Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros del grupo.

Los grupos de Servicios de dominio de Active Directory (AD DS) son objetos de directorio que residen en un dominio y en objetos contenedores de unidad organizativa (OU). AD DS proporciona un conjunto de grupos predeterminados cuando se instala y también incluye una opción para crearlos.

Los grupos de AD DS se pueden usar para:

  • Simplificar la administración al asignar los permisos para un recurso compartido a un grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un grupo, se concede el mismo acceso al recurso a todos los miembros de dicho grupo.

  • Delegar la administración asignando derechos de usuario a un grupo una sola vez mediante la directiva de grupo. Después, a ese grupo le puede agregar miembros que desee que tengan los mismos derechos que el grupo.

  • Crear listas de distribución de correo electrónico.

Los grupos se caracterizan por su ámbito y su tipo. El ámbito de un grupo determina el alcance del grupo dentro de un dominio o bosque. El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo solo para las listas de distribución de correo electrónico (para grupos de distribución).

También existen grupos cuyas pertenencias a grupos no se pueden ver ni modificar. Estos grupos se conocen con el nombre de identidades especiales. Representan a distintos usuarios en distintas ocasiones, en función de las circunstancias. Por ejemplo, el grupo Todos es una identidad especial que representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios.

En las secciones siguientes se ofrece más información acerca de las cuentas de grupo de AD DS.

Grupos predeterminados

Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos de seguridad que se crean automáticamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y para delegar roles administrativos específicos en todo el dominio.

A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autorizan a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar sesión en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de seguridad para todos los controladores de dominio del dominio.

Cuando se agrega un usuario a un grupo, ese usuario recibe:

  • Todos los derechos de usuario asignados al grupo

  • Todos los permisos asignados al grupo para los recursos compartidos

Los grupos predeterminados se encuentran en el contenedor Builtin y en el contenedor Users. Los grupos predeterminados del contenedor Builtin tienen el ámbito de grupo Integrado local. Su ámbito de grupo y tipo de grupo no se pueden cambiar. El contenedor Users incluye grupos definidos con ámbito Global y grupos definidos con ámbito Local de dominio. Los grupos ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas del dominio, pero no se pueden mover a otros dominios.

Para obtener más información acerca de los grupos predeterminados, vea el documento sobre grupos predeterminados (https://go.microsoft.com/fwlink/?LinkId=131422, puede estar en inglés).

Ámbito de grupo

Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres ámbitos de grupo: local de dominio, global y universal.

Grupos locales de dominio

Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2. A los miembros de estos grupos solo se les pueden asignar permisos dentro de un dominio.

Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio único. Estos grupos pueden tener los siguientes miembros:

  • Cuentas de cualquier dominio

  • Grupos globales de cualquier dominio

  • Grupos universales de cualquier dominio

  • Grupos locales de dominio, pero solo del mismo dominio que el grupo local de dominio primario

  • Una combinación de los anteriores

Por ejemplo, para conceder acceso a una impresora determinada a cinco usuarios, puede agregar las cinco cuentas de usuario a la lista de permisos de la impresora. Sin embargo, si posteriormente desea que esos cinco usuarios tengan acceso a otra impresora, deberá volver a especificar las cinco cuentas en la lista de permisos para la nueva impresora.

Con un poco de previsión, puede simplificar esta tarea administrativa rutinaria al crear un grupo con ámbito Local de dominio y asignarle permisos de acceso a la impresora. Coloque las cinco cuentas de usuario en un grupo con ámbito Global y agregue este grupo al grupo que tiene ámbito Local de dominio. Cuando desee que los cinco usuarios tengan acceso a una nueva impresora, asigne permisos de acceso a la nueva impresora al grupo con ámbito Local de dominio. Todos los miembros del grupo con ámbito Global recibirán automáticamente el acceso a la nueva impresora.

Grupos globales

Los miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.

Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo. Dado que los grupos con ámbito Global no se replican fuera de su propio dominio, las cuentas de un grupo con ámbito Global se pueden cambiar frecuentemente sin generar tráfico de replicación en el catálogo global.

Aunque las asignaciones de derechos y permisos solo son válidas en el dominio en el que se asignan, al aplicar grupos con ámbito Global de manera uniforme entre los dominios apropiados, es posible consolidar las referencias a cuentas con fines similares. De esta manera se simplifica y se racionaliza la administración de grupos entre dominios. Por ejemplo, en una red que tenga dos dominios, Europe y UnitedStates, si hay un grupo con ámbito Global denominado GLAccounting en el dominio UnitedStates, debería haber también un grupo denominado GLAccounting en el dominio Europe (a menos que esa función de contabilidad (Accounting) no exista en el dominio Europe).

Importante

Recomendamos encarecidamente que use grupos globales o universales en lugar de grupos locales de dominio cuando especifique permisos para objetos de directorio de dominio que se repliquen en el catálogo global.

Grupos universales

Los grupos universales pueden tener los siguientes miembros:

  • Cuentas de cualquier dominio del bosque en el que reside este grupo universal

  • Grupos globales de cualquier dominio del bosque en el que reside este grupo universal

  • Grupos universales de cualquier dominio del bosque en el que reside este grupo universal

A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios. Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas a los grupos con ámbito Global y anide estos grupos dentro de los grupos que tengan ámbito Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen ámbito Global no afectan a los grupos con ámbito Universal.

Por ejemplo, si una red tiene dos dominios, Europe y UnitedStates, y hay un grupo con ámbito Global denominado GLAccounting en cada dominio, cree un grupo con ámbito Universal denominado UAccounting que tenga como miembros los dos grupos GLAccounting, UnitedStates\GLAccounting y Europe\GLAccounting. Después, podrá usar el grupo UAccounting en cualquier lugar de la organización. Los cambios de pertenencia de los grupos GLAccounting individuales no producirá la replicación del grupo UAccounting.

No cambie la pertenencia de un grupo con ámbito Universal frecuentemente. Los cambios de pertenencia de este tipo de grupo hacen que se replique toda la pertenencia del grupo en cada catálogo global del bosque.

Tipos de grupos

Hay dos tipos de grupos en AD DS: grupos de distribución y grupos de seguridad. Puede usar grupos de distribución para crear listas de distribución de correo electrónico. Puede usar grupos de seguridad para asignar permisos a los recursos compartidos.

Los grupos de distribución solo se pueden usar con aplicaciones de correo electrónico (como Microsoft Exchange Server 2007) para enviar mensajes a conjuntos de usuarios. Los grupos de distribución no tienen seguridad habilitada, lo que significa que no pueden aparecer en las listas de control de acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad.

Si se usan con cuidado, los grupos de seguridad son eficaces para conceder acceso a los recursos de la red. Con los grupos de seguridad se puede:

  • Asignar derechos de usuario a los grupos de seguridad de AD DS

    Se asignan derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese grupo en el ámbito de un dominio (o bosque). A algunos grupos de seguridad se les asignan derechos de usuario automáticamente cuando se instala AD DS para ayudar a los administradores a definir el rol administrativo de una persona en el dominio. Por ejemplo, si se agrega un usuario al grupo Operadores de copia de seguridad en AD DS, éste puede realizar operaciones de copia de seguridad y restauración de archivos y directorios en cada controlador de dominio del dominio.

  • Asignar permisos para recursos a los grupos de seguridad

    Los permisos y los derechos de usuario no son lo mismo. Los permisos determinan quién puede tener acceso a un recurso compartido. También determinan el nivel de acceso, como Control total. Los grupos de seguridad se pueden usar para administrar el acceso y los permisos en un recurso compartido. Algunos permisos que se establecen en objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.

Como sucede con los grupos de distribución, los grupos de seguridad también se pueden usar como entidades de correo electrónico. Al enviar un mensaje de correo electrónico a un grupo de seguridad, se envía a todos sus miembros.

Identidades especiales

Además de los grupos de los contenedores Users y Builtin, los servidores en los que se ejecuta Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003 incluyen varias identidades especiales. Por comodidad se las suele llamar grupos. Estos grupos especiales no tienen pertenencias específicas que se puedan modificar. Sin embargo, pueden representar a distintos usuarios en distintas ocasiones, en función de las circunstancias. Los grupos siguientes son identidades especiales:

  • Inicio de sesión anónimo

    Este grupo representa a los usuarios y servicios que obtienen acceso a un equipo y sus recursos a través de la red sin usar un nombre de cuenta, contraseña o nombre de dominio. En los equipos con Windows NT y versiones anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos con Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003, el grupo Inicio de sesión anónimo no es miembro del grupo Todos de manera predeterminada.

  • Todos

    Este grupo representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cuando un usuario inicia sesión en la red, se agrega automáticamente al grupo Todos.

  • Red

    Este grupo representa a los usuarios que obtienen acceso en ese momento a un recurso dado a través de la red, frente a los usuarios que obtienen acceso a un recurso mediante un inicio de sesión local en el equipo en el que reside el recurso. Cuando un usuario obtiene acceso a un recurso dado a través de la red, se agrega automáticamente al grupo Red.

  • Interactivo

    Este grupo representa a todos los usuarios que disponen de una sesión iniciada en un equipo determinado y que están obteniendo acceso a un recurso ubicado en ese equipo, frente a los usuarios que obtienen acceso al recurso a través de la red. Cuando un usuario obtiene acceso a un recurso dado en el equipo en el que ha iniciado sesión, se agrega automáticamente al grupo Interactivo.

Aunque a las identidades especiales se les pueden conceder derechos y permisos para los recursos, las pertenencias de identidades especiales no se pueden ver ni modificar. Las identidades especiales no tienen ámbitos de grupo. Los usuarios son asignados automáticamente a ellas cuando inician sesión u obtienen acceso a un recurso concreto.

Dónde se pueden crear grupos

En AD DS, los grupos se crean en los dominios. Para crear grupos, puede usar el Centro de administración de Active Directory. Con los permisos necesarios, se pueden crear grupos en el dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa.

Además de por el dominio en el que se crea, un grupo también se caracteriza por su ámbito. El ámbito de un grupo determina lo siguiente:

  • El dominio desde el que se pueden agregar miembros

  • El dominio en el que son válidos los derechos y permisos asignados al grupo

Elija el dominio o la unidad organizativa donde va a crear un grupo en función de las tareas de administración que requiera el grupo. Por ejemplo, si un directorio tiene varias unidades organizativas y cada una tiene un administrador diferente, puede crear grupos con ámbito Global dentro de esas unidades organizativas para que los administradores administren la pertenencia a grupos de los usuarios de las unidades organizativas que les correspondan. Si se necesitan grupos para controlar el acceso fuera de la unidad organizativa, puede anidar los grupos de la unidad organizativa dentro de grupos con ámbito Universal (u otros grupos con ámbito Global) que puede utilizar en otros lugares del bosque.

Si el nivel funcional del dominio se encuentra definido como nativo de Windows 2000 o superior, el dominio contiene una jerarquía de unidades organizativas y la administración se delega a los administradores de cada unidad organizativa, puede que sea más eficaz anidar los grupos con ámbito Global. Por ejemplo, si OU1 contiene a OU2 y OU3, un grupo con ámbito Global en OU1 puede tener como miembros a los grupos con ámbito Global en OU2 y OU3. En OU1, el administrador puede agregar o quitar miembros de grupo de OU1 y los administradores de OU2 y OU3 pueden agregar o quitar miembros de grupo para las cuentas de sus propias OU sin tener derechos administrativos para el grupo con ámbito Global en OU1.

Nota

Es posible mover grupos dentro de un dominio, pero solo los grupos con ámbito Global se pueden mover entre dominios diferentes. Los derechos y permisos que se asignan a un grupo con ámbito Universal se pierden cuando el grupo se mueve a otro dominio y deben realizarse nuevas asignaciones.

Referencias adicionales


Tabla de contenido