Administración de Usuarios, Grupos y Unidades Organizativas en Directorio Activo

1. Usuarios, Grupos y Unidades Organizativas en Directorio Activo

Cuando se tiene instalado el Directorio Activo (AD), todos los usuarios gestionados en el sistema se convierten en usuarios globales de dominio. Esto les permite iniciar sesión desde cualquier ordenador integrado en el dominio, e incluso desde el propio servidor en el que están dados de alta.

1.1. Introducción a los Grupos de Usuarios en Directorio Activo

Los grupos pueden contener usuarios, contactos, equipos u otros grupos. En estos sistemas operativos, se puede trabajar con dos tipos de grupos: grupos de seguridad y grupos de distribución.

Los grupos simplifican la administración al proporcionar un método sencillo para conceder capacidades comunes a múltiples usuarios simultáneamente. Cuando se crea un grupo, se le asigna un ámbito.

Los grupos de seguridad de los dominios pueden tener los siguientes tipos de pertenencia:

• Los grupos con ámbito local solo pueden tener como miembros a usuarios.
• Los grupos con ámbito local de dominio pueden tener como miembros cuentas de usuarios y otros grupos con ámbito global.

1.2. Agrupación de Objetos en Directorio Activo: Unidades Organizativas

Para evitar tener mezclados usuarios y grupos, se pueden crear unidades organizativas. Al crear nuevas unidades organizativas, se agrupan los objetos del Directorio Activo en nuevos contenedores, de forma que solo se muestre la información deseada.

2. Gestión de Grupos de Usuarios en Directorio Activo

Los grupos de seguridad se crean para otorgar o denegar permisos o privilegios de utilización sobre los recursos del dominio.

Los grupos de distribución se utilizan para realizar instalaciones remotas de software en los equipos clientes en los que se validan usuarios que pertenecen al grupo.

2.1. Creación de Grupos

Se deben tener en cuenta los siguientes aspectos:

• La infraestructura de la empresa.
• Los usuarios y grupos que serán miembros del grupo creado.
• Los grupos a los cuales pertenecerá el grupo que se está creando.

2.2. Eliminación de Grupos

Un grupo en Windows 2000 o 2003 Server tiene asignado un SID (Security Identifier), que se utiliza para identificarlo y saber qué permisos tiene.

2.3. Implementación de Grupos Integrados en Directorio Activo

Los grupos incorporados son grupos predefinidos que tienen un conjunto predeterminado de derechos de usuario. Estos derechos determinan las tareas del sistema que puede realizar un usuario o un miembro del grupo incorporado.

3. Gestión de Usuarios del Directorio Activo

Cada cuenta de usuario, ya sea creada por defecto o manualmente, tiene un nombre principal. Este nombre consta de dos partes: el nombre principal de seguridad y el sufijo del nombre principal.

3.1. Directivas de Seguridad Local

A cada usuario que se cree se le debe asignar una contraseña que cumpla determinados requisitos de complejidad. Modificar las políticas de contraseñas puede implicar una pérdida de seguridad en el equipo a cambio de una administración más flexible.

3.2. Propiedades de las Cuentas de Usuario

Una vez creados los usuarios, se pueden realizar modificaciones respecto a los datos introducidos inicialmente.

3.3. Operaciones sobre Cuentas de Usuario

Una vez creado el usuario, se pueden realizar operaciones sobre la cuenta que determinarán las características de acceso y las opciones del usuario ante el sistema. Respecto a las contraseñas de usuario, si un usuario tiene una, no es posible averiguarla; solo se puede eliminar o modificar, pero sin saber cuál es.

3.4. Creación de Plantillas

Las plantillas de cuentas de usuario son cuentas estándar creadas con las propiedades que se aplican a usuarios con necesidades comunes. En realidad, una plantilla de usuario es un usuario normal al que se le configura lo que se desea, como contraseñas, pertenencia a grupos, horas de inicio de sesión, etc., y posteriormente se copia con otro nombre y otro inicio de sesión, manteniendo el resto de propiedades.

Relaciones de Confianza y Gestión de Clientes en Dominios

4. Relaciones de Confianza entre Dominios

4.1. Introducción a las Relaciones de Confianza

Una relación de confianza es la establecida entre dos dominios, de forma que permite a los usuarios de un dominio ser reconocidos por los controladores de dominio de otro. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y a los administradores definir los permisos y derechos para los usuarios del otro dominio.

Los diferentes tipos de relaciones se diferencian en función de tres rasgos característicos:

• Método de creación: Algunos tipos de relaciones de confianza se crean de forma automática y otros de forma manual.
• Dirección: Algunos tipos de relaciones son unidireccionales y otras bidireccionales.
• Transitividad: Algunos tipos de relaciones son transitivas y otras no.

Entre dos o más dominios se pueden establecer las siguientes relaciones de confianza:

• Relaciones entre dominios sin confianza: Es posible tener múltiples dominios sin confianza alguna.
• Relaciones de confianza unidireccionales: Para permitir a un usuario acceder a ambos dominios, se puede establecer una relación unidireccional entre ellos, siendo este el tipo más simple de relación de confianza.
• Relaciones de confianza bidireccionales: Permiten una mayor flexibilidad en el acceso de los usuarios a los recursos y facilitan la administración de la red. Un usuario que se conecte con éxito a uno de los dominios será considerado auténtico por el otro dominio, teniendo acceso a los recursos de ambos dominios hasta el punto concedido por el administrador de cada uno.

4.2. Configuración del Servicio DNS

Lo más importante para establecer relaciones de confianza es que los dominios implicados puedan verse a todos los niveles. Es decir, ambos dominios deben poder comunicarse por:

• El nombre NetBIOS del equipo servidor.
• El nombre NetBIOS del dominio.
• El nombre DNS del dominio.
• El nombre FQDN del equipo y del dominio.

4.3. Administrar Dominios con Relaciones de Confianza Externas

Una vez establecidas las relaciones de confianza, al realizar cualquier operación de administración, se puede cambiar de dominio desde cualquiera de los dominios en los que se esté trabajando. De esta forma, se pueden crear unidades organizativas, usuarios, grupos, equipos, etc., en el dominio actual y en otro con el que se tenga establecida la relación de confianza sin necesidad de cambiar de equipo.

4.4. Delegación de Control de Dominios

Para poder administrar otro dominio con el que se ha establecido una relación de confianza, se debe indicar qué usuarios del dominio actual pueden administrar el dominio con el que se ha establecido la relación.

1. Integración de Clientes en un Dominio

1.1. Configuración Previa de los Clientes Windows

Para integrar un equipo en una red local, es necesario tener en cuenta algunas consideraciones previas:

• El nombre de cada equipo de la misma red física debe ser diferente.
• La dirección IP de cada equipo dentro de la misma red física no puede ser la misma.
• La máscara de subred de los equipos de una misma red física, a priori, debe ser la misma.
• El usuario administrador o, en su defecto, un usuario con privilegios de administración debe estar habilitado y con contraseña.

1.2. Inicio de Sesión en los Clientes Windows

Al iniciar sesión en el dominio, es necesario validarse con uno de los usuarios globales dados de alta en el dominio. Si, por el contrario, se inicia sesión en modo local, se debe saber qué usuarios locales están dados de alta en el equipo en el que se va a iniciar la sesión de trabajo.

1.3. Explorar el Dominio: Comprobación de la Integración

Cada equipo estará unido a un único dominio. Si un dominio tiene relaciones de confianza con otro, un usuario de cualquier dominio de los que intervienen en la confianza podrá iniciar sesión desde el equipo que se acaba de integrar en el dominio, pero administrativamente el equipo solo forma parte de un dominio.

2. Conceptos de Permisos y Derechos: Recursos Compartidos

En Windows, los recursos compartidos desde el servidor o desde los clientes se gestionan de forma diferente a la hora de asignar privilegios a los usuarios del sistema.