25 Nov

Gestión de Grupos en Directorio Activo

Los grupos son objetos del Directorio Activo (DA) que facilitan la asignación de permisos sobre los recursos del sistema a los usuarios.

Tipos de Grupos y Ámbitos

Tipos de Grupo

  • Grupos de seguridad: Son los más utilizados, ya que se usan para asignar permisos de acceso a los recursos.
  • Grupos de distribución: Sirven principalmente para crear listas de distribución de correo electrónico. También pueden usarse para agrupar equipos para tareas como la instalación remota de software.

Ámbitos de Grupo

  • Grupos de ámbito global
  • Grupos de ámbito universal
  • Grupos de ámbito local de dominio

Creación de Grupos

Para crear un grupo en la herramienta «Usuarios y equipos de Directorio Activo»:

  1. Navegue hasta el contenedor «Users» o la Unidad Organizativa (UO) deseada.
  2. Haga clic con el botón derecho en el panel derecho y seleccione Nuevo > Grupo.
  3. Complete la información requerida:
    • Nombre del grupo: Introduzca un nombre único.
    • Ámbito del grupo: Seleccione Local, Global o Universal.
    • Tipo de grupo: Elija entre Seguridad o Distribución.

Eliminación de Grupos

Para eliminar un grupo, selecciónelo en su UO, haga clic con el botón derecho y elija «Eliminar».

Importante: La eliminación del grupo no elimina a sus usuarios miembros ni otros objetos que contenga. Únicamente se eliminan los permisos que el grupo tenía asignados sobre los recursos.

Incorporación de Usuarios a un Grupo

Seleccione uno o varios usuarios desde el contenedor «Users» o desde una UO, haga clic derecho y seleccione «Agregar a un grupo». A continuación, busque y seleccione el grupo de destino.

Gestión de Usuarios en Directorio Activo

Creación de Cuentas de Usuario

Para añadir nuevos usuarios al sistema en Windows Server a través de la herramienta «Usuarios y equipos de Directorio Activo», siga estos pasos:

  1. Sitúese en la Unidad Organizativa (UO) deseada.
  2. Haga clic derecho y seleccione Nuevo > Usuario.
  3. Rellene los campos del asistente:
    • Nombre e iniciales.
    • Apellidos.
    • Nombre completo: Generalmente, se rellena de forma automática.
    • Nombre de inicio de sesión de usuario: Es el login que se usará para iniciar sesión en el dominio.
    • Contraseña: Defina una contraseña inicial y configure sus opciones, como por ejemplo: «El usuario debe cambiar la contraseña en el siguiente inicio de sesión». El administrador gestiona estas políticas.

Administración de las Propiedades de Usuario

Dentro de una UO, puede seleccionar una cuenta de usuario, hacer clic con el botón derecho y pulsar en «Propiedades» para acceder a múltiples pestañas de configuración:

  • General: Información básica como nombre, dirección de correo electrónico, teléfono, etc.
  • Dirección: Dirección postal del usuario.
  • Cuenta: Opciones de inicio de sesión, horas permitidas, equipos permitidos, políticas de contraseña, etc.
  • Perfil: Ruta al perfil de usuario y script de inicio de sesión.
  • Teléfonos: Números de contacto adicionales.
  • Organización: Cargo, departamento y responsable del usuario.
  • Control remoto: Configuración para sesiones de asistencia remota.
  • Miembro de: Lista de grupos a los que pertenece el usuario.
  • Marcado: Permisos de acceso a la red a través de módem o VPN.
  • Entorno: Configuración específica para los Servicios de Escritorio Remoto (antes Terminal Server).
  • Sesiones: Límites de tiempo para las sesiones de Escritorio Remoto.

Desde las propiedades del usuario, se puede asignar a cada uno un turno (mediante las horas de inicio de sesión) y especificar en qué equipos puede iniciar sesión.

Operaciones Comunes sobre Cuentas de Usuario

Al hacer clic derecho sobre una cuenta de usuario, se pueden realizar diversas operaciones:

  • Cambiar contraseña.
  • Configurar opciones de contraseña.
  • Configurar las opciones de estación de trabajo (equipos permitidos).
  • Configurar horas de inicio de sesión.
  • Conceder permisos de marcado (acceso remoto).
  • Copiar: Crea un nuevo usuario a partir de uno existente (útil para plantillas).
  • Agregar a un grupo.
  • Deshabilitar y habilitar cuenta.
  • Mover: Cambiar el usuario de una UO a otra.
  • Abrir la página principal (si está definida).
  • Enviar correo electrónico.
  • Cortar (para mover a otra UO).
  • Eliminar.
  • Cambiar el nombre: Modifica el nombre para mostrar, no el nombre de inicio de sesión (login).
  • Acceder a Propiedades y Ayuda.

Creación de Plantillas de Usuario

Una técnica eficiente para crear usuarios con propiedades comunes es usar plantillas:

  1. Cree una cuenta de usuario normal, pero con un nombre identificativo como «plantilla_tipo_usuario» (por ejemplo, «plantilla_ventas»).
  2. Configure todas las propiedades comunes en esta cuenta (pertenencia a grupos, scripts de inicio de sesión, etc.) y deshabilítela por seguridad.
  3. Para crear un nuevo usuario, haga clic derecho sobre la cuenta plantilla y seleccione «Copiar».
  4. Solo necesitará rellenar los datos únicos del nuevo usuario, como nombre, apellidos, nombre de inicio de sesión (login) y contraseña.

Configuración de Red y Dominios

Verificación del Servicio DNS

El servicio DNS (Sistema de Nombres de Dominio) es crucial para la comunicación en un Directorio Activo. Para verificar su correcto funcionamiento:

  • Requisito fundamental: Cuando se une un equipo al dominio, este debe tener configurado como servidor DNS principal la dirección IP del controlador de dominio.
  • Prueba de resolución: Desde un equipo cliente, se puede realizar una consulta a los servidores DNS (por ejemplo, usando ping al nombre del dominio o del controlador).
  • Diagnóstico de errores:
    • Si una consulta por nombre falla, intente hacer un ping a la dirección IP del controlador de dominio para verificar la conectividad de red.
    • Si el ping a la IP funciona pero no al nombre, el problema reside en la configuración o funcionamiento del DNS.
    • Compruebe el nombre del equipo, el nombre del dominio, la configuración IP y que los servicios de red estén habilitados.
  • Una vez que la resolución de nombres funciona correctamente, los servicios DNS están configurados para permitir la comunicación dentro del dominio.

Relaciones de Confianza

Una relación de confianza es una conexión establecida entre dos dominios que permite a los usuarios de un dominio ser autenticados y reconocidos por los controladores de dominio del otro. Esto facilita la comunicación entre dominios y permite administrar usuarios y recursos de toda la red desde un único punto.

Tipos de Relaciones de Confianza

Windows Server clasifica las relaciones de confianza según varios criterios:

  • Método de creación:
    • Automática (implícita): Creadas por defecto, por ejemplo, entre dominios de un mismo bosque.
    • Manual (explícita): Creadas manualmente por un administrador para conectar dominios de diferentes bosques.
  • Dirección:
    • Unidireccionales: El acceso fluye en una sola dirección (el dominio A confía en el B, pero B no confía en A).
    • Bidireccionales: El acceso fluye en ambas direcciones (ambos dominios confían mutuamente).
  • Transitividad:
    • Transitiva: Si el dominio A confía en el B, y el B confía en el C, entonces el A confía en el C.
    • No transitiva: La confianza se limita estrictamente a los dos dominios implicados.

Entre dos o más dominios pueden existir diferentes combinaciones de estas características, dando lugar a relaciones sin confianza, unidireccionales o bidireccionales.

Etiquetas: , , , , , , ,

Deja un comentario