Grupos de distribucin: 1.

Sirven para crear listas de distribucin de correo electrnico, al enviar un e-mail a un grupo de distribucin lo recibirn todos los miembros del mismo 2. Carecen de SID o Identificador de Seguridad 3. Puesto que no tienen SID no pueden ser utilizados para controlar el acceso a recursos (por ejemplo carpetas) Grupos de seguridad: 1. Estos grupos pueden actuar como grupos de distribucin, es decir, al enviar un e-mail a un grupo de seguridad todos los miembros del grupo lo recibirn 2. Tienen un SID asociado, es decir, es posible controlar y limitar el acceso a los recursos de la red a estos grupos (y por consiguiente, a los miembros de estos) Que es eso del SID? Qu hace? Bien, el SID es como ya he comentado en otras ocasiones, un Identificador de Seguridad que nos permite (bueno a las mquinas) verificar que un usuario es quin dice ser de esta forma podemos aplicar las famosas directivas etc de forma que se vean afectados solo los usuarios que nosotros queremos que se vean afectados. Esto como habrs deducido es lo que nos permite conceder o denegar accesos a por ejemplo, carpetas de la red, mediante el SID es posible prohibir la escritura a una carpeta o por el contrario concederla as como permisos de lectura, ejecucin y todos esos que ya conocemos y con los grupos podemos gestionar estos permisos de forma masiva, pero mejor vamos con un ejemplo que nos permita diferenciar y entender en un caso real los dos tipos de grupos, tanto los de distribucin como los de seguridad. Ejemplo Tenemos una empresa con 342 empleados dividida en varios departamentos, por el extrao motivo que se sea en esta empresa todava estn trabajando con mquinas de escribir lo que pasa es que todo el mundo puede tocar las mquinas de escribir y modificar los documentos que hacen otros bueno el tema es que han decidido modernizarse de nuevo (lo anterior fue la revolucin del lpiz, pasaron del lpiz a la mquina de escribir) y ahora quieren probar con ordenadores as que nos ponemos a disear la red y vemos que cuentan con varios departamentos as que empezamos centrndonos por los que ms empleados tienen que sern los ms complejos de administrar (por volumen). Bien echamos cuentas y vemos que tenemos un total de 41 administrativos entre recepcionistas, secretarias/os etctera as que empezaremos por aqu. 1. Creamos una Unidad Organizativa y la llamamos administracin 2. Creamos los usuarios (aqu cada uno que piense en como hacerlo, ms adelante veremos como crear usuarios de forma masiva) 3. Creamos un grupo de seguridad 4. Abrimos el grupo de seguridad y aadimos a los 41 usuarios creados dentro de la Unidad Organizativa administracin Ahora abrimos nuestro explorador de Windows, creamos una carpeta en la unidad adecuada para almacenar la informacin de la empresa pero no aplicamos permisos todava, dentro de esta carpeta crearemos una nueva carpeta denominada Documentos Administracin (por ejemplo) y en la ficha

seguridad agregamos al grupo administracin para que puedan llevar a cabo las tareas necesarias, ya sabis eso de lectura, ejecutar, modificar lo que sea necesario. De esta forma hemos creado a 41 usuarios que estn agrupados tanto en una OU como en un grupo de seguridad, mediante la pertenencia al grupo de seguridad podremos controlar ms fcilmente el acceso a los recursos de la red y mediante las OU podremos realizar el despliegue de directivas de grupo. Como vemos todo es cuestin de prctica, ponerse un poco a pensar, ver cual es la estructura real de la empresa y trasladarlo a la topologa lgica de Active Directory de forma que podamos tener un mayor control, o dicho de otra forma, un control ms preciso tanto de los recursos de la red como de los equipos de la misma. El grupo de distribucin lo podremos usar por ejemplo 8por si nadie le ve utilidad sigo con el ejemplo) para la mensajera interna de la empresa, por ejemplo, podemos tener un grupo de distribucin en los que se encuentren todos los grupos de seguridad con todos los usuarios de la red (si no queremos incluir a gerentes o cosas as pues solamente hay que NO aadir esos grupos y listo) que ser utilizado para enviar comunicados a todos los empleados, por ejemplo con motivo de una celebracin, para solicitar una documentacin de los empleados, para difundir cambios en las normas rpidamente o para hacer llegar un calendario con fechas importantes, aqu ya entran en juego las necesidades reales de cada empresa. El mbito de grupo es tal vez una de esas opciones que muchos de nosotros no utilizaremos nunca, pero que en caso de que tengamos un escenario que requiera de su aplicacin ser muy importante hacerlo como es debido ya que podemos comprometer gravemente la seguridad de la red. El mbito de los grupos podemos decir que define el rea o espacio lgico de la red donde vamos a trabajar con este grupo, o lo que es lo mismo, con sus integrantes y ahora vamos con el ejemplo que espero que aclare todas las dudas Tomamos como ejemplo el mundo, en el mundo hay pases, ciudades, continentes, el propio mundo, personas bien pues imaginemos que en el mundo solo hay dos tipos de personas que representaran los grupos de distribucin y de seguridad, digamos que los de seguridad por ejemplos son los trabajadores de las oficinas de correos de todo el mundo y los dems son de distribucin ok?, de esta forma los trabajadores de correos pueden llevar mensajes y recibirlos a la vez que deben cumplir unas normas (directivas/permisos) para poder realizar su trabajo, mientras que los dems solo podemos enviar y recibir cartas de un lado para otro sin importar las normas de funcionamiento de las oficinas de correo. Bien, en este ejemplo ya hemos ubicado los tipos, ahora vamos con el mbito. Pensemos en los ciudadanos como en los usuarios y que los mbitos simplemente son las partes del mundo siendo el mbito ms grande el propio mundo por ejemplo, dentro de Espaa habrn espaoles, estos espaoles sern de alguna ciudad como Valencia que adems implicar que son europeos, que sern a su vez ciudadanos del mundo, y esto es lo que representaran los mbitos, vamos con el ejemplo: Los ciudadanos/usuarios valencianos pertenecen a: Valencia, Espaa, Europa, el mundo Ok, seguimos con el ejemplo ahora con los argentinos de Mar del Plata Los ciudadanos/usuarios de Mar del Plata pertenecen a: Mar del Plata, Argentina, Amrica, el mundo

Bien dicho esto pensemos un poco, por ejemplo, tenemos muchos pases, muchas ciudades y aun ms ciudadanos pero ahora cambiemos un poco la perspectiva, imaginemos que solo podemos movernos dependiendo a donde pertenezcamos (el mbito) y solo podemos pertenecer a un lugar (o mbito, un mbito sera una ciudad, pas, continente o el propio mundo), por lo que si somos espaoles podremos viajar por toda Espaa, pero no podremos ir a Francia, podremos ir a Valencia, Madrid o Alicante pero nunca podremos salir de Espaa en cambio habrn otros que sern Valencianos y no podrn ni si quiera salir de Valencia pero por la contra los ciudadanos/usuarios del mundo podrn ir donde quieran No s si me explico muy bien lo que quiero tratar de haceros entender es que el mbito en nuestro directorio activo es lo que va a determinar donde podrn acceder los usuarios de dicho grupo, lo que cambia es que en vez de tener pases, ciudades, continentes o el propio mundo tendremos bosques, rboles, dominios, subdominios y dependiendo de el mbito podremos acceder a un dominio o no.

El tema de los mbitos de grupo me preocupa bastante, cosa que creo que se nota, y es que es una de esas cosas que digamos que se sale de la lgica para entrar en el mundo de las leyes, por qu digo esto? los informticos tenemos una forma de pensar un tanto peculiar y es que nuestra vida es 100% lgica, todo debe de tener una explicacin, somos curiosos e inquietos y necesitamos esa informacin, no tenerla nos hace sentir tontos? pues bien, el tema de los mbitos de grupo es algo que funciona mediante unas normas bsicas, se han establecido unos parmetros para estos y deberemos de evitar buscar ms lgica de la que tiene Para tratar de aclarar ms la cosa os voy a dejar unas cuantas tabla que tratarn de explicar de una forma muy clara quin puede pertenecer a que grupo, hasta donde los miembros de un grupo pueden interactuar etc bueno vamos con las tres primeras. Miembros segn mbito de grupo En esta tabla veremos el mbito de dominio local y que miembros pueden formar parte de este grupo contemplando tres casos, los objetos del mismo dominio, objetos del mismo bosque y los objetos de un dominio en el que se confa (existe una relacin de confianza), vamos con la tabla: mbito de dominio local Tipo objeto Usuarios Equipos Grupos globales Grupos locales Grupos Universales mbito Universal Tipo objeto Usuarios Dominio local Dominio del bosque X X Dominio de confianza Dominio local Dominio del bosque X X X X X X X X X Dominio de confianza X X X

Equipos Grupos globales Grupos locales Grupos Universales mbito Global Tipo objeto Usuarios Equipos Grupos globales Grupos locales Grupos Universales

X X X

X X X Dominio de confianza

Dominio local Dominio del bosque X X X

Ahora pasar a explicar lo que quieren decir las tablas, si nos fijamos en la parte de arriba de cada una de las tres tablas vemos que se hace referencia a un tipo de mbito (he excluido el mbito local por no tener aplicacin en un entorno de dominio) bien, despues cada tabla se divide en un tipo de obejtos y en una ubicacin y una cruz indica si ese objeto en esa ubicacin puede pertenecer a ese mbito, teniendo como referencia el servidor local en el que estamos trabajando, es decir si trabajamos en el servidor dc01.s3v.local el dominio local ser s3v.local, un dominio del bosque puede ser valencia.s3v.local y un dominio de confianza puede ser cualquiera con el que se haya establecido una relacin de confianza, espero explicarme Y por ltimo os dejo un enlace a una web de Microsoft que tal vez os termine de aclarar el tema de los mbitos definitivamente: http://technet.microsoft.com/es-es/library/cc755692%28WS.10%29.aspx En primer lugar encontramos que cuando creamos un grupo tenemos dos opciones: 1. Distribucin 2. Seguridad Los grupos de distribucin como ya se ve en el antes mencionado artculo estan orientados a agrupar a diferentes usuarios para que cuando el grupo recibe un mail automticamente se envie una copia de este a todos los usuarios que pertenecen al grupo de distribucin y aunque yo lo he basado un poco en Exchange no tiene que necesariamente estar este instalado en el servidor ya que podemos usar los servicios de correo de Windows Server. Los grupos de Seguridad son los que utilizaremos para controlar a los usuarios, es decir para asignar derechos y establecer restricciones de acceso a los diferentes recursos que se encuentran en la red. Una cosa importante a tener muy en cuenta, un grupo de seguridad podr ser utilizado para que a la vez haga las veces de un grupo de distribucin, pero un grupo de distribucin no podr ser utilizado para que realice las funciones de un grupo de seguridad

A parte de estos dos tipos de grupos debemos a la hora de crear uno nuevo definir el mbito de grupo y vamos a ver los cuatro mbitos que tenemos. 1. Local 2. Dominio local 3. Global 4. Universal Vamos a ver cada uno de los mbitos que hemos listado. mbito local Estos grupos son empleados para asignar permisos sobre el propio equipo, Windows Server 2000 o Windows Server 2003 crean grupos locales en la base datos local de seguridad (SAM local) y pueden contener los siguientes objetos: Usuarios Equipos Grupos Globales Universales Otros grupos del dominio local Solo los podemos usar en el equipo en que los creamos y slo proveen permisos sobre recursos del mismo equipo. Podemos usarlos en equipos clientes o servidores miembros. No podemos crearlos en controladores de dominio, ya que stos no disponen de SAM separados. Crear grupos locales para limitar la capacidad de los usuarios locales y grupos para el acceso a los recursos cuando no se quieren crear grupos de dominio.

mbito de dominio local Puede ser de distribucin o de seguridad y puede contener los siguientes objetos: Grupos Universales Grupos Globales Otros grupos de dominio local de su propio dominio Cuentas de cualquier dominio del bosque Son empleados para asignar derechos de usuario y permisos a recursos slo del mismo dominio donde pertenece el grupo dominio local. Como miembros en un dominio con un nivel de funcionalidad mixto puede contener cuentas de usuario y grupos globales de cualquier dominio. Los servidores miembro no pueden utilizar los grupos de dominio local en modo mixto. Como miembros es un dominio con un nivel de funcionalidad nativo puede contener cuentas de usuario, grupos globales, grupos universales de cualquier dominio del bosque y grupos del dominio local del mismo dominio al que pertenece el grupo de dominio local. En caso de estar en un dominio con un nivel de funcionalidad configurado como mixto no podr pertenecer a ningn otro grupo pero en caso de estar este en un dominio con nivel de funcionalidad

nativo puede formar parte (ser miebro de, o pertenecer a grupos) de otros grupos de dominio local del mismo dominio al que pertenece el grupo de dominio local. Este tipo de grupos solo ser visible en el propio dominio donde se ha creado o al que pertenece. mbito Universal Como bien indica su nombre estos pueden contener objetos de cualquiera de los dominios del bosque y puede utilizarse para asignar permisos y derechos en cualquier dominio del blosque. Si el dominio tiene un nivel de funcionalidad mixto no podremos crear este tipo de grupo. Si el dominio tiene un nivel de funcionalidad nativo podr contener: Usuarios Grupos globales Otros grupos universales Si el dominio tiene un nivel de funcionalidad nativo, ya que en uno con un nivel de funcionalidad mixto no hay grupos de este tipo, puede formar parte o ser miembro de grupos de un dominio local y de otros grupos universales de cualquier dominio del bosque. Este tipo de grupos ser visible desde cualquiera de los dominios del bosque. Utilizad grupos universales para anidar grupos globales, de modo que podais asignar permisos a recursos relacionados en mltiples dominios. Y recordad que el nivel de funcionalidad del dominio ha de ser Nativo o superior para usar grupos universales. mbito Global Este tiene un impacto sobre los objetos del mismo dominio que podrn ser: Usuarios Grupos Equipos En caso de estar en un dominio con un nivel de funcionalidad mixto podr contener: Usuarios Equipos En caso de estar en un dominio con un nivel de funcionalidad nativo podr contener: Usuarios Equipos Otros grupos globales En caso de ser mixto el nivel de funcionalidad solo podr ser miembro de otros grupos de dominio local, pero si esta en un dominio con un nivel de funcionalidad nativo puede ser miembro de grupos Universales y de dominio local de cualquier dominio y pertenecer a grupos globales del mismo dominio al cual pertenece este. Este es visble dentro de su propio dominio y en todos los dominios de confianza, incluyendo todos los dominios del bosque y pueden asignarse permisos a un grupo global para todos los dominios del bosque.

Debido a su alcance no deberan crearse para acceder a recursos de un dominio especfico, hay otro tipo ms apropiado para controlar el acceso a los recursos dentro de un dominio. Usa grupos globales para organizar usuarios que comparten tareas de trabajo y requerimientos de acceso a la red similares. Espero que esto aclare el funcionamiento de los distintos tipos de grupos. Los grupos se pueden clasificar de distintas formas, en funcin de su finalidad y en funcin de su mbito de visibilidad. Adems, el concepto cambia segn trabajemos con dominios NT4 2000 en modo mixto, o bien caso de trabajar con dominios nativos 2000 2003. En funcin de su finalidad, los grupos pueden ser de seguridad o de distribucin. Los grupos de distribucin tienen como nica finalidad servir de listas de distribucin de correo a los programas de correo electrnico. Los grupos de seguridad, adems de tambin servir como listas de distribucin, se usan para establecer permisos de acceso y derechos en los distintos recursos del dominio. En cuanto a la clasificacin en funcin del mbito de visibilidad, tenemos los siguientes casos:

Equipos miembros de un dominio:

Hablaremos de grupos locales (a secas) para referirnos a los grupos que creamos localmente en un equipo, y cuya visibilidad existir exclusivamente dentro de dicho equipo. A estos grupos locales pueden pertenecer tanto cuentas locales del equipo como grupos de cualquier tipo de su dominio, bosque o dominios con relaciones de confianza. Los controladores de dominio no tienen cuentas de grupo locales (ver matiz para los dominios en modo mixto o NT4). Los grupos locales se usan exclusivamente para asignar permisos sobre recursos de la propia mquina.

Dominios NT4 o W2000 en modo mixto:

En el dominio existen dos tipos de grupos: globales y locales del dominio. Los grupos globales tienen visibilidad en todos los equipos del dominio, y a ellos pueden pertenecer slo cuentas de usuario del dominio. Sin embargo, se le puede hacer miembro de grupos locales del dominio (propio o distinto) o grupos locales a un equipo, y tambin se puede usar para darle permisos en recursos de otro dominio con relacin de confianza. Los grupos locales de dominio tienen visibilidad exclusivamente en los controladores de dominio, sean PDC y BDCs en caso de un dominio NT4 o DCs y BDCs en caso de un dominio W2000 en modo mixto, y se usan para asignar permisos en los recursos de los controladores de dominio, o para asignar derechos en los mismos. Pueden ser miembros de los mismos cuentas de usuario y grupos globales de su dominio o de otros con relaciones de confianza.

Dominios Windows 2000/3 en modo nativo:

Aqu tenemos tres tipos de grupos: locales del dominio, globales y universales. Grupos Locales del Dominio: Slo existen en modo nativo. Su visibilidad est delimitada al propio dominio, pero pueden tener como miembros a cuentas de usuario y equipo y grupos universales y globales de su dominio o de otros con relaciones de confianza, as como a grupos locales de su propio dominio. Se usan para asignar permisos en recursos del dominio. Evidentemente, no pueden pertenecer a grupos de otros dominios, ni asignrseles derechos o permisos a recursos en otros dominios. Ntese que ahora el concepto es distinto al de los grupos locales de dominio en NT4 o en modo mixto, pues en modo nativo los grupos locales se ven en todos los equipos del dominio, no slo en los controladores de dominio. Grupos Globales del Dominio: El concepto es similar al explicado anteriormente. Es decir, slo puede tener miembros de su propio dominio (cuentas de usuario y equipo y grupos globales de su propio dominio), pero puede pertenecer a grupos locales de equipo y de dominio (propio o distinto del bosque o con relacin de confianza) y se le pueden asignar derechos y permisos en recursos de otros dominios. Grupos Universales: Slo existen en modo nativo. Pueden tener miembros de cualquier dominio del bosque (cuentas de usuario y equipo, grupos universales y globales de cualquier dominio del bosque o con relacin de confianza), y tambin se les pueden dar permisos y derechos en recursos de cualquier dominio, as como hacerlos pertenecer a grupos locales o universales de cualquier dominio del bosque o de dominios externos con relaciones de confianza.

Uso recomendado de los grupos

Para dar permisos a recursos dentro de un dominio, se recomienda hacer pertenecer las cuentas de usuario a grupos globales, stos a grupos locales del dominio, y asignar los permisos a los grupos locales. La razn de ser de los grupos universales es tener grupos que desempeen un determinado rol en toda la empresa. El uso normal sera crear grupos globales en distintos dominios y hacerles pertenecer a ellos las cuentas de usuario necesarias. Ahora, crear un grupo universal y hacerle pertenecer todos esos grupos globales. Por fin, en el dominio en que tengamos los recursos a los que dar permisos o asignar derechos, crearamos un grupo local del dominio al que haramos pertenecer el grupo universal, asignando los permisos o derechos al grupo local del dominio.

Empecemos por el principio, el comando dsadd nos permite agregar objetos al directorio desde la lnea de comandos lo que nos permite incluso llegar a automatizar la creacin de una estructura de Grupos o Unidades Organizativas, a continuacin dejo una lista de los objetos que podemos aadir al directorio con dsadd:

Equipos Contactos

Grupos Unidades Organizativas Usuarios Cuotas de directorio

Estos son los objetos que podremos crear con el comando dsadd y deberemos de ser meticulosos y analizar bien las posibilidades de cada comando mediante la ayuda de los mismos, para acceder a esta ayuda deberemos de ejecutar lo siguiente: Ayuda del comando dsadd para Equipos
dsadd computer /?

Ayuda del comando dsadd para Contactos

dsadd contact /?

Ayuda del comando dsadd para Grupos

dsadd group /?

Ayuda del comando dsadd para Unidades Organizativas

dsadd ou /?

Ayuda del comando dsadd para Usuarios

dsadd user /?

Ayuda del comando dsadd para Cuotas de directorio

dsadd quota /?

Bien, este rollo lo he soltado por dos motivos, el primero de ellos es porque este artculo pasar a engrosar la lista de artculos en PDF del DVD de videotutoriales de Windows Server 2008 del blog y quiero documentarlo al mximo, el segundo para que podis tener la referencia de cada objeto, es decir, para Usuarios user , para Unidades Organizativas ou etc, no voy a repetirlo Y ahora vamos con unos ejemplos antes de pasar al vdeo para que veamos la sintaxis, vamos a trabajar con los siguientes supuestos: Nombre de usuario: Pablo Unidad Organizativa: BlogUsers Dominio: s3v-i.local

Primero creamos una Unidad Organizativa dsadd ou ou=BlogUsers,dc=s3v-i,dc=local Al ejecutar esto veamos lo que estamos haciendo por partes:

dsadd Este comando ordena la creacin de un objeto en el directorio

ou Este modificador indica que el objeto que vamos a crear es una Unidad Organizativa ou=BlogUsers, Aqu estamos indicando el nombre que tendra la Unidad Organizativa dc=s3v-i,dc=local Aqu indicamos que el objeto ser creado en el dominio s3v-i.local

Ahora utilizaremos dsadd para crear un usuario en la Unidad Organizativa BlogUsers que hemos creado antes dsadd user cn=Pablo,ou=BlogUsers,dc=s3v-i,dc=local -disabled no -pwd * Y pasamos a analizar este comando

dsadd Este comando ordena la creacin de un objeto en el directorio user Este modificador indica que el objeto que vamos a crear es un Usuario cn=Pablo, Aqu estamos indicando el nombre que tendra el Usuario ou=BlogUsers, Aqu estamos indicando en que Unidad Organizativa vamos a crear el usuario dc=s3v-i,dc=local Aqu indicamos que el objeto ser creado en el dominio s3v-i.local -disabled no Nos permite especificar si la cuenta estar activa o no, si no especificamos una contrasea la cuenta se crear pero estar desactivada -pwd * Este modificador lo que nos permite es especificar el password despus de lanzar el comando, la principal ventaja es que no tendra que estar integrada en un fichero por lotes y no sera visible aunque en un caso de crear muchos usuarios de forma masiva lo mejor es establecer que el usuario cambia la contrasea en el siguiente inicio de sesin

Como vemos en este segundo comando ya se va complicando bastante la cosa y es que todava no podemos imaginar la cantidad de parmetros que podemos incluir a dsadd. En cuanto al resto de objetos con los que podremos trabajar como los contactos, cuotas, grupos y/o equipos tienen un funcionamiento muy similar aunque los parmetros para cada uno de ellos varan muchsimo y deberemos de ejecutar la ayuda como ya he indicado ms arriba para descubrir los modificadores de cada objeto.