2. Cuentas de usuario
Cuentas de usuarios locales
• Cuentas de usuario definidas en el equipo local, con acceso
solamente al equipo local y, por tanto, a los recursos del mismo
• Los usuarios pueden tener acceso a los recursos de otro equipo
de la red si disponen de una cuenta en dicho equipo
• Para poder acceder a los recursos que un equipo comparte, es
necesario autenticarse en él
• Estas cuentas de usuario residen en el administrador de
cuentas
de seguridad (Security Account Manager, SAM) del equipo, que
es la BD de cuentas de seguridad local
3. Cuentas de usuario
Cuentas de usuario de dominio
• Permiten a un usuario iniciar sesión en el dominio
para obtener
acceso a los recursos de la red
• El usuario tendrá acceso en cualquier equipo de la
red con una
única cuenta y contraseña
• Estas cuentas de usuario residen en el servicio de
directorio AD y
se crean definiéndolas en un controlador de dominio
4. Cuentas de usuario
Cuentas de usuario integradas
• Permite a un usuario realizar tareas administrativas u
obtener
acceso temporalmente a los recursos de red
• Existen dos cuentas de usuario integradas que no pueden
eliminarse: Administrador e Invitado
• Las cuentas de usuario locales Administrador e Invitado
residen en SAM
• Las cuentas de usuario integradas de dominio residen en
AD
5. Cuentas de usuario
Cuentas de usuario implícitas
• Creadas de forma implícita por el sistema operativo o
aplicaciones, se usan para asignar permisos en ciertas
situaciones
• SistemaLocal (Localsystem): permite ejecutar procesos
del sistema y administrar las tareas relativas al sistema.
No se puede iniciar una sesión con esta cuenta, pero
algunos procesos se ejecutan con ella:
– Por ejemplo, esta cuenta es la que se usa para ejecutar muchos
de
los servicios del sistema (los demonios)
• LocalService: acceso al sistema local
• NetworService: acceso al sistema local y en la red
6.
7. Grupos
• Un grupo es una colección de usuarios, equipos u
otros grupos
• Los grupos se usan para simplificar la
administración del acceso de usuarios y equipos a
los recursos (directorios, ficheros, impresoras,
etc.)
• Permiten conceder permisos de acceso a varios
usuarios al mismo tiempo, en lugar de concederlos
usuario a usuario
8.
9. GRUPOS
• Grupos en un equipo local, llamados grupos locales
– Se crean en equipos que son estaciones de trabajo independientes o
servidores miembro, pero NO en controladores de dominio
– Residen en SAM (Security Accounts Manager)
– Se usan para otorgar permisos a recursos y otorgar derechos para
las tareas del sistema en el equipo local
• Grupos en un dominio:
– Se crean únicamente en controladores de dominio
– Residen en el servicio de directorio Active Directory
– Se usan para otorgar permisos a recursos y otorgar derechos para
tareas del sistema en cualquier equipo del dominio
10.
11. Tipos de grupos de dominio
– Grupos de seguridad:
• Pueden tener descriptores de seguridad asociados
• Permiten asignar permisos para el acceso a los recursos
compartidos en el dominio
– Su finalidad es controlar quién puede usar qué recursos
• También pueden ser usados para enviar mensajes de
correo
– Grupos de distribución:
• Se usan para listas de distribución de correo electrónico
• A estos grupos no se les puede asignar permisos para el
acceso a los recursos
12. Ámbito de grupos de seguridad de dominio
– El ámbito de un grupo determina dónde se usará ese grupo, y
afecta
a la pertenencia del grupo y al anidamiento de grupos (agrupar grupos
como
miembros de otros grupos)
– Grupos de ámbito local de dominio (grupos locales de dominio):
se
usan para garantizar permisos a recursos de dominio situados en el
mismo dominio
• Están pensados para ayudar a administrar el acceso a los recursos,
tales como impresoras y carpetas compartidas
• El recurso no tiene por qué residir en un controlador de dominio,
puede estar en un servidor miembro
13. – Grupos de ámbito global (grupos globales): se usan
para otorgar permisos a objetos del dominio
• Están pensados para administrar cuentas de usuario
y grupo en
el dominio particular
• Se incluyen en un grupo de dominio local para
acceder a sus
recursos
14. Grupos de ámbito universal (grupos universales): se
usan para otorgar permisos a gran escala en el árbol de
dominio o en el bosque
• Usados para conceder permisos de acceso a recursos
situados en
cualquier dominio
• Pensados para consolidar grupos que abarcan varios
dominios.
Normalmente se agregan grupos globales como miembros
• Tienen pertenencia abierta, pueden tener como
miembros cualquier
cuenta de usuario del dominio, grupos globales y
universales de
cualquier dominio
15.
16. UNIDAD ORGANIZATIVA
Una OU es, al fin y al cabo, un tipo particular y útil
objeto de Active Directory contenido en un dominio. Las
OUs son útiles porque pueden usarse para organizar
cientos de objetos en el directorio dentro de unidades
administrables. Usaremos las OUs para agrupar y
organizar objetos con propósitos administrativos, como
delegar derechos administrativos y asignar políticas para
una colección de objetos como una unidad simple.
En un primer resumen:
- Permiten organizar objetos en un dominio
- Nos permiten delegar control administrativo
- Simplifican la administración de los recursos
comúnmente agrupados.
17. Organiza objetos en un dominio:
- Las OUs contienen los objetos del dominio, como
cuentas de usuario, equipo y grupos. Archivos e
impresoras compartidas publicados en AD también
pueden estar dentro de una OU.
Delegar control administrativo:
- Podemos asignar control administrativo, como el control
total de permisos sobre objetos de la OU, o de forma
limitada a modificar la información de correo electrónico
de los usuariosde la OU. Para delegar control
administrativo podemos especificar permisos en la propia
OU y los objetos que contiene para uno o varios usuarios y
grupos.
18. Simplifican la administración de recursos
comúnmente agrupados:
- Podemos delegar privilegios administrativos
sobre atributos individuales en objetos individuales
de AD, pero normalmente usaremos las OU para
delegar esa autoridad administrativa. Un usuario
puede tener privilegios administrativos sobre una OU
o toas las OUs de un dominio. Utilizándolas podemos
crear contenedores que dentro del dominio
representen la jerarquía o las estructuras lógicas de la
empresa. Podemos entonces administrar la
configuración y uso de las cuentas y recursos
basándonos en nuestro modelo de organización.