PDF de programación - UD3 - Usuarios y Grupos en Windows 2003 Server I

UNIDAD DIDACTICA 3

USUARIOS Y GRUPOS EN REDES

WINDOWS 2003 SERVER I

Eduard Lara

1

1. INTRODUCCIÓN

Si Active Directory no está instalado
- Los grupos y usuarios que definamos sólo servirán como
Locales. Podrán iniciar sesión en el propio equipo y como
usuarios de algún dominio al que pertenezca el equipo.
- La gestión de usuarios y grupos se realiza desde el
Administrador de equipos
Si Active Directory está instalado
- Los usuarios dados de alta serán usuarios globales del
dominio y podrán iniciar sesión desde cualquier ordenador
del dominio, incluido el servidor donde esté dado de alta.
- La gestión de usuarios y grupos se realiza desde
Usuarios y equipos de Active Directory.

2

2. GRUPOS DEL ACTIVE DIRECTORY

Son objetos del servicio del Directorio Activo.
Un grupo se define como un conjunto de usuarios,
contactos, equipos y eventualmente otros grupos, aunque
lo normal es que sólo contenga cuentas de usuario.
Simplifican la administración porque proporcionan un
método fácil para conceder capacidades comunes
(permisos) a múltiples usuarios simultáneamente.
En lugar de asignar permisos a cada usuario, se asignan
una sola vez al grupo, y son heredados por los usuarios
pertenecientes a ese grupo.
Los grupos se distinguen por su ámbito y por tipo.

3

2. TIPOS DE GRUPOS

Se puede trabajar con dos tipos de grupos:
- Grupos de seguridad: son los más comunes y se usan
para designar derechos (qué puedo hacer dentro de un
dominio) y permisos (a qué tengo acceso) a usuarios.
También pueden utilizarse como una lista de distribución
de correo electrónico.
- Grupos de distribución: Únicamente sirven para
asignar listas de usuarios aplicaciones de correo
electrónico, sin poder emplearse para asignar permisos.
Esta diferencia entre los grupos es necesaria a la hora de
emplear software concreto de Microsoft, como el
Microsoft Exchange, donde es necesario que los grupos
se definan como grupos de distribución.

4

2. ÁMBITO DE UN GRUPO

El ámbito del grupo determina la visibilidad del mismo
dentro del dominio (es decir si el grupo comprende varios
dominios o se limita a un solo dominio), así como las
características que pueden conceder a los objetos que
contiene.
- Grupos de ámbito global. Los permisos concedidos a
este grupo tienen validez en cualquier dominio. Sus
miembros solo pueden actuar en el dominio donde está
dado de alta el grupo global. Pueden ser miembros de
grupos universales o locales en cualquier dominio y pueden
tener como miembros a otros grupos globales del mismo
dominio y a cuentas de usuario del mismo dominio.

5

2. ÁMBITO DE UN GRUPO

Grupos locales: Se utilizan para asignar permisos para
recursos ubicados en el equipo en el que se ha creado el
grupo local.
Grupos de ámbito local de dominio. Es lo contrario
de un grupo local, ya que sus miembros actúan sobre
cualquier dominio pero sus permisos solo son efectivos
para recursos ubicados en el mismo dominio en el que se
crea el grupo. Pueden tener como miembros a otros
grupos locales de dominio en el mismo dominio, grupos
globales de cualquier dominio, grupos universales de
cualquier dominio y usuarios de cualquier dominio.

6

2. ÁMBITO DE UN GRUPO

Grupos de ámbito universal. Pueden tener miembros
procedentes de cualquier dominio y se les puede asignar
permisos para recursos de cualquier dominio. Solo se
pueden gestionar en servidores en modo nativo
(servidores y equipos del mismo tipo de sistema operativo
2000 o 2003). Pueden tener como miembros a otros
grupos universales, grupos globales de cualquier dominio y
cuentas individuales de usuarios de cualquier dominio

7

3. HERRAMIENTA USUARIOS Y
EQUIPOS DE ACTIVE DIRECTORY

1) Dominio sobre el que estamos trabajando. Si
tuviéramos subdominios dentro de este dominio
podríamos actuar sobre los usuarios y grupos
de esos subdominios.

Contenedores de
grupos de objetos
con los que
podemos trabajar:
equipos, usuarios y
grupos.

Bajo users aparecen
los usuarios y los
grupos mezclados.

8

3. DONDE SE PUEDEN CREAR

LOS GRUPOS

Los grupos pueden crearse en:
- el dominio raíz del bosque
- en cualquier otro dominio del bosque
- en una unidad organizativa.

Dominio raíz del bosque

Unidad

Organizativa

9

4. UNIDAD ORGANIZATIVA

Una unidad Organizativa permite agrupar objetos del
active directory en nuevos contenedores que solo
muestren la información deseada (ej. agrupar equipos por
versión de S.O., impresoras).
Las UO o contenedores son modificables, y no afectan
al funcionamiento del equipo.
En la herramienta Usuarios y grupos de Active
Directory aparecen todos los usuarios y grupos del
sistema mezclados bajo la UO users.
Puede resultar interesante hacer dos nuevos
contenedores de objetos, uno para usuarios y otro para
grupos, de tal forma que tengamos mejor organizados
estos dos tipos de objetos.

10

4. CREACIÓN DE UNA
UNIDAD ORGANIZATIVA

Paso 1. Sobre el nombre de dominio, haremos click con el
botón derecho del ratón y seleccionaremos la opción
Nuevo, Unidad Organizativa.
Paso 2. Introduciremos el nombre de la nueva unidad,
por ejemplo, GRUPOS.

11

4. CREACIÓN DE UNA
UNIDAD ORGANIZATIVA

Paso 3. Una vez creada, pasaremos los grupos de usuarios
de la UO Users a la que acabamos de crear. Dentro de la
UO Users seleccionaremos todos los grupos de usuarios.
Paso 4. Haremos click con el botón derecho del ratón en
la opción Mover. Indicaremos el destino de los objetos
seleccionados, en nuestro caso, la UO GRUPOS.

12

5. CREACIÓN DE GRUPOS

Paso 1. Nos situaremos sobre la UO que contiene los
grupos, y haremos click botón derecho del ratón
seleccionando Nuevo, Grupo o desde el menú Acción
seleccionaremos Nuevo, Grupo.

13

5. CREACIÓN DE GRUPOS

Nos encontramos con las siguientes campos
Nombre del grupo. Nombre del grupo con el que
quedará reconocido en el sistema. El S.O. le asigna un SID
(Security IDentifiers) al grupo para gestionarlo de forma
interna, transparente al usuario. El nombre del grupo
tiene ser único en el dominio o dentro de cada equipo local
pudiendo repetirse en otros equipos locales o dominios.
Nombre del grupo (anterior a Windows 2000). Es el
nombre del grupo como lo verán los servidores pre-
Windows 2000, en caso de trabajar con servidores NT
4.0 con los que tengamos establecidas relaciones de
confianza. Se rellenará automáticamente, por lo que
tampoco será necesario indicar nada.

14

5. CREACIÓN DE GRUPOS

Ámbito del grupo. Puede ser local, global o universal.
Por defecto el ámbito siempre será global, para otorgar
compatibilidad con otros dominios
Tipo de grupo. Indica si el grupo será de Seguridad o
distribución. Lo más normal es crear grupos de
Seguridad. Son utilizados para asignar privilegios de
utilización de recursos compartidos en el equipo. Los
grupos de distribución se utilizan para realizar
instalaciones remotas de software en los equipos
clientes en los que se validan usuarios que pertenezcan al
grupo.

15

5. CREACIÓN DE GRUPOS

Paso 2. Si una empresa consta de 3 departamentos
(contabilidad, almacén y mantenimiento) lo normal será
crear 3 grupos dentro de una nueva unidad organizativa
llamada Departamentos. Crearemos los grupos con las
características que el sistema genera por defecto.

16

5. ELIMINACION DE GRUPOS

Paso 1. Para eliminar un grupo, se debe seleccionar de su
correspondiente UO, hacer click botón derecho y
seleccionar Eliminar.
La eliminación del grupo no elimina los usuarios u objetos
que este contenga, ya que solo eliminará los permisos que
este grupo tiene asociado.

Podemos eliminar los grupos que
acabamos de crear así como la UO
“Departamentos” que los contenía.

La UO Users no la podemos

eliminar, ya que está protegida
contra eliminación accidental.

17

5. INCORPORACIÓN DE
USUARIOS A GRUPOS

Paso 0.Trabajaremos con los dos únicos usuarios
definidos en el sistema: Administrador e Invitado.
Podemos utilizar los grupos creados anteriormente:
Contabilidad, Almacén y Mantenimiento, dentro de la UO
Departamentos.

18

5. INCORPORACIÓN DE
USUARIOS A GRUPOS

Paso 1.Seleccionaremos los usuarios de la UO Users o la
UO que los contenga, utilizando las teclas Control y
Shift o el ratón. Haremos click botón derecho del ratón
en una de las cuentas de usuario seleccionadas y
elegiremos la opción Agregar a un grupo.

19

5. INCORPORACIÓN DE
USUARIOS A GRUPOS

Paso 2.En el cuadro de diálogo que aparece
introduciremos las primeras iniciales del grupo, por
ejemplo CONTA y pulsaremos Comprobar nombres.
Cuando aparezca el grupo, pulsaremos Aceptar.

20

5. INCORPORACIÓN DE
USUARIOS A GRUPOS

Paso 3.También podemos realizar la asociación pulsando
en Avanzadas + Buscar ahora, para mostrar la lista de
grupos y seleccionar el grupo deseado

21

5. INCORPORACIÓN DE
USUARIOS A GRUPOS

Paso 4.El mismo proceso lo podemos realizar desde el
propio grupo. Lo seleccionamos y hacemos clic con el
botón derecho del ratón en Propiedades. Se abre un
cuadro de diálogo en el que pulsaremos Miembros.

22

5. INCORPORACIÓN DE
USUARIOS A GRUPOS

Paso 5. Pulsamos agregar y aparecerá otra pantalla , en
la que realizaremos la selección de los usuarios y grupos
que queremos incluir en el grupo recién creado.
Haremos clic en Avanzadas, Buscar ahora. Si el grupo es
global, agregaremos solo usuarios nuevos, y si es local,
agregaremos usuarios y otros grupos globales.

23

6. LOS GRUPOS INTEGRADOS EN

ACTIVE DIRECTORY

Son grupos predefinidos por el sistema que tienen un
conjunto predeterminado de derechos de usuario (tareas
del sistema que puede realizar un usuario o un miembro
del grupo integrado)
Los grupos integrados que por defecto incorpora
Windows 2003 Server son locales, globales y universales.

24

6. GRUPO