Un grupo es una entidad con un nombre que lo identifica de forma única que permite agrupar varios elementos dentro de él. Un grupo en un dominio Active Directory suele contener usuarios y otros grupos, aunque puede contener otros objetos como equipos.
Cuando en alguna tarea administrativa se hace referencia a un grupo, se está haciendo referencia a todos los elementos que contiene. Esto facilita mucho las tareas administrativas sobre un sistema, sobre todo las relacionadas con el control de acceso.
En Active Directory tenemos los siguientes tipos de grupos:
- Seguridad. Se trata de grupos que se utilizan para controlar el acceso a los recursos del dominio.
- Distribución. Se utilizan como listas de distribución de correos electrónicos.
Con el objetivo de administrar sistemas y los recursos compartidos en un dominio, a nosotros nos interesan los grupos de seguridad. Este tipo de grupos son similares a los grupos locales con los que hemos trabajado cuando hemos administrado sistemas operativos de escritorio (SOR Clientes).
Otro aspecto a tener en cuenta cuando se trabaja con grupos es el ámbito de los grupos. En Active Directory tenemos los siguientes ámbitos: Dominio local, global y universal
Dominio local
Este ámbito de grupo se suele utilizar para configurar control de acceso sobre recursos. De esta forma, se crean los grupos locales de dominio necesarios para configurar los distintos tipos de acceso que se quieren proporcionar. Su existencia suele estar asociada a un recurso y sus miembros serán los usuarios y grupos del dominio que tengan un tipo de acceso concreto sobre dicho recurso.
Todo esto lo veremos más adelante, cuando se explique la estrategia AGDLP para configurar control de acceso. Por ahora nos debe quedar claro su uso exclusivo para controlar el acceso a recursos compartidos en el dominio.
Global
Este ámbito de grupo se utiliza para agrupar a los usuarios de forma similar a la que se hace en la organización. Por ejemplo, por departamentos o función dentro de la empresa.
De esta forma, se facilita trabajar en el dominio con agrupaciones de usuarios similares a las usadas en la empresa. A la hora de administrar permisos, es muy habitual que todos los miembros de un determinado departamento tengan unos permisos determinados.
Universal
Este ámbito de grupo se puede utilizar en distintos dominios de un bosque, sin importar en qué dominio se haya creado.
No se recomienda su uso, salvo que sea estrictamente necesario, puesto que este tipo de grupos se almacenan en el catálogo global. Este catálogo tiene que ser replicado y actualizado en todos los controladores de dominio que conformen el bosque. Se utilizan cuando se comparten recursos entre distintos árboles de un bosque.