Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un grupo se representa como un grupo objeto en Active Directory Domain Services. En la tabla siguiente se enumeran los atributos importantes del objeto de grupo de.
| Atributo | Descripción |
|---|---|
| cn | El cn (o Common-Name) es un atributo de valor único que es el nombre distintivo relativo del objeto. El cn es el nombre del grupo en Active Directory Domain Services. Al igual que con todos los demás objetos, el cn de un grupo debe ser único entre los objetos del mismo nivel del contenedor que contiene el grupo. |
| miembro de | El atributo miembro es un atributo de varios valores que contiene la lista de nombres distintivos para los objetos de usuario, grupo y contacto que son miembros del grupo. Cada elemento de la lista es una referencia vinculada al objeto que representa el miembro; por lo tanto, el servidor de Active Directory actualiza automáticamente los nombres distintivos de la propiedad miembro cuando se mueve o cambia el nombre de un objeto miembro. |
| groupType | El atributo groupType es un atributo de valor único que es un entero que especifica el tipo de grupo y el ámbito mediante las marcas de bits siguientes:
Las tres primeras marcas especifican el ámbito de grupo. La marca ADS_GROUP_TYPE_SECURITY_ENABLED indica el tipo de grupo. Si se establece esta marca, el grupo es un grupo de seguridad. Si no se establece esta marca, el grupo es un grupo de distribución. Para obtener más información, vea tipos de grupo. |
| memberOf | El atributo memberOf es un atributo de varios valores que contiene la lista de nombres distintivos para los grupos que contienen el grupo como miembro. Este atributo enumera los grupos bajo los que el grupo está anidado directamente no contiene la lista recursiva de predecesores anidados. Por ejemplo, si el grupo D estaba anidado en el grupo C y el grupo B y el grupo B estaban anidados en el grupo A, el miembroOf atributo del grupo D enumeraría el grupo C y el grupo B, pero no el grupo A. |
| objectGUID | El atributo objectGUID es un atributo de valor único que es el identificador único del objeto. Este atributo es un identificador único global (GUID). Cuando se crea un objeto en el directorio, el servidor de Active Directory genera un GUID y lo asigna al atributo objectGUID del objetoGUID. El GUID es único en toda la empresa y en cualquier otro lugar. El objectGUID de es una estructura GUID de 128 bits almacenada como octetString. |
| objectSid | El atributo objectSid es un atributo de valor único que especifica el identificador de seguridad (SID) del grupo. El SID es un valor único que se usa para identificar el grupo como una entidad de seguridad. Es un valor binario que el sistema establece cuando se crea el grupo. Cada grupo tiene un SID único que emite el dominio windows NT/Windows 2000 Server que se almacena en el objectSid atributo del objeto de grupo en el directorio. Cada vez que un usuario inicia sesión, el sistema recupera el SID de los grupos de los que el usuario es miembro y lo coloca en el token de acceso del usuario. El sistema usa los SID en el token de acceso del usuario para identificar al usuario y a sus pertenencias a grupos en todas las interacciones posteriores con la seguridad de Windows NT/Windows 2000. Cuando se ha usado un SID como identificador único para un usuario o grupo, nunca se puede usar de nuevo para identificar a otro usuario o grupo. |
| sAMAccountName | El atributo sAMAccountName es un atributo de valor único que es el nombre de inicio de sesión que se usa para admitir clientes y servidores de una versión anterior (Windows 95, Windows 98 y LAN Manager). El sAMAccountName debe tener menos de 20 caracteres para admitir clientes y servidores de una versión anterior. El sAMAccountName debe ser único entre todos los objetos de entidad de seguridad de un dominio. |
Tipos de grupo
Hay dos tipos de grupos definidos por Active Directory Domain Services, grupos de seguridad y grupos de distribución de .
Un grupo de seguridad proporciona una agrupación lógica de objetos y el propio grupo se puede usar como entidad de seguridad en una lista de control de acceso (ACL). Cuando se concede acceso a un grupo de seguridad a un objeto, todos los miembros del grupo de seguridad reciben automáticamente el mismo acceso al objeto. Los grupos de seguridad con ámbito universal también se pueden usar como entidad de correo electrónico. Enviar un mensaje de correo electrónico a un grupo de seguridad universal envía el mensaje a todos los miembros del grupo.
Un grupo de distribución también proporciona una agrupación lógica de objetos, pero no puede proporcionar privilegios de acceso. Los grupos de distribución no están habilitados para la seguridad y no se pueden usar como entidad de seguridad en una ACL. Los grupos de distribución solo se usan con fines de agrupación. Por ejemplo, las listas de distribución se pueden usar con aplicaciones de correo electrónico, como Exchange, para enviar correo electrónico a una colección de usuarios.
Para obtener más información sobre los tipos de grupo en Active Directory Domain Services, consulte el tema tipos de grupo de sobre Microsoft TechNet.
Ámbito de grupo
Hay tres ámbitos de grupo definidos por Active Directory Domain Services, universal, global y dominio local. El ámbito del grupo define a qué tipos de objeto pueden pertenecer al grupo, a qué tipos de grupos puede pertenecer el grupo y al ámbito de los objetos a los que se puede conceder acceso a los grupos de seguridad. Cuando el nivel funcional del dominio se establece en modo mixto de Windows 2000, no se pueden crear grupos de seguridad con ámbito universal.
En la tabla siguiente se enumeran los tres ámbitos de grupo y más información sobre cada ámbito de un grupo de seguridad.
| Alcance | Posibles miembros | Conversión de ámbito | Puede conceder permisos | Posible miembro de |
|---|---|---|---|---|
| Universal |
Cuentas de cualquier dominio del mismo bosque. Grupos globales de cualquier dominio del mismo bosque. Otros grupos universales de cualquier dominio del mismo bosque. |
Se puede convertir al ámbito local del dominio. Se puede convertir al ámbito global siempre que el grupo no contenga ningún otro grupo universal. |
En cualquier dominio del mismo bosque o de confianza. |
Otros grupos universales del mismo bosque. Grupos locales de dominio en el mismo bosque o bosques de confianza. Grupos locales en máquinas del mismo bosque o bosques de confianza. |
| Global |
Cuentas del mismo dominio. Otros grupos globales del mismo dominio. |
Se puede convertir en ámbito universal siempre que el grupo no sea miembro de ningún otro grupo global. |
En cualquier dominio del mismo bosque o de dominios o bosques de confianza. |
Grupos universales de cualquier dominio del mismo bosque. Otros grupos globales del mismo dominio. Grupos locales de dominio de cualquier dominio del mismo bosque o de cualquier dominio de confianza. |
| Dominio local |
Cuentas de cualquier dominio o de cualquier dominio de confianza. Grupos globales de cualquier dominio o de cualquier dominio de confianza. Grupos universales de cualquier dominio del mismo bosque. Otros grupos locales de dominio del mismo dominio. |
Se puede convertir al ámbito universal siempre que el grupo no contenga ningún otro grupo local de dominio. |
Dentro del mismo dominio. |
Otros grupos locales de dominio del mismo dominio. Grupos locales en máquinas del mismo dominio, excepto los grupos integrados que tienen SID conocidos. |