Grupos predeterminados del sistema e identidades
Vamos recorda una cosa importante a la que nadie normalmente presta mucha atención esto son los grupos prederterminado que se crean un directorio activo.
•Enterprise Admin ( Situados dentro del contenedor users en el dominio principal del bosque ): Es grupo del miembro administradores de todos los dominios del bosque dando por lo tanto un acceso completo a dicho bosque permitiendo por lo tanto modificar el esquema del direcotio activo y tener control total en todo el bosque.
•Schema Admin (Situados dentro del contenedor users el dominio principal del bosque ): Este grupo tiene control total sobre el esquema del directorio activo, puediendo manipularlo, modificarlo y borrar partes de este.
•Amdinistrators ( Situado en Building contenedor de cada uno de los dominios del bosque ): Este grupo tiene permisos de administrador en todo los datos de los controladores de dominio de su dominio. Este grupo puede introducirse dentro del grupo administradores de empresa si quieres que los administradores administren y tengan permisos dentro de todo el bosque. Por ello este grupo ya está dentro de Enterprise Admin, Schema Admin y domain admin. Este grupo como ya conocemos es el más poderoso dentro del dominio.
•Domain Admin ( Situado dentro de Users de cada dominio ): Este es administrador del dominio en el que está situado. Pero hereda todas los permisos del grupo administrardores. Este es el que se usa para administrar todas las máquinas de dominio, en este grupo se crearán estos usuarios, los que administren máquinas.
•Server Operator: ( Situado en Building Contenedor): Puede realizar tareas de mantenimiento en los controladores de dominio y puede hacer logon en local en los controladores, parar y arrancar servicios, hacer tareas de backups y restores, formatear discos, crear y borrar carpetas compartidas y apagar los controldores. Por defecto este grupo no es miembro de ningun otro grupo.
•Account Operator ( Situado dentro de Building ): Puede crear, modificar y borrar cuentas de usuarios, grupos y máquinas locales en cualquier OU del dominio. Por defecto no está anidado con otros grupos.
•Backups Operator ( Situado dentro de Building en cada dominio ): Este grupo puede hacer backups, restores y apagar dichos controladores.
•Print Operators ( Situado en Building ): Puede consultar las colas de impresión y apagar las máquinas en local.
Diferenciando los grupos unos de otros los grupos anteriores facilitaban a una cuenta unos determinados permisos para operar en el dominio, bien, pues hay otros grupos que son los que se encargar más que de los permisos, de proporcionar identidades a las cuentas de manera que sean identificadas para servicios y recursos.
•Anonymous Logon: Es una cuenta facilitada que no tiene ni usuario ni contraseña. Este grupo es miembreo del grupo “everyone”.
•Authenticated Users: Representa a identidades que han sido autenticadas y que pueden pertenercer a cualquiera de las otras identidades o grupos.
•Everyone: Incluye autentificación para el usuario invitado este grupo pertenece a Anonymous Logon, son grupos que van muy a la par.
•Interactive: Son usuarios que pueden acceder a recursos locales de la máquina y a sus recursos. Cuando entras en una maquina con un usuario dicho usuario es automáticamente añadido al grupo Interactice. Interactive también se utilizar con los usuarios que autentican bajo terminal service.
•Network: Son usuarios que puedenacceder a recursos de red es el opuesto a Interactive. Cuando un usuario autentica en local automáticamente es añadido a este grupo.
Estos dos últimos grupos tiene el siguiente sentido. Imaginemos que queremos dar permisos a un usuario para que no entre en una carpeta cuando inicia sesión en local. Bien, pues tendríamos que usar dicho grupo, denegando los permisos al usuario de dominio para este grupo Interactive para esa carpeta, así cuando entrase, no podría acceder a dicha carpeta en local.
IvanZito
( Algo de teoría nunca viene mal )
