Administración de Grupos Server Core 2008

Módulo 3 Página 1

Contenido MEMBRESIA GRUPOS .......................................................................................................................... 2 ESTRATEGIAS PARA LA UTILIZACION DE LOS GRUPOS............................................................ 2

1.- AGP. ................................................................................................................................................ 2 2.- AGDLP ............................................................................................................................................ 2 3.- AGUDLP ......................................................................................................................................... 2

4. AGLP ................................................................................................................................................ 2 MODIFICANDO EL ALCANCE DEL GRUPO ..................................................................................... 2

Grupo Global (G): ................................................................................................................................. 3 Grupo Local de Dominio (DL): ............................................................................................................ 3

Grupo Universal (U): ............................................................................................................................ 3 Tipo de grupo ........................................................................................................................................ 3

ASIGNACION DE UN ADMINISTRADOR A UN GRUPO ............................................................. 3 UTILIZANDO GRUPOS PRE CONSTRUIDOS .................................................................................... 3

GRUPOS PRE-CONSTRUIDOS EN UN SERVIDOR MIEMBRO DEL DOMINIO ....................... 3 GRUPOS PRE-CONSTRUIDOS EN EL ACTIVE DIRECTORY ..................................................... 3 GRUPOS DE SISTEMA System Group ............................................................................................. 3

CREACION DE GRUPOS ....................................................................................................................... 4 NIVELES DE FUNCIONALIDAD DEL DOMINO ............................................................................... 4

Funcionalidad de dominios y bosques .................................................................................................. 4 Funcionalidad de dominio ..................................................................................................................... 4 Funcionalidad de bosque ....................................................................................................................... 6

GRUPOS GLOBALES G ..................................................................................................................... 8 GRUPOS LOCALES DE DOMINIO DL ............................................................................................ 9

GRUPOS UNIVERSALES U ............................................................................................................... 9 GRUPOS LOCALES L ........................................................................................................................ 9

NOMBRES PARA LOS GRUPOS .................................................................................................... 10 Listado de Grupos Active Directory ....................................................................................................... 11 Listado de Grupos Locales ...................................................................................................................... 14

Módulo 3 Página 2

MEMBRESIA GRUPOS

ESTRATEGIAS PARA LA UTILIZACION DE LOS GRUPOS Existen 4 estrategias en la utilización de grupos, que podemos estar utilizando para facilitar la administración de los

usuarios. Y estos son:

1.- AGP. A= Account o cuentas de usuario

G= Group Global o grupos globales

P = Permisos

Esta regla nos dice que nosotros vamos a crear los usuarios, y estos los pondremos dentro de los grupos globales, a los

grupos globales se le van a asignar los permisos sobre los diferentes recursos de la red. Esta estrategia se utiliza

generalmente cuando tenemos un solo dominio y pocos usuarios.

2.- AGDLP A = Account o cuentas

G = Grupo Global o grupos globales

DL= Grupos Locales de Dominio

P = Permisos

Esta estrategia nos dice que las cuentas de usuario van a ir dentro de los grupo globales, los grupos globales van a ir dentro

de los grupos locales de dominio, y a los grupos locales de dominio se le van a asignar los permisos hacia los recursos. Esta

estrategia se utiliza generalmente en un Bosque con uno o más dominios.

3.- AGUDLP A = Account o cuentas


U = Grupos Universales

DL= Grupos Locales de Dominio

P = Permisos

Esta estrategia nos dice que los usuarios se van a crear dentro de los grupos globales, estos grupos globales estarán dentro

de los grupos universales, los grupos universales estarán dentro de los grupos locales de dominio y a estos se le asignaran

permisos a los recursos. Esta estrategia se utiliza generalmente en un Bosque con uno o más dominios, pero debemos de

tomar en cuenta que la membresía a los grupos universales es almacenada en el catalogo global por lo tanto podría ser

necesario agregar más catálogos globales en la red.

4. AGLP A = Account o cuentas


L= Grupos Locales

P = Permisos

Esta estrategia se crean los usuarios que irán dentro de los grupos globales, estos grupos estarán dentro de los grupos locales

y a estos se le asignaran permisos a los recursos. Esta estrategia es recomendada cuando mantenemos los grupos de NT 4.0

y estamos en un proceso de actualización de NT4.0 a Windows 2008 Server

MODIFICANDO EL ALCANCE DEL GRUPO Si en un determinado momento queremos cambiar el alcance de nuestros grupos es decir cambiar de un grupo global a

universal o a otro, debemos de tomar algunas consideraciones.

Módulo 3 Página 3

Grupo Global (G): al darle clic derecho propiedades vemos en la ficha general que podemos cambiar esta grupo global

y convertirlo a un Grupo Universal, solamente es posible hacerlo si el grupo global no es un miembro de otro grupo global

Grupo Local de Dominio (DL): al darle clic derecho propiedades, vemos que podemos cambiarla a un Grupo

Universal, esto es posible si el Domian Local group no contiene otro Domain Local group como miembro de este.

Grupo Universal (U): al darle clic derecho propiedades vemos que los podemos cambiar a grupos Globales o grupos

Locales de Dominio. En el caso que lo queramos cambiar hacia un grupo Global lo podremos hacer solamente si el grupo

Universal no contiene otro grupo Universal o un grupo Global de otro Dominio. Si lo quisiéramos pasar de Universal a

Domain Local no existen restricciones para este caso.

Tipo de grupo: También podemos cambiar el tipo de Grupo es decir podemos cambiar un grupo de Seguridad hacia un

grupo de Distribución o viceversa, pero debemos de tomar en cuenta que el Dominio debe de ser Windows 2000 en modo

nativo o mayor.

ASIGNACION DE UN ADMINISTRADOR A UN GRUPO A los grupos podemos estar asignando un administrador por dos razones que son:

1.- Tener un responsable del grupo

2.- Delegar la administración del grupo para que pueda agregar o eliminar miembros del grupo.

Para poder hacer esto escogemos al grupo que queramos agregar un administrador, clic derecho propiedades y nos vamos a

la pestaña Manager By, seleccionamos el botón de change y escogemos el usuario que queremos que sea el administrador

de dicho grupo, luego ponemos un cheque para decirle que el administrador puede actualizar la lista de miembros del grupo.

UTILIZANDO GRUPOS PRE CONSTRUIDOS Los grupos Pre Construidos son creados durante el proceso de instilación ya sea por parte del sistema operativo o de algún

servicio y cuentan de forma automática con derechos y permisos asignados automáticamente. Algo que debemos de tomar

en cuenta antes de agregar un usuario a un grupo pre-construido, es que al agregarlo al grupo va a heredar todos los

derechos y permisos asignados a este grupo, si hay uno o más derechos o permisos que no queremos darle, debemos crear

otro grupo de seguridad ya que el grupo pre-construido no llena nuestras necesidades.

GRUPOS PRE-CONSTRUIDOS EN UN SERVIDOR MIEMBRO DEL DOMINIO Para buscar los grupos pre-construidos en un servidor Member Server debemos de hacer los siguiente, inicio, Mi

computadora, clic derecho y seleccionamos la opción de Administrar (manage) allí podemos ver los grupos y usuarios que

están creados de forma local, si nos vamos a grupos vamos a poder ver todos los grupos.

GRUPOS PRE-CONSTRUIDOS EN EL ACTIVE DIRECTORY Si queremos ver los grupos en el Active Directory nos vamos a las herramientas administrativos, abrimos el Active

Directory user and computer, buscamos la carpeta Builtin, allí encontramos los grupos pre construidos, también en la

carpeta User encontramos otros grupos pre-construidos como son el Domain Admin., Domain Controllers, Enterprise

Admis, etc.

GRUPOS DE SISTEMA System Group Los grupos de sistema son unos grupos especiales al cual nadie le puede agregar o quitar usuarios, solamente el sistema

operativo puede definir la membresía de estos grupos, pero es importante tener conocimiento de estos, ya que es posible

utilizarlos por razones de seguridad y podemos asignar derechos y permisos a estos grupos.

Al estar trabajando con grupos pre-construidos debemos de tomar en cuenta que debemos de asignar al usuario al grupo más

restrictivo , es decir solamente darle los permisos que necesito y ningún permiso más, en la medida que se pueda es siempre

mucho mejor utilizar los grupos pre-construidos en vez de crear nuevos grupos, siempre debemos de utilizar el grupo de

Usuarios autenticados (Authenticated Users) en lugar del grupo Todos (Everyone), tratar de tener la menor cantidad de

usuarios dentro del Grupo Administradores ya que estos usuarios tendrán control total del sistema.

Módulo 3 Página 4

CREACION DE GRUPOS Generalmente cuando una red empieza a crecer, va teniendo un aumento en la cantidad de usuarios, es aquí que necesitamos

agruparlos para poder manejarlos como uno solo, para lograr este cometido vamos a utilizar los grupos.

Grupos: Un grupo puede contener tanto a usuarios como a computadoras, y nos servirá para asignar derechos y permisos,

Existen dos tipos de grupos que son:

1.- Grupos de Seguridad

Nos sirven para asignar derechos o permisos sobre los diferentes recursos

2.- Grupos de Distribución

Nos sirven únicamente para agrupar a usuarios y computadoras, ya que no pueden ser utilizados para la asignación

tanto de derechos o permisos, generalmente estos grupos son utilizados con aplicaciones ejemplo: Ms Exchange, el cual los

utiliza para sus listas de distribución,

NIVELES DE FUNCIONALIDAD DEL DOMINO Existen ciertas características en los grupos que son afectadas por el nivel de funcionalidad tanto del domino como del

bosque, para eso nos vamos al Active Directory Users and Computer, desde aquí se puede cambiar el nivel de funcionalidad

que tiene nuestro dominio, nos vamos al nombre de nuestro dominio, le damos clic derecho y le decimos que vamos a elevar

el nivel de funcionalidad del domino (Raise Domain Functional Level).

Si queremos hacerlo para el Bosque nos vamos a buscar el Active Directory Domains and Trust y desde aquí se eleva el

nivel de funcionalidad, dando clic derecho para que nos aparezca la opción Raise Forest Functional Level, esto lo podemos

hacer si ya hemos elevado el nivel de funcionalidad de los diferentes dominios del bosque.

En los niveles de Funcionalidad podemos encontrar los siguiente niveles

Nivel Windows 2000 Native Mode, este nivel va a tener controladores de dominio Win2000 y Win2003 , y va poder crear

grupos Globales, grupos Globales de dominio y Grupos Universales.

Nivel Windows 2003, este solo soporta controladores de dominio Win2003 y maneja los grupos Globales, Grupos Locales

de Dominio y Grupos Universales.

Funcionalidad de dominios y bosques

La funcionalidad de dominios y bosques, disponible en los Servicios de dominio de Active Directory (AD DS) de Windows

Server® 2008 R2, proporciona una forma de habilitar características para todo el dominio o características de Active

Directory para todo el bosque en su entorno de red. Hay disponibles varios niveles de funcionalidad del dominio y

funcionalidad del bosque, dependiendo de su entorno de red.

Si todos los controladores de dominio de su bosque o dominio ejecutan Windows Server 2008 R2 y el nivel funcional del

bosque y del dominio se establece en Windows Server 2008 R2, estarán disponibles todas las características para todo el

dominio y para todo el bosque. Cuando el dominio o el bosque contienen controladores de dominio de Windows® 2000,

Windows Server 2003 o Windows Server 2008, las características de Active Directory serán limitadas. Para obtener más

información acerca de cómo habilitar características para todo el dominio o para todo el bosque, consulte Elevar el nivel

funcional del dominio y Elevar el nivel funcional del bosque.

Funcionalidad de dominio

La funcionalidad de dominio habilita características que afectan al dominio entero, y sólo a ese dominio. En AD DS de

Windows Server 2008 R2, hay disponibles cuatro niveles funcionales del dominio: Windows 2000 nativo, Windows Server

2003 (el predeterminado), Windows Server 2008 y Windows Server 2008 R2.

En la tabla siguiente, se enumeran los niveles funcionales del dominio y sus controladores de dominio compatibles

correspondientes:

http://technet.microsoft.com/es-es/library/cc753104(v=ws.10)



Módulo 3 Página 5

Nivel funcional del dominio Controladores de dominio compatibles Windows 2000 nativo Windows 2000 Server

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows Server 2003 Windows Server 2003

Windows Server 2008




Windows Server 2008 R2 Windows Server 2008 R2

Cuando se eleva el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no

pueden incorporarse al dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2008 R2, no podrá

agregar controladores de dominio que ejecuten Windows Server 2008 al dominio.

La tabla siguiente describe las características para todo el dominio habilitadas para los niveles funcionales del dominio de

AD DS de Windows Server 2008 R2.

Nivel

funcional del

dominio

Características habilitadas

Windows

2000 nativo

Todas las características predeterminadas de Active Directory y las características siguientes:

Los grupos universales están habilitadas para grupos de distribución y de seguridad.

Anidación de grupos.

La conversión de grupos está habilitada, lo que hace posible la conversión entre grupos de

seguridad y grupos de distribución.

Historial de identificadores de seguridad (SID).

Windows

Server 2003

Todas las características predeterminadas de Active Directory, todas las características del nivel funcional

del dominio de Windows 2000 nativo y las características siguientes:

La disponibilidad de la herramienta de administración de dominios, Netdom.exe, para preparar el

cambio de nombre del controlador de dominio.

Actualización de la marca de hora de inicio de sesión. El atributo lastLogonTimestamp se

actualiza con la hora en que el usuario o equipo inició sesión por última vez. Este atributo se

replica dentro del dominio.

La capacidad de establecer el atributo userPassword como la contraseña efectiva en el objeto

inetOrgPerson y los objetos de usuario.

La capacidad de redirigir los contenedores Usuarios y equipos. De manera predeterminada, se

Módulo 3 Página 6

proporcionan dos contenedores conocidos para albergar cuentas de equipo y usuario o grupo:

cn=Computers,<raízDeDominio> y cn=Users,<raízDeDominio>. Esta característica hace posible

definir una ubicación nueva conocida para estas cuentas.

El Administrador de autorización puede almacenar sus directivas de autorización en AD DS.

Se incluye la delegación restringida, que hace posible que las aplicaciones aprovechen la

delegación segura de credenciales de usuario por medio del protocolo de autenticación Kerberos.

Puede configurar la delegación para que sólo se permita en servicios de destino específicos.

Se admite la autenticación selectiva, que hace posible especificar los usuarios y grupos de un

bosque de confianza a los que se les permite autenticarse en servidores de recursos en un bosque

que confía.

Windows

Server 2008


del dominio de Windows Server 2003 y las características siguientes:

Compatibilidad con la replicación del Sistema de archivos distribuido (DFS) para SYSVOL, que

proporciona una replicación más sólida y detallada del contenido de SYSVOL.

Compatibilidad con los Servicios de cifrado avanzado (AES 128 y 256) para el protocolo de

autenticación Kerberos.

Información acerca del último inicio de sesión interactivo, que muestra la hora del último inicio de

sesión interactivo correcto de un usuario, la estación de trabajo desde la que se inició y el número

de intentos de inicio de sesión erróneos desde el último inicio de sesión.

Directivas de contraseña muy específicas, que permiten especificar directivas de contraseña y

directivas de bloqueo de cuentas para usuarios y grupos de seguridad global en un dominio.

Windows

Server 2008

R2


del dominio de Windows Server 2008 y las características siguientes:

La comprobación del mecanismo de autenticación, que empaqueta la información sobre el tipo de

método de inicio de sesión (tarjeta inteligente o nombre de usuario/contraseña) empleado para

autenticar a usuarios del dominio dentro del token de Kerberos de cada usuario. Si esta

característica está habilitada en un entorno de red que ha implementado una infraestructura de

administración de identidades federadas, como Servicios de federación de Active Directory (AD

FS), la información del token se puede extraer siempre que un usuario intente obtener acceso a

cualquier aplicación para notificaciones que se haya desarrollado para determinar la autorización

en función del método de inicio de sesión de un usuario.

Funcionalidad de bosque

La funcionalidad de bosque habilita características en todos los dominios del bosque. Hay disponibles cuatro niveles

funcionales del bosque en el sistema operativo Windows Server 2008 R2: Windows 2000, Windows Server 2003

(predeterminado), Windows Server 2008 y Windows Server 2008 R2.

Módulo 3 Página 7

En la tabla siguiente se enumeran los niveles funcionales del bosque disponibles en el sistema operativo Windows Server

2008 R2 y sus controladores de dominio compatibles correspondientes:

Nivel funcional del bosque Controladores de dominio compatibles

Windows 2000 Windows NT® 4.0

Windows 2000

Windows Server 2003

Windows Server 2008


Windows Server 2003 (predeterminado) Windows Server 2003

Windows Server 2008




Windows Server 2008 R2 Windows Server 2008 R2

Cuando se eleva el nivel funcional del bosque, los controladores de dominio que ejecutan sistemas operativos anteriores no

pueden incorporarse al bosque. Por ejemplo, si eleva el nivel funcional del bosque a Windows Server 2008 R2, no puede

agregar al bosque controladores de dominio que ejecuten Windows Server 2008.

En la tabla siguiente, se describen las características para todo el bosque habilitadas para los niveles funcionales del bosque

de Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2.

Nivel

funcional del

bosque

Características habilitadas

Windows

Server 2003

Todas las características predeterminadas de Active Directory y las características siguientes:

Confianza de bosque

Cambio de nombre de dominio

Replicación de valor vinculado (cambios en los valores de replicación y almacenamiento de

pertenencia a grupos para miembros individuales en lugar de replicación de toda la pertenencia

como una sola unidad). Esto causa una reducción en el uso del procesador y del ancho de banda de

red durante la replicación, y elimina la posibilidad de perder actualizaciones cuando se agregan o

eliminan varios miembros a la vez en diferentes controladores de dominio.

La capacidad de implementar un controlador de dominio de sólo lectura (RODC) que ejecute

Windows Server 2008.

Mejora en la escalabilidad y los algoritmos del comprobador de coherencia de la información

(KCC). El generador de topología entre sitios (ISTG) usa algoritmos mejorados que se escalan

para admitir bosques con un número mayor de sitios admitidos en el nivel funcional del bosque de

Windows 2000.

La capacidad de crear instancias de la clase auxiliar dinámica llamada dynamicObject en una

Módulo 3 Página 8

partición de directorio de dominio.

La capacidad de convertir una instancia de un objeto inetOrgPerson en una instancia de un objeto

User, y viceversa.

La posibilidad de crear instancias de los nuevos tipos de grupo, denominados grupos básicos de

aplicación y grupos de consulta de Protocolo ligero de acceso a directorios (LDAP), para admitir

la autorización basada en roles.

Desactivación y nueva definición de atributos y clases en el esquema.

Windows

Server 2008

Este nivel funcional proporciona todas las características disponibles en el nivel funcional del bosque de

Windows Server 2003, pero no características adicionales. Sin embargo, todos los dominios que se

agreguen posteriormente al bosque funcionarán en el nivel funcional del dominio de Windows Server 2008

de manera predeterminada.

Windows

Server 2008

R2

Todas las características disponibles en el nivel funcional del bosque de Windows Server 2003, más las

siguientes características:

Papelera de reciclaje de Active Directory, que proporciona la capacidad de restaurar

completamente objetos eliminados mientras se ejecuta AD DS.

Todos los dominios que se agreguen posteriormente al bosque funcionarán en el nivel funcional del

dominio de Windows Server 2008 R2 de manera predeterminada.

Si tiene pensado incluir sólo controladores de dominio que ejecuten Windows Server 2008 R2 en todo el

bosque, puede elegir este nivel funcional de bosque para facilitar la administración. En ese caso, nunca

tendrá que elevar el nivel funcional de dominio para cada dominio que cree en el bosque.

Existen 4 grupos que podemos estar administrando o podemos estar manejando estos son:

GRUPOS GLOBALES G

GRUPOS LOCALES DE DOMINIO DL

GRUPOS UNIVERSALES U

GRUPOS LOCALES L

Es bien importante conocer las características que tienen para poder saber cuándo los vamos a estar utilizando

GRUPOS GLOBALES G Estos pueden ser utilizados en Cualquier Dominio del Bosque. Pero solamente puede tener como miembros todos los

usuarios que fueron creados en el mismo dominio del grupo global.

Módulo 3 Página 9

GRUPOS LOCALES DE DOMINIO DL Pueden contener miembros de cualquier Dominio en el Bosque, pero solamente pueden ser utilizados en el dominio en el

que están creados.

GRUPOS UNIVERSALES U Pueden contener usuarios de cualquier dominio del bosque y pueden ser utilizados en cualquier dominio del bosque, es bien

importante tener clara esta diferencia.

GRUPOS LOCALES L Son todos aquellos grupos que no fueron creados en el Active Directory si no fueron creados como grupos dentro de las

computadoras, estos grupos pueden tener usuarios de cualquier dominio del bosque, pero solamente pueden ser utilizados en

la computadora que fueron creados.

Cuando el nivel de funcionalidad es nativo se puede utilizar la característica de NESTING, es decir grupos dentro de

grupos con características iguales, ejemplo, grupos globales dentro de grupos globales, grupos universales dentro de grupos

universales, La característica de Nesting solo se puede hacer únicamente cuando el nivel de funcionalidad es nativo o

mayor.

Módulo 3 Página 10

NOMBRES PARA LOS GRUPOS Algo que debemos de tomar muy en cuenta es el nombre que le vamos a poner al grupo este nombre debe ser bien

descriptivo, ejemplo, primero definimos el alcance o Scope si es Global, Universal o Local de dominio, empezamos

escribiendo la letra que identifica el alcance ejemplo G, U, DL, luego el nombre del dominio, seguido por el departamento

donde esta este grupo y por último el propósito del grupo. Ejemplo “G Corp ventas Impresióncolor”.

También es bien importante saber quiénes pueden crear los grupos ejemplo en un dominio los Account operators, Domain

Admins, Enterprise Admins pueden estar creando grupos, mientras tanto en una computadora local lo pueden hacer los

Power users, los Administrators y cualquier otro usuario que tenga delegado el control para crear los grupos de usuarios.

Grupos Locales del Dominio: Sólo existen en modo nativo. Su visibilidad está delimitada al propio dominio, pero pueden

tener como miembros a cuentas de usuario y equipo y grupos universales y globales de su dominio o de otros con relaciones

de confianza, así como a grupos locales de su propio dominio. Se usan para asignar permisos en recursos del dominio.

Evidentemente, no pueden pertenecer a grupos de otros dominios, ni asignárseles derechos o permisos a recursos en otros

dominios.

Nótese que ahora el concepto es distinto al de los grupos locales de dominio en NT4 o en modo mixto, pues en modo nativo

los grupos locales se ven en todos los equipos del dominio, no sólo en los controladores de dominio.

Grupos Globales del Dominio: El concepto es similar al explicado anteriormente. Es decir, sólo puede tener miembros de

su propio dominio (cuentas de usuario y equipo y grupos globales de su propio dominio), pero puede pertenecer a grupos

locales de equipo y de dominio (propio o distinto del bosque o con relación de confianza) y se le pueden asignar derechos y

permisos en recursos de otros dominios.

Grupos Universales: Sólo existen en modo nativo. Pueden tener miembros de cualquier dominio del bosque (cuentas de

usuario y equipo, grupos universales y globales de cualquier dominio del bosque o con relación de confianza), y también se

les pueden dar permisos y derechos en recursos de cualquier dominio, así como hacerlos pertenecer a grupos locales o

universales de cualquier dominio del bosque o de dominios externos con relaciones de confianza.


Listado de Grupos

Active Directory

Builtin Group

Description

Account Operators Members of the Account Operators group can create and manage domain user, group, and computer accounts within the Users or Computers containers (with the exception of the Domain Controllers container) or organizational units that have been created. Account Operators do not have rights to modify the Administrators or Domain Admins groups. This group has no default members.

Administrators The Administrators group has full rights and privileges on all domain controllers within the domain. Its members can grant themselves any permissions they do not have by default to manage all of the objects on the computer. (Objects include the file system, printers, and account management.) By default, the Administrator user account and the Domain Admins and Enterprise Admins groups are members of the Administrators group. Because of the permissions associated with this group, you should add users to this group with caution.

Backup Operators The members of the Backup Operators group have rights to back up and restore the file system, even if the file system is NTFS and they have not been assigned permissions to the file system. However, the members of Backup Operators can access the file system only through the Backup utility. To be able to directly access the file system, they must have explicit permissions assigned. By default, there are no members of the Backup Operators local group.

Guests The Guests group has limited access to the computer. This group is provided so that you can let people who are not regular users have access to specific network resources. As a general rule, most administrators do not allow Guest access because it poses a potential security risk. By default, the Guest user account is a member of the Guests local group.

Incoming Forest Trust Builders

This group has special permissions to build one-way, incoming trusts to the forest root domain. This group has no default members.

Network Configuration Operators

This group has special permissions to manage TCP/IP networking configuration options. For example, members can renew and release TCP/IP addresses on domain controllers within the domain. This group does not have any default members.

Performance Log Users

Members of this group have special permissions related to configuring and managing performance counters, logs, and alerts on domain controllers and computers within the domain. This group does not have any default members.

Performance Monitor Users

Members of this group have special permissions to remotely monitor (view) performance counters for all domain controllers and computers within the domain. This group does not have any default members.

Pre–Windows 2000 Compatible Access

This is a special group with backward compatibility for allowing read access to users and groups in the domain. By default, the Everyone group is a member of this group when the computer is loaded with pre–Windows 2000 permissions.

Print Operators Print Operators group members can administer, create, delete, and share printers connected to domain controllers. In addition, members of this group can also manage printer objects within the Active Directory. This group does not have any default members.

Remote Desktop This special group allows its members to log on to the server remotely. This group


Builtin Group

Description

Users does not have any default members.

Replicator The Replicator group is intended to support directory replication, which is a feature used by domain servers prior to Windows 2000 and 2003. Only domain users who will start the replication service should be assigned to this group. By default, there are no members of the Replicator local group.

Server Operators The Server Operators group members can administer domain servers. Administration tasks include creating, managing, and deleting shared resources, starting and stopping services, formatting hard disks, backing up and restoring the file system, and shutting down domain controllers. By default, there are no members in this group.

Terminal Server License Servers

This group includes any Terminal Server License servers that have been installed within the domain.

Users The Users group is used by end users who should have very limited system access. If you have installed a fresh copy of Windows Server 2003, the default settings for this group prohibit users from compromising the operating system or program files, changing the system time, and adding a local printer. By default, all users who have been created on the computer, except Guest, are members of the Users group.

Windows Authorization Access Group

Users of this group have been granted permissions to the Token-GroupsGlobalAndUniversal attribute on user objects. The Enterprise Domain Controllers group is added to this group by default.

Users Group Description

Cert Publishers The Cert Publishers group members can manage enterprise certification and renewal agents for users and computers. There are no default members of this group.

DHCP Administrators The DHCP Administrators group has administrative rights to manage Dynamic Host Configuration Protocol (DHCP) servers. Only available on DHCP servers.

DHCP Users The DHCP Users group has read-only rights to the DHCP console. Only available on DHCP servers.

DnsAdmins The DnsAdmins group has administrative rights to manage Domain Name System (DNS) servers. There are no default members of this group. (This group is installed with DNS.)

DnsUpdateProxy The DnsUpdateProxy group has permissions that allow DNS clients to perform dynamic updates on behalf of other clients, such as DHCP servers. There are no default members of this group. (This group is installed with DNS.)

Domain Admins The Domain Admins group has complete administrative rights over the domain. By default, the Administrator user account is a member of this group.

Domain Computers The Domain Computers group contains all of the workstations and servers that are a part of the domain. Any computer that is added to the domain becomes a member of this group by default.

Domain Controllers The Domain Controllers group contains all of the domain controllers in the domain. By default, any domain controller that is added to the domain becomes a member of this group.

Domain Guests The Domain Guests group has limited access to the domain. This group is

http://newhorizons.books24x7.com/viewer.asp?bkid=17054&destid=1963#1963


Users Group Description

provided so that you can let people who are not regular users access specific network resources.

Domain Users The Domain Users group contains all of the domain users. This group should have very limited system access. By default, any users who have been added to the domain become members of this group.

Enterprise Admins The Enterprise Admins group has complete administrative rights over the enterprise (all domains within the forest). This group has the highest level of permissions of all groups and only exists in the forest root server.

Group Policy Creator Owners

The Group Policy Creator Owners group has permissions to modify group policy for the domain. By default, the Administrator user account is a member of this group.

HelpServicesGroup This group has special permissions to manage the Help and Support Center.

IIS_WPG (installed with IIS)

This group is used by the Internet Information Services worker process group. There are no default members of this group.

RAS and IAS Servers The RAS and IAS Servers group contains the Remote Access Service (RAS) and Internet Authentication Service (IAS) servers in the domain. Servers in this group can access remote access properties of users.

Schema Admins The Schema Admins group has special permissions to modify the schema of the Active Directory. By default, the Administrator user account is a member of this group.

TelnetClients Members of this group have access to the Telnet server on this system.

WINS Users The WINS Users group has special permissions to view information on the Windows Internet Name Service (WINS) server.

Group Description

Creator Owner The Creator Owner is the account that created or took ownership of the object. This is typically a user account. Each object (files, folders, printers, and print jobs) has an owner. Members of the Creator Owner group have special permissions to resources. For example, if you are a regular user who has submitted 12 print jobs to a printer, you can manipulate your print jobs as Creator Owner, but you can’t manage any print jobs submitted by other users.

Creator The Creator group is the group that created or took ownership of the object (rather than an individual user). When a regular user creates an object or takes ownership of an object, the username becomes the Creator Owner. When a member of the Administrators group creates or takes ownership of an object, the group Administrators becomes the Creator group.

Everyone This group includes anyone who could possibly access the computer. The Everyone group includes all users who have been defined on the computer (including Guest), plus (if your computer is a part of a domain) all users within the domain. If the domain has trust relationships with other domains, all users in the trusted domains are part of the Everyone group as well. The exception to automatic group membership with the Everyone group is that members of the Anonymous Logon group are no longer a part of the Everyone group.

Interactive The Interactive group includes all users who use the computer’s resources locally. Local




Group Description

users belong to the Interactive group.

Network This group includes users who access the computer’s resources over a network connection. Network users belong to the Network group.

Authenticated Users

The Authenticated Users group includes users who access the Windows Server 2003 operating system through a valid username and password. Users who can log on belong to this group.

Anonymous Logon

This group includes users who access the computer through anonymous logons. When users gain access through special accounts created for anonymous access to Windows Server 2003 services, they become members of the Anonymous Logon group.

Batch This group includes users who log on as a user account that is only used to run a batch job. Batch job accounts are members of the Batch group.

Dialup The Dialup group includes users who log on to the network from a dial-up connection. Dial-up users are members of the Dialup group.

Service The Service group includes users who log on as a user account that is only used to run a service. You can configure the use of user accounts for logon through the Services program, and these accounts become members of the Service group.

System When the system accesses specific functions as a user, that process becomes a member of the System group. For example, say you have a virus scanner that runs as a service called abcscan; you want the service to run no matter what user is logged on and regardless of what the logged-on user’s permissions are. You can create a special user—for example, abcscanuser—who has all of the permissions required to run the abcscan service each time the computer is started. The local user—for example, Katie—logs on. The user Katie is logged on as an interactive user. In addition, when the abcscan service was started, the abcscanuser was also logged on as a system user, which is a transparent process to user Katie.

Terminal Server User

This group includes users who log on through Terminal Services. These users become members of the Terminal Server User group.

Listado de Grupos

Locales

Group Description

Backup Operators Members of the Backup Operators group have the right to back up and restore folders and files—even ones that they don't otherwise have permission to access. Backup operators also have access to the Backup Utility program.

HelpServicesGroup This group is used by Microsoft and computer manufacturers for Remote Assistance, enabling technical support personnel to connect to the computer (only with your permission, of course!).

Network Configuration Operators

Members of this group have administrative privileges in areas that relate to setting up and configuring networking components.

Power Users The Power Users group is intended for those who need many, but not all, of the privileges of the Administrators group. Power Users can't take ownership of files, back up or restore files, load or unload device drivers, or manage the security and




Group Description

auditing logs. Unlike ordinary users, however, Power Users can share folders; create, manage, delete, and share local printers; and create local users and groups.

Remote Desktop Users

Users in this group can connect to the computer via the Remote Desktop feature, if it is enabled.

Replicator Members of the Replicator group can manage the replication of files on the domain, workstation, or server. (File replication, a feature of Windows NT Server and its successors, is beyond the scope of this book.)


Documents

Administración de Grupos Server Core 2008