El Grupos de Active Directory son una colección de objetos de Active Directory. El grupo puede incluir usuarios, computadoras, otros grupos y otros objetos de AD. El administrador gestiona el grupo como un solo objeto. En Windows, hay 7 tipos de grupos: dos tipos de grupos de dominio con tres ámbitos en cada uno y un grupo de seguridad local. En este artículo, hablaremos sobre los diferentes tipos de grupos de Active Directory, las diferencias entre ellos, los alcances de los grupos y le mostraremos cómo crear grupos de AD y administrarlos de varias maneras.

Tipos de grupos de Active Directory

Los grupos de Active Directory se pueden utilizar:

  • Simplificar la administración asignando permisos de recursos compartidos a un grupo en lugar de a usuarios individuales. Cuando asigna permisos a un grupo, todos sus miembros tienen el mismo acceso al recurso;
  • Delegar el control asignando derechos de usuario a un grupo mediante Políticas de grupo. En el futuro, puede agregar nuevos miembros al grupo que necesiten los permisos otorgados por este grupo;
  • Crear listas de distribución de correo electrónico.

Hay dos tipos de grupos de AD:

  • Grupos de seguridad de Active Directory. Este tipo de grupo se utiliza para proporcionar acceso a recursos (principal de seguridad). Por ejemplo, desea otorgar acceso a un grupo específico a los archivos de una carpeta compartida de red. Para hacer esto, necesita crear un grupo de seguridad;
  • Grupos de distribución de Active Directory. Este tipo de grupo se usa para crear listas de distribución de correo electrónico (generalmente se usa en Microsoft Exchange Server). Un correo electrónico enviado a dicho grupo llegará a todos los usuarios (destinatarios) del grupo. Este tipo de grupo no se puede utilizar para proporcionar acceso a los recursos del dominio, porque no están habilitados para la seguridad.

Nota. Puede asignar un atributo de correo electrónico al grupo de seguridad (convirtiéndolo en un grupo de seguridad habilitado para correo) y usarlo en listas de correo, pero no se recomienda.

Técnicamente, los grupos de distribución difieren de los grupos con seguridad habilitada en un bit en el groupType atributo. Para un grupo de seguridad, este atributo contendrá el bit SECURITY_ENABLED.

Hay tres ámbitos de grupo para cada tipo de grupo:

  • Dominio local. Se usa para administrar permisos de acceso a diferentes recursos de dominio (archivos y carpetas, permisos NTFS, acceso a escritorio remoto, proporcionar privilegios de Windows, usar en el filtrado de seguridad de GPO, etc.) solo en el dominio donde se creó. Un grupo local no se puede utilizar en otros dominios (sin embargo, un grupo local puede incluir usuarios de otro dominio). Un grupo local puede estar incluido en otro grupo local, pero no se puede agregar al grupo global;
  • Global. Este tipo de grupo se puede utilizar para proporcionar acceso a recursos en otro dominio. En este grupo, puede agregar solo cuentas del mismo dominio en el que se creó el grupo. Se puede agregar un grupo global a otros grupos globales y locales;
  • Universal. Se recomienda utilizarlo en grandes bosques de Active Directory. Con este ámbito de grupo, puede definir roles y administrar recursos que se distribuyen en varios dominios. Si su red tiene muchas sucursales conectadas por canales WAN, es conveniente usar grupos universales solo para grupos que cambian raramente. Porque cambiar el grupo universal hace que el Catálogo global se replique en toda la empresa.

Tambien hay local grupos. Estos grupos se crean en la base de datos local del Administrador de cuentas de seguridad (SAM) en la computadora específica. La diferencia con los grupos de dominio: los grupos locales funcionan incluso si no se puede contactar con los controladores de dominio.

Puede cambiar el grupo de AD Alcance o Escribe. Pero existen varias condiciones:

  • Puede convertir Global Security Group en Universal si el grupo no forma parte de otro grupo global;
  • Puede convertir un grupo de dominio local en uno universal si no se agrega otro grupo de dominio local a la lista de sus miembros;
  • Un grupo universal se puede convertir en un grupo de dominio local sin restricciones;
  • Un grupo universal puede transformarse en uno global si no contiene otro grupo universal como miembro.

Grupos de dominio AD predeterminados (integrados)

Cuando crea un nuevo dominio de AD, se crean varios grupos de seguridad predefinidos (integrados) con un alcance DomainLocal. Estos grupos predefinidos se pueden utilizar para controlar el acceso a recursos compartidos y delegar permisos administrativos específicos a nivel de dominio. Los grupos de AD predeterminados se encuentran en un contenedor de AD especial Incorporado.

Solo se pueden agregar cuentas de usuario a estos grupos: no se pueden agregar grupos de AD integrados entre sí (anidamiento de grupos) ni agregarles grupos de dominio definidos por el usuario.

Puede enumerar el grupo de AD predefinido mediante PowerShell:

Get-ADGroup -SearchBase 'CN=Builtin,DC=theitbros,DC=com' -Filter * | Format-Table Name,GroupScope,GroupCategory,SID -AutoSize

Administradores Dominio Seguridad local S-1-5-32-544

Dominio de usuarios Seguridad local S-1-5-32-545

Invitados Dominio Seguridad local S-1-5-32-546

Operadores de impresión DomainLocal Security S-1-5-32-550

Operadores de respaldo DomainLocal Security S-1-5-32-551

Replicador DomainLocal Security S-1-5-32-552

Usuarios de escritorio remoto Dominio Seguridad local S-1-5-32-555

Operadores de configuración de red DomainLocal Security S-1-5-32-556

Usuarios del monitor de rendimiento Dominio Seguridad local S-1-5-32-558

Usuarios del registro de rendimiento Dominio Seguridad local S-1-5-32-559

Usuarios COM distribuidos Dominio Seguridad local S-1-5-32-562

IIS_IUSRS DomainLocal Security S-1-5-32-568

Operadores criptográficos Dominio Seguridad local S-1-5-32-569

Lectores de registro de eventos Dominio Seguridad local S-1-5-32-573

Servicio de certificado Dominio de acceso DCOM Seguridad local S-1-5-32-574

Servidores de acceso remoto RDS DomainLocal Security S-1-5-32-575

Servidores de punto final RDS DomainLocal Security S-1-5-32-576

Servidores de administración RDS DomainLocal Security S-1-5-32-577

Dominio de administradores de Hyper-V Seguridad local S-1-5-32-578

Operadores de asistencia de control de acceso Dominio Seguridad local S-1-5-32-579

Usuarios de administración remota Dominio Seguridad local S-1-5-32-580

Operadores de servidor DomainLocal Security S-1-5-32-549

Operadores de cuentas Dominio Seguridad local S-1-5-32-548

Dominio de acceso compatible con versiones anteriores a Windows 2000 Seguridad local S-1-5-32-554

Entrante Forest Trust Builders Dominio Seguridad local S-1-5-32-557

Dominio del grupo de acceso de autorización de Windows Seguridad local S-1-5-32-560

Servidores de licencias de Terminal Server Dominio Seguridad local S-1-5-32-561

Tenga en cuenta que los grupos de AD incorporados utilizan un formato SID especial: S-1-5-32-xxx (xxx de 500 a 1000). Para los grupos de AD normales, el SID se ve así: S-1-5-21-yyy-zzz, donde yyy es el identificador de dominio, zzz - ID relativo (RID).

Creación de un grupo mediante el complemento ADUC

La forma más sencilla de crear un nuevo grupo en el dominio AD es utilizar la consola gráfica de Usuarios y equipos de Active Directory. Vaya a la unidad organizativa de AD en la que desea crear el grupo, haga clic con el botón derecho y seleccione Nuevo > Grupo.

tipos de grupos del directorio activo

Especifique un nombre de grupo único, seleccione el tipo de grupo y el alcance y haga clic en Aceptar.

tipos de grupos de anuncios

Para agregar un usuario al grupo, busque el nombre del grupo en la consola Usuarios y equipos de Active Directory y haga doble clic en él. En la ventana de propiedades del grupo, haga clic en el Miembros pestaña y use la Agregar para agregar usuarios, computadoras u otros grupos.

tipo de grupo de anuncios

Tenga en cuenta que al agregar miembros a un grupo, las búsquedas se realizan solo para los siguientes tipos de objetos: Usuarios, Grupos y Cuentas de servicio. Si desea agregar un objeto AD al grupo de seguridad (como una computadora o un contacto), haga clic en el Tipos de objetos, y revisa las opciones Contactos y Ordenadores. Ahora puede seleccionar todo tipo de objetos de Active Directory.

grupos de usuarios del directorio activo

También puede agregar un usuario al grupo haciendo clic derecho sobre él y seleccionando el elemento Agregar a un grupo. Esto es muy útil cuando necesita agregar usuarios de forma masiva a un grupo.

grupos en el directorio activo

Tenga en cuenta que en la pestaña Miembro, en las propiedades de cualquier usuario de Active Directory, Grupo primario está especificado. ID de grupo principal se utilizó para admitir el modelo POSIX de UNIX para controlar el acceso a los recursos. En Active Directory, el atributo PrimaryGroupID de un usuario debe ser el RID (identificador relativo) del grupo al que se asociará el usuario. De forma predeterminada, todos los usuarios de Active Directory tienen un PrimaryGroupID de 513 (grupo de usuarios de dominio).

Los grupos de seguridad globales o universales se pueden especificar como grupo principal. Esto significa que no puede especificar un dominio local ni ningún grupo de distribución como grupo principal.

No todos los recursos admiten una configuración de identificación de grupo principal. En la mayoría de los casos, no debe cambiar el atributo Grupo principal, excepto en casos especiales relacionados con aplicaciones POSIX y clientes Mac.

tipo de grupo del directorio activo

¿Cómo crear y modificar grupos de Active Directory con PowerShell?

Para crear grupos de Active Directory, use PowerShell New-ADGroup cmdlet del módulo Active Directory para Windows PowerShell. Instale el módulo de PowerShell de Active Directory e importe los cmdlets del módulo a su sesión de PowerShell:

Import-Module ActiveDirectory

El tipo de grupo de seguridad o distribución se especifica mediante el -Categoría de grupo argumento. El alcance del grupo se especifica mediante el –GroupScope parámetro (valores válidos: DomainLocal, Global o Universal).

Para crear un nuevo grupo de distribución global en la unidad organizativa de destino, puede utilizar el comando:

New-ADGroup -Path "OU=Groups,OU=Brasil,DC=theitbros,DC=com" -Name "BrasilUsers" -GroupScope Global -GroupCategory Distribution

Si desea encontrar todos los grupos de distribución en su dominio, use el siguiente cmdlet:

Get-ADGroup -Filter 'groupcategory -eq "Distribution"'

Con el siguiente comando, puede crear un nuevo grupo de seguridad:

New-ADGroup –Name RemoteAccessUsers  -GroupScope Universal -GroupCategory Security -Path "OU=Groups,OU=USA,DC=theitbros,DC=com"

Puede cambiar los atributos del grupo de Active Directory mediante el cmdlet Set-ADGroup. Por ejemplo, desea agregar una descripción al grupo de seguridad que creó anteriormente:

Set-ADGroup RemoteAccessUsers –Description “Users that can access corporate network over DirectAccess and VPN server”

Ahora puede agregar usuarios a este grupo mediante el cmdlet Add-ADGroupMember:

Add-ADGroupMember RemoteAccessUsers  -Members user1,user2,user3

Para obtener toda la información sobre el grupo especificado, use el cmdlet Get-ADGroup:

get-adgroup 'domain admins’

que es un grupo de directorio activo

Nombre distinguido: CN = Administradores de dominio, CN = Usuarios, DC = theitbros, DC = com

GroupCategory: Seguridad

Alcance del grupo: Global

Nombre: administradores de dominio

ObjectClass: grupo

ObjectGUID: f04fbf5d-c917-43fb-9235-b214f6ea4156

SamAccountName: administradores de dominio

SID: S-1-5-21-3243688314-1360023605-3291231821-512

Puede calcular el número total de usuarios en el grupo:

(Get-ADGroupMember -Identity 'Domain Admin').Count

Puede enumerar (exportar) miembros del grupo de Active Directory mediante el cmdlet Get-ADGroupMember.

Para enumerar los grupos de AD a los que pertenece la cuenta de usuario (incluidos los grupos anidados), ejecute el comando:

Get-ADUser jbrion -properties memberof | select memberof -expandproperty memberof

que es el grupo de directorio activo

A veces surge la tarea de copiar la pertenencia de un usuario a una gran cantidad de grupos de AD. Si el usuario es miembro de una gran cantidad de grupos, hacerlo manualmente es muy tedioso. Para copiar todos los grupos de seguridad de un usuario de dominio y agregarlos a otra cuenta de usuario, use el siguiente script de PowerShell:

$SourceADUser= “j.brion"

$TargetADUser=”b.semenov”

$SourceADGroups = Get-ADPrincipalGroupMembership -Identity $SourceADUser

Add-ADPrincipalGroupMembership -Identity $TargetADUser -MemberOf $SourceADGroups

Otro ejemplo útil. Intentemos encontrar todos los grupos de AD que contengan * Admin * en el nombre y mostrar a los usuarios que son miembros de estos grupos (para mostrar solo cuentas únicas, use el –Uniq parámetro):

Get-ADGroup -filter 'SamAccountName -like "*Admin*"' | Get-ADGroupMember -recursive|Select-Object -uniq

Si el grupo incluye usuarios de otros bosques, el cmdlet Get-ADGroupMember devolverá un error:

Get-ADGroupMember: el valor o atributo del servicio de directorio especificado no existe

Insinuación. El cmdlet Get-ADGroupMember no admite usuarios de bosques de AD.

Si desea obtener un ID de grupo principal, use el siguiente script de PowerShell:

$ADdomainSID = Get-ADDomain | Select-Object -ExpandProperty DomainSID | Select-Object -ExpandProperty Value

Get-ADGroup -Identity $($ADdomainSID + "-" + $primaryGroupID)

En este artículo, ha aprendido sobre los grupos en Active Directory. Hemos cubierto los tipos de grupos y el alcance, cómo crear y administrar grupos utilizando la GUI de ADUC y el Shell de administración de Windows PowerShell.

Recomendado para ti