Usuarios y Grupos en redes, Permisos efectivos Primero un poco de teoría https://msdn.microsoft.com/es-es/library/cc758565(v=ws.10).aspx
Unidades organizativas La unidad organizativa es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos, en función de su modelo organizativo. Para obtener más información acerca de la configuración de Directiva de grupo, vea Directiva de grupo (pre-GPMC).
Como se muestra en la ilustración, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas permiten a disminuir el número de dominios necesarios en una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o sólo para una de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Para obtener más información acerca de cómo delegar la autoridad administrativa, vea Delegar la administración. En un entorno de Active Directory, se vinculan los GPO a sitios, dominios o unidades organizativas para asignar valores de configuración de directiva de grupo. Normalmente, se asignan GPO en el nivel de unidad organizativa; por tanto, debe asegurarse de que la estructura de la unidad organizativa admite la estrategia de administración de clientes basada en una directiva de grupo. También puede aplicar algunos valores de configuración de directiva de grupo en el nivel de dominio, por ejemplo las directivas de contraseña. Muy pocos valores de configuración se aplican en el nivel de sitio. Una estructura de unidades organizativas bien diseñada que refleje la estructura administrativa de la organización y aproveche las ventajas de la herencia de GPO simplifica la aplicación de la directiva de grupo. Por ejemplo, una estructura de unidades organizativas bien diseñada puede evitar que se dupliquen determinados objetos GPO, de forma que puede aplicar estos GPO a diferentes partes de la organización. Si es posible, cree unidades organizativas para delegar la autoridad administrativa y facilitar la implementación de la directiva de grupo. El diseño de unidades organizativas requiere equilibrar los requisitos de delegación de derechos administrativos independientes de las necesidades de directiva de grupo, así como la necesidad de determinar el ámbito de aplicación de la directiva de grupo. Las siguientes recomendaciones para el diseño de unidades organizativas solucionan problemas de delegación y determinación del ámbito:
•
Delegación de la autoridad administrativa: Puede crear unidades organizativas en un dominio y delegar el control administrativo de unidades organizativas específicas a usuarios o grupos concretos. La estructura de la unidad organizativa puede verse afectada por los requisitos de delegación de la autoridad administrativa.
•
Aplicación de la directiva de grupo: Piense principalmente en los objetos que desea administrar cuando se plantee el diseño de la estructura de una unidad organizativa. Quizá desee crear una estructura que tenga unidades organizativas organizadas por estaciones de trabajo, servidores y usuarios cerca del nivel superior. Dependiendo del modelo administrativo, puede considerar unidades organizativas basadas geográficamente como secundarias o primarias de otras unidades organizativas, y duplicar la estructura de cada ubicación para evitar la replicación entre diferentes sitios. Agregue unidades organizativas debajo de estas solo si ello hace más clara la aplicación de la directiva de grupo, o si necesita delegar administración por debajo de estos niveles. El uso de una estructura en la que las unidades organizativas contengan objetos homogéneos, como objetos de usuario o de equipo pero no ambos, permite deshabilitar fácilmente esas secciones de un GPO que no sean aplicables a un tipo de objeto concreto. Esta estrategia de diseño de unidades organizativas, que se muestra en la figura 1, reduce la complejidad y agiliza la aplicación de la directiva de grupo. Tenga en cuenta que los GPO vinculados a niveles más altos de la estructura de la unidad organizativa se heredan de forma predeterminada, lo que reduce la necesidad de duplicar objetos GPO o de vincular un GPO a varios contenedores. Cuando diseñe la estructura de Active Directory, las consideraciones más importantes son facilidad de administración y delegación.