Beruflich Dokumente
Kultur Dokumente
GRUPOS
Índice
• ¿Qué son los grupos?
• Distinción de los grupos por ámbito y tipo
• Tipos de grupos
– Grupo de Seguridad
• Grupos locales predeterminados
• Grupos predeterminados
– Grupo de Distribución
• Identidades Especiales
• ¿Qué son los niveles funcionales de dominio?
• Ámbitos de grupos
– Grupos globales
– Grupos universales
– Grupos locales de dominio
– Grupos locales
• Demostración de cómo crear grupos
• Demostración de cómo modificar un grupo
• Demostración creación y eliminación de
grupos desde la línea de comandos
Para poder administrar grupos hay
que contestar antes a algunas
preguntas que nos ayuden a
entender que son los grupos y para
que nos sirven estos grupos a la
hora de administrar nuestros
usuarios del dominio
Y la primera pregunta es…
¿Qué son los grupos?
Un grupo es un conjunto de cuentas de usuario
y de equipo, contactos y otros grupos que se
pueden administrar como una sola unidad.
Algunas características de estos grupos son:
• Simplifican la administración al asignar los permisos para
un recurso compartido a un grupo en lugar de a usuarios
individuales.
• Se distinguen por su ámbito y tipo.
• Pueden anidarse, es decir, se pueden agregar grupos
dentro de otros grupos.
Como se ha dicho anteriormente los
grupos se distinguen por su ámbito…
El ámbito de un grupo determina si el grupo
comprende a uno o varios dominios. los distintos
ámbitos, que más adelante explicaremos, son:
• Global
• Local de dominio
• Universal
• Local
…y también se distinguen por su tipo
El tipo de grupo determina si se puede usar un
grupo para asignar permisos desde un recurso
compartido o si se puede usar un grupo sólo
para las listas de distribución. Los grupos según
su tipo son:
• Grupo de seguridad.
• Grupo de distribución
Grupo de Seguridad
Los grupos de seguridad se utilizan para asignar
derechos y permisos de usuario a grupos de
usuarios y equipos. Los derechos especifican
que acciones pueden realizar los miembros del
grupo de seguridad en un dominio o bosque,
mientras que los permisos especifican a que
recursos tiene acceso y el nivel de acceso de un
miembro de un grupo en la red .
Existen unos grupos que son de seguridad y que
se crean automáticamente cuando se instala
Windows Server® 2008, son los grupos locales
predeterminados. Estos grupos pueden
contener cuentas de usuarios locales, cuentas
de usuario de dominio, cuentas de equipo y
grupos locales. Entre estos grupos se
encuentran: Administradores, Invitados,
Usuarios del registro de rendimiento, Usuarios
del monitor del sistema, Usuarios avanzados u
Operadores de impresión.
Para ver estos grupos seguiremos los siguientes
pasos:
• Abriremos una ventana Ejecutar y
escribiremos el comando MMC (Microsoft
Management Console)
• Entonces se nos abrirá una consola en la que
haremos clic en archivo y de nuevo clic en
agregar o quitar complemento:
• Y aquí añadiremos el complemento usuarios y
grupos locales:
• Tras esto nos aparecerán los grupos locales
predeterminados citados anteriormente:
• Hay que tener en cuenta que tras instalar
Active Directory nos saldrá un error que no
nos dejará abrir este complemento dentro de
MMC:
También existen otros grupos que son de
seguridad y que se crean automáticamente
cuando se crea un dominio de Active Directory, y
son los grupos predeterminados. A muchos de
estos grupos se les asignan automáticamente un
conjunto de derechos de usuario que autorizan
a los miembros del grupo a realizar ciertas
acciones en un dominio. Cuando se agrega un
usuario a un grupo predeterminado, ese usuario
recibe:
• Todos los derechos de usuario asignados al grupo
• Todos los permisos asignados al grupo para los recursos
compartidos
Es conveniente tener en cuenta algunas
consideraciones antes de agregar un usuario a
un grupo predeterminado:
• Coloque un usuario en un grupo predeterminado sólo
cuando esté seguro de que desees ofrecerle todos los
derechos y permisos de usuario asignados a dicho grupo en
Active Directory; de lo contrario, cree un nuevo grupo de
seguridad.
• Por seguridad, los miembros de los grupos
predeterminados deben usar Ejecutar como para realizar
tareas administrativas.
Estos grupos predeterminados se encuentran
en los contenedores Builtin y Users. Los grupos
predeterminados del contenedor Builtin son de
ámbito Local. Su ámbito y tipo de grupo no se
pueden modificar. Los grupos del contenedor
Users son de ámbito Global o Local de Dominio.
Los grupos de estos contenedores se pueden
mover a otros grupos o unidades organizativas,
pero no se pueden mover a otros dominios.
Para llegar a ver estos grupos solo deberemos
entrar en Inicio, herramientas administrativas, y
allí hacer clic en usuarios y equipos de Active
Directory:
Y podremos ver tanto el contenedor Builtin:
Como el contenedor Users:
Grupo de Distribución
Estos grupos se utilizan con aplicaciones de
correo electrónico como Microsoft ® Exchange,
para enviar mensajes de correo electrónico a
grupos de usuarios. La finalidad principal de este
tipo de grupo es recopilar objetos relacionados.
Aunque los grupos de seguridad tienen todas las
funciones de los grupos de distribución, estos
son necesarios debido a que algunas
aplicaciones sólo pueden utilizar grupos de
distribución.
Pero dentro de Active Directory existen otros
grupos que se conocen con el nombre de
Identidades Especiales, y que en Windows
Server® 2003 reciben el nombre de Grupos del
sistema. Son grupos predeterminados, y las
pertenencias de estos grupos a otros no se
pueden ver ni modificar. Representan a distintos
usuarios en distintas ocasiones, en función de
las circunstancias. Los grupos identidades
especiales son:
Identidad Especial Descripción
Este grupo representa a los usuarios y
servicios que obtienen acceso a un
Inicio de sesión
equipo y a sus recursos a través de la red
anónimo
sin usar un nombre de cuenta, contraseña
o nombre de dominio
Este grupo representa a todos los
Todos usuarios actuales de la red, incluidos
invitados y usuarios de otros dominios
Este grupo representa a los usuarios que
Red obtienen acceso en ese momento a un
recurso dado a través de la red.
Este grupo representa a todos los
usuarios que disponen de una sesión
Interactivo iniciada en un equipo determinado y que
están obteniendo acceso a un recurso
ubicado en ese equipo
Aunque a las Identidades Especiales se les puede conceder
derechos y permisos para los recursos, sus pertenencias no se
pueden ver ni modificar. Las Identidades Especiales no tiene
ámbitos de grupos.
¿Qué son los niveles funcionales de
dominio?
Las características de los grupos de Active
Directory dependen del nivel funcional de
dominio. La funcionalidad del dominio activa
funciones que afectan a todo un dominio y a
todo ese dominio. Determina que clase de
características estarán disponibles, como por
ejemplo la capacidad de unir bosques. El nivel
funcional se puede elevar pero una vez elevado
no se podrá volver a un nivel funcional inferior.
En esta tabla se pueden ver los niveles
funcionales y sus características:
Windows 2000
Windows Windows Windows
mixto
2000 nativo Server 2003 Server 2008
(predeterminado)
Windows NT Windows
Server 4,0, 2000, Windows
Controladores
Windows 2000, Windows Server 2003, Windows
de dominio
Windows Server Server 2003, Windows server 2008
admitidos
2003, Windows Windows Server 2008
Server 2008 Server 2008
Ámbitos de Global, local Global, local de Global, local de
Global y local de
grupo de dominio dominio y dominio y
dominio
admitidos y universal universal universal
En Windows Server 2008 no existe el nivel funcional
Windows 2000 mixto, pero si en Windows Server 2003, y
para poder convertir un grupo de seguridad en un grupo de
distribución y viceversa el nivel funcional debe encontrarse
definido en Windows 2000 nativo o superior.
Elevar el nivel funcional del dominio es muy fácil. Sólo
tenemos que ir a Usuarios y equipos de Active Directory y
hacer clic con el botón derecho en nuestro dominio, y nos
aparecerá la opción elevar el nivel funcional del dominio:
Y en la ventana que nos sale podremos elevar el
nivel funcional de dominio. Recordad que una
vez elevado no podréis volver a un nivel inferior:
Ámbitos de grupos
Como se explicó al principio de la presentación
el ámbito de un grupo determina si el grupo
comprende a uno o varios dominios. los
distintos ámbitos, que a continuación se
explicarán en profundidad son:
• Global
• Local de dominio
• Universal
• Local
Grupos globales
Los miembro de los grupos globales pueden
incluir sólo otros grupos y cuentas del dominio
en el que se encuentra definido el grupo. A los
miembros de estos grupos se les pueden asignar
permisos en cualquier dominio del bosque.
Se aconseja que se usen los grupos con ámbito
global para administrar objetos de directorio
que requieran un mantenimiento diario, como
las cuentas de usuario y de equipo
Las características de los grupos globales son:
• Miembros:
– En un nivel funcional de dominio mixto, los grupos globales pueden
contener cuentas de usuario y equipo del mismo dominio que el grupo
global.
– En un nivel funcional nativo, los grupos globales pueden contener cuentas
de usuario, cuentas de equipo y grupos globales del mismo dominio que el
grupo global.
• Puede ser miembro de:
– En el modo mixto, un grupo local puede ser miembro de grupos locales de
dominio.
– En el modo nativo, un grupo global puede ser miembro de grupos locales
de dominio y universales en cualquier dominio, y de grupos globales del
mismo dominio que el grupo global.
• Ámbito:
– Un grupo global es visible dentro de su dominio y de todos los dominios
de confianza, en los que se incluyen todos los dominios del bosque.
• Permisos:
– Puede conceder permisos a un grupo global para todos los dominios del
bosque.
Grupos universales
Los miembros de los grupos universales pueden
incluir otros grupos y cuentas de cualquier
dominio del bosque o del árbol de dominios. A
los miembros de estos grupos se les pueden
asignar permisos en cualquier dominio del
bosque o del árbol de dominios.
Se utilizan los grupos con ámbito universal para
consolidar los grupos que abarcan varios
dominios.
Para poder utilizar los grupos universales el nivel
funcional del dominio debe der Windows 2000
nativo o superior
Las características de los grupos universales son:
• Miembros:
– No puede crear grupos universales en el modo mixto.
– En el modo nativo, los grupos universales pueden contener cuentas de
usuario, cuentas de equipo, grupos globales y otros grupos
universales de cualquier dominio del bosque.
• Puede ser miembro de:
– No se puede aplicar el grupo universal en el modo mixto.
– En el modo nativo, el grupo universal puede ser miembro de los
grupos locales de dominio y universales de cualquier dominio.
• Ámbito:
– Los grupos universales son visibles en todos los dominios del bosque y
dominios de confianza.
• Permisos:
– Puede conceder permisos a grupos universales para todos los
dominios del bosque.
Grupos locales de dominio
Los miembros de los grupos locales de dominio
pueden incluir otros grupos y cuentas de
dominios de Windows Server 2003, Windows
2000, Windows NT y Windows Server 2008. A
los miembros de estos grupos sólo se les pueden
asignar permisos dentro de un dominio.
Los grupos con ámbito local de dominio ayudan
a definir y administrar el acceso a los recursos
dentro de un dominio único. Pueden tener los
siguientes miembros:
• Grupos con ámbito Global
• Grupos con ámbito Universal
• Cuentas
• Otros grupos con ámbito Local de dominio
• Una combinación de los anteriores
Las características de los grupos locales de
dominio son:
• Miembros:
– En el modo mixto, los grupos locales de dominio pueden contener cuentas de
usuario, cuentas de equipo y grupos globales de cualquier dominio. Los
servidores miembros no pueden utilizar grupos locales de dominio en el modo
mixto.
– En el modo nativo, los grupos locales de dominio pueden contener cuentas de
usuario, cuentas de equipo, grupos globales y grupos universales de cualquier
dominio del bosque y grupos locales de dominio de su mismo dominio.
• Puede ser miembro de:
– En el modo mixto, un grupo local de dominio no puede ser miembro de
ningún grupo.
– En el modo nativo, un grupo local de dominio puede ser miembro de grupos
locales de dominio de su mismo dominio.
• Ámbito:
– Un grupo local de dominio sólo es visible en el dominio al que pertenece.
• Permisos:
– Puede asignar permisos a un grupo local de dominio para el dominio al que
pertenece el grupo local de dominio.
Grupos locales
Un grupo local es un conjunto de cuentas de
usuario y grupos de dominio creados en un
servidor miembro o en un servidor
independiente. Se pueden crear grupos
locales para conceder permisos para los
recursos que residan en el equipo local.
Los grupos locales a veces reciben el nombre de
grupos locales de dominio para distinguirlos
de los grupos locales de dominio.
Las características de los grupos locales son:
• Los grupos locales pueden contener cuentas de usuario
locales del equipo en el que se crea el grupo local.
• Los grupos locales no pueden ser miembros de otro grupo.
Directrices a la hora de utilizar los grupos
locales:
• Sólo puede utilizar grupos locales en el equipo en el que se
crean dichos grupos locales. Los permisos de estos grupos
ofrecen acceso sólo a los recursos del equipo en el que se
creó el grupo local.
• No se pueden crear grupos locales en controladores de
dominio, porque éstos no tienen una base de datos segura.
Y tras saber un poco más acerca de los grupos,
pasaremos a la creación, modificación y
eliminación de éstos.
Los grupos se crean en los dominios. Para crear
grupos se utiliza la herramienta Usuarios y
equipos de Active Directory. Con los permisos
necesarios se pueden crear grupos en el
dominio raíz del bosque, en cualquier otro
dominio del bosque o en una unidad
organizativa.
Demostración de cómo crear grupos
Crear un grupo en Windows Server 2008 es algo muy sencillo.
Sólo tenemos que seguir los siguientes pasos:
• Entraremos en la herramienta Usuarios y equipos de Active
Directory que se encuentra en las Herramientas
Administrativas:
• Ahora haremos clic con el botón derecho en el dominio, en
un contenedor de los que ya existen o en algún grupo o
unidad organizativa que hayamos creado anteriormente.
Daremos a nuevo y aquí en grupo:
• Y nos aparecerá una ventana donde pondremos nombre a
nuestro grupo y le asignaremos el ámbito y el tipo de
grupo. Aceptamos y ya tendremos creado nuestro grupo:
Demostración de cómo modificar un
grupo
Ahora podremos modificar nuestro grupo haciendo clic
derecho sobre él y clic en Propiedades:
Empezaremos por la pestaña general. Aquí podremos cambiar
el nombre, ponerle una descripción, un correo, o cambiar el
ámbito o el tipo de grupo:
A la hora de cambiar el ámbito o el tipo de grupo hay que
tener varias cosas en cuenta. Si nuestro grupo es de ámbito
global no podremos cambiarlo a ámbito de Dominio local, y
viceversa:
Para hacer este cambio de ámbito de Global a Dominio Local o
viceversa hay que pasar antes por el ámbito Universal:
También podemos cambiar el tipo de grupo, pero al hacer el
cambio de tipo Seguridad a tipo Distribución nos dará una
advertencia:
En la pestaña miembros podremos agregar aquellos usuarios
o grupos que queremos que pertenezcan a este grupo:
Daremos a agregar y ahí en avanzadas:
Haremos clic en Buscar ahora y nos saldrán todos los usuarios
y grupos que podemos agregar a nuestro grupo:
En la pestaña Miembro de pondremos a que grupo queremos
que pertenezca nuestro grupo. Los grupos que aquí salgan
serán siempre grupos de dominio local:
Haremos clic en agregar y luego en avanzadas:
Le damos a Buscar ahora y nos aparecerán todos los grupos
de los que nos podemos hacer miembros:
En la pestaña Administrado por podemos asignar un
administrador al grupo. En este administrador delega la
autoridad para agregar y eliminar usuarios del grupo:
Le daremos a Cambiar… y después a Avanzadas
Después haremos clic en Buscar ahora y podremos elegir al
administrador de nuestro grupo:
Tanto en la pestaña Miembros como Miembro de podremos
eliminar los usuarios y grupos. Sólo tenemos que
seleccionarlos y hacer clic en Quitar
También podemos quitar el administrador del grupo. Sólo
tenemos que hacer clic en borrar:
En cualquier momento podemos eliminar el grupo que hemos
creado. Solo tenemos que seleccionarlo y hacer clic sobre
con el botón derecho. Entonces pinchamos en la opción
eliminar:
Nos preguntará si realmente queremos eliminar nuestro
grupo. Decimos que sí y nuestro grupo quedará eliminado:
Demostración creación y eliminación
de grupos desde la línea de comandos
También podemos utilizar la línea de comandos tanto para
crear como para eliminar los grupos. Para esto abriremos la
línea de comandos utilizando el comando CMD en la ventana
de Ejecutar:
Ya en la consola utilizaremos el comandos dsadd group /?
Así podremos ver la ayuda para este comando que es el que
se utiliza para crear grupos:
El comando completo que utilizaremos para crear el grupo será:
Dsadd group “cn=Demo2,dc=SER2008,dc=local” –samid Demo2
–secgrp yes –scope g –members “cn=Fran,dc=SER2008, dc=local”
“cn=Cris,dc=SER2008, dc=local” “cn=Jorge,dc=SER2008, dc=local”
‐memberof “cn=Administradores,cn=Builtin,dc=SER2008,dc=local”
La parte en blanco de la siguiente imagen es el Nombre Distintivo
[DN] del grupo que se agregará, donde Demo2 es el nombre, y
SER2008 y local el servidor.
En esta otra imagen la parte en blanco señala algunas de las
propiedades a la hora de crear el grupo:
• ‐samid Demo2: nombre de equipo anterior a Windows 2000
• ‐secgrp yes: selecciona el tipo de grupo como seguridad. En
el caso de que la respuesta fuese no, el grupo sería de tipo
distribución.
• ‐scope g: determina el ámbito de grupo como global. Las
opciones son: l (Dominio local), g(Global), u (Universal)
La siguiente propiedad que podemos añadir al comando es
‐members que se utiliza para añadir usuarios al grupos. Los
usuarios estarán determinados por una lista (estarán
separados por espacios) de sus Nombres Distintivos [DN]. El
comando quedaría:
‐members “cn=Fran,dc=SER2008,dc=local”
“cn=Cris,dc=SER2008,dc=local”
La última propiedad del comando es –memberof. Con este
comando podremos hacer a nuestro grupo miembro de otro
grupo como por ejemplo del grupo Administradores. Sólo
tenemos que poner la propiedad seguida del Nombre
Distintivo [DN] del grupo del que queremos hacerlo miembro:
‐memberof
“cn=Administradores,cn=Builtin,dc=SER2008,dc=local”
También podemos eliminar nuestro grupo desde la línea de
comandos utilizando el comando dsrm. Sólo tenemos que
poner este comando seguido del Nombre Distintivo [DN] del
grupo:
Dsrm “cn=Demo2,dc=SER2008,dc=local”