Dado que últimamente hay algunas preguntas con dudas sobre cómo funcionan los distintos tipos de grupos, pongo estas aclaraciones a continuación.
Los grupos se pueden clasificar de distintas formas, en función de su finalidad y en función de su ámbito de visibilidad.
Además, el concepto cambia según trabajemos con dominios NT4 ó 2000 en modo mixto, o bien caso de trabajar con dominios nativos 2000 ó 2003.
En función de su finalidad los grupos pueden ser de seguridad o de distribución. Los grupos de distribución tienen como única finalidad servir de listas de distribución de correo a los programas de correo electrónico. Los grupos de seguridad, además de también servir como listas de distribución, se usan para establecer permisos de acceso y derechos en los distintos recursos del dominio.
En cuanto a la clasificación en función del ámbito de visibilidad, tenemos los siguientes casos:
Equipos miembros de un dominio:
Hablaremos de grupos locales (a secas) para referirnos a los grupos que creamos localmente en un equipo, y cuya visibilidad existirá exclusivamente dentro de dicho equipo. A estos grupos locales pueden pertenecer tanto cuentas locales del equipo como grupos de cualquier tipo de su dominio, bosque o dominios con relaciones de confianza. Los controladores de dominio no tienen cuentas de grupo locales (ver matiz para los dominios en modo mixto o NT4).
Los grupos locales se usan exclusivamente para asignar permisos sobre recursos de la propia máquina.
Dominios NT4 o W2000 en modo mixto:
En el dominio existen dos tipos de grupos, globales y locales del dominio.
Los grupos globales tienen visibilidad en todos los equipos del dominio, y a ellos pueden pertenecer sólo cuentas de usuario del dominio. Sin embargo, se le puede hacer miembro de grupos locales del dominio (propio o distinto) o grupos locales a un equipo, y también se puede usar para darle permisos en recursos de otro dominio con relación de confianza.
Los grupos locales de dominio tienen visibilidad exclusivamente en los controladores de dominio, sean PDC y BDCs en caso de un dominio NT4 o DCs y BDCs en caso de un dominio W2000 en modo mixto, y se usan para asignar permisos en los recursos de los controladores de dominio, o para asignar derechos en los mismos. Pueden ser miembros de los mismos cuentas de usuario y grupos globales de su dominio o de otros con relaciones de confianza.
Dominios Windows 2000/3 en modo nativo:
Aquí tenemos tres tipos de grupos: locales del dominio, globales y universales.
Grupos Locales del Dominio: Sólo existen en modo nativo. Su visibilidad está delimitada al propio dominio, pero pueden tener como miembros a cuentas de usuario y equipo y grupos universales y globales de su dominio o de otros con relaciones de confianza, así como a grupos locales de su propio dominio. Se usan para asignar permisos en recursos del dominio. Evidentemente, no pueden pertenecer a grupos de otros dominios, ni asignárseles derechos o permisos a recursos en otros dominios.
Nótese que ahora el concepto es distinto al de los grupos locales de dominio en NT4 o en modo mixto, pues en modo nativo los grupos locales se ven en todos los equipos del dominio, no sólo en los controladores de dominio.
Grupos Globales del Dominio: El concepto es similar al explicado anteriormente. Es decir, sólo puede tener miembros de su propio dominio (cuentas de usuario y equipo y grupos globales de su propio dominio), pero puede pertenecer a grupos locales de equipo y de dominio (propio o distinto del bosque o con relación de confianza) y se le pueden asignar derechos y permisos en recursos de otros dominios.
Grupos Universales: Sólo existen en modo nativo. Pueden tener miembros de cualquier dominio del bosque (cuentas de usuario y equipo, grupos universales y globales de cualquier dominio del bosque o con relación de confianza), y también se les pueden dar permisos y derechos en recursos de cualquier dominio, así como hacerlos pertenecer a grupos locales o universales de cualquier dominio del bosque o de dominios externos con relaciones de confianza.
Uso recomendado de los grupos:
Para dar permisos a recursos dentro de un dominio, se recomienda hacer pertenecer las cuentas de usuario a grupos globales, éstos a grupos locales del dominio, y asignar los permisos a los grupos locales.
La razón de ser de los grupos universales es tener grupos que desempeñen un determinado rol en toda la empresa. El uso normal sería crear grupos globales en distintos dominios y hacerles pertenecer a ellos las cuentas de usuario necesarias. Ahora, crear un grupo universal y hacerle pertenecer todos esos grupos globales. Por fin, en el dominio en que tengamos los recursos a los que dar permisos o asignar derechos, crearíamos un grupo local del dominio al que haríamos pertenecer el grupo universal, asignando los permisos o derechos al grupo local del dominio.
Los grupos y la replicación
Los grupos universales se publican en los catálogos globales junto con la información de los miembros que le pertenecen. Esto implica que si cambia la pertenencia de uno de los miembros del grupo, se replicará en todos los catálogos globales del bosque toda la lista de miembros del grupo. Los grupos globales y locales de dominio también se publican en los catálogos globales, pero no las listas de sus miembros, por lo que la información a replicar es mucho menor.
Espero que esto aclare el funcionamiento de los distintos tipos de grupos.
Saludos
José Antonio Quílez
Sevilla - España
Leer las respuestas