UNIDAD DIDACTICA 3

USUARIOS Y GRUPOS EN REDES

WINDOWS 2003 SERVER I

Eduard Lara

1
 1. INTRODUCCIÓN

™ Si Active Directory no está instalado

- Los grupos y usuarios que definamos sólo servirán como
Locales. Podrán iniciar sesión en el propio equipo y como
usuarios de algún dominio al que pertenezca el equipo.
- La gestión de usuarios y grupos se realiza desde el
Administrador de equipos
™ Si Active Directory está instalado
- Los usuarios dados de alta serán usuarios globales del
dominio y podrán iniciar sesión desde cualquier ordenador
del dominio, incluido el servidor donde esté dado de alta.
- La gestión de usuarios y grupos se realiza desde
Usuarios y equipos de Active Directory.
2
 2. GRUPOS DEL ACTIVE DIRECTORY

™ Son objetos del servicio del Directorio Activo.

™ Un grupo se define como un conjunto de usuarios,
contactos, equipos y eventualmente otros grupos, aunque
lo normal es que sólo contenga cuentas de usuario.
™ Simplifican la administración porque proporcionan un
método fácil para conceder capacidades comunes
(permisos) a múltiples usuarios simultáneamente.
™ En lugar de asignar permisos a cada usuario, se asignan
una sola vez al grupo, y son heredados por los usuarios
pertenecientes a ese grupo.
™ Los grupos se distinguen por su ámbito y por tipo.

3
 2. TIPOS DE GRUPOS

™ Se puede trabajar con dos tipos de grupos:

- Grupos de seguridad: son los más comunes y se usan
para designar derechos (qué puedo hacer dentro de un
dominio) y permisos (a qué tengo acceso) a usuarios.
También pueden utilizarse como una lista de distribución
de correo electrónico.
- Grupos de distribución: Únicamente sirven para
asignar listas de usuarios aplicaciones de correo
electrónico, sin poder emplearse para asignar permisos.
Esta diferencia entre los grupos es necesaria a la hora de
emplear software concreto de Microsoft, como el
Microsoft Exchange, donde es necesario que los grupos
se definan como grupos de distribución.
4
 2. ÁMBITO DE UN GRUPO

™ El ámbito del grupo determina la visibilidad del mismo

dentro del dominio (es decir si el grupo comprende varios
dominios o se limita a un solo dominio), así como las
características que pueden conceder a los objetos que
contiene.
- Grupos de ámbito global. Los permisos concedidos a
este grupo tienen validez en cualquier dominio. Sus
miembros solo pueden actuar en el dominio donde está
dado de alta el grupo global. Pueden ser miembros de
grupos universales o locales en cualquier dominio y pueden
tener como miembros a otros grupos globales del mismo
dominio y a cuentas de usuario del mismo dominio.

5
 2. ÁMBITO DE UN GRUPO

™ Grupos locales: Se utilizan para asignar permisos para

recursos ubicados en el equipo en el que se ha creado el
grupo local.
™ Grupos de ámbito local de dominio. Es lo contrario
de un grupo local, ya que sus miembros actúan sobre
cualquier dominio pero sus permisos solo son efectivos
para recursos ubicados en el mismo dominio en el que se
crea el grupo. Pueden tener como miembros a otros
grupos locales de dominio en el mismo dominio, grupos
globales de cualquier dominio, grupos universales de
cualquier dominio y usuarios de cualquier dominio.

6
 2. ÁMBITO DE UN GRUPO

™ Grupos de ámbito universal. Pueden tener miembros

procedentes de cualquier dominio y se les puede asignar
permisos para recursos de cualquier dominio. Solo se
pueden gestionar en servidores en modo nativo
(servidores y equipos del mismo tipo de sistema operativo
2000 o 2003). Pueden tener como miembros a otros
grupos universales, grupos globales de cualquier dominio y
cuentas individuales de usuarios de cualquier dominio

7
 3. HERRAMIENTA USUARIOS Y
EQUIPOS DE ACTIVE DIRECTORY
1) Dominio sobre el que estamos trabajando. Si
tuviéramos subdominios dentro de este dominio
podríamos actuar sobre los usuarios y grupos
de esos subdominios.

Bajo users aparecen

los usuarios y los
grupos mezclados.
Contenedores de
grupos de objetos
con los que
podemos trabajar:
equipos, usuarios y
grupos.
8
 3. DONDE SE PUEDEN CREAR
LOS GRUPOS
Los grupos pueden crearse en:
- el dominio raíz del bosque
- en cualquier otro dominio del bosque
- en una unidad organizativa.

Dominio raíz del bosque

Unidad
Organizativa

9
 4. UNIDAD ORGANIZATIVA

™ Una unidad Organizativa permite agrupar objetos del

active directory en nuevos contenedores que solo
muestren la información deseada (ej. agrupar equipos por
versión de S.O., impresoras).
™ Las UO o contenedores son modificables, y no afectan
al funcionamiento del equipo.
™ En la herramienta Usuarios y grupos de Active
Directory aparecen todos los usuarios y grupos del
sistema mezclados bajo la UO users.
™ Puede resultar interesante hacer dos nuevos
contenedores de objetos, uno para usuarios y otro para
grupos, de tal forma que tengamos mejor organizados
estos dos tipos de objetos.
10
 4. CREACIÓN DE UNA
UNIDAD ORGANIZATIVA
Paso 1. Sobre el nombre de dominio, haremos click con el
botón derecho del ratón y seleccionaremos la opción
Nuevo, Unidad Organizativa.
Paso 2. Introduciremos el nombre de la nueva unidad,
por ejemplo, GRUPOS.

11
 4. CREACIÓN DE UNA
UNIDAD ORGANIZATIVA
Paso 3. Una vez creada, pasaremos los grupos de usuarios
de la UO Users a la que acabamos de crear. Dentro de la
UO Users seleccionaremos todos los grupos de usuarios.
Paso 4. Haremos click con el botón derecho del ratón en
la opción Mover. Indicaremos el destino de los objetos
seleccionados, en nuestro caso, la UO GRUPOS.

12
 5. CREACIÓN DE GRUPOS

Paso 1. Nos situaremos sobre la UO que contiene los

grupos, y haremos click botón derecho del ratón
seleccionando Nuevo, Grupo o desde el menú Acción
seleccionaremos Nuevo, Grupo.

13
 5. CREACIÓN DE GRUPOS

Nos encontramos con las siguientes campos

™ Nombre del grupo. Nombre del grupo con el que
quedará reconocido en el sistema. El S.O. le asigna un SID
(Security IDentifiers) al grupo para gestionarlo de forma
interna, transparente al usuario. El nombre del grupo
tiene ser único en el dominio o dentro de cada equipo local
pudiendo repetirse en otros equipos locales o dominios.
™ Nombre del grupo (anterior a Windows 2000). Es el
nombre del grupo como lo verán los servidores pre-
Windows 2000, en caso de trabajar con servidores NT
4.0 con los que tengamos establecidas relaciones de
confianza. Se rellenará automáticamente, por lo que
tampoco será necesario indicar nada.
14
 5. CREACIÓN DE GRUPOS

™ Ámbito del grupo. Puede ser local, global o universal.

Por defecto el ámbito siempre será global, para otorgar
compatibilidad con otros dominios
™ Tipo de grupo. Indica si el grupo será de Seguridad o
distribución. Lo más normal es crear grupos de
Seguridad. Son utilizados para asignar privilegios de
utilización de recursos compartidos en el equipo. Los
grupos de distribución se utilizan para realizar
instalaciones remotas de software en los equipos
clientes en los que se validan usuarios que pertenezcan al
grupo.

15
 5. CREACIÓN DE GRUPOS

Paso 2. Si una empresa consta de 3 departamentos

(contabilidad, almacén y mantenimiento) lo normal será
crear 3 grupos dentro de una nueva unidad organizativa
llamada Departamentos. Crearemos los grupos con las
características que el sistema genera por defecto.

16
 5. ELIMINACION DE GRUPOS

Paso 1. Para eliminar un grupo, se debe seleccionar de su

correspondiente UO, hacer click botón derecho y
seleccionar Eliminar.
La eliminación del grupo no elimina los usuarios u objetos
que este contenga, ya que solo eliminará los permisos que
este grupo tiene asociado.

Podemos eliminar los grupos que

acabamos de crear así como la UO
“Departamentos” que los contenía.
La UO Users no la podemos
eliminar, ya que está protegida
contra eliminación accidental.

17
 5. INCORPORACIÓN DE
USUARIOS A GRUPOS
Paso 0.Trabajaremos con los dos únicos usuarios
definidos en el sistema: Administrador e Invitado.
Podemos utilizar los grupos creados anteriormente:
Contabilidad, Almacén y Mantenimiento, dentro de la UO
Departamentos.

18
 5. INCORPORACIÓN DE
USUARIOS A GRUPOS
Paso 1.Seleccionaremos los usuarios de la UO Users o la
UO que los contenga, utilizando las teclas Control y
Shift o el ratón. Haremos click botón derecho del ratón
en una de las cuentas de usuario seleccionadas y
elegiremos la opción Agregar a un grupo.

19
 5. INCORPORACIÓN DE
USUARIOS A GRUPOS
Paso 2.En el cuadro de diálogo que aparece
introduciremos las primeras iniciales del grupo, por
ejemplo CONTA y pulsaremos Comprobar nombres.
Cuando aparezca el grupo, pulsaremos Aceptar.

20
 5. INCORPORACIÓN DE
USUARIOS A GRUPOS
Paso 3.También podemos realizar la asociación pulsando
en Avanzadas + Buscar ahora, para mostrar la lista de
grupos y seleccionar el grupo deseado

21
 5. INCORPORACIÓN DE
USUARIOS A GRUPOS
Paso 4.El mismo proceso lo podemos realizar desde el
propio grupo. Lo seleccionamos y hacemos clic con el
botón derecho del ratón en Propiedades. Se abre un
cuadro de diálogo en el que pulsaremos Miembros.

22
 5. INCORPORACIÓN DE
USUARIOS A GRUPOS
Paso 5. Pulsamos agregar y aparecerá otra pantalla , en
la que realizaremos la selección de los usuarios y grupos
que queremos incluir en el grupo recién creado.
Haremos clic en Avanzadas, Buscar ahora. Si el grupo es
global, agregaremos solo usuarios nuevos, y si es local,
agregaremos usuarios y otros grupos globales.

23
 6. LOS GRUPOS INTEGRADOS EN
ACTIVE DIRECTORY
™ Son grupos predefinidos por el sistema que tienen un
conjunto predeterminado de derechos de usuario (tareas
del sistema que puede realizar un usuario o un miembro
del grupo integrado)
™ Los grupos integrados que por defecto incorpora
Windows 2003 Server son locales, globales y universales.

24
 6. GRUPOS LOCALES INTEGRADOS
WINDOWS 2003 SERVER
GRUPO DESCRIPCIÓN
Operadores de Sus miembros pueden crear, modificar y eliminar cuentas de
cuentas usuario y grupos. No tienen permiso modificar los grupos
Administradores o Administradores del dominio ni las cuentas de
dichos grupos. Los miembros de este grupo pueden iniciar sesión
en modo local en los controladores del dominio y apagarlos. No hay
miembros predeterminados
Usuarios DHCP Los usuarios de este grupo tienen derecho de solo lectura al
servicio DHCP
Operadores de Pueden modificar la configuración TCP/IP y renovar y liberar las
configuración de direcciones TCP/IP. Este grupo no tiene ningún miembro
red predeterminado
Administradores Tienen control total sobre todos los controladores de dominio.
Cualquier derecho que no tenga el administrador de forma
predeterminada se lo puede conceder a si mismo
Operadores de Los miembros de este grupo pueden iniciar sesión en el equipo,
Copia realizar copias de seguridad y restaurar archivos en el equipo.
También pueden apagarlo. No pueden cambiar la configuración de
seguridad. No tiene miembros predeterminados
25
 6. GRUPOS LOCALES INTEGRADOS
WINDOWS 2003 SERVER
GRUPO DESCRIPCIÓN
Operadores de Pueden realizar copias de seguridad y restaurar todos los archivos en
Copia de los controladores del dominio, iniciar sesión y apagarlos. Este grupo
seguridad no tiene ningún miembro predeterminado. No es igual que el anterior
Invitados Los miembros de este grupo solo pueden realizar tareas para las que
el administrador les haya concedido permisos. Son miembros de este
grupo los grupos Usuario invitado e Invitados del dominio.
Operadores de Pueden administrar las impresoras y las colas de impresión. No tiene
impresión miembros predeterminados.
Replicador Sus miembros pueden replicar los servicios en un controlador de
dominio. No debe contener usuarios estándares.
Operadores de Los miembros de este grupo pueden realizar la mayoría de las tareas
servidores administrativas en los controladores de dominio de forma remota.
Este grupo no tiene miembros predeterminados.

26
 6. GRUPOS LOCALES INTEGRADOS
WINDOWS 2003 SERVER
GRUPO DESCRIPCIÓN
Usuarios Los miembros de este grupo pueden iniciar sesión en el equipo,
acceder a la red, guardar documentos y apagar el equipo. No pueden
instalar programas. Cualquier derecho que no tenga el administrador
de forma predeterminada, se lo puede conceder a sí mismo o realizar
cambios en el sistema. Cuando añadimos un equipo servidor miembro
2000/2003 a un dominio, se integra en este grupo. Por defecto todas
las cuentas que se crean en el dominio son miembros de este grupo
Usuarios Los miembros de este grupo pueden crear y modificar las cuentas de
avanzados usuario e instalar programas en el quipo local, pero no pueden ver los
archivos de otros usurarios. Peden crear y eliminar grupos locales y
quitar usuarios de los gru­pos. No hay miembros predeterminados
Usuarios de Pueden iniciar sesión en un servidor de forma remota. Este grupo no
escritorio tiene miembros predeterminados
remoto
DnsAdmins Los miembros de este grupo solo tienen acceso administrativo al
servicio DNS. No tiene ningún miembro predeterminado

27
 6. GRUPOS GLOBALES INTEGRADOS
WINDOWS 2003 SERVER

GRUPO DESCRIPCIÓN
Administradores Este grupo pasa a ser miembro automáticamente del grupo local
del dominio Administradores en todos los controladores, de forma que sus
miembros pueden realizar tareas administrativas en cualquier
equipo del dominio. De forma predeterminada la cuenta
Administrador es, miembro de este grupo
Equipos del Todos los controladores y estaciones de trabajo del dominio son
dominio miembros de este grupo
Controladores Contiene todos los controladores de dominio
de dominio
Invitados del Tiene como cuenta predeterminada a Invitados
dominio
Usuarios del Todos los usuarios del dominio y la cuenta Administrador son
dominio miembros
Administradores Los miembros de este grupo pueden modificar el esquema de
Directorio Activo

28
 6. GRUPOS UNIVERSALES INTEGRADOS
WINDOWS 2003 SERVER

GRUPO DESCRIPCIÓN
Administradores de Administradores designados de la empresa.
empresas

Administradores de Administradores designados del esquema.

esquema
Enterprise Domain Los miembros de este grupo son controladores de dominio de
Controllers de solo solo lectura en la empresa.
lectura

29
 PRACTICA 5. CREACIÓN DE
GRUPOS DE USUARIO EN A.D.
Esta práctica debe realizarse mediante la captura de imágenes de
los procesos o aplicaciones implicados en el guión, y posterior
inserción de las mismas en un documento.

Paso 1. Crear un nuevo grupo de dominio local llamado “Alumnos”.

Desde Usuarios y equipos de Active Directory, vamos a hacer click
con el botón derecho sobre la raíz del dominio (upc.local). Este
grupo ha de definirse como un grupo de seguridad.
Paso 2. Captura la imagen que muestre donde haya creado el grupo
Paso 3. De la misma forma vamos a definir otro grupo llamado
“Profesores” también de dominio local y de tipo seguridad, desde la
raíz del dominio.
Paso 4. Captura la imagen que muestre donde haya creado el grupo
Paso 5. ¿A que lugares se pueden mover los grupos anteriormente
creados?
30
 PRACTICA 5. CREACIÓN DE
GRUPOS DE USUARIO EN A.D.
Paso 6. Comprueba como al hacer click con el botón derecho sobre
cada grupo, nos aparece la opción de enviar correo. ¿Qué mensaje
muestra?
Para poder hacer uso de esta opción hemos de tener instalado el
cliente de correo masivo de Microsoft, no obstante ahora ya
conoces la posibilidad.
Paso 7. De la misma forma vamos a definir otro grupo llamado
“personal de administración” ahora de dominio local y de tipo
distribución. ¿Existe alguna diferencia aparente entre los dos tipos
de grupos de seguridad y distribución creados?
Paso 9. Crear una unidad organizativa sobre la raíz del dominio,
llamada “Clases”.
Paso 10. Dentro de la Unidad Organizativa anterior crear 3 grupos
de alumnos: AlumnosA32, AlumnosA33 y AlumnosA34. Deben ser
grupos de seguridad y de ámbito dominio local.
31
 PRACTICA 5. CREACIÓN DE
GRUPOS DE USUARIO EN A.D.
Paso 11. Mover los grupos iniciales “Alumnos” y “Profesores” a la
unidad organizativa “Clases”.
Paso 12. Asignar el usuario Administrador al grupo “Profesores”,
partiendo desde Administrador/Agregar a un grupo… y buscando por
“Profe”
Paso 13. Agregar el usuario “Invitado” al grupo “Alumnos”, pero
ahora desde el grupo y añadiéndole el usuario
Paso 14. Existen unas directrices a la hora de nombrar los grupos,
de forma que es útil que el nombre refleje la posesión y el ámbito.
Lo siguiente que vamos a hacer es crear grupos de ámbito global,
para ello vamos a aplicar las directrices de nombre de grupo.
Paso 15. Crear un nuevo grupo local llamado “GAlumnosRest”, sobre
la UO “clases”. De esta forma en el nombre queda implícito que el
grupo es de ámbito global y con acceso restringido. Este grupo ha de
definirse como un grupo de seguridad.
32
 PRACTICA 5. CREACIÓN DE
GRUPOS DE USUARIO EN A.D.
Paso 16. De la misma forma vamos a definir otro grupo también
global y de tipo seguridad llamado “GProfesoresTot”. De esta forma
en el nombre queda implícito que el grupo es de ámbito global y con
acceso Total.
Paso 17. El nombre de los grupos se puede modificar haciendo click
con el botón derecho sobre el grupo seleccionado. Modifica el
nombre de los dos grupos de dominio local creados al principio
“Alumnos” y “Profesores” de forma que se reconozca en el nombre el
ámbito al que pertenecen.
Para ello aplica DL delante del nombre y con respecto al tipo de
acceso déjalos igual que sus correspondientes de ámbito global (para
los alumnos “Rest” y para los profesores “Tot”.
Paso 18. Supón que nos interesa tener un grupo común para poder
únicamente enviar e-mails tanto a profesores como a alumnos. ¿Que
nombre, ámbito y tipo le pondrías?
33