1

Como administrar grupos en Windows Server 2008

Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden administrar como una sola unidad. Los grupos: Simplifican la administracin al facilitar la concesin de permisos para recursos a todo un grupo en lugar de a cada una de las cuentas de usuario individualmente. Pueden estar basados en Active Directory o ser locales, de un equipo individual. Se distinguen por su mbito y tipo. Pueden anidarse, es decir, se puede agregar un grupo a otro.

El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesin de permisos. El mbito de grupo determina: Los dominios desde los que puede agregar miembros al grupo. Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos.

El mbito de un grupo determina cules son los miembros del grupo. Las reglas de pertenencia controlan los miembros que pueden contener un grupo y los grupos de los que puede ser miembro. Los miembros de un grupo estn formados por cuentas de usuario, cuentas de equipo y otros grupos. Para asignar los miembros correctos a los grupos y para anidar un grupo, es importante conocer las caractersticas del mbito de grupo. Existen los siguientes mbitos de grupo: Global Local de dominio Universal Local

Un grupo global es un grupo de distribucin o de seguridad que puede contener usuarios, grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos de seguridad globales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque. Un grupo universal es un grupo de distribucin o de seguridad que contiene usuarios, grupos y equipos de cualquier dominio del bosque. Puede utilizar grupos de seguridad universales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque.

Por: Juan Miguel Angel Mojica Rodrguez

Page 1

Como administrar grupos en Windows Server 2008

Un grupo local de dominio es un grupo de distribucin o de seguridad que puede contener grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. Puede utilizar grupos de seguridad locales de dominio para asignar derechos y permisos de usuario slo a recursos del mismo dominio en el que se encuentra ubicado el grupo local de dominio. Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados en un servidor miembro o en un servidor independiente. Puede crear grupos locales para conceder permisos para los recursos que residen en el equipo local. Windows Server 2008 crean grupos locales en una base de datos de seguridad local. Los grupos locales pueden contener usuarios, equipos, grupos globales, grupos universales y otros grupos locales de dominio. Debido a que los grupos con un mbito local de dominio reciben a menudo el nombre de grupos locales, es importante distinguir entre un grupo local y un grupo con mbito local de dominio. Los grupos locales a veces reciben el nombre de grupos locales de equipo para distinguirlos de los grupos locales de dominio. El primer paso para crear un grupo es: Inicio\Herramientas administrativas\Usuarios y computadoras del Directorio Activo, como muestra en la siguiente imagen.

Por: Juan Miguel Angel Mojica Rodrguez

Page 2

Como administrar grupos en Windows Server 2008

Una vez estamos en la consola de Usuarios y computadoras del Directorio Activo buscamos la ubicacin donde deseamos crear el grupo y realizamos: Click derecho sobre el objeto donde crearemos el grupo (por ejemplo una Unidad Organizativa)\Nuevo\Grupo. Como muestra en la siguiente imagen.

Es importante igualmente crear una estructura jerrquica basada segn la conveniencia de su organizacin (por ejemplo una estructura jerrquica basada en Ubicacin) para tener un mejor control de la seguridad y las polticas individuales de cada seccin de nuestra red.

Por: Juan Miguel Angel Mojica Rodrguez

Page 3

Como administrar grupos en Windows Server 2008

Una vez estamos en la ventana para configurar el nombre, tipo y mbito del grupo lo configuraremos dependiendo de la necesidad de la empresa. En este tutorial vamos a configurar varios grupos Globales para cada departamento y para cada grupo de trabajadores (Gerentes y Obreros). Para esto insertamos los datos de la siguiente manera:

Una vez hemos creado los grupos debemos aadirles usuarios para que formen parte de dichos grupos. Para hacer esto iremos al directorio donde se encuentra el usuario\Click derecho sobre el usuario que deseamos agregar al grupo\Seleccionamos la opcin Aadir a grupo como muestra la imagen a continuacin.

Por: Juan Miguel Angel Mojica Rodrguez

Page 4

Como administrar grupos en Windows Server 2008

Si necesitamos agregar varios usuarios que se encuentran en diversos directorios, podemos realizar esta accin simultneamente con la herramienta Buscar. Para esto, los usuarios que deseamos agregar al grupo y estn en diferentes directorios, deben de tener un atributo en comn (por ejemplo la ciudad donde se encuentran, direccin, nmero de telfono, etc). Estas opciones se encuentran el Propiedades de cada usuario. Consulte los anteriores tutoriales para aprender a usar la herramienta Buscar. El siguiente paso para agregar un usuario a un grupo es escribir el nombre del grupo destino en la ventana que aparece cuando seleccionamos la opcin Aadir a un grupo. En caso de no conocer el nombre exacto del grupo podemos escribir al menos parte del nombre del grupo para ubicarlo. Es conveniente que cuando creemos los grupos que todos tengan una nomenclatura similar para una fcil bsqueda de todos los grupos de ser necesario.

Por: Juan Miguel Angel Mojica Rodrguez

Page 5

Como administrar grupos en Windows Server 2008

Una vez hemos agregado el usuario al grupo correspondiente podemos verificar que el usuario este correctamente agregado al grupo haciendo: Click derecho sobre el grupo destino\Propiedades\Miembros. Veremos en la pantalla lo siguiente de estar todo correcto.

Una forma de aadir seguridad es creando grupos con definiciones de atributos, por ejemplo, un grupo que sea para el personal de un departamento pero con atributos de solo lectura.

Por: Juan Miguel Angel Mojica Rodrguez

Page 6

Como administrar grupos en Windows Server 2008

Una vez hemos terminado de crear los grupos de dominio local con los diferentes atributos deseados lo siguiente es agregar los grupos globales a los grupos locales de dominio. Haciendo un escenario para un mejor entendimiento:

Una vez hemos creado los grupos locales de dominio (DL [Domain Local]) agregamos el grupo global ge Marketing Managers a los grupos locales de dominio de Marketing Managers Read y Marketing Peesonel Modify; esto se debe a que los gerentes del departamento de Marketing necesitan tener control total de los recursos de archivos (en un caso hipottico); sin embargo el grupo global Marketing Personel solo se agregara al grupo local de dominio Marketing Personel read, puesto que este grupo no puede tener privilegios para modificar archivos por motivos de seguridad. Para agregar un grupo dentro de un grupo: hacemos click derecho sobre el grupo que deseamos agregar\Propiedades\Miembro de\Aadir.

Por: Juan Miguel Angel Mojica Rodrguez

Page 7

Como administrar grupos en Windows Server 2008

Una vez hacemos click en Aadir aparecer una ventana con los nombres de los grupos existentes, en esta ventana seleccionaremos los grupos DL a los cuales queremos que el grupo global pertenezca.

Una vez hemos realizado estas acciones veremos en la ventana de Propiedades\Miembro de\ del grupo lo siguiente.

Hasta aqu este tutorial sobre Administracin de Grupos en WS08.

Por: Juan Miguel Angel Mojica Rodrguez

Page 8