Generando un grupo en Active Directory (es-ES)
En esta oportunidad!, me gustaria compartir con ustedes la creacion de un grupo en Active Directory, nuevamente les presento un tema que de seguro es muy facil y de trabajo diario para muchos, pero para varios de ustedes, puede ser un tema que no conozcan del todo y les gustaria conocer.
Hay formas de crear grupos en Active Directory y que veremos mas adelante, en la cual se genera mediante linea de comando, asi sea por script, por alguna Tool o PowerShell, pero en esta oportunidad, veremos como crear un grupo mediante la consola de Active Directory Users ans Computers, para lo cual, tenemos que estar trabajando desde un Domain Controller o desde un equipo donde tengamos en Windows Server 2003 o Windows XP las Herramientas Administrativas de Active Directory o en Windows Server 2008 o Superior, el Feature de Administración instalado.
Luego hacemos Start – Administrative Tools – Active Directory Users and Computers como se muestra en la siguiente pantalla:
http://leoponti.com.ar/blog/20120909/02/01.png
También podemos abrir la consola, desde Start - Run - Poniendo la llamada a la consola dsa.msc
**
**Dentro de la consola de Active Directory que abriremos, nos vamos a la OU donde queremos generar el nuevo usuario, y ahí desplegamos el menu y vamos: New - Group:
http://leoponti.com.ar/blog/20120909/02/02.png
En donde se abrirá un recuadro para completar los campos necesarios y generar el grupo que estamos necesitando.
http://leoponti.com.ar/blog/20120909/02/03.png
En el campo "Group Name", escribiremos el nombre del grupo que deseamos dar de alta y mientras completamos dicho campo, veremos que se autocompleta el campo "Group Name (pre-Windows 2000)", pero este ultimo, podemos luego modificarlo si por algún motivo lo estamos necesitando, sino podemos dejar el default donde ambos campos tengan el mismo nombre.
Group Scope: Para entender bien los tres Scope de Grupos, la visibilidad de los mismos, como se pueden convertir entre si y que grupos y/o usuarios podemos agregar en cada uno, me gustaría dejarles un link el cual tiene el cuadro comparativo y queda bien claras las diferencias entre los mismos, para que puedan seleccionar la opción que mas aplique a la necesidad del grupo que estamos generando: http://technet.microsoft.com/es-es/library/cc755692(v=ws.10).aspx **
Group Type:** En esta opción podemos seleccionar entre dos tipos de grupos, uno es "Grupo de Seguridad", el cual tiene como fin, poder dar permisos para designar perfiles en el Domain/Forest de nuestra estructura o también poder dar permisos a recursos compartidos en nuestra red, así sean recursos con información a la cual queremos habilitar accesos a los mismos o para aplicaciones determinando distintos perfiles. El otro tipo de Grupo es "Grupo de distribución", el cual nos sirve para utilizar con aplicaciones de correo, como Exchange, en donde se envían correos como "listas" internas conteniendo usuarios con sus referencias de mails para recibir información por mail, estos tipos de grupos, no los podemos utilizar dando permisos como el grupo de Seguridad, ya que no se asocian a DACLs (discretionary access control lists). Podemos pasar nuestro grupo de Seguridad a un grupo de Distribución y viceversa, siempre y cuando nuestro Domain Functional Level sea Windows Server 2000 nativo o superior, de ser una version Windows Server Mixto o inferior, no podremos realizar dicha tarea.
Completamos entonces los campos necesarios y seleccionamos las opciones que aplican según la necesidad del grupo que estamos generando como se muestra a continuación:
http://leoponti.com.ar/blog/20120909/02/04.png
También, como comente anteriormente, si bien el campo "Group Name (pre-Windows 2000)" se completa automáticamente mientras completamos el campo "Group Name", lo podemos modificar poniendo otro nombre si necesitamos customizarlo como se muestra en la siguiente pantalla:
http://leoponti.com.ar/blog/20120909/02/05.png
Finalizando, dando OK, se estará creando el grupo que estamos necesitando.
http://leoponti.com.ar/blog/20120909/02/06.png
**
Nota1:** Dentro de una misma OU, no podemos generar dos grupos cuyo "Group Name" se llamen iguales, ahora en distintas OUs, si lo podemos hacer sin problema alguno. En caso de que por error, estemos creando un grupo cuyo "Group Name" sea igual a uno ya existente en la misma OU, nos dará el siguiente error: "Windows cannot create the object ******* because: An attempt was made to add an object to the directory with a name that is already in use"
http://leoponti.com.ar/blog/20120909/02/07.png
**
Nota2:** Ahora si por error, estamos generando un grupo nuevo cuyo "Group Name (pre-Windows 2000)" se llame igual a un grupo ya existente en nuestro dominio (este en la misma o diferente OU), no lo podremos generar dándonos el siguiente error: "Windows cannot create the object ******* because: The specified group already exists"
