Como administrador asistente, puede utilizar DRA para gestionar grupos y modificar sus propiedades. Los grupos permiten conceder permisos específicos a un conjunto definido de cuentas de usuario. Los grupos permiten controlar a qué datos y recursos puede acceder una cuenta de usuario en cualquier dominio.
Puede gestionar grupos de cualquier tipo y ámbito. Por ejemplo, puede anidar grupos, lo que permite que un grupo pueda heredar permisos de otros grupos. También puede controlar de forma eficaz las pertenencias a grupos en dominios mediante la adición de grupos de dominios de confianza a otros grupos en el dominio gestionado y la administración de asignaciones de grupos temporales.
Para obtener más información sobre cómo gestionar grupos, consulte los siguientes temas:
En esta sección, se le guiará por el proceso de administración de grupos en la consola de delegación y configuración a través del nodo Gestión de cuentas y recursos. Con los poderes adecuados, puede realizar varias tareas de administración de grupos, como modificar las pertenencias a grupos. Si selecciona varios grupos, puede realizar las tareas seleccionadas en una única operación, como mover o añadir miembros a un grupo, o suprimirlos de este. El menú Tareas indica las tareas que puede llevar a cabo al seleccionar una o varios grupos.
Puede añadir cuentas de usuario, contactos y equipos a un grupo gestionado.
NOTA:Esta tarea añade varias cuentas al grupo seleccionado. Puede añadir una única cuenta a un grupo. Para ello, seleccione la cuenta adecuada y, a continuación, haga clic en Añadir a grupos en el menú Tareas.
Si la adición de una cuenta a otro grupo aumenta sus poderes en la cuenta, DRA no le permitirá añadirla.
Puede anidar grupos mediante la adición de un grupo a otro grupo gestionado. Si un grupo se ha anidado en otro grupo, el grupo secundario puede heredar permisos del grupo principal.
NOTA:Si la adición de un grupo a otro aumenta sus poderes en el grupo de origen, DRA no le permitirá añadirlo.
Puede modificar las propiedades de los grupos locales y globales. Los poderes de los que disponga determinarán las propiedades que puede modificar para un grupo en el dominio o el subárbol gestionados. Si ha instalado Exchange y ha habilitado la compatibilidad con Microsoft Exchange, puede modificar las propiedades de la lista de distribución mientras gestiona grupos.
Puede crear un grupo en el dominio o el subárbol gestionados. También puede modificar las propiedades del nuevo grupo como, por ejemplo, los miembros del grupo.
NOTA:
Es posible que en su empresa se aplique una convención de nomenclatura mediante una directiva que determina el nombre que puede asignar al nuevo grupo.
Por defecto, DRA coloca el nuevo grupo en la unidad administrativa Usuarios del dominio gestionado.
Puede añadir o eliminar cuentas de usuario, contactos, equipos u otros grupos en el grupo gestionado. DRA solo permite eliminar entidades de seguridad externas. También puede ver o modificar las propiedades de los miembros de grupo existentes, excepto las entidades de seguridad externas.
Al eliminar miembros de un grupo, DRA no suprime los objetos. Al añadir miembros a un grupo, debe disponer del poder para modificar los objetos que desea añadir.
NOTA:No puede añadir cuentas de usuario o grupos a ninguno de los grupos especiales de Windows (Administradores, Operadores de cuentas, Operadores de copia de seguridad u Operadores de servidor) a menos que sea un administrador de Windows o un miembro de ese grupo especial específico.
Puede añadir o eliminar un grupo en otros grupos en el dominio o el subárbol gestionados. También puede ver o modificar las propiedades de los grupos existentes a los que pertenece este grupo.
Puede definir permisos de seguridad de Active Directory para las pertenencias a grupos. Estos permisos especifican quién puede ver (leer) y modificar (escribir) las pertenencias a grupos mediante Microsoft Outlook. Esta configuración permite proteger de forma más eficaz listas de distribución y grupos de seguridad en el entorno. No se pueden modificar los permisos de seguridad heredados.
NOTA:Al gestionar la seguridad de la pertenencia a grupo, los permisos inhabilitados pueden indicar permisos heredados.
Puede definir la propiedad de cualquier grupo de distribución o seguridad de Microsoft Windows. Puede otorgar el permiso de propiedad del grupo a una cuenta de usuario, un grupo o un contacto. Al otorgar la propiedad del grupo, la cuenta de usuario, el grupo o el contacto especificados modifican la pertenencia a ese grupo.
NOTA:DRA inhabilita la casilla de verificación Manager can update membership list (El gestor puede actualizar la lista de miembros) cuando la pertenencia al grupo está oculta para el servidor de Microsoft Exchange. Para habilitar esta casilla de verificación, haga clic en Expose Group Membership (Mostrar pertenencia a grupo) en la pestaña Exchange de la ventana Group Properties (Propiedades del grupo).
Puede clonar grupos tanto locales como globales en los dominios gestionados. La clonación de grupos crea nuevos grupos del mismo tipo y con los mismos atributos que el grupo original. DRA también intenta añadir todos los miembros del grupo original al nuevo grupo.
Al clonar un grupo, puede crear rápidamente grupos basados en otros con propiedades similares. Al clonar un grupo, DRA incluye los valores del grupo seleccionado en el Asistente para clonar grupos. También puede modificar las propiedades del nuevo grupo.
NOTA:
Es posible que en su empresa se aplique una convención de nomenclatura mediante una directiva que determina el nombre que puede asignar al nuevo grupo.
Por defecto, DRA coloca el nuevo grupo en la unidad administrativa Usuarios del dominio gestionado.
Puede suprimir grupos locales y globales en el dominio o el subárbol gestionados. Si se ha inhabilitado la Papelera para ese dominio, al suprimir un grupo, este se elimina de forma permanente de Active Directory. Si la Papelera se ha habilitado para ese dominio, al suprimir un grupo, este se transfiere a la Papelera y se desactivan las propiedades del grupo.
Para obtener más información sobre la Papelera, consulte Gestionar la Papelera.
ADVERTENCIA:Al crear un grupo, Microsoft Windows asigna un identificador de seguridad (SID) a ese grupo. El SID no se genera a partir del nombre del grupo. Microsoft Windows utiliza los SID para registrar privilegios en listas de control de acceso (ACL) para cada recurso. Si suprime un grupo, no puede devolver las funciones de acceso de ese grupo mediante la creación de un nuevo grupo con el mismo nombre.
Puede mover un grupo a otro contenedor, como una unidad administrativa, en el dominio o el subárbol gestionados.
Puede visualizar las pertenencias a grupos en listas de distribución de los grupos en el dominio o el subárbol gestionados.
Puede ocultar las pertenencias a grupos en listas de distribución de los grupos en el dominio o el subárbol gestionados.
Las asignaciones temporales de grupos permiten gestionar la pertenencia a un grupo para usuarios que solo la necesitan durante un periodo específico. En esta sección, se le guiará por el proceso de administración de asignaciones temporales de grupos en el nodo Gestión de cuentas y recursos de la consola de delegación y configuración. Con los poderes adecuados, puede realizar tareas, como crear asignaciones temporales de grupos o eliminar las asignaciones temporales de grupos caducadas.
Los administradores asistentes solo pueden ver las asignaciones temporales de grupos de los grupos para los que el administrador asistente tenga poderes para añadir o eliminar miembros.
No se puede cambiar el grupo asociado o modificar la lista de usuarios mientras la asignación temporal de grupo presenta el estado Activo. Si desea modificar estos elementos, debe cancelar la asignación temporal de grupo.
Puede gestionar las propiedades de las asignaciones temporales de grupos o de las asignaciones temporales de grupos guardadas que han caducado.
Si desea volver a programar una asignación temporal de grupo, cambie la programación en las Propiedades de la asignación y guarde los cambios.
Puede crear cualquier asignación temporal de grupo en los servidores de administración principal y secundarios.
Por defecto, cuando caduca una asignación temporal de grupo, esta se suprime después de siete días, a menos que haya seleccionado la opción Mantener esta asignación temporal de grupo para utilizarla en el futuro. Para cambiar este periodo de conservación, haga clic con el botón derecho en el nodo Asignación temporal de grupo en Todos mis objetos gestionados, seleccione Propiedades y modifique el número de días que se conservarán las asignaciones temporales de grupos.
Puede añadir o eliminar cuentas de usuario de asignaciones temporales de grupos en los servidores de administración principal y secundarios.
NOTA:Solo puede gestionar cuentas de usuario para asignaciones temporales de grupos que aún no estén activas.
Puede suprimir cualquier asignación temporal de grupo en los servidores de administración principal y secundarios.
Las asignaciones temporales de grupos permiten gestionar la pertenencia a un grupo para usuarios que la necesitan durante un periodo específico. En la consola Web, puede crear y gestionar asignaciones tanto desde los servidores DRA principal y secundarios. Sin embargo, las acciones que se pueden llevar a cabo en las asignaciones existentes varían en función del estado de la asignación.
Los administradores asistentes solo pueden ver las asignaciones temporales de grupos de grupos para los que tienen poderes para modificar mediante sus asignaciones de ActiveView, como añadir o eliminar miembros del grupo.
Para gestionar las asignaciones temporales de grupos en la consola Web, vaya a Tareas > Asignaciones de grupo temporales.
Puede llevar a cabo las siguientes acciones:
Al buscar asignaciones temporales de grupos (TGA), estas se enumeran en los resultados según el estado de la asignación, entre los que se incluyen:
Pendiente: la TGA se ha programado para iniciarse en el futuro. Puede llevar a cabo operaciones de cancelación, supresión y reprogramación.
Activo: la TGA se ha iniciado y ha añadido los miembros correspondientes al grupo. Puede llevar a cabo operaciones de cancelación y supresión.
Activo con error: la TGA se ha iniciado, pero no ha podido añadir todos los miembros correspondientes al grupo. Puede llevar a cabo operaciones de cancelación y supresión.
Finalizado: la TGA ha caducado y ha eliminado todos los miembros correspondientes del grupo. Puede llevar a cabo operaciones de supresión y reprogramación.
Completado con error: la TGA ha caducado, pero no ha podido eliminar todos los miembros correspondientes del grupo. Puede llevar a cabo operaciones de supresión y reprogramación.
Cancelado: el usuario ha cancelado la TGA y esta ha eliminado todos los miembros correspondientes del grupo. Puede llevar a cabo operaciones de supresión y reprogramación.
Cancelado con error: el usuario ha cancelado la TGA, pero esta no ha podido eliminar todos los miembros correspondientes del grupo. Puede llevar a cabo operaciones de supresión y reprogramación.
Error: la TGA no ha podido añadir o eliminar todos los miembros. Puede llevar a cabo operaciones de supresión y reprogramación.
Puede filtrar los resultados en función de estos estados y otros criterios, incluidos el nombre de la tarea, el grupo de destino, la duración y el administrador que creó la asignación.
Puede crear asignaciones temporales de grupos mediante grupos para los que tiene los poderes para modificar y también especificar el controlador de dominio. Cuando caduca la asignación temporal de grupo, DRA la suprime automáticamente después de siete días, a menos que seleccione la opción para conservar la asignación temporal de grupo para utilizarla en el futuro.
Puede ver o modificar cualquiera de las asignaciones temporales de grupos que se definieron cuando se creó la asignación temporal de grupo. Después de ejecutar una búsqueda de asignaciones temporales de grupo, seleccione una asignación para ver o modificar sus propiedades.
Si desea volver a programar una asignación temporal de grupo, cambie la programación en las Propiedades de la asignación y guarde los cambios. Si la asignación presenta el estado Activo, solo puede cambiar la fecha de finalización.
IMPORTANTE:Es posible que no pueda cambiar el grupo asociado o modificar la lista de usuarios mientras la asignación temporal de grupo presente el estado Activo. Si desea modificar estos elementos, debe cancelar primero la asignación.
Solo puede cancelar una asignación temporal de grupo si presenta uno de los siguientes estados:
Activo
Activo con error
Pendiente
Puede seleccionar varias asignaciones temporales de grupos y suprimirlas. Si las asignaciones temporales de grupo seleccionadas presentan el estado Activo, Activo con error o Pendiente, la opción Cancelar también está habilitada.