Creación de objetos en Active Directory: UO, grupos, usuarios, equipos.

Lo único prescindible son los usuarios, los grupos son herramientas para el administrador, nos facilitan el trabajo, exactamente lo mismo con las UO. Los dominios es un requisito del sistema de operativo de red, lo mismo que los equipos.

Las tres cosas fundamentales que no podemos perder de vista son:

1. Usuarios.
   
2. Recursos.
   
3. Permisos, que une los usuarios con los recursos.
   

Una característica de 2003 es que los grupos son anidables, que se pueden meter unos dentro de otros

Previo:

1. Creación de dominios, bosques, árboles. A nivel lógico.
   
2. Sitiosà ubicación física (enlaces WAN).
   

Se puede hacer desde un sitio por defecto, o desde un dominio.

Unidades organizativas:

1. Organizar objetos, como por ejemplo departamentos, edificios…
   
2. Su finalidad es de delegar control administrativo, delegar la administración de las UO, puede ser delegación parcial o total.
   
3. Aplicar distintas GPO, directivas de grupo.
   

 

Diferentes grupos.

1. Grupos de seguridad.
   
   1. Local: su función es la de asignar permisos sobre recursos locales (del propio dominio).
      
   2. Global: su función es la de organizar grupos por función (trabajo, Dpto.…) del propio dominio.
      
   3. Universal: organizar usuarios por función (trabajo, departamento …) de cualquier departamento del _____________?
      
2. Grupos de distribución: podría ser de email, contactos, que no es la finalidad de Active Directory.
   

 

Usuarios: representan personas físicas.

 

 

Equipos: representan equipos físicos.

 

 

 

Dominios.

Tienen cuatro niveles de funcionamiento:

1. Mixto 2000.
   
2.                 ¿Cuáles son las diferencias funcionales?
   
3. 
   
4. Nativo W2003 Server
   

 

Dominio: DACME

 

OU=Empresa        OU=D_almacén

"ACME"            

 

            OU=D_compras

 

 

            OU=D_ventas            OU=D_comerciales

    

                                                                            OU=D_dependientes

 

Cada OU, puede tener una GPO diferentes, y un GG y un GL. En LOS GRUPOS GLOBALES SOLO PODEMOS PONER USUARIOS DEL DOMINIO PROPIO. LOS GL NO PUEDEN SALIR DEL PROPIO DOMINIO, EN CAMBIO LOD GL SI QUE ADMITEN USUARIOS DE OTROS DOMINIOS.

Las OU dependerán de la organización de la empresa.

En cada OU se crearan usuarios del departamento pertinentes.

A nivel de organización de grupos podemos meter a los usuarios dentro de los grupos globales, que meteremos dentro de los locales, y a este grupo le asignaremos permisos para que utilicen los recursos.

Lo último que se crea son los usuarios se crean grupos, permisos que regulen los recursos, y después los usuarios.

¿Dentro de un grupo global se puede anidar un grupo local?

¿Un GG dentro de un GG?

¿Un GL dentro de un GL? Sí.

¿Puedo meter un usuario dentro de un GL? Sí.

¿Un usuario puede asignarle permisos de un recurso? Sí.

 

 

 

 

 

 

D_A                    D_B

U                    U

GG                    GG

GL                    GL

GU                    GU

REC                    REC

 

 

Creación de la carpeta personal del usuario en el servidor.

Todos los usuarios debes tener una carpeta en el servidor donde puedan guardar sus cosas. ¿Por qué en el servidor?

1. Es más fácil hacer la copia de seguridad àla hará el administrador.
   
2. Seguridad de accesoàsolo el usuario y el administrador podrán entrar.
   
3. Movilidadà se puede acceder desde cualquier estación de trabajo.
   

Previo.

Tenemos cuatro discos.

El volumen D: \ACME\USUARIOS.

La carpeta usuarios la haremos compartida, y con los permisos por defecto (todos CT).

Lo formateamos el disco entero en NTFS, volumen simple. Habrá dos tipos de carpetas, carpetas privadas, o carpetas compartidas. En la compartida se podrá acceder más de un usuario, mientras que en las privadas solo podrá acceder un usuario. La carpeta personal, de ella se crearán carpetas para cada departamento, se crearán carpetas para todos los usuarios de la empresa, para los directivos, carpetas de sugerencias…

Tenerla en NTFS significa que habrá permisos de dos tipos.

1. PCC; que son los permisos de carpeta compartida. Es de acceso remoto.
   
2. Seguridad PNTFS. Permisos NTFS: tienen todas las carpetas y todos los ficheros. Seguridad local, situada en la pestaña "seguridad". Por defecto serán todos los permisos. Todos, Control Total (CT), que es el permiso más alto que se puede conceder
   

 

 

 

 

Los usuario remotos solo pueden acceder al servidor a través de carpetas compartidas.

Permisos de carpeta compartida hay:

1. Control Total, que no se le dará a nadie.
   
2. Cambio: que es el más alto que se puede asignar a un usuario.
   
3. Leer, solo permite ver el contenido, pero sin modificar ni añadir nada.
   
4. El mínimo permiso es que no puedas acceder a nada.
   

Todos los permisos tienen dos pestañas, Permitir y Denegar, y no son posibles todas las combinaciones. El Denegar siempre prevalece sobre el Permitir. Y cuando sea Permitir, prevalece el más alto.

La carpeta compartir, por defecto dará CT, que se deberá cambiar instantáneamente.

Cuando se de la casualidad que se combinan PCC y CT, ganará el más restrictivo

_____________________________________________________________________________

Para que nos despidan se han de cumplir tres condiciones, teniendo los usuario el CT:

1. Que el usuario pueda hacerlo.
   
2. Que el usuario quiera hacerlo.
   
3. Que el usuario sepa hacerlo.
   

_____________________________________________________________________________

Fin del Previo.

A cada usuario, propiedades, perfil , y donde poner carpeta personal

\\nombreservidor\USUARIO
(que será la carpeta compartida)\ %USERNAME%(que es una variable del sistema).

¿Qué permisos de PCC tiene el usuario sobre su carpeta personal?

¿Qué permisos PNTFS tiene el usuario por defecto?

 

 

 

 

Permisos

-PCCà solo están en las carpetas. Efectivo desde carpeta hacia abajo (todo su contenido). Solo afectan a los usuarios remotos.

-PNTFSà estaban en todos los archivos y carpetas. Este tipo de permisos afectan tanto a los usuarios locales como a los remotos.

 

-PCC:

    a. Control total.

    b. Cambio.

    c. Leer.

Cada una de estas opciones tiene dos casillas, denegar y permitir. Donde denegar tiene prioridad sobre permitir.

Se pueden tener permisos distintos sobre una misma carpeta, ya que para asignar permisos puedo utilizar al usuario y cualquier grupo que sea miembro el usuario. Lo normal es que tenga permisos distintos por pertenecer a distintos grupos, en el cual el permiso que más peso tiene será el más permisivo, en caso que sean permitir, si un usuario tiene permisos denegar y permitir, será el más restrictivo. Siempre es el más permisivo siempre y cuando no haya un denegar. Llamado permiso efectivo de carpeta compartida, no es el final (ya que es el que realidad se usa).

 

Usuarios remotos PCC+PNTFS

La única forma que tiene de acceder a una carpeta de un servidor es teniendo permisos PCC (se deben compartir carpetas). Además tienen permisos NTFS ya que es probable que el disco esté formateado en NTFS.

PNTFSàdistintos permisos el más permisivo.

                     Los dos combinados el más restrictivo.            

PCCà distintos permisos el mas permisivo.

Por defecto los permisos PNTFS es para todos CT. Cuando haya carpetas con los dos tipos de permisos, el mas restrictivo.

 

 

 

Limitaciones de los Permisos Carpeta Compartida.

1. Afecta a todo el contenido de la carpeta. Si quieres compartir una carpeta y no deseas que alguien vea algo de ella.
   
2. Se han de compartir pocas carpetas. Como regla general mientras menos carpetas compartidas mejor.
   

PNTFSà destinada más a la seguridad.

PCCà destinada al acceso de carpetas.

A ningún usuario se le puede poner CT, como mucho cambio.

El administrador tiene la opción toma de posesión, donde se da permisos sobre la carpeta, una a una.