istrar Grupos Windows Server 2008 2f6k1l
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report 2z6p3t
Overview 5o1f4z
& View istrar Grupos Windows Server 2008 as PDF for free.
More details 6z3438
- Words: 3,066
- Pages: 66
ISTRAR GRUPOS
Índice • ¿Qué son los grupos? • Distinción de los grupos por ámbito y tipo • Tipos de grupos – Grupo de Seguridad • Grupos locales predeterminados • Grupos predeterminados
– Grupo de Distribución
• Identidades Especiales • ¿Qué son los niveles funcionales de dominio?
• Ámbitos de grupos – Grupos globales – Grupos universales – Grupos locales de dominio – Grupos locales
• Demostración de cómo crear grupos • Demostración de cómo modificar un grupo • Demostración creación y eliminación de grupos desde la línea de comandos
Para poder istrar grupos hay que contestar antes a algunas preguntas que nos ayuden a entender que son los grupos y para que nos sirven estos grupos a la hora de istrar nuestros s del dominio
Y la primera pregunta es… ¿Qué son los grupos? Un grupo es un conjunto de cuentas de y de equipo, os y otros grupos que se pueden istrar como una sola unidad. Algunas características de estos grupos son: • Simplifican la istración al asignar los permisos para un recurso compartido a un grupo en lugar de a s individuales. • Se distinguen por su ámbito y tipo. • Pueden anidarse, es decir, se pueden agregar grupos dentro de otros grupos.
Como se ha dicho anteriormente los grupos se distinguen por su ámbito… El ámbito de un grupo determina si el grupo comprende a uno o varios dominios. los distintos ámbitos, que más adelante explicaremos, son: • • • •
Global Local de dominio Universal Local
…y también se distinguen por su tipo El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido o si se puede usar un grupo sólo para las listas de distribución. Los grupos según su tipo son: • Grupo de seguridad. • Grupo de distribución
Grupo de Seguridad Los grupos de seguridad se utilizan para asignar derechos y permisos de a grupos de s y equipos. Los derechos especifican que acciones pueden realizar los del grupo de seguridad en un dominio o bosque, mientras que los permisos especifican a que recursos tiene y el nivel de de un miembro de un grupo en la red .
Existen unos grupos que son de seguridad y que se crean automáticamente cuando se instala Windows Server® 2008, son los grupos locales predeterminados. Estos grupos pueden contener cuentas de s locales, cuentas de de dominio, cuentas de equipo y grupos locales. Entre estos grupos se encuentran: es, Invitados, s del registro de rendimiento, s del monitor del sistema, s avanzados u Operadores de impresión.
Para ver estos grupos seguiremos los siguientes pasos: • Abriremos una ventana Ejecutar y escribiremos el comando MMC (Microsoft Management Console)
• Entonces se nos abrirá una consola en la que haremos clic en archivo y de nuevo clic en agregar o quitar complemento:
• Y aquí añadiremos el complemento s y grupos locales:
• Tras esto nos aparecerán los grupos locales predeterminados citados anteriormente:
• Hay que tener en cuenta que tras instalar Active Directory nos saldrá un error que no nos dejará abrir este complemento dentro de MMC:
También existen otros grupos que son de seguridad y que se crean automáticamente cuando se crea un dominio de Active Directory, y son los grupos predeterminados. A muchos de estos grupos se les asignan automáticamente un conjunto de derechos de que autorizan a los del grupo a realizar ciertas acciones en un dominio. Cuando se agrega un a un grupo predeterminado, ese recibe: • Todos los derechos de asignados al grupo • Todos los permisos asignados al grupo para los recursos compartidos
Es conveniente tener en cuenta algunas consideraciones antes de agregar un a un grupo predeterminado: • Coloque un en un grupo predeterminado sólo cuando esté seguro de que desees ofrecerle todos los derechos y permisos de asignados a dicho grupo en Active Directory; de lo contrario, cree un nuevo grupo de seguridad. • Por seguridad, los de los grupos predeterminados deben usar Ejecutar como para realizar tareas istrativas.
Estos grupos predeterminados se encuentran en los contenedores Builtin y s. Los grupos predeterminados del contenedor Builtin son de ámbito Local. Su ámbito y tipo de grupo no se pueden modificar. Los grupos del contenedor s son de ámbito Global o Local de Dominio. Los grupos de estos contenedores se pueden mover a otros grupos o unidades organizativas, pero no se pueden mover a otros dominios.
Para llegar a ver estos grupos solo deberemos entrar en Inicio, herramientas istrativas, y allí hacer clic en s y equipos de Active Directory:
Y podremos ver tanto el contenedor Builtin:
Como el contenedor s:
Grupo de Distribución Estos grupos se utilizan con aplicaciones de correo electrónico como Microsoft ® Exchange, para enviar mensajes de correo electrónico a grupos de s. La finalidad principal de este tipo de grupo es recopilar objetos relacionados. Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribución, estos son necesarios debido a que algunas aplicaciones sólo pueden utilizar grupos de distribución.
Pero dentro de Active Directory existen otros grupos que se conocen con el nombre de Identidades Especiales, y que en Windows Server® 2003 reciben el nombre de Grupos del sistema. Son grupos predeterminados, y las pertenencias de estos grupos a otros no se pueden ver ni modificar. Representan a distintos s en distintas ocasiones, en función de las circunstancias. Los grupos identidades especiales son:
Identidad Especial
Descripción
Inicio de sesión anónimo
Este grupo representa a los s y servicios que obtienen a un equipo y a sus recursos a través de la red sin usar un nombre de cuenta, contraseña o nombre de dominio
Todos
Este grupo representa a todos los s actuales de la red, incluidos invitados y s de otros dominios
Red
Este grupo representa a los s que obtienen en ese momento a un recurso dado a través de la red.
Interactivo
Este grupo representa a todos los s que disponen de una sesión iniciada en un equipo determinado y que están obteniendo a un recurso ubicado en ese equipo
Aunque a las Identidades Especiales se les puede conceder derechos y permisos para los recursos, sus pertenencias no se pueden ver ni modificar. Las Identidades Especiales no tiene ámbitos de grupos.
¿Qué son los niveles funcionales de dominio? Las características de los grupos de Active Directory dependen del nivel funcional de dominio. La funcionalidad del dominio activa funciones que afectan a todo un dominio y a todo ese dominio. Determina que clase de características estarán disponibles, como por ejemplo la capacidad de unir bosques. El nivel funcional se puede elevar pero una vez elevado no se podrá volver a un nivel funcional inferior.
En esta tabla se pueden ver los niveles funcionales y sus características: Windows 2000 Windows mixto 2000 nativo (predeterminado)
Windows Server 2003
Windows Server 2008
Windows Server 2003, Windows Server 2008
Windows server 2008
Controladores de dominio itidos
Windows NT Server 4,0, Windows 2000, Windows Server 2003, Windows Server 2008
Windows 2000, Windows Server 2003, Windows Server 2008
Ámbitos de grupo itidos
Global y local de dominio
Global, local Global, local de Global, local de de dominio dominio y dominio y y universal universal universal
En Windows Server 2008 no existe el nivel funcional Windows 2000 mixto, pero si en Windows Server 2003, y para poder convertir un grupo de seguridad en un grupo de distribución y viceversa el nivel funcional debe encontrarse definido en Windows 2000 nativo o superior.
Elevar el nivel funcional del dominio es muy fácil. Sólo tenemos que ir a s y equipos de Active Directory y hacer clic con el botón derecho en nuestro dominio, y nos aparecerá la opción elevar el nivel funcional del dominio:
Y en la ventana que nos sale podremos elevar el nivel funcional de dominio. Recordad que una vez elevado no podréis volver a un nivel inferior:
Ámbitos de grupos Como se explicó al principio de la presentación el ámbito de un grupo determina si el grupo comprende a uno o varios dominios. los distintos ámbitos, que a continuación se explicarán en profundidad son: • • • •
Global Local de dominio Universal Local
Grupos globales Los miembro de los grupos globales pueden incluir sólo otros grupos y cuentas del dominio en el que se encuentra definido el grupo. A los de estos grupos se les pueden asignar permisos en cualquier dominio del bosque. Se aconseja que se usen los grupos con ámbito global para istrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de y de equipo
Las características de los grupos globales son: • : – En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas de y equipo del mismo dominio que el grupo global. – En un nivel funcional nativo, los grupos globales pueden contener cuentas de , cuentas de equipo y grupos globales del mismo dominio que el grupo global.
• Puede ser miembro de: – En el modo mixto, un grupo local puede ser miembro de grupos locales de dominio. – En el modo nativo, un grupo global puede ser miembro de grupos locales de dominio y universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo global.
• Ámbito: – Un grupo global es visible dentro de su dominio y de todos los dominios de confianza, en los que se incluyen todos los dominios del bosque.
• Permisos: – Puede conceder permisos a un grupo global para todos los dominios del bosque.
Grupos universales Los de los grupos universales pueden incluir otros grupos y cuentas de cualquier dominio del bosque o del árbol de dominios. A los de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios. Se utilizan los grupos con ámbito universal para consolidar los grupos que abarcan varios dominios. Para poder utilizar los grupos universales el nivel funcional del dominio debe der Windows 2000 nativo o superior
Las características de los grupos universales son: • : – No puede crear grupos universales en el modo mixto. – En el modo nativo, los grupos universales pueden contener cuentas de , cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque.
• Puede ser miembro de: – No se puede aplicar el grupo universal en el modo mixto. – En el modo nativo, el grupo universal puede ser miembro de los grupos locales de dominio y universales de cualquier dominio.
• Ámbito: – Los grupos universales son visibles en todos los dominios del bosque y dominios de confianza.
• Permisos: – Puede conceder permisos a grupos universales para todos los dominios del bosque.
Grupos locales de dominio Los de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y Windows Server 2008. A los de estos grupos sólo se les pueden asignar permisos dentro de un dominio. Los grupos con ámbito local de dominio ayudan a definir y istrar el a los recursos dentro de un dominio único. Pueden tener los siguientes :
• • • • •
Grupos con ámbito Global Grupos con ámbito Universal Cuentas Otros grupos con ámbito Local de dominio Una combinación de los anteriores
Las características de los grupos locales de dominio son: • : – En el modo mixto, los grupos locales de dominio pueden contener cuentas de , cuentas de equipo y grupos globales de cualquier dominio. Los servidores no pueden utilizar grupos locales de dominio en el modo mixto. – En el modo nativo, los grupos locales de dominio pueden contener cuentas de , cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque y grupos locales de dominio de su mismo dominio.
• Puede ser miembro de: – En el modo mixto, un grupo local de dominio no puede ser miembro de ningún grupo. – En el modo nativo, un grupo local de dominio puede ser miembro de grupos locales de dominio de su mismo dominio.
• Ámbito: – Un grupo local de dominio sólo es visible en el dominio al que pertenece.
• Permisos: – Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el grupo local de dominio.
Grupos locales Un grupo local es un conjunto de cuentas de y grupos de dominio creados en un servidor miembro o en un servidor independiente. Se pueden crear grupos locales para conceder permisos para los recursos que residan en el equipo local. Los grupos locales a veces reciben el nombre de grupos locales de dominio para distinguirlos de los grupos locales de dominio.
Las características de los grupos locales son: • Los grupos locales pueden contener cuentas de locales del equipo en el que se crea el grupo local. • Los grupos locales no pueden ser de otro grupo.
Directrices a la hora de utilizar los grupos locales: • Sólo puede utilizar grupos locales en el equipo en el que se crean dichos grupos locales. Los permisos de estos grupos ofrecen sólo a los recursos del equipo en el que se creó el grupo local. • No se pueden crear grupos locales en controladores de dominio, porque éstos no tienen una base de datos segura.
Y tras saber un poco más acerca de los grupos, pasaremos a la creación, modificación y eliminación de éstos. Los grupos se crean en los dominios. Para crear grupos se utiliza la herramienta s y equipos de Active Directory. Con los permisos necesarios se pueden crear grupos en el dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa.
Demostración de cómo crear grupos Crear un grupo en Windows Server 2008 es algo muy sencillo. Sólo tenemos que seguir los siguientes pasos: • Entraremos en la herramienta s y equipos de Active Directory que se encuentra en las Herramientas istrativas:
• Ahora haremos clic con el botón derecho en el dominio, en un contenedor de los que ya existen o en algún grupo o unidad organizativa que hayamos creado anteriormente. Daremos a nuevo y aquí en grupo:
• Y nos aparecerá una ventana donde pondremos nombre a nuestro grupo y le asignaremos el ámbito y el tipo de grupo. Aceptamos y ya tendremos creado nuestro grupo:
Demostración de cómo modificar un grupo Ahora podremos modificar nuestro grupo haciendo clic derecho sobre él y clic en Propiedades:
Empezaremos por la pestaña general. Aquí podremos cambiar el nombre, ponerle una descripción, un correo, o cambiar el ámbito o el tipo de grupo:
A la hora de cambiar el ámbito o el tipo de grupo hay que tener varias cosas en cuenta. Si nuestro grupo es de ámbito global no podremos cambiarlo a ámbito de Dominio local, y viceversa:
Para hacer este cambio de ámbito de Global a Dominio Local o viceversa hay que pasar antes por el ámbito Universal:
También podemos cambiar el tipo de grupo, pero al hacer el cambio de tipo Seguridad a tipo Distribución nos dará una advertencia:
En la pestaña podremos agregar aquellos s o grupos que queremos que pertenezcan a este grupo:
Daremos a agregar y ahí en avanzadas:
Haremos clic en Buscar ahora y nos saldrán todos los s y grupos que podemos agregar a nuestro grupo:
En la pestaña Miembro de pondremos a que grupo queremos que pertenezca nuestro grupo. Los grupos que aquí salgan serán siempre grupos de dominio local:
Haremos clic en agregar y luego en avanzadas:
Le damos a Buscar ahora y nos aparecerán todos los grupos de los que nos podemos hacer :
En la pestaña istrado por podemos asignar un al grupo. En este delega la autoridad para agregar y eliminar s del grupo:
Le daremos a Cambiar… y después a Avanzadas
Después haremos clic en Buscar ahora y podremos elegir al de nuestro grupo:
Tanto en la pestaña como Miembro de podremos eliminar los s y grupos. Sólo tenemos que seleccionarlos y hacer clic en Quitar
También podemos quitar el del grupo. Sólo tenemos que hacer clic en borrar:
En cualquier momento podemos eliminar el grupo que hemos creado. Solo tenemos que seleccionarlo y hacer clic sobre con el botón derecho. Entonces pinchamos en la opción eliminar:
Nos preguntará si realmente queremos eliminar nuestro grupo. Decimos que sí y nuestro grupo quedará eliminado:
Demostración creación y eliminación de grupos desde la línea de comandos También podemos utilizar la línea de comandos tanto para crear como para eliminar los grupos. Para esto abriremos la línea de comandos utilizando el comando CMD en la ventana de Ejecutar:
Ya en la consola utilizaremos el comandos dsadd group /? Así podremos ver la ayuda para este comando que es el que se utiliza para crear grupos:
El comando completo que utilizaremos para crear el grupo será: Dsadd group “cn=Demo2,dc=SER2008,dc=local” –samid Demo2 –secgrp yes –scope g – “cn=Fran,dc=SER2008, dc=local” “cn=Cris,dc=SER2008, dc=local” “cn=Jorge,dc=SER2008, dc=local” ‐memberof “cn=es,cn=Builtin,dc=SER2008,dc=local” La parte en blanco de la siguiente imagen es el Nombre Distintivo [DN] del grupo que se agregará, donde Demo2 es el nombre, y SER2008 y local el servidor.
En esta otra imagen la parte en blanco señala algunas de las propiedades a la hora de crear el grupo: • ‐samid Demo2: nombre de equipo anterior a Windows 2000 • ‐secgrp yes: selecciona el tipo de grupo como seguridad. En el caso de que la respuesta fuese no, el grupo sería de tipo distribución. • ‐scope g: determina el ámbito de grupo como global. Las opciones son: l (Dominio local), g(Global), u (Universal)
La siguiente propiedad que podemos añadir al comando es ‐ que se utiliza para añadir s al grupos. Los s estarán determinados por una lista (estarán separados por espacios) de sus Nombres Distintivos [DN]. El comando quedaría:
‐ “cn=Fran,dc=SER2008,dc=local” “cn=Cris,dc=SER2008,dc=local”
La última propiedad del comando es –memberof. Con este comando podremos hacer a nuestro grupo miembro de otro grupo como por ejemplo del grupo es. Sólo tenemos que poner la propiedad seguida del Nombre Distintivo [DN] del grupo del que queremos hacerlo miembro: ‐memberof “cn=es,cn=Builtin,dc=SER2008,dc=local”
También podemos eliminar nuestro grupo desde la línea de comandos utilizando el comando dsrm. Sólo tenemos que poner este comando seguido del Nombre Distintivo [DN] del grupo: Dsrm “cn=Demo2,dc=SER2008,dc=local”
Índice • ¿Qué son los grupos? • Distinción de los grupos por ámbito y tipo • Tipos de grupos – Grupo de Seguridad • Grupos locales predeterminados • Grupos predeterminados
– Grupo de Distribución
• Identidades Especiales • ¿Qué son los niveles funcionales de dominio?
• Ámbitos de grupos – Grupos globales – Grupos universales – Grupos locales de dominio – Grupos locales
• Demostración de cómo crear grupos • Demostración de cómo modificar un grupo • Demostración creación y eliminación de grupos desde la línea de comandos
Para poder istrar grupos hay que contestar antes a algunas preguntas que nos ayuden a entender que son los grupos y para que nos sirven estos grupos a la hora de istrar nuestros s del dominio
Y la primera pregunta es… ¿Qué son los grupos? Un grupo es un conjunto de cuentas de y de equipo, os y otros grupos que se pueden istrar como una sola unidad. Algunas características de estos grupos son: • Simplifican la istración al asignar los permisos para un recurso compartido a un grupo en lugar de a s individuales. • Se distinguen por su ámbito y tipo. • Pueden anidarse, es decir, se pueden agregar grupos dentro de otros grupos.
Como se ha dicho anteriormente los grupos se distinguen por su ámbito… El ámbito de un grupo determina si el grupo comprende a uno o varios dominios. los distintos ámbitos, que más adelante explicaremos, son: • • • •
Global Local de dominio Universal Local
…y también se distinguen por su tipo El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido o si se puede usar un grupo sólo para las listas de distribución. Los grupos según su tipo son: • Grupo de seguridad. • Grupo de distribución
Grupo de Seguridad Los grupos de seguridad se utilizan para asignar derechos y permisos de a grupos de s y equipos. Los derechos especifican que acciones pueden realizar los del grupo de seguridad en un dominio o bosque, mientras que los permisos especifican a que recursos tiene y el nivel de de un miembro de un grupo en la red .
Existen unos grupos que son de seguridad y que se crean automáticamente cuando se instala Windows Server® 2008, son los grupos locales predeterminados. Estos grupos pueden contener cuentas de s locales, cuentas de de dominio, cuentas de equipo y grupos locales. Entre estos grupos se encuentran: es, Invitados, s del registro de rendimiento, s del monitor del sistema, s avanzados u Operadores de impresión.
Para ver estos grupos seguiremos los siguientes pasos: • Abriremos una ventana Ejecutar y escribiremos el comando MMC (Microsoft Management Console)
• Entonces se nos abrirá una consola en la que haremos clic en archivo y de nuevo clic en agregar o quitar complemento:
• Y aquí añadiremos el complemento s y grupos locales:
• Tras esto nos aparecerán los grupos locales predeterminados citados anteriormente:
• Hay que tener en cuenta que tras instalar Active Directory nos saldrá un error que no nos dejará abrir este complemento dentro de MMC:
También existen otros grupos que son de seguridad y que se crean automáticamente cuando se crea un dominio de Active Directory, y son los grupos predeterminados. A muchos de estos grupos se les asignan automáticamente un conjunto de derechos de que autorizan a los del grupo a realizar ciertas acciones en un dominio. Cuando se agrega un a un grupo predeterminado, ese recibe: • Todos los derechos de asignados al grupo • Todos los permisos asignados al grupo para los recursos compartidos
Es conveniente tener en cuenta algunas consideraciones antes de agregar un a un grupo predeterminado: • Coloque un en un grupo predeterminado sólo cuando esté seguro de que desees ofrecerle todos los derechos y permisos de asignados a dicho grupo en Active Directory; de lo contrario, cree un nuevo grupo de seguridad. • Por seguridad, los de los grupos predeterminados deben usar Ejecutar como para realizar tareas istrativas.
Estos grupos predeterminados se encuentran en los contenedores Builtin y s. Los grupos predeterminados del contenedor Builtin son de ámbito Local. Su ámbito y tipo de grupo no se pueden modificar. Los grupos del contenedor s son de ámbito Global o Local de Dominio. Los grupos de estos contenedores se pueden mover a otros grupos o unidades organizativas, pero no se pueden mover a otros dominios.
Para llegar a ver estos grupos solo deberemos entrar en Inicio, herramientas istrativas, y allí hacer clic en s y equipos de Active Directory:
Y podremos ver tanto el contenedor Builtin:
Como el contenedor s:
Grupo de Distribución Estos grupos se utilizan con aplicaciones de correo electrónico como Microsoft ® Exchange, para enviar mensajes de correo electrónico a grupos de s. La finalidad principal de este tipo de grupo es recopilar objetos relacionados. Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribución, estos son necesarios debido a que algunas aplicaciones sólo pueden utilizar grupos de distribución.
Pero dentro de Active Directory existen otros grupos que se conocen con el nombre de Identidades Especiales, y que en Windows Server® 2003 reciben el nombre de Grupos del sistema. Son grupos predeterminados, y las pertenencias de estos grupos a otros no se pueden ver ni modificar. Representan a distintos s en distintas ocasiones, en función de las circunstancias. Los grupos identidades especiales son:
Identidad Especial
Descripción
Inicio de sesión anónimo
Este grupo representa a los s y servicios que obtienen a un equipo y a sus recursos a través de la red sin usar un nombre de cuenta, contraseña o nombre de dominio
Todos
Este grupo representa a todos los s actuales de la red, incluidos invitados y s de otros dominios
Red
Este grupo representa a los s que obtienen en ese momento a un recurso dado a través de la red.
Interactivo
Este grupo representa a todos los s que disponen de una sesión iniciada en un equipo determinado y que están obteniendo a un recurso ubicado en ese equipo
Aunque a las Identidades Especiales se les puede conceder derechos y permisos para los recursos, sus pertenencias no se pueden ver ni modificar. Las Identidades Especiales no tiene ámbitos de grupos.
¿Qué son los niveles funcionales de dominio? Las características de los grupos de Active Directory dependen del nivel funcional de dominio. La funcionalidad del dominio activa funciones que afectan a todo un dominio y a todo ese dominio. Determina que clase de características estarán disponibles, como por ejemplo la capacidad de unir bosques. El nivel funcional se puede elevar pero una vez elevado no se podrá volver a un nivel funcional inferior.
En esta tabla se pueden ver los niveles funcionales y sus características: Windows 2000 Windows mixto 2000 nativo (predeterminado)
Windows Server 2003
Windows Server 2008
Windows Server 2003, Windows Server 2008
Windows server 2008
Controladores de dominio itidos
Windows NT Server 4,0, Windows 2000, Windows Server 2003, Windows Server 2008
Windows 2000, Windows Server 2003, Windows Server 2008
Ámbitos de grupo itidos
Global y local de dominio
Global, local Global, local de Global, local de de dominio dominio y dominio y y universal universal universal
En Windows Server 2008 no existe el nivel funcional Windows 2000 mixto, pero si en Windows Server 2003, y para poder convertir un grupo de seguridad en un grupo de distribución y viceversa el nivel funcional debe encontrarse definido en Windows 2000 nativo o superior.
Elevar el nivel funcional del dominio es muy fácil. Sólo tenemos que ir a s y equipos de Active Directory y hacer clic con el botón derecho en nuestro dominio, y nos aparecerá la opción elevar el nivel funcional del dominio:
Y en la ventana que nos sale podremos elevar el nivel funcional de dominio. Recordad que una vez elevado no podréis volver a un nivel inferior:
Ámbitos de grupos Como se explicó al principio de la presentación el ámbito de un grupo determina si el grupo comprende a uno o varios dominios. los distintos ámbitos, que a continuación se explicarán en profundidad son: • • • •
Global Local de dominio Universal Local
Grupos globales Los miembro de los grupos globales pueden incluir sólo otros grupos y cuentas del dominio en el que se encuentra definido el grupo. A los de estos grupos se les pueden asignar permisos en cualquier dominio del bosque. Se aconseja que se usen los grupos con ámbito global para istrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de y de equipo
Las características de los grupos globales son: • : – En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas de y equipo del mismo dominio que el grupo global. – En un nivel funcional nativo, los grupos globales pueden contener cuentas de , cuentas de equipo y grupos globales del mismo dominio que el grupo global.
• Puede ser miembro de: – En el modo mixto, un grupo local puede ser miembro de grupos locales de dominio. – En el modo nativo, un grupo global puede ser miembro de grupos locales de dominio y universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo global.
• Ámbito: – Un grupo global es visible dentro de su dominio y de todos los dominios de confianza, en los que se incluyen todos los dominios del bosque.
• Permisos: – Puede conceder permisos a un grupo global para todos los dominios del bosque.
Grupos universales Los de los grupos universales pueden incluir otros grupos y cuentas de cualquier dominio del bosque o del árbol de dominios. A los de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios. Se utilizan los grupos con ámbito universal para consolidar los grupos que abarcan varios dominios. Para poder utilizar los grupos universales el nivel funcional del dominio debe der Windows 2000 nativo o superior
Las características de los grupos universales son: • : – No puede crear grupos universales en el modo mixto. – En el modo nativo, los grupos universales pueden contener cuentas de , cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque.
• Puede ser miembro de: – No se puede aplicar el grupo universal en el modo mixto. – En el modo nativo, el grupo universal puede ser miembro de los grupos locales de dominio y universales de cualquier dominio.
• Ámbito: – Los grupos universales son visibles en todos los dominios del bosque y dominios de confianza.
• Permisos: – Puede conceder permisos a grupos universales para todos los dominios del bosque.
Grupos locales de dominio Los de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT y Windows Server 2008. A los de estos grupos sólo se les pueden asignar permisos dentro de un dominio. Los grupos con ámbito local de dominio ayudan a definir y istrar el a los recursos dentro de un dominio único. Pueden tener los siguientes :
• • • • •
Grupos con ámbito Global Grupos con ámbito Universal Cuentas Otros grupos con ámbito Local de dominio Una combinación de los anteriores
Las características de los grupos locales de dominio son: • : – En el modo mixto, los grupos locales de dominio pueden contener cuentas de , cuentas de equipo y grupos globales de cualquier dominio. Los servidores no pueden utilizar grupos locales de dominio en el modo mixto. – En el modo nativo, los grupos locales de dominio pueden contener cuentas de , cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque y grupos locales de dominio de su mismo dominio.
• Puede ser miembro de: – En el modo mixto, un grupo local de dominio no puede ser miembro de ningún grupo. – En el modo nativo, un grupo local de dominio puede ser miembro de grupos locales de dominio de su mismo dominio.
• Ámbito: – Un grupo local de dominio sólo es visible en el dominio al que pertenece.
• Permisos: – Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el grupo local de dominio.
Grupos locales Un grupo local es un conjunto de cuentas de y grupos de dominio creados en un servidor miembro o en un servidor independiente. Se pueden crear grupos locales para conceder permisos para los recursos que residan en el equipo local. Los grupos locales a veces reciben el nombre de grupos locales de dominio para distinguirlos de los grupos locales de dominio.
Las características de los grupos locales son: • Los grupos locales pueden contener cuentas de locales del equipo en el que se crea el grupo local. • Los grupos locales no pueden ser de otro grupo.
Directrices a la hora de utilizar los grupos locales: • Sólo puede utilizar grupos locales en el equipo en el que se crean dichos grupos locales. Los permisos de estos grupos ofrecen sólo a los recursos del equipo en el que se creó el grupo local. • No se pueden crear grupos locales en controladores de dominio, porque éstos no tienen una base de datos segura.
Y tras saber un poco más acerca de los grupos, pasaremos a la creación, modificación y eliminación de éstos. Los grupos se crean en los dominios. Para crear grupos se utiliza la herramienta s y equipos de Active Directory. Con los permisos necesarios se pueden crear grupos en el dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa.
Demostración de cómo crear grupos Crear un grupo en Windows Server 2008 es algo muy sencillo. Sólo tenemos que seguir los siguientes pasos: • Entraremos en la herramienta s y equipos de Active Directory que se encuentra en las Herramientas istrativas:
• Ahora haremos clic con el botón derecho en el dominio, en un contenedor de los que ya existen o en algún grupo o unidad organizativa que hayamos creado anteriormente. Daremos a nuevo y aquí en grupo:
• Y nos aparecerá una ventana donde pondremos nombre a nuestro grupo y le asignaremos el ámbito y el tipo de grupo. Aceptamos y ya tendremos creado nuestro grupo:
Demostración de cómo modificar un grupo Ahora podremos modificar nuestro grupo haciendo clic derecho sobre él y clic en Propiedades:
Empezaremos por la pestaña general. Aquí podremos cambiar el nombre, ponerle una descripción, un correo, o cambiar el ámbito o el tipo de grupo:
A la hora de cambiar el ámbito o el tipo de grupo hay que tener varias cosas en cuenta. Si nuestro grupo es de ámbito global no podremos cambiarlo a ámbito de Dominio local, y viceversa:
Para hacer este cambio de ámbito de Global a Dominio Local o viceversa hay que pasar antes por el ámbito Universal:
También podemos cambiar el tipo de grupo, pero al hacer el cambio de tipo Seguridad a tipo Distribución nos dará una advertencia:
En la pestaña podremos agregar aquellos s o grupos que queremos que pertenezcan a este grupo:
Daremos a agregar y ahí en avanzadas:
Haremos clic en Buscar ahora y nos saldrán todos los s y grupos que podemos agregar a nuestro grupo:
En la pestaña Miembro de pondremos a que grupo queremos que pertenezca nuestro grupo. Los grupos que aquí salgan serán siempre grupos de dominio local:
Haremos clic en agregar y luego en avanzadas:
Le damos a Buscar ahora y nos aparecerán todos los grupos de los que nos podemos hacer :
En la pestaña istrado por podemos asignar un al grupo. En este delega la autoridad para agregar y eliminar s del grupo:
Le daremos a Cambiar… y después a Avanzadas
Después haremos clic en Buscar ahora y podremos elegir al de nuestro grupo:
Tanto en la pestaña como Miembro de podremos eliminar los s y grupos. Sólo tenemos que seleccionarlos y hacer clic en Quitar
También podemos quitar el del grupo. Sólo tenemos que hacer clic en borrar:
En cualquier momento podemos eliminar el grupo que hemos creado. Solo tenemos que seleccionarlo y hacer clic sobre con el botón derecho. Entonces pinchamos en la opción eliminar:
Nos preguntará si realmente queremos eliminar nuestro grupo. Decimos que sí y nuestro grupo quedará eliminado:
Demostración creación y eliminación de grupos desde la línea de comandos También podemos utilizar la línea de comandos tanto para crear como para eliminar los grupos. Para esto abriremos la línea de comandos utilizando el comando CMD en la ventana de Ejecutar:
Ya en la consola utilizaremos el comandos dsadd group /? Así podremos ver la ayuda para este comando que es el que se utiliza para crear grupos:
El comando completo que utilizaremos para crear el grupo será: Dsadd group “cn=Demo2,dc=SER2008,dc=local” –samid Demo2 –secgrp yes –scope g – “cn=Fran,dc=SER2008, dc=local” “cn=Cris,dc=SER2008, dc=local” “cn=Jorge,dc=SER2008, dc=local” ‐memberof “cn=es,cn=Builtin,dc=SER2008,dc=local” La parte en blanco de la siguiente imagen es el Nombre Distintivo [DN] del grupo que se agregará, donde Demo2 es el nombre, y SER2008 y local el servidor.
En esta otra imagen la parte en blanco señala algunas de las propiedades a la hora de crear el grupo: • ‐samid Demo2: nombre de equipo anterior a Windows 2000 • ‐secgrp yes: selecciona el tipo de grupo como seguridad. En el caso de que la respuesta fuese no, el grupo sería de tipo distribución. • ‐scope g: determina el ámbito de grupo como global. Las opciones son: l (Dominio local), g(Global), u (Universal)
La siguiente propiedad que podemos añadir al comando es ‐ que se utiliza para añadir s al grupos. Los s estarán determinados por una lista (estarán separados por espacios) de sus Nombres Distintivos [DN]. El comando quedaría:
‐ “cn=Fran,dc=SER2008,dc=local” “cn=Cris,dc=SER2008,dc=local”
La última propiedad del comando es –memberof. Con este comando podremos hacer a nuestro grupo miembro de otro grupo como por ejemplo del grupo es. Sólo tenemos que poner la propiedad seguida del Nombre Distintivo [DN] del grupo del que queremos hacerlo miembro: ‐memberof “cn=es,cn=Builtin,dc=SER2008,dc=local”
También podemos eliminar nuestro grupo desde la línea de comandos utilizando el comando dsrm. Sólo tenemos que poner este comando seguido del Nombre Distintivo [DN] del grupo: Dsrm “cn=Demo2,dc=SER2008,dc=local”
Related Documents c2h70
istrar Grupos Windows Server 2008 2f6k1l
June 2021 0
Desventajas Windows Server 2008 q623w
May 2021 0
Windows Server 2008 k4221
May 2021 0
Manual Windows 2008 Server 1a482m
April 2023 0
Manual Windows Server 2008 2l694p
December 2019 61