ADMINISTRAR

GRUPOS
 Índice
• ¿Qué son los grupos?
• Distinción de los grupos por ámbito y tipo
• Tipos de grupos
– Grupo de Seguridad
• Grupos locales predeterminados
• Grupos predeterminados
– Grupo de Distribución
• Identidades Especiales
• ¿Qué son los niveles funcionales de dominio?
• Ámbitos de grupos
– Grupos globales
– Grupos universales
– Grupos locales de dominio
– Grupos locales
• Demostración de cómo crear grupos
• Demostración de cómo modificar un grupo
• Demostración creación y eliminación de 
grupos desde la línea de comandos
Para poder administrar grupos hay 
que contestar antes a algunas 
preguntas que nos ayuden a 
entender que son los grupos y para 
que nos sirven estos grupos a la 
hora de administrar nuestros 
usuarios del dominio
 Y la primera pregunta es…
¿Qué son los grupos?
Un grupo es un conjunto de cuentas de usuario 
y de equipo, contactos y otros grupos que se 
pueden administrar como una sola unidad. 
Algunas características de estos grupos son:
• Simplifican la administración al asignar los permisos para 
un recurso compartido a un grupo en lugar de a usuarios 
individuales.
• Se distinguen por su ámbito y tipo.
• Pueden anidarse, es decir, se pueden agregar grupos 
dentro de otros grupos.
 Como se ha dicho anteriormente los 
grupos se distinguen por su ámbito…
El ámbito de un grupo determina si el grupo 
comprende a uno o varios dominios. los distintos 
ámbitos, que más adelante explicaremos, son:
• Global
• Local de dominio
• Universal
• Local 
 …y también se distinguen por su tipo

El tipo de grupo determina si se puede usar un 
grupo para asignar permisos desde un recurso 
compartido o si se puede usar un grupo sólo 
para las listas de distribución. Los grupos según 
su tipo son:
• Grupo de seguridad.
• Grupo de distribución
 Grupo de Seguridad

Los grupos de seguridad se utilizan para asignar 
derechos y permisos de usuario a grupos de 
usuarios y equipos. Los derechos especifican 
que acciones pueden realizar los miembros del 
grupo de seguridad en un dominio o bosque, 
mientras que los permisos especifican a que 
recursos tiene acceso y el nivel de acceso de un 
miembro de un grupo en la red .
Existen unos grupos que son de seguridad y que 
se crean automáticamente cuando se instala 
Windows Server® 2008, son los grupos locales 
predeterminados. Estos grupos pueden 
contener cuentas de usuarios locales, cuentas 
de usuario de dominio, cuentas de equipo y 
grupos locales. Entre estos grupos se 
encuentran: Administradores, Invitados, 
Usuarios del registro de rendimiento, Usuarios 
del monitor del sistema,  Usuarios avanzados u 
Operadores de impresión.
 Para ver estos grupos seguiremos los siguientes 
pasos:
• Abriremos una ventana Ejecutar y 
escribiremos el comando MMC (Microsoft 
Management Console)
• Entonces se nos abrirá una consola en la que 
haremos clic en archivo y de nuevo clic en 
agregar o quitar complemento:
• Y aquí añadiremos el complemento usuarios y 
grupos locales:
• Tras esto nos aparecerán los grupos locales 
predeterminados citados anteriormente:
• Hay que tener en cuenta que tras instalar 
Active Directory nos saldrá un error que no 
nos dejará abrir este complemento dentro de 
MMC:
 También existen otros grupos que son de 
seguridad y que se crean automáticamente 
cuando se crea un dominio de Active Directory, y 
son los grupos predeterminados. A muchos de 
estos grupos se les asignan automáticamente un 
conjunto de derechos de usuario que autorizan 
a los miembros del grupo a realizar ciertas 
acciones  en un dominio. Cuando se agrega un 
usuario a un grupo predeterminado, ese usuario 
recibe:
• Todos los derechos de usuario asignados al grupo
• Todos los permisos  asignados al grupo para los recursos 
compartidos
 Es conveniente tener en cuenta algunas 
consideraciones antes de agregar un usuario a 
un grupo predeterminado:
• Coloque un usuario en un grupo predeterminado sólo 
cuando esté seguro de que desees ofrecerle todos los 
derechos y permisos de usuario asignados a dicho grupo en 
Active Directory; de lo contrario, cree un nuevo grupo de 
seguridad.
• Por seguridad, los miembros de los grupos 
predeterminados deben usar Ejecutar como para realizar 
tareas administrativas.
 Estos grupos predeterminados se encuentran 
en los contenedores Builtin y Users. Los grupos 
predeterminados del contenedor Builtin son de 
ámbito Local. Su ámbito y tipo de grupo no se 
pueden modificar. Los grupos del contenedor 
Users son de ámbito Global o Local de Dominio. 
Los grupos de estos contenedores se pueden 
mover a otros grupos o unidades organizativas, 
pero no se pueden mover a otros dominios.
 Para llegar a ver estos grupos solo deberemos 
entrar en Inicio, herramientas administrativas, y 
allí hacer clic en usuarios y equipos de Active 
Directory:
Y podremos ver tanto el contenedor Builtin:
Como el contenedor Users:
 Grupo de Distribución

Estos grupos se utilizan con aplicaciones de 
correo electrónico como Microsoft ® Exchange, 
para enviar mensajes de correo electrónico a 
grupos de usuarios. La finalidad principal de este 
tipo de grupo es recopilar objetos relacionados.
Aunque los grupos de seguridad tienen todas las 
funciones de los grupos de distribución, estos 
son necesarios debido a que algunas 
aplicaciones sólo pueden utilizar grupos de 
distribución.
 Pero dentro de Active Directory existen otros 
grupos que se conocen con el nombre de 
Identidades Especiales, y que en Windows 
Server® 2003 reciben el nombre de Grupos del 
sistema.  Son grupos predeterminados,  y las 
pertenencias de estos grupos a otros no se 
pueden ver ni modificar. Representan a distintos 
usuarios en distintas ocasiones, en función de 
las circunstancias. Los grupos identidades 
especiales son: 
 Identidad Especial Descripción
Este grupo representa a los usuarios y 
servicios que obtienen acceso a un 
Inicio de sesión
equipo y a sus recursos a través de la red 
anónimo
sin usar un nombre de cuenta, contraseña 
o nombre de dominio
Este grupo representa a todos los 
Todos usuarios actuales de la red, incluidos 
invitados y usuarios de otros dominios
Este grupo representa a los usuarios que
Red obtienen acceso en ese momento a un 
recurso dado a través de la red.
Este grupo representa a todos los 
usuarios que disponen de una sesión 
Interactivo iniciada en un equipo determinado y que 
están obteniendo acceso a un recurso 
ubicado en ese equipo

Aunque a las Identidades Especiales se les puede conceder 
derechos y permisos para los recursos, sus pertenencias no se 
pueden ver ni modificar. Las Identidades Especiales no tiene 
ámbitos de grupos.
 ¿Qué son los niveles funcionales de 
dominio?
Las características de los grupos de Active 
Directory dependen del nivel funcional de 
dominio. La funcionalidad del dominio activa 
funciones que afectan a todo un dominio y a 
todo ese dominio. Determina que clase de 
características estarán disponibles, como por 
ejemplo la capacidad de unir bosques. El nivel 
funcional se puede elevar pero una vez elevado 
no se podrá volver a un nivel funcional inferior.
 En esta tabla se pueden ver los niveles 
funcionales y sus características:
Windows 2000 
Windows  Windows  Windows 
mixto
2000 nativo Server 2003 Server 2008
(predeterminado)
Windows NT  Windows 
Server 4,0,  2000,  Windows 
Controladores
Windows 2000,  Windows  Server 2003,  Windows 
de dominio 
Windows Server Server 2003,  Windows  server 2008
admitidos
2003, Windows  Windows  Server 2008
Server 2008 Server 2008
Ámbitos de  Global, local  Global, local de  Global, local de 
Global y local de 
grupo  de dominio  dominio y  dominio y 
dominio
admitidos y universal universal universal

En Windows Server 2008 no existe el nivel funcional 
Windows 2000 mixto, pero si en Windows Server 2003, y 
para poder convertir un grupo de seguridad en un grupo de 
distribución y viceversa el nivel funcional debe encontrarse 
definido en Windows 2000 nativo o superior.
 Elevar el nivel funcional del dominio es muy fácil. Sólo 
tenemos que ir a Usuarios y equipos de Active Directory y 
hacer clic con el botón derecho en nuestro dominio, y nos 
aparecerá la opción elevar el nivel funcional del dominio:
Y en la ventana que nos sale podremos elevar el 
nivel funcional de dominio. Recordad que una 
vez elevado no podréis volver a un nivel inferior:
 Ámbitos de grupos
Como se explicó al principio de la presentación 
el ámbito de un grupo determina si el grupo 
comprende a uno o varios dominios. los 
distintos ámbitos, que a continuación se 
explicarán en profundidad son:
• Global
• Local de dominio
• Universal
• Local 
 Grupos globales
Los miembro de los grupos globales pueden 
incluir sólo otros grupos y cuentas del dominio 
en el que se encuentra definido el grupo. A los 
miembros de estos grupos se les pueden asignar 
permisos en cualquier dominio del bosque. 
Se aconseja que se usen los grupos con ámbito 
global para administrar objetos de directorio 
que requieran un mantenimiento diario, como 
las cuentas de usuario y de equipo
Las características de los grupos globales son:
• Miembros:
– En un nivel funcional de dominio mixto, los grupos globales pueden 
contener cuentas de usuario y equipo del mismo dominio que el grupo 
global.
– En un nivel funcional nativo, los grupos globales pueden contener cuentas 
de usuario, cuentas de equipo y grupos globales del mismo dominio que el 
grupo global.
• Puede ser miembro de:
– En el modo mixto, un grupo local puede ser miembro de grupos locales de 
dominio.
– En el modo nativo, un grupo global puede ser miembro de grupos locales 
de dominio y universales en cualquier dominio, y de grupos globales del 
mismo dominio que el grupo global.
• Ámbito:
– Un grupo global es visible dentro de su dominio y de todos los dominios 
de confianza, en los que se incluyen todos los dominios del bosque.
• Permisos:
– Puede conceder permisos a un grupo global para todos los dominios del 
bosque.
 Grupos universales
Los miembros de los grupos universales pueden 
incluir otros grupos y cuentas de cualquier 
dominio del bosque o del árbol de dominios. A 
los miembros de estos grupos se les pueden 
asignar permisos en cualquier dominio del 
bosque o del árbol de dominios.
Se utilizan los grupos con ámbito universal para 
consolidar los grupos que abarcan varios 
dominios. 
Para poder utilizar los grupos universales el nivel 
funcional del dominio debe der Windows 2000 
nativo o superior 
Las características de los grupos universales son:
• Miembros:
– No puede crear grupos universales en el modo mixto.
– En el modo nativo, los grupos universales pueden contener cuentas de 
usuario, cuentas de equipo, grupos globales  y otros grupos 
universales de cualquier dominio del bosque.
• Puede ser miembro de:
– No se puede aplicar el grupo universal en el modo mixto.
– En el modo nativo, el grupo universal puede ser miembro de los 
grupos locales de dominio y universales de cualquier dominio.
• Ámbito:
– Los grupos universales son visibles en todos los dominios del bosque y 
dominios de confianza.
• Permisos:
– Puede conceder permisos a grupos universales para todos los 
dominios del bosque.
 Grupos locales de dominio
Los miembros de los grupos locales de dominio 
pueden incluir otros grupos y cuentas de 
dominios de Windows Server 2003, Windows 
2000, Windows NT y Windows Server 2008. A 
los miembros de estos grupos sólo se les pueden 
asignar permisos dentro de un dominio.
Los grupos con ámbito local de dominio ayudan 
a definir y administrar el acceso a los recursos 
dentro de un dominio único. Pueden tener los 
siguientes miembros:
• Grupos con ámbito Global
• Grupos con ámbito Universal
• Cuentas
• Otros grupos con ámbito Local de dominio
• Una combinación de los anteriores
 Las características de los grupos locales de 
dominio son:
• Miembros:
– En el modo mixto, los grupos locales de dominio pueden contener cuentas de 
usuario, cuentas de equipo y grupos globales de cualquier dominio. Los 
servidores miembros no pueden utilizar grupos locales de dominio en el modo 
mixto.
– En el modo nativo, los grupos locales de dominio pueden contener cuentas de 
usuario, cuentas de equipo, grupos globales y grupos universales de cualquier 
dominio del bosque y grupos locales de dominio de su mismo dominio.
• Puede ser miembro de:
– En el modo mixto, un grupo local de dominio no puede ser miembro de 
ningún grupo.
– En el modo nativo, un grupo local de dominio puede ser miembro de grupos 
locales de dominio de su mismo dominio.
• Ámbito:
– Un grupo local de dominio sólo es visible en el dominio al que pertenece.
• Permisos:
– Puede asignar permisos a un grupo local de dominio para el dominio al que 
pertenece el grupo local de dominio.
 Grupos locales
Un grupo local es un conjunto de cuentas de 
usuario y grupos de dominio creados en un 
servidor miembro o en un servidor 
independiente. Se pueden crear grupos 
locales para conceder permisos para los 
recursos que residan en el equipo local. 
Los grupos locales a veces reciben el nombre de 
grupos locales de dominio para distinguirlos 
de los grupos locales de dominio.
 Las características de los grupos locales son:
• Los grupos locales pueden contener cuentas de usuario 
locales del equipo en el que se crea el grupo local.
• Los grupos locales no pueden ser miembros de otro grupo.

Directrices a la hora de utilizar los grupos 
locales:
• Sólo puede utilizar grupos locales en el equipo en el que se 
crean  dichos grupos locales. Los permisos de estos grupos 
ofrecen acceso sólo a los recursos del equipo en el que se 
creó el grupo local.
• No se pueden crear grupos locales en controladores de 
dominio, porque éstos no tienen una base de datos segura.
Y tras saber un poco más acerca de los grupos, 
pasaremos a la creación, modificación y 
eliminación de éstos.
Los grupos se crean en los dominios. Para crear 
grupos se utiliza la herramienta Usuarios y 
equipos de Active Directory. Con los permisos 
necesarios se pueden crear grupos en el 
dominio raíz del bosque, en cualquier otro 
dominio del bosque o en una unidad 
organizativa.
 Demostración de cómo crear grupos
Crear un grupo en Windows Server 2008 es algo muy sencillo. 
Sólo tenemos que seguir los siguientes pasos:
• Entraremos en la herramienta Usuarios y equipos de Active 
Directory que se encuentra en las Herramientas 
Administrativas:
• Ahora haremos clic con el botón derecho en el dominio, en 
un contenedor de los que ya existen o en algún grupo o 
unidad organizativa que hayamos creado anteriormente. 
Daremos a nuevo y aquí en grupo:
• Y nos aparecerá una ventana donde pondremos nombre a 
nuestro grupo y le asignaremos el  ámbito y el tipo de 
grupo. Aceptamos y ya tendremos creado nuestro grupo:
 Demostración de cómo modificar un 
grupo
Ahora  podremos modificar nuestro grupo haciendo clic 
derecho sobre él y clic en Propiedades:
Empezaremos por la pestaña general. Aquí podremos cambiar 
el nombre, ponerle una descripción, un correo, o cambiar el 
ámbito o el tipo de grupo:
A la hora de cambiar el ámbito o el tipo de grupo hay que 
tener varias cosas en cuenta. Si nuestro grupo es de ámbito 
global no podremos cambiarlo a ámbito de Dominio local, y 
viceversa:
Para hacer este cambio de ámbito de Global a Dominio Local o 
viceversa hay  que pasar antes por el ámbito Universal:
También podemos cambiar el tipo de grupo, pero al hacer el 
cambio de tipo Seguridad a tipo Distribución nos dará una 
advertencia:
En la pestaña miembros podremos agregar aquellos usuarios 
o grupos que queremos que pertenezcan a este grupo:
Daremos a agregar y ahí en avanzadas:
Haremos clic en Buscar ahora y nos saldrán todos los usuarios 
y grupos que podemos agregar a nuestro grupo:
En la pestaña Miembro de pondremos a que grupo queremos 
que pertenezca nuestro grupo. Los grupos que aquí salgan 
serán siempre grupos de dominio local:
Haremos clic en agregar y luego en avanzadas:
Le damos a Buscar ahora y nos aparecerán todos los grupos 
de los que nos podemos hacer miembros:
En la pestaña Administrado por podemos asignar un 
administrador al grupo. En este administrador delega la 
autoridad para agregar y eliminar usuarios del grupo:
Le daremos a Cambiar… y después a Avanzadas 
Después haremos clic en Buscar ahora y podremos elegir al 
administrador de nuestro grupo:
Tanto en la pestaña Miembros como Miembro de podremos 
eliminar los usuarios y grupos. Sólo tenemos que 
seleccionarlos y hacer clic en Quitar
También podemos quitar el administrador del grupo. Sólo 
tenemos que hacer clic en borrar:
En cualquier momento podemos eliminar el grupo que hemos 
creado. Solo tenemos que seleccionarlo y hacer clic sobre 
con el botón derecho. Entonces pinchamos en la opción 
eliminar:
Nos preguntará si realmente queremos eliminar nuestro 
grupo. Decimos que sí y nuestro grupo quedará eliminado:
 Demostración creación y eliminación 
de grupos desde la línea de comandos
También podemos utilizar la línea de comandos tanto para 
crear como para eliminar los grupos. Para esto abriremos la 
línea de comandos utilizando el comando CMD en la ventana 
de Ejecutar:
Ya en la consola utilizaremos el comandos dsadd group /? 
Así podremos ver la ayuda para este comando que es el que 
se utiliza para crear grupos:
El comando completo que utilizaremos para crear el grupo será: 
Dsadd group “cn=Demo2,dc=SER2008,dc=local” –samid Demo2 
–secgrp yes –scope g –members “cn=Fran,dc=SER2008, dc=local” 
“cn=Cris,dc=SER2008, dc=local” “cn=Jorge,dc=SER2008, dc=local”
‐memberof “cn=Administradores,cn=Builtin,dc=SER2008,dc=local” 
La parte en blanco de la siguiente imagen es el Nombre Distintivo 
[DN]  del grupo que se agregará, donde Demo2 es el nombre, y 
SER2008 y local el servidor.
En esta otra imagen la parte en blanco señala algunas de las 
propiedades a la hora de crear el grupo:
• ‐samid Demo2:  nombre de equipo anterior a Windows 2000
• ‐secgrp yes: selecciona el tipo de grupo como seguridad. En 
el caso de que la respuesta fuese no, el grupo sería de tipo 
distribución.
• ‐scope g: determina el ámbito de grupo como global. Las 
opciones son: l (Dominio local), g(Global), u (Universal)
La siguiente propiedad que podemos añadir al comando es      
‐members que se utiliza para añadir usuarios al grupos. Los 
usuarios estarán determinados por una lista (estarán 
separados por espacios) de sus Nombres Distintivos [DN]. El 
comando quedaría:
‐members “cn=Fran,dc=SER2008,dc=local” 
“cn=Cris,dc=SER2008,dc=local”
La última propiedad del comando es –memberof. Con este 
comando podremos hacer a nuestro grupo miembro de otro 
grupo como por ejemplo del grupo Administradores. Sólo 
tenemos que poner la propiedad seguida del Nombre 
Distintivo [DN] del grupo del que queremos hacerlo miembro: 
‐memberof
“cn=Administradores,cn=Builtin,dc=SER2008,dc=local”
También podemos eliminar nuestro grupo desde la línea de 
comandos utilizando el comando  dsrm. Sólo tenemos que 
poner este comando seguido del Nombre Distintivo [DN] del 
grupo:

Dsrm “cn=Demo2,dc=SER2008,dc=local”