Post on 14-Apr-2020
Crear y administrar grupos
Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden
administrar como una sola unidad. Los grupos simplifican la administración al facilitar la
concesión de permisos; y se distinguen por su ambiente y tipo.
El ámbito de un grupo determina si el grupo comprende varios dominios o se limita a
uno solo. Existen los siguientes ámbitos de grupo:
Global: Estos grupos, en un modelo de dominio nativo, pueden contener cuentas de
usuarios y grupos globales del dominio en el que el grupo exista. En un modelo mixto,
podrán contener sólo cuentas de usuario del dominio en el que el grupo exista. Se
pueden dar permisos a grupos globales de todos los dominios del bosque sin tener en
cuenta la localización del grupo global.
Local de dominio: Estos grupos, en un modelo de dominio nativo, pueden contener
cuentas de usuario, grupos globales y grupos universales de cualquier dominio del
bosque. En un modelo de dominio mixto podrán contener cuentas de usuario y grupos
globales de cualquier dominio. Se pueden dar permisos a grupos locales del dominio
sólo para objetos que estén en el dominio en el que el grupo local exista.
Universal: Estos grupos pueden contener cuentas de usuario, grupos globales y otros
grupos universales de cualquier dominio Windows Server 2003 del bosque. El dominio
debe operar en modo nativo para poder crear grupos de seguridad del tipo universal. Se
pueden dar permisos a grupos universales de todos los dominios del bosque sin tener
en cuenta la localización del grupo universal.
Local: Es un conjunto de cuentas de usuario y grupos de dominio creados en un
servidor miembro o en un servidor independiente. Puede crear grupos locales para
conceder permisos para los recursos que residen en el equipo local. No pueden ser
miembros de otro grupo. Solo puede ser utilizado en el equipo en que se creó.
Los tipos de grupo son: Grupos de seguridad: Permite asignar derechos y permisos de usuario a grupos de
usuarios y equipos.
Grupo de distribución: Utilizado para recopilar objetos relacionados, no conceder
permisos. Son empleado para el envío de mensajes de e-mail con aplicaciones activas
de correo como Microsoft Exchange Server.
En esta práctica crearemos cuentas de grupos globales y locales de
dominio, como agregar un usuario a un determinado grupo y anidar un
grupo con otro grupo.
Crear grupos globales
1- Haz click en Inicio – Herramientas Administrativas – Equipos y usuarios de Active
Directory.
G= Indica que es un grupo global. DL= Local de dominio.
NombreEquipo= Indica la unidad organizativa de la ciudad a la que pertenece ese
grupo.
La tercera parte define el departamento a los cuales pertenecerán los usuarios.
La última parte de su nombre define los permisos máximos qué utilizará el grupo. Crearemos los siguientes grupos: G NombreEquipo Marketing Managers, G
NombreEquipo Marketing Personnel, G NombreEquipo HR Managers, G NombreEquipo
HR Personnel.
2- Haz un click derecho encima de la unidad organizativa Grupos, elige Nuevo; luego
Grupo.
Escribe el nombre del primer grupo: G NombreEquipo Marketing Managers y haz click
en Aceptar.
De forma predeterminada en ámbito de grupo viene seleccionado Global, de no ser así
para estos usuarios selecciónalo.
Verás que se te agregará en la UO Grupos, algo similar a la siguiente imagen:
3- Crea los demás grupos siguiendo los mismos pasos ó puedes seleccionar la UO
Grupos y hacer click en el siguiente icono.
Al terminar de crear todos los grupos globales, la unidad organizativa lucirá así
A continuación, buscaremos usuarios administradores y lo
agregaremos a los grupos administradores (Managers).
1- Haz click en Acción y selecciona Buscar…
2- En la pestaña de Opciones Avanzadas; en campo elige Ciudad; en condición Es
(exactamente) y en valor NombreEquipo. Por último haz click en Buscar ahora.
Te aparecerá una lista de los usuarios que cumplen con ese patrón.
3- Selecciona los usuarios que son administradores y haz un click derecho encima de
alguno de ellos, luego elige Agregar a un grupo….
Aprender cómo crear usuarios administradores y saber dónde ubicarlos se
explica al final del tutorial.
4- En la parte en blanco, escribe el nombre del grupo (no es necesario escribirlo
completo) y haz click en comprobar nombres.
5- Te aparecerá todos los grupos que cumplen con el patrón de nombre introducido.
Elige el grupo hacia el cual deseas mover los usuarios, en ese caso hacia G
NombreEquipo HR Managers. Y presiona Aceptar.
6- Haz click en Aceptar. Una vez hecho esto, te saldrá el recuadro indicándote que la
operación ha sido exitosa.
7- Los demás usuarios administradores se agregarán al grupo G NombreEquipo
Marketing Managers siguiendo los pasos anteriores.
8- Para visualizar y comprobar que los usuarios son miembros de ese grupo; haz click
derecho encima del grupo G NombreEquipo HR Managers y elige Propiedades. Te
aparecerá la siguiente ventana.
Esta es la pestaña “General”, en la
cual puedes agregar una descripción
del grupo y el correo electrónico.
Además de que te permite cambiarle
el ámbito.
En la pestaña de Miembro, podemos visualizar los usuarios que pertenecen a ese
grupo.
En la pestaña Miembro de, se visualiza el/los grupos a los cuales pertenece este grupo.
En el botón Agregar… te permite anidar este grupo a otro.
En la pestaña Administrado por, te permite indicar que usuario en particular tendrá el
control sobre el grupo en cuestión.
Para esta parte de la práctica, buscaremos usuarios que
conforman el personal y lo agregaremos a los grupos globales
personales (Personnel).
1- Haz click en la UO Usuarios. Selecciona algunos usuarios que sean del personal.
2- Con los usuarios seleccionados, haz click en el icono que se muestra en la
imagen, este icono te permite agregar esos usuarios a un grupo.
3- En la casilla en blanco, escribe G NombreEquipo, y haz click en Comprobar
nombres para que se muestren todos los grupos que cumplen con ese patrón.
4- Te aparecerá una lista de grupos; elige G NombreEquipo Marketing Personnel.
Luego en Aceptar.
5- Al entrar a las propiedades de ese grupo, en la pestaña de Miembros, podrás ver los
usuarios que pertenecen al grupo.
6- Repite los pasos anteriores para el grupo G NombreEquipo HR Personnel.
En la siguiente parte de este tutorial, trabajaremos con grupos
locales de dominio. Lo primero que haremos será crearlos en la
UO Grupos.
Crearemos los siguientes grupos locales de dominio:
DL NombreEquipo Marketing Managers Read.
DL NombreEquipo Marketing Personnel Read.
DL NombreEquipo HR Managers Read.
DL NombreEquipo HR Personnel Read.
DL NombreEquipo Marketing Managers Modify.
DL NombreEquipo Marketing Personnel Modify.
DL NombreEquipo HR Managers Modify.
DL NombreEquipo HR Personnel Modify.
1- Haz click en Acción – Nuevo – Grupo.
2- Escribe el nombre del primer grupo local de dominio: DL NombreEquipo Marketing
Managers Read.
3- Haz click en Aceptar. Y con los mismos pasos anteriores crea los demás grupos. Al
finalizar con la creación de todos, la unidad lucirá como la siguiente imagen.
Agregar los grupos globales administradores (managers) a su
correspondiente grupo locales de dominio.
1- Haz un click derecho encima de G NombreEquipo HR Managers. Elige Propiedades
y posiciónate en la pestaña Miembro de.
2- Haz click en Agregar… y en el espacio en blanco escribe DL y haz click en
Comprobar nombres para que se muestren todos los usuarios locales de dominio.
3- Del listado que se te muestra elige DL NombreEquipo Managers Read y DL
NombreEquipo Managers Modify, ya que son los correspondientes al grupo G
NombreEquipo HR Managers. Luego de seleccionarlos, haz click en Aceptar.
4- Haz click en Aceptar para que se agregue el grupo global (G) a los locales de
dominio (DL).
Es decir, que al realizar esta acción no estarás agregando los grupos DL al grupo G,
porque Miembro de hace referencia a que el grupo G pertenece a los grupos DL.
5- Al concluir el paso anterior, observarás que en la pestaña Miembro de, de la ventana
de propiedades, aparecen los grupos que acabas de agregar.
6- Realizando los pasos anteriores agrega DL NombreEquipo Marketing Managers
Read y DL NombreEquipo Marketing Managers Modify al grupo G NombreEquipo
Marketing Managers.
Agregar los grupos globales personal (personnel) a su
correspondiente grupo locales de dominio.
1- Haz click derecho encima del grupo G NombreEquipo HR Personnel, elige
Propiedades – pestaña Miembro de.
2- Estando en la pestaña Miembro de; haz click en Agregar…
3- En el espacio en blanco escribe DL y haz click en Comprobar nombres para que se
muestren todos los usuarios locales de dominio.
4- Selecciona los grupos: DL NombreEquipo HR Personnel Read y DL NombreEquipo
HR Personnel Modify. Luego, haz click en Aceptar.
5- Haz click en Aceptar.
6- Al concluir el paso anterior, observarás que en la pestaña Miembro de, de la ventana
de propiedades, aparecen los grupos que acabas de agregar.