UNIDAD DIDACTICA 3

USUARIOS Y GRUPOS EN REDES WINDOWS 2003 SERVER I

Eduard Lara

1. INTRODUCCIN
Si Active Directory no est instalado - Los grupos y usuarios que definamos slo servirn como Locales. Podrn iniciar sesin en el propio equipo y como usuarios de algn dominio al que pertenezca el equipo. - La gestin de usuarios y grupos se realiza desde el Administrador de equipos Si Active Directory est instalado - Los usuarios dados de alta sern usuarios globales del dominio y podrn iniciar sesin desde cualquier ordenador del dominio, incluido el servidor donde est dado de alta. - La gestin de usuarios y grupos se realiza desde Usuarios y equipos de Active Directory.
2

2. GRUPOS DEL ACTIVE DIRECTORY

Son objetos del servicio del Directorio Activo. Un grupo se define como un conjunto de usuarios, contactos, equipos y eventualmente otros grupos, aunque lo normal es que slo contenga cuentas de usuario. Simplifican la administracin porque proporcionan un mtodo fcil para conceder capacidades comunes (permisos) a mltiples usuarios simultneamente. En lugar de asignar permisos a cada usuario, se asignan una sola vez al grupo, y son heredados por los usuarios pertenecientes a ese grupo. Los grupos se distinguen por su mbito y por tipo.
3

2. TIPOS DE GRUPOS
Se puede trabajar con dos tipos de grupos: - Grupos de seguridad: son los ms comunes y se usan para designar derechos (qu puedo hacer dentro de un dominio) y permisos (a qu tengo acceso) a usuarios. Tambin pueden utilizarse como una lista de distribucin de correo electrnico. - Grupos de distribucin: nicamente sirven para asignar listas de usuarios aplicaciones de correo electrnico, sin poder emplearse para asignar permisos. Esta diferencia entre los grupos es necesaria a la hora de emplear software concreto de Microsoft, como el Microsoft Exchange, donde es necesario que los grupos se definan como grupos de distribucin.
4

2. MBITO DE UN GRUPO
El mbito del grupo determina la visibilidad del mismo dentro del dominio (es decir si el grupo comprende varios dominios o se limita a un solo dominio), as como las caractersticas que pueden conceder a los objetos que contiene. - Grupos de mbito global. Los permisos concedidos a este grupo tienen validez en cualquier dominio. Sus miembros solo pueden actuar en el dominio donde est dado de alta el grupo global. Pueden ser miembros de grupos universales o locales en cualquier dominio y pueden tener como miembros a otros grupos globales del mismo dominio y a cuentas de usuario del mismo dominio.
5

2. MBITO DE UN GRUPO
Grupos locales: Se utilizan para asignar permisos para recursos ubicados en el equipo en el que se ha creado el grupo local. Grupos de mbito local de dominio. Es lo contrario de un grupo local, ya que sus miembros actan sobre cualquier dominio pero sus permisos solo son efectivos para recursos ubicados en el mismo dominio en el que se crea el grupo. Pueden tener como miembros a otros grupos locales de dominio en el mismo dominio, grupos globales de cualquier dominio, grupos universales de cualquier dominio y usuarios de cualquier dominio.

2. MBITO DE UN GRUPO
Grupos de mbito universal. Pueden tener miembros procedentes de cualquier dominio y se les puede asignar permisos para recursos de cualquier dominio. Solo se pueden gestionar en servidores en modo nativo (servidores y equipos del mismo tipo de sistema operativo 2000 o 2003). Pueden tener como miembros a otros grupos universales, grupos globales de cualquier dominio y cuentas individuales de usuarios de cualquier dominio

3. HERRAMIENTA USUARIOS Y EQUIPOS DE ACTIVE DIRECTORY

1) Dominio sobre el que estamos trabajando. Si tuviramos subdominios dentro de este dominio podramos actuar sobre los usuarios y grupos de esos subdominios.

Contenedores de grupos de objetos con los que podemos trabajar: equipos, usuarios y grupos.

Bajo users aparecen los usuarios y los grupos mezclados.

3. DONDE SE PUEDEN CREAR LOS GRUPOS

Los grupos pueden crearse en: - el dominio raz del bosque - en cualquier otro dominio del bosque - en una unidad organizativa.
Dominio raz del bosque

Unidad Organizativa
9

4. UNIDAD ORGANIZATIVA
Una unidad Organizativa permite agrupar objetos del active directory en nuevos contenedores que solo muestren la informacin deseada (ej. agrupar equipos por versin de S.O., impresoras). Las UO o contenedores son modificables, y no afectan al funcionamiento del equipo. En la herramienta Usuarios y grupos de Active Directory aparecen todos los usuarios y grupos del sistema mezclados bajo la UO users. Puede resultar interesante hacer dos nuevos contenedores de objetos, uno para usuarios y otro para grupos, de tal forma que tengamos mejor organizados estos dos tipos de objetos.
10

4. CREACIN DE UNA UNIDAD ORGANIZATIVA

Paso 1. Sobre el nombre de dominio, haremos click con el botn derecho del ratn y seleccionaremos la opcin Nuevo, Unidad Organizativa. Paso 2. Introduciremos el nombre de la nueva unidad, por ejemplo, GRUPOS.

11

4. CREACIN DE UNA UNIDAD ORGANIZATIVA

Paso 3. Una vez creada, pasaremos los grupos de usuarios de la UO Users a la que acabamos de crear. Dentro de la UO Users seleccionaremos todos los grupos de usuarios. Paso 4. Haremos click con el botn derecho del ratn en la opcin Mover. Indicaremos el destino de los objetos seleccionados, en nuestro caso, la UO GRUPOS.

12

5. CREACIN DE GRUPOS
Paso 1. Nos situaremos sobre la UO que contiene los grupos, y haremos click botn derecho del ratn seleccionando Nuevo, Grupo o desde el men Accin seleccionaremos Nuevo, Grupo.

13

5. CREACIN DE GRUPOS
Nos encontramos con las siguientes campos Nombre del grupo. Nombre del grupo con el que quedar reconocido en el sistema. El S.O. le asigna un SID (Security IDentifiers) al grupo para gestionarlo de forma interna, transparente al usuario. El nombre del grupo tiene ser nico en el dominio o dentro de cada equipo local pudiendo repetirse en otros equipos locales o dominios. Nombre del grupo (anterior a Windows 2000). Es el nombre del grupo como lo vern los servidores preWindows 2000, en caso de trabajar con servidores NT 4.0 con los que tengamos establecidas relaciones de confianza. Se rellenar automticamente, por lo que tampoco ser necesario indicar nada.
14

5. CREACIN DE GRUPOS
mbito del grupo. Puede ser local, global o universal. Por defecto el mbito siempre ser global, para otorgar compatibilidad con otros dominios Tipo de grupo. Indica si el grupo ser de Seguridad o distribucin. Lo ms normal es crear grupos de Seguridad. Son utilizados para asignar privilegios de utilizacin de recursos compartidos en el equipo. Los grupos de distribucin se utilizan para realizar instalaciones remotas de software en los equipos clientes en los que se validan usuarios que pertenezcan al grupo.

15

5. CREACIN DE GRUPOS
Paso 2. Si una empresa consta de 3 departamentos (contabilidad, almacn y mantenimiento) lo normal ser crear 3 grupos dentro de una nueva unidad organizativa llamada Departamentos. Crearemos los grupos con las caractersticas que el sistema genera por defecto.

16

5. ELIMINACION DE GRUPOS
Paso 1. Para eliminar un grupo, se debe seleccionar de su correspondiente UO, hacer click botn derecho y seleccionar Eliminar. La eliminacin del grupo no elimina los usuarios u objetos que este contenga, ya que solo eliminar los permisos que este grupo tiene asociado.
Podemos eliminar los grupos que acabamos de crear as como la UO Departamentos que los contena. La UO Users no la podemos eliminar, ya que est protegida contra eliminacin accidental.
17

5. INCORPORACIN DE USUARIOS A GRUPOS

Paso 0.Trabajaremos con los dos nicos usuarios definidos en el sistema: Administrador e Invitado. Podemos utilizar los grupos creados anteriormente: Contabilidad, Almacn y Mantenimiento, dentro de la UO Departamentos.

18

5. INCORPORACIN DE USUARIOS A GRUPOS

Paso 1.Seleccionaremos los usuarios de la UO Users o la UO que los contenga, utilizando las teclas Control y Shift o el ratn. Haremos click botn derecho del ratn en una de las cuentas de usuario seleccionadas y elegiremos la opcin Agregar a un grupo.

19

5. INCORPORACIN DE USUARIOS A GRUPOS

Paso 2.En el cuadro de dilogo que aparece introduciremos las primeras iniciales del grupo, por ejemplo CONTA y pulsaremos Comprobar nombres. Cuando aparezca el grupo, pulsaremos Aceptar.

20

5. INCORPORACIN DE USUARIOS A GRUPOS

Paso 3.Tambin podemos realizar la asociacin pulsando en Avanzadas + Buscar ahora, para mostrar la lista de grupos y seleccionar el grupo deseado

21

5. INCORPORACIN DE USUARIOS A GRUPOS

Paso 4.El mismo proceso lo podemos realizar desde el propio grupo. Lo seleccionamos y hacemos clic con el botn derecho del ratn en Propiedades. Se abre un cuadro de dilogo en el que pulsaremos Miembros.

22

5. INCORPORACIN DE USUARIOS A GRUPOS

Paso 5. Pulsamos agregar y aparecer otra pantalla , en la que realizaremos la seleccin de los usuarios y grupos que queremos incluir en el grupo recin creado. Haremos clic en Avanzadas, Buscar ahora. Si el grupo es global, agregaremos solo usuarios nuevos, y si es local, agregaremos usuarios y otros grupos globales.

23

6. LOS GRUPOS INTEGRADOS EN ACTIVE DIRECTORY

Son grupos predefinidos por el sistema que tienen un conjunto predeterminado de derechos de usuario (tareas del sistema que puede realizar un usuario o un miembro del grupo integrado) Los grupos integrados que por defecto incorpora Windows 2003 Server son locales, globales y universales.

24

6. GRUPOS LOCALES INTEGRADOS WINDOWS 2003 SERVER

GRUPO Operadores de cuentas DESCRIPCIN Sus miembros pueden crear, modificar y eliminar cuentas de usuario y grupos. No tienen permiso modificar los grupos Administradores o Administradores del dominio ni las cuentas de dichos grupos. Los miembros de este grupo pueden iniciar sesin en modo local en los controladores del dominio y apagarlos. No hay miembros predeterminados Los usuarios de este grupo tienen derecho de solo lectura al servicio DHCP Pueden modificar la configuracin TCP/IP y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningn miembro predeterminado Tienen control total sobre todos los controladores de dominio. Cualquier derecho que no tenga el administrador de forma predeterminada se lo puede conceder a si mismo Los miembros de este grupo pueden iniciar sesin en el equipo, realizar copias de seguridad y restaurar archivos en el equipo. Tambin pueden apagarlo. No pueden cambiar la configuracin de seguridad. No tiene miembros predeterminados

Usuarios DHCP Operadores de configuracin de red Administradores

Operadores de Copia

25

6. GRUPOS LOCALES INTEGRADOS WINDOWS 2003 SERVER

GRUPO Operadores de Copia de seguridad Invitados DESCRIPCIN Pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, iniciar sesin y apagarlos. Este grupo no tiene ningn miembro predeterminado. No es igual que el anterior Los miembros de este grupo solo pueden realizar tareas para las que el administrador les haya concedido permisos. Son miembros de este grupo los grupos Usuario invitado e Invitados del dominio. Pueden administrar las impresoras y las colas de impresin. No tiene miembros predeterminados. Sus miembros pueden replicar los servicios en un controlador de dominio. No debe contener usuarios estndares. Los miembros de este grupo pueden realizar la mayora de las tareas administrativas en los controladores de dominio de forma remota. Este grupo no tiene miembros predeterminados.

Operadores de impresin Replicador Operadores de servidores

26

6. GRUPOS LOCALES INTEGRADOS WINDOWS 2003 SERVER

GRUPO Usuarios DESCRIPCIN Los miembros de este grupo pueden iniciar sesin en el equipo, acceder a la red, guardar documentos y apagar el equipo. No pueden instalar programas. Cualquier derecho que no tenga el administrador de forma predeterminada, se lo puede conceder a s mismo o realizar cambios en el sistema. Cuando aadimos un equipo servidor miembro 2000/2003 a un dominio, se integra en este grupo. Por defecto todas las cuentas que se crean en el dominio son miembros de este grupo Los miembros de este grupo pueden crear y modificar las cuentas de usuario e instalar programas en el quipo local, pero no pueden ver los archivos de otros usurarios. Peden crear y eliminar grupos locales y quitar usuarios de los grupos. No hay miembros predeterminados Pueden iniciar sesin en un servidor de forma remota. Este grupo no tiene miembros predeterminados Los miembros de este grupo solo tienen acceso administrativo al servicio DNS. No tiene ningn miembro predeterminado
27

Usuarios avanzados

Usuarios de escritorio remoto DnsAdmins

6. GRUPOS GLOBALES INTEGRADOS WINDOWS 2003 SERVER

GRUPO Administradores del dominio DESCRIPCIN Este grupo pasa a ser miembro automticamente del grupo local Administradores en todos los controladores, de forma que sus miembros pueden realizar tareas administrativas en cualquier equipo del dominio. De forma predeterminada la cuenta Administrador es, miembro de este grupo Todos los controladores y estaciones de trabajo del dominio son miembros de este grupo Contiene todos los controladores de dominio Tiene como cuenta predeterminada a Invitados Todos los usuarios del dominio y la cuenta Administrador son miembros Los miembros de este grupo pueden modificar el esquema de Directorio Activo
28

Equipos del dominio Controladores de dominio Invitados del dominio Usuarios del dominio Administradores

6. GRUPOS UNIVERSALES INTEGRADOS WINDOWS 2003 SERVER

GRUPO Administradores de empresas Administradores de esquema Enterprise Domain Controllers de solo lectura DESCRIPCIN Administradores designados de la empresa. Administradores designados del esquema. Los miembros de este grupo son controladores de dominio de solo lectura en la empresa.

29

PRACTICA 5. CREACIN DE GRUPOS DE USUARIO EN A.D.

Esta prctica debe realizarse mediante la captura de imgenes de los procesos o aplicaciones implicados en el guin, y posterior insercin de las mismas en un documento. Paso 1. Crear un nuevo grupo de dominio local llamado Alumnos. Desde Usuarios y equipos de Active Directory, vamos a hacer click con el botn derecho sobre la raz del dominio (upc.local). Este grupo ha de definirse como un grupo de seguridad. Paso 2. Captura la imagen que muestre donde haya creado el grupo Paso 3. De la misma forma vamos a definir otro grupo llamado Profesores tambin de dominio local y de tipo seguridad, desde la raz del dominio. Paso 4. Captura la imagen que muestre donde haya creado el grupo Paso 5. A que lugares se pueden mover los grupos anteriormente creados?
30

PRACTICA 5. CREACIN DE GRUPOS DE USUARIO EN A.D.

Paso 6. Comprueba como al hacer click con el botn derecho sobre cada grupo, nos aparece la opcin de enviar correo. Qu mensaje muestra? Para poder hacer uso de esta opcin hemos de tener instalado el cliente de correo masivo de Microsoft, no obstante ahora ya conoces la posibilidad. Paso 7. De la misma forma vamos a definir otro grupo llamado personal de administracin ahora de dominio local y de tipo distribucin. Existe alguna diferencia aparente entre los dos tipos de grupos de seguridad y distribucin creados? Paso 9. Crear una unidad organizativa sobre la raz del dominio, llamada Clases. Paso 10. Dentro de la Unidad Organizativa anterior crear 3 grupos de alumnos: AlumnosA32, AlumnosA33 y AlumnosA34. Deben ser grupos de seguridad y de mbito dominio local.
31

PRACTICA 5. CREACIN DE GRUPOS DE USUARIO EN A.D.

Paso 11. Mover los grupos iniciales Alumnos y Profesores a la unidad organizativa Clases. Paso 12. Asignar el usuario Administrador al grupo Profesores, partiendo desde Administrador/Agregar a un grupo y buscando por Profe Paso 13. Agregar el usuario Invitado al grupo Alumnos, pero ahora desde el grupo y aadindole el usuario Paso 14. Existen unas directrices a la hora de nombrar los grupos, de forma que es til que el nombre refleje la posesin y el mbito. Lo siguiente que vamos a hacer es crear grupos de mbito global, para ello vamos a aplicar las directrices de nombre de grupo. Paso 15. Crear un nuevo grupo local llamado GAlumnosRest, sobre la UO clases. De esta forma en el nombre queda implcito que el grupo es de mbito global y con acceso restringido. Este grupo ha de definirse como un grupo de seguridad.
32

PRACTICA 5. CREACIN DE GRUPOS DE USUARIO EN A.D.

Paso 16. De la misma forma vamos a definir otro grupo tambin global y de tipo seguridad llamado GProfesoresTot. De esta forma en el nombre queda implcito que el grupo es de mbito global y con acceso Total. Paso 17. El nombre de los grupos se puede modificar haciendo click con el botn derecho sobre el grupo seleccionado. Modifica el nombre de los dos grupos de dominio local creados al principio Alumnos y Profesores de forma que se reconozca en el nombre el mbito al que pertenecen. Para ello aplica DL delante del nombre y con respecto al tipo de acceso djalos igual que sus correspondientes de mbito global (para los alumnos Rest y para los profesores Tot. Paso 18. Supn que nos interesa tener un grupo comn para poder nicamente enviar e-mails tanto a profesores como a alumnos. Que nombre, mbito y tipo le pondras?
33