Los grupos son colecciones de usuarios, equipos u otros grupos que permiten administrar de forma simplificada los permisos y accesos a recursos. Existen grupos locales en equipos individuales y grupos de dominio en Active Directory que pueden ser de seguridad u de distribución. Los grupos de dominio tienen diferentes ámbitos (local, global, universal) que determinan su alcance y miembros permitidos. Los usuarios, equipos y grupos se agregan como miembros para heredar los permisos asignados al grupo.
3. GRUPOS
Un grupo es una colección de usuarios, equipos u
otros grupos
• Los grupos se usan para simplificar la
administración del acceso de usuarios y equipos a
los recursos (directorios, ficheros, impresoras,
etc.)
• Permiten conceder permisos de acceso a varios
usuarios al mismo tiempo, en lugar de
concederlos
usuario a usuario
4. GRUPOS
Los miembros de un grupo tienen los mismos derechos y permisos
concedidos al grupo.
• Los usuarios pueden pertenecer a varios grupos.
• Los grupos y las cuentas de equipos también pueden pertenecer a un
Grupo.
5. GRUPOS
Los grupos funcionan de forma diferente en un equipo
local que en un dominio
• Grupos en un equipo local, llamados grupos locales
– Se crean en equipos que son estaciones de trabajo independientes o
servidores miembro, pero NO en controladores de dominio
– Residen en SAM (Security Accounts Manager)
– Se usan para otorgar permisos a recursos y otorgar derechos para
las tareas del sistema en el equipo local
• Grupos en un dominio:
– Se crean únicamente en controladores de dominio
– Residen en el servicio de directorio Active Directory
– Se usan para otorgar permisos a recursos y otorgar derechos para
tareas del sistema en cualquier equipo del dominio
8. GRUPOS
Tipos de grupos de dominio
– Grupos de seguridad:
• Pueden tener descriptores de seguridad asociados
• Permiten asignar permisos para el acceso a los recursos
compartidos en el dominio
– Su finalidad es controlar quién puede usar qué recursos
• También pueden ser usados para enviar mensajes de
Correo
– Grupos de distribución:
• Se usan para listas de distribución de correo electrónico
• A estos grupos no se les puede asignar permisos para el
acceso a los recursos
9. GRUPOS
Ámbito de grupos de seguridad de dominio
– El ámbito de un grupo determina dónde se usará ese grupo, y afecta
a la pertenencia del grupo y al anidamiento de grupos (agrupar grupos
como
miembros de otros grupos)
– Grupos de ámbito local de dominio (grupos locales de dominio): se
usan para garantizar permisos a recursos de dominio situados en el
mismo dominio
• Están pensados para ayudar a administrar el acceso a los recursos,
tales como impresoras y carpetas compartidas
• El recurso no tiene por qué residir en un controlador de dominio,
puede estar en un servidor miembro
• Sólo se les pueden asignar permisos en el mismo dominio
• Pueden tener como miembros cuentas de usuario, grupos globales y
universales de cualquier dominio y grupos locales de su mismo
dominio
• Se pueden agregar a otros grupos locales de dominio
10. GRUPOS
Ámbito de grupos de dominio:
– Grupos de ámbito global (grupos globales): se usan
para otorgar permisos a objetos del dominio
• Están pensados para administrar cuentas de usuario y grupo
en
el dominio particular
• Se incluyen en un grupo de dominio local para acceder a sus
recursos
• Tienen una pertenencia limitada, sólo pueden tener como
miembros cuentas y grupos globales del mismo dominio
• Pueden anidarse dentro de otros grupos, e.d., pueden ser
miembro de otro grupo global del mismo dominio, a grupos
locales de dominio y a grupos universales del mismo y otro
Dominio.
11. GRUPOS
Ejemplo de ámbito de grupos de dominio:
– Grupo local de dominio impresora_color que tiene permisos
para imprimir en la impresora LaserColor
– Grupo global de dominio profesoresASO
• A ese grupo pertenecen los usuarios que son profesores de la
asignatura
ASO: Pilar, Eduardo, Juanjo (pero no el resto de profesores)
• Ese grupo de usuarios puede imprimir en la impresora LaserColor
• El grupo profesoresASO se hace miembro de impresora_color para
darle permisos sobre la impresora, y que puedan imprimir
– Grupo universal Todosusuimpresora
• Se hacen miembros los grupos globales aso.esalumnos y
etc.esalumnos (aso.es y etc.es son dos dominios del mismo bosque)
• El grupo Todosusuimpresora se hace miembro del grupo local
impresora_color
• Al asignar permisos al grupo universal se dan a todos sus miembros
13. GRUPOS
Creación de un grupo de dominio
– Herramienta Usuarios y equipos del AD, en la Unidad
organizativa, seleccionar Nuevo y después Grupo
– Es necesario seleccionar
• Nombre del grupo (no se distingue entre mayúsculas y
minúsculas)
• Ámbito de grupo: Dominio Local, Global o Universal
• Tipo de grupo: Seguridad o Distribución
• Creación de un grupo local
– Herramienta Usuarios y grupos locales: en Grupos y
seleccione Nuevo grupo
– Nombre del grupo y una descripción del mismo.
14. GRUPOS
Pertenencia a un grupo por defecto
– Por defecto hay establecidas una serie de pertenencias
– En un dominio
• Todos los usuarios de dominio son miembros del grupo
Usuarios de dominio y ese es su grupo principal
• Todos los equipos (servidores miembro) del dominio son
miembros de Equipos de dominio y ese es su grupo
principal
• Todos los controladores de dominio son miembros de
Controladores de dominio y ese es su grupo principal
– Para sistemas con grupos locales
• Todos los usuarios son miembros del grupo Usuarios
15. GRUPOS
Pertenencia a un grupo
– Pertenencia individual:
• En el usuario, grupo o equipo (sólo para AD) que quiere
modificar y en Propiedades seleccione la ficha Miembro de
• Seleccione Agregar para abrir el cuadro de diálogo
Seleccionar
grupos, escoja en él los nuevos grupos
• También puede eliminar la cuenta de un grupo con Quitar
– Administración de varias pertenencias:
• En el Propiedades del grupo, seleccione la ficha Miembros
• Seleccione Agregar y escoja usuarios, equipos y grupos que
serán miembros del grupo
• También puede eliminar la cuenta de un grupo con Quitar
16. GRUPOS
Pertenencia a un grupo
– Pertenencia individual:
• En el usuario, grupo o equipo (sólo para AD) que quiere
modificar y en Propiedades seleccione la ficha Miembro de
• Seleccione Agregar para abrir el cuadro de diálogo
Seleccionar
grupos, escoja en él los nuevos grupos
• También puede eliminar la cuenta de un grupo con Quitar
– Administración de varias pertenencias:
• En el Propiedades del grupo, seleccione la ficha Miembros
• Seleccione Agregar y escoja usuarios, equipos y grupos que
serán miembros del grupo
• También puede eliminar la cuenta de un grupo con Quitar.