La cuenta de un usuario del dominio registra toda la información necesaria para su definición en Windows Server:
- Nombre de usuario y contraseña (necesarios para iniciar sesión)
- Grupos a los que pertenece el usuario
- Derechos y permisos que tiene el usuario para utilizar el equipo y la red, así como para tener acceso a sus recursos.
En un DC de WS, la herramienta Usuarios y equipos de Active Directory permite administrar usuarios y equipos del dominio creando por ejemplo grupos de usuarios y equipos.
Los usuarios y los equipos del dominio son objetos del Directorio Activo del DC de WS y pueden ser incluidos en los grupos de usuarios y/o equipos del dominio que se desee. Por defecto si no se indica lo contrario son incluidos en los grupos de seguridad Usuarios del dominio y Equipos del dominio respectivamente.
El objetivo de los grupos es lograr una eficaz gestión del dominio a través de la asignación de permisos sobre los recursos al propio grupo en lugar de hacerla de forma individual sobre cada uno de sus componentes.
Los usuarios y los equipos pueden pertenecer a más de un grupo y a un determinado recurso pueden acceder usuarios y equipos de varios grupos. También podemos hacer que un determinado grupo pertenezca a otros grupos ya existentes.
Esquema usuarios - grupos - recursos |
Cuando se crea un grupo se debe seleccionar un tipo y un ámbito del grupo.
Active Directory trabaja con dos tipos de grupos predeterminados:
- Grupos de seguridad: Se usan para otorgar permisos y así, obtener acceso a los recursos.
- Grupos de distribución: Se usan por aplicaciones Windows para realizar funciones no relacionadas con la seguridad, como enviar mensajes de correo electrónico a grupos de usuarios. No se puede otorgar permisos a estos grupos.
Los ámbitos de los grupos permiten utilizar los grupos de forma diferente para asignar permisos. El ámbito de un grupo determina dónde se puede utilizar el grupo en la red. Los tres ámbitos de los grupos son dominio local, global y universal.
- Dominio local: Se pueden añadir miembros desde cualquier dominio pero solo se pueden asignar permisos para acceder a recursos ubicados en el mismo dominio donde se ha creado el grupo. Se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo, un sector, un cargo, etc.
- Global: Se pueden añadir miembros solo desde el dominio donde se creó pero se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque. Se recomienda utilizarlos para asignar permisos y derechos.
- Universal: Se pueden añadir miembros desde cualquier dominio y se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque o dominio de confianza. Se recomienda la utilización cuando se requiere agrupar grupos globales de diferentes dominios.
Nota: Los grupos de seguridad universales solo están disponibles en modo nativo
Para una empresa mediana, la preferencia es: A–> G –> DL <–P, que significa agrupar las cuentas en Grupos Globales, agrupar los Grupos Globales en Grupos Locales de Dominio y a estos últimos asignarle los Permisos.
Estrategia de uso de grupos |