Professional Documents
Culture Documents
ndice
Qusonlosgrupos? Distincindelosgrupospormbitoytipo Tiposdegrupos
GrupodeSeguridad
Gruposlocalespredeterminados Grupospredeterminados
GrupodeDistribucin
IdentidadesEspeciales Qusonlosnivelesfuncionalesdedominio?
mbitosdegrupos
Gruposglobales Gruposuniversales Gruposlocalesdedominio Gruposlocales
Ylaprimerapreguntaes Qusonlosgrupos?
Ungrupoesunconjuntodecuentasdeusuario ydeequipo,contactosyotrosgruposquese puedenadministrarcomounasolaunidad. Algunascaractersticasdeestosgruposson:
Simplificanlaadministracinalasignarlospermisospara unrecursocompartidoaungrupoenlugardeausuarios individuales. Sedistinguenporsumbitoytipo. Puedenanidarse,esdecir,sepuedenagregargrupos dentrodeotrosgrupos.
Comosehadichoanteriormentelos grupossedistinguenporsumbito
Elmbitodeungrupodeterminasielgrupo comprendeaunoovariosdominios.losdistintos mbitos,quemsadelanteexplicaremos,son:
Global Localdedominio Universal Local
ytambinsedistinguenporsutipo
Eltipodegrupodeterminasisepuedeusarun grupoparaasignarpermisosdesdeunrecurso compartidoosisepuedeusarungruposlo paralaslistasdedistribucin.Losgrupossegn sutiposon:
Grupodeseguridad. Grupodedistribucin
GrupodeSeguridad
Losgruposdeseguridadseutilizanparaasignar derechosypermisosdeusuarioagruposde usuariosyequipos.Losderechosespecifican queaccionespuedenrealizarlosmiembrosdel grupodeseguridadenundominioobosque, mientrasquelospermisosespecificanaque recursostieneaccesoyelniveldeaccesodeun miembrodeungrupoenlared.
Existenunosgruposquesondeseguridadyque secreanautomticamentecuandoseinstala WindowsServer2008,sonlosgruposlocales predeterminados.Estosgrupospueden contenercuentasdeusuarioslocales,cuentas deusuariodedominio,cuentasdeequipoy gruposlocales.Entreestosgruposse encuentran:Administradores,Invitados, Usuariosdelregistroderendimiento,Usuarios delmonitordelsistema,Usuariosavanzadosu Operadoresdeimpresin.
Yaquaadiremoselcomplementousuariosy gruposlocales:
Trasestonosaparecernlosgruposlocales predeterminadoscitadosanteriormente:
Tambinexistenotrosgruposquesonde seguridadyquesecreanautomticamente cuandosecreaundominiodeActiveDirectory,y sonlosgrupospredeterminados. Amuchosde estosgruposselesasignanautomticamenteun conjuntodederechosdeusuarioqueautorizan alosmiembrosdelgrupoarealizarciertas accionesenundominio.Cuandoseagregaun usuarioaungrupopredeterminado,eseusuario recibe:
Todoslosderechosdeusuarioasignadosalgrupo Todoslospermisosasignadosalgrupoparalosrecursos compartidos
Estosgrupospredeterminados seencuentran enloscontenedoresBuiltin yUsers.Losgrupos predeterminadosdelcontenedorBuiltinsonde mbitoLocal.Sumbitoytipodegruponose puedenmodificar.Losgruposdelcontenedor UserssondembitoGlobaloLocaldeDominio. Losgruposdeestoscontenedoressepueden moveraotrosgruposounidadesorganizativas, peronosepuedenmoveraotrosdominios.
YpodremosvertantoelcontenedorBuiltin:
ComoelcontenedorUsers:
GrupodeDistribucin
Estosgruposseutilizanconaplicacionesde correoelectrnicocomoMicrosoftExchange, paraenviarmensajesdecorreoelectrnicoa gruposdeusuarios.Lafinalidadprincipaldeeste tipodegrupoesrecopilarobjetosrelacionados. Aunquelosgruposdeseguridadtienentodaslas funcionesdelosgruposdedistribucin,estos sonnecesariosdebidoaquealgunas aplicacionesslopuedenutilizargruposde distribucin.
PerodentrodeActiveDirectoryexistenotros gruposqueseconocenconelnombrede IdentidadesEspeciales,yqueenWindows Server2003recibenelnombredeGruposdel sistema. Songrupospredeterminados,y las pertenenciasdeestosgruposaotrosnose puedenvernimodificar.Representanadistintos usuariosendistintasocasiones,enfuncinde lascircunstancias.Losgruposidentidades especialesson:
Descripcin Este gruporepresentaalosusuariosy serviciosqueobtienenaccesoaun equipoyasusrecursosatravsdelared sinusarunnombredecuenta,contrasea onombrededominio Este gruporepresentaatodoslos usuariosactualesdelared,incluidos invitadosyusuariosdeotrosdominios Estegruporepresentaalosusuariosque obtienenaccesoenesemomentoaun recursodadoatravsdelared. Este gruporepresentaatodoslos usuariosquedisponendeunasesin iniciadaenunequipodeterminadoyque estnobteniendoaccesoaunrecurso ubicadoeneseequipo
Todos
Red
Interactivo
Qusonlosnivelesfuncionalesde dominio?
LascaractersticasdelosgruposdeActive Directorydependendelnivelfuncionalde dominio.Lafuncionalidaddeldominioactiva funcionesqueafectanatodoundominioya todoesedominio.Determinaqueclasede caractersticasestarndisponibles,comopor ejemplolacapacidaddeunirbosques.Elnivel funcionalsepuedeelevarperounavezelevado nosepodrvolveraunnivelfuncionalinferior.
Enestatablasepuedenverlosniveles funcionalesysuscaractersticas:
Windows2000 Windows mixto 2000nativo (predeterminado) Controladores dedominio admitidos mbitosde grupo admitidos WindowsNT Server4,0, Windows2000, WindowsServer 2003,Windows Server2008 Globalylocalde dominio Windows 2000, Windows Server2003, Windows Server2008 Windows Server2003 Windows Server 2003, Windows Server2008 Windows Server2008
Windows server2008
mbitosdegrupos
Comoseexplicalprincipiodelapresentacin elmbitodeungrupodeterminasielgrupo comprendeaunoovariosdominios.los distintosmbitos,queacontinuacinse explicarnenprofundidadson:
Global Localdedominio Universal Local
Gruposglobales
Losmiembrodelosgruposglobalespueden incluirslootrosgruposycuentasdeldominio enelqueseencuentradefinidoelgrupo.Alos miembrosdeestosgruposselespuedenasignar permisosencualquierdominiodelbosque. Seaconsejaqueseusenlosgruposconmbito globalparaadministrarobjetosdedirectorio querequieranunmantenimientodiario,como lascuentasdeusuarioydeequipo
Lascaractersticasdelosgruposglobalesson:
Miembros:
Enunnivelfuncionaldedominiomixto,losgruposglobalespueden contenercuentasdeusuarioyequipodelmismodominioqueelgrupo global. Enunnivelfuncionalnativo,losgruposglobalespuedencontenercuentas deusuario,cuentasdeequipoygruposglobalesdelmismodominioqueel grupoglobal.
Puedesermiembrode:
Enelmodomixto,ungrupolocalpuedesermiembrodegruposlocalesde dominio. Enelmodonativo,ungrupoglobalpuedesermiembrodegruposlocales dedominioyuniversalesencualquierdominio,ydegruposglobalesdel mismodominioqueelgrupoglobal.
mbito:
Ungrupoglobalesvisibledentrodesudominioydetodoslosdominios deconfianza,enlosqueseincluyentodoslosdominiosdelbosque.
Permisos:
Puedeconcederpermisosaungrupoglobalparatodoslosdominiosdel bosque.
Gruposuniversales
Losmiembrosdelosgruposuniversalespueden incluirotrosgruposycuentasdecualquier dominiodelbosqueodelrboldedominios.A losmiembrosdeestosgruposselespueden asignarpermisosencualquierdominiodel bosqueodelrboldedominios. Seutilizanlosgruposconmbitouniversalpara consolidarlosgruposqueabarcanvarios dominios. Parapoderutilizarlosgruposuniversaleselnivel funcionaldeldominiodebederWindows2000 nativoosuperior
Lascaractersticasdelosgruposuniversalesson:
Miembros:
Nopuedecreargruposuniversalesenelmodomixto. Enelmodonativo,losgruposuniversalespuedencontenercuentasde usuario,cuentasdeequipo,gruposglobales yotrosgrupos universalesdecualquierdominiodelbosque.
Puedesermiembrode:
Nosepuedeaplicarelgrupouniversalenelmodomixto. Enelmodonativo,elgrupouniversalpuedesermiembrodelos gruposlocalesdedominioyuniversalesdecualquierdominio.
mbito:
Losgruposuniversalessonvisiblesentodoslosdominiosdelbosquey dominiosdeconfianza.
Permisos:
Puedeconcederpermisosagruposuniversalesparatodoslos dominiosdelbosque.
Gruposlocalesdedominio
Losmiembrosdelosgruposlocalesdedominio puedenincluirotrosgruposycuentasde dominiosdeWindowsServer2003,Windows 2000,WindowsNTyWindowsServer2008.A losmiembrosdeestosgrupossloselespueden asignarpermisosdentrodeundominio. Losgruposconmbitolocaldedominioayudan adefiniryadministrarelaccesoalosrecursos dentrodeundominionico.Puedentenerlos siguientesmiembros:
Lascaractersticasdelosgruposlocalesde dominioson:
Miembros:
Enelmodomixto,losgruposlocalesdedominiopuedencontenercuentasde usuario,cuentasdeequipoygruposglobalesdecualquierdominio.Los servidoresmiembrosnopuedenutilizargruposlocalesdedominioenelmodo mixto. Enelmodonativo,losgruposlocalesdedominiopuedencontenercuentasde usuario,cuentasdeequipo,gruposglobalesygruposuniversalesdecualquier dominiodelbosqueygruposlocalesdedominiodesumismodominio.
Puedesermiembrode:
Enelmodomixto,ungrupolocaldedominionopuedesermiembrode ningngrupo. Enelmodonativo,ungrupolocaldedominiopuedesermiembrodegrupos localesdedominiodesumismodominio.
mbito:
Ungrupolocaldedominiosloesvisibleeneldominioalquepertenece.
Permisos:
Puedeasignarpermisosaungrupolocaldedominioparaeldominioalque perteneceelgrupolocaldedominio.
Gruposlocales
Ungrupolocalesunconjuntodecuentasde usuarioygruposdedominiocreadosenun servidormiembrooenunservidor independiente.Sepuedencreargrupos localesparaconcederpermisosparalos recursosqueresidanenelequipolocal. Losgruposlocalesavecesrecibenelnombrede gruposlocalesdedominioparadistinguirlos delosgruposlocalesdedominio.
Lascaractersticasdelosgruposlocalesson:
Losgruposlocalespuedencontenercuentasdeusuario localesdelequipoenelquesecreaelgrupolocal. Losgruposlocalesnopuedensermiembrosdeotrogrupo.
Directricesalahoradeutilizarlosgrupos locales:
Slopuedeutilizargruposlocalesenelequipoenelquese creandichosgruposlocales.Lospermisosdeestosgrupos ofrecenaccesosloalosrecursosdelequipoenelquese creelgrupolocal. Nosepuedencreargruposlocalesencontroladoresde dominio,porquestosnotienenunabasededatossegura.
Ytrassaberunpocomsacercadelosgrupos, pasaremosalacreacin,modificaciny eliminacindestos. Losgrupossecreanenlosdominios.Paracrear gruposseutilizalaherramientaUsuariosy equiposdeActiveDirectory.Conlospermisos necesariossepuedencreargruposenel dominiorazdelbosque,encualquierotro dominiodelbosqueoenunaunidad organizativa.
Demostracindecmocreargrupos
CrearungrupoenWindowsServer2008esalgomuysencillo. Slotenemosqueseguirlossiguientespasos: EntraremosenlaherramientaUsuariosyequiposdeActive Directory queseencuentraenlasHerramientas Administrativas:
Demostracindecmomodificarun grupo
Ahorapodremosmodificarnuestrogrupohaciendoclic derechosobrelyclicenPropiedades:
ParahacerestecambiodembitodeGlobalaDominioLocalo viceversahayquepasarantesporelmbitoUniversal:
Enlapestaamiembrospodremosagregaraquellosusuarios ogruposquequeremosquepertenezcanaestegrupo:
Daremosaagregaryahenavanzadas:
HaremosclicenBuscarahoraynossaldrntodoslosusuarios ygruposquepodemosagregaranuestrogrupo:
Haremosclicenagregaryluegoenavanzadas:
LedamosaBuscarahoraynosaparecerntodoslosgrupos delosquenospodemoshacermiembros:
LedaremosaCambiarydespusaAvanzadas
DespusharemosclicenBuscarahoraypodremoselegiral administradordenuestrogrupo:
Tambinpodemosquitareladministradordelgrupo.Slo tenemosquehacerclicenborrar:
Nospreguntarsirealmentequeremoseliminarnuestro grupo.Decimosquesynuestrogrupoquedareliminado:
Demostracincreacinyeliminacin degruposdesdelalneadecomandos
Tambinpodemosutilizarlalneadecomandostantopara crearcomoparaeliminarlosgrupos.Paraestoabriremosla lneadecomandosutilizandoelcomandoCMDenlaventana deEjecutar:
Elcomandocompletoqueutilizaremosparacrearelgruposer: Dsadd group cn=Demo2,dc=SER2008,dc=localsamid Demo2 secgrp yesscope gmembers cn=Fran,dc=SER2008,dc=local cn=Cris,dc=SER2008,dc=localcn=Jorge,dc=SER2008,dc=local memberof cn=Administradores,cn=Builtin,dc=SER2008,dc=local LaparteenblancodelasiguienteimageneselNombreDistintivo [DN]delgrupoqueseagregar,dondeDemo2eselnombre,y SER2008ylocalelservidor.
Enestaotraimagenlaparteenblancosealaalgunasdelas propiedadesalahoradecrearelgrupo: samid Demo2:nombredeequipoanterioraWindows2000 secgrp yes:seleccionaeltipodegrupocomoseguridad.En elcasodequelarespuestafueseno,elgruposeradetipo distribucin. scope g:determinaelmbitodegrupocomoglobal.Las opcionesson:l(Dominiolocal),g(Global),u(Universal)