Contenido

MEMBRESIA GRUPOS .......................................................................................................................... 2 CREACIN DE GRUPOS ....................................................................................................................... 2 GRUPOS GLOBALES G ..................................................................................................................... 2 GRUPOS LOCALES DE DOMINIO DL ............................................................................................ 2 GRUPOS UNIVERSALES U............................................................................................................... 3 GRUPOS LOCALES L ........................................................................................................................ 3 NOMBRES PARA LOS GRUPOS ...................................................................................................... 4 ESTRATEGIAS PARA LA UTILIZACION DE LOS GRUPOS ........................................................... 4 1.- AGP. ................................................................................................................................................ 4 2.- AGDLP ............................................................................................................................................ 4 3.- AGUDLP ......................................................................................................................................... 4 4. AGLP ................................................................................................................................................ 5 MODIFICANDO EL ALCANCE DEL GRUPO ..................................................................................... 5 Grupo Global (G): ................................................................................................................................. 5 Grupo Local de Dominio (DL): ............................................................................................................ 5 Grupo Universal (U): ............................................................................................................................ 5 Tipo de grupo ........................................................................................................................................ 5 ASIGNACION DE UN ADMINISTRADOR A UN GRUPO ............................................................. 5 UTILIZANDO GRUPOS PRECONSTRUIDOS ..................................................................................... 5 GRUPOS PRE-CONSTRUIDOS EN UN SERVIDOR MIEMBRO DEL DOMINIO ....................... 5 GRUPOS PRE-CONSTRUIDOS EN EL ACTIVE DIRECTORY ..................................................... 6 GRUPOS DE SISTEMA System Group ............................................................................................. 6 NIVELES DE FUNCIONALIDAD DEL DOMINO ............................................................................... 6 Funcionalidad de dominios y bosques .................................................................................................. 6 Funcionalidad de dominio..................................................................................................................... 7 Funcionalidad de bosque....................................................................................................................... 9 Listado de Grupos Active Directory ....................................................................................................... 11 Listado de Grupos Locales...................................................................................................................... 14

Mdulo 3

Pgina 1

MEMBRECA GRUPOS CREACIN DE GRUPOS

Generalmente cuando una red empieza a crecer, va teniendo un aumento en la cantidad de usuarios, es aqu que necesitamos agruparlos para poder manejarlos como uno solo, para lograr este cometido vamos a utilizar los grupos. Grupos: Un grupo puede contener tanto a usuarios como a computadoras, y nos servir para asignar derechos y permisos, Existen dos tipos de grupos que son: 1.- Grupos de Seguridad Nos sirven para asignar derechos o permisos sobre los diferentes recursos 2.- Grupos de Distribucin Nos sirven nicamente para agrupar a usuarios y computadoras, ya que no pueden ser utilizados para la asignacin tanto de derechos o permisos, generalmente estos grupos son utilizados con aplicaciones ejemplo: Ms Exchange, el cual los utiliza para sus listas de distribucin. Existen 4 grupos que podemos estar administrando o podemos estar manejando estos son: GRUPOS GLOBALES G GRUPOS LOCALES DE DOMINIO DL GRUPOS UNIVERSALES U GRUPOS LOCALES L Es bien importante conocer las caractersticas que tienen para poder saber cundo los vamos a estar utilizando

GRUPOSGLOBALESG
Estos pueden ser utilizados en Cualquier Dominio del Bosque. Pero solamente puede tener como miembros todos los usuarios que fueron creados en el mismo dominio del grupo global.

GRUPOSLOCALESDEDOMINIODL
Pueden contener miembros de cualquier Dominio en el Bosque, pero solamente pueden ser utilizados en el dominio en el que estn creados.

Mdulo 3

Pgina 2

 GRUPOSUNIVERSALESU
Pueden contener usuarios de cualquier dominio del bosque y pueden ser utilizados en cualquier dominio del bosque, es bien importante tener clara esta diferencia.

GRUPOSLOCALESL
Son todos aquellos grupos que no fueron creados en el Active Directory si no fueron creados como grupos dentro de las computadoras, estos grupos pueden tener usuarios de cualquier dominio del bosque, pero solamente pueden ser utilizados en la computadora que fueron creados. Cuando el nivel de funcionalidad es nativo se puede utilizar la caracterstica de NESTING, es decir grupos dentro de grupos con caractersticas iguales, ejemplo, grupos globales dentro de grupos globales, grupos universales dentro de grupos universales, La caracterstica de Nesting solo se puede hacer nicamente cuando el nivel de funcionalidad es nativo o mayor.

Mdulo 3

Pgina 3

 NOMBRESPARALOSGRUPOS
Algo que debemos de tomar muy en cuenta es el nombre que le vamos a poner al grupo este nombre debe ser bien descriptivo, ejemplo, primero definimos el alcance o Scope si es Global, Universal o Local de dominio, empezamos escribiendo la letra que identifica el alcance ejemplo G, U, DL, luego el nombre del dominio, seguido por el departamento donde esta este grupo y por ltimo el propsito del grupo. Ejemplo G Corp ventas Impresincolor. Tambin es bien importante saber quines pueden crear los grupos ejemplo en un dominio los Account operators, Domain Admins, Enterprise Admins pueden estar creando grupos, mientras tanto en una computadora local lo pueden hacer los Power users, los Administrators y cualquier otro usuario que tenga delegado el control para crear los grupos de usuarios.

ESTRATEGIAS PARA LA UTILIZACION DE LOS GRUPOS

Existen 4 estrategias en la utilizacin de grupos, que podemos estar utilizando para facilitar la administracin de los usuarios. Y estos son:

1.AGP.
A= Account o cuentas de usuario G= Group Global o grupos globales P = Permisos Esta regla nos dice que nosotros vamos a crear los usuarios, y estos los pondremos dentro de los grupos globales, a los grupos globales se le van a asignar los permisos sobre los diferentes recursos de la red. Esta estrategia se utiliza generalmente cuando tenemos un solo dominio y pocos usuarios.

2.AGDLP
A = Account o cuentas G = Grupo Global o grupos globales DL= Grupos Locales de Dominio P = Permisos Esta estrategia nos dice que las cuentas de usuario van a ir dentro de los grupo globales, los grupos globales van a ir dentro de los grupos locales de dominio, y a los grupos locales de dominio se le van a asignar los permisos hacia los recursos. Esta estrategia se utiliza generalmente en un Bosque con uno o ms dominios.

3.AGUDLP
A = Account o cuentas G = Grupo Global o grupos globales U = Grupos Universales DL= Grupos Locales de Dominio P = Permisos

Mdulo 3

Pgina 4

Esta estrategia nos dice que los usuarios se van a crear dentro de los grupos globales, estos grupos globales estarn dentro de los grupos universales, los grupos universales estarn dentro de los grupos locales de dominio y a estos se le asignaran permisos a los recursos. Esta estrategia se utiliza generalmente en un Bosque con uno o ms dominios, pero debemos de tomar en cuenta que la membresa a los grupos universales es almacenada en el catalogo global por lo tanto podra ser necesario agregar mscatlogos globales en la red.

4.AGLP
A = Account o cuentas G = Grupo Global o grupos globales L= Grupos Locales P = Permisos Esta estrategia se crean los usuarios que irn dentro de los grupos globales, estos grupos estarn dentro de los grupos locales y a estos se le asignaran permisos a los recursos. Esta estrategia es recomendada cuando mantenemos los grupos de NT 4.0 y estamos en un proceso de actualizacin de NT4.0 a Windows 2008 Server

MODIFICANDO EL ALCANCE DEL GRUPO

Si en un determinado momento queremos cambiar el alcance de nuestros grupos es decir cambiar de un grupo global a universal o a otro, debemos de tomar algunas consideraciones.

GrupoGlobal(G):al darle clic derecho propiedades vemos en la ficha general que podemos cambiar esta grupo global y convertirlo a un Grupo Universal, solamente es posible hacerlo si el grupo global no es un miembro de otro grupo global Grupo Local de Dominio (DL):al darle clic derecho propiedades, vemos que podemos cambiarla a un Grupo Universal, esto es posible si el Domian Local group no contiene otro Domain Local group como miembro de este. GrupoUniversal(U):al darle clic derecho propiedades vemos que los podemos cambiar a grupos Globales o grupos Locales de Dominio. En el caso que lo queramos cambiar hacia un grupo Global lo podremos hacer solamente si el grupo Universal no contiene otro grupo Universal o un grupo Global de otro Dominio. Si lo quisiramos pasar de Universal a Domain Local no existen restricciones para este caso. Tipodegrupo: Tambin podemos cambiar el tipo de Grupo es decir podemos cambiar un grupo de Seguridad hacia un grupo de Distribucin o viceversa, pero debemos de tomar en cuenta que el Dominio debe de ser Windows 2000 en modo nativo o mayor. ASIGNACIONDEUNADMINISTRADORAUNGRUPO
A los grupos podemos estar asignando un administrador por dos razones que son: 1.- Tener un responsable del grupo 2.- Delegar la administracin del grupo para que pueda agregar o eliminar miembros del grupo. Para poder hacer esto escogemos al grupo que queramos agregar un administrador, clic derecho propiedades y nos vamos a la pestaa Manager By, seleccionamos el botn de change y escogemos el usuario que queremos que sea el administrador de dicho grupo, luego ponemos un cheque para decirle que el administrador puede actualizar la lista de miembros del grupo.

UTILIZANDO GRUPOS PRECONSTRUIDOS

Los grupos Pre Construidos son creados durante el proceso de instilacin ya sea por parte del sistema operativo o de algn servicio y cuentan de forma automtica con derechos y permisos asignados automticamente. Algo que debemos de tomar en cuenta antes de agregar un usuario a un grupo pre-construido, es que al agregarlo al grupo va a heredar todos los derechos y permisos asignados a este grupo, si hay uno o ms derechos o permisos que no queremos darle, debemos crear otro grupo de seguridad ya que el grupo pre-construido no llena nuestras necesidades.

GRUPOSPRECONSTRUIDOSENUNSERVIDORMIEMBRODELDOMINIO Mdulo 3 Pgina 5

Para buscar los grupos pre-construidos en un servidor Member Server debemos de hacer los siguiente, inicio, Mi computadora, clic derecho y seleccionamos la opcin de Administrar (manage) all podemos ver los grupos y usuarios que estn creados de forma local, si nos vamos a grupos vamos a poder ver todos los grupos.

GRUPOSPRECONSTRUIDOSENELACTIVEDIRECTORY

Si queremos ver los grupos en el Active Directory nos vamos a las herramientas administrativos, abrimos el Active Directory user and computer, buscamos la carpeta Builtin, all encontramos los grupos pre construidos, tambin en la carpeta User encontramos otros grupos pre-construidos como son el Domain Admin., Domain Controllers, Enterprise Admis, etc.

GRUPOSDESISTEMASystemGroup
Los grupos de sistema son unos grupos especiales al cual nadie le puede agregar o quitar usuarios, solamente el sistema operativo puede definir la membresa de estos grupos, pero es importante tener conocimiento de estos, ya que es posible utilizarlos por razones de seguridad y podemos asignar derechos y permisos a estos grupos. Al estar trabajando con grupos pre-construidos debemos de tomar en cuenta que debemos de asignar al usuario al grupo msrestrictivo , es decir solamente darle los permisos que necesito y ningn permiso ms, en la medida que se pueda es siempre mucho mejor utilizar los grupos pre-construidos en vez de crear nuevos grupos, siempre debemos de utilizar el grupo de Usuarios autenticados (Authenticated Users) en lugar del grupo Todos (Everyone), tratar de tener la menor cantidad de usuarios dentro del Grupo Administradores ya que estos usuarios tendrn control total del sistema.

NIVELES DE FUNCIONALIDAD DEL DOMINO

Existen ciertas caractersticas en los grupos que son afectadas por el nivel de funcionalidad tanto del domino como del bosque, para eso nos vamos al Active Directory Users and Computer, desde aqu se puede cambiar el nivel de funcionalidad que tiene nuestro dominio, nos vamos al nombre de nuestro dominio, le damos clic derecho y le decimos que vamos a elevar el nivel de funcionalidad del domino (Raise Domain Functional Level). Si queremos hacerlo para el Bosque nos vamos a buscar el Active Directory Domains and Trust y desde aqu se eleva el nivel de funcionalidad, dando clic derecho para que nos aparezca la opcin Raise Forest Functional Level, esto lo podemos hacer si ya hemos elevado el nivel de funcionalidad de los diferentes dominios del bosque. En los niveles de Funcionalidad podemos encontrar los siguiente niveles Nivel Windows 2000 NativeMode, este nivel va a tener controladores de dominio Win2000 y Win2003 , y va poder crear grupos Globales, grupos Globales de dominio y Grupos Universales. Nivel Windows 2003, este solo soporta controladores de dominio Win2003 y maneja los grupos Globales, Grupos Locales de Dominio y Grupos Universales.

Funcionalidaddedominiosybosques
La funcionalidad de dominios y bosques, disponible en los Servicios de dominio de Active Directory (AD DS) de Windows Server 2008 R2, proporciona una forma de habilitar caractersticas para todo el dominio o caractersticas de Active Directory para todo el bosque en su entorno de red. Hay disponibles varios niveles de funcionalidad del dominio y funcionalidad del bosque, dependiendo de su entorno de red. Si todos los controladores de dominio de su bosque o dominio ejecutan Windows Server 2008 R2 y el nivel funcional del bosque y del dominio se establece en Windows Server 2008 R2, estarn disponibles todas las caractersticas para todo el dominio y para todo el bosque. Cuando el dominio o el bosque contienen controladores de dominio de Windows 2000, Windows Server 2003 o Windows Server 2008, las caractersticas de Active Directory sern limitadas. Para obtener ms informacin acerca de cmo habilitar caractersticas para todo el dominio o para todo el bosque, consulte Elevar el nivel funcional del dominio y Elevar el nivel funcional del bosque.

Mdulo 3

Pgina 6

Funcionalidaddedominio
La funcionalidad de dominio habilita caractersticas que afectan al dominio entero, y slo a ese dominio. En AD DS de Windows Server 2008 R2, hay disponibles cuatro niveles funcionales del dominio: Windows 2000 nativo, Windows Server 2003 (el predeterminado), Windows Server 2008 y Windows Server 2008 R2. En la tabla siguiente, se enumeran los niveles funcionales del dominio y sus controladores de dominio compatibles correspondientes:

Nivel funcional del dominio Controladores de dominio compatibles

Windows 2000 nativo Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 R2

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Cuando se eleva el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no pueden incorporarse al dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2008 R2, no podr agregar controladores de dominio que ejecuten Windows Server 2008 al dominio. La tabla siguiente describe las caractersticas para todo el dominio habilitadas para los niveles funcionales del dominio de AD DS de Windows Server 2008 R2. Nivel funcional del dominio Windows 2000 nativo Caractersticas habilitadas

Todas las caractersticas predeterminadas de Active Directory y las caractersticas siguientes: Los grupos universales estn habilitadas para grupos de distribucin y de seguridad. Anidacin de grupos. La conversin de grupos est habilitada, lo que hace posible la conversin entre grupos de seguridad y grupos de distribucin. Historial de identificadores de seguridad (SID).

Windows Server 2003

Todas las caractersticas predeterminadas de Active Directory, todas las caractersticas del nivel funcional del dominio de Windows 2000 nativo y las caractersticas siguientes: La disponibilidad de la herramienta de administracin de dominios, Netdom.exe, para preparar el

Mdulo 3

Pgina 7

cambio de nombre del controlador de dominio. Actualizacin de la marca de hora de inicio de sesin. El atributo lastLogonTimestamp se actualiza con la hora en que el usuario o equipo inici sesin por ltima vez. Este atributo se replica dentro del dominio. La capacidad de establecer el atributo userPassword como la contrasea efectiva en el objeto inetOrgPerson y los objetos de usuario. La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo: cn=Computers,<razDeDominio> y cn=Users,<razDeDominio>. Esta caracterstica hace posible definir una ubicacin nueva conocida para estas cuentas. El Administrador de autorizacin puede almacenar sus directivas de autorizacin en AD DS. Se incluye la delegacin restringida, que hace posible que las aplicaciones aprovechen la delegacin segura de credenciales de usuario por medio del protocolo de autenticacin Kerberos. Puede configurar la delegacin para que slo se permita en servicios de destino especficos. Se admite la autenticacin selectiva, que hace posible especificar los usuarios y grupos de un bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque que confa.

Windows Server 2008

Todas las caractersticas predeterminadas de Active Directory, todas las caractersticas del nivel funcional del dominio de Windows Server 2003 y las caractersticas siguientes: Compatibilidad con la replicacin del Sistema de archivos distribuido (DFS) para SYSVOL, que proporciona una replicacin ms slida y detallada del contenido de SYSVOL. Compatibilidad con los Servicios de cifrado avanzado (AES 128 y 256) para el protocolo de autenticacin Kerberos. Informacin acerca del ltimo inicio de sesin interactivo, que muestra la hora del ltimo inicio de sesin interactivo correcto de un usuario, la estacin de trabajo desde la que se inici y el nmero de intentos de inicio de sesin errneos desde el ltimo inicio de sesin. Directivas de contrasea muy especficas, que permiten especificar directivas de contrasea y directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows Server 2008 R2

Todas las caractersticas predeterminadas de Active Directory, todas las caractersticas del nivel funcional del dominio de Windows Server 2008 y las caractersticas siguientes: La comprobacin del mecanismo de autenticacin, que empaqueta la informacin sobre el tipo de mtodo de inicio de sesin (tarjeta inteligente o nombre de usuario/contrasea) empleado para autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario. Si esta caracterstica est habilitada en un entorno de red que ha implementado una infraestructura de administracin de identidades federadas, como Servicios de federacin de Active Directory (AD FS), la informacin del token se puede extraer siempre que un usuario intente obtener acceso a cualquier aplicacin para notificaciones que se haya desarrollado para determinar la autorizacin en funcin del mtodo de inicio de sesin de un usuario.

Mdulo 3

Pgina 8

 Funcionalidaddebosque
La funcionalidad de bosque habilita caractersticas en todos los dominios del bosque. Hay disponibles cuatro niveles funcionales del bosque en el sistema operativo Windows Server 2008 R2: Windows 2000, Windows Server 2003 (predeterminado), Windows Server 2008 y Windows Server 2008 R2. En la tabla siguiente se enumeran los niveles funcionales del bosque disponibles en el sistema operativo Windows Server 2008 R2 y sus controladores de dominio compatibles correspondientes: Nivel funcional del bosque Windows 2000 Controladores de dominio compatibles Windows NT 4.0 Windows 2000 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2008 R2

Windows Server 2003 (predeterminado)

Windows Server 2008

Windows Server 2008 R2

Cuando se eleva el nivel funcional del bosque, los controladores de dominio que ejecutan sistemas operativos anteriores no pueden incorporarse al bosque. Por ejemplo, si eleva el nivel funcional del bosque a Windows Server 2008 R2, no puede agregar al bosque controladores de dominio que ejecuten Windows Server 2008. En la tabla siguiente, se describen las caractersticas para todo el bosque habilitadas para los niveles funcionales del bosque de Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2. Nivel funcional del bosque Windows Server 2003 Caractersticas habilitadas

Todas las caractersticas predeterminadas de Active Directory y las caractersticas siguientes: Confianza de bosque Cambio de nombre de dominio Replicacin de valor vinculado (cambios en los valores de replicacin y almacenamiento de pertenencia a grupos para miembros individuales en lugar de replicacin de toda la pertenencia como una sola unidad). Esto causa una reduccin en el uso del procesador y del ancho de banda de red durante la replicacin, y elimina la posibilidad de perder actualizaciones cuando se agregan o eliminan varios miembros a la vez en diferentes controladores de dominio.

Mdulo 3

Pgina 9

La capacidad de implementar un controlador de dominio de slo lectura (RODC) que ejecute Windows Server 2008. Mejora en la escalabilidad y los algoritmos del comprobador de coherencia de la informacin (KCC). El generador de topologa entre sitios (ISTG) usa algoritmos mejorados que se escalan para admitir bosques con un nmero mayor de sitios admitidos en el nivel funcional del bosque de Windows 2000. La capacidad de crear instancias de la clase auxiliar dinmica llamada dynamicObject en una particin de directorio de dominio. La capacidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto User, y viceversa. La posibilidad de crear instancias de los nuevos tipos de grupo, denominados grupos bsicos de aplicacin y grupos de consulta de Protocolo ligero de acceso a directorios (LDAP), para admitir la autorizacin basada en roles. Desactivacin y nueva definicin de atributos y clases en el esquema.

Windows Server 2008

Windows Server 2008 R2

Este nivel funcional proporciona todas las caractersticas disponibles en el nivel funcional del bosque de Windows Server 2003, pero no caractersticas adicionales. Sin embargo, todos los dominios que se agreguen posteriormente al bosque funcionarn en el nivel funcional del dominio de Windows Server 2008 de manera predeterminada. Todas las caractersticas disponibles en el nivel funcional del bosque de Windows Server 2003, ms las siguientes caractersticas: Papelera de reciclaje de Active Directory, que proporciona la capacidad de restaurar completamente objetos eliminados mientras se ejecuta AD DS.

Todos los dominios que se agreguen posteriormente al bosque funcionarn en el nivel funcional del dominio de Windows Server 2008 R2 de manera predeterminada. Si tiene pensado incluir slo controladores de dominio que ejecuten Windows Server 2008 R2 en todo el bosque, puede elegir este nivel funcional de bosque para facilitar la administracin. En ese caso, nunca tendr que elevar el nivel funcional de dominio para cada dominio que cree en el bosque.

Grupos Locales del Dominio: Slo existen en modo nativo. Su visibilidad est delimitada al propio dominio, pero pueden tener como miembros a cuentas de usuario y equipo y grupos universales y globales de su dominio o de otros con relaciones de confianza, as como a grupos locales de su propio dominio. Se usan para asignar permisos en recursos del dominio. Evidentemente, no pueden pertenecer a grupos de otros dominios, ni asignrseles derechos o permisos a recursos en otros dominios. Ntese que ahora el concepto es distinto al de los grupos locales de dominio en NT4 o en modo mixto, pues en modo nativo los grupos locales se ven en todos los equipos del dominio, no slo en los controladores de dominio. Grupos Globales del Dominio: El concepto es similar al explicado anteriormente. Es decir, slo puede tener miembros de su propio dominio (cuentas de usuario y equipo y grupos globales de su propio dominio), pero puede pertenecer a grupos locales de equipo y de dominio (propio o distinto del bosque o con relacin de confianza) y se le pueden asignar derechos y permisos en recursos de otros dominios. Grupos Universales: Slo existen en modo nativo. Pueden tener miembros de cualquier dominio del bosque (cuentas de usuario y equipo, grupos universales y globales de cualquier dominio del bosque o con relacin de confianza), y tambin se les pueden dar permisos y derechos en recursos de cualquier dominio, as como hacerlos pertenecer a grupos locales o universales de cualquier dominio del bosque o de dominios externos con relaciones de confianza.

Mdulo 3

Pgina 10

Listado de Grupos Active Directory

Description Builtin Group Account Operators Members of the Account Operators group can create and manage domain user, group, and computer accounts within the Users or Computers containers (with the exception of the Domain Controllers container) or organizational units that have been created. Account Operators do not have rights to modify the Administrators or Domain Admins groups. This group has no default members. The Administrators group has full rights and privileges on all domain controllers within the domain. Its members can grant themselves any permissions they do not have by default to manage all of the objects on the computer. (Objects include the file system, printers, and account management.) By default, the Administrator user account and the Domain Admins and Enterprise Admins groups are members of the Administrators group. Because of the permissions associated with this group, you should add users to this group with caution. The members of the Backup Operators group have rights to back up and restore the file system, even if the file system is NTFS and they have not been assigned permissions to the file system. However, the members of Backup Operators can access the file system only through the Backup utility. To be able to directly access the file system, they must have explicit permissions assigned. By default, there are no members of the Backup Operators local group. The Guests group has limited access to the computer. This group is provided so that you can let people who are not regular users have access to specific network resources. As a general rule, most administrators do not allow Guest access because it poses a potential security risk. By default, the Guest user account is a member of the Guests local group. This group has special permissions to build one-way, incoming trusts to the forest root domain. This group has no default members. This group has special permissions to manage TCP/IP networking configuration options. For example, members can renew and release TCP/IP addresses on domain controllers within the domain. This group does not have any default members. Members of this group have special permissions related to configuring and managing performance counters, logs, and alerts on domain controllers and computers within the domain. This group does not have any default members. Members of this group have special permissions to remotely monitor (view) performance counters for all domain controllers and computers within the domain. This group does not have any default members. This is a special group with backward compatibility for allowing read access to users and groups in the domain. By default, the Everyone group is a member of this group when the computer is loaded with preWindows 2000 permissions. Print Operators group members can administer, create, delete, and share printers connected to domain controllers. In addition, members of this group can also manage printer objects within the Active Directory. This group does not have any default members.

Administrators

BackupOperators

Guests

IncomingForest Trust Builders Network Configuration Operators Performance Log Users Performance Monitor Users PreWindows 2000 Compatible Access PrintOperators

Mdulo 3

Pgina 11

Description Builtin Group Remote Desktop Users Replicator This special group allows its members to log on to the server remotely. This group does not have any default members. The Replicator group is intended to support directory replication, which is a feature used by domain servers prior to Windows 2000 and 2003. Only domain users who will start the replication service should be assigned to this group. By default, there are no members of the Replicator local group. The Server Operators group members can administer domain servers. Administration tasks include creating, managing, and deleting shared resources, starting and stopping services, formatting hard disks, backing up and restoring the file system, and shutting down domain controllers. By default, there are no members in this group. This group includes any Terminal Server License servers that have been installed within the domain. The Users group is used by end users who should have very limited system access. If you have installed a fresh copy of Windows Server 2003, the default settings for this group prohibit users from compromising the operating system or program files, changing the system time, and adding a local printer. By default, all users who have been created on the computer, except Guest, are members of the Users group. Users of this group have been granted permissions to the TokenGroupsGlobalAndUniversal attribute on user objects. The Enterprise Domain Controllers group is added to this group by default.

Server Operators

Terminal Server License Servers Users

Windows Authorization Access Group

Users Group Cert Publishers

Description The Cert Publishers group members can manage enterprise certification and renewal agents for users and computers. There are no default members of this group. The DHCP Administrators group has administrative rights to manage Dynamic Host Configuration Protocol (DHCP) servers. Only available on DHCP servers. The DHCP Users group has read-only rights to the DHCP console. Only available on DHCP servers. The DnsAdmins group has administrative rights to manage Domain Name System (DNS) servers. There are no default members of this group. (This group is installed with DNS.) The DnsUpdateProxy group has permissions that allow DNS clients to perform dynamic updates on behalf of other clients, such as DHCP servers. There are no default members of this group. (This group is installed with DNS.) The Domain Admins group has complete administrative rights over the domain. By default, the Administrator user account is a member of this group. The Domain Computers group contains all of the workstations and servers that are a part of the domain. Any computer that is added to the domain becomes a member of this group by default.

DHCP Administrators

DHCP Users DnsAdmins

DnsUpdateProxy

DomainAdmins DomainComputers

Mdulo 3

Pgina 12

Users Group DomainControllers

Description The Domain Controllers group contains all of the domain controllers in the domain. By default, any domain controller that is added to the domain becomes a member of this group. The Domain Guests group has limited access to the domain. This group is provided so that you can let people who are not regular users access specific network resources. The Domain Users group contains all of the domain users. This group should have very limited system access. By default, any users who have been added to the domain become members of this group. The Enterprise Admins group has complete administrative rights over the enterprise (all domains within the forest). This group has the highest level of permissions of all groups and only exists in the forest root server. The Group Policy Creator Owners group has permissions to modify group policy for the domain. By default, the Administrator user account is a member of this group. This group has special permissions to manage the Help and Support Center. This group is used by the Internet Information Services worker process group. There are no default members of this group. The RAS and IAS Servers group contains the Remote Access Service (RAS) and Internet Authentication Service (IAS) servers in the domain. Servers in this group can access remote access properties of users. The Schema Admins group has special permissions to modify the schema of the Active Directory. By default, the Administrator user account is a member of this group. Members of this group have access to the Telnet server on this system. The WINS Users group has special permissions to view information on the Windows Internet Name Service (WINS) server.

DomainGuests

DomainUsers

Enterprise Admins

GroupPolicyCreatorOwners

HelpServicesGroup IIS_WPG (installed with IIS) RAS and IAS Servers

SchemaAdmins

TelnetClients WINS Users

Group Creator Owner

Description The Creator Owner is the account that created or took ownership of the object. This is typically a user account. Each object (files, folders, printers, and print jobs) has an owner. Members of the Creator Owner group have special permissions to resources. For example, if you are a regular user who has submitted 12 print jobs to a printer, you can manipulate your print jobs as Creator Owner, but you cant manage any print jobs submitted by other users. The Creator group is the group that created or took ownership of the object (rather than an individual user). When a regular user creates an object or takes ownership of an object, the username becomes the Creator Owner. When a member of the Administrators group creates or takes ownership of an object, the group Administrators becomes the Creator group. This group includes anyone who could possibly access the computer. The Everyone group includes all users who have been defined on the computer (including Guest), plus (if your computer is a part of a domain) all users within the domain. If the domain has trust

Creator

Everyone

Mdulo 3

Pgina 13

Group

Description relationships with other domains, all users in the trusted domains are part of the Everyone group as well. The exception to automatic group membership with the Everyone group is that members of the Anonymous Logon group are no longer a part of the Everyone group.

Interactive Network Authenticated Users Anonymous Logon Batch Dialup Service

The Interactive group includes all users who use the computers resources locally. Local users belong to the Interactive group. This group includes users who access the computers resources over a network connection. Network users belong to the Network group. The Authenticated Users group includes users who access the Windows Server 2003 operating system through a valid username and password. Users who can log on belong to this group. This group includes users who access the computer through anonymous logons. When users gain access through special accounts created for anonymous access to Windows Server 2003 services, they become members of the Anonymous Logon group. This group includes users who log on as a user account that is only used to run a batch job. Batch job accounts are members of the Batch group. The Dialup group includes users who log on to the network from a dial-up connection. Dial-up users are members of the Dialup group. The Service group includes users who log on as a user account that is only used to run a service. You can configure the use of user accounts for logon through the Services program, and these accounts become members of the Service group. When the system accesses specific functions as a user, that process becomes a member of the System group. For example, say you have a virus scanner that runs as a service called abcscan; you want the service to run no matter what user is logged on and regardless of what the logged-on users permissions are. You can create a special user for example, abcscanuserwho has all of the permissions required to run the abcscan service each time the computer is started. The local userfor example, Katielogs on. The user Katie is logged on as an interactive user. In addition, when the abcscan service was started, the abcscanuser was also logged on as a system user, which is a transparent process to user Katie. This group includes users who log on through Terminal Services. These users become members of the Terminal Server User group.

System

Terminal Server User

Listado de Grupos Locales

Group Backup Operators Description Members of the Backup Operators group have the right to back up and restore folders and fileseven ones that they don't otherwise have permission to access. Backup operators also have access to the Backup Utility program. This group is used by Microsoft and computer manufacturers for Remote Assistance, enabling technical support personnel to connect to the computer (only with your permission, of course!).

HelpServicesGroup

Mdulo 3

Pgina 14

Group

Description

Network ConfigurationOperators PowerUsers

Members of this group have administrative privileges in areas that relate to setting up and configuring networking components. The Power Users group is intended for those who need many, but not all, of the privileges of the Administrators group. Power Users can't take ownership of files, back up or restore files, load or unload device drivers, or manage the security and auditing logs. Unlike ordinary users, however, Power Users can share folders; create, manage, delete, and share local printers; and create local users and groups. Users in this group can connect to the computer via the Remote Desktop feature, if it is enabled. Members of the Replicator group can manage the replication of files on the domain, workstation, or server. (File replication, a feature of Windows NT Server and its successors, is beyond the scope of this book.)

Remote Desktop Users Replicator

Mdulo 3

Pgina 15