[Artículo] Sobre Grupos en Dominios

Gracias Master,
que pena pedirte esto asi pero es que tengo un post del 01/09/2004 a las
12:47 p.m. y aun no tengo una solucion y quisiera saber si me puedes echar
una mano.
Si no, te entenderé. Gracias José.


Cordialmente,


Ing. Walter J. Taborda
Microsoft Certified Professional
Departamento de Sistemas
Marquillas S.A.
Medellin, Colombia


<< Remueve "QUITAR.ESTO." de mi direccion para escribirme >>


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:
Dado que últimamente hay algunas preguntas con dudas sobre cómo funcionan
los distintos tipos de grupos, pongo estas aclaraciones a continuación.

Los grupos se pueden clasificar de distintas formas, en función de su
finalidad y en función de su ámbito de visibilidad.
Además, el concepto cambia según trabajemos con dominios NT4 ó 2000 en modo
mixto, o bien caso de trabajar con dominios nativos 2000 ó 2003.
En función de su finalidad los grupos pueden ser de seguridad o de
distribución. Los grupos de distribución tienen como única finalidad servir
de listas de distribución de correo a los programas de correo electrónico.
Los grupos de seguridad, además de también servir como listas de
distribución, se usan para establecer permisos de acceso y derechos en los
distintos recursos del dominio.
En cuanto a la clasificación en función del ámbito de visibilidad, tenemos
los siguientes casos:

Equipos miembros de un dominio:

Hablaremos de grupos locales (a secas) para referirnos a los grupos que
creamos localmente en un equipo, y cuya visibilidad existirá exclusivamente
dentro de dicho equipo. A estos grupos locales pueden pertenecer tanto
cuentas locales del equipo como grupos de cualquier tipo de su dominio,
bosque o dominios con relaciones de confianza. Los controladores de dominio
no tienen cuentas de grupo locales (ver matiz para los dominios en modo
mixto o NT4).
Los grupos locales se usan exclusivamente para asignar permisos sobre
recursos de la propia máquina.

Dominios NT4 o W2000 en modo mixto:

En el dominio existen dos tipos de grupos, globales y locales del dominio.
Los grupos globales tienen visibilidad en todos los equipos del dominio, y a
ellos pueden pertenecer sólo cuentas de usuario del dominio. Sin embargo, se
le puede hacer miembro de grupos locales del dominio (propio o distinto) o
grupos locales a un equipo, y también se puede usar para darle permisos en
recursos de otro dominio con relación de confianza.
Los grupos locales de dominio tienen visibilidad exclusivamente en los
controladores de dominio, sean PDC y BDCs en caso de un dominio NT4 o DCs y
BDCs en caso de un dominio W2000 en modo mixto, y se usan para asignar
permisos en los recursos de los controladores de dominio, o para asignar
derechos en los mismos. Pueden ser miembros de los mismos cuentas de usuario
y grupos globales de su dominio o de otros con relaciones de confianza.

Dominios Windows 2000/3 en modo nativo:

Aquí tenemos tres tipos de grupos: locales del dominio, globales y
universales.

Grupos Locales del Dominio: Sólo existen en modo nativo. Su visibilidad está
delimitada al propio dominio, pero pueden tener como miembros a cuentas de
usuario y equipo y grupos universales y globales de su dominio o de otros
con relaciones de confianza, así como a grupos locales de su propio dominio.
Se usan para asignar permisos en recursos del dominio. Evidentemente, no
pueden pertenecer a grupos de otros dominios, ni asignárseles derechos o
permisos a recursos en otros dominios.
Nótese que ahora el concepto es distinto al de los grupos locales de dominio
en NT4 o en modo mixto, pues en modo nativo los grupos locales se ven en
todos los equipos del dominio, no sólo en los controladores de dominio.

Grupos Globales del Dominio: El concepto es similar al explicado
anteriormente. Es decir, sólo puede tener miembros de su propio dominio
(cuentas de usuario y equipo y grupos globales de su propio dominio), pero
puede pertenecer a grupos locales de equipo y de dominio (propio o distinto
del bosque o con relación de confianza) y se le pueden asignar derechos y
permisos en recursos de otros dominios.
Grupos Universales: Sólo existen en modo nativo. Pueden tener miembros de
cualquier dominio del bosque (cuentas de usuario y equipo, grupos
universales y globales de cualquier dominio del bosque o con relación de
confianza), y también se les pueden dar permisos y derechos en recursos de
cualquier dominio, así como hacerlos pertenecer a grupos locales o
universales de cualquier dominio del bosque o de dominios externos con
relaciones de confianza.

Uso recomendado de los grupos:

Para dar permisos a recursos dentro de un dominio, se recomienda hacer
pertenecer las cuentas de usuario a grupos globales, éstos a grupos locales
del dominio, y asignar los permisos a los grupos locales.

La razón de ser de los grupos universales es tener grupos que desempeñen un
determinado rol en toda la empresa. El uso normal sería crear grupos
globales en distintos dominios y hacerles pertenecer a ellos las cuentas de
usuario necesarias. Ahora, crear un grupo universal y hacerle pertenecer
todos esos grupos globales. Por fin, en el dominio en que tengamos los
recursos a los que dar permisos o asignar derechos, crearíamos un grupo
local del dominio al que haríamos pertenecer el grupo universal, asignando
los permisos o derechos al grupo local del dominio.

Los grupos y la replicación

Los grupos universales se publican en los catálogos globales junto con la
información de los miembros que le pertenecen. Esto implica que si cambia la
pertenencia de uno de los miembros del grupo, se replicará en todos los
catálogos globales del bosque toda la lista de miembros del grupo. Los
grupos globales y locales de dominio también se publican en los catálogos
globales, pero no las listas de sus miembros, por lo que la información a
replicar es mucho menor.

Espero que esto aclare el funcionamiento de los distintos tipos de grupos.

Saludos
José Antonio Quílez
Sevilla - España

Te he preparado un script que deberás ejecutar en un ordenador del dominio en el que hayas iniciado sesión con una cuenta que sea administrador del dominio. El ServidorB tiene que estar ya unido al dominio.
El ejemplo te creará las cuentas en una OU de nombre PRUEBA (ponle el nombre que quieras, pero la tienes que crear de antemano, para no complicar el código). Sustituye dc=tu,dc=dominio,dc=es por lo que corresponda a tu dominio; puede tener más o menos dc=, depende del nombre DNS que tenga.
En el Select Case, cada linea que empieza por Case, salvo la última, representa nombres de cuentas locales del servidorB que no quieres que se creen en el dominio. Pon tantas lineas como necesites.
Las tres lineas que siguen a Case Else son las que crean la cuenta en el dominio.
Para crear el script, crea un fichero de texto con las siguientes lineas; modifícalas según tus necesidades y luego renombras el archivo para ponerle extensión .vbs
A continuación ejecutas el script una sola vez, y te deberá crear las cuentas en el dominio.

On Error Resume Next
strComputer = "SERVIDORB"
Set objComputer = GetObject("WinNT://" & strComputer)
objComputer.Filter = Array("User")
Set objOU = GetObject("LDAP://OU=PRUEBA,dc=tu,dc=dominio,dc=es")
For Each objUser In objComputer
Select Case objUser.Name
Case "Administrador"
Case "ACTUser"
Case "ASPNET"
Case Else
Set objDomUser = objOU.Create("User", "cn=" & objUser.Name)
objDomUser.Put "sAMAccountName", objUser.Name
objDomUser.SetInfo
End Select
Next



Saludos
José Antonio Quílez
Sevilla - España

Gracias José Antonio,
Esta super eso era lo que necesitaba.


Cordialmente,


Ing. Walter J. Taborda
Microsoft Certified Professional
Departamento de Sistemas
Marquillas S.A.
Medellin, Colombia


<< Remueve "QUITAR.ESTO." de mi direccion para escribirme >>


"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:
Te he preparado un script que deberás ejecutar en un ordenador del dominio
en el que hayas iniciado sesión con una cuenta que sea administrador del
dominio. El ServidorB tiene que estar ya unido al dominio.
El ejemplo te creará las cuentas en una OU de nombre PRUEBA (ponle el nombre
que quieras, pero la tienes que crear de antemano, para no complicar el
código). Sustituye dc=tu,dc=dominio,dc=es por lo que corresponda a tu
dominio; puede tener más o menos dc=, depende del nombre DNS que tenga.
En el Select Case, cada linea que empieza por Case, salvo la última,
representa nombres de cuentas locales del servidorB que no quieres que se
creen en el dominio. Pon tantas lineas como necesites.
Las tres lineas que siguen a Case Else son las que crean la cuenta en el
dominio.
Para crear el script, crea un fichero de texto con las siguientes lineas;
modifícalas según tus necesidades y luego renombras el archivo para ponerle
extensión .vbs
A continuación ejecutas el script una sola vez, y te deberá crear las
cuentas en el dominio.

On Error Resume Next
strComputer = "SERVIDORB"
Set objComputer = GetObject("WinNT://" & strComputer)
objComputer.Filter = Array("User")
Set objOU = GetObject("LDAP://OU=PRUEBA,dc=tu,dc=dominio,dc=es")
For Each objUser In objComputer
Select Case objUser.Name
Case "Administrador"
Case "ACTUser"
Case "ASPNET"
Case Else
Set objDomUser = objOU.Create("User", "cn=" & objUser.Name)
objDomUser.Put "sAMAccountName", objUser.Name
objDomUser.SetInfo
End Select
Next



Saludos
José Antonio Quílez
Sevilla - España