Grupos anidados

03/12/2008 - 15:15 por Antonio | Informe spam
Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos de
Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y globales),
no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al grupo
de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben pertenecer
a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
03/12/2008 - 17:49 | Informe spam
El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares (justo lo
que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar permisos
sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos Globales de
diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los usuarios por
departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del mismo
dominio. Se agregan los miembros de la misma forma sean usuarios o grupos
globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre los
recursos. Es importante tener una buena estrategia de nombres para estos
grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales, la
condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active Directory
tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al nivel
funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos de
Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al grupo
de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.

Respuesta Responder a este mensaje
#2 Antonio
03/12/2008 - 18:03 | Informe spam
Hola Guillermo:
Parece que me has contestado a la vez que contestaba a Daniel.
Lo primero es agradecer tu respuesta, porque creo que me aclara bastantes
dudas.
Solo dos preguntas:
1) Si elevo el el modo de funcionalidad al modo nativo, ¿puedo tener algún
problema con los usuarios que ya hay definidos?. Te comento que tengo un
servidor W2000 que es el principal, un W2003 que sirve ficheros e impresoras
y pc's clientes en su mayoría XP.
2) Estando en modo nativo, y poder incluir dentro de un grupo global otro
grupo global, podría asignar permisos con éstos grupos en los servidores y
en los clientes XP. De ésta forma solo tengo definidos los grupos una vez y
me sirven para ambas cosas. ¿Es así? o ¿estoy equivocado?.

Muchísimas gracias, la verdad es que me ayuda mucho vuestras aclaraciones.

Un saludo,

Antonio


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:
El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares (justo lo
que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar
permisos sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos Globales de
diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los usuarios
por departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del mismo
dominio. Se agregan los miembros de la misma forma sean usuarios o grupos
globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre los
recursos. Es importante tener una buena estrategia de nombres para estos
grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales, la
condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active
Directory tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al nivel
funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos de
Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al
grupo de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.





Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
03/12/2008 - 21:27 | Informe spam
1) Si hay un controlador W2000, el nivel funcional máximo del dominio es
W2000. No se puede elevar a nativo 2003. Los sistemas operativos de los
servidores miembros o clientes no influyen
Tampoco pierdes nada con los usuarios y grupos definidos
El nivel funcional del dominio está determinado por el sistema operativo de
los controladores de dominio

2) Poder dar permisos a los Globales, se puede, pero hay ventajas en darselo
a los Locales de Dominio
Por ejemplo: si sobre una carpeta compartida tienes que darle permisos a
todos los grupos Jefes de Area, si le das permisos a los globales tendrás
que dar los permisos tantas veces como grupos de jefes de area tengas.
En cambio, si creas un grupo Local de Dominio y le das los permisos, sólo
debes incluir los Globales dentro de éste, que es mucho más sencillo.
Además si se crea otra jefatura de área, sólo deberás incluir el nuevo grupo
Global, y no complicarte con permisos.
Y sin mencionar si tienes que modificar los permisos. Con permisos en
Globales deberás hacerlo por cada global; con permisos en los Locales de
Dominio en cambio sólo una vez :-)
Resumiendo, trabajar un poco más al principio, para trabajar menos a largo
plazo ;-)
De todas formas, si le das los permisos a los Globales, funciona, pero
deberás trabajar más a largo plazo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola Guillermo:
Parece que me has contestado a la vez que contestaba a Daniel.
Lo primero es agradecer tu respuesta, porque creo que me aclara bastantes
dudas.
Solo dos preguntas:
1) Si elevo el el modo de funcionalidad al modo nativo, ¿puedo tener algún
problema con los usuarios que ya hay definidos?. Te comento que tengo un
servidor W2000 que es el principal, un W2003 que sirve ficheros e
impresoras y pc's clientes en su mayoría XP.
2) Estando en modo nativo, y poder incluir dentro de un grupo global otro
grupo global, podría asignar permisos con éstos grupos en los servidores y
en los clientes XP. De ésta forma solo tengo definidos los grupos una vez
y me sirven para ambas cosas. ¿Es así? o ¿estoy equivocado?.

Muchísimas gracias, la verdad es que me ayuda mucho vuestras aclaraciones.

Un saludo,

Antonio


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares (justo
lo que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar
permisos sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos Globales de
diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los usuarios
por departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del mismo
dominio. Se agregan los miembros de la misma forma sean usuarios o grupos
globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre los
recursos. Es importante tener una buena estrategia de nombres para estos
grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales, la
condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active
Directory tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al nivel
funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos de
Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al
grupo de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como
hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.









Respuesta Responder a este mensaje
#4 Antonio
03/12/2008 - 23:41 | Informe spam
Hola Guillermo:
Millones de gracias por el interés prestado. Me extiendo un poco en el
mensaje, pero con intención de explicarlo lo mejor posible y no marearos.
Voy por partes verás:
1) Entiendo que lo que me quieres decir que el nivel funcional máximo de un
dominio está determinado por el sistema operativo mas "bajo" de los
controladores que haya en el dominio.
Ejemplo: Un dominio con dos controladores uno Windows 2000 y otro Windows
2003, nunca podrá tener un nivel funcional nativo de 2003.
Da igual cual de los controladores, el 2000 o el 2003 sea el controlador
principal, al tener un controlador 2000 limitamos el nivel funcional.
Otra cosa sería que todos los controladores fueran 2003. De ésta forma si
podríamos elevar el dominio a un nativo 2003.
¿Lo entiendo bien, o estoy equivocado?. En mi caso, al controlador principal
es un 2000, y el otro controlador es un 2003, por lo tanto el nivel máximo
es W2000.
2)Sobre los grupos globales, te comento lo siguiente: El hecho de insistir
en anidar grupos globales no es otro que los usuarios con XP, al compartir
puedan ver todos los grupos.
Estos usuarios XP solo pueden ver al compartir los grupos globales que tengo
creados en el dominio. Otra cosa es que solo fuera a compartir recursos en
los servidores. De ésta forma si puedo asignar permisos usando grupos
locales y grupos globales. Por lo tanto el anidar Grupos Globales es por los
usuarios con XP.
En cuanto a los permisos de los grupo yo lo veo de la siguiente forma:
Ejemplo simple:
Departamento de Compras:
Jefe del Departamento: Juan
Empleados: Maria y Eva

Departamento de Contabilidad:
Jefa del Departamento: Carmen
Empleados: Antonio y Carlos.

Grupos "Globales" Definidos y miembros de los mismos:
* Compras. Miembros: Usuarios - Juan, María y Eva
* Contabilidad. Miembros: Usuarios - Carmen, Antonio y Carlos
* Jefes. Miembros: Usuarios: - Juan y Carmen
* Empleados. Miembros: Usuarios: María, Eva, Antonio y Carlos. + Grupo:
Jefes.

Recursos Compartidos:
Carpeta de Contabilidad: Compartida al Grupo Contabilidad.
Carpeta de Compras: Compartida al Grupo de Compras.
Carpeta de Empleados: Compartida al Grupo de Empleados (como dentro de
empleados se ha incluído el grupod e Jefes, éstos tambien deberían entrar)
Carpeta de Jefes: Compartida al Grupo de Jefes

En el caso en el que se cree un nuevo departamento "Personal", Solo necesito
crear un nuevo Grupo Global Personal, puesto que para las categorías uso los
ya existentes.
El usuario del jefe de personal pertenecerá al grupo Personal, y por otro
lado al grupo Jefes. De ésta forma no necesitaré los cambiar permisos en las
carpetas compartidas a los Jefes.
No voy a tener muchos grupos globales de Jefes, al contrario solo tendré un
grupo global para todos ellos. Con los departamentos los mismo, solo tendré
un grupo global para cada departamento.

3) Respecto al mensaje en que me comentas que elevar elevar el nivel
funcional, se refiere al dominio y no a los servidores me ha quedado claro.
Perfecto.

Espero haberme explicado bien.
Insisto, millones de gracias por tu interés y voluntad.

Ciao
Antonio




"Guillermo Delprato [MS-MVP]"
escribió en el mensaje news:
1) Si hay un controlador W2000, el nivel funcional máximo del dominio es
W2000. No se puede elevar a nativo 2003. Los sistemas operativos de los
servidores miembros o clientes no influyen
Tampoco pierdes nada con los usuarios y grupos definidos
El nivel funcional del dominio está determinado por el sistema operativo
de los controladores de dominio

2) Poder dar permisos a los Globales, se puede, pero hay ventajas en
darselo a los Locales de Dominio
Por ejemplo: si sobre una carpeta compartida tienes que darle permisos a
todos los grupos Jefes de Area, si le das permisos a los globales tendrás
que dar los permisos tantas veces como grupos de jefes de area tengas.
En cambio, si creas un grupo Local de Dominio y le das los permisos, sólo
debes incluir los Globales dentro de éste, que es mucho más sencillo.
Además si se crea otra jefatura de área, sólo deberás incluir el nuevo
grupo Global, y no complicarte con permisos.
Y sin mencionar si tienes que modificar los permisos. Con permisos en
Globales deberás hacerlo por cada global; con permisos en los Locales de
Dominio en cambio sólo una vez :-)
Resumiendo, trabajar un poco más al principio, para trabajar menos a largo
plazo ;-)
De todas formas, si le das los permisos a los Globales, funciona, pero
deberás trabajar más a largo plazo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola Guillermo:
Parece que me has contestado a la vez que contestaba a Daniel.
Lo primero es agradecer tu respuesta, porque creo que me aclara bastantes
dudas.
Solo dos preguntas:
1) Si elevo el el modo de funcionalidad al modo nativo, ¿puedo tener
algún problema con los usuarios que ya hay definidos?. Te comento que
tengo un servidor W2000 que es el principal, un W2003 que sirve ficheros
e impresoras y pc's clientes en su mayoría XP.
2) Estando en modo nativo, y poder incluir dentro de un grupo global otro
grupo global, podría asignar permisos con éstos grupos en los servidores
y en los clientes XP. De ésta forma solo tengo definidos los grupos una
vez y me sirven para ambas cosas. ¿Es así? o ¿estoy equivocado?.

Muchísimas gracias, la verdad es que me ayuda mucho vuestras
aclaraciones.

Un saludo,

Antonio


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares (justo
lo que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar
permisos sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos Globales
de diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los usuarios
por departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del mismo
dominio. Se agregan los miembros de la misma forma sean usuarios o
grupos globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre los
recursos. Es importante tener una buena estrategia de nombres para estos
grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales, la
condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active
Directory tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al nivel
funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos de
Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al
grupo de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como
hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.












Respuesta Responder a este mensaje
#5 Guillermo Delprato [MS-MVP]
04/12/2008 - 12:17 | Informe spam
1) Totalmente correcto lo que dices

2) Cuando el dominio está en modo nativo creas "DOMAIN LOCAL GROUPS"
No "LOCAL GROUPS"
Que son diferentes tipos de grupos, mientras que los segundos los puedes
usar únicamente en los controladores, los primeros son usables en todos los
equipos del dominio.

La estructura de grupos que hagas debe adaptarse a tu comodidad :-)
Lo que recomendé son sólo sugerencias generales que comunmente ayudan a la
administración, y hacen que la solución sea escalable fácilmente a futuro.
Pero te reitero, lo que adoptes tiene que ser claro para tí ;-)

3) Bien :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:%
Hola Guillermo:
Millones de gracias por el interés prestado. Me extiendo un poco en el
mensaje, pero con intención de explicarlo lo mejor posible y no marearos.
Voy por partes verás:
1) Entiendo que lo que me quieres decir que el nivel funcional máximo de
un dominio está determinado por el sistema operativo mas "bajo" de los
controladores que haya en el dominio.
Ejemplo: Un dominio con dos controladores uno Windows 2000 y otro Windows
2003, nunca podrá tener un nivel funcional nativo de 2003.
Da igual cual de los controladores, el 2000 o el 2003 sea el controlador
principal, al tener un controlador 2000 limitamos el nivel funcional.
Otra cosa sería que todos los controladores fueran 2003. De ésta forma si
podríamos elevar el dominio a un nativo 2003.
¿Lo entiendo bien, o estoy equivocado?. En mi caso, al controlador
principal es un 2000, y el otro controlador es un 2003, por lo tanto el
nivel máximo es W2000.
2)Sobre los grupos globales, te comento lo siguiente: El hecho de insistir
en anidar grupos globales no es otro que los usuarios con XP, al compartir
puedan ver todos los grupos.
Estos usuarios XP solo pueden ver al compartir los grupos globales que
tengo creados en el dominio. Otra cosa es que solo fuera a compartir
recursos en los servidores. De ésta forma si puedo asignar permisos usando
grupos locales y grupos globales. Por lo tanto el anidar Grupos Globales
es por los usuarios con XP.
En cuanto a los permisos de los grupo yo lo veo de la siguiente forma:
Ejemplo simple:
Departamento de Compras:
Jefe del Departamento: Juan
Empleados: Maria y Eva

Departamento de Contabilidad:
Jefa del Departamento: Carmen
Empleados: Antonio y Carlos.

Grupos "Globales" Definidos y miembros de los mismos:
* Compras. Miembros: Usuarios - Juan, María y Eva
* Contabilidad. Miembros: Usuarios - Carmen, Antonio y Carlos
* Jefes. Miembros: Usuarios: - Juan y Carmen
* Empleados. Miembros: Usuarios: María, Eva, Antonio y Carlos. + Grupo:
Jefes.

Recursos Compartidos:
Carpeta de Contabilidad: Compartida al Grupo Contabilidad.
Carpeta de Compras: Compartida al Grupo de Compras.
Carpeta de Empleados: Compartida al Grupo de Empleados (como dentro de
empleados se ha incluído el grupod e Jefes, éstos tambien deberían entrar)
Carpeta de Jefes: Compartida al Grupo de Jefes

En el caso en el que se cree un nuevo departamento "Personal", Solo
necesito crear un nuevo Grupo Global Personal, puesto que para las
categorías uso los ya existentes.
El usuario del jefe de personal pertenecerá al grupo Personal, y por otro
lado al grupo Jefes. De ésta forma no necesitaré los cambiar permisos en
las carpetas compartidas a los Jefes.
No voy a tener muchos grupos globales de Jefes, al contrario solo tendré
un grupo global para todos ellos. Con los departamentos los mismo, solo
tendré un grupo global para cada departamento.

3) Respecto al mensaje en que me comentas que elevar elevar el nivel
funcional, se refiere al dominio y no a los servidores me ha quedado
claro. Perfecto.

Espero haberme explicado bien.
Insisto, millones de gracias por tu interés y voluntad.

Ciao
Antonio




"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
1) Si hay un controlador W2000, el nivel funcional máximo del dominio es
W2000. No se puede elevar a nativo 2003. Los sistemas operativos de los
servidores miembros o clientes no influyen
Tampoco pierdes nada con los usuarios y grupos definidos
El nivel funcional del dominio está determinado por el sistema operativo
de los controladores de dominio

2) Poder dar permisos a los Globales, se puede, pero hay ventajas en
darselo a los Locales de Dominio
Por ejemplo: si sobre una carpeta compartida tienes que darle permisos a
todos los grupos Jefes de Area, si le das permisos a los globales tendrás
que dar los permisos tantas veces como grupos de jefes de area tengas.
En cambio, si creas un grupo Local de Dominio y le das los permisos, sólo
debes incluir los Globales dentro de éste, que es mucho más sencillo.
Además si se crea otra jefatura de área, sólo deberás incluir el nuevo
grupo Global, y no complicarte con permisos.
Y sin mencionar si tienes que modificar los permisos. Con permisos en
Globales deberás hacerlo por cada global; con permisos en los Locales de
Dominio en cambio sólo una vez :-)
Resumiendo, trabajar un poco más al principio, para trabajar menos a
largo plazo ;-)
De todas formas, si le das los permisos a los Globales, funciona, pero
deberás trabajar más a largo plazo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola Guillermo:
Parece que me has contestado a la vez que contestaba a Daniel.
Lo primero es agradecer tu respuesta, porque creo que me aclara
bastantes dudas.
Solo dos preguntas:
1) Si elevo el el modo de funcionalidad al modo nativo, ¿puedo tener
algún problema con los usuarios que ya hay definidos?. Te comento que
tengo un servidor W2000 que es el principal, un W2003 que sirve ficheros
e impresoras y pc's clientes en su mayoría XP.
2) Estando en modo nativo, y poder incluir dentro de un grupo global
otro grupo global, podría asignar permisos con éstos grupos en los
servidores y en los clientes XP. De ésta forma solo tengo definidos los
grupos una vez y me sirven para ambas cosas. ¿Es así? o ¿estoy
equivocado?.

Muchísimas gracias, la verdad es que me ayuda mucho vuestras
aclaraciones.

Un saludo,

Antonio


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:
El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares (justo
lo que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar
permisos sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos Globales
de diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los usuarios
por departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del
mismo dominio. Se agregan los miembros de la misma forma sean usuarios
o grupos globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre los
recursos. Es importante tener una buena estrategia de nombres para
estos grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales, la
condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active
Directory tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al
nivel funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:
Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos de
Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al
grupo de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como
hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.
















Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida