Buenas tardes, último día de curro!! y os dejo con una perlita informativa.
Uno de los temas menos comprendido y que mas confusión genera en Directorio Activo (AD), es la utilización de los distintos grupos de seguridad y su ámbito o alcance. Ayer mismo me preguntaban por qué no se podía añadir un usuario de otro forest a un Grupo de Seguridad que tiene acceso a carpetas compartidas….. pregunté ¿Es un grupo de Dominio Local? …. es un grupo, yo que sé, fue la respueta. Voy a tratar de explicarlo y, sobre todo, dejarlo claro, eso espero.
Existen los siguientes tipos de grupo, según se define en la documentación de Microsoft Windows Server 2012:
- Grupos Locales.- Son grupos de ámbito exclusivamente local que se crean en servidores independientes (fuera de dominio), o en servidores perteneciente a un dominio sin ser Controladores de Dominio (DC). Estos grupos solo afectan al servidor en el que existen. Como por ejemplo son los grupos que se crean para gestionar servicios tales como DHCP, WSUS, o los Administradores locales de un servidor. ¿Quien puede pertenecer a este tipo de grupos?
- Cualquier entidad de seguridad (Security Principal) del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
- Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
- Grupos Universales definidos en cualquier dominio del Bosque.
- Grupos de Dominio Local.- Su uso principal es para gestionar tanto el acceso a recursos como para asignar y gestionar permisos dentro del Dominio en el que está definido. ¿Quien puede acceder a este tipo de grupos?
- Cualquier entidad de seguridad del dominio al que corresponda, o sea, usuarios, equipos, grupos globales o grupos de dominio local del dominio al que corresponda.
- Usuarios, equipos y grupos globales de cualquier dominio del bosque y cualquier dominio en el que se confie (exista relación de confianza).
- Grupos Universales definidos en cualquier dominio del Bosque.
- Grupos Globales.- Su uso es para consolidar usuarios que tienen las mismas características, como pueden ser pertenecer al mismo departamento, tener la misma ubicación geográfica o necesidades similares de acceso a la red. Asignar permisos y habilidades en todo el Bosque en el que esté creado ¿Quien puede acceder a este tipo de grupo?
- Usuarios, equipos y grupos globales del dominio en el que se haya creado.
- Grupos Universales.- Combina las características de los grupos globales y de dominio local pudiendo asignar permisos y habilidades en cualquier dominio del bosque. Ideal para escenarios multidominio y para agrupar Grupos Globales de diferentes dominios.
- Usuarios, equipos y grupos globales de cualquier dominio del bosque.
- Grupos Universales definidos en cualquier dominio del Bosque.
Una de sus principales virtudes es la propagación de los grupos universales en todos los servidores con el rol de Catálogo Global (GC).
Aqui os dejo esta tabla que lo explica mejor que yo:
Espero que os haya sido util.
Me voy de vacaciones. Pasadlo bien y hasta Septiembre.