Windows Server 2003 – Grupos de usuario

Windows Server 2003 logo

Tras añadir el artículo Windows Server 2003 – Unidades Organizativas y Grupos de usuario – Videotutorial nivel iniciado he pensado que no vendria nada mal explicar un poco el tema de los grupos de usuario, los tipos y los ámbitos de aplicación de estos.

Si habeis visto el video del artículo antes mencionado y os habeis fijado en el momento de crear un grupo habreis visto que podemos crear grupos de varios tipos y voy a intentar explicar las diferencias entre estos y aunque se vió algo sobre los grupos de distribución en este mismo blog
(ver artículo: Grupos de distribución ) ahora trataré de contemplar todos los grupos que hay.

En primer lugar encontramos que cuando creamos un grupo tenemos dos opciones:

1. Distribución
2. Seguridad

Los grupos de distribución como ya se ve en el antes mencionado artículo estan orientados a agrupar a diferentes usuarios para que cuando el grupo recibe un mail automáticamente se envie una copia de este a todos los usuarios que pertenecen al grupo de distribución y aunque yo lo he basado un poco en Exchange no tiene que necesariamente estar este instalado en el servidor ya que podemos usar los servicios de correo de Windows Server.

Los grupos de Seguridad son los que utilizaremos para controlar a los usuarios, es decir para asignar derechos y establecer restricciones de acceso a los diferentes recursos que se encuentran en la red.

Una cosa importante a tener muy en cuenta, un grupo de seguridad podrá ser utilizado para que a la vez haga las veces de un grupo de distribución, pero un grupo de distribución no podrá ser utilizado para que realice las funciones de un grupo de seguridad

A parte de estos dos tipos de grupos debemos a la hora de crear uno nuevo definir el Ámbito de grupo y vamos a ver los cuatro ámbitos que tenemos.

1. Local
2. Dominio local
3. Global
4. Universal

Vamos a ver cada uno de los ámbitos que hemos listado.

Ámbito local
Estos grupos son empleados para asignar permisos sobre el propio equipo, Windows Server 2000 o Windows Server 2003 crean grupos locales en la base datos local de seguridad (SAM local) y pueden contener los siguientes objetos:

Usuarios
Equipos
Grupos Globales
Universales
Otros grupos del dominio local

Solo los podemos usar en el equipo en que los creamos y sólo proveen permisos sobre recursos del mismo equipo.
Podemos usarlos en equipos clientes o servidores miembros. No podemos crearlos en controladores de dominio, ya que éstos no disponen de SAM separados.
Crear grupos locales para limitar la capacidad de los usuarios locales y grupos para el acceso a los recursos cuando no se quieren crear grupos de dominio.

Ámbito de dominio local
Puede ser de distribución o de seguridad y puede contener los siguientes objetos:

Grupos Universales
Grupos Globales
Otros grupos de dominio local de su propio dominio
Cuentas de cualquier dominio del bosque

Son empleados para asignar derechos de usuario y permisos a recursos sólo del mismo dominio donde pertenece el grupo dominio local.

Como miembros en un dominio con un nivel de funcionalidad mixto puede contener cuentas de usuario y grupos globales de cualquier dominio. Los servidores miembro no pueden utilizar los grupos de dominio local en modo mixto.

Como miembros es un dominio con un nivel de funcionalidad nativo puede contener cuentas de usuario, grupos globales, grupos universales de cualquier dominio del bosque y grupos del dominio local del mismo dominio al que pertenece el grupo de dominio local.

En caso de estar en un dominio con un nivel de funcionalidad configurado como mixto no podrá pertenecer a ningún otro grupo pero en caso de estar este en un dominio con nivel de funcionalidad nativo puede formar parte (ser miebro de, o pertenecer a grupos) de otros grupos de dominio local del mismo dominio al que pertenece el grupo de dominio local.

Este tipo de grupos solo será visible en el propio dominio donde se ha creado o al que pertenece.

Ámbito Universal
Como bien indica su nombre estos pueden contener objetos de cualquiera de los dominios del bosque y puede utilizarse para asignar permisos y derechos en cualquier dominio del blosque.

Si el dominio tiene un nivel de funcionalidad mixto no podremos crear este tipo de grupo.
Si el dominio tiene un nivel de funcionalidad nativo podrá contener:

Usuarios
Grupos globales
Otros grupos universales

Si el dominio tiene un nivel de funcionalidad nativo, ya que en uno con un nivel de funcionalidad mixto no hay grupos de este tipo, puede formar parte o ser miembro de grupos de un dominio local y de otros grupos universales de cualquier dominio del bosque.

Este tipo de grupos será visible desde cualquiera de los dominios del bosque. Utilizad grupos universales para anidar grupos globales, de modo que podais asignar permisos a recursos relacionados en múltiples dominios. Y recordad que el nivel de funcionalidad del dominio ha de ser Nativo o superior para usar grupos universales.

Ámbito Global
Este tiene un impacto sobre los objetos del mismo dominio que podrán ser:

Usuarios
Grupos
Equipos

En caso de estar en un dominio con un nivel de funcionalidad mixto podrá contener:
Usuarios
Equipos

En caso de estar en un dominio con un nivel de funcionalidad nativo podrá contener:
Usuarios
Equipos
Otros grupos globales

En caso de ser mixto el nivel de funcionalidad solo podrá ser miembro de otros grupos de dominio local, pero si esta en un dominio con un nivel de funcionalidad nativo puede ser miembro de grupos Universales y de dominio local de cualquier dominio y pertenecer a grupos globales del mismo dominio al cual pertenece este.

Este es visble dentro de su propio dominio y en todos los dominios de confianza, incluyendo todos los dominios del bosque y pueden asignarse permisos a un grupo global para todos los dominios del bosque.

Debido a su alcance no deberían crearse para acceder a recursos de un dominio específico, hay otro tipo más apropiado para controlar el acceso a los recursos dentro de un dominio.
Usa grupos globales para organizar usuarios que comparten tareas de trabajo y requerimientos de acceso a la red similares.

Bueno, esto es todo, decir que me he apoyado bastante en los textos que he encontrado en la siguiente Web y que cito como fuente:

FUENTE EN LA QUE ME HE APOYADO
Windwos Server Networking

Esta web es de Juansa’s que además indica ser MS MVP Windows Server Networking… deberemos anotar bien la dirección de este señor.

Un saludo a todos espero que la info sea de ayuda.

Sin categoría

Deja una respuesta