Grupos por Defecto

GRUPOS POR DEFECTO

ENSEÑAR LOS PERMISOS DEL GRUPO DE
DOMINIO DESDE LA MÁQINA CLIENTE

Abre Usuarios y Equipos de Active Directory:

· En el panel izquierdo, selecciona el dominio (por ejemplo, [Link]) y

navega hasta la Unidad Organizativa (OU) Builtin.

· Aquí encontrarás los grupos predeterminados de Active Directory, como

Administradores, Usuarios, Invitados, Operadores de copias de
seguridad, etc.

1. Acceso compatible con versiones anteriores de Windows 2000: Proporciona

compatibilidad con versiones anteriores de Windows (como Windows NT) para
el acceso a recursos. Los miembros de este grupo tienen permisos mínimos en el
dominio para garantizar la compatibilidad.

2. Acceso DCOM a servicios de certificado: Permite a los miembros acceder a los

Servicios de Certificados de Active Directory a través de DCOM (Distributed
Component Object Model).

3. Administradores: Tienen control total sobre el dominio y todos los recursos. Los
administradores pueden gestionar objetos de Active Directory, políticas de grupo
y configuraciones de seguridad.

4. Administradores de empresas: Tienen privilegios especiales para gestionar el

entorno de Active Directory en toda la organización, incluyendo la creación de
dominios y la configuración de esquemas. Este grupo solo debe usarse en
entornos de múltiples dominios.

5. Administradores de esquemas: Tienen permisos para modificar el esquema de

Active Directory. El esquema define la estructura y atributos de los objetos en el
directorio, y su modificación puede afectar a todo el entorno del dominio.

6. Creadores de confianza de bosque: Gestionan las relaciones de confianza entre

bosques. Esto permite configurar la confianza entre dos entornos de Active
Directory diferentes.

7. Duplicadores de archivos: Los miembros pueden replicar archivos y carpetas

entre servidores del dominio. Esto es útil para mantener archivos sincronizados
en varios servidores.
8. Grupo de acceso de compatibilidad con versiones anteriores de Windows
Server 2003: Proporciona compatibilidad con versiones anteriores de Windows
para el acceso a recursos en el dominio.

9. IIS_IUSRS: Este grupo se utiliza para conceder permisos a las aplicaciones web
en IIS (Internet Information Services), el servidor web de Windows. Los
miembros pueden acceder y ejecutar aplicaciones alojadas en IIS.

10. Invitados: Los usuarios de este grupo tienen acceso limitado a los recursos del
dominio. Se usa para cuentas temporales o de acceso restringido.

11. Lectores del grupo de administradores: Permite a los miembros ver la

configuración de los administradores sin ser administradores propiamente dichos.

12. Operadores de cuenta: Los miembros pueden crear, modificar y eliminar

cuentas de usuario y grupo en el dominio. Sin embargo, no tienen permisos
administrativos completos.

13. Operadores de copia de seguridad: Los miembros pueden realizar copias de

seguridad y restaurar datos en el dominio, incluso si no tienen permisos de acceso
directo a esos datos.

14. Operadores de impresión: Gestionan la configuración de impresoras en el

dominio. Pueden añadir, eliminar y gestionar colas de impresión.

15. Operadores de servidores: Los miembros pueden realizar tareas administrativas

en servidores en el dominio, como el apagado, inicio de sesión y configuración de
ciertos servicios.

16. Operadores de configuración de red: Pueden gestionar la configuración de red

en dispositivos del dominio, como adaptadores de red y ajustes de TCP/IP.

17. Usuarios COM distribuidos: Permite a los miembros realizar tareas

relacionadas con DCOM. Es útil para aplicaciones distribuidas que requieren
acceso a objetos COM.

18. Usuarios de acceso remoto: Los miembros tienen permisos para acceder de
forma remota a los servidores y estaciones de trabajo del dominio. Esto es útil
para conexiones de escritorio remoto.

19. Usuarios del escritorio remoto: Permite a los miembros conectarse mediante el
protocolo de escritorio remoto (RDP) a servidores y equipos del dominio.

20. Usuarios del monitor de rendimiento: Los miembros pueden monitorizar el

rendimiento del sistema, pero no pueden realizar cambios en la configuración.
Ideal para roles de solo lectura en monitoreo.
21. Usuarios del registro de rendimiento: Permite a los miembros registrar y ver
datos de rendimiento del sistema en el dominio. Al igual que el grupo anterior, es
un rol de solo lectura.

Abre Usuarios y Equipos de Active Directory:

· En el panel izquierdo, selecciona el dominio (por ejemplo, [Link])

navega a Users

22. Administrador: La cuenta de administrador principal del dominio. Tiene

privilegios completos y acceso total a todos los recursos y configuraciones del
dominio.
23. Administradores clave: Este grupo contiene usuarios que tienen privilegios
especiales para realizar tareas sensibles o críticas en Active Directory.
Usualmente se limita su membresía para mejorar la seguridad.
24. Administradores clave de la organización: Tienen privilegios de
administración sobre ciertas configuraciones críticas de Active Directory en el
bosque de dominios. Este grupo solo se usa en situaciones específicas y suele
estar vacío por defecto.
25. Administrador de empresas (Enterprise Admins): Este grupo tiene permisos
administrativos a nivel de bosque, es decir, puede realizar cambios en cualquier
dominio dentro del bosque. Es uno de los grupos más poderosos en Active
Directory, y solo ciertos usuarios tienen acceso.
26. Administradores de esquema: Los miembros de este grupo tienen permisos
para modificar el esquema de Active Directory, que define la estructura de todos
los objetos y atributos en el dominio. Cambiar el esquema es una operación
delicada que afecta a todo el entorno, por lo que solo los administradores
avanzados lo manejan.
27. Admins. del dominio (Domain Admins): Grupo de administradores para un
dominio específico. Los miembros tienen control total sobre el dominio y pueden
gestionar configuraciones, usuarios y recursos en ese dominio particular.
28. Controladores de dominio (Domain Controllers): Este grupo incluye todas las
cuentas de los controladores de dominio del dominio. Permite a los controladores
de dominio replicar datos entre sí y gestionar la autenticación de usuarios y
dispositivos.
29. Controladores de dominio clonables: Contiene controladores de dominio que
han sido configurados para clonarse. Es útil para crear rápidamente nuevos
controladores de dominio en entornos virtualizados.
30. Controladores de dominio de solo lectura: Este grupo contiene los
controladores de dominio que son de solo lectura. Estos controladores no pueden
realizar cambios en Active Directory y se suelen utilizar en ubicaciones con
seguridad física limitada, proporcionando autenticación local sin el riesgo de que
puedan modificar la base de datos de AD.
31. DnsAdmins: Este grupo tiene privilegios de administración en el servicio DNS
del dominio. Los miembros pueden administrar las zonas y registros DNS, y
realizar cambios en el servidor DNS.
32. DnsUpdateProxy: Este grupo contiene cuentas que pueden actualizar registros
DNS dinámicos en nombre de otros clientes. Suele usarse en entornos donde se
requiere que los equipos no autenticados actualicen sus registros en DNS.
33. Enterprise Domain Controllers de solo lectura: Este grupo incluye los
controladores de dominio de solo lectura (RODC) a nivel de toda la empresa. Los
miembros de este grupo permiten realizar tareas de autenticación en el dominio
sin poder modificar la base de datos de Active Directory.
34. Equipos del dominio: Este grupo incluye a todas las computadoras unidas al
dominio, proporcionando acceso a los recursos compartidos en el dominio y
facilitando la gestión de políticas.
35. Grupo de replicación de contraseña RODC denegada: Este grupo contiene
cuentas de usuarios o equipos cuyas contraseñas no pueden replicarse en los
controladores de dominio de solo lectura (RODC), aumentando la seguridad en
entornos con control limitado.
36. Grupo de replicación de contraseña RODC permitida: A diferencia del grupo
anterior, contiene cuentas cuya contraseña puede replicarse a los controladores de
dominio de solo lectura (RODC), facilitando su acceso sin comprometer la
seguridad en esos controladores.
37. Invitados del dominio: Este grupo incluye a los usuarios que tienen acceso
limitado a los recursos del dominio, comúnmente usado para cuentas de acceso
temporal o restringido. Los miembros tienen permisos mínimos.
38. Propietarios del creador de directivas de grupo: Los miembros de este grupo
son los que tienen control sobre las políticas de grupo, permitiéndoles crear y
gestionar objetos de política en el dominio, con privilegios elevados en la
administración de la infraestructura.
39. Protected Users: Este grupo contiene usuarios cuyo acceso está restringido para
aumentar la seguridad, protegiéndolos contra ataques como el robo de
credenciales, evitando que sus contraseñas sean almacenadas de forma
vulnerable.
40. Publicadores de certificados: Los miembros de este grupo tienen privilegios
para emitir y gestionar certificados dentro del dominio, necesarios para la
infraestructura de claves públicas (PKI) y para mantener la seguridad en las
comunicaciones.
41. Servidores RAS e IAS: Este grupo es utilizado para servidores que proporcionan
servicios de acceso remoto (RAS) y servicios de autenticación, autorización y
contabilidad (IAS). Los miembros pueden gestionar conexiones VPN y otros
servicios de red.
42. Usuarios del dominio: Este grupo contiene a todos los usuarios que tienen
cuentas en el dominio, permitiéndoles el acceso básico a los recursos y servicios
que están disponibles para usuarios de Active Directory.

1. Crear un grupo en Active Directory

 Abrir la herramienta "Usuarios y Equipos de Active Directory":

1. Haz clic en Inicio y busca Usuarios y Equipos de Active Directory.

Crear el grupo:

1. Haz clic derecho en la unidad organizativa (OU) donde quieras crear el grupo (por
ejemplo, Users), luego selecciona Nuevo > Grupo.
2. Introduce un nombre para el grupo, como por ejemplo: GD_Profesores.
3. Ámbito del grupo: Elige Dominio local si el grupo solo tendrá usuarios de la misma
unidad organizativa o dominio.
4. Tipo de grupo: Selecciona Seguridad si el grupo se va a utilizar para asignar
permisos a recursos. Si solo quieres usarlo para la distribución de correos
electrónicos, selecciona Distribución.
5. Haz clic en Aceptar.

2. Asignar un usuario al grupo

1. Agregar un usuario al grupo:

1. Haz clic derecho sobre el grupo recién creado y selecciona Propiedades.

2. Ve a la pestaña Miembros y haz clic en Agregar.
3. Escribe el nombre del usuario que deseas agregar al grupo y haz clic en Aceptar.

3. Crear una carpeta compartida

Crear la carpeta:

1. En el servidor, navega al directorio donde quieres crear la carpeta compartida (por

ejemplo, Desktop\Compartida_GD).
2. Crea una nueva carpeta llamada CarpetaCompartida (o el nombre que prefieras).

Configurar los permisos de la carpeta:

Haz clic derecho sobre la carpeta, selecciona Propiedades y ve a la

pestaña Compartir.

Haz clic en Compartir y selecciona el grupo que creaste

anteriormente, como GrupoEjemplo.
 Asegúrate de otorgar permisos adecuados, como Lectura o
Lectura/Escritura, según tus necesidades.

Luego ve a la pestaña Seguridad y agrega el mismo grupo,

asegurándote de que tenga los permisos adecuados (Lectura,
Modificar, etc.).

Si necesitas agregar el usuario específico que forma parte del grupo,

también puedes hacerlo en esta pestaña.

4. Acceder a la carpeta compartida y mostrar permisos

1.

Acceder a la carpeta:

2.

1. En una máquina cliente unida al dominio, abre el explorador de archivos y en la

barra de direcciones escribe la ruta de la carpeta compartida en formato \\
servidor\CarpetaCompartida.
2. Accede utilizando el usuario que pertenece al grupo y verifica si puede ver o
modificar los archivos según los permisos otorgados.