Exportar (0) Imprimir
Expandir todo

Grupos predeterminados

Actualizado: enero de 2005

Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Grupos predeterminados

Los grupos predeterminados, como el grupo Administradores de dominio, son grupos de seguridad que se crean automáticamente al crear un dominio de Active Directory. Estos grupos predefinidos permiten controlar el acceso a los recursos compartidos y delegar funciones administrativas específicas en todo el dominio. Para obtener información acerca de los grupos predeterminados almacenados en equipos locales, vea Grupos locales predeterminados.

A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autoriza a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar una sesión en un sistema local o efectuar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia de seguridad tiene derecho a realizar operaciones de copia de seguridad en todos los controladores del dominio.

Cuando agrega un usuario a un grupo, el primero recibe todos los derechos de usuario y permisos asignados a ese grupo en todos los recursos compartidos. Para obtener más información acerca de los derechos de usuario y los grupos de seguridad, vea Tipos de grupos.

Puede administrar los grupos con Usuarios y equipos de Active Directory. Los grupos predeterminados están ubicados en el contenedor Integrados y en el contenedor Usuarios. El contenedor Integrados contiene los grupos definidos con el ámbito local de dominio. El contenedor Usuarios contiene los grupos definidos con los ámbitos global y local del dominio. Puede mover los grupos ubicados en estos contenedores a otros grupos o unidades organizativas del dominio, pero no puede moverlos a otros dominios.

Como práctica de seguridad recomendada, se aconseja que los miembros de grupos predeterminados con múltiples accesos administrativos utilicen Ejecutar como cuando realicen tareas administrativas. Para obtener más información, vea Utilizar Ejecutar como. Para obtener información acerca de las prácticas de seguridad recomendadas, vea Prácticas recomendadas de Active Directory. Para obtener información acerca de las medidas de seguridad que se pueden utilizar para proteger Active Directory, vea Proteger Active Directory.

Nota

  • En la sección Cómo del Centro de Ayuda y soporte técnico encontrará varios temas sobre procedimientos en los que se describe a qué grupos hay que pertenecer para realizar determinados procedimientos.

Grupos del contenedor Integrados

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Integrados y se indican los derechos de usuario asignados a cada grupo. Para ver una descripción completa de los derechos de usuario que se indican en la tabla, vea Asignación de derechos de usuario. Para obtener información acerca de cómo modificar esos derechos, vea Modificar la configuración de seguridad en un objeto de directiva de grupo.

 

Grupo Descripción Derechos de usuario predeterminados

Operadores de cuentas

Los miembros de este grupo pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio. Los miembros de este grupo no tienen permiso para modificar los grupos Administradores o Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.

Permitir el inicio de sesión local; Apagar el sistema.

Administradores

Los miembros de este grupo controlan por completo todos los controladores del dominio. De forma predeterminada, los grupos Administradores del dominio y Administradores de organización son miembros del grupo Administradores. La cuenta Administrador es miembro de este grupo de forma predeterminada. Puesto que este grupo controla por completo el dominio, agregue los usuarios con cautela.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos.

Operadores de copia de seguridad

Los miembros de este grupo pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos individuales en esos archivos. Los Operadores de copia de seguridad también pueden iniciar la sesión en los controladores de dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Como este grupo tiene una autoridad considerable en los controladores de dominio, sea prudente al agregar usuarios.

Hacer copia de seguridad de archivos y directorios; Permitir el inicio de sesión local; Restaurar archivos y directorios; Apagar el sistema.

Invitados

De forma predeterminada, el grupo Invitados del dominio es un miembro de este grupo. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es un miembro predeterminado de este grupo.

No hay derechos de usuario predeterminados.

Creadores de confianza de bosque de entrada (sólo aparece en el dominio raíz del bosque)

Los miembros de este grupo pueden crear confianzas de bosque de entrada unidireccionales en el dominio raíz del bosque. Por ejemplo, los miembros de este grupo que residen en el Bosque A pueden crear una confianza de bosque de entrada unidireccional desde el Bosque B. Esta confianza de bosque de entrada unidireccional permite a los usuarios del Bosque A tener acceso a recursos ubicados en el Bosque B. Los miembros de este grupo disponen del permiso Crear confianza de bosque de entrada en el dominio raíz del bosque. Este grupo no tiene ningún miembro predeterminado. Para obtener más información acerca de cómo crear una confianza de bosque, vea Crear una relación de confianza de bosque.

No hay derechos de usuario predeterminados.

Operadores de configuración de red

Los miembros de este grupo pueden modificar la configuración TCP/IP, así como renovar y liberar las direcciones TCP/IP en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

Usuarios del Monitor de sistema

Los miembros de este grupo pueden supervisar los contadores de rendimiento en los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.

No hay derechos de usuario predeterminados.

Usuarios del registro de rendimiento

Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores.

No hay derechos de usuario predeterminados.

Acceso compatible con versiones anteriores a Windows 2000

Los miembros de este grupo tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en los equipos con Windows NT 4.0 y anteriores. De forma predeterminada, la identidad especial Todos es miembro de este grupo. Para obtener más información acerca de las identidades especiales, vea Identidades especiales. Agregue usuarios a este grupo únicamente si se ejecutan en Windows NT 4.0 o versiones anteriores.

Tener acceso a este equipo desde la red; Saltarse la comprobación de recorrido.

Operadores de impresión

Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar objetos de impresora de Active Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregue los usuarios con cautela.

Permitir el inicio de sesión local; Apagar el sistema.

Usuarios de escritorio remoto

Los miembros de este grupo pueden iniciar la sesión en los controladores del dominio de forma remota. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

Replicador

Este grupo admite funciones de replicación de directorio y el Servicio de replicación de archivos lo utiliza en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. No agregue usuarios a este grupo.

No hay derechos de usuario predeterminados.

Operadores de servidores

En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo. Este grupo no tiene ningún miembro predeterminado. Dado que este grupo tiene mucha importancia para los controladores de dominio, agregue los usuarios con cautela.

Hacer copia de seguridad de archivos y directorios; Cambiar la hora del sistema; Forzar el apagado desde un sistema remoto; Permitir el inicio de sesión local; Restaurar archivos y directorios; Apagar el sistema.

Usuarios

Los miembros de este grupo pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor. De forma predeterminada, el grupo Usuarios del dominio, Usuarios autenticados e Interactivo son miembros de este grupo. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.

No hay derechos de usuario predeterminados.

Grupos del contenedor Usuarios

En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Usuarios y se indican los derechos de usuario asignados a cada grupo. Para ver una descripción completa de los derechos de usuario que se indican en la tabla, vea Asignación de derechos de usuario. Para obtener información acerca de cómo modificar esos derechos, vea Modificar la configuración de seguridad en un objeto de directiva de grupo.

 

Grupo Descripción Derechos de usuario predeterminados

Publicadores de certificados

Los miembros de este grupo tienen permitida la publicación de certificados para usuarios y equipos. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

DnsAdmins (instalado con DNS)

Los miembros de este grupo tienen acceso administrativo al Servidor DNS. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

DnsUpdateProxy (instalado con DNS)

Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en lugar de otros clientes, como los servidores DHCP. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

Administradores de dominio

Los miembros de este grupo controlan el dominio por completo. De forma predeterminada, este grupo pasa a ser miembro del grupo Administradores en todos los controladores, estaciones de trabajo y servidores miembro del dominio en el momento en que se une al dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que el grupo controla el dominio por completo, agregue los usuarios con cautela.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos.

Equipos del dominio

Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De forma predeterminada, todas las cuentas de equipo creadas pasan a ser miembros de este grupo automáticamente.

No hay derechos de usuario predeterminados.

Controladores de dominio

Este grupo contiene todos los controladores del dominio.

No hay derechos de usuario predeterminados.

Invitados del dominio

Este grupo contiene todos los invitados del dominio.

No hay derechos de usuario predeterminados.

Usuarios del dominio

Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros de este grupo automáticamente. Este grupo se puede utilizar para representar todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo (o puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla).

No hay derechos de usuario predeterminados.

Administradores de organización (sólo aparece en el dominio raíz del bosque)

Los miembros de este grupo controlan por completo todos los dominios del bosque. De forma predeterminada, este grupo es un miembro del grupo Administradores en todos los controladores de dominio del bosque. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Dado que este grupo controla el bosque por completo, agregue los usuarios con cautela.

Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos u otros objetos.

Propietarios del creador de directiva de grupo

Los miembros de este grupo pueden modificar la Directiva de grupo en el dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.

No hay derechos de usuario predeterminados.

IIS_WPG (instalado con IIS)

El grupo IIS_WPG es el grupo de procesos de trabajo de los Servicios de Internet Information Server (IIS) 6.0. El funcionamiento de IIS 6.0 incluye procesos de trabajo para espacios de nombres específicos. Por ejemplo, www.microsoft.com es un espacio de nombres proporcionado por un proceso de trabajo, que se puede ejecutar con una identidad agregada al grupo IIS_WPG, como cuentaMicrosoft. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

Servidores RAS e IAS

Los servidores de este grupo tienen permitido el acceso a las propiedades de acceso remoto de los usuarios.

No hay derechos de usuario predeterminados.

Administradores de esquema (sólo aparece en el dominio raíz del bosque)

Los miembros de este grupo pueden modificar el esquema de Active Directory. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el bosque, sea prudente al agregar usuarios.

No hay derechos de usuario predeterminados.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft