ADMINISTRARGRUPOS

ndice

Qusonlosgrupos? Distincindelosgrupospormbitoytipo Tiposdegrupos

GrupodeSeguridad Gruposlocalespredeterminados Grupospredeterminados

GrupodeDistribucin IdentidadesEspeciales Qusonlosnivelesfuncionalesdedominio?

mbitosdegrupos Gruposglobales Gruposuniversales Gruposlocalesdedominio Gruposlocales

Demostracindecmocreargrupos Demostracindecmomodificarungrupo Demostracincreacinyeliminacindegruposdesdelalneadecomandos

Parapoderadministrargruposhayquecontestarantesaalgunaspreguntasquenosayudena

entenderquesonlosgruposyparaquenossirvenestosgruposalahoradeadministrarnuestros

usuariosdeldominio

YlaprimerapreguntaesQusonlosgrupos?

Ungrupoesunconjuntodecuentasdeusuarioydeequipo,contactosyotrosgruposquesepuedenadministrarcomounasolaunidad.Algunascaractersticasdeestosgruposson:

Simplificanlaadministracinalasignarlospermisosparaunrecursocompartidoaungrupoenlugardeausuariosindividuales.

Sedistinguenporsumbitoytipo. Puedenanidarse,esdecir,sepuedenagregargrupos

dentrodeotrosgrupos.

Comosehadichoanteriormentelosgrupossedistinguenporsumbito

Elmbitodeungrupodeterminasielgrupocomprendeaunoovariosdominios.losdistintosmbitos,quemsadelanteexplicaremos,son:

Global Localdedominio Universal Local

ytambinsedistinguenporsutipo

Eltipodegrupodeterminasisepuedeusarungrupoparaasignarpermisosdesdeunrecursocompartidoosisepuedeusarungruposlo

paralaslistasdedistribucin.Losgrupossegnsutiposon:

Grupodeseguridad. Grupodedistribucin

GrupodeSeguridad

Losgruposdeseguridadseutilizanparaasignarderechosypermisosdeusuarioagruposdeusuariosyequipos.Losderechosespecificanqueaccionespuedenrealizarlosmiembrosdelgrupodeseguridadenundominioobosque,mientrasquelospermisosespecificanaque

recursostieneaccesoyelniveldeaccesodeunmiembrodeungrupoenlared.

ExistenunosgruposquesondeseguridadyquesecreanautomticamentecuandoseinstalaWindowsServer2008,sonlosgruposlocales

predeterminados.Estosgrupospuedencontenercuentasdeusuarioslocales,cuentasdeusuariodedominio,cuentasdeequipoy

gruposlocales.Entreestosgruposseencuentran:Administradores,Invitados,

Usuariosdelregistroderendimiento,Usuariosdelmonitordelsistema,Usuariosavanzadosu

Operadoresdeimpresin.

Paraverestosgruposseguiremoslossiguientespasos:

AbriremosunaventanaEjecutaryescribiremoselcomandoMMC(MicrosoftManagementConsole)

Entoncessenosabrirunaconsolaenlaqueharemosclicenarchivoydenuevoclicenagregaroquitarcomplemento:

Yaquaadiremoselcomplementousuariosygruposlocales:

Trasestonosaparecernlosgruposlocalespredeterminadoscitadosanteriormente:

HayquetenerencuentaquetrasinstalarActiveDirectorynossaldrunerrorquenonosdejarabrirestecomplementodentrodeMMC:

Tambinexistenotrosgruposquesondeseguridadyquesecreanautomticamente

cuandosecreaundominiodeActiveDirectory,ysonlosgrupospredeterminados. Amuchosdeestosgruposselesasignanautomticamenteunconjuntodederechosdeusuarioqueautorizanalosmiembrosdelgrupoarealizarciertas

accionesenundominio.Cuandoseagregaunusuarioaungrupopredeterminado,eseusuario

recibe: Todoslosderechosdeusuarioasignadosalgrupo Todoslospermisosasignadosalgrupoparalosrecursos

compartidos

Esconvenientetenerencuentaalgunasconsideracionesantesdeagregarunusuarioa

ungrupopredeterminado: Coloqueunusuarioenungrupopredeterminadoslo

cuandoestsegurodequedeseesofrecerletodoslosderechosypermisosdeusuarioasignadosadichogrupoenActiveDirectory;delocontrario,creeunnuevogrupodeseguridad.

Porseguridad,losmiembrosdelosgrupospredeterminadosdebenusarEjecutarcomo pararealizartareasadministrativas.

Estosgrupospredeterminados seencuentranenloscontenedoresBuiltin yUsers.LosgrupospredeterminadosdelcontenedorBuiltinsondembitoLocal.Sumbitoytipodegruponosepuedenmodificar.Losgruposdelcontenedor

UserssondembitoGlobaloLocaldeDominio.Losgruposdeestoscontenedoressepuedenmoveraotrosgruposounidadesorganizativas,peronosepuedenmoveraotrosdominios.

ParallegaraverestosgrupossolodeberemosentrarenInicio,herramientasadministrativas,yallhacerclicenusuariosyequiposdeActive

Directory:

YpodremosvertantoelcontenedorBuiltin:

ComoelcontenedorUsers:

GrupodeDistribucin

EstosgruposseutilizanconaplicacionesdecorreoelectrnicocomoMicrosoftExchange,paraenviarmensajesdecorreoelectrnicoa

gruposdeusuarios.Lafinalidadprincipaldeestetipodegrupoesrecopilarobjetosrelacionados.Aunquelosgruposdeseguridadtienentodaslasfuncionesdelosgruposdedistribucin,estos

sonnecesariosdebidoaquealgunasaplicacionesslopuedenutilizargruposde

distribucin.

PerodentrodeActiveDirectoryexistenotrosgruposqueseconocenconelnombredeIdentidadesEspeciales,yqueenWindows

Server2003recibenelnombredeGruposdelsistema. Songrupospredeterminados,y laspertenenciasdeestosgruposaotrosnose

puedenvernimodificar.Representanadistintosusuariosendistintasocasiones,enfuncindelascircunstancias.Losgruposidentidades

especialesson:

Identidad Especial Descripcin

Iniciodesesinannimo

Este gruporepresentaalosusuariosyserviciosqueobtienenaccesoaun

equipoyasusrecursosatravsdelaredsinusarunnombredecuenta,contrasea

onombrededominio

TodosEste gruporepresentaatodoslos

usuariosactualesdelared,incluidosinvitadosyusuariosdeotrosdominios

RedEstegruporepresentaalosusuariosqueobtienenaccesoenesemomentoaun

recursodadoatravsdelared.

Interactivo

Este gruporepresentaatodoslosusuariosquedisponendeunasesin

iniciadaenunequipodeterminadoyqueestnobteniendoaccesoaunrecurso

ubicadoeneseequipo

AunquealasIdentidadesEspecialesselespuedeconcederderechosypermisosparalosrecursos,suspertenenciasnosepuedenvernimodificar.LasIdentidadesEspecialesnotiene

mbitosdegrupos.

Qusonlosnivelesfuncionalesdedominio?

LascaractersticasdelosgruposdeActiveDirectorydependendelnivelfuncionalde

dominio.Lafuncionalidaddeldominioactivafuncionesqueafectanatodoundominioyatodoesedominio.Determinaqueclasedecaractersticasestarndisponibles,comoporejemplolacapacidaddeunirbosques.Elnivelfuncionalsepuedeelevarperounavezelevadonosepodrvolveraunnivelfuncionalinferior.

Enestatablasepuedenverlosnivelesfuncionalesysuscaractersticas:

Windows2000mixto

(predeterminado)

Windows2000nativo

WindowsServer2003

WindowsServer2008

Controladoresdedominioadmitidos

WindowsNTServer4,0,

Windows2000,WindowsServer2003,WindowsServer2008

Windows2000,

WindowsServer2003,Windows

Server2008

WindowsServer 2003,Windows

Server2008

Windowsserver2008

mbitosdegrupo

admitidos

Globalylocaldedominio

Global,localdedominioyuniversal

Global,localdedominioyuniversal

Global,localdedominioyuniversal

EnWindowsServer2008noexisteelnivelfuncionalWindows2000mixto,perosienWindowsServer2003,y

parapoderconvertirungrupodeseguridadenungrupodedistribucinyviceversaelnivelfuncionaldebeencontrarse

definidoenWindows2000nativoosuperior.

Elevarelnivelfuncionaldeldominioesmuyfcil.SlotenemosqueiraUsuariosyequiposdeActiveDirectoryyhacerclicconelbotnderechoennuestrodominio,ynosaparecerlaopcinelevarelnivelfuncionaldeldominio:

Yenlaventanaquenossalepodremoselevarelnivelfuncionaldedominio.Recordadqueunavezelevadonopodrisvolveraunnivelinferior:

mbitosdegrupos

Comoseexplicalprincipiodelapresentacinelmbitodeungrupodeterminasielgrupocomprendeaunoovariosdominios.losdistintosmbitos,queacontinuacinse

explicarnenprofundidadson: Global Localdedominio Universal Local

Gruposglobales

Losmiembrodelosgruposglobalespuedenincluirslootrosgruposycuentasdeldominioenelqueseencuentradefinidoelgrupo.Alosmiembrosdeestosgruposselespuedenasignar

permisosencualquierdominiodelbosque.Seaconsejaqueseusenlosgruposconmbitoglobalparaadministrarobjetosdedirectorioquerequieranunmantenimientodiario,como

lascuentasdeusuarioydeequipo

Lascaractersticasdelosgruposglobalesson: Miembros:

Enunnivelfuncionaldedominiomixto,losgruposglobalespuedencontenercuentasdeusuarioyequipodelmismodominioqueelgrupoglobal.

Enunnivelfuncionalnativo,losgruposglobalespuedencontenercuentasdeusuario,cuentasdeequipoygruposglobalesdelmismodominioqueelgrupoglobal.

Puedesermiembrode: Enelmodomixto,ungrupolocalpuedesermiembrodegruposlocalesde

dominio. Enelmodonativo,ungrupoglobalpuedesermiembrodegruposlocales

dedominioyuniversalesencualquierdominio,ydegruposglobalesdelmismodominioqueelgrupoglobal.

mbito: Ungrupoglobalesvisibledentrodesudominioydetodoslosdominios

deconfianza,enlosqueseincluyentodoslosdominiosdelbosque. Permisos:

Puedeconcederpermisosaungrupoglobalparatodoslosdominiosdelbosque.

GruposuniversalesLosmiembrosdelosgruposuniversalespueden

incluirotrosgruposycuentasdecualquierdominiodelbosqueodelrboldedominios.Alosmiembrosdeestosgruposselespuedenasignarpermisosencualquierdominiodel

bosqueodelrboldedominios.Seutilizanlosgruposconmbitouniversalpara

consolidarlosgruposqueabarcanvariosdominios.

ParapoderutilizarlosgruposuniversaleselnivelfuncionaldeldominiodebederWindows2000

nativoosuperior

Lascaractersticasdelosgruposuniversalesson: Miembros:

Nopuedecreargruposuniversalesenelmodomixto. Enelmodonativo,losgruposuniversalespuedencontenercuentasde

usuario,cuentasdeequipo,gruposglobales yotrosgruposuniversalesdecualquierdominiodelbosque.

Puedesermiembrode: Nosepuedeaplicarelgrupouniversalenelmodomixto. Enelmodonativo,elgrupouniversalpuedesermiembrodelos

gruposlocalesdedominioyuniversalesdecualquierdominio.

mbito: Losgruposuniversalessonvisiblesentodoslosdominiosdelbosquey

dominiosdeconfianza.

Permisos: Puedeconcederpermisosagruposuniversalesparatodoslos

dominiosdelbosque.

Gruposlocalesdedominio

Losmiembrosdelosgruposlocalesdedominiopuedenincluirotrosgruposycuentasde

dominiosdeWindowsServer2003,Windows2000,WindowsNTyWindowsServer2008.A

losmiembrosdeestosgrupossloselespuedenasignarpermisosdentrodeundominio.

Losgruposconmbitolocaldedominioayudanadefiniryadministrarelaccesoalosrecursosdentrodeundominionico.Puedentenerlos

siguientesmiembros:

GruposconmbitoGlobal GruposconmbitoUniversal Cuentas OtrosgruposconmbitoLocaldedominio Unacombinacindelosanteriores

Lascaractersticasdelosgruposlocalesdedominioson:

Miembros: Enelmodomixto,losgruposlocalesdedominiopuedencontenercuentasde

usuario,cuentasdeequipoygruposglobalesdecualquierdominio.Losservidoresmiembrosnopuedenutilizargruposlocalesdedominioenelmodomixto.

Enelmodonativo,losgruposlocalesdedominiopuedencontenercuentasdeusuario,cuentasdeequipo,gruposglobalesygruposuniversalesdecualquierdominiodelbosqueygruposlocalesdedominiodesumismodominio.

Puedesermiembrode: Enelmodomixto,ungrupolocaldedominionopuedesermiembrode

ningngrupo. Enelmodonativo,ungrupolocaldedominiopuedesermiembrodegrupos

localesdedominiodesumismodominio. mbito:

Ungrupolocaldedominiosloesvisibleeneldominioalquepertenece. Permisos:

Puedeasignarpermisosaungrupolocaldedominioparaeldominioalqueperteneceelgrupolocaldedominio.

Gruposlocales

Ungrupolocalesunconjuntodecuentasdeusuarioygruposdedominiocreadosenun

servidormiembrooenunservidorindependiente.Sepuedencreargruposlocalesparaconcederpermisosparalosrecursosqueresidanenelequipolocal.

Losgruposlocalesavecesrecibenelnombredegruposlocalesdedominioparadistinguirlos

delosgruposlocalesdedominio.

Lascaractersticasdelosgruposlocalesson: Losgruposlocalespuedencontenercuentasdeusuario

localesdelequipoenelquesecreaelgrupolocal. Losgruposlocalesnopuedensermiembrosdeotrogrupo.

Directricesalahoradeutilizarlosgruposlocales:

Slopuedeutilizargruposlocalesenelequipoenelquesecreandichosgruposlocales.Lospermisosdeestosgruposofrecenaccesosloalosrecursosdelequipoenelquese

creelgrupolocal. Nosepuedencreargruposlocalesencontroladoresdedominio,porquestosnotienenunabasededatossegura.

Ytrassaberunpocomsacercadelosgrupos,pasaremosalacreacin,modificaciny

eliminacindestos.Losgrupossecreanenlosdominios.Paracrear

gruposseutilizalaherramientaUsuariosyequiposdeActiveDirectory.Conlospermisos

necesariossepuedencreargruposeneldominiorazdelbosque,encualquierotro

dominiodelbosqueoenunaunidadorganizativa.

DemostracindecmocreargruposCrearungrupoenWindowsServer2008esalgomuysencillo.

Slotenemosqueseguirlossiguientespasos: EntraremosenlaherramientaUsuariosyequiposdeActive

Directory queseencuentraenlasHerramientasAdministrativas:

Ahoraharemosclicconelbotnderechoeneldominio,enuncontenedordelosqueyaexistenoenalgngrupoounidadorganizativaquehayamoscreadoanteriormente.Daremosanuevoyaquengrupo:

Ynosaparecerunaventanadondepondremosnombreanuestrogrupoyleasignaremoselmbitoyeltipodegrupo.Aceptamosyyatendremoscreadonuestrogrupo:

Demostracindecmomodificarungrupo

AhorapodremosmodificarnuestrogrupohaciendoclicderechosobrelyclicenPropiedades:

Empezaremosporlapestaageneral.Aqupodremoscambiarelnombre,ponerleunadescripcin,uncorreo,ocambiarelmbitooeltipodegrupo:

Alahoradecambiarelmbitooeltipodegrupohayquetenervariascosasencuenta.SinuestrogrupoesdembitoglobalnopodremoscambiarloambitodeDominiolocal,yviceversa:

ParahacerestecambiodembitodeGlobalaDominioLocaloviceversahayquepasarantesporelmbitoUniversal:

Tambinpodemoscambiareltipodegrupo,peroalhacerelcambiodetipoSeguridadatipoDistribucinnosdarunaadvertencia:

Enlapestaamiembrospodremosagregaraquellosusuariosogruposquequeremosquepertenezcanaestegrupo:

Daremosaagregaryahenavanzadas:

HaremosclicenBuscarahoraynossaldrntodoslosusuariosygruposquepodemosagregaranuestrogrupo:

EnlapestaaMiembrodepondremosaquegrupoqueremosquepertenezcanuestrogrupo.Losgruposqueaqusalgansernsiempregruposdedominiolocal:

Haremosclicenagregaryluegoenavanzadas:

LedamosaBuscarahoraynosaparecerntodoslosgruposdelosquenospodemoshacermiembros:

EnlapestaaAdministradoporpodemosasignarunadministradoralgrupo.Enesteadministradordelegalaautoridadparaagregaryeliminarusuariosdelgrupo:

LedaremosaCambiarydespusaAvanzadas

DespusharemosclicenBuscarahoraypodremoselegiraladministradordenuestrogrupo:

TantoenlapestaaMiembroscomoMiembrodepodremoseliminarlosusuariosygrupos.SlotenemosqueseleccionarlosyhacerclicenQuitar

Tambinpodemosquitareladministradordelgrupo.Slotenemosquehacerclicenborrar:

Encualquiermomentopodemoseliminarelgrupoquehemoscreado.Solotenemosqueseleccionarloyhacerclicsobreconelbotnderecho.Entoncespinchamosenlaopcineliminar:

Nospreguntarsirealmentequeremoseliminarnuestrogrupo.Decimosquesynuestrogrupoquedareliminado:

DemostracincreacinyeliminacindegruposdesdelalneadecomandosTambinpodemosutilizarlalneadecomandostantoparacrearcomoparaeliminarlosgrupos.ParaestoabriremoslalneadecomandosutilizandoelcomandoCMDenlaventanadeEjecutar:

Yaenlaconsolautilizaremoselcomandosdsadd group /?Aspodremosverlaayudaparaestecomandoqueeselqueseutilizaparacreargrupos:

Elcomandocompletoqueutilizaremosparacrearelgruposer:Dsadd group cn=Demo2,dc=SER2008,dc=localsamid Demo2secgrp yesscope gmembers cn=Fran,dc=SER2008,dc=localcn=Cris,dc=SER2008,dc=localcn=Jorge,dc=SER2008,dc=localmemberof cn=Administradores,cn=Builtin,dc=SER2008,dc=localLaparteenblancodelasiguienteimageneselNombreDistintivo[DN]delgrupoqueseagregar,dondeDemo2eselnombre,ySER2008ylocalelservidor.

Enestaotraimagenlaparteenblancosealaalgunasdelaspropiedadesalahoradecrearelgrupo: samid Demo2:nombredeequipoanterioraWindows2000 secgrp yes:seleccionaeltipodegrupocomoseguridad.Enelcasodequelarespuestafueseno,elgruposeradetipodistribucin. scope g:determinaelmbitodegrupocomoglobal.Lasopcionesson:l(Dominiolocal),g(Global),u(Universal)

Lasiguientepropiedadquepodemosaadiralcomandoesmembers queseutilizaparaaadirusuariosalgrupos.Losusuariosestarndeterminadosporunalista(estarnseparadosporespacios)desusNombresDistintivos[DN].Elcomandoquedara:members cn=Fran,dc=SER2008,dc=localcn=Cris,dc=SER2008,dc=local

Laltimapropiedaddelcomandoesmemberof.ConestecomandopodremoshaceranuestrogrupomiembrodeotrogrupocomoporejemplodelgrupoAdministradores.SlotenemosqueponerlapropiedadseguidadelNombreDistintivo[DN]delgrupodelquequeremoshacerlomiembro:memberofcn=Administradores,cn=Builtin,dc=SER2008,dc=local

Tambinpodemoseliminarnuestrogrupodesdelalneadecomandosutilizandoelcomandodsrm.SlotenemosqueponerestecomandoseguidodelNombreDistintivo[DN]delgrupo:

Dsrm cn=Demo2,dc=SER2008,dc=local