GRUPOS EN ACTIVE DIRECTORY

Existen cuatro mbitos de grupo: Local, Dominio local, Global y Universal, los mbitos de grupo cuentan con unas
caractersticas dentro de las cuales se enmarca cada uno de los mbitos de grupo mencionados, mucha atencin a
ellas, de ello depende en gran parte el entendimiento del tema.

Replicacin: Se trata de dnde es definido el grupo y a cules sistemas se puede replicar.

Membresa: Se trata de qu tipos de objeto puede tener un grupo como miembros, y por ejemplo si stos pueden
contener miembros de otros dominios.

Visibilidad: Como su nombre lo indica, desde dnde puede ser visto el grupo para por ejemplo ser agregado en la lista
de control de acceso de algn recurso.

Ahora hagamos un anlisis de cada uno de los mbitos de grupo existentes en Windows, teniendo muy en cuenta las
caractersticas mencionadas.

mbito local:

Replicacin: Estos grupos solo existen en la base de datos de cuentas (SAM) en donde fueron definidos, no existen
en Active Directory, y no se replican a ningn otro equipo.

Membresa: Un grupo local puede contener como miembros los siguientes objetos:

Usuarios, Computadores, grupos globales, o grupos de dominio local

Usuarios, Computadores y grupos globales de cualquier dominio en el bosque
Usuarios, Computadores y grupos globales de cualquier dominio de confianza
Grupos universales definidos en cualquier dominio del bosque

Visibilidad: Un grupo local es visible solamente desde el mismo equipo.

mbito Dominio Local:

Replicacin: Un grupo de dominio local es definido en el contexto de nomenclatura del dominio en la base de datos de
Active Directory NTDS.dit, el grupo y sus miembros son replicados en todos los controladores de dominio de un
dominio

Membresa: Un grupo de dominio local puede incluir los siguientes miembros.

Usuarios, Computadores, grupos globales, u otros grupos de dominio local

Usuarios, Computadores y grupos globales de cualquier dominio en el bosque
Usuarios, Computadores y grupos globales de cualquier dominio de confianza
Grupos universales definidos en cualquier dominio del bosque

Visibilidad: Un grupo de dominio local puede ser agregado a cualquier lista de control de acceso de cualquier recurso
en cualquier equipo del mismo dominio, estos grupos tambin pueden ser miembros de otros grupos de dominio
local y de grupos locales.

Si observamos detenidamente las caractersticas de los grupos que tienen la palabra "local" vemos que sus
caractersticas de Replicacin y Membresa son las mismas, la nica diferencia entre los dos es la visibilidad, dado
que la que un grupo Local no puede ser "visto" desde ningn otro lado que no sea nuestra mquina, mientras que el
grupo de Dominio local puede ser "visto" desde cualquier equipo del mismo dominio.

mbito Global:

Replicacin: Un grupo global es definido en el contexto de nomenclatura del dominio, el grupo incluyendo sus
miembros, es replicado a todos los controladores de dominio del mismo dominio.

Membresa: Un grupo global puede contener los siguientes miembros:

 Usuarios, Computadores, grupos globales, u otros grupos globales en el mismo dominio

Visibilidad: Un grupo global es visible desde todos los equipos miembros del dominio, tambin por otros dominios en
el bosque, as como por cualquier otro bosque externo con el cual se tenga una relacin de confianza. Un grupo global
puede ser miembro de cualquier grupo de dominio local o universal en el dominio o en el bosque, tambin puede ser
miembro de cualquier grupo de dominio local en un dominio de confianza. En conclusin un grupo global puede ser
agregado a la lista de control de acceso de cualquier recurso en el dominio, en el bosque, o en dominios de confianza.

Importante: Si observamos con detenimiento un grupo global tiene una membresa limitada solamente grupos
globales, pero su Visibilidad es la ms amplia ya que es visible desde todos los dominios del bosque y cualquier otro
con el que se tenga una relacin de confianza.

mbito Universal:

Replicacin: Un grupo universal es definido desde un solo dominio en el bosque pero es replicado en el catlogo
global, los objetos que se encuentran en el catlogo global son visibles desde cualquier lugar del bosque.

Membresa: Un grupo universal puede contener como miembros los siguientes objetos:

Usuarios, grupos globales, y otros grupos universales de cualquier dominio en el bosque

Visibilidad: Un grupo universal puede ser visto desde cualquier dominio en el bosque, puede ser miembro de otros
grupos universales o de dominio local, este grupo es especialmente til para otorgar accesos a travs de todo el
bosque.

La siguiente tabla resume todo lo anterior:

Tomada de: Exam 70-640: TS: Windows Server 2008 Active Directory, Configuring (2nd Edition), Microsoft
Press

La estrategia para la planificacin de los grupos es conocida como IGDLP (Identidades, Global, Dominio Local,
Permisos), estas siglas se utilizan para que sea fcil recordar cmo debemos crear y utilizar los grupos en Active
Directory, veamos el ejemplo de cmo se utiliza la estrategia, debemos recordar que significa cada una de las letras
de la siglas.
En resumen tenemos:

-Siempre crear grupos globales que definan funciones de la empresa

-Crear grupos de dominio local solamente para dar permisos

-Los grupos de domino local deben tener como miembros los grupos globales

-Otorgamos permiso al grupo de dominio local

Ahora bien, la razn de usar un grupo de dominio local para otorgar permisos es que debido a que la pertenencia
de este es amplia a nivel del bosque e incluso otros dominios con los que se tenga una relacin de confianza,
podemos otorgar acceso a usuarios en cualquier lugar, mientras que si llegamos a utilizar por ejemplo un grupo
global, segn ya vimos su pertenencia es limitada, solamente grupos globales del mismo dominio, esto hace
imposible agregar usuarios de otros dominios para otorgar permisos, la siguiente imagen resume grficamente la
estrategia.