Grupos de Windows 2000: Gestión y Directivas.

Por definición, los grupos en Microsoft Windows 2000 son objetos del servicio de directorio Active Directory o del equipo local que pueden contener usuarios, contactos, equipos a otros grupos. Sin embargo, en general, un grupo es normalmente una colección de cuentas de usuario. El objetivo de los grupos es simplificar la administración permitiendo al administrador de la red asignar derechos y permisos por grupo en lugar de a usuarios individuales.

Windows 2000 permite dos tipos de grupos: de seguridad y de distribución. Los grupos de seguridad son esencialmente los únicos grupos utilizados en Windows 2000 porque son los únicos grupos por medio de los que se pueden asignar permisos. A cada grupo de seguridad se asigna también un ámbito de grupo, el cual define cómo se asignan los permisos a los miembros del grupo y los grupos de distribución que no tienen seguridad activada y a los que no se pueden asignar permisos.

Tipos de grupos.

Figura 22-31. Tipos de Grupos en Windows 2000.

En Windows 2000 hay tres tipos de grupos:

Ámbitos de grupo.

Cuando se crea un grupo, se le asigna un ámbito de grupo que define cómo se asignaran los permisos. Las tres posibilidades de ámbitos de grupo son: global, local de dominio y universal.

Figura 22-32. Ámbitos de Grupos en Windows 2000.

Planificación de estrategias de grupo.

Determinación de los nombres de grupo.

A la hora de planificar los grupos, se debería determinar un esquema de denominación que sea apropiado para la organización. Se deberían considerar dos factores:

  • Los nombres de los grupos deberían reconocerse instantáneamente: Si es así, los administradores que busquen en el Active Directory no tendrán que adivinar su significado.

  • Los grupos comparables deberían tener nombres similares: En otras palabras, si hay un grupo para ingenieros en cada dominio, hay que dar a todos los grupos nombres paralelos, como Ingenieros América, Ingenieros Europa o Ingenieros Asia.

Grupos globales y locales de dominio.

Será necesario desarrollar una estrategia para utilizar los diferentes grupos y hacer que los usuarios con responsabilidades laborales similares pertenezcan a un grupo global. De este modo, se añadirían cuentas de usuario para todos los artistas gráficos a un grupo global llamado Artistas gráficos. Otros usuarios con necesidades comunes deberían asignarse a otros grupos globales. Después, se deben identificar los recursos a los cuales necesitan acceder los usuarios y crear un grupo local de dominio para cada recurso. Si, por ejemplo, hay varias impresoras y trazadores de color que se utilizan en departamentos específicos, se podría crear un grupo local de dominio llamado ImpresorasDeColor.

Lo siguiente que se debería decidir es qué grupos globales necesitan acceder a los recursos identificados. Continuando con el ejemplo, se debería añadir el grupo global Artistas gráficos al grupo local de dominio ImpresorasDeColor, junto con el resto de grupos globales que necesiten acceder a las impresoras y los trazadores. El permiso para utilizar los recursos de ImpresorasDeColor debería asignarse al grupo local de dominio ImpresorasDeColor.

Grupos universales.

Los Grupos Universales sólo se pueden utilizar cuando el dominio se ejecuta en modo nativo y hay que tener en cuenta las siguientes directrices:

  • Evitar la adición de cuentas individuales a los grupos universales, para mantener el tráfico de réplica bajo.

  • Añadir grupos globales de múltiples dominios a grupos universales para proporcionar acceso a recursos a los miembros en más de un dominio.

  • Los grupos universales pueden ser miembros de grupos locales de dominio y otros grupos universales, pero no pueden ser miembros de grupos globales.

Implementaciónd e estrategias de grupo.

Una vez que se haya planificado la estrategia y comprobado utilizando variedad de escenarios, se estará preparado para comenzar a poner en práctica la estructura.

Creación de grupos.

Se puede utilizar Usuarios y equipos de Active Directory para crear y eliminar grupos. Los grupos deberían crearse en el contenedor Users o en una unidad organizativa (OU, Organizational Unit) que se haya creado con el propósito de contener grupos.

Para crear un grupo:

Figura 22-33. Pantalla para creación de Grupos en Windows 2000.

Eliminación de grupos.

Figura 22-34. Botón para la eliminación de Grupos en Windows 2000.

Cuando ya no se necesita más un grupo hay que asegurarse de eliminarlo del sistema cuanto antes. Los grupos innecesarios son un riesgo para la seguridad porque es muy fácil garantizar permisos de forma no intencionada.

Cada grupo, como cada usuario, tiene un identificador de seguridad (SID) único. El SID se utiliza para identificar al grupo y los permisos asignados al grupo. Cuando el grupo se elimina, el SID se borra y no se utiliza de nuevo. Si se elimina un grupo y más tarde se decide volver a crearlo, habrá que configurar los usuarios y los permisos al igual que para un nuevo grupo.

Para eliminar un grupo, simplemente hay que pulsar con el botón derecho del ratón en su nombre en Usuarios y equipos de Active Directory y escoger Eliminar en el menú contextual. La eliminación de un grupo solo elimina el grupo y los permisos asociados al grupo. El único efecto en las cuentas de los usuarios es que pierden los derechos inherentes al grupo eliminado.

Cambio de ámbito de un grupo.

Con el tiempo se puede descubrir que es necesario cambiar el ámbito de un grupo particular. Por ejemplo, podría ser necesario cambiar un grupo global a universal de forma que los usuarios de otro dominio puedan ser parte del grupo. Sin embargo, los tipos de cambios que se pueden hacer al ámbito de un grupo están realmente limitados, y puede ser necesario eliminar el grupo y crear uno nuevo para obtener la configuración que se necesita.

Figura 22-35. Ámbito de Grupos en Windows 2000.

Para cambiar el ámbito de un grupo, hay que pulsar con el botón derecho del ratón en el nombre del grupo en Usuarios y equipos de Active Directory y escoger Propiedades en el menú contextual. Hay que realizar los cambios necesarios en la pestaña General y pulsar Aceptar cuando se haya terminado. Las reglas para cambiar un ámbito de un grupo son las siguientes:

  • En modo mixto, un grupo de seguridad no puede tener ámbito universal.

  • Un grupo global se puede cambiar a universal si no es aun miembro de otro grupo global.

  • Un grupo local de dominio se puede cambiar a universal si no contiene aún otro grupo local de dominio.

  • Un grupo universal no se puede cambiar.

Creación de grupos locales.

Para crear un Grupo Local.

Un grupo local es una colección de cuentas de usuario en un único equipo. Las cuentas de usuarios han de ser locales al equipo, y los miembros de grupos locales solo pueden tener asignados permisos para recursos del equipo donde se creó el grupo local.

Los grupos locales se pueden crear en cualquier equipo Windows 2000 excepto en controladores de dominio. En general, no es conveniente utilizar grupos locales en un equipo que es parte de un dominio o, al menos, es mejor hacerlo con moderación. Los grupos locales no aparecen en el Active Directory, por lo hay que administrarlos independientemente en cada equipo individual.

Gestión de grupos predefinidos y de los derechos de los usuarios.

Windows 2000 crea cuatro tipos de grupos predefinidos: locales, locales de dominio, globales y de sistema. Cada tipo de grupo predefinido tiene un conjunto predeterminado de derechos de usuario. Todo el que es asignado al grupo posee automáticamente esos derechos.

Grupos locales predefinidos.

Los servidores miembro, los servidores independientes y los equipos que ejecutan Windows 2000 Profesional tienen grupos locales predefinidos que otorgan derechos para realizar tareas en una única maquina.

Figura 22-36. Grupos locales predefinidos en Windows 2000.

Grupos locales predefinidos.

  • Administradores: Sus miembros pueden realizar todas las tareas administrativas en el equipo. La cuenta predefinida Administrador que se crea cuando se instala el sistema operativo es un miembro del grupo. Cuando un servidor independiente o un equipo que ejecuta Windows 2000 Profesional se une a un dominio, el grupo Admins. del dominio se hace parte de este grupo.

  • Duplicadores: No se deben añadir cuentas de usuario de usuarios reales a este grupo. Si es necesario, se puede añadir una cuenta de usuario "ficticia" a este grupo para permitir iniciar sesión en los servicios Replicador de un controlador de dominio para administrar la réplica de archivos y directorios.

  • Invitados: Sus miembros sólo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos específicamente.

  • Operadores de copia: Sus miembros pueden iniciar sesión en el equipo, hacer copia de seguridad y recuperar la información del equipo y apagar el equipo. Los miembros no pueden cambiar la configuración de seguridad. No hay miembros predeterminados en el grupo.

  • Usuarios: Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un servidor miembro o una máquina Windows 2000 Profesional se une a un dominio, el grupo Usuarios del dominio se añade a este grupo.

  • Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar programas en el equipo local pero no pueden ver los archivos de otros usuarios.

Grupos golbales predefinidos.

Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma predeterminada, estos grupos no tiene derechos heredados; un administrador debe asignar todos los derechos del grupo. Sin embargo, algunos miembros se añaden automáticamente a estos grupos, y se pueden añadir como miembros basándose en los derechos y permisos asignados a los grupos. Los derechos se pueden asignar directamente a los grupos o añadiendo los grupos globales predefinidos a grupos locales de dominio.

Grupos globales predefinidos usados más frecuentemente:

Figura 22-37. Grupos globales predefinidos en Windows 2000.

  • Administración de empresas: Este grupo es para usuarios que tengan derechos administrativos en toda la red. Administración de empresas es automáticamente un miembro del grupo local de dominio Administradores en el dominio en el que se creo. Será necesario añadirlo al grupo local de dominio Administradores de otros dominios.

  • Adminis. de dominio: Este grupo es automáticamente un miembro del grupo local de dominio Administradores, por lo que los miembros de Admins. del dominio pueden realizar tareas administrativas en cualquier equipo del dominio. La cuenta Administrador es un miembro de este grupo de forma predeterminada.

  • Controladores de dominio: Todos los controladores de dominio del dominio con miembros. 

  • Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio.

  • Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo es automáticamente un miembro del grupo local de dominio Invitados.

  • Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la directiva de grupo del dominio.

  • Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros. El grupo Usuarios del dominio es automáticamente un miembro del grupo local de dominio usuarios.

Derechos de usuario.

Derechos son aquellas acciones que los usuarios pueden o no realizar. Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de seguridad de archivos o de iniciar sesión en un servidor, por ejemplo, es un derecho que el administrador concede o retira. Los derechos se pueden asignar de forma individual, pero la mayoría de las veces son característicos de los grupos, y un usuario se asigna a un grupo particular en base a los derechos que necesita.

Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos como archivos, directorios a impresoras.