Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

18-Dominios Windows Server 18/31 (gestión grupos 1) - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 12 de enero de 2023 por Fernando Jesús H.

43 visualizaciones

Más información Transcripción

Descargar la transcripción

Como os dije, vamos a empezar con la gestión de grupos. Sé que esto es teoría, pero necesito darla. Voy a intentar ir lo más rápido posible. No hace falta decir nada que los grupos para que yo pueda hacer la gestión de los permisos de los usuarios y agrupar y no tener que estar ir yendo por usuario a usuario poniendo los permisos. 00:00:00
¿de acuerdo? entonces aquí simplemente 00:00:22
tenéis la teoría, ¿vale? para que veáis 00:00:26
pongo el CIAM, mes de conjunto de objetos 00:00:29
que pueden administrarse como un todo, ¿de acuerdo? donde yo voy a 00:00:33
meter usuarios, otros grupos, voy a meter equipos 00:00:36
y sobre ese grupo vamos a asignar los permisos 00:00:40
¿por qué son útiles los permisos? 00:00:42
obviamente simplifican enormemente la administración 00:00:45
¿de acuerdo? me van a permitir 00:00:49
una gestión para cuando yo haga una delegación. 00:00:51
Ya veremos ahora en los siguientes vídeos 00:00:55
cómo podemos delegar la administración a ciertos usuarios. 00:00:57
Entonces, el coger la delegación, si lo tengo que poner a 10 o 15 usuarios, 00:01:02
es un absurdo ir uno por uno. 00:01:07
Entonces, lo ideal es utilizar los grupos. 00:01:09
Y obviamente crear listas de distribución de correo electrónico. 00:01:11
Pero la principal que me permiten administrar de una manera mucho más simplificada 00:01:16
toda la gestión de mis objetos dentro del dominio, y sobre todo permisos y derechos. 00:01:21
Dentro de los grupos vamos a tener dos ámbitos, perdón, se van a distinguir por lo que es su ámbito y su tipo. 00:01:27
¿Qué es el ámbito de un grupo? Pues el ámbito es el alcance dentro de ese dominio o dentro del bosque. 00:01:36
como me dice aquí, en qué partes de la red voy a poder utilizar 00:01:44
va a ser visible ese grupo 00:01:49
y el tipo de objetos que yo voy a poder meter dentro de ese grupo 00:01:52
entonces si yo hago un grupo, dependiendo del tipo o del ámbito de ese grupo 00:01:58
yo voy a poder meter ciertos tipos de usuarios o ciertos tipos de grupos 00:02:04
Cuando se habla de pertenecer a este grupo vamos a poder seleccionar o lo que se llaman los grupos locales o lo que se llaman los grupos globales o lo que se llaman los grupos universales 00:02:09
No sé si visteis que cuando fuimos a crear nuestro primer grupo en el vídeo anterior nos daba estas tres opciones o los grupos locales de dominio o globales o universales 00:02:23
esto es lo que me va a determinar el ámbito y el tipo de objetos de elementos que nosotros vamos a 00:02:32
poder meter dentro de ese grupo de acuerdo sí y luego cuando se refiere al tipo de grupo vamos 00:02:38
a tener dos tipos de grupos el que son de seguridad y el que son de distribución de 00:02:45
distribución el que más nosotros vamos a utilizar el único que vamos a utilizar en este curso son 00:02:50
los de seguridad que son los que me va a permitir que nosotros otorguemos permisos vale a ciertos 00:02:56
a ciertos recursos o derechos pero que sepáis que también tenemos otro tipo de grupos que son 00:03:03
los grupos de distribución vale utilizados principalmente para correo electrónico 00:03:08
vale aquí os vuelvo a decir los dos tipos de grupos que nosotros tenemos vuelvo a comentar 00:03:15
vale dentro de lo que es nuestro dominio dentro de active director y tenemos los grupos de 00:03:21
distribución utilizado principalmente con microsoft en change para crear lista de 00:03:27
distribución de correos o para también hacer una gestión una distribución de software entre los 00:03:33
equipos pero fijaros que me dicen que importante no disponen de características de seguridad por 00:03:42
lo que yo no puedo utilizar para gestionar los permisos por eso siempre que queráis hacer un 00:03:50
grupo para decirle que un usuario puede acceder a un recurso a un objeto o qué es lo que puede 00:03:57
y qué es lo que no puede hacer vamos a utilizar los grupos de seguridad que como bien dice aquí 00:04:04
permite asignar permisos a la cuenta de usuarios de equipo vale otros recursos vale otros grupos 00:04:09
entonces repito, el que nosotros vamos a ver aquí es el de seguridad 00:04:16
porque al grupo de seguridad es al que le puedo poner 00:04:21
qué es lo que puede hacer, qué es lo que no puede hacer 00:04:25
con los diferentes recursos que hay dentro de mi dominio 00:04:28
y fijaros que de nuevo, repito 00:04:31
me van a permitir asignar los derechos y los permisos de usuarios 00:04:34
y el de distribución se puede utilizar con aplicaciones de correo electrónicos 00:04:39
Y no se utiliza para asignar permisos. Dos tipos de grupos. ¿De acuerdo? 00:04:46
Cuando hablamos de los grupos de seguridad, ¿qué es lo que podemos hacer? 00:04:54
Pues obviamente vamos a poder asignar derechos de usuarios a los grupos de seguridad. 00:05:00
¿Sí? ¿Y qué es esto de un derecho? No es lo mismo un derecho que un permiso. 00:05:06
Ahora lo muestro en la siguiente transparencia. Digamos que para que veáis el SIMI, lo que es un derecho y un permiso es imaginaros que hay un grupo y en ese grupo yo le asigno el derecho de dar clases. 00:05:11
Entonces, el derecho de dar clase lleva aparejado una funcionalidad 00:05:30
Quiere decir que yo voy a poder abrir y cerrar las clases 00:05:39
Yo voy a tener derecho a utilizar el ordenador del profesor 00:05:44
Es decir, lleva un conjunto de permisos asociados para tener una funcionalidad dentro del sistema 00:05:49
En cambio, un permiso es simplemente que yo le doy un control, le doy un permiso a un recurso en concreto, diciendo, oye, puedes acceder a esta carpeta, puedes imprimir aquí, puedes modificar este fichero, puedes... 00:05:56
Entonces, no es lo mismo cuando se habla de derecho que cuando se habla de permiso 00:06:13
No sé si esto os queda más o menos claro 00:06:18
Porque hay veces que pensáis que cuando decimos derechos y permisos estamos hablando de lo mismo 00:06:22
Entonces, fijaros que por aquí me dicen que los derechos de usuario se asignan automáticamente 00:06:27
A varios grupos de seguridad durante la instalación de Active Directory 00:06:34
Para facilitar a los administradores la definición de la función administrativa del usuario dentro del dominio 00:06:38
Y aquí os pone un ejemplo 00:06:46
Me dice, oye, por ejemplo, hay uno que son operadores de copia de seguridad 00:06:47
Ahora os mostraré, que no lo voy a pedir, pero os voy a mostrar una transparencia 00:06:52
Donde tenemos cuáles son los grupos predefinidos que se crean 00:06:57
Tanto al instalar el servidor como al instalar Active Directory 00:07:00
De forma que cuando yo coja un usuario y lo meta dentro de ese grupo, le estoy asignando un derecho, ¿vale? Como por ejemplo, va a tener derecho de administrar las copias de seguridad. 00:07:04
Entonces, ¿qué lleva aparejado el que pueda hacer copias de seguridad? 00:07:19
El que pongo aquí de operadores de copia 00:07:25
Quiere decir que va a poder coger todo lo que hay, por ejemplo, dentro de una carpeta 00:07:27
Y hacer una copia de seguridad 00:07:32
Aun cuando ese usuario no sea el propietario de esa copia de seguridad 00:07:33
¿Vale? 00:07:37
En cambio, si yo le digo permisos 00:07:39
El permiso sobre una carpeta 00:07:41
Es decir, oye, puedes acceder a esa carpeta 00:07:43
Puedes leer, puedes escribir 00:07:45
Puedes, lo que he dicho antes 00:07:47
se imprimirá en esta impresora puedes gestionar los trabajos de impresión 00:07:49
digamos que los derechos algo bastante más global de acuerdo 00:07:54
entonces si nos vamos aquí vale que aquí es donde os pongo para que entendamos 00:07:59
más o menos si yo empiezo por los permisos me dice oye un permiso no es un 00:08:05
derecho los permisos se asignan a un grupo de seguridad en el recurso 00:08:10
compartido vale el recurso compartido objeto dentro de mi dominio sí y que 00:08:15
determina que el usuario puede tener acceso al recurso vale y el nivel de 00:08:20
acceso como control total lo que vimos ya cuando vimos windows 10 pero en 00:08:25
cambio cuando hablamos de derecho de acuerdo estamos hablando de qué acciones 00:08:29
puede llevar a cabo los miembros de ese grupo oa nivel de dominio oa nivel de 00:08:35
bosque vale el ejemplo que he puesto pues dar clase hacer copias de seguridad gestionar el 00:08:41
rendimiento del sistema sí entonces de nuevo hay ciertos derechos que se asignan de forma 00:08:47
automática a varios grupos vale o delante durante la instalación de el windows server o sobre todo 00:08:53
la instalación de el active directory cuando nosotros hemos creado nuestro dominio de acuerdo 00:09:01
Repito, luego os mostraré a modo de ejemplo varios grupos, pero no lo voy a preguntar, ¿vale? Porque tenéis en este caso, no sé si son unos 60-70 grupos por defecto que tenéis dentro de Active Directory. 00:09:04
Entonces, si entendemos qué es la diferencia entre un derecho y un permiso, ahora vamos a ir viendo cada uno de los ámbitos diferentes, cada uno de los grupos que nosotros podemos tener. 00:09:21
Entonces, empiezo por el grupo local de dominio. Entonces, el local de dominio, ¿vale? Me voy por aquí, me dice, pueden incluir otros grupos y cuentas del dominio, ¿sí? 00:09:33
E importante, a los miembros de estos grupos solo se les puede asignar permisos dentro de un dominio del que esté. Esta es la línea que me interesa aquí. 00:09:47
Entonces, todo lo que yo meta dentro de este grupo, este grupo solamente va a ser visible dentro de mi dominio, ¿sí? 00:10:03
¿Y qué es lo que puedo meter dentro de este grupo? 00:10:13
Pues puedo meter cuentas de cualquier dominio. 00:10:17
Es decir, si yo tengo un subdominio o el dominio con relaciones de confianza, yo puedo meter cuentas de cualquier dominio de mi bosque. 00:10:21
Puedo meter grupos globales, que yo no he explicado que es un grupo global, lo vamos a ver, de cualquier dominio 00:10:29
Puedo meter grupos universales de cualquier dominio, ¿sí? 00:10:36
Y me dice, y también puedo meter grupos locales de dominio, pero con una condición 00:10:41
Es decir, yo no puedo meter grupos locales de otro dominio 00:10:47
Solamente, en este caso, del mismo dominio que el grupo que estoy, en este caso, haciendo 00:10:50
y cuando se refiere a una combinación de las anteriores es que yo puedo mezclar 00:10:59
puedo meter uno global, uno universal, es decir, que yo puedo hacer un popurrí de lo que me dé la gana 00:11:03
es decir, yo puedo meter cualquier grupo dentro 00:11:09
pero con la salvedad de que si es uno local 00:11:12
tiene que ser del mismo dominio en el que está 00:11:14
es decir, tengo restricciones de qué es lo que puedo meter dentro de este grupo 00:11:17
pero por favor recordad, a los miembros de este grupo 00:11:23
lo pongo aquí en magenta, no en magenta no, solo se les puede asignar permisos dentro del dominio donde estén definidos. 00:11:27
Si vamos a este 4 resumen, fijaros que aquí pongo el CIAM, me dice, oye, miembros, es decir, ¿qué es lo que podemos meter dentro de esos grupos? 00:11:41
Pues lo mismo que antes, ¿vale? Esto es un resumen. Podemos meter cuentas de usuario, ¿vale? A Fernando, podemos meter a Fernando, podemos meter cuentas de equipo, podemos meter el PC Windows 10, podemos meter grupos globales y universales de cualquier dominio del bosque, ¿sí? 00:11:55
Y podemos meter grupos locales del mismo dominio, es decir, lo que hemos dicho antes. Y ahora, ¿este grupo dónde puede estar metido? Es decir, ¿este grupo puede formar parte de otro grupo? ¿De qué grupo puede formar parte? Pues me dice que grupos locales del mismo dominio, ¿vale? Fijaros que esto me está diciendo esto de aquí. Están en concordancia con esto de aquí, obviamente, ¿de acuerdo? Este y este de aquí, ¿sí? 00:12:15
Y ahora me dicen, oye, ¿cuál es el ámbito? ¿Dónde es visible este grupo? Pues me dice que es solo visible en su propio dominio. De forma que el dominio al que pertenece el grupo local es aquel al que solamente va a poder asignar esos permisos. 00:12:45
Fuera de aquí, él no existe 00:13:03
No es que no exista, perdón 00:13:06
No puedo establecer los permisos 00:13:08
¿De acuerdo? 00:13:10
Nos vamos al grupo global 00:13:11
Y me dice, oye, el grupo global 00:13:14
¿Vale? 00:13:16
Que es el que estamos, el siguiente que podemos tener 00:13:17
Me dice 00:13:20
Solo puede incluir otros grupos 00:13:23
Y cuentas que pertenezcan 00:13:26
Al dominio en el que está definido 00:13:28
ahora vamos a entenderlo en este caso con un ejemplo para que lo veáis 00:13:30
este es el grupo que más se suele utilizar 00:13:35
entonces, y me dice 00:13:38
sin embargo, no se replican fuera de su propio dominio 00:13:41
¿qué quiere decir esto de que se nos replican? 00:13:46
yo ya os dije que cuando tenemos controladores de dominio 00:13:48
cuando yo hago ciertas modificaciones 00:13:51
o yo cambio los permisos, yo cambio los derechos 00:13:53
creo un objeto, hago modificaciones 00:13:57
esa información se me replica en todos los controles de dominio vale entonces si hay 00:13:58
cierta información que se replica y otra que no se replica si se replicase todo estaría saturando 00:14:05
todo lo que es el tráfico de la red en cambio aquí me están diciendo que lo que yo haga en 00:14:11
estos grupos no se merece no se me replica fuera de su propio dominio es decir si yo tengo el 00:14:17
dominio jesús o yo tengo el dominio jose los cambios que yo haga en este grupo no se me 00:14:23
replican ahí entonces de forma que yo no estoy saturando el tráfico de la red 00:14:28
vale entonces es una consideración a tener en cuenta sin fijaros que me 00:14:32
dicen que cuando se habla de grupos globales me dice que son perfectos para 00:14:38
contener objetos que se modifiquen con frecuencia debido a que no se replican 00:14:44
fuera del dominio con lo que no generan tráfico en la actualización del 00:14:50
catálogo global de acuerdo entonces estos son junto con los de local de 00:14:54
dominio los que más se suelen utilizar si de nuevo me dicen oye los miembros 00:15:00
de los grupos globales que suelen incluir me dicen cuentas del mismo 00:15:07
dominio que el grupo local primario y los grupos locales del mismo dominio que 00:15:12
grupo global primaria y importante lo pongo en green a los miembros de estos 00:15:18
grupos se le puede asignar permisos en cualquier dominio del bosque que quiere 00:15:30
decir esto que si yo hago un grupo que sea por ejemplo jefe de proyecto pues yo 00:15:39
este grupo jefe de proyecto le puedo asignar permisos dentro de en este caso 00:15:45
el dominio jose punto local porque le voy a poder asignar permisos en 00:15:50
cualquier dominio del bosque sí y fijaros que aquí me dicen un consejo 00:15:56
que me dicen que utilicemos grupos globales o universales en lugar de 00:16:05
locales del dominio porque los locales dominio tienen replicación en el catálogo global de 00:16:10
acuerdo el ámbito global ahora vamos a entender con un ejemplo para que veáis la diferencia entre 00:16:16
uno global y uno universal de nuevo aquí tenemos de los grupos globales que podemos meter y me 00:16:23
dicen pues cuentas de usuario es decir usuarios fernando cuentas de equipo pc windows 10 y me 00:16:32
dice grupos globales del mismo dominio grupos globales del mismo dominio 00:16:37
yo no puedo meter aquí grupos globales de otros dominios y ahora este grupo un 00:16:46
grupo global donde lo puedo meter lo puedo meter en otro grupo y me dice si 00:16:52
puede ser miembro de que pues puede ser miembro de un grupo universal puede ser 00:16:56
miembro de un grupo local de dominio en todos los grupos de dominio y globales 00:17:01
del mismo dominio, ¿sí? Es decir, puede ser miembro de otro global, pero tiene que ser 00:17:07
el mismo dominio. Puede ser miembro de un grupo local de dominio, ¿vale? En cualquier 00:17:14
grupo del dominio. O puede ser miembro de un grupo universal. Y ahora, ¿dónde es visible? 00:17:19
Pues en todos los dominios del bosque y dominios de confianza. ¿Dónde voy a poder establecer 00:17:26
permisos de este grupo 00:17:32
en todos los dominios del bosque y dominios 00:17:34
de confianza 00:17:36
entonces este es el 00:17:38
por decirlo de alguna manera es el que 00:17:40
uno de los que más juego me dan y me queda 00:17:42
el último y el último 00:17:44
es el universal 00:17:46
¿sí? 00:17:48
y me dice que sus miembros 00:17:50
¿vale? se pueden 00:17:53
ser o cuentas o grupos 00:17:54
de cualquier dominio del bosque 00:17:56
¿sí? 00:17:58
Me dice, ¿qué miembros puede tener? Esto me lo voy a saltar porque lo vemos en la transparencia en el resumen, pero ahora vamos a ver lo mismo en el resumen, qué miembros puede tener y de qué puede formar parte, ¿sí? 00:18:00
Pero fijaros que esto sí que me interesa. Me dice, ¿para qué se suelen utilizar? Me dice, para consolidar los grupos que alberguen varios dominios. 00:18:14
Imaginaros que yo tengo tres dominios 00:18:24
Fernando.local, Jesús.local, José.local, Ana.local y Esther.local 00:18:26
¿Qué es lo que hago si yo tengo que asignar un permiso? 00:18:34
Pues yo lo que hago en cada uno de esos dominios es crear un grupo global 00:18:37
Y ahora, para unificar todos esos, me creo un grupo universal 00:18:40
Y dentro de ese grupo universal meto a los grupos locales, perdón, a los grupos globales de cada uno de los dominios, ¿sí? Entonces fijaros que me lo están diciendo aquí, me dice, ¿qué es lo que podemos hacer? Me dice, agrega las cuentas a los grupos con ámbito global y anide estos grupos, ¿vale? Anidar es uno dentro de otro, los grupos dentro de los grupos que tengan ámbito universal, ¿vale? 00:18:45
Me dice, si hace esto, que es para consolidar los grupos, los cambios de pertenencia a estos grupos de ámbito global no afectarán a los grupos de ámbito universal. 00:19:12
¿Por qué? Porque ya hemos visto antes que los grupos locables no tienen en este caso, os lo recuerdo aquí atrás, a ver si se me va para atrás, os recuerdo que aquí me dicen que no generan tráfico porque no se replican fuera del propio dominio. 00:19:26
¿De acuerdo? Entonces, esto es lo que me están diciendo por aquí. Que me dice que la pertenencia a estos grupos no afecta al global, porque por eso lo tenemos en un grupo. 00:19:50
obviamente me está diciendo que no cambie 00:20:04
la pertenencia a un grupo con ámbito universal frecuentemente 00:20:08
porque los cambios de pertenencia a este tipo de grupo 00:20:12
hace que se replique toda la pertenencia del grupo 00:20:15
a cada catálogo global del bosque 00:20:18
entonces el que no hace replicación 00:20:22
son los grupos globales 00:20:26
resumen del universal 00:20:29
Pues nosotros tenemos, ¿qué podemos meter dentro de estos miembros? 00:20:31
Podemos meter a cuentas de usuario, podemos meter al usuario Fernando, puedo meter cuentas de equipo, puedo meter al equipo PC Windows 10, 00:20:35
puedo meter grupos globales y otros grupos universales de cualquier dominio del bosque, ¿sí? 00:20:44
Y ahora, ¿este de qué puede formar parte? Pues puede formar parte de un grupo local de dominio y universales de cualquier dominio. ¿Y dónde es visible? Pues en todos los dominios del bosque. ¿Y dónde voy a poder poner los permisos? En todos los dominios del bosque. 00:20:53
Ahora, para que entendáis una analogía, que esto me lo dijo un compañero mío, ¿vale? Esto me lo enseñó para que lo entendáis, que yo creo que así lo podéis entender mejor. Me lo enseñó José. 00:21:12
Fijaros que a mí me dicen aquí el ejemplo para que entendáis lo que es un grupo local y de lo que es un grupo global 00:21:26
Imaginaros que vamos a empezar por el grupo local de dominio 00:21:34
Pues te dicen que imaginaros que nosotros estamos hablando de un equipo de fútbol de la liga española 00:21:38
Os pongo aquí el ejemplo de Málaga 00:21:44
¿Sí? El equipo de Málaga tiene jugadores españoles del propio dominio y tiene jugadores extranjeros de otros dominios. ¿Sí? En cualquier equipo español me juego el culo a que el 100% no son todos españoles, sino que hay jugadores de otros países, de otros dominios. 00:21:46
Pero resulta que el Málaga solo puede jugar ¿dónde? Solo puede jugar en España. Solo puede jugar dentro de su dominio. Pues esto estaríamos hablando de un grupo local de dominio. ¿Qué es lo que puedo meter dentro de este grupo local de dominio? 00:22:09
Puedo meter a jugadores de otros países, pero ¿dónde solamente puedo jugar? ¿Dónde solamente puedo aplicar el permiso? Dentro de mi propio dominio, ¿vale? Yo creo que esta analogía se entiende, la verdad es que muy bien. 00:22:29
Me voy ahora a la selección española. En la selección española, lo voy a poner en verde, me voy a la selección española. En la selección española solo hay jugadores españoles, ¿vale? Solo jugadores españoles, ¿sí? Solo de dominio. 00:22:44
Solamente hay jugadores de mi dominio, ¿sí? Pero resulta que pueden jugar fuera de España. Es decir, este grupo global puede aparecer en otro dominio, en francia.es, en estadosunidos.com, es decir, contiene elementos de mi dominio, pero para que sean visibles y puedan tener permisos fuera de mi dominio. 00:23:04
Y aquí tenemos el ejemplo de lo que es un grupo global, ¿sí? 00:23:31
Y aquí os vuelvo a poner, porque esto está copiado de la transparencia anterior, 00:23:37
que los grupos universales lo que se hacen es para consolidar grupos que abarcan varios dominios, ¿vale? 00:23:42
Se meten todos en un grupo global y esos grupos globales se meten dentro del ámbito de un grupo universal. 00:23:51
Y yo aplico el premiso sobre ese grupo universal que va a ser visible y el ámbito va a ser dentro de todos los dominios de mi bosque. 00:23:56
¿De acuerdo? 00:24:06
¿Podemos cambiar una vez que tenemos un grupo de un ámbito a otro? 00:24:13
Sí, pero sabiendo las reglas que hemos visto antes. 00:24:18
Entonces, esto simplemente... 00:24:22
¿Yo puedo cambiar de uno global a uno universal? 00:24:24
Pues sí lo puedo cambiar, pero sabiendo que me dice solamente se permite si el grupo que desea cambiar no es miembro de ningún otro grupo global. Me explico. Si yo tengo un grupo global y lo paso universal, pero al pasarlo universal incumple alguna de las reglas de ese universal, no voy a poder. 00:24:27
Entonces me está diciendo que si no es miembro de ningún otro grupo de ámbito global 00:24:50
Es decir, que si yo dentro del global tengo a su vez otro global 00:24:57
No sé si recordáis, me voy para atrás 00:25:01
Fijaros que me dicen aquí que los miembros de un grupo global 00:25:04
Puede ser una cuenta, un equipo o grupos globales o otros grupos universales de cualquier dominio. 00:25:17
¿Y a qué puede pertenecer? A uno local o uno universal de cualquier dominio. 00:25:26
Entonces, si yo cuando pase a este incumplo esta regla, pues obviamente no voy a poder hacer. 00:25:32
Lo mismo me pasa de uno dominio local a universal. 00:25:37
Entonces, si en esta conversión el grupo que deseo cambiar, es decir, al universal, no tiene ningún otro grupo local de dominio como miembro, sí que voy a poder hacerlo y si no, no voy a poder hacerlo. 00:25:41
Lo mismo de universal a global. Si yo paso de universal a global, me dice, esta conversión solo se permite si el grupo que desea cambiar no tiene ningún otro grupo universal como miembro. 00:25:54
¿Qué quiere decir esto? Si yo me voy al grupo global, me voy atrás para ver qué podíamos tener del grupo global, me dice, oye, el grupo global, ¿qué es lo que puede tener? Me dice, puede tener una cuenta, una cuenta de equipo y grupos globales del mismo dominio. 00:26:12
Grupos globales del mismo dominio. ¿Puede haber en este caso un grupo universal? Supuestamente a mí me dicen que no. 00:26:34
Entonces, si yo me voy a este de aquí, me está diciendo que si no tiene ningún otro grupo universal, porque si hay un grupo universal, este estaría incumpliendo. 00:26:44
Entonces no puede haber dentro de un global un universal, entonces no me dejaría, ¿sí? 00:26:59
En cambio, de universal a local de dominio, aquí no tenemos ningún tipo de descripción, ¿de acuerdo? 00:27:05
Esto os lo va a decir, si vais a intentar modificar y pasa esto, que ya dentro de un grupo tenéis varias cosas, 00:27:10
si lo incumple te va a decir, no puedo convertir este grupo de local a universal, 00:27:18
no puedo convertir este grupo de global a universal, ¿vale? 00:27:23
y te lo dice te dicen porque incumple no te dice exactamente que incumple pero te dice que incumple 00:27:27
de acuerdo vale seguimos por aquí que se me está yendo esto pero bueno que son los grupos locales 00:27:32
lo que visteis en windows 10 son grupos que están fuera del dominio esto lo que me está diciendo 00:27:40
aquí de acuerdo que lo que puedo meter pues cuentas de usuarios locales cuentas de cuentas 00:27:46
de dominio y grupos de dominio pero son cuentas locales en este caso por ejemplo el windows 10 00:27:51
Aquí tenemos ejemplos de lo que podemos tener. Pongo este. Vale, que nosotros tenemos usuarios. Estos usuarios nosotros los vamos a poder meter en un grupo global. 00:27:57
Tenemos un grupo que se llama Administradores de Denver y Administradores de Vancouver y estos lo vamos a meter a su vez, que eso se llama anidar, en este caso los grupos, dentro del grupo colaboradores. 00:28:14
entonces qué es lo que tenemos nosotros aquí pues nosotros vamos a tener dentro de colaboradores un 00:28:32
grupo global y vamos a tener otro grupo global que son justamente este de aquí y que son justamente 00:28:38
este de aquí y a su vez que contiene este grupo global pues va a contener a los usuarios pues 00:28:46
tom joe y jim y dentro de los administradores de denver que es lo que va a contener pues va 00:28:55
a contener a los usuarios san scott y emmy de acuerdo simplemente ejemplos vamos con más ya 00:29:02
hemos visto que quiere decir anidamiento de un grupo un grupo dentro de otro yo puedo ir anidando 00:29:10
anidando todo lo que me dé la gana de acuerdo y aquí tenemos las estrategias que se suelen seguir 00:29:14
vale en cuanto al anidamiento de los grupos por ejemplo nosotros tenemos una cuenta de usuario 00:29:20
que la vamos a representar por una a poner en rojo que tenemos por una si de account tenemos 00:29:31
los grupos globales que lo vamos a representar por una g tenemos los grupos universales que lo 00:29:39
vamos a representar por una u y tenemos los grupos locales de dominio vale local domain que lo vamos 00:29:45
a representar por una tele sí y luego tenemos que es lo que se suele aplicar a todos los permisos 00:29:53
y un grupo local vale se va a representar con una l cuál serían las estrategias fijaros que tengo 00:30:01
una que se llama AGP. ¿Qué quiere decir AGP? Que tengo una cuenta de usuario que lo voy a meter 00:30:08
dentro de un grupo global y este grupo global lo voy a meter, le voy a asignar un permiso. Si yo 00:30:16
cojo el siguiente, tengo en este caso la A, que es una cuenta, la voy a meter dentro de un grupo 00:30:23
de dominio local y le voy a aplicar unos permisos. Que cojo la siguiente. Tengo cuentas. Las voy a meter dentro de un grupo global. Este grupo lo voy a meter a su vez 00:30:32
dentro de un grupo local de dominio y le vamos a aplicar los permisos correspondientes dentro de ese dominio. ¿Sí? Lo mismo aquí. Tenemos una cuentas. 00:30:45
Lo vamos a meter dentro de grupos globales. Lo metemos dentro de grupos universales. Y estos grupos universales los vamos a meter dentro de una cuenta local de dominio. Y le vamos a aplicar los permisos correspondientes. 00:30:57
y el último, tenemos las cuentas 00:31:10
lo meto dentro de un grupo global 00:31:14
lo meto dentro de un grupo local 00:31:16
de un equipo cliente, como puede ser 00:31:19
y le aplicamos unos permisos 00:31:21
diferentes estrategias que nosotros podemos seguir 00:31:22
a la hora de anidamiento de grupos 00:31:26
y asignación de permisos 00:31:28
¿de acuerdo? 00:31:30
entonces vamos a ver aquí 00:31:32
vamos a ver aquí ejemplos 00:31:33
el AGP, tenemos la cuenta de usuarios 00:31:36
La A, lo metemos dentro de un grupo global y le asignamos los permisos. Primera estrategia. Segunda, tenemos una cuenta de usuario, la metemos dentro de un grupo local de dominio, que solamente va a ser visible dentro de ese dominio y le aplicamos los permisos. 00:31:39
Siguiente, ¿vale? El AGDLP, tenemos una cuenta de usuario, la metemos dentro de un grupo global 00:31:58
Este grupo global lo metemos dentro de un grupo local de dominio y le aplicamos los permisos correspondientes, ¿vale? 00:32:07
Repito, diferentes estrategias, me voy a la siguiente 00:32:15
Tenemos las cuentas de usuario, la metemos dentro de un grupo global 00:32:18
este grupo local global lo metemos dentro de un grupo universal de acuerdo para consolidar en 00:32:23
este caso varios dominios lo metemos dentro de este lo metemos dentro de un grupo local de 00:32:30
dominio y le asignamos los permisos sí y yo puedo seguir cogiendo más cuentas de usuario las meto 00:32:37
dentro de otro grupo global y ese grupo global que es otro bosque otro dominio diferente lo 00:32:44
meto dentro del grupo universal de forma que si yo cojo imaginaros que este de aquí 00:32:50
en mi dominio fernando yo lo estoy asignando a este grupo que se llama jefes internacionales 00:33:00
porque qué es lo que hay dentro de este grupo qué es lo que hay dentro de este grupo hay un 00:33:09
grupo universal que este grupo universal representa a lo que hay dentro de este dominio y lo que hay 00:33:18
dentro de este dominio entonces estoy asignando a este dominio permisos a gente de otros países 00:33:23
de otros dominios de lo que yo quiera lo puedo configurar lo puedo poner todo lo complicado que 00:33:31
yo quiera de acuerdo y esto utilizando las cuentas locales tenemos las cuentas de usuarios lo 00:33:38
Lo metemos dentro de un grupo global, a su vez dentro de un grupo local, no local dominio, local, y le asignamos los permisos. 00:33:45
¿De acuerdo? 00:33:52
Y aquí de nuevo tenéis el resumen de todo lo que hemos visto. 00:33:53
Las estrategias de asignación de cada uno de los grupos. 00:33:57
¿Sí? 00:34:00
Pues que sepáis que a los grupos también le podemos asignar un administrador, que va a ser el encargado de administrar ese grupo. 00:34:01
entonces va a poder delegar la administración 00:34:11
va a poder agregar o eliminar miembros a ese grupo 00:34:14
entonces nosotros vamos a poder dar una responsabilidad 00:34:16
de un grupo a un grupo, perdón, a otro grupo 00:34:20
a un usuario en concreto, ¿de acuerdo? 00:34:23
entonces que sepáis que nosotros vamos a poder hacer 00:34:25
asignar un administrador a cada uno de los grupos como nos dé la gana 00:34:28
¿sí? vale 00:34:32
aquí tenemos, que es lo que os digo que os voy a mostrar en la transparencia 00:34:34
siguiente aquí tenemos los grupos predeterminados que se van a crear cuando nosotros instalamos el 00:34:38
active directory entonces os voy a mostrar simplemente un par de ellos a modo de ejemplo 00:34:43
porque no quiero que sepáis todos os voy a dejar la transparencia para que lo tengáis porque esa 00:34:48
transparencia están cogidos de la ayuda de microsoft pero fijaros que tenemos un montonazo 00:34:53
de lo muestro aquí tenemos una serie de grupos que veis que me aparecen dos caritas y tenemos 00:34:59
aquí dentro de user o dentro de building o dentro de user que dependiendo de el usuario del grupo 00:35:10
que yo le meta le estoy dando un derecho o no le estoy dando un derecho de acuerdo el que hemos 00:35:18
visto es de copias de seguridad o lo que hemos visto es por ejemplo el de operadores de impresión 00:35:24
o el operadores de cuentas es decir le estoy dando el derecho de que pueda administrar una 00:35:31
sección o una parte o que pueda realizar una serie de acciones dentro de mi servidor de acuerdo que 00:35:38
no es lo mismo repito un derecho que un permiso sí de acuerdo entonces fijaros que me dicen que 00:35:43
los permisos predeterminados me dice que son creados durante la instalación del sistema 00:35:50
operativo o cuando se instala el active director y si y se les asigna automáticamente un conjunto 00:35:55
de derechos vale el ejemplo que hemos puesto antes los operadores de copia van a poder gestionar todo 00:36:01
lo que son las copias de seguridad es decir que van a poder acceder a sitios a los que no tienen 00:36:08
permisos para hacer la copia de seguridad sólo para eso de acuerdo me dice para que se suelen 00:36:12
utilizar pues obviamente controlar el acceso a recursos compartidos y delegar determinada 00:36:18
administración del dominio sí qué pasa cuando yo agrego un usuario a uno de estos grupos pues 00:36:24
obviamente que va a recibir todos los derechos que tenga asignado ese grupo y todos los permisos 00:36:33
vale a los diferentes recursos vale que tenga establecido dentro de ese grupo si le estoy 00:36:38
asignando una serie de responsabilidades de acciones que va a poder realizar dentro del 00:36:45
servidor sí vale que me están diciendo aquí que oye ten cuidado con lo que haces es decir coloca 00:36:50
al usuario dentro de un grupo predeterminado pero sólo cuando sepas a ciencia cierta vale 00:37:01
de que deseas darle todos los derechos y permisos que están asignados a ese grupo me explico 00:37:08
Si a mí me viene un becario y se me ocurre meterlo dentro del grupo administradores de dominio, pues obviamente le voy a dejar que utilice la impresora. Pero es que no solamente la impresora, le estoy permitiendo que haga absolutamente todo. 00:37:15
Entonces, si solamente queréis que haga una cierta cosa, aseguraros de que ese grupo hace esa acción o tiene ese derecho o permiso que vosotros queréis darle, ni más ni menos, ¿vale? 00:37:30
Porque si no buscáis, si no encontráis uno que tiene el permiso o el derecho que vosotros queréis, crear vosotros un grupo y curraros vosotros qué es lo que queréis que haga cuando asignéis ese usuario a ese grupo, ¿de acuerdo? 00:37:44
Entonces, no le deis, no lo pongáis en un grupo diciendo, bueno, tiene que hacer esto, pero lo meto aquí porque le deja hacer esto, pero es que además le deja hacer eso y tres cosas más. Y esas tres cosas más te puede joder en este caso el dominio. Entonces, cuidado con asignarle a grupos que no tenéis. 00:37:58
Y luego, por último, me están hablando aquí de que hay unos grupos que tienen identidades especiales. ¿Qué es esto de identidades especiales? Me dicen que son grupos cuya pertenencia no se puede ni ver ni modificar, que son las que se llaman identidades especiales. 00:38:15
Y me dicen que representa a distintos usuarios en distintas ocasiones, ¿sí? 00:38:36
Entonces, son grupos, ¿vale? que la pertenencia es controlada por el sistema operativo, dependiendo de la operación que se esté realizando. 00:38:43
Por ejemplo, cuando se habla de grupos, hay por ejemplo, aquí lo vais a entender con el grupo todos, ¿vale? 00:38:52
En el grupo todos, ¿vale? Aquí se incluye todos los usuarios actuales de la red, incluido invitados, usuarios y usuarios de otros dominios. 00:39:01
Pero yo no digo que hay un usuario que pertenezca al todos, ¿vale? Sino que esto es controlado por el sistema operativo. 00:39:11
Lo mismo cuando, por ejemplo, tenemos el inicio anónimo, ¿vale? Entonces automáticamente el usuario ese se va a meter dentro de este grupo 00:39:18
y lo gestiona el sistema operativo 00:39:30
lo mismo que los usuarios autentificados 00:39:32
es decir, hay ciertos grupos 00:39:35
que la permanencia va a ser controlada 00:39:36
por el sistema operativo 00:39:38
y nosotros no vamos a decir que pertenece o que no pertenece 00:39:39
¿vale? 00:39:42
aquí tenéis otros ejemplos 00:39:43
simplemente para que entendáis que es eso 00:39:45
¿vale? 00:39:47
o el interactivo 00:39:48
o el de network 00:39:49
entonces fijaros que pongo el ejemplo de network 00:39:50
me dice representa a todos los usuarios 00:39:52
que tienen acceso en ese momento 00:39:54
al recurso dado a través de la red 00:39:56
¿vale? 00:39:57
frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local. 00:39:58
Es decir, esto, el network, van a pertenecer todos los usuarios que han accedido a través de la red a un recurso compartido. 00:40:05
¿De acuerdo? 00:40:12
¿Sí? 00:40:14
Y me dice, cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega automáticamente al grupo network. 00:40:14
Entonces, repito, son gestionados automáticamente por el sistema operativo. 00:40:21
¿Sí? 00:40:25
Y por último, cuando se habla de los contenedores Building y User, me están diciendo que se pueden cambiar libremente de contenedor, pero siempre que se mantengan dentro del mismo dominio. 00:40:26
Es decir, yo puedo cambiar los grupos que hay dentro de Building o User, lo puedo cambiar entre los diferentes contenedores, pero siempre dentro del mismo dominio. 00:40:38
¿De acuerdo? No los puedo mover dentro de dominios diferentes. 00:40:46
Y para que no se me vaya más, simplemente voy a hacer un mini video para que veáis ejemplos de grupos predeterminados que se crean 00:40:48
Cuando nosotros metemos el Active Directory, pero simplemente os lo voy a enseñar para que lo veáis 00:41:00
No os voy a pretender que sepáis que derechos y permisos asignan cada uno de ellos 00:41:06
Pero bueno, sé que esto se me ha ido un poquito de tiempo, pero necesito que veáis la teoría de grupos 00:41:10
Pues ahora vamos a empezar a ver en esta máquina cómo podemos crear, cómo podemos añadir y cómo podemos quitar diferentes elementos dentro de un grupo, ¿de acuerdo? Pues lo dejo para la siguiente transparencia. Venga, un saludo. 00:41:15
Idioma/s:
es
Autor/es:
Fernando Herrero Núñez
Subido por:
Fernando Jesús H.
Licencia:
Reconocimiento - No comercial - Compartir igual
Visualizaciones:
43
Fecha:
12 de enero de 2023 - 20:05
Visibilidad:
Público
Centro:
IES EL CAÑAVERAL
Duración:
41′ 29″
Relación de aspecto:
1.85:1
Resolución:
1920x1040 píxeles
Tamaño:
185.06 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid