Grupos en Windows server

Descripción de Grupos en Windows Server

INTRODUCCIÓN 
Un grupo es una colección de cuentas de usuario y de equipo, contactos y otros grupos. Los grupos se pueden usar para:

  • Simplificar la administración al asignar los permisos para un recurso compartido a un grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un grupo, se concede el mismo acceso al recurso a todos los miembros de dicho grupo.
  • Delegar la administración al asignar derechos de usuario a un grupo una solo vez mediante directivas de grupo.

TIPOS DE GRUPOS 
Windows 2008 incluye dos tipos de grupos:

  • Seguridad.

Se utilizan para asignar permisos y derechos de usuario.

  • Distribución.

Se utilizan únicamente en aplicaciones de correo electrónico. No se pueden utilizar para asignar permisos y derechos.

ÁMBITO DE LOS GRUPOS 
El ámbito de un grupo determina:

  • Los dominios desde los que puede agregar miembros al grupo
  • Los dominios en los que puede utilizar el grupo para conceder permisos
  • Los dominios en los que puede anidar el grupo en otros grupos

Los tres ámbitos de los grupos son:

  • Local de dominio
  • Global
  • Universal

Local de dominio 
Los grupos locales de dominio se utilizan frecuentemente para asignar permisos a los recursos. Un grupo local de dominio tiene las siguientes características:

  • Pertenencia abierta.

Se pueden añadir miembros desde cualquier dominio

  • Acceso a recursos en un dominio.

Se puede utilizar un grupo local de dominio para asignar permisos para acceder solamente a los recursos que se ubican en el mismo dominio donde se ha creado el grupo local de dominio.

Global 
Se utilizan frecuentemente para organizar los usuarios que comparten requisitos de acceso similares a la red. Un grupo global tiene las siguientes características:

  • Pertenencia limitada.

Se pueden añadir miembros solamente desde el dominio en el cual se ha creado el grupo global.

  • Acceso a recursos en cualquier dominio. 

Se puede utilizar un grupo global para asignar permisos para acceder a los recursos que están ubicados en cualquier dominio.

Universal 
Se utilizan para asignar permisos a recursos relacionados en varios dominios. Un grupo universal tiene las siguientes características:

  • Pertenencia abierta. 
Se pueden añadir miembros desde cualquier dominio
  • Acceder a recursos de cualquier dominio. 

Se puede utilizar un grupo universal para asignar permisos para acceder a recursos que están situados en cualquier dominio.

  • Posibilidad de modo Nativo Windows 2000 y Windows 2003-2008 Server solamente.

Los grupos de seguridad universales no están disponibles en modo Mixto.

No es conveniente cambiar la pertenencia de un grupo Universal frecuentemente puesto que los cambios se replican en cada catálogo global del bosque.


PERTENENCIA A UN GRUPO 
El ámbito del grupo determina la pertenencia del grupo. Las reglas de pertenencia definen qué miembros puede contener un grupo. Los miembros del grupo incluyen cuentas de usuarios y otros grupos. Las reglas de pertenencia al grupo son:

Dominio local

  • Modo Mixto - El ámbito puede contener cuentas de usuario, cuentas de computadora y grupos globales de cualquier dominio.
  • Modo Nativo - El ámbito puede contener cuentas de usuario, cuentas de computadora, grupos globales y grupos universales de cualquier dominio, así como grupos locales del mismo dominio

Global

  • Modo Mixto - El ámbito puede contener cuentas de usuario del mismo dominio y cuentas de computadoras.
  • Modo Nativo - El ámbito puede contener cuentas de usuario, cuentas de computadora y grupos globales del mismo dominio.

Universal

  • Modo Mixto - No está disponible.
  • Modo Nativo - El ámbito puede contener cuentas de usuario y cuentas de computadoras de cualquier dominio, grupos globales y grupos universales de cualquier dominio.

CAMBIAR EL ÁMBITO DE UN GRUPO 
Se puede cambiar el ámbito de un grupo solamente en los dominios con modo Nativo. El cambio del ámbito de un grupo no está permitido en dominio con modo Mixto. El ámbito de un grupo se cambia en la ficha General del cuadro de diálogo Propiedades para el grupo.

    • De global a universal. Esta conversión sólo se permite si el grupo global que se desea convertir no es miembro de otro grupo de ámbito global.

Grupo de global a universal

    • De local de dominio a universal. Esta conversión sólo se permite si el grupo local de dominio que se va a convertir no tiene como miembro a otro grupo local de dominio.

Grupo de global a universal

    • De universal a global. Esta conversión sólo se permite si el grupo universal que se desea convertir no tiene como miembro a otro grupo universal.

Grupo de global a universal

ANIDAMIENTO DE GRUPOS
Agregar grupos a otros grupos (anidamiento de grupos) puede reducir el número de veces que se necesitan asignar los permisos. Windows 2008 permite ilimitados niveles de anidamiento en modo Nativo, aunque es conveniente minimizar los niveles de anidamiento porque el seguimiento de permisos se hace más complejo cuanto mayor es el número de anidamientos. Un nivel de anidamiento es el más efectivo, puesto que reduce el número de veces que se necesita asignar permisos y permite seguir los permisos fácilmente.
El anidamiento entre grupos efectivo en un entorno de varios dominios reducirá el tráfico de red entre dominios y simplificará la administración en un árbol de dominio.

ESTRATEGIA DE GRUPOS 
Para utilizar los grupos de forma efectiva se necesita determinar cómo se usarán los grupos y qué tipos de grupos se utilizarán. Microsoft recomienda implementar alguno de los siguientes métodos.
Designaremos cada elemento con un símbolo:

A - (Account) Cuenta de usuario
L - (Domain Local Group) Grupo Local
G - (Global Group) grupo Local
DL - (Domain Local Group) Grupo Local de Dominio
U - (Universal Group) Grupo Universal
P - Permisos

Método A, G, P
Este método consiste en incluir las cuentas de usuario en un grupo global y luego asignar los permisos a este grupo global.

Grupo de global a universal

Ventajas
Este método es simple cuando disponemos de un único dominio. Se utiliza cuando el número de usuarios es bajo y las restricciones de permisos son pocas. La ausencia de anidación de grupos y la utilización de un único tipo de grupo simplifican la administración.
Inconvenientes
Este método es complicado de administrar en una arquitectura de dominios múltiples. También puede degradar el rendimiento porque cuando un usuario accede a un recurso, el servidor debe comprobar las pertenencias del grupo global puesto que el servidor no las guarda en la caché.

Método A, DL, P
Este método consiste en incluir las cuentas de usuario en un grupo local de dominio y, a continuación, asignar los permisos a este grupo local de dominio.

Grupo de global a universal

Ventajas
Aunque este método es poco recomendable, es apropiado para una arquitectura de dominio único, con pocos usuarios y que no tenga que evolucionar hacia un bosque de múltiples dominios. La administración es simple por la utilización de un único tipo de grupo y la ausencia de anidación.
Inconvenientes
La principal limitación de este método es la falta de evolución de arquitectura. En efecto, no se pueden asignar permisos al grupo en el exterior del dominio. 

Método A, G, DL, P
Este método consiste en incluir las cuentas de usuario en un grupo global, los grupos globales en un grupo local de dominio y, a continuación, asignar permisos a este grupo local de dominio.

Grupo de global a universal

Ventajas
Este método se adapta a todas las arquitecturas de dominio (único o múltiple). Debe permitir reducir los tiempos de administración, ya que los permisos son administrados exclusivamente en los grupos locales de dominio mientras que los usuarios pertenecen solamente a los grupos globales. Además, este método es aplicable cualquiera que sea el modo funcional del dominio.
Inconvenientes
La administración y la determinación de los permisos de un usuario son más delicadas para los administradores. Implementar este método requiere un estudio muy trabajado y bien documentado. Está limitado a estructuras muy grandes que administran un gran número de usuarios. 

Método A, G, U, DL, P
Este método consiste en incluir las cuentas de usuario en un grupo global, los grupos globales en un grupo universal, este grupo universal en un grupo local de dominio y luego asignar los permisos y privilegios a este grupo local de dominio

Grupo de global a universal

Ventajas
Este método se adapta a todas las arquitecturas de dominio (único o múltiple). Debe permitir reducir los tiempos de administración, ya que los permisos son administrados exclusivamente en los grupos locales de dominio.
Inconvenientes
La administración y la determinación de los permisos de un usuario son más delicadas para los administradores. Además, este tipo de administración no es nada evidente respecto a su implementación y mantenimiento. Este método requiere la utilización de los grupos universales, por lo tanto, está reservada a los dominios o al bosque en modo funcional nativo de Windows 2000 o Windows 2008. La pertenencia a los grupos universales se guardan en el catálogo global del DC de cada dominio del bosque, por tanto, cuando se modifica la membresía de un grupo universal, esta información tiene que replicarse en todos los DC’s del bosque. 

Método A, G, L, P
Este método consiste en incluir las cuentas de usuario en un grupo global, los grupos globales en un grupo local y luego asignar los permisos a este grupo local.

Grupo de global a universal

Ventajas
Con este método, los grupos locales están definidos (o predefinidos) por equipo y los permisos sobre los recursos locales se asignan a estos grupos. Este método presenta la ventaja de ser compatible con equipos Windows NT4.
Inconvenientes
Con este método no es posible definir permisos en el exterior del equipo local. Esto significa que cada grupo local y sus miembros están administrados en cada equipo que comparte recursos. Por este motivo, la administración de los grupos está descentralizada, ya que no están integrados en el Directorio Activo. Este método es preferible cuando el número de usuarios y de servidores de recursos es pequeño.


Uso de grupos globales y de grupos locales de dominio

Cuando se planea utilizar grupos locales de dominio y globales hay que considerar: o Identificar los usuarios con responsabilidades de trabajo comunes y agregar las cuentas de usuario a un grupo global. o Identificar qué recursos los usuarios necesitan acceder y crear un grupo local de dominio para ese recurso. o Identificar todos los grupos globales que comparten las mismas necesidades de acceso a los recursos y hacerlos miembros del grupo local de dominio adecuado. o Asignar los permisos necesarios al grupo local de dominio. 

Uso de los grupos universales
Cuando se planea utilizar grupos universales hay que considerar:

  • Utilizar los grupos universales para que los usuarios accedan a los recursos ubicados en más de un dominio.
  • Utilizar los grupos universales solamente cuando su pertenencia es estática. En un árbol de dominio, los grupos de dominio pueden causar un excesivo tráfico de red entre los controladores de dominio siempre que se cambie la pertenencia en el grupo universal, porque los cambios en la pertenencia de grupos universales se podrían replicar en un gran número de controladores de dominio.
  • Agregar grupos globales desde varios dominios a un grupo universal y entonces asignar permisos para el acceso a un recurso al grupo universal. Esto permite utilizar un grupo universal de la misma forma que un grupo local de dominio para asignar permisos a los recursos. Sin embargo, contrariamente a un grupo local de dominio, se pueden asignar permisos a un grupo universal para dar a los usuarios acceso a un recurso que está localizado en un dominio diferente a donde se creó el grupo.

Directrices a la hora de implementar la estrategia de grupos

  • Determinar el ámbito requerido del grupo basado en cómo se desea utilizar el grupo. Por ejemplo, utilizar grupos globales para agrupar cuentas de usuarios. Asignar grupos globales a grupos locales de dominio y grupos universales
  • Evitar agregar usuarios a grupos universales, puesto que el agregar y eliminar usuarios de grupos universales aumentará el tráfico de réplicas
  • Determinar si se tienen los permisos necesarios para crear un grupo en un dominio adecuado. Los miembros del grupo Administradores o el grupo de Operadores de cuentas en un dominio de forma predeterminada tienen los permisos necesarios para crear grupos.

Determinar el nombre del grupo. Hay que hacer el nombre intuitivo.

¿Fue útil la respuesta?

Artículos Relacionados

Comandos básicos de Windows

dir Muestra una lista de archivos y subdirectorios en un directorio. cd...

Grabar una imagen ISO en un CD/DVD

La grabación de una imagen ISO a veces pude convertirse en un verdadero dolor de cabeza si no...

Instalación de Windows 7

Requisitos de instalación:DVD de instalación Windows 7/ISO1 GHz o más rápido procesador de 32...

Como configurar el (host) de Windows para peticiones DNS

Configuración del (host) de Windows para que responda como DNS El host de archivos de la...

Funciones y características de Windows server 2008

En versiones anteriores de Windows Server, las herramientas tenían el mismo peso que las...