Las cuentas de usuario del dominio registran toda la información necesaria para la definición de los datos propios de un usuario en el Directorio Activo del servidor "Windows 2003 Server", incluyendo su nombre de usuario y contraseña (datos necesarios para iniciar sesión), los grupos a los que pertenece dicho usuario, los derechos y permisos que tiene para utilizar el equipo y la red, así como los permisos de acceso a sus recursos. En los controladores de dominio de "Windows 2003 Server", las cuentas de usuario se administran con "Usuarios y equipos de Active Directory".
Los objetos correspondientes a los equipos del dominio también quedan incluidos en el Directorio Activo del servidor "Windows 2003 Server" cuando son registrados en el mismo, proceso visto anteriormente en el capítulo correspondiente al servidor RIS; a partir de la integración de un equipo en el dominio gestionado por el servidor "Windows 2003 Server", dichos equipos pueden ser incluidos en cualquier grupo al igual que haríamos con los usuarios del dominio.
Sin duda alguna el tema de los grupos en "Windows 2003 Server", es una de las partes más complejas de dicho sistema operativo, no tanto por alcanzar a comprender su funcionamiento, sino por poder realizar una planificación adecuada de los grupos necesarios y su organización, cara a gestionar eficazmente los recursos existentes en nuestra red, así como el acceso a los mismos. No es posible indicar una configuración común y válida para cualquier entorno de trabajo, ya que debe ser el administrador de cada red quien defina los grupos necesarios para un mejor aprovechamiento de los recursos de la red de su centro, pese a lo cual en las siguientes líneas trataremos de explicar de forma simple y somera qué son los grupos y su utilidad.
En primer lugar para poder trabajar con los grupos, lo primero que hemos de hacer es disponer de usuarios en el dominio que puedan autenticarse desde una estación de trabajo registrada en el dominio gestionado por el servidor "Windows 2003 Server"; cuando se crea un usuario se le asocian las propiedades y características que deseemos, definiendo por ejemplo su contraseña, las propiedades de cambio de la misma, la posibilidad de acceso remoto al servidor, etc., quedando incluido además de modo automático como miembro de un determinado grupo del dominio ("Administradores", "Usuarios", etc.).
La creación de un conjunto de usuarios que dispongan de acceso autenticado al dominio desde las estaciones de trabajo del dominio es una labor sencilla, pero la concesión de permisos de acceso a los recursos del sistema se complica enormemente a medida que el número de usuarios crece; por ejemplo supongamos que disponemos de quince recursos compartidos a los que sólo deseamos permitir acceso a los usuarios del grupo "Administradores", si damos acceso individual a cada usuario administrador sobre cada recurso, y definimos un nuevo usuario administrador de nombre "Pepe", deberíamos acceder a cada uno de los quince recursos indicados y darle explícitamente permisos de acceso al administrador "Pepe", lo cual es una labor tediosa y que además puede implicar olvidos en la asignación de permisos sobre alguno de los recursos a los que deberíamos permitirle el acceso; en este escenario cobran sentido plenamente los grupos de usuarios, pues lo que haremos para lograr una eficaz gestión de nuestra red, no será dar permisos individuales sobre cada uno de los quince recursos a cada usuario administrador, sino dar permisos sobre dichos recursos al grupo de usuarios "Administradores", y luego incluir a cada administrador ("Pepe" entre ellos) en el grupo "Administradores"; de este modo cuando incluyamos a un nuevo usuario en el grupo "Administradores", dicho usuario de modo automático dispondrá de acceso a los quince recursos indicados anteriormente, al estar incluido en un grupo con derechos de acceso a dichos recursos.
"Windows 2003 Server" tiene predefinidos una serie de grupos de usuarios, entre los que podemos destacar al grupo "Administradores del dominio", "Usuarios del dominio", "Invitados del dominio" y "Equipos del dominio", entre otros; a la existencia de los grupos predefinidos por "Windows 2003 Server", nosotros podemos añadir nuestros propios grupos, en función de las necesidades de organización de nuestro centro; por ejemplo, si queremos que a unos determinados recursos sólo tengan acceso los profesores, podríamos crear un grupo "Profesores" e incluir en el mismo a los usuarios del dominio que sean profesores de nuestro centro, de modo que cuando asignemos permisos de acceso sobre cierto recurso al grupo "Profesores", cualquier profesor dispondrá de acceso al recurso correspondiente.
También debemos reseñar que un usuario del dominio, o una estación de trabajo del dominio, puede pertenecer a más de un grupo, y que a su vez a un determinado recurso del sistema pueden tener acceso los usuarios y equipos de diferentes grupos.
Así mismo los miembros de un determinado grupo pueden a su vez ser miembros de otros grupos ya existentes, lo cual aparentemente complica aun más la estructura de los grupos del nuestra red, pero realmente la simplifica; pensemos por ejemplo en un recurso al que deseamos que tengan acceso todos los profesores y los alumnos de E.S.O. de nuestro centro, podríamos crear un nuevo grupo de nombre "Colaboradores" e incluir el el mismo individualmente a todos los profesores y a los alumnos deseados, pero esa implicaría que cada vez que un nuevo profesor llegara a nuestro centro y quisiéramos que tuviera acceso a los recursos a los que tiene acceso el resto de profesores, deberíamos incluirlo en los grupos "Profesores" y "Colaboradores", pudiendo de nuevo olvidarnos de darlo de alta como miembro de alguno de los grupos a los que debería pertenecer; sin embargo, si cuando creamos el grupo "Colaboradores" hubiéramos indicado que los miembros de ese grupo son el grupo "Profesores" y los alumnos de E.S.O., solucionaríamos nuestro problema de forma elegante y sencilla, de modo que cuando un nuevo profesor llegara a nuestro centro, con incluirlo en el grupo "Profesores" quedaría automáticamente incluido en el grupo "Colaboradores", simplificando nuestra labor de gestión de usuarios y grupos.
Todo lo comentado anteriormente para los grupos de usuarios puede ser aplicado a los grupos de estaciones de trabajo, o para grupos mixtos formados por ambos tipos de objetos.
NOTA: Es importante no confundir las Unidades Organizativas y los grupos de usuarios o equipos, pues se tiende a mezclar dichos conceptos cuando realmente no tienen nada que ver, de hecho podremos tener una Unidad Organizativa de nombre "Profesores" y un grupo de usuarios con el mismo nombre, teniendo ambos su finalidad y su razón de ser. Las Unidades Organizativas serán comentadas en el próximo capítulo, cuando abordemos el tema relativo a las políticas o directivas de grupo.
A continuación vamos a definir algunos términos que utilizaremos a continuación con frecuencia.