Tipos de grupos

Tipo grupo Miembros Ámbito

Usuarios y grupos del dominio
Grupos globales
donde se crea el grupo.
Visibles en todos los dominios del
bosque. Pueden modificar solo en el
dominio donde se creó el grupo y solo
consultar en los demás dominios

Visibles en todos los dominios del

Usuarios y grupos de cualquier
Grupos Universales bosque y con permisos de modificar en
dominio en el bosque.
todos los dominios del bosque

Usuarios y grupos de cualquier Visibles solo en el dominio donde se

Grupos Locales
dominio en el bosque. crea.

Grupos de dominio integrados en la carpeta builtIn de AD (Ámbito Dominio local)

Grupos de dominio integrados en la carpeta Users de AD (Distintos Ámbitos)

Grupos de sistema que no aparecen en AD pero si cuando hacemos una búsqueda al asignar
permisos, por ejemplo a una carpeta

Ámbitos grupales
Además de los tipos de grupo de seguridad y distribución, varios ámbitos de grupo están
disponibles dentro de Directorio Activo. El alcance del grupo controla qué objetos puede
contener el grupo, limitando los objetos al mismo dominio o permitir objetos desde dominios
remotos, y también controlan la ubicación en el dominio o bosque donde se puede usar el
grupo. Los ámbitos grupales disponibles en un dominio de Active Directory incluyen grupos
locales de dominio, grupos globales y grupos universales.

Grupos locales de dominio

Los grupos locales de dominio pueden tener cualquiera de los siguientes como miembros:

 Cuentas de usuario
 Cuentas de computadora
 Grupos globales de cualquier dominio en el bosque
 Grupos universales
 Grupos locales de dominio del mismo dominio

Utiliza grupos locales de dominio para asignar permisos a los recursos en el mismo dominio
que el grupo local de dominio. Los grupos locales de dominio pueden hacer que la asignación y
el mantenimiento de permisos sea más fácil de administrar.

Grupos globales

Los grupos globales pueden tener cualquiera de los siguientes como miembros:

 Cuentas de usuario
 Cuentas de computadora

1
Tipos de grupos

 Otros grupos globales del mismo dominio

Puede usar grupos globales para otorgar o denegar permisos a cualquier recurso ubicado en
cualquier dominio en el bosque. Lo logra agregando el grupo global como miembro de un
grupo local de dominio que tiene los permisos deseados. Las membresías grupales globales se
replican solo a los controladores de dominio dentro del mismo dominio. Usuarios con
necesidades de recursos comunes deberían ser miembros de un grupo global para facilitar la
asignación de permisos a los recursos.

Puede cambiar la membresía del grupo global cuando sea necesario para proporcionar
usuarios con permisos de recursos necesarios.

Grupos universales

Los grupos universales pueden tener cualquiera de los siguientes como miembros:

 Cuentas de usuario
 Cuentas de computadora
 Grupos globales de cualquier dominio en el bosque
 Otros grupos universales

Los grupos universales, al igual que los grupos globales, pueden organizar a los usuarios de
acuerdo con su acceso a los recursos que necesiten. Puede usarlos para proporcionar acceso a
los recursos ubicados en cualquier dominio del bosque mediante el uso de grupos locales de
dominio.

También puede usar grupos universales para consolidar grupos y cuentas que abarcan
múltiples dominios o abarcan todo el bosque. Un punto clave en la aplicación y utilización de
grupos universales es que las membresías grupales en grupos universales no deberían cambiar
con frecuencia, porque los grupos universales se almacenan en el catálogo global. Los cambios
en las listas de miembros de los grupos universales se replican en todos los servidores de
catálogo global en todo el bosque. Si estos cambios ocurren con frecuencia, el proceso de
replicación puede consumir una cantidad significativa de anchos de banda, especialmente en
enlaces WAN relativamente lentos y costosos.

Grupos de anidamiento
Como se discutió anteriormente, el anidamiento de grupos es el término utilizado cuando se
agregan grupos como miembros de otros grupos Por ejemplo, cuando convierte un grupo
global en miembro de un grupo universal, se dice que está anidado dentro del grupo universal.

La anidación grupal reduce la cantidad de veces que necesita asignar permisos a los usuarios
en diferentes dominios en un bosque multidominio. Por ejemplo, si tiene varios dominios
secundarios en su jerarquía de AD DS, y los usuarios en cada dominio necesitan acceso a una
aplicación empresarial de base de datos ubicada en el dominio principal, la forma más sencilla
de configurar el acceso a esta aplicación es como sigue.

2
Tipos de grupos

1. Cree grupos globales en cada dominio que contengan todos los usuarios que necesiten
acceso a la base de datos empresarial.

2. Crea un grupo universal en el dominio principal. Incluya el grupo global de cada ubicación
como miembro.

3. Agregue el grupo universal al grupo de dominio local requerido para asignar el permiso
necesario para acceder y usar la base de datos de la empresa.

Este enfoque tradicional de anidamiento grupal en AD DS se denomina a menudo mediante el

uso el mnemónico AGUDLP: agregar cuentas a grupos globales, agregar esos grupos globales a
grupos universales, agregar los grupos universales a grupos locales de dominio y, finalmente,
asigne Permisos para los grupos locales de dominio.

Los administradores pueden usar el mismo método para crear sus propios grupos locales de
dominio, en los que delegarán tareas administrativas y derechos de usuario para OU
particulares. A continuación, después de crear los grupos globales (o grupos universales para
asignaciones de todo el bosque) y agregándolos a los grupos locales de dominio, la estructura
está en su lugar.