Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros del grupo.
Los grupos se caracterizan por su ámbito y su tipo. El ámbito de un grupo determina el alcance del grupo dentro de un dominio o bosque. El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo solo para las listas de distribución de correo electrónico (para grupos de distribución).
Los grupos se caracterizan por su ámbito y su tipo. El ámbito de un grupo determina el alcance del grupo dentro de un dominio o bosque. El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo solo para las listas de distribución de correo electrónico (para grupos de distribución).
Grupos predeterminados
Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos de seguridad que se crean automáticamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y para delegar roles administrativos específicos en todo el dominio.
Ámbito de grupo
Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres ámbitos de grupo: local de dominio, global y universal.
Grupos locales de dominio
Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2. A los miembros de estos grupos solo se les pueden asignar permisos dentro de un dominio.
Grupos globales
Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.
Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con ámbito Global no se replican fuera de su propio dominio, las cuentas de un grupo con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de replicación en el catálogo global.
Grupos universales
A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios. Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas a los grupos con ámbito Global y anide estos grupos dentro de los grupos que tengan ámbito Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen ámbito Global no afectan a los grupos con ámbito Universal.
Tipos de grupos
- Asignar derechos de usuario a los grupos de seguridad de AD DS
Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese grupo en el ámbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario automáticamente cuando se instala AD DS para ayudar a los administradores a definir el rol administrativo de una persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad en AD DS, éste puede realizar operaciones de copia de seguridad y restauración de archivos y directorios en cada controlador de dominio del dominio. - Asignar permisos para recursos a los grupos de seguridad
Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede tener acceso a un recurso compartido. También determinan el nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.
Dónde se pueden crear grupos
Elija el dominio o la unidad organizativa donde va a crear un grupo en función de las tareas de administración que requiera el grupo. Por ejemplo, si un directorio tiene varias unidades organizativas y cada una tiene un administrador diferente, puede crear grupos con ámbito Global dentro de esas unidades organizativas para que los administradores administren la pertenencia a grupos de los usuarios de las unidades organizativas que les correspondan. Si se necesitan grupos para controlar el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad organizativa dentro de grupos con ámbito Universal (u otros grupos con ámbito Global) que puede utilizar en otros lugares del bosque.
Identidades especiales
Además de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen pertenencias específicas que se puedan modificar. Sin embargo, pueden representar a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos siguientes son identidades especiales:
- Inicio de sesión anónimo
Este grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus recursos a través de la red sin usar un nombre de cuenta, contraseña o nombre de dominio. En los equipos con Windows NT y versiones anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesión anónimo no es miembro del grupo Todos de manera predeterminada. - Todos
Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cuando un usuario inicia sesión en la red, se agrega automáticamente al grupo Todos. - Red
Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de la red, frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local en el equipo en el que reside el recurso. Cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega automáticamente al grupo Red. - Interactivo
Este grupo representa a todos los usuarios que disponen de una sesión iniciada en un equipo determinado y que están obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a través de la red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesión, se agrega automáticamente al grupo Interactivo.
Comentarios
Publicar un comentario