ADMINISTRARGRUPOS
ndice
Qusonlosgrupos? Distincindelosgrupospormbitoytipo Tiposdegrupos
GrupodeSeguridad Gruposlocalespredeterminados Grupospredeterminados
GrupodeDistribucin IdentidadesEspeciales Qusonlosnivelesfuncionalesdedominio?
mbitosdegrupos Gruposglobales Gruposuniversales Gruposlocalesdedominio Gruposlocales
Demostracindecmocreargrupos Demostracindecmomodificarungrupo Demostracincreacinyeliminacindegruposdesdelalneadecomandos
Parapoderadministrargruposhayquecontestarantesaalgunaspreguntasquenosayudena
entenderquesonlosgruposyparaquenossirvenestosgruposalahoradeadministrarnuestros
usuariosdeldominio
YlaprimerapreguntaesQusonlosgrupos?
Ungrupoesunconjuntodecuentasdeusuarioydeequipo,contactosyotrosgruposquesepuedenadministrarcomounasolaunidad.Algunascaractersticasdeestosgruposson:
Simplificanlaadministracinalasignarlospermisosparaunrecursocompartidoaungrupoenlugardeausuariosindividuales.
Sedistinguenporsumbitoytipo. Puedenanidarse,esdecir,sepuedenagregargrupos
dentrodeotrosgrupos.
Comosehadichoanteriormentelosgrupossedistinguenporsumbito
Elmbitodeungrupodeterminasielgrupocomprendeaunoovariosdominios.losdistintosmbitos,quemsadelanteexplicaremos,son:
Global Localdedominio Universal Local
ytambinsedistinguenporsutipo
Eltipodegrupodeterminasisepuedeusarungrupoparaasignarpermisosdesdeunrecursocompartidoosisepuedeusarungruposlo
paralaslistasdedistribucin.Losgrupossegnsutiposon:
Grupodeseguridad. Grupodedistribucin
GrupodeSeguridad
Losgruposdeseguridadseutilizanparaasignarderechosypermisosdeusuarioagruposdeusuariosyequipos.Losderechosespecificanqueaccionespuedenrealizarlosmiembrosdelgrupodeseguridadenundominioobosque,mientrasquelospermisosespecificanaque
recursostieneaccesoyelniveldeaccesodeunmiembrodeungrupoenlared.
ExistenunosgruposquesondeseguridadyquesecreanautomticamentecuandoseinstalaWindowsServer2008,sonlosgruposlocales
predeterminados.Estosgrupospuedencontenercuentasdeusuarioslocales,cuentasdeusuariodedominio,cuentasdeequipoy
gruposlocales.Entreestosgruposseencuentran:Administradores,Invitados,
Usuariosdelregistroderendimiento,Usuariosdelmonitordelsistema,Usuariosavanzadosu
Operadoresdeimpresin.
Paraverestosgruposseguiremoslossiguientespasos:
AbriremosunaventanaEjecutaryescribiremoselcomandoMMC(MicrosoftManagementConsole)
Entoncessenosabrirunaconsolaenlaqueharemosclicenarchivoydenuevoclicenagregaroquitarcomplemento:
Yaquaadiremoselcomplementousuariosygruposlocales:
Trasestonosaparecernlosgruposlocalespredeterminadoscitadosanteriormente:
HayquetenerencuentaquetrasinstalarActiveDirectorynossaldrunerrorquenonosdejarabrirestecomplementodentrodeMMC:
Tambinexistenotrosgruposquesondeseguridadyquesecreanautomticamente
cuandosecreaundominiodeActiveDirectory,ysonlosgrupospredeterminados. Amuchosdeestosgruposselesasignanautomticamenteunconjuntodederechosdeusuarioqueautorizanalosmiembrosdelgrupoarealizarciertas
accionesenundominio.Cuandoseagregaunusuarioaungrupopredeterminado,eseusuario
recibe: Todoslosderechosdeusuarioasignadosalgrupo Todoslospermisosasignadosalgrupoparalosrecursos
compartidos
Esconvenientetenerencuentaalgunasconsideracionesantesdeagregarunusuarioa
ungrupopredeterminado: Coloqueunusuarioenungrupopredeterminadoslo
cuandoestsegurodequedeseesofrecerletodoslosderechosypermisosdeusuarioasignadosadichogrupoenActiveDirectory;delocontrario,creeunnuevogrupodeseguridad.
Porseguridad,losmiembrosdelosgrupospredeterminadosdebenusarEjecutarcomo pararealizartareasadministrativas.
Estosgrupospredeterminados seencuentranenloscontenedoresBuiltin yUsers.LosgrupospredeterminadosdelcontenedorBuiltinsondembitoLocal.Sumbitoytipodegruponosepuedenmodificar.Losgruposdelcontenedor
UserssondembitoGlobaloLocaldeDominio.Losgruposdeestoscontenedoressepuedenmoveraotrosgruposounidadesorganizativas,peronosepuedenmoveraotrosdominios.
ParallegaraverestosgrupossolodeberemosentrarenInicio,herramientasadministrativas,yallhacerclicenusuariosyequiposdeActive
Directory:
YpodremosvertantoelcontenedorBuiltin:
ComoelcontenedorUsers:
GrupodeDistribucin
EstosgruposseutilizanconaplicacionesdecorreoelectrnicocomoMicrosoftExchange,paraenviarmensajesdecorreoelectrnicoa
gruposdeusuarios.Lafinalidadprincipaldeestetipodegrupoesrecopilarobjetosrelacionados.Aunquelosgruposdeseguridadtienentodaslasfuncionesdelosgruposdedistribucin,estos
sonnecesariosdebidoaquealgunasaplicacionesslopuedenutilizargruposde
distribucin.
PerodentrodeActiveDirectoryexistenotrosgruposqueseconocenconelnombredeIdentidadesEspeciales,yqueenWindows
Server2003recibenelnombredeGruposdelsistema. Songrupospredeterminados,y laspertenenciasdeestosgruposaotrosnose
puedenvernimodificar.Representanadistintosusuariosendistintasocasiones,enfuncindelascircunstancias.Losgruposidentidades
especialesson:
Identidad Especial Descripcin
Iniciodesesinannimo
Este gruporepresentaalosusuariosyserviciosqueobtienenaccesoaun
equipoyasusrecursosatravsdelaredsinusarunnombredecuenta,contrasea
onombrededominio
TodosEste gruporepresentaatodoslos
usuariosactualesdelared,incluidosinvitadosyusuariosdeotrosdominios
RedEstegruporepresentaalosusuariosqueobtienenaccesoenesemomentoaun
recursodadoatravsdelared.
Interactivo
Este gruporepresentaatodoslosusuariosquedisponendeunasesin
iniciadaenunequipodeterminadoyqueestnobteniendoaccesoaunrecurso
ubicadoeneseequipo
AunquealasIdentidadesEspecialesselespuedeconcederderechosypermisosparalosrecursos,suspertenenciasnosepuedenvernimodificar.LasIdentidadesEspecialesnotiene
mbitosdegrupos.
Qusonlosnivelesfuncionalesdedominio?
LascaractersticasdelosgruposdeActiveDirectorydependendelnivelfuncionalde
dominio.Lafuncionalidaddeldominioactivafuncionesqueafectanatodoundominioyatodoesedominio.Determinaqueclasedecaractersticasestarndisponibles,comoporejemplolacapacidaddeunirbosques.Elnivelfuncionalsepuedeelevarperounavezelevadonosepodrvolveraunnivelfuncionalinferior.
Enestatablasepuedenverlosnivelesfuncionalesysuscaractersticas:
Windows2000mixto
(predeterminado)
Windows2000nativo
WindowsServer2003
WindowsServer2008
Controladoresdedominioadmitidos
WindowsNTServer4,0,
Windows2000,WindowsServer2003,WindowsServer2008
Windows2000,
WindowsServer2003,Windows
Server2008
WindowsServer 2003,Windows
Server2008
Windowsserver2008
mbitosdegrupo
admitidos
Globalylocaldedominio
Global,localdedominioyuniversal
Global,localdedominioyuniversal
Global,localdedominioyuniversal
EnWindowsServer2008noexisteelnivelfuncionalWindows2000mixto,perosienWindowsServer2003,y
parapoderconvertirungrupodeseguridadenungrupodedistribucinyviceversaelnivelfuncionaldebeencontrarse
definidoenWindows2000nativoosuperior.
Elevarelnivelfuncionaldeldominioesmuyfcil.SlotenemosqueiraUsuariosyequiposdeActiveDirectoryyhacerclicconelbotnderechoennuestrodominio,ynosaparecerlaopcinelevarelnivelfuncionaldeldominio:
Yenlaventanaquenossalepodremoselevarelnivelfuncionaldedominio.Recordadqueunavezelevadonopodrisvolveraunnivelinferior:
mbitosdegrupos
Comoseexplicalprincipiodelapresentacinelmbitodeungrupodeterminasielgrupocomprendeaunoovariosdominios.losdistintosmbitos,queacontinuacinse
explicarnenprofundidadson: Global Localdedominio Universal Local
Gruposglobales
Losmiembrodelosgruposglobalespuedenincluirslootrosgruposycuentasdeldominioenelqueseencuentradefinidoelgrupo.Alosmiembrosdeestosgruposselespuedenasignar
permisosencualquierdominiodelbosque.Seaconsejaqueseusenlosgruposconmbitoglobalparaadministrarobjetosdedirectorioquerequieranunmantenimientodiario,como
lascuentasdeusuarioydeequipo
Lascaractersticasdelosgruposglobalesson: Miembros:
Enunnivelfuncionaldedominiomixto,losgruposglobalespuedencontenercuentasdeusuarioyequipodelmismodominioqueelgrupoglobal.
Enunnivelfuncionalnativo,losgruposglobalespuedencontenercuentasdeusuario,cuentasdeequipoygruposglobalesdelmismodominioqueelgrupoglobal.
Puedesermiembrode: Enelmodomixto,ungrupolocalpuedesermiembrodegruposlocalesde
dominio. Enelmodonativo,ungrupoglobalpuedesermiembrodegruposlocales
dedominioyuniversalesencualquierdominio,ydegruposglobalesdelmismodominioqueelgrupoglobal.
mbito: Ungrupoglobalesvisibledentrodesudominioydetodoslosdominios
deconfianza,enlosqueseincluyentodoslosdominiosdelbosque. Permisos:
Puedeconcederpermisosaungrupoglobalparatodoslosdominiosdelbosque.
GruposuniversalesLosmiembrosdelosgruposuniversalespueden
incluirotrosgruposycuentasdecualquierdominiodelbosqueodelrboldedominios.Alosmiembrosdeestosgruposselespuedenasignarpermisosencualquierdominiodel
bosqueodelrboldedominios.Seutilizanlosgruposconmbitouniversalpara
consolidarlosgruposqueabarcanvariosdominios.
ParapoderutilizarlosgruposuniversaleselnivelfuncionaldeldominiodebederWindows2000
nativoosuperior
Lascaractersticasdelosgruposuniversalesson: Miembros:
Nopuedecreargruposuniversalesenelmodomixto. Enelmodonativo,losgruposuniversalespuedencontenercuentasde
usuario,cuentasdeequipo,gruposglobales yotrosgruposuniversalesdecualquierdominiodelbosque.
Puedesermiembrode: Nosepuedeaplicarelgrupouniversalenelmodomixto. Enelmodonativo,elgrupouniversalpuedesermiembrodelos
gruposlocalesdedominioyuniversalesdecualquierdominio.
mbito: Losgruposuniversalessonvisiblesentodoslosdominiosdelbosquey
dominiosdeconfianza.
Permisos: Puedeconcederpermisosagruposuniversalesparatodoslos
dominiosdelbosque.
Gruposlocalesdedominio
Losmiembrosdelosgruposlocalesdedominiopuedenincluirotrosgruposycuentasde
dominiosdeWindowsServer2003,Windows2000,WindowsNTyWindowsServer2008.A
losmiembrosdeestosgrupossloselespuedenasignarpermisosdentrodeundominio.
Losgruposconmbitolocaldedominioayudanadefiniryadministrarelaccesoalosrecursosdentrodeundominionico.Puedentenerlos
siguientesmiembros:
GruposconmbitoGlobal GruposconmbitoUniversal Cuentas OtrosgruposconmbitoLocaldedominio Unacombinacindelosanteriores
Lascaractersticasdelosgruposlocalesdedominioson:
Miembros: Enelmodomixto,losgruposlocalesdedominiopuedencontenercuentasde
usuario,cuentasdeequipoygruposglobalesdecualquierdominio.Losservidoresmiembrosnopuedenutilizargruposlocalesdedominioenelmodomixto.
Enelmodonativo,losgruposlocalesdedominiopuedencontenercuentasdeusuario,cuentasdeequipo,gruposglobalesygruposuniversalesdecualquierdominiodelbosqueygruposlocalesdedominiodesumismodominio.
Puedesermiembrode: Enelmodomixto,ungrupolocaldedominionopuedesermiembrode
ningngrupo. Enelmodonativo,ungrupolocaldedominiopuedesermiembrodegrupos
localesdedominiodesumismodominio. mbito:
Ungrupolocaldedominiosloesvisibleeneldominioalquepertenece. Permisos:
Puedeasignarpermisosaungrupolocaldedominioparaeldominioalqueperteneceelgrupolocaldedominio.
Gruposlocales
Ungrupolocalesunconjuntodecuentasdeusuarioygruposdedominiocreadosenun
servidormiembrooenunservidorindependiente.Sepuedencreargruposlocalesparaconcederpermisosparalosrecursosqueresidanenelequipolocal.
Losgruposlocalesavecesrecibenelnombredegruposlocalesdedominioparadistinguirlos
delosgruposlocalesdedominio.
Lascaractersticasdelosgruposlocalesson: Losgruposlocalespuedencontenercuentasdeusuario
localesdelequipoenelquesecreaelgrupolocal. Losgruposlocalesnopuedensermiembrosdeotrogrupo.
Directricesalahoradeutilizarlosgruposlocales:
Slopuedeutilizargruposlocalesenelequipoenelquesecreandichosgruposlocales.Lospermisosdeestosgruposofrecenaccesosloalosrecursosdelequipoenelquese
creelgrupolocal. Nosepuedencreargruposlocalesencontroladoresdedominio,porquestosnotienenunabasededatossegura.
Ytrassaberunpocomsacercadelosgrupos,pasaremosalacreacin,modificaciny
eliminacindestos.Losgrupossecreanenlosdominios.Paracrear
gruposseutilizalaherramientaUsuariosyequiposdeActiveDirectory.Conlospermisos
necesariossepuedencreargruposeneldominiorazdelbosque,encualquierotro
dominiodelbosqueoenunaunidadorganizativa.
DemostracindecmocreargruposCrearungrupoenWindowsServer2008esalgomuysencillo.
Slotenemosqueseguirlossiguientespasos: EntraremosenlaherramientaUsuariosyequiposdeActive
Directory queseencuentraenlasHerramientasAdministrativas:
Ahoraharemosclicconelbotnderechoeneldominio,enuncontenedordelosqueyaexistenoenalgngrupoounidadorganizativaquehayamoscreadoanteriormente.Daremosanuevoyaquengrupo:
Ynosaparecerunaventanadondepondremosnombreanuestrogrupoyleasignaremoselmbitoyeltipodegrupo.Aceptamosyyatendremoscreadonuestrogrupo:
Demostracindecmomodificarungrupo
AhorapodremosmodificarnuestrogrupohaciendoclicderechosobrelyclicenPropiedades:
Empezaremosporlapestaageneral.Aqupodremoscambiarelnombre,ponerleunadescripcin,uncorreo,ocambiarelmbitooeltipodegrupo:
Alahoradecambiarelmbitooeltipodegrupohayquetenervariascosasencuenta.SinuestrogrupoesdembitoglobalnopodremoscambiarloambitodeDominiolocal,yviceversa:
ParahacerestecambiodembitodeGlobalaDominioLocaloviceversahayquepasarantesporelmbitoUniversal:
Tambinpodemoscambiareltipodegrupo,peroalhacerelcambiodetipoSeguridadatipoDistribucinnosdarunaadvertencia:
Enlapestaamiembrospodremosagregaraquellosusuariosogruposquequeremosquepertenezcanaestegrupo:
Daremosaagregaryahenavanzadas:
HaremosclicenBuscarahoraynossaldrntodoslosusuariosygruposquepodemosagregaranuestrogrupo:
EnlapestaaMiembrodepondremosaquegrupoqueremosquepertenezcanuestrogrupo.Losgruposqueaqusalgansernsiempregruposdedominiolocal:
Haremosclicenagregaryluegoenavanzadas:
LedamosaBuscarahoraynosaparecerntodoslosgruposdelosquenospodemoshacermiembros:
EnlapestaaAdministradoporpodemosasignarunadministradoralgrupo.Enesteadministradordelegalaautoridadparaagregaryeliminarusuariosdelgrupo:
LedaremosaCambiarydespusaAvanzadas
DespusharemosclicenBuscarahoraypodremoselegiraladministradordenuestrogrupo:
TantoenlapestaaMiembroscomoMiembrodepodremoseliminarlosusuariosygrupos.SlotenemosqueseleccionarlosyhacerclicenQuitar
Tambinpodemosquitareladministradordelgrupo.Slotenemosquehacerclicenborrar:
Encualquiermomentopodemoseliminarelgrupoquehemoscreado.Solotenemosqueseleccionarloyhacerclicsobreconelbotnderecho.Entoncespinchamosenlaopcineliminar:
Nospreguntarsirealmentequeremoseliminarnuestrogrupo.Decimosquesynuestrogrupoquedareliminado:
DemostracincreacinyeliminacindegruposdesdelalneadecomandosTambinpodemosutilizarlalneadecomandostantoparacrearcomoparaeliminarlosgrupos.ParaestoabriremoslalneadecomandosutilizandoelcomandoCMDenlaventanadeEjecutar:
Yaenlaconsolautilizaremoselcomandosdsadd group /?Aspodremosverlaayudaparaestecomandoqueeselqueseutilizaparacreargrupos:
Elcomandocompletoqueutilizaremosparacrearelgruposer:Dsadd group cn=Demo2,dc=SER2008,dc=localsamid Demo2secgrp yesscope gmembers cn=Fran,dc=SER2008,dc=localcn=Cris,dc=SER2008,dc=localcn=Jorge,dc=SER2008,dc=localmemberof cn=Administradores,cn=Builtin,dc=SER2008,dc=localLaparteenblancodelasiguienteimageneselNombreDistintivo[DN]delgrupoqueseagregar,dondeDemo2eselnombre,ySER2008ylocalelservidor.
Enestaotraimagenlaparteenblancosealaalgunasdelaspropiedadesalahoradecrearelgrupo: samid Demo2:nombredeequipoanterioraWindows2000 secgrp yes:seleccionaeltipodegrupocomoseguridad.Enelcasodequelarespuestafueseno,elgruposeradetipodistribucin. scope g:determinaelmbitodegrupocomoglobal.Lasopcionesson:l(Dominiolocal),g(Global),u(Universal)
Lasiguientepropiedadquepodemosaadiralcomandoesmembers queseutilizaparaaadirusuariosalgrupos.Losusuariosestarndeterminadosporunalista(estarnseparadosporespacios)desusNombresDistintivos[DN].Elcomandoquedara:members cn=Fran,dc=SER2008,dc=localcn=Cris,dc=SER2008,dc=local
Laltimapropiedaddelcomandoesmemberof.ConestecomandopodremoshaceranuestrogrupomiembrodeotrogrupocomoporejemplodelgrupoAdministradores.SlotenemosqueponerlapropiedadseguidadelNombreDistintivo[DN]delgrupodelquequeremoshacerlomiembro:memberofcn=Administradores,cn=Builtin,dc=SER2008,dc=local
Tambinpodemoseliminarnuestrogrupodesdelalneadecomandosutilizandoelcomandodsrm.SlotenemosqueponerestecomandoseguidodelNombreDistintivo[DN]delgrupo:
Dsrm cn=Demo2,dc=SER2008,dc=local
Top Related