Directivas de Usuarios
La directiva de usuario es el nivel de directiva más bajo que se puede administrar. Cada usuario tiene un archivo de configuración de directiva individual. Los cambios que se hagan en este nivel de directiva sólo se aplican al usuario que ha iniciado la sesión actual. El nivel de directiva de usuario se restringe a lo que puede especificar.

Puesto que este nivel lo puede configurar el usuario que ha iniciado la sesión actual, los administradores del nivel de directiva de empresa deben ser conscientes de que el usuario puede alterar los cambios de directiva realizados en el nivel de directiva de usuario. El nivel de directiva de usuario no puede dar a un ensamblado más permisos que los especificados en los niveles de directiva superiores. Sin embargo, el nivel de directiva de usuario puede reducir los permisos, lo que podría ocasionar que las aplicaciones dejaran de funcionar correctamente. Si se aplica el atributo LevelFinal a un grupo de código en el nivel de equipo o de empresa, el nivel de usuario no puede endurecer las decisiones de directiva tomadas en esos niveles.
La administración del nivel de usuario es adecuada en algunas situaciones para endurecer la seguridad. Por ejemplo, un usuario puede decidir endurecer la directiva de seguridad para los ensamblados cuyo origen es la zona de la intranet local si allí se encuentra código que no es de confianza. Puede considerar la posibilidad de administrar la directiva en este nivel si es un usuario en una red corporativa y piensa que la configuración de la seguridad no es lo suficientemente estricta.

Son normas que regulan qué usuarios pueden utilizar un determinado recurso compartido del sistema, esto incluye archivos, carpetas, impresoras... Determinan las tareas del sistema que puede realizar un usuario o un miembro de un grupo con el sistema operativo Windows NT. Por ejemplo: iniciar sesión en local, acceder al equipo a través de la red....

Pasos a seguir para asignar derechos a un usuario o grupo de usuarios:

1. Abrir el "Administrador de usuarios para dominios". 
2. En el menú "Directivas" seleccionamos la opción "Derechos de usuario..."
3. En la ventana "Plan de derechos de usuario" seleccionaremos los distintos derechos de la lista desplegable "Derecho" y se los concederemos a los usuarios que hayamos determinado.
4. Hacer clic en el botón "Aceptar".

Directivas de Grupo 

Es una característica de Windows NT, familia de Sistemas Operativos.
Una directiva es un conjunto de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo. Directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Aunque la Directiva de Grupo es más frecuente en el uso de entornos empresariales, es también común en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.





Las Directivas de Grupo se procesan en el orden siguiente:

1. Objetos Local Group Policy (objeto de Directiva de grupo local único. ) - Se aplica a los ajustes en la política local el equipo (acceso ejecutando gpedit.msc). Anteriores a Windows Vista, sólo había una política de grupo local almacenado por computadora. En la actualidad hay grupo de pólizas individuales ajustables por cuenta de una máquina de Windows Vista y 7.
2. Sitio (Objetos de Directiva de grupo del sitio)- A continuación, el ordenador procesa todas las políticas de grupo que se aplican al sitio que se encuentran actualmente al equipo. Si las políticas son múltiples vinculados a un sitio de estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con la menor orden de vínculos se procesa en último lugar y tiene la mayor prioridad.
3. Dominio (Objetos de Directiva de grupo del dominio) - Cualquier políticas aplicadas en el nivel de dominio (ámbito de la política por defecto) se procesan a continuación. Si las políticas son múltiples vinculados a un dominio de estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.
4. Unidad organizativa (Objetos de Directiva de grupo del departamento) - Último grupo de políticas asignado a la unidad organizativa que contiene la computadora o el usuario que se procesan. Si las políticas son múltiples vinculados a una unidad organizativa estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.

• Herencia - La herencia puede ser bloqueado o ejecutada en el control de las políticas que se aplican en cada nivel. Si un administrador de nivel superior (administrador de la empresa) crea una política que tiene la herencia bloqueada por un administrador de nivel inferior (administrador de dominio) esta política seguirá siendo procesada.

Cuando una Directiva de Grupo de Configuración de las preferencias se configura y también hay un equivalente de directiva de grupo Marco configura entonces el valor de la configuración de Directiva de grupo tendrá prioridad.

Funcionamiento de las directivas del sistemaUn archivo de directivas del sistema es una colección de valores del Registro que sobreescribe las áreas del usuario y del equipo local actuales del Registro.
Las directivas del sistema se inician a través del siguiente proceso:
Cuando un usuario inicia una sesión en un dominio desde un equipo Windows NT, el sistema operativo carga el perfil del usuario. Windows NT busca en el directorio de red compartido Netlogon del servidor de inicio de sesión el archivo NTConfig.pol.
Si el archivo Ntconfig.pol define directivas de usuario para dicho usuario, estas configuraciones se combinan con la parte del Registro correspondiente al usuario actual.
Si no hay definidas directivas de usuario para dicho usuario, pero sí las hay para grupos, las configuraciones de las directivas de los grupos a los que pertenezca el usuario se combinan con la parte del Registro correspondiente al usuario actual, en orden de prioridad. Después Windows NT combina las directivas del usuario predeterminado en el Registro.
Si las directivas del sistema no están definidas para el usuario ni para ninguno de los grupos del usuario, los valores de las directivas del usuario predeterminados se combinan en la parte del Registro de usuario actual.
Si hay directivas del sistema definidas para el equipo en el que el usuario ha iniciado sesión, esos valores de directiva se combinan en la parte correspondiente al equipo local del Registro. De lo contrario, los valores de las directivas del equipo predeterminados se combinan en la parte correspondiente al equipo local del Registro.
Las entradas del Editor de directivas del sistema cambian los valores del Registro del equipo local de las siguientes formas:
Las directivas del sistema para los usuarios modifican el subárbol HKEY_CURRENT_USER del Registro. Esto define el contenido del perfil de usuario en vigor para el usuario.
Las directivas del sistema para los equipos modifican el subárbol HKEY_LOCAL_MACHINE del Registro.

¿Qué objetos son los contenedores de las GPO’s?

Las GPO’s (Group Policy Object, objeto de directiva de grupo) pueden estar contenidas en cuatro tipos de objetos:
1.    Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).
2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.
3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.
4. Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

 Editar una GPO

Para ello abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos “Propiedades”:

En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:

Crear:
Pulsando el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que llamaremos “Pulsar CTRL+ALT+SUPR”

 

Eliminar:
Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podríamos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podrá ser utilizada más adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos “Cancelar”

 

Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesión en los equipos.

¿Cómo se definen políticas?

Si seleccionamos con el ratón la GPO que hemos creado y pulsamos el botón “Modificar” se nos abrirá una consola de directiva de grupo:

Nos desplazamos en el árbol a “Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad”:

Hacemos doble click sobre la directiva “Inicio de sesión interactivo: no requerir Ctrl.+Alt+Supr” y podremos definir ésta política como deshabilitada:

La casilla “Definir esta configuración de directiva” tiene el efecto:

Marcada	La política quedará definida con el valor seleccionado en las opciones de debajo.
Sin Marcar	La política hereda su definición o no y si está habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).

A su vez, cuando la casilla está marcada podemos elegir entre las opciones:

Habilitada	Hace que la política quede habilitada. Esto significa que se realizará la configuración que la propia política define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión.
Deshabilitada	Cuando se deshabilita la política, se impide que se realice la configuración que la propia política define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesión.

¿Cómo se vincula una política ya existente?

A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia. Realmente es creada alojándola en el dominio desde el que es creada y vinculada al contenedor desde el que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios, dominios y OU’s del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios, habiendo creado una única GPO.


Para vincular una política pulsamos “Agregar” en la pestaña “Directiva de grupo” de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente diálogo:

Seleccionamos aquí la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaña:

Pestaña	Muestra las GPO’s…
Dominios y OUs	Que están aplicadas en el dominio y sus UO’s, viéndose las OU’s como carpetas y las políticas con su icono característico. El desplegable “Buscar en” nos permite alternar entre los dominios del bosque.
Sitios	Que están aplicadas en un sitio. Con el desplegable “Buscar en” podemos cambiar entre los sitios que integran el bosque.
Toda	Que están almacenadas en un dominio. Con el desplegable “Buscar en” podemos alternar entre los dominios del bosque.

Simplemente tendremos que señalar la GPO que queramos vincular y pulsar “Aceptar” para hacerlo.

¿Cuáles son las propiedades de una GPO?

Accedemos a las propiedades de la GPO pulsando el botón “Propiedades” de la pestaña “Directiva de grupo” de las propiedades de un contenedor. En la ventana de propiedades encontramos tres pestañas:

Pestaña	Función	Captura
General	Muestra información sobre la GPO y permite deshabilitar toda la rama  de configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO, mejorando el rendimiento. Como en nuestro caso la política que obliga a hacerCTRL+ALT+SUPR para iniciar sesión es una configuración de equipo, podremos marcar la casilla que deshabilita los parámetros de configuración de usuario.
Vínculos	Permite buscar los sitios, dominios y OU’s en los que está agregada la GPO. Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el que buscamos.
Seguridad	Sirve para establecer los permisos de la GPO’. Podemos asignar permisos a los siguientes objetos: 1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados
Filtro WMI (sólo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)	Sirve para realizar búsquedas basadas en WMI de características específicas de los equipos a los que se aplica la GPO. Estas características pueden ser: 1.Un patrón de nombre de equipo 2.Tipo de Sistema Operativo 3. Nivel de Service Pack 4. Cualquier característica del equipo que podamos consultar con WQL Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus características deberían hacerlo o no. Por ello, una forma de ejecutar políticas que sólo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar políticas con filtros WMI a equipos con tan sólo XP o 2003, será necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.

GESTIÓN DE USUARIOS…

La gestión de los usuarios es, hoy en día, un área de entidad propia, en la medida en que la relación de éstos con los sistemas es crucial a la hora de asegurar un correcto funcionamiento delos servicios puestos a su disposición. En ocasiones, se da por supuesto que los usuarios son capaces de asumir cualquier incorporación tecnológica sin necesidad de soporte adicional, lo cual da lugar a problemáticas específicas.

CUENTAS (DOMINIO, LOCALES)

Una cuenta de usuario se trata de las credenciales únicas de un usuario en un dominio, ofreciéndole la posibilidad de iniciar sesión en el Dominio para tener acceso a los recursos de la red o de iniciar la sesión local en un equipo para tener acceso a los recursos locales. Cada persona que utilice la red regularmente debe tener una cuenta. Las cuentas de usuario se utilizan para controlar cómo un usuario tiene acceso al Dominio o a un equipo. Por ejemplo, puede limitar el número de horas en las que un usuario puede iniciar una sesión en el dominio, impresoras de red que puede utilizar... Es decir, gracias a las cuentas de usuario el Administrador puede controlar todo lo que un usuario puede hacer en un dominio, a través de las restricciones de su cuenta y la configuración de derechos de usuario.

Existen dos tipos de cuentas de usuario:
Cuentas creadas por nosotros como administradores del dominio: Estas cuentas contienen información acerca del usuario, incluyendo el nombre y la contraseña del usuario, permiten que el usuario inicie una sesión en la red y, con los permisos apropiados, tenga acceso a los recursos de la red.
Cuentas predefinidas o incorporadas: Se trata de cuentas creadas durante la instalación de Windows NT. Estas cuentas son:
Invitado (Guess): La cuenta incorporada Invitado se utiliza para ofrecer a los usuarios ocasionales la posibilidad de iniciar sesiones y tener acceso a los recursos del dominio o equipo local. Por ejemplo, un empleado que necesite tener acceso al equipo durante un periodo breve de tiempo. La cuenta Invitado está deshabilitada de forma predeterminada. No se debe habilitar esta cuenta en una red de alta seguridad. Para mayor seguridad, cambie el nombre de esta cuenta y asígnele una contraseña.
Administrador (Administrator): La cuenta incorporada Administrador se utiliza para administrar la configuración global del equipo y del dominio. El Administrador puede realizar todas las tareas, como la creación o modificación de cuentas de usuario y de grupo, la administración de las directivas de seguridad, la creación de impresoras, y la asignación de permisos y derechos a las cuentas de usuario para que tengan acceso a los recursos.

Otras cuentas: Dependiendo de las aplicaciones instaladas pueden aparecer más cuentas predefinidas. Por ejemplo, si instalamos el IIS se crea el usuario IUS_Server para conexiones anónimas.

Para conseguir un mayor grado de seguridad, cree una cuenta de usuario normal que pueda utilizar para realizar las tareas no administrativas, cambie el nombre de la cuenta Administrador y sólo inicie una sesión como Administrador para realizar tareas administrativas.

CREACIÓN DE CUENTAS DE USUARIO
Se pueden crear cuentas de usuario de dominio o cuentas de usuario local.
Cuenta de usuario de dominio: Una cuenta de usuario de dominio se crea mediante el Administrador de usuarios para dominios. Cuando se crea una cuenta de usuario en un dominio, la cuenta de usuario se crea siempre en la base de datos del directorio maestro del PDC del dominio. En todos los controladores de reserva (BDC) se almacena una copia de la base de datos del directorio maestro (SAM). Una vez creada la cuenta de usuario en el PDC, un usuario puede iniciar la sesión en el dominio desde cualquier equipo de la red. Pueden pasar algunos minutos hasta que las copias de la base de datos del directorio de los BDC estén sincronizadas con el PDC; esto puede impedir que los usuarios con cuentas nuevas inicien una sesión. Para sincronizar manualmente la base de datos en todos los controladores de dominio, utilizaremos el Administrador de servidores. Se pueden crear cuentas de usuario de dominio desde equipos que ejecuten Windows NT Workstation y Microsoft Windows 95 si instala las Herramientas de Windows NT Server. Las herramientas administrativas para Windows 95 y Windows NT Workstation están incluidas en el CD-ROM de instalación de Windows NT Server 4.0 en la ruta: \Clients\Srvtools\Win95 o \Clients\Srvtools\Winnt.

Cuenta de usuario local: Las cuentas de usuario locales se crean en un servidor miembro o en un equipo que ejecute Microsoft Windows NT Workstation, mediante el Administrador de usuarios. Cuando crea una cuenta de usuario local, se crea sólo en la base de datos del directorio local del equipo. Con una cuenta de usuario local, un usuario puede iniciar una sesión y tener acceso únicamente a los recursos de dicho equipo.

CREACIÓN DE CUANTAS DE USUARIO PARA UN DOMINIO

• Iniciar el Administrador de usuarios para dominios. Menú Usuario – Seleccionar Usuario nuevo...

• Rellenar los siguientes campos.

Nombre de usuario: Escribir un nombre único basado en la convención de nombres adoptada. Este campo es obligatorio.
Nombre completo: El nombre completo del usuario es útil para determinar la persona a la que pertenece una cuenta. Es opcional.
Descripción: Una descripción que nos sea útil para identificar a los usuarios. Puede ser el cargo, el departamento o la ubicación en la oficina. Es opcional.
Contraseña: Una contraseña, si vamos a controlar la contraseña de la cuenta. No hay por qué asignar una contraseña a una cuenta; sin embargo, para mayor seguridad nos aseguraremos siempre de que el usuario cambie su contraseña en su primer inicio de sesión. La contraseña no se presenta. Está representada por una serie de catorce asteriscos una vez escrita, cualquiera que sea su longitud. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una contraseña. 

Como administradores deberemos decidir si la contraseña de la cuenta de usuario la determina el administrador o el usuario además de tener en cuenta los siguientes puntos:

Asignar siempre una contraseña a la cuenta Administrador.
-Determinar quién controlará la contraseña.
-Decidir si una contraseña tiene que caducar.
-Educar a los usuarios sobre las maneras de proteger y escribir sus contraseñas.
-Evitar utilizar asociaciones obvias, como el nombre de algún familiar.
-Utilizar una contraseña larga. Las contraseñas pueden tener una longitud de hasta 14 caracteres.
-Utilizar letras mayúsculas y minúsculas. Las contraseñas distinguen entre mayúsculas y minúsculas. Por ejemplo, la contraseña SECRETA es diferente de secreta.
Repetir contraseña: Escriba la contraseña una segunda vez para asegurarse de que ha escrito correctamente la contraseña. Es obligatorio si se ha introducido una contraseña.

Hacer clic para activar o desactivar las siguientes casillas de verificación.

• El usuario debe cambiar la contraseña en el siguiente inicio: Quiere que los usuarios cambien su contraseña la primera vez que inicien sesión (activada de forma predeterminada). Esto asegura que el usuario es la única persona que sabe su contraseña. El usuario se está haciendo cargo de su contraseña.
• El usuario no puede cambiar la contraseña: Cuando hay más de una persona que utiliza la misma cuenta de usuario, como la del Invitado, o porque el Administrador quiere mantener el control sobre las contraseñas de usuario.
• La contraseña nunca caduca: Se trata de una cuenta de usuario para la que deseamos que la contraseña no cambie nunca. Por ejemplo, cuentas de usuario utilizadas para tareas de administración, como puede ser el propio Administrador. Esta opción ignora la selección de El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
• Cuenta desactivada: Con esta opción se consigue evitar temporalmente el uso de una cuenta; por ejemplo, si un empleado toma unas vacaciones, podemos desactivar su cuenta.

GRUPOS GLOBALES Y LOCALES
Un grupo es un conjunto de cuentas de usuario. La asignación de una cuenta de usuario a un grupo concede a éste todos los derechos y permisos concedidos al grupo. Los grupos simplifican la administración al proporcionar un método fácil para conceder derechos comunes a múltiples usuarios simultáneamente. Por ejemplo, si los usuarios Profesor_1, Profesor_2 y Profesor_3 necesitan acceder a un recurso compartido de nuestra red llamado Cursos, en lugar de asignar a cada uno de ellos derechos sobre el recurso nos podemos crear un grupo llamado Monitores, añadir a dicho grupo los tres usuarios y darle al grupo derechos para acceder al recurso Cursos. Esto, que en este caso puede parecer innecesario, no lo es, dado que si en algún momento hacemos cambios en la red que puedan producir la pérdida de las asignaciones de derechos sobre los recursos, nos será mucho más fácil recomponer los accesos. Es más sencillo asignarle al grupo monitores (grupo que tiene un nombre más fácilmente relacionable con el recurso) que acordarnos de todos y cada uno de los usuarios que tenían derechos de acceso al recurso compartido sin que se nos olvide ninguno. Por tanto, los grupos simplifican la administración al proporcionar un método fácil para conceder capacidades comunes a múltiples usuarios. La administración de grupos se realiza con la herramienta administrativa:Administrador de Usuarios para Dominios (o Administrador de Usuarios, si se trata de Windows NT Workstation o de un Servidor Independiente). Microsoft distingue entre dos tipos de grupos: locales y globales.

Grupos Locales

Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un recurso de la red. Recordemos que los permisos son normas que regulan qué usuarios pueden emplear un recurso como, por ejemplo, una carpeta, un archivo o una impresora. Los grupos locales también se utilizan para proporcionar a los usuarios los derechos para realizar tareas del sistema tales como el cambio de hora de un equipo o la copia de seguridad y la restauración de archivos. Los grupos locales están formados por usuarios y grupos que pueden proceder tanto del dominio en que se crearon y residen las cuentas, como de otros dominios, si tenemos establecidas relaciones de confianza. No pueden incluir ningún grupo local y sólo se les puede asignar permisos y derecho sobre recursos del Domino local. Windows NT incluye varios grupos locales ya creados, diseñados especialmente para asignar derechos a los usuarios. Los grupos incorporados con Windows NT son grupos "predefinidos" que tienen un conjunto predeterminado de derechos de usuario.

Grupos Globales

Los grupos globales se utilizan para organizar cuentas de usuario del dominio, normalmente por función o ubicación geográfica. Se suelen usar, en redes con múltiples dominios. Cuando los usuarios de un dominio necesitan tener acceso a los recursos existentes en otro dominio, se agregarán a un grupo local del otro dominio para conceder derechos a sus miembros. Se tienen que crear en un controlador del dominio en el que residen las cuentas de los usuarios. Los grupos globales están formados sólo por usuarios de un mismo dominio (del mismo en que reside el grupo) y no pueden contener ningún tipo de grupos.

RESUMEN DE LAS CARACTERÍSTICAS DE LOS GRUPOS LOCALES Y GLOBALES
Grupos locales	Grupos globales
Proporcionan a los usuarios permisos o derechos.	Organizan los usuarios del dominio.
Pueden incluir (de cualquier dominio): – Cuentas de usuario – Grupos globales	Sólo pueden incluir cuentas de usuario del dominio en el que residen.
No pueden incluir ningún otro local.	No pueden contener ningún grupo local ni global.
Tienen asignados permisos y derechos en el dominio local.	Se agregan a un grupo local para conceder derechos y permisos a sus miembros.
En Windows NT Workstation o en servidores miembro, sólo se pueden asignar derechos y permisos a recursos locales.	No se asignan a recursos locales.
En un PDC, pueden tener asignados recursos de cualquier controlador del dominio.	Es necesario crearlos en el PDC del dominio donde residen las cuentas.

CREACIÓN DE GRUPOS GLOBALES Y LOCALES

En Windows NT Server, los grupos locales y globales se crean mediante el "Administrador de usuarios para dominios". En Windows NT Workstation, los grupos locales se crean con el "Administrador de usuarios", y no se pueden crear grupos globales. Al crear los grupos locales y globales se deben cumplir las reglas siguientes:

1.- El usuario debe ser miembro del grupo Administradores, Administradores del dominio u Operadores de cuentas.
2. Se pueden crear un grupo local en cualquier equipo que ejecute Windows NT.
3. Se debe crear un grupo global en un PDC, pero se puede crear desde cualquier equipo que ejecute el Administrador de usuarios para dominios. Esto incluye:
o Un controlador de reserva (BDC).
o Un servidor miembro que forme parte del dominio.
o Un equipo que ejecute Windows NT Workstation o Microsoft Windows 95/98 y que tenga instaladas las Herramientas Administrativas del servidor.
4. Los nombres del grupo deben ser exclusivos para el Dominio. No pueden ser idénticos a otros nombres de usuarios o de grupos.

CREACIÓN DE GRUPOS GLOBALES
Para crear un grupo global:

1. En el menú Usuario, hacer clic en Grupo global nuevo. Aparecerá el cuadro de diálogoGrupo global nuevo.
2. En el cuadro Nombre de grupo, escribir el nombre del grupo. Dicho nombre:
· Puede contener cualquier carácter, en mayúsculas o minúsculas, salvo los siguientes: " / \ [ ] : ; =, + ? < >
· Deberá ser descriptivo de la función del grupo.
· Tendrá un máximo de 20 caracteres.
3. En el cuadro Descripción, escribir una descripción del grupo. Aunque es opcional, esta descripción puede resultar útil para identificar la función de un grupo.
4. En la lista No son miembros, seleccionar los usuarios que deseemos que pertenezcan al grupo.
5. Hacer clic en Agregar. Los usuarios seleccionados aparecerán en la lista Miembros.
6. Haga clic en Aceptar para crear el grupo global que contenga a todos los usuarios agregados como miembros.

CREACIÓN DE GRUPOS LOCALES 


Para crear un grupo local:
1. En el menú Usuario, haga clic en Grupo local nuevo. Aparecerá el cuadro de diálogo "Grupo local nuevo".
2. En el cuadro Nombre de grupo, escribir un nombre descriptivo exclusivo para el grupo. Dicho nombre:
· Deberá describir la función del grupo.
· Puede contener cualquier carácter, en mayúsculas o minúsculas, salvo la barra invertida (\).
· Puede tener 256 caracteres de longitud como máximo; sin embargo, en la mayoría de las ventanas sólo aparecerán los 22 caracteres primeros.
3. En el cuadro Descripción, escriba una descripción del grupo y después haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar usuarios y grupos.
4. En la lista Nombres, seleccionaremos las cuentas de usuario o de grupo global del dominio local que deseemos agregar al grupo.
5. Para agregar grupos globales de otro dominio, en el cuadro Mostrar nombres en, seleccionaremos el dominio y después los grupos globales. El asterisco indica el dominio actual. En el cuadro Mostrar nombre en sólo aparecen los dominios en que se confía.
6. Hacer clic en Agregar y después en Aceptar.
7. Hacer clic en Aceptar en el cuadro de diálogo Grupo local nuevo para crear el grupo local.