3 Usuarios y grupos en redes Windows con Active Directory

3.1. Grupos de usuarios en Windows Server.

Los grupos se utilizan para reunir las cuentas de usuario, las cuentas de equipo y otras cuentas
de grupo en unidades administrables. Al trabajar con grupos en lugar de usuarios individuales
se simplifica el mantenimiento y la administración de la red.

Hay dos tipos de grupos en Active Directory: grupos de distribución y grupos de seguridad.
Puede utilizar los grupos de distribución para crear listas de distribución de correo electrónico y
los grupos de seguridad para asignar permisos a los recursos compartidos.

Grupos de distribución

Los grupos de distribución sólo se pueden utilizar con aplicaciones de correo electrónico (como
Exchange) para enviar correo electrónico a grupos de usuarios. Los grupos de distribución no
tienen habilitada la seguridad, lo que significa que no se pueden incluir en las listas de control
de acceso discrecional (DACL). Si necesita un grupo para controlar el acceso a los recursos
compartidos, cree un grupo de seguridad.

Grupos de seguridad

Si se utilizan adecuadamente, los grupos de seguridad suponen un modo eficaz de asignar el

acceso a los recursos de su red. Los grupos de seguridad permiten:

 Asignar derechos de usuario a grupos de seguridad en Active Directory

Los derechos de usuario se asignan a los grupos de seguridad para determinar qué
acciones pueden llevar a cabo los miembros del grupo en el ámbito de un dominio (o
bosque). Los derechos de usuario se asignan automáticamente a varios grupos de
seguridad durante la instalación de Active Directory para facilitar a los administradores la
definición de la función administrativa de un usuario dentro del dominio. Por ejemplo, un
usuario que se agrega al grupo Operadores de copia en Active Directory puede restaurar
y hacer copias de seguridad de los archivos y directorios ubicados en cada controlador
del dominio.
Esto es posible porque, de manera predeterminada, los derechos de usuario para Hacer
copias de seguridad de archivos y directorios y Restaurar archivos y directorios se
asignan automáticamente al grupo Operadores de copia de seguridad. Por tanto, los
miembros de este grupo heredan los derechos de usuario asignados al grupo. Para
obtener más información acerca de los derechos de usuario, vea Derechos de usuario.
Para obtener más información acerca de los derechos de usuario asignados a los
grupos de seguridad, vea Grupos predeterminados.
Con Directiva de grupo, puede asignar derechos de usuario a los grupos de seguridad,
lo que le ayudará a delegar tareas específicas. Siempre debe asignar las tareas
delegadas con discreción, ya que un usuario poco experto al que se le asignen
demasiados derechos en un grupo de seguridad podría perjudicar seriamente su red.
Para obtener más información, vea Delegar la administración. Para obtener más
información acerca de cómo asignar derechos de usuario a grupos, vea Asignar
derechos de usuario a un grupo en Active Directory.
 Asignar permisos a grupos de seguridad en recursos
Los permisos no se deben confundir con los derechos de usuario. Los permisos se
asignan al grupo de seguridad en el recurso compartido. Los permisos determinan qué
usuarios pueden tener acceso al recurso y el nivel de acceso, como Control total.
Algunos de los permisos establecidos en los objetos de dominio se asignan

Nombre del Libro 1-5

 3 Usuarios y grupos en redes Windows con Active Directory
automáticamente para permitir varios niveles de acceso a los grupos de seguridad
predeterminados, como el grupo Operadores de cuentas o Administradores del dominio.
Para obtener más información acerca de los permisos, vea Control de acceso en Active
Directory.
Los grupos de seguridad se muestran en las DACL que definen los permisos sobre
recursos y objetos. Los administradores deben asignar los permisos para recursos
(archivos compartidos, impresoras, etc.) a un grupo de seguridad, no a usuarios
individuales. Así los permisos se asignan una vez al grupo en lugar de varias veces a
cada usuario individual. Cada cuenta agregada al grupo recibe los derechos asignados a
ese grupo en Active Directory y los permisos definidos para el grupo en el recurso.

Al igual que los grupos de distribución, los grupos de seguridad también se pueden utilizar como
una entidad de correo electrónico. Al enviar un mensaje de correo electrónico al grupo, el
mensaje se envía a todos sus miembros.

Derechos de usuario
Grupo Descripción
predeterminados
Operadores de Los miembros de este grupo pueden crear, Permitir el inicio de sesión local; Apagar el sistema.
cuentas modificar y eliminar cuentas de usuarios, grupos y
equipos que se encuentran en los contenedores
Usuarios o Equipos y en las unidades organizativas
del dominio, excepto la unidad organizativa
Controladores de dominio. Los miembros de este
grupo no tienen permiso para modificar los grupos
Administradores o Administradores del dominio ni
las cuentas de los miembros de dichos grupos. Los
miembros de este grupo pueden iniciar la sesión de
forma local en los controladores del dominio y
apagarlos. Como este grupo tiene una autoridad
considerable en el dominio, sea prudente al
agregar usuarios.
Administradores Los miembros de este grupo controlan por Tener acceso a este equipo desde la red; Ajustar las
completo todos los controladores del dominio. De cuotas de memoria de un proceso; Hacer copia de
forma predeterminada, los grupos Administradores seguridad de archivos y directorios; Saltarse la
del dominio y Administradores de organización son comprobación de recorrido; Cambiar la hora del
miembros del grupo Administradores. La cuenta sistema; Crear un archivo de paginación; Depurar
Administrador es miembro de este grupo de forma programas; Habilitar la confianza para la delegación de
predeterminada. Puesto que este grupo controla las cuentas de usuario y de equipo; Forzar el apagado
por completo el dominio, agregue los usuarios con desde un sistema remoto; Aumentar la prioridad de
cautela. programación; Cargar y descargar controladores de
dispositivo; Permitir el inicio de sesión local;
Administrar el registro de auditoría y seguridad;
Modificar valores de entorno del firmware; Hacer perfil
de un solo proceso; Hacer perfil del rendimiento del
sistema; Quitar un equipo de una estación de
acoplamiento; Restaurar archivos y directorios; Apagar
el sistema; Tomar posesión de archivos y otros
objetos.
Operadores de copia Los miembros de este grupo pueden realizar Hacer copia de seguridad de archivos y directorios;
de seguridad copias de seguridad y restaurar todos los archivos Permitir el inicio de sesión local; Restaurar archivos y
en los controladores del dominio, directorios; Apagar el sistema.
independientemente de sus permisos individuales
en esos archivos. Los Operadores de copia de
seguridad también pueden iniciar la sesión en los
controladores de dominio y apagarlos. Este grupo
no tiene ningún miembro predeterminado. Como
este grupo tiene una autoridad considerable en los
controladores de dominio, sea prudente al agregar
usuarios.
Invitados De forma predeterminada, el grupo Invitados del No hay derechos de usuario predeterminados.
dominio es un miembro de este grupo. La cuenta
Invitado (que está deshabilitada de forma
predeterminada) también es un miembro
predeterminado de este grupo.

Nombre del Libro 2-5

 3 Usuarios y grupos en redes Windows con Active Directory
Creadores de Los miembros de este grupo pueden crear No hay derechos de usuario predeterminados.
confianza de bosque confianzas de bosque de entrada unidireccionales
de entrada (sólo en el dominio raíz del bosque. Por ejemplo, los
aparece en el dominio miembros de este grupo que residen en el Bosque
raíz del bosque) A pueden crear una confianza de bosque de
entrada unidireccional desde el Bosque B. Esta
confianza de bosque de entrada unidireccional
permite a los usuarios del Bosque A tener acceso a
recursos ubicados en el Bosque B. Los miembros
de este grupo disponen del permiso Crear
confianza de bosque de entrada en el dominio raíz
del bosque. Este grupo no tiene ningún miembro
predeterminado. Para obtener más información
acerca de cómo crear una confianza de bosque,
vea Crear una relación de confianza de bosque.
Operadores de Los miembros de este grupo pueden modificar la No hay derechos de usuario predeterminados.
configuración de red configuración TCP/IP, así como renovar y liberar
las direcciones TCP/IP en los controladores del
dominio. Este grupo no tiene ningún miembro
predeterminado.
Usuarios del Monitor Los miembros de este grupo pueden supervisar los No hay derechos de usuario predeterminados.
de sistema contadores de rendimiento en los controladores del
dominio, tanto de forma local como desde clientes
remotos, sin ser miembros de los grupos
Administradores o Usuarios del registro de
rendimiento.
Usuarios del registro Los miembros de este grupo pueden administrar No hay derechos de usuario predeterminados.
de rendimiento los contadores de rendimiento, los registros y las
alertas de los controladores del dominio, tanto de
forma local como desde clientes remotos, sin ser
miembros del grupo Administradores.
Acceso compatible Los miembros de este grupo tienen acceso de Tener acceso a este equipo desde la red; Saltarse la
con versiones lectura en todos los usuarios y grupos del dominio. comprobación de recorrido.
anteriores a Windows Este grupo se proporciona para garantizar la
2000 compatibilidad con versiones anteriores en los
equipos con Windows NT 4.0 y anteriores. De
forma predeterminada, la identidad especial Todos
es miembro de este grupo. Para obtener más
información acerca de las identidades especiales,
vea Identidades especiales. Agregue usuarios a
este grupo únicamente si se ejecutan en Windows
NT 4.0 o versiones anteriores.
Operadores de Los miembros de este grupo pueden administrar, Permitir el inicio de sesión local; Apagar el sistema.
impresión crear, compartir y eliminar impresoras que están
conectadas a los controladores del dominio.
También pueden administrar objetos de impresora
de Active Directory en el dominio. Los miembros de
este grupo pueden iniciar la sesión de forma local
en los controladores del dominio y apagarlos. Este
grupo no tiene ningún miembro predeterminado.
Puesto que los miembros de este grupo pueden
cargar y descargar controladores de dispositivos en
todos los controladores del dominio, agregue los
usuarios con cautela.
Usuarios de Los miembros de este grupo pueden iniciar la No hay derechos de usuario predeterminados.
escritorio remoto sesión en los controladores del dominio de forma
remota. Este grupo no tiene ningún miembro
predeterminado.
Replicador Este grupo admite funciones de replicación de No hay derechos de usuario predeterminados.
directorio y el Servicio de replicación de archivos lo
utiliza en los controladores del dominio. Este grupo
no tiene ningún miembro predeterminado. No
agregue usuarios a este grupo.
Operadores de En los controladores de dominio, los miembros de Hacer copia de seguridad de archivos y directorios;
servidores este grupo pueden iniciar sesiones interactivas, Cambiar la hora del sistema; Forzar el apagado desde
crear y eliminar recursos compartidos, iniciar y un sistema remoto; Permitir el inicio de sesión local;
detener varios servicios, hacer copias de seguridad Restaurar archivos y directorios; Apagar el sistema.
y restaurar archivos, formatear el disco duro y
apagar el equipo. Este grupo no tiene ningún
miembro predeterminado. Dado que este grupo
tiene mucha importancia para los controladores de
dominio, agregue los usuarios con cautela.

Nombre del Libro 3-5

 3 Usuarios y grupos en redes Windows con Active Directory
Usuarios Los miembros de este grupo pueden realizar las No hay derechos de usuario predeterminados.
tareas más habituales, como ejecutar aplicaciones,
utilizar impresoras locales y de red, así como
bloquear el servidor. De forma predeterminada, el
grupo Usuarios del dominio, Usuarios autenticados
e Interactivo son miembros de este grupo. Por
tanto, todas las cuentas de usuario que se crean
en el dominio son miembros de este grupo.

Grupos del contenedor Usuarios

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor

Usuarios y se indican los derechos de usuario asignados a cada grupo. Para ver una
descripción completa de los derechos de usuario que se indican en la tabla, vea Asignación de
derechos de usuario. Para obtener información acerca de cómo modificar esos derechos, vea
Modificar la configuración de seguridad en un objeto de directiva de grupo.

Grupo Descripción Derechos de usuario

predeterminados
Publicadores de Los miembros de este grupo tienen permitida la No hay derechos de usuario predeterminados.
certificados publicación de certificados para usuarios y
equipos. Este grupo no tiene ningún miembro
predeterminado.
DnsAdmins Los miembros de este grupo tienen acceso No hay derechos de usuario predeterminados.
(instalado con DNS) administrativo al Servidor DNS. Este grupo no
tiene ningún miembro predeterminado.
DnsUpdateProxy Los miembros de este grupo son clientes DNS No hay derechos de usuario predeterminados.
(instalado con DNS) que pueden realizar actualizaciones dinámicas
en lugar de otros clientes, como los servidores
DHCP. Este grupo no tiene ningún miembro
predeterminado.
Administradores de Los miembros de este grupo controlan el Tener acceso a este equipo desde la red; Ajustar las
dominio dominio por completo. De forma cuotas de memoria de un proceso; Hacer copia de
predeterminada, este grupo pasa a ser seguridad de archivos y directorios; Saltarse la
miembro del grupo Administradores en todos comprobación de recorrido; Cambiar la hora del
los controladores, estaciones de trabajo y sistema; Crear un archivo de paginación; Depurar
servidores miembro del dominio en el momento programas; Habilitar la confianza para la delegación de
en que se une al dominio. De forma las cuentas de usuario y de equipo; Forzar el apagado
predeterminada, la cuenta Administrador es desde un sistema remoto; Aumentar la prioridad de
miembro de este grupo. Puesto que el grupo programación; Cargar y descargar controladores de
controla el dominio por completo, agregue los dispositivo; Permitir el inicio de sesión local; Administrar
usuarios con cautela. el registro de auditoría y seguridad; Modificar valores de
entorno del firmware; Hacer perfil de un solo proceso;
Hacer perfil del rendimiento del sistema; Quitar un
equipo de una estación de acoplamiento; Restaurar
archivos y directorios; Apagar el sistema; Tomar
posesión de archivos y otros objetos.
Equipos del Este grupo contiene todas las estaciones de No hay derechos de usuario predeterminados.
dominio trabajo y los servidores unidos al dominio. De
forma predeterminada, todas las cuentas de
equipo creadas pasan a ser miembros de este
grupo automáticamente.
Controladores de Este grupo contiene todos los controladores del No hay derechos de usuario predeterminados.
dominio dominio.
Invitados del Este grupo contiene todos los invitados del No hay derechos de usuario predeterminados.
dominio dominio.
Usuarios del Este grupo contiene todos los usuarios del No hay derechos de usuario predeterminados.
dominio dominio. De forma predeterminada, todas las
cuentas de usuario creadas en el dominio
pasan a ser miembros de este grupo
automáticamente. Este grupo se puede utilizar
para representar todos los usuarios del
dominio. Por ejemplo, si desea que todos los
usuarios del dominio tengan acceso a una
impresora, puede asignar permisos para la
impresora a este grupo (o puede agregar el

Nombre del Libro 4-5

 3 Usuarios y grupos en redes Windows con Active Directory
grupo Usuarios del dominio en un grupo local
del servidor de impresoras que disponga de los
permisos para utilizarla).
Administradores de Los miembros de este grupo controlan por Tener acceso a este equipo desde la red; Ajustar las
organización (sólo completo todos los dominios del bosque. De cuotas de memoria de un proceso; Hacer copia de
aparece en el forma predeterminada, este grupo es un seguridad de archivos y directorios; Saltarse la
dominio raíz del miembro del grupo Administradores en todos comprobación de recorrido; Cambiar la hora del
bosque) los controladores de dominio del bosque. De sistema; Crear un archivo de paginación; Depurar
forma predeterminada, la cuenta Administrador programas; Habilitar la confianza para la delegación de
es miembro de este grupo. Dado que este las cuentas de usuario y de equipo; Forzar el apagado
grupo controla el bosque por completo, desde un sistema remoto; Aumentar la prioridad de
agregue los usuarios con cautela. programación; Cargar y descargar controladores de
dispositivo; Permitir el inicio de sesión local; Administrar
el registro de auditoría y seguridad; Modificar valores de
entorno del firmware; Hacer perfil de un solo proceso;
Hacer perfil del rendimiento del sistema; Quitar un
equipo de una estación de acoplamiento; Restaurar
archivos y directorios; Apagar el sistema; Tomar
posesión de archivos u otros objetos.
Propietarios del Los miembros de este grupo pueden modificar No hay derechos de usuario predeterminados.
creador de directiva la Directiva de grupo en el dominio. De forma
de grupo predeterminada, la cuenta Administrador es
miembro de este grupo. Como este grupo tiene
una autoridad considerable en el dominio, sea
prudente al agregar usuarios.
IIS_WPG (instalado El grupo IIS_WPG es el grupo de procesos de No hay derechos de usuario predeterminados.
con IIS) trabajo de los Servicios de Internet Information
Server (IIS) 6.0. El funcionamiento de IIS 6.0
incluye procesos de trabajo para espacios de
nombres específicos. Por ejemplo,
www.microsoft.com es un espacio de nombres
proporcionado por un proceso de trabajo, que
se puede ejecutar con una identidad agregada
al grupo IIS_WPG, como cuentaMicrosoft. Este
grupo no tiene ningún miembro
predeterminado.
Servidores RAS e Los servidores de este grupo tienen permitido No hay derechos de usuario predeterminados.
IAS el acceso a las propiedades de acceso remoto
de los usuarios.
Administradores de Los miembros de este grupo pueden modificar No hay derechos de usuario predeterminados.
esquema (sólo el esquema de Active Directory. De forma
aparece en el predeterminada, la cuenta Administrador es
dominio raíz del miembro de este grupo. Como este grupo tiene
bosque) una autoridad considerable en el bosque, sea
prudente al agregar usuarios.

Nombre del Libro 5-5