5K
Un grupo de directorio activo es un tipo especial de objeto en AD que se utiliza para agrupar otros objetos de directorio. En otras palabras, un grupo es una forma de recopilar usuarios, computadoras, grupos y otros objetos en una unidad administrada. Los grupos de Active Directory se pueden utilizar para otorgar permisos para acceder a recursos, delegar tareas administrativas de AD, vincular objetos de política de grupo y en listas de distribución de correo electrónico. En este artículo, hablaremos sobre los diferentes tipos de grupos de Active Directory, las diferencias entre ellos, los alcances de los grupos y le mostraremos cómo crear grupos AD y administrarlos de varias maneras.
Tipos de grupos y ámbitos en Active Directory
Cuando crea un nuevo grupo en Active Directory usando el complemento gráfico dsa.msc, debe seleccionar un Tipo de grupo y Alcance del grupo.
Tipos de grupos de Active Directory
Hay dos tipos de grupos de Active Directory, cada uno con tres ámbitos:
- Grupo de seguridad — este tipo de grupo se utiliza para proporcionar acceso a recursos (principal de seguridad). Por ejemplo, es posible que desee permitir que un grupo en particular lea archivos en una carpeta de red compartida. Para hacer esto, necesita crear un grupo de seguridad, editar los permisos compartidos y agregar este grupo a DACL;
- Grupo de distribución — se utiliza para crear listas de distribución de correo electrónico (usualmente se usa en Microsoft Exchange Server y Outlook). Un correo electrónico enviado a dicho grupo llegará a todos los usuarios (destinatarios) del grupo. Este tipo de grupo no se puede utilizar para proporcionar acceso a los recursos del dominio porque no tienen habilitada la seguridad.
Nota. Puede asignar un atributo de correo electrónico al grupo de seguridad y usarlo en listas de distribución convirtiéndolo en un grupo de seguridad habilitado para correo (pero no se recomienda).
Ámbitos de grupo de Active Directory
hay tres alcance del grupos en Active Directory:
- Dominio local — se utiliza para administrar los permisos de acceso a varios dominios solo en el dominio donde se creó. Un grupo de dominio local no se puede utilizar en otros dominios (sin embargo, un grupo local puede incluir usuarios de otro dominio). Un grupo local puede incluirse en otro grupo local, pero no puede agregarse al grupo global;
- Global — se utiliza para otorgar acceso a recursos en otro dominio. Solo puedes agregar cuentas a este grupo desde el mismo dominio en el que se creó el grupo. Se puede agregar un grupo global a otros grupos globales y locales;
- Universal — recomendado para su uso en grandes bosques de Active Directory. Universal Group le permite definir roles y administrar recursos distribuidos en múltiples dominios. Es deseable utilizar grupos universales sólo para grupos que rara vez cambian. Esto se debe a que cambiar el grupo universal hace que el catálogo global se replique en toda la organización.
Pista. Los grupos AD pueden ser miembros de otros grupos. Esto se llama grupos anidados. Los grupos anidados son una forma útil de administrar en AD según los roles y funciones comerciales.
También hay local grupos. Estos grupos se crean en la base de datos del Administrador de cuentas de seguridad (SAM) local en cada computadora. La diferencia con los grupos de dominio es que los grupos locales funcionan incluso si no se puede contactar con un controlador de dominio de Active Directory.
Puede cambiar el alcance o el tipo del grupo AD. Pero hay algunas condiciones:
- Puede convertir un grupo de seguridad global en universal si el grupo no forma parte de otro grupo global;
- Puede convertir un grupo de dominio local en uno universal si no contiene otro grupo de dominio local como miembro;
- Un grupo universal se puede convertir en un grupo de dominio local sin restricciones;
- Un grupo Universal puede transformarse en uno Global si no incluye como miembro a otro grupo universal.
Grupos integrados de Active Directory
Cuando crea un nuevo dominio de AD, se crean varios grupos de seguridad predefinidos (integrados) con un alcance DomainLocal. Estos grupos predefinidos se pueden utilizar para controlar el acceso a recursos compartidos y delegar permisos administrativos específicos a nivel de dominio. Los grupos de AD predeterminados se encuentran en un contenedor de AD especial Incorporado.
Puede enumerar el grupo AD predefinido usando PowerShell:
Get-ADGroup -SearchBase 'CN=Builtin,DC=theitbros,DC=com' -Filter * | Format-Table Name,GroupScope,GroupCategory,SID -AutoSize
Administrators DomainLocal Security S-1-5-32-544 Users DomainLocal Security S-1-5-32-545 Guests DomainLocal Security S-1-5-32-546 Print Operators DomainLocal Security S-1-5-32-550 Backup Operators DomainLocal Security S-1-5-32-551 Replicator DomainLocal Security S-1-5-32-552 Remote Desktop Users DomainLocal Security S-1-5-32-555 Network Configuration Operators DomainLocal Security S-1-5-32-556 Performance Monitor Users DomainLocal Security S-1-5-32-558 Performance Log Users DomainLocal Security S-1-5-32-559 Distributed COM Users DomainLocal Security S-1-5-32-562 IIS_IUSRS DomainLocal Security S-1-5-32-568 Cryptographic Operators DomainLocal Security S-1-5-32-569 Event Log Readers DomainLocal Security S-1-5-32-573 Certificate Service DCOM Access DomainLocal Security S-1-5-32-574 RDS Remote Access Servers DomainLocal Security S-1-5-32-575 RDS Endpoint Servers DomainLocal Security S-1-5-32-576 RDS Management Servers DomainLocal Security S-1-5-32-577 Hyper-V Administrators DomainLocal Security S-1-5-32-578 Access Control Assistance Operators DomainLocal Security S-1-5-32-579 Remote Management Users DomainLocal Security S-1-5-32-580 Server Operators DomainLocal Security S-1-5-32-549 Account Operators DomainLocal Security S-1-5-32-548 Pre-Windows 2000 Compatible Access DomainLocal Security S-1-5-32-554 Incoming Forest Trust Builders DomainLocal Security S-1-5-32-557 Windows Authorization Access Group DomainLocal Security S-1-5-32-560 Terminal Server License Servers DomainLocal Security S-1-5-32-561
También hay algunos grupos privilegiados integrados en Active Directory, como administradores de dominio, administradores empresariales, DnsAdmins, etc.
Cómo crear un grupo en Active Directory con el complemento ADUC
Debes ser miembro de la Operadores de cuentas, Administradores de dominioo Administradores empresariales grupo para crear, modificar o eliminar un grupo en Active Directory. También puede delegar los privilegios para administrar grupos en unidades organizativas específicas a usuarios que no sean administradores.
La forma más sencilla de crear un nuevo grupo en el dominio AD es utilizar el complemento Usuarios y computadoras de Active Directory. Vaya a la unidad organizativa de AD de destino en la que desea crear el grupo, haga clic derecho sobre ella y seleccione Nuevo > Grupo.
Especifique un nombre de grupo único, seleccione el tipo y alcance del grupo y haga clic en Aceptar.
Para agregar un objeto a los miembros del grupo, vaya a la Miembros pestaña y utilice el Agregar para agregar usuarios, computadoras u otros grupos.
Tenga en cuenta que al agregar miembros a un grupo, las búsquedas se realizan solo para los siguientes tipos de objetos: usuarios, grupos y cuentas de servicio. Si desea agregar un objeto AD al grupo de seguridad (como una computadora o un contacto), haga clic en el Tipos de objetosy comprueba las opciones Contactos y Computadoras. Ahora puede seleccionar cualquier tipo de objeto de Active Directory.
También puede agregar un usuario al grupo haciendo clic derecho sobre él y seleccionando el elemento Agregar a un grupo. Esto es útil si necesita agregar usuarios a un grupo de forma masiva.
Tenga en cuenta que en la pestaña Miembro, en las propiedades de cualquier usuario de Active Directory, su Grupo Primario está especificado. ID de grupo principal se utilizó para admitir el modelo UNIX POSIX para controlar el acceso a los recursos. En Active Directory, el atributo PrimaryGroupID de un usuario debe ser el RID (identificador relativo) del grupo al que se asociará el usuario. De forma predeterminada, todos los usuarios de Active Directory tienen un PrimaryGroupID de 513 (Usuario de dominio grupo).
Solo se pueden especificar grupos de seguridad globales o universales como grupo principal.
En la mayoría de los casos, no debe cambiar el atributo del grupo primario excepto en casos especiales relacionados con aplicaciones POSIX y clientes Mac.
También puede crear nuevos grupos de seguridad desde el Centro administrativo gráfico de Active Directory (dsac.exe). Haga clic derecho en el nombre de dominio o unidad organizativa y seleccione Nuevo > Grupo.
Complete los siguientes campos obligatorios:
- Nombre del grupo.
- Alcance del grupo (Global/Dominio local/Universal).
- Tipo de grupo (Seguridad/Distribución).
Aquí también puede establecer una descripción para el grupo, habilitar/deshabilitar la opción Proteger contra eliminación accidental, agregar usuarios al grupo, etc.
Haga clic en Aceptar para crear el grupo.
Para eliminar a un usuario de un grupo, busque el grupo por nombre mediante la Búsqueda global y abra sus propiedades. Ir al Miembros pestaña, seleccione el usuario que desea eliminar y haga clic en el Eliminar botón. Haga clic en Aceptar para guardar los cambios.
Crear y modificar un grupo de Active Directory mediante PowerShell
Para crear grupos de Active Directory, use PowerShell Nuevo grupo AD cmdlet del módulo Active Directory para Windows PowerShell.
El tipo de grupo (Seguridad o Distribución) se especifica mediante el -Categoría de grupo argumento. El alcance del grupo se especifica mediante el -Ámbito de grupo parámetro (valores válidos: DomainLocal, Global o Universal).
Puede utilizar el comando para crear un nuevo grupo de distribución global en la unidad organizativa de destino:
New-ADGroup -Path "OU=Groups,OU=Brasil,DC=theitbros,DC=com" -Name "BrasilUsers" -GroupScope Global -GroupCategory Distribution
Para buscar todos los grupos de distribución en su dominio, use el siguiente cmdlet:
Get-ADGroup -Filter 'groupcategory -eq "Distribution"'
Utilice el siguiente comando para crear un nuevo grupo de seguridad:
New-ADGroup –Name RemoteAccessUsers -GroupScope Universal -GroupCategory Security -Path "OU=Groups,OU=USA,DC=theitbros,DC=com"
Puede cambiar los atributos del grupo de Active Directory mediante el cmdlet Set-ADGroup. Por ejemplo, desea agregar una descripción al grupo de seguridad que creó anteriormente:
Set-ADGroup RemoteAccessUsers –Description “Users that can access corporate network over DirectAccess and VPN server”
Además, puede utilizar el cmdlet Set-ADGroup para cambiar el ámbito del grupo. Por ejemplo, utilice el siguiente comando para convertir el Distribución global grupo al Seguridad Universal tipo de grupo:
Get-AdGroup RemoteAccessUsers | Set-ADGroup -GroupScope Universal -GroupCategory Security
Ahora puede agregar usuarios a este grupo mediante el cmdlet Add-ADGroupMember:
Add-ADGroupMember RemoteAccessUsers -Members user1,user2,user3
Para eliminar a un usuario de un grupo de AD, utilice el cmdlet Remove-ADGroupMember:
Remove-ADGroupMember -Identity RemoteAccessUsers -Members user1, user2
Confirme la eliminación de la membresía del usuario presionando Y > Enter.
Para eliminar completamente un grupo de Active Directory, ejecute:
Remove-ADGroup -Identity RemoteAccessUsers
Cuando elimine un grupo, se le pedirá que confirme la eliminación. Para deshabilitar la confirmación de eliminación, agregue el parámetro Confirmar:
Remove-ADGroup -Identity RemoteAccessUsers –Confirm:$false
Para obtener toda la información sobre el grupo especificado, utilice el cmdlet Get-ADGroup:
get-adgroup 'domain admins’
DistinguishedName : CN=Domain Admins,CN=Users,DC=theitbros,DC=com GroupCategory : Security GroupScope : Global Name : Domain Admins ObjectClass : group ObjectGUID : f04fbf5d-c917-43fb-9235-b214f6ea4156 SamAccountName : Domain Admins SID : S-1-5-21-3243688314-1360023605-3291231821-512
Puedes calcular el número total de usuarios en el grupo:
(Get-ADGroupMember -Identity 'Domain Admin').Count
Puede enumerar (exportar) los miembros del grupo de Active Directory mediante el cmdlet Get-ADGroupMember.
Para enumerar los grupos de AD a los que pertenece la cuenta de usuario (incluidos los grupos anidados de AD), ejecute el comando:
Get-ADUser jbrion -properties memberof | select memberof -expandproperty memberof
Niveles funcionales de Active Directory de Windows Server 2012 R2 y soporte más reciente Membresía de grupo basada en el tiempo. Esta característica permite a los administradores asignar membresía temporal a un grupo, que se expresa como un valor de tiempo de vida (TTL). Este valor se agregará al ticket de Kerberos. Esto también se denomina función de enlaces que caducan.
Puede agregar temporalmente un usuario a un grupo mediante PowerShell. Por ejemplo, desea agregar un usuario a un grupo de seguridad por solo 2 días para asignar permisos temporales. Ejecute el siguiente comando de PowerShell:
Add-ADGroupMember -Identity g_CA_Sales -Members b.jackson -MemberTimeToLive (New-TimeSpan -Days 2)
Después de dos días, la cuenta de usuario se eliminará automáticamente del grupo. Para ver el tiempo restante (en segundos) que un usuario permanecerá en un grupo:
Get-ADGroup g_CA_Sales -Property member -ShowMemberTimeToLive