ADMINISTRAR GRUPOS

ndice
Qusonlosgrupos? Distincindelosgrupospormbitoytipo Tiposdegrupos
GrupodeSeguridad
Gruposlocalespredeterminados Grupospredeterminados

GrupodeDistribucin

IdentidadesEspeciales Qusonlosnivelesfuncionalesdedominio?

 mbitosdegrupos
Gruposglobales Gruposuniversales Gruposlocalesdedominio Gruposlocales

Demostracindecmocreargrupos Demostracindecmomodificarungrupo Demostracincreacinyeliminacinde gruposdesdelalneadecomandos

Parapoderadministrargruposhay quecontestarantesaalgunas preguntasquenosayudena entenderquesonlosgruposypara quenossirvenestosgruposala horadeadministrarnuestros usuariosdeldominio

Ylaprimerapreguntaes Qusonlosgrupos?
Ungrupoesunconjuntodecuentasdeusuario ydeequipo,contactosyotrosgruposquese puedenadministrarcomounasolaunidad. Algunascaractersticasdeestosgruposson:
Simplificanlaadministracinalasignarlospermisospara unrecursocompartidoaungrupoenlugardeausuarios individuales. Sedistinguenporsumbitoytipo. Puedenanidarse,esdecir,sepuedenagregargrupos dentrodeotrosgrupos.

Comosehadichoanteriormentelos grupossedistinguenporsumbito
Elmbitodeungrupodeterminasielgrupo comprendeaunoovariosdominios.losdistintos mbitos,quemsadelanteexplicaremos,son:
Global Localdedominio Universal Local

ytambinsedistinguenporsutipo
Eltipodegrupodeterminasisepuedeusarun grupoparaasignarpermisosdesdeunrecurso compartidoosisepuedeusarungruposlo paralaslistasdedistribucin.Losgrupossegn sutiposon:
Grupodeseguridad. Grupodedistribucin

GrupodeSeguridad
Losgruposdeseguridadseutilizanparaasignar derechosypermisosdeusuarioagruposde usuariosyequipos.Losderechosespecifican queaccionespuedenrealizarlosmiembrosdel grupodeseguridadenundominioobosque, mientrasquelospermisosespecificanaque recursostieneaccesoyelniveldeaccesodeun miembrodeungrupoenlared.

Existenunosgruposquesondeseguridadyque secreanautomticamentecuandoseinstala WindowsServer2008,sonlosgruposlocales predeterminados.Estosgrupospueden contenercuentasdeusuarioslocales,cuentas deusuariodedominio,cuentasdeequipoy gruposlocales.Entreestosgruposse encuentran:Administradores,Invitados, Usuariosdelregistroderendimiento,Usuarios delmonitordelsistema,Usuariosavanzadosu Operadoresdeimpresin.

Paraverestosgruposseguiremoslossiguientes pasos: AbriremosunaventanaEjecutary escribiremoselcomandoMMC(Microsoft ManagementConsole)

 Entoncessenosabrirunaconsolaenlaque haremosclicenarchivoydenuevoclicen agregaroquitarcomplemento:

 Yaquaadiremoselcomplementousuariosy gruposlocales:

 Trasestonosaparecernlosgruposlocales predeterminadoscitadosanteriormente:

 Hayquetenerencuentaquetrasinstalar ActiveDirectorynossaldrunerrorqueno nosdejarabrirestecomplementodentrode MMC:

Tambinexistenotrosgruposquesonde seguridadyquesecreanautomticamente cuandosecreaundominiodeActiveDirectory,y sonlosgrupospredeterminados. Amuchosde estosgruposselesasignanautomticamenteun conjuntodederechosdeusuarioqueautorizan alosmiembrosdelgrupoarealizarciertas accionesenundominio.Cuandoseagregaun usuarioaungrupopredeterminado,eseusuario recibe:
Todoslosderechosdeusuarioasignadosalgrupo Todoslospermisosasignadosalgrupoparalosrecursos compartidos

Esconvenientetenerencuentaalgunas consideracionesantesdeagregarunusuarioa ungrupopredeterminado:

Coloqueunusuarioenungrupopredeterminadoslo cuandoestsegurodequedeseesofrecerletodoslos derechosypermisosdeusuarioasignadosadichogrupoen ActiveDirectory;delocontrario,creeunnuevogrupode seguridad. Porseguridad,losmiembrosdelosgrupos predeterminadosdebenusarEjecutarcomo pararealizar tareasadministrativas.

Estosgrupospredeterminados seencuentran enloscontenedoresBuiltin yUsers.Losgrupos predeterminadosdelcontenedorBuiltinsonde mbitoLocal.Sumbitoytipodegruponose puedenmodificar.Losgruposdelcontenedor UserssondembitoGlobaloLocaldeDominio. Losgruposdeestoscontenedoressepueden moveraotrosgruposounidadesorganizativas, peronosepuedenmoveraotrosdominios.

Parallegaraverestosgrupossolodeberemos entrarenInicio,herramientasadministrativas,y allhacerclicenusuariosyequiposdeActive Directory:

YpodremosvertantoelcontenedorBuiltin:

ComoelcontenedorUsers:

GrupodeDistribucin
Estosgruposseutilizanconaplicacionesde correoelectrnicocomoMicrosoftExchange, paraenviarmensajesdecorreoelectrnicoa gruposdeusuarios.Lafinalidadprincipaldeeste tipodegrupoesrecopilarobjetosrelacionados. Aunquelosgruposdeseguridadtienentodaslas funcionesdelosgruposdedistribucin,estos sonnecesariosdebidoaquealgunas aplicacionesslopuedenutilizargruposde distribucin.

PerodentrodeActiveDirectoryexistenotros gruposqueseconocenconelnombrede IdentidadesEspeciales,yqueenWindows Server2003recibenelnombredeGruposdel sistema. Songrupospredeterminados,y las pertenenciasdeestosgruposaotrosnose puedenvernimodificar.Representanadistintos usuariosendistintasocasiones,enfuncinde lascircunstancias.Losgruposidentidades especialesson:

Identidad Especial Iniciodesesin annimo

Descripcin Este gruporepresentaalosusuariosy serviciosqueobtienenaccesoaun equipoyasusrecursosatravsdelared sinusarunnombredecuenta,contrasea onombrededominio Este gruporepresentaatodoslos usuariosactualesdelared,incluidos invitadosyusuariosdeotrosdominios Estegruporepresentaalosusuariosque obtienenaccesoenesemomentoaun recursodadoatravsdelared. Este gruporepresentaatodoslos usuariosquedisponendeunasesin iniciadaenunequipodeterminadoyque estnobteniendoaccesoaunrecurso ubicadoeneseequipo

Todos

Red

Interactivo

AunquealasIdentidadesEspecialesselespuedeconceder derechosypermisosparalosrecursos,suspertenenciasnose puedenvernimodificar.LasIdentidadesEspecialesnotiene mbitosdegrupos.

Qusonlosnivelesfuncionalesde dominio?
LascaractersticasdelosgruposdeActive Directorydependendelnivelfuncionalde dominio.Lafuncionalidaddeldominioactiva funcionesqueafectanatodoundominioya todoesedominio.Determinaqueclasede caractersticasestarndisponibles,comopor ejemplolacapacidaddeunirbosques.Elnivel funcionalsepuedeelevarperounavezelevado nosepodrvolveraunnivelfuncionalinferior.

Enestatablasepuedenverlosniveles funcionalesysuscaractersticas:
Windows2000 Windows mixto 2000nativo (predeterminado) Controladores dedominio admitidos mbitosde grupo admitidos WindowsNT Server4,0, Windows2000, WindowsServer 2003,Windows Server2008 Globalylocalde dominio Windows 2000, Windows Server2003, Windows Server2008 Windows Server2003 Windows Server 2003, Windows Server2008 Windows Server2008

Windows server2008

Global,local Global,localde Global,localde dedominio dominioy dominioy yuniversal universal universal

EnWindowsServer2008noexisteelnivelfuncional Windows2000mixto,perosienWindowsServer2003,y parapoderconvertirungrupodeseguridadenungrupode distribucinyviceversaelnivelfuncionaldebeencontrarse definidoenWindows2000nativoosuperior.

Elevarelnivelfuncionaldeldominioesmuyfcil.Slo tenemosqueiraUsuariosyequiposdeActiveDirectoryy hacerclicconelbotnderechoennuestrodominio,ynos aparecerlaopcinelevarelnivelfuncionaldeldominio:

Yenlaventanaquenossalepodremoselevarel nivelfuncionaldedominio.Recordadqueuna vezelevadonopodrisvolveraunnivelinferior:

mbitosdegrupos
Comoseexplicalprincipiodelapresentacin elmbitodeungrupodeterminasielgrupo comprendeaunoovariosdominios.los distintosmbitos,queacontinuacinse explicarnenprofundidadson:
Global Localdedominio Universal Local

Gruposglobales
Losmiembrodelosgruposglobalespueden incluirslootrosgruposycuentasdeldominio enelqueseencuentradefinidoelgrupo.Alos miembrosdeestosgruposselespuedenasignar permisosencualquierdominiodelbosque. Seaconsejaqueseusenlosgruposconmbito globalparaadministrarobjetosdedirectorio querequieranunmantenimientodiario,como lascuentasdeusuarioydeequipo

Lascaractersticasdelosgruposglobalesson:
Miembros:
Enunnivelfuncionaldedominiomixto,losgruposglobalespueden contenercuentasdeusuarioyequipodelmismodominioqueelgrupo global. Enunnivelfuncionalnativo,losgruposglobalespuedencontenercuentas deusuario,cuentasdeequipoygruposglobalesdelmismodominioqueel grupoglobal.

Puedesermiembrode:
Enelmodomixto,ungrupolocalpuedesermiembrodegruposlocalesde dominio. Enelmodonativo,ungrupoglobalpuedesermiembrodegruposlocales dedominioyuniversalesencualquierdominio,ydegruposglobalesdel mismodominioqueelgrupoglobal.

mbito:
Ungrupoglobalesvisibledentrodesudominioydetodoslosdominios deconfianza,enlosqueseincluyentodoslosdominiosdelbosque.

Permisos:
Puedeconcederpermisosaungrupoglobalparatodoslosdominiosdel bosque.

Gruposuniversales
Losmiembrosdelosgruposuniversalespueden incluirotrosgruposycuentasdecualquier dominiodelbosqueodelrboldedominios.A losmiembrosdeestosgruposselespueden asignarpermisosencualquierdominiodel bosqueodelrboldedominios. Seutilizanlosgruposconmbitouniversalpara consolidarlosgruposqueabarcanvarios dominios. Parapoderutilizarlosgruposuniversaleselnivel funcionaldeldominiodebederWindows2000 nativoosuperior

Lascaractersticasdelosgruposuniversalesson:
Miembros:
Nopuedecreargruposuniversalesenelmodomixto. Enelmodonativo,losgruposuniversalespuedencontenercuentasde usuario,cuentasdeequipo,gruposglobales yotrosgrupos universalesdecualquierdominiodelbosque.

Puedesermiembrode:
Nosepuedeaplicarelgrupouniversalenelmodomixto. Enelmodonativo,elgrupouniversalpuedesermiembrodelos gruposlocalesdedominioyuniversalesdecualquierdominio.

mbito:
Losgruposuniversalessonvisiblesentodoslosdominiosdelbosquey dominiosdeconfianza.

Permisos:
Puedeconcederpermisosagruposuniversalesparatodoslos dominiosdelbosque.

Gruposlocalesdedominio
Losmiembrosdelosgruposlocalesdedominio puedenincluirotrosgruposycuentasde dominiosdeWindowsServer2003,Windows 2000,WindowsNTyWindowsServer2008.A losmiembrosdeestosgrupossloselespueden asignarpermisosdentrodeundominio. Losgruposconmbitolocaldedominioayudan adefiniryadministrarelaccesoalosrecursos dentrodeundominionico.Puedentenerlos siguientesmiembros:

GruposconmbitoGlobal GruposconmbitoUniversal Cuentas OtrosgruposconmbitoLocaldedominio Unacombinacindelosanteriores

Lascaractersticasdelosgruposlocalesde dominioson:
Miembros:
Enelmodomixto,losgruposlocalesdedominiopuedencontenercuentasde usuario,cuentasdeequipoygruposglobalesdecualquierdominio.Los servidoresmiembrosnopuedenutilizargruposlocalesdedominioenelmodo mixto. Enelmodonativo,losgruposlocalesdedominiopuedencontenercuentasde usuario,cuentasdeequipo,gruposglobalesygruposuniversalesdecualquier dominiodelbosqueygruposlocalesdedominiodesumismodominio.

Puedesermiembrode:
Enelmodomixto,ungrupolocaldedominionopuedesermiembrode ningngrupo. Enelmodonativo,ungrupolocaldedominiopuedesermiembrodegrupos localesdedominiodesumismodominio.

mbito:
Ungrupolocaldedominiosloesvisibleeneldominioalquepertenece.

Permisos:
Puedeasignarpermisosaungrupolocaldedominioparaeldominioalque perteneceelgrupolocaldedominio.

Gruposlocales
Ungrupolocalesunconjuntodecuentasde usuarioygruposdedominiocreadosenun servidormiembrooenunservidor independiente.Sepuedencreargrupos localesparaconcederpermisosparalos recursosqueresidanenelequipolocal. Losgruposlocalesavecesrecibenelnombrede gruposlocalesdedominioparadistinguirlos delosgruposlocalesdedominio.

Lascaractersticasdelosgruposlocalesson:
Losgruposlocalespuedencontenercuentasdeusuario localesdelequipoenelquesecreaelgrupolocal. Losgruposlocalesnopuedensermiembrosdeotrogrupo.

Directricesalahoradeutilizarlosgrupos locales:
Slopuedeutilizargruposlocalesenelequipoenelquese creandichosgruposlocales.Lospermisosdeestosgrupos ofrecenaccesosloalosrecursosdelequipoenelquese creelgrupolocal. Nosepuedencreargruposlocalesencontroladoresde dominio,porquestosnotienenunabasededatossegura.

Ytrassaberunpocomsacercadelosgrupos, pasaremosalacreacin,modificaciny eliminacindestos. Losgrupossecreanenlosdominios.Paracrear gruposseutilizalaherramientaUsuariosy equiposdeActiveDirectory.Conlospermisos necesariossepuedencreargruposenel dominiorazdelbosque,encualquierotro dominiodelbosqueoenunaunidad organizativa.

Demostracindecmocreargrupos
CrearungrupoenWindowsServer2008esalgomuysencillo. Slotenemosqueseguirlossiguientespasos: EntraremosenlaherramientaUsuariosyequiposdeActive Directory queseencuentraenlasHerramientas Administrativas:

 Ahoraharemosclicconelbotnderechoeneldominio,en uncontenedordelosqueyaexistenoenalgngrupoo unidadorganizativaquehayamoscreadoanteriormente. Daremosanuevoyaquengrupo:

 Ynosaparecerunaventanadondepondremosnombrea nuestrogrupoyleasignaremoselmbitoyeltipode grupo.Aceptamosyyatendremoscreadonuestrogrupo:

Demostracindecmomodificarun grupo
Ahorapodremosmodificarnuestrogrupohaciendoclic derechosobrelyclicenPropiedades:

Empezaremosporlapestaageneral.Aqupodremoscambiar elnombre,ponerleunadescripcin,uncorreo,ocambiarel mbitooeltipodegrupo:

Alahoradecambiarelmbitooeltipodegrupohayque tenervariascosasencuenta.Sinuestrogrupoesdembito globalnopodremoscambiarloambitodeDominiolocal,y viceversa:

ParahacerestecambiodembitodeGlobalaDominioLocalo viceversahayquepasarantesporelmbitoUniversal:

Tambinpodemoscambiareltipodegrupo,peroalhacerel cambiodetipoSeguridadatipoDistribucinnosdaruna advertencia:

Enlapestaamiembrospodremosagregaraquellosusuarios ogruposquequeremosquepertenezcanaestegrupo:

Daremosaagregaryahenavanzadas:

HaremosclicenBuscarahoraynossaldrntodoslosusuarios ygruposquepodemosagregaranuestrogrupo:

EnlapestaaMiembrodepondremosaquegrupoqueremos quepertenezcanuestrogrupo.Losgruposqueaqusalgan sernsiempregruposdedominiolocal:

Haremosclicenagregaryluegoenavanzadas:

LedamosaBuscarahoraynosaparecerntodoslosgrupos delosquenospodemoshacermiembros:

EnlapestaaAdministradoporpodemosasignarun administradoralgrupo.Enesteadministradordelegala autoridadparaagregaryeliminarusuariosdelgrupo:

LedaremosaCambiarydespusaAvanzadas

DespusharemosclicenBuscarahoraypodremoselegiral administradordenuestrogrupo:

TantoenlapestaaMiembroscomoMiembrodepodremos eliminarlosusuariosygrupos.Slotenemosque seleccionarlosyhacerclicenQuitar

Tambinpodemosquitareladministradordelgrupo.Slo tenemosquehacerclicenborrar:

Encualquiermomentopodemoseliminarelgrupoquehemos creado.Solotenemosqueseleccionarloyhacerclicsobre conelbotnderecho.Entoncespinchamosenlaopcin eliminar:

Nospreguntarsirealmentequeremoseliminarnuestro grupo.Decimosquesynuestrogrupoquedareliminado:

Demostracincreacinyeliminacin degruposdesdelalneadecomandos
Tambinpodemosutilizarlalneadecomandostantopara crearcomoparaeliminarlosgrupos.Paraestoabriremosla lneadecomandosutilizandoelcomandoCMDenlaventana deEjecutar:

Yaenlaconsolautilizaremoselcomandosdsadd group /? Aspodremosverlaayudaparaestecomandoqueeselque seutilizaparacreargrupos:

Elcomandocompletoqueutilizaremosparacrearelgruposer: Dsadd group cn=Demo2,dc=SER2008,dc=localsamid Demo2 secgrp yesscope gmembers cn=Fran,dc=SER2008,dc=local cn=Cris,dc=SER2008,dc=localcn=Jorge,dc=SER2008,dc=local memberof cn=Administradores,cn=Builtin,dc=SER2008,dc=local LaparteenblancodelasiguienteimageneselNombreDistintivo [DN]delgrupoqueseagregar,dondeDemo2eselnombre,y SER2008ylocalelservidor.

Enestaotraimagenlaparteenblancosealaalgunasdelas propiedadesalahoradecrearelgrupo: samid Demo2:nombredeequipoanterioraWindows2000 secgrp yes:seleccionaeltipodegrupocomoseguridad.En elcasodequelarespuestafueseno,elgruposeradetipo distribucin. scope g:determinaelmbitodegrupocomoglobal.Las opcionesson:l(Dominiolocal),g(Global),u(Universal)

Lasiguientepropiedadquepodemosaadiralcomandoes members queseutilizaparaaadirusuariosalgrupos.Los usuariosestarndeterminadosporunalista(estarn separadosporespacios)desusNombresDistintivos[DN].El comandoquedara:

members cn=Fran,dc=SER2008,dc=local cn=Cris,dc=SER2008,dc=local

Laltimapropiedaddelcomandoesmemberof.Coneste comandopodremoshaceranuestrogrupomiembrodeotro grupocomoporejemplodelgrupoAdministradores.Slo tenemosqueponerlapropiedadseguidadelNombre Distintivo[DN]delgrupodelquequeremoshacerlomiembro: memberof cn=Administradores,cn=Builtin,dc=SER2008,dc=local

Tambinpodemoseliminarnuestrogrupodesdelalneade comandosutilizandoelcomandodsrm.Slotenemosque ponerestecomandoseguidodelNombreDistintivo[DN]del grupo: Dsrm cn=Demo2,dc=SER2008,dc=local