Introducción
- Los grupos simplifican la administración porque proporcionan un método fácil para conceder capacidades comunes a múltiples usuarios simultáneamente. Por ejemplo, si varios usuarios necesitan leer un archivo, las cuentas de usuario se agregarán a un grupo.
- La capacidad de lectura se asigna solo una vez al grupo, en lugar de asignarse a cada usuario en particular.
Ámbitos de Grupo
Cuando se crea un usuario se le asigna un ámbito. El ámbito de grupo determina la visibilidad del mismo dentro del dominio, así como las características que pueden conceder a los objetos que contiene.
- Grupos de ámbito global: Los permisos concedidos a este grupo tienen validez en cualquier dominio. Pueden ser miembros de grupos universales o locales en cualquier dominio y pueden tener como miembros a otros grupos globales del mismo dominio y a cuentas de usuario del mismo dominio.
- Grupos de ámbito local de dominio: Sus miembros actúan sobre cualquier dominio pero sus permisos solo son efectivos para recursos del dominio en el que se crea el grupo.
- Grupos de ámbito universal: Pueden tener miembros procedentes de cualquier dominio y se les puede asignar
Cuentas de usuario integradas
Cuando se crea el dominio, se crean también dos nuevas cuentas: Administrador e Invitado. Posteriormente, cuando es necesario, se crea también la cuenta Asistente de ayuda. Estas son las denominadas cuentas integradas y disponen de una serie de derechos y permisos predefinidos:
- Administrador: Tiene control total sobre el dominio y no se podrá eliminar ni retirar del grupo Administradores (aunque sí podemos cambiarle el nombre o deshabilitarla).
- Invitado: Está deshabilitada de forma predeterminada y, aunque no se recomienda, puede habilitarse, por ejemplo, para permitir el acceso a los usuarios que aún no tienen cuenta en el sistema o que la tienen deshabilitada. De forma predeterminada no requiere contraseña, aunque esta característica, como cualquier otra, puede ser modificada por el administrador.
- Asistente de ayuda: se utiliza para iniciar sesiones de Asistencia remota y tiene acceso limitado al equipo. Se crea automáticamente cuando se solicita una sesión de asistencia remota y se elimina cuando dejan de existir solicitudes de asistencia pendientes de satisfacer.
 |
| Figura1. Distintos tipos de usuarios y sus jerarquías. |
Grupos de Seguridad
Permiten asignar permisos a las cuentas de usuario, de equipo y grupos sobre los recursos compartidos. Con los grupos de seguridad podemos:
- Asignar derechos de usuario a los grupos de seguridad del Directorio Activo. De esta forma, podemos establecer qué acciones pueden llevar a cabo sus miembros dentro del dominio (o del bosque).
- Asignar permisos para recursos a los grupos de seguridad. Lo que nos permite definir quién accede a cada recurso y bajo qué condiciones (control total, sólo lectura, etc.) También se establecen permisos de forma predeterminada sobre diferentes objetos del dominio para ofrecer distintos niveles de acceso.
 |
| Figura2. Imagen que muestra los grupos y permisos que tiene cada usuario dentro de cada uno. |
Unidades Organizativas
Las Unidades Organizativas (en inglés, Organizational Units o, simplemente,OUs) son contenedores del Directorio Activo que pueden incluir usuarios, equipos, grupos y otras unidades organizativas.
A una Unidad Organizativa le podemos otorgar valores de configuración de directiva de grupo o podemos delegar sobre ella una parte de la autoridad administrativa. De esta forma, un usuario puede tener autoridad para administrar una determinada unidad organizativa y no tenerla para el resto. En definitiva, esto significa que podemos definir contenedores que representen la organización lógica de nuestra red.
Las Unidades Organizativas (en inglés, Organizational Units o, simplemente,OUs) son contenedores del Directorio Activo que pueden incluir usuarios, equipos, grupos y otras unidades organizativas.
A una Unidad Organizativa le podemos otorgar valores de configuración de directiva de grupo o podemos delegar sobre ella una parte de la autoridad administrativa. De esta forma, un usuario puede tener autoridad para administrar una determinada unidad organizativa y no tenerla para el resto. En definitiva, esto significa que podemos definir contenedores que representen la organización lógica de nuestra red.
 |
| Figura3. Ejemplo de una unidad organizativa con grupos y cuentas de usuarios. |
0 comentarios:
Publicar un comentario