus pertenencias no se pueden ver ni modificar. Las Identidades Especiales no tiene
ámbitos de grupos.
¿Qué son los niveles funcionales de dominio?
Las características de los grupos de Active Directory dependen del nivel funcional de
dominio. La funcionalidad del dominio activa funciones que afectan a todo un dominio y a todo ese dominio. Determina que clase de características estarán disponibles, como por ejemplo la capacidad de unir bosques. El nivel funcional se puede elevar pero una vez elevado no se podrá volver a un nivel funcional inferior.
En esta tabla se pueden ver los niveles funcionales y sus características:
Windows 2000 mixto
(predeterminado)
Windows 2000 nativo
Windows Server 2003
Windows Server 2008
Controladoresde dominio admitidos
Windows NT Server 4,0,
Windows 2000, Windows Server2003, Windows Server 2008
Windows 2000,
Windows Server 2003, Windows
Server 2008
Windows Server 2003, Windows
Server 2008
Windows server 2008
Ámbitos de grupo
admitidos
Global y local de dominio
Global, local de dominio y universal
Global, local de dominio y universal
Global, local de dominio y universal
En Windows Server 2008 no existe el nivel funcional Windows 2000 mixto, pero si en Windows Server 2003, y
para poder convertir un grupo de seguridad en un grupo de distribución y viceversa el nivel funcional debe encontrarse
definido en Windows 2000 nativo o superior.
Elevar el nivel funcional del dominio es muy fácil. Sólo tenemos que ir a Usuarios y equipos de Active Directory y hacer clic con el botón derecho en nuestro dominio, y nos aparecerá la opción elevar el nivel funcional del dominio:
Y en la ventana que nos sale podremos elevar el nivel funcional de dominio. Recordad que una vez elevado no podréis volver a un nivel inferior:
Ámbitos de grupos
Como se explicó al principio de la presentación el ámbito de un grupo determina si el grupo comprende a uno o varios dominios. los distintos ámbitos, que a continuación se
explicarán en profundidad son:• Global• Local de dominio• Universal• Local
Grupos globales
Los miembro de los grupos globales pueden incluir sólo otros grupos y cuentas del dominio en el que se encuentra definido el grupo. A los miembros de estos grupos se les pueden asignar
permisos en cualquier dominio del bosque. Se aconseja que se usen los grupos con ámbito global para administrar objetos de directorio que requieran un mantenimiento diario, como
las cuentas de usuario y de equipo
Las características de los grupos globales son:• Miembros:
– En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas de usuario y equipo del mismo dominio que el grupo global.
– En un nivel funcional nativo, los grupos globales pueden contener cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio que el grupo global.
• Puede ser miembro de:– En el modo mixto, un grupo local puede ser miembro de grupos locales de
dominio.– En el modo nativo, un grupo global puede ser miembro de grupos locales
de dominio y universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo global.
• Ámbito:– Un grupo global es visible dentro de su dominio y de todos los dominios
de confianza, en los que se incluyen todos los dominios del bosque.• Permisos:
– Puede conceder permisos a un grupo global para todos los dominios del bosque.
Grupos universalesLos miembros de los grupos universales pueden
incluir otros grupos y cuentas de cualquier dominio del bosque o del árbol de dominios. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del
bosque o del árbol de dominios.Se utilizan los grupos con ámbito universal para
consolidar los grupos que abarcan varios dominios.
Para poder utilizar los grupos universales el nivel funcional del dominio debe der Windows 2000
nativo o superior
Las características de los grupos universales son:• Miembros:
– No puede crear grupos universales en el modo mixto.– En el modo nativo, los grupos universales pueden contener cuentas de
usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque.
• Puede ser miembro de:– No se puede aplicar el grupo universal en el modo mixto.– En el modo nativo, el grupo universal puede ser miembro de los
grupos locales de dominio y universales de cualquier dominio.
• Ámbito:– Los grupos universales son visibles en todos los dominios del bosque y
dominios de confianza.
• Permisos:– Puede conceder permisos a grupos universales para todos los
dominios del bosque.
Grupos locales de dominio
Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de
dominios de Windows Server 2003, Windows 2000, Windows NT y Windows Server 2008. A
los miembros de estos grupos sólo se les pueden asignar permisos dentro de un dominio.
Los grupos con ámbito local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio único. Pueden tener los
siguientes miembros:
• Grupos con ámbito Global• Grupos con ámbito Universal• Cuentas• Otros grupos con ámbito Local de dominio• Una combinación de los anteriores
Las características de los grupos locales de dominio son:
• Miembros:– En el modo mixto, los grupos locales de dominio pueden contener cuentas de
usuario, cuentas de equipo y grupos globales de cualquier dominio. Los servidores miembros no pueden utilizar grupos locales de dominio en el modo mixto.
– En el modo nativo, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque y grupos locales de dominio de su mismo dominio.
• Puede ser miembro de:– En el modo mixto, un grupo local de dominio no puede ser miembro de
ningún grupo.– En el modo nativo, un grupo local de dominio puede ser miembro de grupos
locales de dominio de su mismo dominio.
• Ámbito:– Un grupo local de dominio sólo es visible en el dominio al que pertenece.
• Permisos:– Puede asignar permisos a un grupo local de dominio para el dominio al que
pertenece el grupo local de dominio.
Grupos locales
Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados en un
servidor miembro o en un servidor independiente. Se pueden crear grupos locales para conceder permisos para los recursos que residan en el equipo local.
Los grupos locales a veces reciben el nombre de grupos locales de dominio para distinguirlos
de los grupos locales de dominio.
Las características de los grupos locales son:• Los grupos locales pueden contener cuentas de usuario
locales del equipo en el que se crea el grupo local.• Los grupos locales no pueden ser miembros de otro grupo.
Directrices a la hora de utilizar los grupos locales:
• Sólo puede utilizar grupos locales en el equipo en el que se crean dichos grupos locales. Los permisos de estos grupos ofrecen acceso sólo a los recursos del equipo en el que se
creó el grupo local.• No se pueden crear grupos locales en controladores de dominio, porque éstos no tienen una base de datos segura.
Y tras saber un poco más acerca de los grupos, pasaremos a la creación, modificación y
eliminación de éstos.Los grupos se crean en los dominios. Para crear
grupos se utiliza la herramienta Usuarios y equipos de Active Directory. Con los permisos
necesarios se pueden crear grupos en el dominio raíz del bosque, en cualquier otro
dominio del bosque o en una unidad organizativa.
Demostración de cómo crear gruposCrear un grupo en Windows Server 2008 es algo muy sencillo.
Sólo tenemos que seguir los siguientes pasos:• Entraremos en la herramienta Usuarios y equipos de Active
Directory que se encuentra en las Herramientas Administrativas:
• Ahora haremos clic con el botón derecho en el dominio, en un contenedor de los que ya existen o en algún grupo o unidad organizativa que hayamos creado anteriormente. Daremos a nuevo y aquí en grupo:
• Y nos aparecerá una ventana donde pondremos nombre a nuestro grupo y le asignaremos el ámbito y el tipo de grupo. Aceptamos y ya tendremos creado nuestro grupo:
Demostración de cómo modificar un grupo
Ahora podremos modificar nuestro grupo haciendo clic derecho sobre él y clic en Propiedades:
Empezaremos por la pestaña general. Aquí podremos cambiar el nombre, ponerle una descripción, un correo, o cambiar el ámbito o el tipo de grupo:
A la hora de cambiar el ámbito o el tipo de grupo hay que tener varias cosas en cuenta. Si nuestro grupo es de ámbito global no podremos cambiarlo a ámbito de Dominio local, y viceversa:
Para hacer este cambio de ámbito de Global a Dominio Local o viceversa hay que pasar antes por el ámbito Universal:
También podemos cambiar el tipo de grupo, pero al hacer el cambio de tipo Seguridad a tipo Distribución nos dará una advertencia:
En la pestaña miembros podremos agregar aquellos usuarios o grupos que queremos que pertenezcan a este grupo:
Daremos a agregar y ahí en avanzadas:
Haremos clic en Buscar ahora y nos saldrán todos los usuarios y grupos que podemos agregar a nuestro grupo:
En la pestaña Miembro de pondremos a que grupo queremos que pertenezca nuestro grupo. Los grupos que aquí salgan serán siempre grupos de dominio local:
Haremos clic en agregar y luego en avanzadas:
Le damos a Buscar ahora y nos aparecerán todos los grupos de los que nos podemos hacer miembros:
En la pestaña Administrado por podemos asignar un administrador al grupo. En este administrador delega la autoridad para agregar y eliminar usuarios del grupo:
Le daremos a Cambiar… y después a Avanzadas
Después haremos clic en Buscar ahora y podremos elegir al administrador de nuestro grupo:
Tanto en la pestaña Miembros como Miembro de podremos eliminar los usuarios y grupos. Sólo tenemos que seleccionarlos y hacer clic en Quitar
También podemos quitar el administrador del grupo. Sólo tenemos que hacer clic en borrar:
En cualquier momento podemos eliminar el grupo que hemos creado. Solo tenemos que seleccionarlo y hacer clic sobre con el botón derecho. Entonces pinchamos en la opción eliminar:
Nos preguntará si realmente queremos eliminar nuestro grupo. Decimos que sí y nuestro grupo quedará eliminado:
Demostración creación y eliminación de grupos desde la línea de comandosTambién podemos utilizar la línea de comandos tanto para crear como para eliminar los grupos. Para esto abriremos la línea de comandos utilizando el comando CMD en la ventana de Ejecutar:
Ya en la consola utilizaremos el comandos dsadd group /? Así podremos ver la ayuda para este comando que es el que se utiliza para crear grupos:
El comando completo que utilizaremos para crear el grupo será: Dsadd group “cn=Demo2,dc=SER2008,dc=local” –samid Demo2 –secgrp yes –scope g –members “cn=Fran,dc=SER2008, dc=local” “cn=Cris,dc=SER2008, dc=local” “cn=Jorge,dc=SER2008, dc=local”‐memberof “cn=Administradores,cn=Builtin,dc=SER2008,dc=local” La parte en blanco de la siguiente imagen es el Nombre Distintivo [DN] del grupo que se agregará, donde Demo2 es el nombre, y SER2008 y local el servidor.
En esta otra imagen la parte en blanco señala algunas de las propiedades a la hora de crear el grupo:• ‐samid Demo2: nombre de equipo anterior a Windows 2000• ‐secgrp yes: selecciona el tipo de grupo como seguridad. En el caso de que la respuesta fuese no, el grupo sería de tipo distribución.• ‐scope g: determina el ámbito de grupo como global. Las opciones son: l (Dominio local), g(Global), u (Universal)
La siguiente propiedad que podemos añadir al comando es ‐members que se utiliza para añadir usuarios al grupos. Los usuarios estarán determinados por una lista (estarán separados por espacios) de sus Nombres Distintivos [DN]. El comando quedaría:‐members “cn=Fran,dc=SER2008,dc=local” “cn=Cris,dc=SER2008,dc=local”
La última propiedad del comando es –memberof. Con este comando podremos hacer a nuestro grupo miembro de otro grupo como por ejemplo del grupo Administradores. Sólo tenemos que poner la propiedad seguida del Nombre Distintivo [DN] del grupo del que queremos hacerlo miembro: ‐memberof“cn=Administradores,cn=Builtin,dc=SER2008,dc=local”
También podemos eliminar nuestro grupo desde la línea de comandos utilizando el comando dsrm. Sólo tenemos que poner este comando seguido del Nombre Distintivo [DN] del grupo:
Dsrm “cn=Demo2,dc=SER2008,dc=local”