Windows Server 2012 R2 Active Directory: Implementación y gestión

Grupos por defecto en Active Directory y sus permisos

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Vamos a trabajar con los grupos que, por defecto, podemos encontrar en Active Directory. Analizaremos el fin de cada uno de ellos y cómo combinando su uso, podemos hacer un entorno más seguro y fiable.

Transcripción

Vamos a hablar de los grupos que podemos encontrar dentro de un dominio, bien sea en PCs, en servidores miembros o en grupos explícitamente creados en el propio dominio. Vamos a ver las diferencias y para qué nos puede valer cada uno de ellos. En un servidor miembro, abro la consola administración servidor y en Herramientas tengo Administración de equipos. Una vez abierta esta, puedo ir a Usuarios y grupos locales, y en Grupos vais a ver unos cuantos grupos que aparecen. La descripción nos explica claramente para qué es cada uno de ellos. Pero vamos a hacer un repaso de los que pueda considerar importantes o significativos. Administradores. Existe un grupo local en cada PC o servidor unido al dominio que incluye a los administradores locales de ese PC o servidor. Todo usuario que sea miembro del grupo administradores tiene control total sobre ese equipo. Por ejemplo, si bajamos más abajo tenemos Invitados, e incluso un poco más abajo tenemos los operadores. Los operadores son bastante significativos porque, por ejemplo, tenemos el Operador de copia de seguridad que como su nombre indica son usuarios que pueden hacer incluso logon en el propio servidor para poder gestionar y administrar la copia de seguridad. Al igual que los Operadores de impresión que podrán tener acceso total y control total de las impresoras que tenga ese servidor compartidas. Esto es bueno porque podemos granular los permisos. No tenemos que ser administrador todos los operadores de IT de la compañía para poder cambiar, por ejemplo, comparticiones de impresora o poder administrar esas comparticiones. Es bueno que utilicéis los grupos específicamente y que a cada usuario le deis los privilegios mínimos necesarios para que pueda administrar. Muchos de estos grupos, como he dicho, también permiten hacer logon, lo cual es bastante significativo porque hay otros grupos que no lo permiten. Grupos que utilizamos para levantar servicios o, por ejemplo, el grupo de Usuarios. Todo usuario del dominio pertenece al grupo de usuarios de todo PC. Podéis incluso crear usuarios locales que perteneciesen al grupo Usuarios. Un usuario en un servidor miembro no puede hacer logon. Podemos utilizar ese usuario para acceder a una carpeta compartida o para otras muchas cosas, pero no para hacer logon. Es bueno que sepáis que tenemos grupos locales en los PCs, y gracias a la granularidad que nos ofrece podemos dar, como he dicho, los permisos mínimos necesarios. Vamos a ver qué grupos tenemos a nivel de dominio. Si voy a la misma consola y abro Usuarios y equipos de Active Directory, podremos ver dos grandes grupos. El primero de ellos es Builtin. Aquí tenemos una representación prácticamente de los mismos grupos que hemos visto en los PCs y servidores. ¿Para qué vale esto? Vale para incluir a un usuario en el grupo de administradores de, por ejemplo, todo el parque. Si incluyese a un usuario creado en el dominio en el grupo Administradores que aparece en Builtin, sería un usuario que ya pertenece al grupo de administradores de todos los PCs y todos los servidores del parque. Lo mismo con el resto de grupos. Operadores de impresión, Operadores de servidores, Operadores de cuenta. Operadores de servidores son usuarios que van a pertenecer al grupo Operadores de servidores de todos los servidores del parque. ¿Correcto? Gracias a esto, podemos con una simple acción, replicar un mismo cambio en miles o millones de equipos y servidores. Es bueno que lo conozcáis para evitaros trabajo y para ser mucho más potentes con menos trabajo realizado. Tenemos también en Users otros grupos. Estos grupos son los propios del dominio. No es igual hacer que un usuario sea administrador local de todos los PCs del parque porque tendrá privilegios totales sobre los PCs del parque, pero no tendrá privilegios en el dominio, no podrá crear usuarios dentro del dominio, no podrá borrarlos, no podrá administrar el dominio, no podrá crear sites. Eso y otras muchas cosas las puede hacer un administrador del dominio. Algunos grupos llevan implícito lo otro. Significa esto que quien es administrador del dominio, también es administrador del parque. Pero es una locura dotar a un administrador de IT de los privilegios de administrador del dominio, ya que luego irá haciendo logon por los PCs simplemente y prácticamente instalando aplicaciones con credenciales que de ser robadas podrán tener un control completo sobre nuestro dominio. Por eso, recalco que es importante que deis siempre los privilegios mínimos necesarios. Aquí podemos encontrar grupo de Controladores de dominio. Veremos quiénes son nuestros controladores de dominio. Esto significa también que en los grupos no solo encontraremos usuarios, sino que encontraremos PCs o servidores. Y gracias a los grupos podemos clasificar estos PCs y tenerlos localizados en grandes grupos, pequeños grupos y de forma muy selectiva y granular administrar todo nuestro parque. Como veis, y vuelvo a repasar, tenemos los grupos de dominio, tenemos los grupos de PCs, que podemos administrar y tienen un fiel reflejo en el Active Directory y que trasladan toda su configuración a los propios PCs, y luego siempre tendremos los propios grupos localizados en cada uno de los PCs, lo que nos permite ser muy granular. En cada grupo de los PCs, podremos añadir tanto usuarios creados localmente en los PCs como usuarios creados en el dominio. Pero en los grupos de dominio, solo podremos añadir usuarios creados en el propio dominio.

Windows Server 2012 R2 Active Directory: Implementación y gestión

Aprende cómo se instala, crea y crece el Directorio Activo en Windows Server 2012, y cómo podemos integrar un nuevo dominio en un escenario con dominio o dominios ya existentes.

3:33 horas (44 Videos)
Actualmente no hay comentarios.
 
Fecha de publicación:25/07/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.