Cómo administrar grupos en AD. Parte 1: Creación y eliminación de grupos.
En los bosques de AD promedio, los grupos gobiernan la autorización de datos confidenciales. Los grupos pueden distribuir contenido o ayudar a dar acceso a archivos, servicios o incluso delegación AD. Después de la instalación, obtendrá varios grupos integrados, como el grupo de administradores de dominio o los operadores de cuentas.
Los Usuarios y equipos de Active Directory (ADUC) y el Centro de administración de Active Directory (ADAC) son programs que proporcionan una interfaz de usuario gráfica para interactuar con grupos y ayudar a administrarlos. ADAC se diferencia de ADUC en que tiene el historial de PowerShell, lo que brinda la capacidad de ver los cmdlets de PowerShell detrás de la GUI.
Para administrar grupos, debe iniciar sesión en un DC, un servidor unido a un dominio o un dispositivo con las herramientas de administración remota del servidor (RSAT) instaladas.
Hablando sobre el nivel de acceso, debe tener una cuenta de administrador de dominio, la cuenta de Operadores de cuenta o tener derechos para crear grupos en ciertas OU a través de delegación.
Ámbitos de grupo
Hay tres ámbitos de grupo:
- Grupos globales
- Grupos universales
- Grupos locales de dominio
Al decidir qué grupo crear, debe saber cuáles son los tipos de grupos y en qué se diferencian. Los grupos globales y los grupos universales se pueden anidar en grupos locales de dominio y los grupos globales se pueden anidar en grupos universales. Por lo tanto, es muy común que se creen grupos globales para departamentos, grupos universales para grupos de distribución y grupos locales de dominio para derechos de acceso.
Tipos de grupo
Hay dos tipos de grupos:
- Grupos de distribución
- Grupos de seguridad
Los grupos de distribución no tienen un identificador de seguridad (SID) y, por lo tanto, no se pueden usar para permitir el acceso a los recursos, excepto a los recursos dentro de Microsoft Exchange Server. En el lado opuesto, los grupos de seguridad tienen SID. Es posible convertir un grupo de distribución en un grupo de seguridad y viceversa.
Cómo crear un grupo
Hay varios métodos para crear un grupo.
Crear un grupo con ADUC
Abra ADUC (dsa.msc). Navegue hasta la unidad organizativa o el contenedor donde desea crear el grupo. DerechacliMarque la unidad organizativa o el contenedor en el que desea crear un nuevo grupo y seleccione Nuevo-> Grupo.
En la pantalla Nuevo objeto - Grupo, especifique los siguientes valores:
- Especifique el nombre del grupo.
- Especifique el ámbito del grupo o acepte el ámbito global predeterminado.
- Especifique el tipo de grupo o acepte el tipo de seguridad predeterminado.
CliHaga clic en Aceptar para crear el grupo.
Creación de un grupo con ADAC
Abra ADAC (dsac.exe). DerechacliVerifique el nombre de dominio y seleccione Nuevo->Grupo en el menú.
En la pantalla Crear grupo, especifique los siguientes valores:
- Especifique el nombre del grupo
- Especifique el ámbito del grupo o acepte el ámbito global predeterminado.
- Especifique el tipo de grupo o acepte el tipo de seguridad predeterminado.
CliHaga clic en Aceptar para crear el grupo.
Crear un grupo usando el símbolo del sistema
Utilice el siguiente comando cmd.exe para crear un grupo en AD:
dsadd.exe group "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Crear un grupo usando Windows PowerShell
Utilice el siguiente código de PowerShell:
Import-Module ActiveDirectory
New-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroup
Cómo eliminar un grupo en AD
Aquí hay varios métodos para hacerlo.
Eliminación de un usuario mediante ADAC
Abra ADUC (dsa.msc). Realiza estas acciones:
Navegue hasta la unidad organizativa o el contenedor donde reside el grupo que desea eliminar.
En el menú Acción, seleccione Buscar.... En el campo Nombre, escriba el nombre del grupo que desea eliminar y luego click Buscar ahora. En la lista de resultados de búsqueda, seleccione el grupo.
DerechacliMarque el grupo y seleccione Eliminar de la lista. Click Sí en la ventana de confirmación.
Eliminación de un grupo con ADAC
Abra ADAC (dsac.exe). Realice una de estas series de acciones:
Navegue hasta la unidad organizativa o el contenedor donde reside el grupo que desea eliminar. En el panel del menú principal, en Búsqueda global, escriba el nombre del grupo que desea eliminar y presione Entrar.
En la lista de resultados de búsqueda global, seleccione el grupo. Derecha-click el grupo esta vez, seleccione Eliminar de la lista. CliHaga clic en Sí en la ventana emergente de confirmación de eliminación.
Eliminación de un grupo mediante el símbolo del sistema
Use el siguiente comando para eliminar un grupo en Active Directory:
dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Escriba "y" para confirmar y presione Entrar.
Eliminar un grupo usando Windows PowerShell
Utilice el siguiente código de PowerShell:
Import-Module ActiveDirectory
Remove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Escriba "y" para confirmar y presione Entrar.