Grupos anidados

1) Totalmente correcto lo que dices

2) Cuando el dominio está en modo nativo creas "DOMAIN LOCAL GROUPS"
No "LOCAL GROUPS"
Que son diferentes tipos de grupos, mientras que los segundos los puedes
usar únicamente en los controladores, los primeros son usables en todos
los equipos del dominio.

La estructura de grupos que hagas debe adaptarse a tu comodidad :-)
Lo que recomendé son sólo sugerencias generales que comunmente ayudan a la
administración, y hacen que la solución sea escalable fácilmente a futuro.
Pero te reitero, lo que adoptes tiene que ser claro para tí ;-)

3) Bien :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:%

Hola Guillermo:
Millones de gracias por el interés prestado. Me extiendo un poco en el
mensaje, pero con intención de explicarlo lo mejor posible y no marearos.
Voy por partes verás:
1) Entiendo que lo que me quieres decir que el nivel funcional máximo de
un dominio está determinado por el sistema operativo mas "bajo" de los
controladores que haya en el dominio.
Ejemplo: Un dominio con dos controladores uno Windows 2000 y otro Windows
2003, nunca podrá tener un nivel funcional nativo de 2003.
Da igual cual de los controladores, el 2000 o el 2003 sea el controlador
principal, al tener un controlador 2000 limitamos el nivel funcional.
Otra cosa sería que todos los controladores fueran 2003. De ésta forma si
podríamos elevar el dominio a un nativo 2003.
¿Lo entiendo bien, o estoy equivocado?. En mi caso, al controlador
principal es un 2000, y el otro controlador es un 2003, por lo tanto el
nivel máximo es W2000.
2)Sobre los grupos globales, te comento lo siguiente: El hecho de
insistir en anidar grupos globales no es otro que los usuarios con XP, al
compartir puedan ver todos los grupos.
Estos usuarios XP solo pueden ver al compartir los grupos globales que
tengo creados en el dominio. Otra cosa es que solo fuera a compartir
recursos en los servidores. De ésta forma si puedo asignar permisos
usando grupos locales y grupos globales. Por lo tanto el anidar Grupos
Globales es por los usuarios con XP.
En cuanto a los permisos de los grupo yo lo veo de la siguiente forma:
Ejemplo simple:
Departamento de Compras:
Jefe del Departamento: Juan
Empleados: Maria y Eva

Departamento de Contabilidad:
Jefa del Departamento: Carmen
Empleados: Antonio y Carlos.

Grupos "Globales" Definidos y miembros de los mismos:
* Compras. Miembros: Usuarios - Juan, María y Eva
* Contabilidad. Miembros: Usuarios - Carmen, Antonio y Carlos
* Jefes. Miembros: Usuarios: - Juan y Carmen
* Empleados. Miembros: Usuarios: María, Eva, Antonio y Carlos. + Grupo:
Jefes.

Recursos Compartidos:
Carpeta de Contabilidad: Compartida al Grupo Contabilidad.
Carpeta de Compras: Compartida al Grupo de Compras.
Carpeta de Empleados: Compartida al Grupo de Empleados (como dentro de
empleados se ha incluído el grupod e Jefes, éstos tambien deberían
entrar)
Carpeta de Jefes: Compartida al Grupo de Jefes

En el caso en el que se cree un nuevo departamento "Personal", Solo
necesito crear un nuevo Grupo Global Personal, puesto que para las
categorías uso los ya existentes.
El usuario del jefe de personal pertenecerá al grupo Personal, y por otro
lado al grupo Jefes. De ésta forma no necesitaré los cambiar permisos en
las carpetas compartidas a los Jefes.
No voy a tener muchos grupos globales de Jefes, al contrario solo tendré
un grupo global para todos ellos. Con los departamentos los mismo, solo
tendré un grupo global para cada departamento.

3) Respecto al mensaje en que me comentas que elevar elevar el nivel
funcional, se refiere al dominio y no a los servidores me ha quedado
claro. Perfecto.

Espero haberme explicado bien.
Insisto, millones de gracias por tu interés y voluntad.

Ciao
Antonio




"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

1) Si hay un controlador W2000, el nivel funcional máximo del dominio es
W2000. No se puede elevar a nativo 2003. Los sistemas operativos de los
servidores miembros o clientes no influyen
Tampoco pierdes nada con los usuarios y grupos definidos
El nivel funcional del dominio está determinado por el sistema operativo
de los controladores de dominio

2) Poder dar permisos a los Globales, se puede, pero hay ventajas en
darselo a los Locales de Dominio
Por ejemplo: si sobre una carpeta compartida tienes que darle permisos a
todos los grupos Jefes de Area, si le das permisos a los globales
tendrás que dar los permisos tantas veces como grupos de jefes de area
tengas.
En cambio, si creas un grupo Local de Dominio y le das los permisos,
sólo debes incluir los Globales dentro de éste, que es mucho más
sencillo.
Además si se crea otra jefatura de área, sólo deberás incluir el nuevo
grupo Global, y no complicarte con permisos.
Y sin mencionar si tienes que modificar los permisos. Con permisos en
Globales deberás hacerlo por cada global; con permisos en los Locales de
Dominio en cambio sólo una vez :-)
Resumiendo, trabajar un poco más al principio, para trabajar menos a
largo plazo ;-)
De todas formas, si le das los permisos a los Globales, funciona, pero
deberás trabajar más a largo plazo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:

Hola Guillermo:
Parece que me has contestado a la vez que contestaba a Daniel.
Lo primero es agradecer tu respuesta, porque creo que me aclara
bastantes dudas.
Solo dos preguntas:
1) Si elevo el el modo de funcionalidad al modo nativo, ¿puedo tener
algún problema con los usuarios que ya hay definidos?. Te comento que
tengo un servidor W2000 que es el principal, un W2003 que sirve
ficheros e impresoras y pc's clientes en su mayoría XP.
2) Estando en modo nativo, y poder incluir dentro de un grupo global
otro grupo global, podría asignar permisos con éstos grupos en los
servidores y en los clientes XP. De ésta forma solo tengo definidos los
grupos una vez y me sirven para ambas cosas. ¿Es así? o ¿estoy
equivocado?.

Muchísimas gracias, la verdad es que me ayuda mucho vuestras
aclaraciones.

Un saludo,

Antonio


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares
(justo lo que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar
permisos sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos Globales
de diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los
usuarios por departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del
mismo dominio. Se agregan los miembros de la misma forma sean usuarios
o grupos globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre
los recursos. Es importante tener una buena estrategia de nombres para
estos grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales, la
condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active
Directory tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al
nivel funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:

Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos
de Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al
grupo de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como
hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.

Ok. Voy a intentar reproducirlo en W2003 en el que puedo realizar pruebas.
Ya os contaré.

Reitero, muchas gracias tanto a tí Guillermo como a Daniel, habéis sido
una ayuda fundamental.

Ciao
Antonio

"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

1) Totalmente correcto lo que dices

2) Cuando el dominio está en modo nativo creas "DOMAIN LOCAL GROUPS"
No "LOCAL GROUPS"
Que son diferentes tipos de grupos, mientras que los segundos los puedes
usar únicamente en los controladores, los primeros son usables en todos
los equipos del dominio.

La estructura de grupos que hagas debe adaptarse a tu comodidad :-)
Lo que recomendé son sólo sugerencias generales que comunmente ayudan a
la administración, y hacen que la solución sea escalable fácilmente a
futuro.
Pero te reitero, lo que adoptes tiene que ser claro para tí ;-)

3) Bien :-)


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:%

Hola Guillermo:
Millones de gracias por el interés prestado. Me extiendo un poco en el
mensaje, pero con intención de explicarlo lo mejor posible y no
marearos. Voy por partes verás:
1) Entiendo que lo que me quieres decir que el nivel funcional máximo de
un dominio está determinado por el sistema operativo mas "bajo" de los
controladores que haya en el dominio.
Ejemplo: Un dominio con dos controladores uno Windows 2000 y otro
Windows 2003, nunca podrá tener un nivel funcional nativo de 2003.
Da igual cual de los controladores, el 2000 o el 2003 sea el controlador
principal, al tener un controlador 2000 limitamos el nivel funcional.
Otra cosa sería que todos los controladores fueran 2003. De ésta forma
si podríamos elevar el dominio a un nativo 2003.
¿Lo entiendo bien, o estoy equivocado?. En mi caso, al controlador
principal es un 2000, y el otro controlador es un 2003, por lo tanto el
nivel máximo es W2000.
2)Sobre los grupos globales, te comento lo siguiente: El hecho de
insistir en anidar grupos globales no es otro que los usuarios con XP,
al compartir puedan ver todos los grupos.
Estos usuarios XP solo pueden ver al compartir los grupos globales que
tengo creados en el dominio. Otra cosa es que solo fuera a compartir
recursos en los servidores. De ésta forma si puedo asignar permisos
usando grupos locales y grupos globales. Por lo tanto el anidar Grupos
Globales es por los usuarios con XP.
En cuanto a los permisos de los grupo yo lo veo de la siguiente forma:
Ejemplo simple:
Departamento de Compras:
Jefe del Departamento: Juan
Empleados: Maria y Eva

Departamento de Contabilidad:
Jefa del Departamento: Carmen
Empleados: Antonio y Carlos.

Grupos "Globales" Definidos y miembros de los mismos:
* Compras. Miembros: Usuarios - Juan, María y Eva
* Contabilidad. Miembros: Usuarios - Carmen, Antonio y Carlos
* Jefes. Miembros: Usuarios: - Juan y Carmen
* Empleados. Miembros: Usuarios: María, Eva, Antonio y Carlos. + Grupo:
Jefes.

Recursos Compartidos:
Carpeta de Contabilidad: Compartida al Grupo Contabilidad.
Carpeta de Compras: Compartida al Grupo de Compras.
Carpeta de Empleados: Compartida al Grupo de Empleados (como dentro de
empleados se ha incluído el grupod e Jefes, éstos tambien deberían
entrar)
Carpeta de Jefes: Compartida al Grupo de Jefes

En el caso en el que se cree un nuevo departamento "Personal", Solo
necesito crear un nuevo Grupo Global Personal, puesto que para las
categorías uso los ya existentes.
El usuario del jefe de personal pertenecerá al grupo Personal, y por
otro lado al grupo Jefes. De ésta forma no necesitaré los cambiar
permisos en las carpetas compartidas a los Jefes.
No voy a tener muchos grupos globales de Jefes, al contrario solo tendré
un grupo global para todos ellos. Con los departamentos los mismo, solo
tendré un grupo global para cada departamento.

3) Respecto al mensaje en que me comentas que elevar elevar el nivel
funcional, se refiere al dominio y no a los servidores me ha quedado
claro. Perfecto.

Espero haberme explicado bien.
Insisto, millones de gracias por tu interés y voluntad.

Ciao
Antonio




"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

1) Si hay un controlador W2000, el nivel funcional máximo del dominio
es W2000. No se puede elevar a nativo 2003. Los sistemas operativos de
los servidores miembros o clientes no influyen
Tampoco pierdes nada con los usuarios y grupos definidos
El nivel funcional del dominio está determinado por el sistema
operativo de los controladores de dominio

2) Poder dar permisos a los Globales, se puede, pero hay ventajas en
darselo a los Locales de Dominio
Por ejemplo: si sobre una carpeta compartida tienes que darle permisos
a todos los grupos Jefes de Area, si le das permisos a los globales
tendrás que dar los permisos tantas veces como grupos de jefes de area
tengas.
En cambio, si creas un grupo Local de Dominio y le das los permisos,
sólo debes incluir los Globales dentro de éste, que es mucho más
sencillo.
Además si se crea otra jefatura de área, sólo deberás incluir el nuevo
grupo Global, y no complicarte con permisos.
Y sin mencionar si tienes que modificar los permisos. Con permisos en
Globales deberás hacerlo por cada global; con permisos en los Locales
de Dominio en cambio sólo una vez :-)
Resumiendo, trabajar un poco más al principio, para trabajar menos a
largo plazo ;-)
De todas formas, si le das los permisos a los Globales, funciona, pero
deberás trabajar más a largo plazo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:

Hola Guillermo:
Parece que me has contestado a la vez que contestaba a Daniel.
Lo primero es agradecer tu respuesta, porque creo que me aclara
bastantes dudas.
Solo dos preguntas:
1) Si elevo el el modo de funcionalidad al modo nativo, ¿puedo tener
algún problema con los usuarios que ya hay definidos?. Te comento que
tengo un servidor W2000 que es el principal, un W2003 que sirve
ficheros e impresoras y pc's clientes en su mayoría XP.
2) Estando en modo nativo, y poder incluir dentro de un grupo global
otro grupo global, podría asignar permisos con éstos grupos en los
servidores y en los clientes XP. De ésta forma solo tengo definidos
los grupos una vez y me sirven para ambas cosas. ¿Es así? o ¿estoy
equivocado?.

Muchísimas gracias, la verdad es que me ayuda mucho vuestras
aclaraciones.

Un saludo,

Antonio


"Guillermo Delprato [MS-MVP]"
escribió en el mensaje
news:

El uso recomendado de grupos es:

- Grupos Globales: para agrupar usuarios con funciones similares
(justo lo que planteas)

- Grupos Locales de Dominio (dominio en modo nativo): para asignar
permisos sobre los recursos

- Grupos Universales: sólo si facilita, para "agrupar" grupos
Globales de diferentes dominios

Por lo tanto para tu caso, utiliza Globales para agrupar a los
usuarios por departamento y categoría como necesites.
Los grupos globales se pueden incluir en otros grupos globales del
mismo dominio. Se agregan los miembros de la misma forma sean
usuarios o grupos globales.

Luego creas los Grupos Locales de Dominio, y asignas permisos sobre
los recursos. Es importante tener una buena estrategia de nombres
para estos grupos. Por ejemplo DOM-DL-RECURSO-PERM

Para poder incluir grupos Globales dentro de otros grupos Globales,
la condición es que el modo funcional de dominio, no sea Mixto
Con botón derecho sobre el dominio en Usuarios y Equipos de Active
Directory tienes la opción para levantar el nivel del dominio
La condición para levantar el nivel funcional del dominio es que los
*controladores de dominio* tengan el sistema operativo adecuado al
nivel funcional a utilizar


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna
clase, ni otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no
rights. You assume all risk for your use.
_____________________


"Antonio" wrote in message
news:

Hola:
Quiero crear una estructura de grupos para asignar permisos (Grupos
de Seguridad).
Aunque he estado leyendo sobre el ambito de los grupos (locales y
globales), no tengo muy claro el sentido.
Mi propósito es el siguiente:
Necesito crear dos tipos de grupos en función de la categoría de los
usuarios y el departamento al que pertenecen.
Por categoría: Directivos, Jefes Departamento, Empleados etc
Por Departamentos: Dirección, Contabilidad, Compras, etc.
De ésta forma, el Jefe del Departamento de Contabilidad pertenece al
grupo de Jefes Departamento, y al grupo de Contabilidad.
¿Cual es el problema? ... pues que quiero que el grupo de Jefes de
Departamento, pertenezca también al grupo de Empleados.
Es decir, los que pertenecen a un grupo de rango superior, deben
pertenecer a los grupos de rango inferior.
He visto que se pueden anidar grupos de usuario, pero no se como
hacerlo.

¿Podéis orientarme?
Ciao y gracias
Antonio
PD: Ups ... perdón por el mensaje anterior.