Gestión de usuarios.

Las cuentas de usuario y de grupo permiten que los usuarios participen en un dominio y tengan acceso a los recursos de éste en función de los derechos y permisos que tengan asignados.

Cuentas de usuarios y grupos | Grupos globales | Grupos locales | Estrategias de utilización

Cuentas de usuarios y grupos

Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la práctica.

Aquí tienes algunos consejos importantes para realizar con éxito dicha planificación:

El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los recursos (puestos, archivos, impresoras, etc):
Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que un usuario puede pertenecer a varios grupos.
Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u organización, sin embargo también es aconsejable pensar en los grupos de usuarios en función de los recursos que van a necesitar.
Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta de grupo pero no modificaremos cada cuenta.
Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han asignado útiles conjuntos de derechos y capacidades.

En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un pequeño extracto de los manuales de ayuda.

Grupos globales

Un grupo global contiene una serie de cuentas de usuario de un dominio que están agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de trabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es asignar derechos y permisos a grupos locales, y usar el grupo global como método para agregar usuarios a grupos locales.

Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como servidor miembro.

La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir derechos y permisos en múltiples dominios (globales).

Un grupo global sólo puede contener cuentas de usuario; no puede contener grupos locales ni otros grupos globales.

Grupos locales.

Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos de dicho dominio y otros dominios que confíen en él.

Los grupos locales también existen en servidores miembro y equipos que ejecutan Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales.

La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir derechos y permisos en un dominio único (local).

Un grupo local no puede contener otros grupos locales.

Estrategias para utilizar grupos locales y globales.

Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma independiente.

Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder permisos para usar objetos en múltiples dominios y estaciones de trabajo.

Por ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos globales como medio para agregar usuarios a los grupos locales de dominios que confían. Para extender los derechos y permisos de los usuarios a recursos de otros dominios, agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a un grupo local de un dominio que confía.

Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el futuro, puede usar grupos globales agregados a grupos locales para conceder todos los derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos globales se pueden agregar a los grupos locales del dominio nuevo.

Los grupos globales de dominio también se pueden usar para propósitos administrativos en equipos con Windows NT Workstation o en servidores miembro con Windows NT Server. Por ejemplo, el grupo local Administradores de dominio se agrega de forma predeterminada al grupo local incorporado Administradores en todas las estaciones de trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo local Administradores de una estación de trabajo o servidor miembro permite que el administrador de red administre el equipo de forma remota creando grupos de programas, instalando software y solucionando los problemas del equipo.

Volver al inicio del documento