[Artículo] Sobre Grupos en Dominios

07/09/2004 - 20:34 por José Antonio Quílez [MS MVP] | Informe spam
Dado que últimamente hay algunas preguntas con dudas sobre cómo funcionan los distintos tipos de grupos, pongo estas aclaraciones a continuación.

Los grupos se pueden clasificar de distintas formas, en función de su finalidad y en función de su ámbito de visibilidad.
Además, el concepto cambia según trabajemos con dominios NT4 ó 2000 en modo mixto, o bien caso de trabajar con dominios nativos 2000 ó 2003.
En función de su finalidad los grupos pueden ser de seguridad o de distribución. Los grupos de distribución tienen como única finalidad servir de listas de distribución de correo a los programas de correo electrónico. Los grupos de seguridad, además de también servir como listas de distribución, se usan para establecer permisos de acceso y derechos en los distintos recursos del dominio.
En cuanto a la clasificación en función del ámbito de visibilidad, tenemos los siguientes casos:

Equipos miembros de un dominio:

Hablaremos de grupos locales (a secas) para referirnos a los grupos que creamos localmente en un equipo, y cuya visibilidad existirá exclusivamente dentro de dicho equipo. A estos grupos locales pueden pertenecer tanto cuentas locales del equipo como grupos de cualquier tipo de su dominio, bosque o dominios con relaciones de confianza. Los controladores de dominio no tienen cuentas de grupo locales (ver matiz para los dominios en modo mixto o NT4).
Los grupos locales se usan exclusivamente para asignar permisos sobre recursos de la propia máquina.

Dominios NT4 o W2000 en modo mixto:

En el dominio existen dos tipos de grupos, globales y locales del dominio.
Los grupos globales tienen visibilidad en todos los equipos del dominio, y a ellos pueden pertenecer sólo cuentas de usuario del dominio. Sin embargo, se le puede hacer miembro de grupos locales del dominio (propio o distinto) o grupos locales a un equipo, y también se puede usar para darle permisos en recursos de otro dominio con relación de confianza.
Los grupos locales de dominio tienen visibilidad exclusivamente en los controladores de dominio, sean PDC y BDCs en caso de un dominio NT4 o DCs y BDCs en caso de un dominio W2000 en modo mixto, y se usan para asignar permisos en los recursos de los controladores de dominio, o para asignar derechos en los mismos. Pueden ser miembros de los mismos cuentas de usuario y grupos globales de su dominio o de otros con relaciones de confianza.

Dominios Windows 2000/3 en modo nativo:

Aquí tenemos tres tipos de grupos: locales del dominio, globales y universales.

Grupos Locales del Dominio: Sólo existen en modo nativo. Su visibilidad está delimitada al propio dominio, pero pueden tener como miembros a cuentas de usuario y equipo y grupos universales y globales de su dominio o de otros con relaciones de confianza, así como a grupos locales de su propio dominio. Se usan para asignar permisos en recursos del dominio. Evidentemente, no pueden pertenecer a grupos de otros dominios, ni asignárseles derechos o permisos a recursos en otros dominios.
Nótese que ahora el concepto es distinto al de los grupos locales de dominio en NT4 o en modo mixto, pues en modo nativo los grupos locales se ven en todos los equipos del dominio, no sólo en los controladores de dominio.

Grupos Globales del Dominio: El concepto es similar al explicado anteriormente. Es decir, sólo puede tener miembros de su propio dominio (cuentas de usuario y equipo y grupos globales de su propio dominio), pero puede pertenecer a grupos locales de equipo y de dominio (propio o distinto del bosque o con relación de confianza) y se le pueden asignar derechos y permisos en recursos de otros dominios.
Grupos Universales: Sólo existen en modo nativo. Pueden tener miembros de cualquier dominio del bosque (cuentas de usuario y equipo, grupos universales y globales de cualquier dominio del bosque o con relación de confianza), y también se les pueden dar permisos y derechos en recursos de cualquier dominio, así como hacerlos pertenecer a grupos locales o universales de cualquier dominio del bosque o de dominios externos con relaciones de confianza.

Uso recomendado de los grupos:

Para dar permisos a recursos dentro de un dominio, se recomienda hacer pertenecer las cuentas de usuario a grupos globales, éstos a grupos locales del dominio, y asignar los permisos a los grupos locales.

La razón de ser de los grupos universales es tener grupos que desempeñen un determinado rol en toda la empresa. El uso normal sería crear grupos globales en distintos dominios y hacerles pertenecer a ellos las cuentas de usuario necesarias. Ahora, crear un grupo universal y hacerle pertenecer todos esos grupos globales. Por fin, en el dominio en que tengamos los recursos a los que dar permisos o asignar derechos, crearíamos un grupo local del dominio al que haríamos pertenecer el grupo universal, asignando los permisos o derechos al grupo local del dominio.

Los grupos y la replicación

Los grupos universales se publican en los catálogos globales junto con la información de los miembros que le pertenecen. Esto implica que si cambia la pertenencia de uno de los miembros del grupo, se replicará en todos los catálogos globales del bosque toda la lista de miembros del grupo. Los grupos globales y locales de dominio también se publican en los catálogos globales, pero no las listas de sus miembros, por lo que la información a replicar es mucho menor.

Espero que esto aclare el funcionamiento de los distintos tipos de grupos.

Saludos
José Antonio Quílez
Sevilla - España
 

Leer las respuestas

#1 Alezito [MS MVP]
07/09/2004 - 20:43 | Informe spam
Gracias.


Cordialmente,

Alejandro Curquejo
Microsoft MVP
Windows XP - Shell/User

-Programa MVP de Microsoft
http://mvp.support.microsoft.com/de...S;mvpintro

-DTS-L.Org- http://www.dts-l.org/

Este mensaje se proporciona "como esta" sin garantias de ninguna clase, y no
otorga ningun derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"José Antonio Quílez [MS MVP]" wrote in message
news:
Dado que últimamente hay algunas preguntas con dudas sobre cómo funcionan
los distintos tipos de grupos, pongo estas aclaraciones a continuación.

Los grupos se pueden clasificar de distintas formas, en función de su
finalidad y en función de su ámbito de visibilidad.
Además, el concepto cambia según trabajemos con dominios NT4 ó 2000 en modo
mixto, o bien caso de trabajar con dominios nativos 2000 ó 2003.
En función de su finalidad los grupos pueden ser de seguridad o de
distribución. Los grupos de distribución tienen como única finalidad servir
de listas de distribución de correo a los programas de correo electrónico.
Los grupos de seguridad, además de también servir como listas de
distribución, se usan para establecer permisos de acceso y derechos en los
distintos recursos del dominio.
En cuanto a la clasificación en función del ámbito de visibilidad, tenemos
los siguientes casos:

Equipos miembros de un dominio:

Hablaremos de grupos locales (a secas) para referirnos a los grupos que
creamos localmente en un equipo, y cuya visibilidad existirá exclusivamente
dentro de dicho equipo. A estos grupos locales pueden pertenecer tanto
cuentas locales del equipo como grupos de cualquier tipo de su dominio,
bosque o dominios con relaciones de confianza. Los controladores de dominio
no tienen cuentas de grupo locales (ver matiz para los dominios en modo
mixto o NT4).
Los grupos locales se usan exclusivamente para asignar permisos sobre
recursos de la propia máquina.

Dominios NT4 o W2000 en modo mixto:

En el dominio existen dos tipos de grupos, globales y locales del dominio.
Los grupos globales tienen visibilidad en todos los equipos del dominio, y a
ellos pueden pertenecer sólo cuentas de usuario del dominio. Sin embargo, se
le puede hacer miembro de grupos locales del dominio (propio o distinto) o
grupos locales a un equipo, y también se puede usar para darle permisos en
recursos de otro dominio con relación de confianza.
Los grupos locales de dominio tienen visibilidad exclusivamente en los
controladores de dominio, sean PDC y BDCs en caso de un dominio NT4 o DCs y
BDCs en caso de un dominio W2000 en modo mixto, y se usan para asignar
permisos en los recursos de los controladores de dominio, o para asignar
derechos en los mismos. Pueden ser miembros de los mismos cuentas de usuario
y grupos globales de su dominio o de otros con relaciones de confianza.

Dominios Windows 2000/3 en modo nativo:

Aquí tenemos tres tipos de grupos: locales del dominio, globales y
universales.

Grupos Locales del Dominio: Sólo existen en modo nativo. Su visibilidad está
delimitada al propio dominio, pero pueden tener como miembros a cuentas de
usuario y equipo y grupos universales y globales de su dominio o de otros
con relaciones de confianza, así como a grupos locales de su propio dominio.
Se usan para asignar permisos en recursos del dominio. Evidentemente, no
pueden pertenecer a grupos de otros dominios, ni asignárseles derechos o
permisos a recursos en otros dominios.
Nótese que ahora el concepto es distinto al de los grupos locales de dominio
en NT4 o en modo mixto, pues en modo nativo los grupos locales se ven en
todos los equipos del dominio, no sólo en los controladores de dominio.

Grupos Globales del Dominio: El concepto es similar al explicado
anteriormente. Es decir, sólo puede tener miembros de su propio dominio
(cuentas de usuario y equipo y grupos globales de su propio dominio), pero
puede pertenecer a grupos locales de equipo y de dominio (propio o distinto
del bosque o con relación de confianza) y se le pueden asignar derechos y
permisos en recursos de otros dominios.
Grupos Universales: Sólo existen en modo nativo. Pueden tener miembros de
cualquier dominio del bosque (cuentas de usuario y equipo, grupos
universales y globales de cualquier dominio del bosque o con relación de
confianza), y también se les pueden dar permisos y derechos en recursos de
cualquier dominio, así como hacerlos pertenecer a grupos locales o
universales de cualquier dominio del bosque o de dominios externos con
relaciones de confianza.

Uso recomendado de los grupos:

Para dar permisos a recursos dentro de un dominio, se recomienda hacer
pertenecer las cuentas de usuario a grupos globales, éstos a grupos locales
del dominio, y asignar los permisos a los grupos locales.

La razón de ser de los grupos universales es tener grupos que desempeñen un
determinado rol en toda la empresa. El uso normal sería crear grupos
globales en distintos dominios y hacerles pertenecer a ellos las cuentas de
usuario necesarias. Ahora, crear un grupo universal y hacerle pertenecer
todos esos grupos globales. Por fin, en el dominio en que tengamos los
recursos a los que dar permisos o asignar derechos, crearíamos un grupo
local del dominio al que haríamos pertenecer el grupo universal, asignando
los permisos o derechos al grupo local del dominio.

Los grupos y la replicación

Los grupos universales se publican en los catálogos globales junto con la
información de los miembros que le pertenecen. Esto implica que si cambia la
pertenencia de uno de los miembros del grupo, se replicará en todos los
catálogos globales del bosque toda la lista de miembros del grupo. Los
grupos globales y locales de dominio también se publican en los catálogos
globales, pero no las listas de sus miembros, por lo que la información a
replicar es mucho menor.

Espero que esto aclare el funcionamiento de los distintos tipos de grupos.

Saludos
José Antonio Quílez
Sevilla - España

Preguntas similares