Contenido Introducción Presentación multimedia: La estructura de unidades organizativas Lección: Modificar los permisos de los objetos de Active Directory

Lección: Delegar el control de las unidades organizativas Práctica A: Administrar el acceso a los objetos de las unidades organizativas

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas
1 2 3 19 29

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. © 2003, Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, IntelliMirror, MSDN, PowerPoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus respectivos propietarios.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

iii

Notas para el instructor
Presentación: 105 minutos Práctica: 15 minutos La información de este módulo introduce la función de administrar el acceso a los objetos de unidades organizativas. En concreto, el módulo proporciona a los alumnos los conocimientos teóricos y prácticos necesarios a la hora de explicar los permisos disponibles para administrar el acceso a los objetos del servicio de directorio Active Directory®, para mover los objetos entre las unidades organizativas del mismo dominio y delegar el control de una unidad organizativa. Después de completar este módulo, los alumnos serán capaces de:
! ! !

Identificar la función de la unidad organizativa. Modificar los permisos de los objetos de Active Directory. Delegar el control de las unidades organizativas.

Material necesario

Para impartir este módulo, necesitará el material siguiente:
! !

El archivo de Microsoft® PowerPoint® 2146a_07.ppt La presentación multimedia La estructura de unidades organizativas

Tareas de preparación

Para preparar este módulo, debe:
! ! !

Leer todo el material del mismo. Completar los ejercicios y la práctica. Repasar La estructura de unidades organizativas.

iv

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Cómo impartir este módulo
En esta sección se incluye información para ayudarle a impartir este módulo.

Páginas de instrucciones, ejercicios y prácticas
Explique a los alumnos cómo están diseñados las páginas de instrucciones, los ejercicios y las prácticas de este curso. Cada módulo contiene dos o más lecciones. La mayoría de las lecciones contienen páginas de instrucciones y un ejercicio. Después de completar todas las lecciones de un módulo, éste finaliza con una práctica. Páginas de instrucciones Las páginas de instrucciones están diseñadas para que el instructor pueda demostrar la realización de una tarea. Los alumnos no realizan las tareas de las páginas de instrucciones con el instructor. Usarán estos pasos para realizar el ejercicio al final de cada lección. Una vez cubierto el contenido del tema y demostrados los procedimientos de instrucciones de cada lección, explique a los alumnos que realizarán ejercicios con objeto de practicar las tareas tratadas durante la lección. Al final de cada módulo, la práctica permite a los alumnos practicar las tareas tratadas y aplicadas en todo el módulo. Mediante situaciones de ejemplo aplicables a cada función, la práctica da a los alumnos una serie de instrucciones en formato de doble columna. La columna de la izquierda enuncia la tarea (por ejemplo: Crear un grupo). La columna de la derecha contiene instrucciones específicas que los alumnos necesitarán para poder realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory, haga doble clic en el nodo de dominio). El CD Material del alumno contiene las respuestas a cada práctica en caso de que los alumnos necesiten seguir instrucciones paso a paso hasta completar la práctica. También pueden consultar los ejercicios y las páginas de instrucciones del módulo.

Ejercicios

Prácticas

Presentación multimedia: La estructura de unidades organizativas
Los alumnos están familiarizados con las unidades organizativas en este punto del curso. Esta presentación amplía los conocimientos de los alumnos con información acerca del propósito de las estructuras de unidades organizativas y cómo éstas permiten la delegación de autoridad y la herencia de permisos y Directivas de grupo. Ejecute la presentación. Diga a los alumnos que aprenderán más acerca de la Directivas de grupo en módulos posteriores.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

v

Lección: Modificar los permisos de los objetos de Active Directory
Esta sección describe los métodos con los que el instructor puede impartir esta lección. Introducción a la lección En esta lección los alumnos aprenderán cómo modificar los permisos de los objetos. Compare y contraste las diferencias entre los permisos implícitos y explícitos y entre permisos estándar y especiales. Tenga a mano ejemplos adicionales de la herencia de permisos. Por ejemplo, puede usar una estructura de carpetas para demostrar las ventajas de la herencia de permisos.

Herencia de permisos en los objetos de Active Directory

Lección: Delegar el control de las unidades organizativas
Esta sección describe los métodos con los que el instructor puede impartir esta lección. Introducción a la lección En esta lección los alumnos aprenderán a administrar los objetos delegando el control administrativo. Centre su explicación en los motivos por los cuales se delega el control de las unidades organizativas y esté preparado para facilitar ejemplos. Los alumnos usarán un asistente para delegar el control.

Práctica A: Administrar el acceso a los objetos de las unidades organizativas
Antes de comenzar la práctica, los alumnos deben haber completado todos los ejercicios. Recuerde a los alumnos que pueden regresar a las páginas de instrucciones del módulo si necesitan ayuda. La tabla de respuestas para cada práctica figura en el CD Material del alumno.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

1

Introducción

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción La información de este módulo introduce la función de administrar el acceso a los objetos de unidades organizativas. En concreto, el módulo proporciona los conocimientos teóricos y prácticos que necesita a la hora de explicar los permisos disponibles para administrar el acceso a los objetos del servicio de directorio Active Directory®, para mover los objetos entre las unidades organizativas del mismo dominio y delegar el control de una unidad organizativa. Después de finalizar este módulo, el alumno será capaz de:
! ! !

Objetivos

Identificar la función de la unidad organizativa. Modificar los permisos de los objetos de Active Directory. Delegar el control de las unidades organizativas.

2

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Presentación multimedia: La estructura de unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Ubicación del archivo Para ver la presentación La estructura de unidades organizativas, abra la página Web del disco compacto Material del alumno, haga clic en Multimedia y, a continuación, en el título de la presentación. No abra esta presentación a menos que el instructor le pida que lo haga. Después de completar esta lección podrá explicar cómo se utilizan las unidades organizativas para administrar objetos.

Objetivos

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

3

Lección: Modificar los permisos de los objetos de Active Directory

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Cada objeto de Active Directory tiene un descriptor de seguridad que define qué cuentas tienen permiso de acceso al objeto y el tipo de acceso que tienen. La familia Microsoft® Windows ServerTM 2003 utiliza estos descriptores de seguridad para controlar el acceso a los objetos. Después de finalizar esta lección, el alumno será capaz de:
! ! ! ! ! !

Objetivos de la lección

Explicar qué son los permisos de objeto de Active Directory. Describir las características de los permisos de objeto de Active Directory. Describir la herencia de permisos en los objetos de Active Directory. Describir los efectos de modificar objetos en la herencia de permisos. Modificar los permisos de los objetos de Active Directory. Explicar qué son los permisos efectivos para los objetos de Active Directory. Determinar los permisos efectivos de los objetos de Active Directory.

!

4

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

¿Qué son los permisos de los objetos de Active Directory?

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Los permisos de objeto de Active Directory proporcionan seguridad para los diferentes recursos existentes al permitir controlar qué administradores o usuarios tienen acceso a objetos individuales o atributos de objeto, así como el tipo de acceso permitido. Los permisos se utilizan para asignar privilegios administrativos a una unidad organizativa o jerarquía de unidades organizativas, con el fin de administrar el acceso a la red. También se pueden usar los permisos para asignar privilegios administrativos sobre un único objeto a un usuario o grupo específico. Los permisos estándar son los permisos concedidos con mayor frecuencia, y se componen de una serie de permisos especiales. Los permisos especiales proporcionan un mayor grado de control sobre el tipo de acceso que se puede conceder sobre un objeto. Los permisos estándar deben incluir lo siguiente:
! ! ! ! !

Permisos estándar y especiales

Control total Escribir Leer Crear todos los objetos secundarios Eliminar todos los objetos secundarios

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

5

Acceso autorizado según permisos

Un administrador o el propietario del objeto deben conceder permisos sobre dicho objeto para que los usuarios tengan acceso a él. La familia Windows Server 2003 almacena una lista de permisos de acceso de los usuarios, denominada lista de control de acceso discrecional (DACL, Discretionary Access Control List), por cada objeto de Active Directory. La lista DACL de un objeto enumera los usuarios que tienen acceso al objeto y las acciones específicas que cada usuario puede realizar sobre el mismo. Para obtener más información sobre los permisos en Active Directory, consulte “Best practices for assigning permissions on Active Directory objects” en la dirección http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp (en inglés).

Lectura adicional

6

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Características de los permisos de objeto de Active Directory

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Si bien los permisos NTFS (NTFS file system) y los permisos de objeto de Active Directory son similares, algunas características son específicas de los permisos de objetos de Active Directory. Los permisos de objeto de Active Directory pueden concederse o denegarse, denegarse implícita o explícitamente, establecerse como permisos estándar o especiales y definirse en el nivel de objeto o heredarse de su objeto principal. Los permisos se pueden conceder o bien denegar. Los permisos denegados tienen prioridad sobre cualquier otro permiso que se conceda a las cuentas de usuario y de grupo. Sólo se deben denegar los permisos cuando sea necesario quitar un permiso que un usuario tuviese concedido por ser miembro de un grupo. Se pueden denegar permisos implícita o explícitamente de la manera siguiente:
!

Conceder y denegar permisos

Permisos implícitos y explícitos

Cuando no se concede explícitamente el permiso para realizar una operación, se considera denegado implícitamente. Por ejemplo, si el grupo Marketing tiene permiso Leer para un objeto de usuario y no aparece ninguna otra entidad principal de seguridad en la lista DACL para ese objeto, los usuarios que no sean miembros del grupo Marketing tendrán denegado el acceso de forma implícita. El sistema operativo no permite a los usuarios que no son miembros del grupo Marketing leer las propiedades del objeto de usuario.

!

Se deniega explícitamente un permiso cuando se desea impedir que un subconjunto de un grupo más grande de usuarios pueda realizar una tarea que el grupo de mayor tamaño tiene permiso para realizar. Por ejemplo, puede ser necesario impedir que un usuario Don vea las propiedades de un objeto de usuario. Sin embargo, Don es miembro del grupo Marketing, con permiso para ver las propiedades del objeto de usuario. Puede impedir que Don vea las propiedades del objeto de usuario denegándole explícitamente el permiso Leer.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

7

Permisos estándar y especiales

La mayoría de las tareas relativas a los permisos de objeto de Active Directory pueden configurarse mediante permisos estándar. Estos permisos son los usados más frecuentemente; sin embargo, si se necesita conceder un nivel más ajustado de recursos, puede recurrirse a los permisos especiales. Cuando se establecen los permisos en un objeto principal, los nuevos objetos heredan los permisos del objeto principal. Es posible quitar los permisos heredados, pero también se pueden volver a habilitar si así se desea.

Permisos heredados

8

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Herencia de permisos en los objetos de Active Directory

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Ventajas de la herencia de permisos Un objeto principal es cualquier objeto que posea una relación con otro objeto, al que se denomina objeto secundario. Un objeto secundario hereda los permisos del objeto principal. La herencia de permisos en Active Directory minimiza el número de ocasiones en las que es necesario conceder permisos sobre objetos. La herencia de permisos en Windows Server 2003 simplifica la tarea de administrar los permisos de varias maneras:
!

No es necesario aplicar permisos manualmente a los objetos secundarios al crearlos. Los permisos aplicables a un objeto principal se aplican de forma coherente a todos sus objetos secundarios. Cuando se requiere modificar los permisos de todos los objetos de un contenedor, solo es necesario modificar los permisos del objeto principal. Los objetos secundarios heredan automáticamente esos cambios.

!

!

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

9

Efectos de modificar los objetos en la herencia de permisos

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Modificar los objetos de Active Directory afecta a la herencia de permisos. Como administrador de sistemas se le pedirá que mueva los objetos entre distintas unidades organizativas de Active Directory cada vez que cambien las funciones organizativas o administrativas. Al hacerlo, los permisos heredados también cambiarán. Es un requisito esencial conocer estas consecuencias antes de modificar los objetos de Active Directory. Al mover objetos entre unidades organizativas, las siguientes condiciones deben tenerse en cuenta:
! ! !

Efectos de mover objetos

Los permisos que se establecen explícitamente permanecen iguales. Un objeto hereda los permisos de la unidad organizativa a la que se mueve. Un objeto no hereda los permisos de la unidad organizativa desde la cual se ha movido.

Nota Al modificar objetos de Active Directory pueden moverse varios objetos al mismo tiempo.

10

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Impedir la herencia de permisos

Se puede impedir la herencia de permisos para que un objeto secundario no herede los permisos de su objeto principal. Al impedir la herencia sólo se aplicarán los permisos que se establezcan explícitamente. Al impedir la herencia de permisos, la familia Windows Server 2003 permite:
!

Copiar los permisos heredados en el objeto. Los nuevos permisos son permisos explícitos para ese objeto. Son una copia de los permisos que el objeto heredó anteriormente de su objeto principal. Después de copiar los permisos heredados, se puede hacer cualquier cambio necesario en ellos. Quitar los permisos heredados del objeto. Al quitar estos permisos se eliminan todos los permisos del objeto. A continuación se puede conceder el permiso que se desee para ese objeto.

!

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

11

¿Cómo modificar los permisos de los objetos de Active Directory?

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Windows Server 2003 determina si un usuario está autorizado a usar un objeto al comprobar los permisos concedidos al usuario sobre ese objeto, que aparecen en la lista DACL. Al conceder o denegar permisos sobre un objeto esta configuración anula los permisos heredados de un objeto principal. Para agregar permisos sobre un objeto: 1. Si no está ya activada la opción Características avanzadas, vaya a Usuarios y equipos de Active Directory y, en el menú Ver, haga clic en Características avanzadas. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el objeto y después haga clic en Propiedades. 3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic en Agregar. 4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba el nombre del usuario o grupo al que desee conceder permisos y haga clic en Aceptar. Procedimiento para modificar permisos Para modificar un permiso existente: 1. Si no está ya activada la opción Características avanzadas, vaya a Usuarios y equipos de Active Directory y, en el menú Ver, haga clic en Características avanzadas. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en el objeto y después haga clic en Propiedades. 3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, en el cuadro Permisos, active la casilla Permitir o Denegar para cada permiso que desee conceder o denegar.

Procedimiento para agregar permisos

12

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Procedimiento para ver permisos especiales

Los permisos estándar son suficientes para la mayoría de las tareas administrativas. Sin embargo, puede que sea necesario ver los permisos especiales que constituyen un permiso estándar. Para ver los permisos especiales: 1. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad, haga clic en Opciones avanzadas. 2. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha Permisos, haga clic en la entrada que desee ver y después haga clic en Modificar. 3. Para ver los permisos de atributos específicos, en el cuadro de diálogo Entrada de permiso, haga clic en la ficha Propiedades.

Procedimiento para modificar la herencia de permisos

Para modificar la herencia de permisos: 1. En el cuadro de diálogo Propiedades del objeto, en la ficha Seguridad, haga clic en Opciones avanzadas. 2. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha Permisos, haga clic en la entrada que desee ver y después haga clic en Modificar. 3. En el cuadro de diálogo Entrada de permiso, en la ficha Objeto, en el cuadro Aplicar en, seleccione la opción que desee.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

13

¿Qué son los permisos efectivos para los objetos de Active Directory?

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Puede utilizar la herramienta Permisos efectivos para determinar cuáles son los permisos de un objeto de Active Directory. La herramienta calcula los permisos que se conceden al usuario o grupo especificado y toma en cuenta los permisos en vigor como consecuencia de la pertenencia a grupos, así como los permisos heredados de objetos principales. Los permisos efectivos para los objetos de Active Directory tienen las siguientes características:
!

Características

Los permisos acumulativos son una combinación de permisos de Active Directory concedidos a las cuentas de usuario y de grupo. Los permisos denegados anulan a todos los permisos heredados. Los permisos asignados explícitamente tienen siempre prioridad. Cada objeto tiene un propietario, ya se encuentre en un volumen NTFS o en Active Directory. El propietario controla cómo se establecen los permisos en el objeto y a quién se conceden. El grupo Administradores es el propietario de los objetos predeterminados de Active Directory. El propietario siempre puede cambiar los permisos de un objeto, aun cuando él mismo tenga denegado el acceso al objeto. El propietario actual puede conceder el permiso Tomar posesión a otro usuario, el cual le permite asumir la propiedad de ese objeto en cualquier momento. El usuario puede tomar posesión efectivamente para completar la transferencia de la propiedad.

!

!

14

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Recuperar permisos efectivos

Para recuperar información sobre los permisos efectivos en Active Directory necesita el permiso de lectura de la información de pertenencia a grupos. Si el usuario o grupo especificado es un objeto de dominio, debe disponer de permiso para leer la información de pertenencia del objeto en el dominio. Los usuarios siguientes tienen los correspondientes permisos de dominio predeterminados:
!

Los administradores de dominio tienen permiso para leer la información de pertenencia en todos los objetos. Los administradores locales de una estación de trabajo o servidor independiente no pueden leer la información de pertenencia para un usuario de dominio. Los usuarios autentificados de un dominio pueden leer la información de pertenencia sólo cuando éste se encuentre en un modo de compatibilidad anterior a Windows® 2000.

!

!

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

15

¿Cómo determinar los permisos efectivos para los objetos de Active Directory?

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Procedimiento Utilice el procedimiento siguiente para ver el registro de permisos efectivos de los objetos de Active Directory. Para ver el registro de permisos efectivos: 1. En Usuarios y equipos de Active Directory, en el árbol de la consola, vaya hasta la unidad organizativa u objeto cuyos permisos efectivos desee ver. 2. Haga clic con el botón secundario del mouse en la unidad organizativa u objeto y, a continuación, haga clic en Propiedades. 3. En el cuadro de diálogo Propiedades, en la ficha Seguridad, haga clic en Opciones avanzadas. 4. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha Permisos efectivos, haga clic en Seleccionar. 5. En el cuadro de diálogo Seleccionar Usuario, Equipo o Grupo, en Escriba el nombre de objeto a seleccionar, escriba el nombre de un usuario o grupo y haga clic en Aceptar. Las casillas de verificación activadas indican los permisos efectivos del usuario o grupo en ese objeto. Lectura adicional Para obtener más información sobre los permisos efectivos, consulte “Effective Permissions tool” en la dirección http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/datacenter/acl_effective_perm.asp (en inglés).

16

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Ejercicio: Modificar los permisos de los objetos de Active Directory

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Objetivo En este ejercicio, se ocupará de:
! !

Quitar los permisos heredados de la unidad organizativa de su ciudad. Documentar los cambios de seguridad efectuados en la unidad organizativa de su ciudad.

Instrucciones

Antes de comenzar este ejercicio:
! !

Inicie sesión en el dominio mediante la cuenta NombreEquipoUser. Abra CustomMMC con el comando Ejecutar como. Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (ejemplo: LondonAdmin).

!

Asegúrese de que CustomMMC contiene Usuarios y equipos de Active Directory. Asegúrese de que está viendo las características avanzadas de Usuarios y equipos de Active Directory. Repase los procedimientos de esta lección que describen cómo realizar esta tarea.

!

!

Situación

El ingeniero de sistemas de Northwind Traders ha delegado el control administrativo en los administradores de cada ubicación de NombreEquipo. Deberá determinar qué permisos hereda su unidad organizativa NombreEquipo y quitar todos los permisos heredados. Documente el resultado de cada uno de los pasos de eliminación de los permisos heredados.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

17

Ejercicio

! Documentar la seguridad de la unidad organizativa de su ciudad
1. Abra Usuarios y equipos de Active Directory. 2. Vea la configuración de seguridad de su unidad organizativa NombreEquipo haciendo lo siguiente: a. Haga clic con el botón secundario del mouse en su unidad organizativa NombreEquipo y, a continuación, haga clic en Propiedades. b. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad. 3. Anote los nombres de usuario o grupo que tengan permisos heredados o explícitos en la tabla siguiente. Anote S (Sí) en Heredado o Explícito por cada elemento de la columna Nombres de usuario o grupo. Un permiso explícito tiene una casilla de verificación activada bajo Permitir o Denegar. Los permisos que no se pueden modificar y los permisos heredados tienen esta casilla sombreada.
Nombres de usuario o grupo Ejemplo: Operadores de cuentas Operadores de cuentas Administradores Usuarios autentificados DL NombreEquipo OU Administrators Administradores del dominio Administradores de organización ENTERPRISE DOMAIN CONTROLLERS Acceso compatible con versiones anteriores de Windows 2000 Operadores de impresión System S S S S S S Heredado S S S S S S S Explícito

! Quitar permisos heredados
1. En el cuadro de diálogo Propiedades de la unidad organizativa de su ciudad, en la ficha Seguridad, haga clic en Opciones avanzadas. 2. En el cuadro de diálogo Configuración de seguridad avanzada, en la ficha Permisos, desactive la casilla Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aquí de forma explícita. 3. En el cuadro de diálogo Seguridad, haga clic en Quitar. 4. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic en Aceptar.

18

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

! Documentar los cambios de seguridad de la unidad organizativa
de su ciudad 1. Abra Usuarios y equipos de Active Directory. 2. Vea la configuración de seguridad de su unidad organizativa NombreEquipo haciendo lo siguiente: a. Haga clic con el botón secundario del mouse en su unidad organizativa NombreEquipo y, a continuación, haga clic en Propiedades. b. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad. 3. Anote los nombres de usuario o grupo que tengan permisos heredados o explícitos en la tabla siguiente. Anote S (Sí) en Heredado o Explícito por cada elemento de la columna Nombres de usuario o grupo. Un permiso explícito tiene una casilla de verificación activada bajo Permitir o Denegar. Los permisos que no se pueden modificar y los permisos heredados tienen esta casilla sombreada.
Nombres de usuario o grupo Ejemplo: Operadores de cuentas Operadores de cuentas Administradores Usuarios autentificados DL NombreEquipo OU Administrators Administradores del dominio Administradores de organización ENTERPRISE DOMAIN CONTROLLERS Acceso compatible con versiones anteriores de Windows 2000 Operadores de impresión System S S S S S S S Heredado Explícito

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

19

Lección: Delegar el control de las unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Active Directory permite administrar eficientemente los objetos delegando el control administrativo sobre los mismos. Puede usar el Asistente para delegación de control y las consolas personalizadas en Microsoft Management Console (MMC) con el fin de conceder a usuarios específicos los permisos necesarios para realizar diferentes tareas administrativas. Después de finalizar esta lección, el alumno será capaz de:
! ! !

Objetivos de la lección

Describir qué significa delegar el control de una unidad organizativa. Describir el propósito y función del Asistente para delegación de control. Delegar el control de una unidad organizativa mediante el Asistente para delegación de control.

20

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

¿Qué es la delegación de control de una unidad organizativa?

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Definición La delegación de control es la capacidad de asignar la responsabilidad de administrar los objetos de Active Directory a otro usuario, grupo u organización. Al delegar el control se puede eliminar la necesidad de emplear varias cuentas administrativas con amplios poderes. Se pueden delegar los siguientes tipos de control:
!

Permisos para crear o modificar todas las clases de objetos de una unidad organizativa específica o en el nivel de dominio Permisos para crear o modificar ciertas clases de objetos en una unidad organizativa específica o en el nivel de dominio Permisos para crear o modificar un objeto específico en una unidad organizativa específica o en el nivel de dominio Permisos para modificar atributos específicos de ciertas clases de objetos en una unidad organizativa específica o en el nivel de dominio, como conceder el permiso para restablecer las contraseñas en una cuenta de usuario

!

!

!

¿Por qué delegar el control administrativo?

La administración delegada en Active Directory ayuda a hacer más liviana la carga administrativa de dirigir la red, distribuyendo las tareas administrativas de rutina a varios usuarios. Mediante la administración delegada se pueden asignar las tareas administrativas básicas a los usuarios o grupos habituales y asignar las tareas administrativas para todo el dominio o bosque a los usuarios de confianza del grupo Administradores del dominio y Administradores empresariales. Al delegar la administración se da a los grupos de la organización un mayor control de sus recursos de red locales. También ayuda a proteger la red de daños accidentales o intencionados limitando la pertenencia a los grupos de administradores.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

21

Formas de definir la delegación del control administrativo

Se puede definir la delegación del control administrativo de las tres formas siguientes:
! !

Cambiar las propiedades de un contenedor particular. Crear y eliminar objetos de un tipo específico en una unidad organizativa, como usuarios, grupos o impresoras. Actualizar propiedades específicas de los objetos de un determinado tipo en una unidad organizativa. Por ejemplo, se puede delegar el permiso de establecer una contraseña en un objeto de usuario o en todos los objetos de una unidad organizativa.

!

22

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

El Asistente para delegación de control

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción El Asistente para delegación de control se utiliza para seleccionar el usuario o grupo al que se desea delegar el control. También se usa el Asistente para conceder a los usuarios permisos para controlar unidades organizativas y objetos y para obtener acceso a objetos y modificarlos. Se puede usar el Asistente para delegación de control para conceder permisos en el nivel de unidad organizativa. Se deben conceder manualmente los permisos especializados adicionales en el nivel de objeto. En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en las unidades organizativas en las que desee delegar el control y haga clic en Delegar control para iniciar el asistente. También puede seleccionar la unidad organizativa y hacer clic en Delegar control en el menú Acción.

Delegar permisos

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

23

Opciones

La tabla siguiente describe las opciones del Asistente para delegación de control.
Opción Usuarios o grupos Tareas que se delegarán Descripción Las cuentas de usuario o grupo en las que desea delegar el control. Lista de tareas comunes o la opción de personalizar una tarea. Al seleccionar una tarea común, el asistente resume sus selecciones para completar el proceso de delegación. Al elegir personalizar una tarea, el asistente presenta los tipos de objeto y permisos de Active Directory para que elija. Todos los objetos, o bien sólo tipos específicos de objeto de la unidad organizativa especificada. Los permisos que se van a conceder sobre el objeto u objetos.

Tipo de objeto de Active Directory Permisos

Nota El Asistente para delegación de control puede anexar permisos a una unidad organizativa si se ejecuta más de una vez. Sin embargo, es necesario quitar manualmente los permisos delegados.

24

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

¿Cómo delegar el control de una unidad organizativa?

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Introducción Utilice el Asistente para delegación de control para conceder permisos en el nivel de unidad organizativa. Se pueden conceder permisos para administrar objetos o para administrar atributos específicos de dichos objetos. El Asistente para delegación de control es el método preferido para delegar el control, ya que reduce la posibilidad de efectos no deseados como consecuencia de la asignación de permisos. Para delegar el control administrativo sobre tareas comunes: 1. Inicie el Asistente para delegación de control mediante los siguientes pasos: a. En Usuarios y equipos de Active Directory, haga clic en la unidad organizativa en la cual desee delegar el control. b. En el menú Acción, haga clic en Delegar control. 2. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente. 3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee conceder permisos y haga clic en Siguiente. Si no hay usuarios ni grupos para seleccionar, haga lo siguiente: a. Haga clic en Agregar. b. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en Escriba los nombres de objeto que desea seleccionar, escriba el nombre de un usuario o grupo y haga clic en Aceptar.

Procedimiento para delegar el control sobre tareas comunes

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

25

4. En la página Tareas que se delegarán, especifique una o varias de las tareas siguientes: • Crear, eliminar y administrar cuentas de usuario • Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión • Leer toda la información del usuario • Crear, eliminar y administrar grupos • Modificar la pertenencia de un grupo • Administrar vínculos de Directivas de grupo Nota Se puede delegar una tarea personalizada en usuarios o grupos haciendo clic en Crear una tarea personalizada para delegar. 5. Haga clic en Siguiente. 6. En la página Finalización del Asistente para delegación de control, haga clic en Finalizar. Procedimiento para delegar el control sobre una tarea personalizada Para delegar el control administrativo sobre una tarea personalizada: 1. Inicie el Asistente para delegación de control mediante los siguientes pasos: a. En Usuarios y equipos de Active Directory, haga clic en la unidad organizativa en la cual desee delegar el control. b. En el menú Acción, haga clic en Delegar control. 2. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente. 3. En la página Usuarios o grupos, seleccione el usuario o grupo al que desee conceder permisos y haga clic en Siguiente. 4. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar y haga clic en Siguiente. 5. En la página Tipo de objeto de Active Directory, haga clic en Siguiente. 6. En la página Permisos, especifique el permiso que desee conceder a la unidad organizativa o a sus objetos. Se pueden seleccionar los siguientes tipos de permisos: • General. Muestra los permisos usados más frecuentemente que están disponibles para la unidad organizativa seleccionada o sus objetos. • Específico de la propiedad. Muestra todos los permisos de atributo aplicables al tipo de objeto. • Creación o eliminación de objetos secundarios específicos. Muestra los permisos necesarios para crear nuevos objetos en la unidad organizativa. 7. Haga clic en Siguiente. 8. En la página Finalización del Asistente para delegación de control, haga clic en Finalizar.

26

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Ejercicio: Delegar el control de una unidad organizativa

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Objetivo En este ejercicio, se ocupará de:
! ! ! !

Delegar el control de la unidad organizativa Equipos. Probar los permisos delegados para su unidad organizativa Equipos. Delegar el control de la unidad organizativa Usuarios. Probar los permisos delegados para su unidad organizativa Usuarios.

Instrucciones

Antes de comenzar este ejercicio:
! !

Inicie sesión en el dominio mediante la cuenta NombreEquipoUser. Abra CustomMMC con el comando Ejecutar como. Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (ejemplo: LondonAdmin).

!

Asegúrese de que CustomMMC contiene Usuarios y equipos de Active Directory. Repase los procedimientos de esta lección que describen cómo realizar esta tarea.

!

Situación

Para distribuir la carga de trabajo entre los administradores, Northwind Traders desea que los administradores sean capaces de realizar tareas específicas en sus unidades organizativas designadas. Las tareas siguientes deben delegarse en estas unidades organizativas:
!

Unidad organizativa: Locations/NombreEquipo/Equipos Tarea: Crear y eliminar cuentas de equipo en la unidad organizativa Unidad organizativa: Locations/NombreEquipo/Usuarios Tarea: Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión Tarea: Leer toda la información de los usuarios

!

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

27

Ejercicio

! Delegar el control de la unidad organizativa Equipos
1. En Usuarios y equipos de Active Directory, en el árbol de la consola, vaya hasta su unidad organizativa NombreEquipo, haga clic con el botón secundario del mouse en Equipos y haga clic en Delegar control. 2. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente. 3. En la página Usuarios o grupos, agregue NombreEquipoUser y haga clic en Siguiente. 4. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar y haga clic en Siguiente. 5. En la página Tipo de objeto de Active Directory, haga clic en Sólo los siguientes objetos en la carpeta y a continuación active la casilla Equipo objetos. 6. Active las casillas Crear los objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados en esta carpeta y haga clic en Siguiente. 7. En la página Permisos, active la casilla General. 8. Debajo de Permisos, active las casillas Leer y Escribir y haga clic en Siguiente. 9. En la página Finalización del Asistente para delegación de control, haga clic en Finalizar.

! Probar los permisos de la unidad organizativa Equipos
1. Cierre CustomMMC y ábrala de nuevo sin utilizar el comando Ejecutar como. 2. En Usuarios y equipos de Active Directory, cree una cuenta de equipo usando los parámetros siguientes: • Ubicación: Locations/NombreEquipo/Equipos • Nombre de la cuenta de equipo: las tres primeras tres letras de la ciudad y Test (por ejemplo: LonTest) Debe poder crear una cuenta de equipo en la unidad organizativa Locations/NombreEquipo/Equipos. 3. Cierre Usuarios y equipos de Active Directory.

! Delegar el control de la unidad organizativa Usuarios
1. Abra Usuarios y equipos de Active Directory con el comando Ejecutar como mediante la cuenta NombreEquipoAdmin. 2. Vaya hasta su unidad organizativa NombreEquipo, haga clic con el botón secundario del mouse en Usuarios y a continuación en Delegar control. 3. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente. 4. En la página Usuarios o grupos, agregue NombreEquipoUser y haga clic en Siguiente.

28

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

5. Delegue las siguientes tareas comunes: • Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión • Leer toda la información de los usuarios 6. Haga clic en Siguiente y, a continuación, en Finalizar.

! Probar los permisos de la unidad organizativa Usuarios
1. Cierre CustomMMC y ábrala de nuevo sin utilizar el comando Ejecutar como. 2. En Usuarios y equipos de Active Directory, vaya hasta la unidad organizativa Locations/NombreEquipo/Usuarios. 3. Intente eliminar una cuenta de usuario. No debería poder hacerlo. 4. Intente habilitar o deshabilitar cualquier cuenta de usuario. No debería poder hacerlo. 5. Restablezca la contraseña de cualquier usuario. Debe poder restablecer la contraseña de cualquier cuenta de usuario de la unidad organizativa Locations/NombreEquipo/Usuarios.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

29

Práctica A: Administrar el acceso a los objetos de las unidades organizativas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL****** Objetivos Instrucciones Después de completar esta práctica podrá administrar el acceso a los objetos en las unidades organizativas. Antes de comenzar esta práctica:
! !

Inicie sesión en el dominio mediante la cuenta NombreEquipoUser. Abra CustomMMC con el comando Ejecutar como. Utilice la cuenta de usuario Nwtraders\NombreEquipoAdmin (ejemplo: LondonAdmin).

!

Asegúrese de que CustomMMC contiene Usuarios y equipos de Active Directory.

Tiempo previsto para completar esta práctica: 15 minutos

30

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

Ejercicio 1 Delegar el control administrativo
En este ejercicio delegará el control administrativo de los objetos de una unidad organizativa.

Situación
Northwind Traders desea que todo el personal de TI pueda crear, eliminar y modificar los grupos de todas las unidades organizativas de ciudad. Debe delegar la autoridad de su unidad organizativa NombreEquipo para habilitar un grupo global denominado G NWTraders IT Personnel con permisos para crear, eliminar y administrar grupos y para modificar la pertenencia a un grupo.

Tareas
1.

Instrucciones específicas a. Unidad organizativa: nwtraders.msft/Locations/NombreEquipo/Grupos b. Usuarios o grupos: G NWTraders IT Personnel c. Tareas que se delegarán: • • Crear, eliminar y administrar grupos Modificar la pertenencia a un grupo

Delegar el control de la unidad organizativa NombreEquipo/Grupos.

Módulo 7: Administrar el acceso a los objetos de las unidades organizativas

31

Ejercicio 2 Documentar la seguridad de un objeto creado en una unidad organizativa
En este ejercicio documentará la configuración de seguridad del objeto creado en la unidad organizativa delegada.

Situación
Acaba de crear muchos grupos en una unidad organizativa delegada y se le ha pedido que documente los permisos heredados por uno de los grupos. Escriba la información en la siguiente tabla para documentar los permisos del grupo.

Tareas
1.

Instrucciones específicas

Documentar los permisos especiales de un grupo creado en una unidad organizativa delegada.

"

Anote los permisos especiales del grupo G NWTraders IT Personnel.

__________________________________
Crear objetos de grupo y eliminar objetos de grupo

THIS PAGE INTENTIONALLY LEFT BLANK