Leer en inglés

Compartir a través de


Objetos de grupo

Un grupo se representa como un objeto de grupo en Servicios de dominio de Active Directory. En la tabla siguiente se enumeran los atributos importantes del objeto group .

Atributo Descripción
Cn Cn (o Common-Name) es un atributo de valor único que es el nombre distintivo relativo del objeto. Cn es el nombre del grupo en Servicios de dominio de Active Directory. Al igual que con todos los demás objetos, el cn de un grupo debe ser único entre los objetos del mismo nivel del contenedor que contiene el grupo.
member El atributo miembro es un atributo de varios valores que contiene la lista de nombres distintivos para los objetos de usuario, grupo y contacto que son miembros del grupo. Cada elemento de la lista es una referencia vinculada al objeto que representa el miembro; por lo tanto, el servidor de Active Directory actualiza automáticamente los nombres distintivos de la propiedad miembro cuando se mueve o se cambia el nombre de un objeto miembro.
groupType El atributo groupType es un atributo de valor único que es un entero que especifica el tipo de grupo y el ámbito mediante las marcas de bits siguientes:
  • ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP
  • ADS_GROUP_TYPE_GLOBAL_GROUP
  • ADS_GROUP_TYPE_UNIVERSAL_GROUP
  • ADS_GROUP_TYPE_SECURITY_ENABLED

Las tres primeras marcas especifican el ámbito del grupo. La marca ADS_GROUP_TYPE_SECURITY_ENABLED indica el tipo de grupo. Si se establece esta marca, el grupo es un grupo de seguridad. Si no se establece esta marca, el grupo es un grupo de distribución. Para obtener más información, vea Tipos de grupo.
memberOf El atributo memberOf es un atributo de varios valores que contiene la lista de nombres distintivos para los grupos que contienen el grupo como miembro. Este atributo enumera los grupos bajo los que el grupo está anidado directamente no contiene la lista recursiva de predecesores anidados. Por ejemplo, si el grupo D estaba anidado en el grupo C y el grupo B y el grupo B estaban anidados en el grupo A, el atributo memberOf del grupo D enumeraría el grupo C y el grupo B, pero no el grupo A.
objectGUID El atributo objectGUID es un atributo de valor único que es el identificador único del objeto. Este atributo es un identificador único global (GUID). Cuando se crea un objeto en el directorio, el servidor de Active Directory genera un GUID y lo asigna al atributo objectGUID del objeto. El GUID es único en toda la empresa y en cualquier otro lugar.
ObjectGUID es una estructura GUID de 128 bits almacenada como octetString.
objectSid El atributo objectSid es un atributo de valor único que especifica el identificador de seguridad (SID) del grupo. El SID es un valor único que se usa para identificar el grupo como una entidad de seguridad. Es un valor binario que el sistema establece cuando se crea el grupo.
Cada grupo tiene un SID único que emite el dominio de Windows NT/Windows 2000 Server que se almacena en el atributo objectSid del objeto de grupo en el directorio. Cada vez que un usuario inicia sesión, el sistema recupera el SID de los grupos de los que el usuario es miembro y lo coloca en el token de acceso del usuario. El sistema usa los SID en el token de acceso del usuario para identificar al usuario y sus pertenencias a grupos en todas las interacciones posteriores con la seguridad de Windows NT/Windows 2000.
Cuando se ha usado un SID como identificador único para un usuario o grupo, nunca se puede usar de nuevo para identificar a otro usuario o grupo.
Samaccountname El atributo sAMAccountName es un atributo de valor único que es el nombre de inicio de sesión que se usa para admitir clientes y servidores de una versión anterior (Windows 95, Windows 98 y LAN Manager). SAMAccountName debe tener menos de 20 caracteres para admitir clientes y servidores de una versión anterior.
sAMAccountName debe ser único entre todos los objetos de entidad de seguridad de un dominio.

Tipos de grupo

Hay dos tipos de grupos definidos por Servicios de dominio de Active Directory, grupos de seguridad y grupos de distribución.

Un grupo de seguridad proporciona una agrupación lógica de objetos y el propio grupo se puede usar como entidad de seguridad en una lista de Access Control (ACL). Cuando se concede acceso a un grupo de seguridad a un objeto, todos los miembros del grupo de seguridad reciben automáticamente el mismo acceso al objeto. Los grupos de seguridad con ámbito universal también se pueden usar como entidad de correo electrónico. El envío de un mensaje de correo electrónico a un grupo de seguridad universal envía el mensaje a todos los miembros del grupo.

Un grupo de distribución también proporciona una agrupación lógica de objetos, pero no puede proporcionar privilegios de acceso. Los grupos de distribución no están habilitados para la seguridad y no se pueden usar como entidad de seguridad en una ACL. Los grupos de distribución solo se usan con fines de agrupación. Por ejemplo, las listas de distribución se pueden usar con aplicaciones de correo electrónico, como Exchange, para enviar correo electrónico a una colección de usuarios.

Para obtener más información sobre los tipos de grupo en Servicios de dominio de Active Directory, vea el tema Tipos de grupo en Microsoft TechNet.

Ámbito de grupo

Hay tres ámbitos de grupo definidos por Servicios de dominio de Active Directory, Universal, Global y Domain Local. El ámbito del grupo define a qué tipos de objeto pueden pertenecer al grupo, a qué tipos de grupos puede ser miembro y al ámbito de los objetos a los que se puede conceder acceso a los grupos de seguridad. Cuando el nivel funcional de dominio se establece en modo mixto de Windows 2000, no se pueden crear grupos de seguridad con ámbito universal.

En la tabla siguiente se enumeran los tres ámbitos de grupo y más información sobre cada ámbito de un grupo de seguridad.

Ámbito Miembros posibles Conversión de ámbito Puede conceder permisos Posible miembro de
Universal
Cuentas de cualquier dominio del mismo bosque.
Grupos globales de cualquier dominio del mismo bosque.
Otros grupos universales de cualquier dominio del mismo bosque.
Se puede convertir al ámbito local del dominio.
Se puede convertir en ámbito global siempre que el grupo no contenga ningún otro grupo universal.
En cualquier dominio del mismo bosque o de confianza.
Otros grupos universales del mismo bosque.
Grupos locales de dominio en el mismo bosque o bosques de confianza.
Grupos locales en máquinas del mismo bosque o bosques de confianza.
Global
Cuentas del mismo dominio.
Otros grupos globales del mismo dominio.
Se puede convertir al ámbito universal siempre que el grupo no sea miembro de ningún otro grupo global.
En cualquier dominio del mismo bosque o de dominios o bosques de confianza.
Grupos universales de cualquier dominio del mismo bosque.
Otros grupos globales del mismo dominio.
Grupos locales de dominio de cualquier dominio del mismo bosque o de cualquier dominio de confianza.
Dominio local
Cuentas de cualquier dominio o dominio de confianza.
Grupos globales de cualquier dominio o dominio de confianza.
Grupos universales de cualquier dominio del mismo bosque.
Otros grupos locales de dominio del mismo dominio.
Se puede convertir en ámbito universal siempre que el grupo no contenga ningún otro grupo local de dominio.
Dentro del mismo dominio.
Otros grupos locales de dominio del mismo dominio.
Grupos locales en máquinas del mismo dominio, excepto los grupos integrados que tienen SID conocidos.