Actualizado: abril de 2009
Se aplica a: Windows SBS 2003, Windows SBS 2008, Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008, Windows Server 2008 Foundation, Windows Server 2008 R2
Los grupos predeterminados se crean al instalar los sistemas operativos servidor o cliente de Windows y los dominios de Servicios de dominio de Active Directory (AD DS). Los equipos miembros de un dominio y los equipos independientes tienen grupos locales predeterminados que se crean automáticamente en la base de datos local de cuentas de seguridad. Los controladores de dominio son una excepción: usan la base de datos central de Active Directory para crear grupos predeterminados. Todos los equipos que pertenecen a un dominio pueden tener acceso a la base de datos central de Active Directory.
Grupos locales predeterminados
En la carpeta Grupos del Complemento de usuarios y grupos locales de MMC (Microsoft Management Console), se muestran los grupos locales predeterminados y los creados por los usuarios. La pertenencia a un grupo local supone para el usuario tener los permisos y la capacidad de realizar diversas tareas en el equipo local. Para obtener más información acerca de los grupos basados en dominio, vea Grupos de dominio predeterminados.
Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y cuentas de grupo a los grupos locales. Sin embargo, no se pueden agregar cuentas de usuario locales y cuentas de grupo locales a cuentas de grupo de dominio. Para obtener más información acerca de cómo agregar miembros a grupos locales, vea el tema Agregar un miembro a un grupo local en http://go.microsoft.com/fwlink/?LinkId=148785.
En la siguiente tabla se describen los grupos predeterminados de la carpeta Grupos y se enumeran los derechos de usuario predeterminados de cada grupo. Estos derechos de usuario se asignan en la directiva de seguridad local. Para obtener descripciones completas de los derechos de usuario enumerados en la tabla, vea el tema Asignación de derechos de usuario en http://go.microsoft.com/fwlink/?LinkId=148787. Para obtener información acerca de cómo modificar estos derechos, vea el tema Asignar derechos de usuario para el equipo local en http://go.microsoft.com/fwlink/?LinkId=148788.
| Grupo | Descripción | Derechos de usuario predeterminados |
|---|---|---|
| Administradores | Los miembros de este grupo tienen control total del servidor y pueden asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. La cuenta Administrador también es un miembro predeterminado de este grupo. Cuando el servidor se une a un dominio, el grupo Admins. de dominio se agrega automáticamente al grupo. Puesto que este grupo tiene control total del servidor, tenga precaución al agregarle usuarios. Para obtener más información, vea los temas Grupos locales predeterminados, en http://go.microsoft.com/fwlink/?LinkId=149101, y Grupos predeterminados, en http://go.microsoft.com/fwlink/?LinkID=131422. |
|
| Operadores de copia de seguridad | Los miembros de este grupo pueden hacer copias de seguridad y restaurar archivos del servidor, independientemente de los permisos que protejan dichos archivos. Es así porque el derecho a realizar una copia de seguridad tiene preferencia sobre todos los permisos de archivo. Los miembros de este grupo no pueden cambiar la configuración de seguridad. |
|
| Administradores de DHCP (instalado con el servicio del servidor DHCP) | Los miembros de este grupo disfrutan de acceso administrativo al servicio del servidor de Protocolo de configuración dinámica de host (DHCP). Este grupo proporciona una forma de asignar acceso administrativo limitado únicamente al rol de servidor DHCP; no concede acceso total al servidor. Los miembros de este grupo pueden administrar DHCP en un servidor mediante la consola de DHCP o el comando netsh, pero no pueden realizar otras acciones administrativas en el servidor. | No hay derechos de usuario predeterminados. |
| Usuarios de DHCP (instalado con el servicio del servidor DHCP) | Los miembros de este grupo tienen acceso de solo lectura al servicio del servidor DHCP. Este acceso permite a los miembros ver la información y propiedades almacenadas en un servidor DHCP concreto. Esta información puede ser práctica para el equipo de asistencia en caso de que necesite obtener informes del estado de DHCP. | No hay derechos de usuario predeterminados. |
| Invitados | Un miembro de este grupo dispondrá de un perfil temporal que se crea al iniciar la sesión y se elimina cuando cierra sesión. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es miembro de este grupo de forma predeterminada. | No hay derechos de usuario predeterminados. |
| HelpServicesGroup | Los administradores pueden usar este grupo para establecer los derechos que son comunes a todas las aplicaciones de asistencia. De forma predeterminada, el único miembro del grupo es la cuenta asociada a las aplicaciones de asistencia de Microsoft, como la Asistencia remota. No agregue usuarios a este grupo. | No hay derechos de usuario predeterminados. |
| Operadores de configuración de red | Los miembros de este grupo pueden modificar la configuración TCP/IP, y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| Usuarios del monitor de sistema | Los miembros de este grupo pueden supervisar los contadores de rendimiento del servidor, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. | No hay derechos de usuario predeterminados. |
| Usuarios del registro de rendimiento | Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas del servidor, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores. | No hay derechos de usuario predeterminados. |
| Usuarios avanzados | Los miembros de este grupo pueden crear cuentas de usuario y, después, modificarlas y eliminarlas. Pueden crear grupos locales y, a continuación, agregar usuarios o quitarlos. También pueden agregar o quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. Los miembros pueden crear recursos compartidos y administrarlos. No pueden tener la propiedad de los archivos, realizar copias de seguridad de los directorios o restaurarlos, cargar o descargar controladores de dispositivo, ni administrar los registros de auditoría y seguridad. |
|
| Opers. de impresión | Los miembros de este grupo pueden administrar las impresoras y las colas de impresión. | No hay derechos de usuario predeterminados. |
| Usuarios de escritorio remoto | Los miembros de este grupo pueden iniciar sesión en un servidor de forma remota. Para obtener más información, vea el tema Permitir que los usuarios se conecten de forma remota al servidor en http://go.microsoft.com/fwlink/?LinkID=136310. | Permitir el inicio de sesión mediante Terminal Services |
| Replicador | El grupo Replicador admite funciones de replicación. El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se use para iniciar sesión en los servicios de Replicador de un controlador de dominio. No agregue a este grupo cuentas de usuarios reales. | No hay derechos de usuario predeterminados. |
| Usuarios de Terminal Server | Este grupo contiene a los usuarios que han iniciado sesión actualmente en el sistema con Terminal Server. Cualquier programa que un usuario puede ejecutar con Windows NT 4.0 se ejecutará para un miembro del grupo Usuarios de Terminal Server. Los permisos predeterminados asignados a este grupo permiten que sus miembros ejecuten la mayoría de los programas anteriores. | No hay derechos de usuario predeterminados. |
| Usuarios | Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el servidor. Los usuarios no pueden compartir directorios ni crear impresoras locales. Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo. |
|
| Usuarios de WINS (instalado con el servicio WINS) | Los miembros de este grupo tienen acceso de solo lectura al Servicio de nombres Internet de Windows (WINS). Este acceso permite a los miembros ver la información y las propiedades almacenadas en un servidor WINS concreto. Esta información puede ser práctica para el equipo de asistencia en caso de que necesite obtener informes del estado de WINS. | No hay derechos de usuario predeterminados. |
Para obtener más información acerca de los grupos predeterminados más habituales, vea el tema Configuración de seguridad predeterminada para grupos en http://go.microsoft.com/fwlink/?LinkId=149130.
Grupos de dominio predeterminados
Los grupos predeterminados, como es el caso del grupo Administradores del dominio, son grupos de seguridad que se crean automáticamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y para delegar roles administrativos específicos en todo el dominio.
A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autoriza a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar sesión en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de seguridad para todos los controladores del dominio.
Cuando se agrega un usuario a un grupo, dicho usuario recibe todos los derechos de usuario que el grupo tenga asignados, así como la totalidad de los permisos asignados al grupo sobre cualquier recurso compartido. Para obtener más información sobre los derechos y permisos de usuario, vea el tema Tipos de grupos en http://go.microsoft.com/fwlink/?LinkId=149131.
Los grupos se pueden administrar por medio del complemento Usuarios y equipos de Active Directory. Los grupos predeterminados se encuentran en los contenedores Builtin y Users. El contenedor Builtin incluye los grupos que se han definido con el ámbito local del dominio. El contenedor Users incluye grupos definidos con el ámbito global y grupos definidos con el ámbito local de dominio. Los grupos ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas (OU) del dominio, pero no se pueden mover a otros dominios.
Como práctica recomendada de seguridad, se recomienda que los miembros de los grupos predeterminados con amplio acceso administrativo usen el comando Ejecutar como para acometer tareas administrativas. Para obtener más información, vea el tema Utilizar Ejecutar como en http://go.microsoft.com/fwlink/?LinkID=149133. Para obtener información acerca de los procedimientos recomendados de seguridad, vea el tema Prácticas recomendadas de Active Directory en http://go.microsoft.com/fwlink/?LinkId=149135. Para obtener información acerca de más medidas de seguridad que se pueden usar para proteger Active Directory, vea el tema Proteger Active Directory en http://go.microsoft.com/fwlink/?LinkId=149136.
Grupos en el contenedor Builtin
En la siguiente tabla se recopilan descripciones de los grupos predeterminados que se incluyen en el contenedor Builtin, al tiempo que se enumeran los derechos de usuarios asignados a cada grupo. Para obtener descripciones completas de los derechos de usuario que se incluyen en la tabla, vea el tema Asignación de derechos de usuario. Para obtener información acerca de la edición de estos derechos, vea el tema Para editar una configuración de seguridad en un objeto de directiva de grupo.
| Grupo | Descripción | Derechos de usuario predeterminados |
|---|---|---|
| Opers. de cuentas | Los miembros de este grupo pueden crear, modificar y eliminar cuentas de los usuarios, grupos y equipos que se encuentren en los contenedores Users o Computers o en las unidades organizativas del dominio, excepto en la unidad organizativa Controladores de dominio. Sin embargo, no tienen permiso para modificar los grupos Administradores o Admins. del dominio, ni para modificar las cuentas de los miembros de tales grupos. Los miembros de este grupo pueden iniciar sesión localmente en los controladores del dominio y, asimismo, pueden cerrarlos. Puesto que este grupo tiene un poder considerable en el dominio, tenga precaución al agregarle usuarios. |
|
| Administradores | Los miembros de este grupo tienen pleno control de todos los controladores del dominio. De forma predeterminada, los grupos Admins. del dominio y Administradores de organización pertenecen al grupo Administradores. La cuenta Administrador también es miembro predeterminado de este grupo. Puesto que este grupo tiene un control total del dominio, tenga precaución al agregarle usuarios. |
|
| Operadores de copia de seguridad | Los miembros de este grupo pueden hacer copias de seguridad de todos los archivos en los controladores del dominio, así como restaurarlos, independientemente de los permisos individuales que tengan sobre dichos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en los controladores de dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que este grupo tiene un poder considerable en los controladores de dominio, tenga precaución al agregarle usuarios. |
|
| Invitados | De forma predeterminada, el grupo Invitados del dominio es miembro de este grupo. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es miembro de este grupo de forma predeterminada. | No hay derechos de usuario predeterminados. |
| Creadores de confianza de bosque de entrada (aparece únicamente en el dominio raíz del bosque) | Los miembros de este grupo pueden crear confianzas de bosque de entrada unidireccionales al dominio raíz del bosque. Por ejemplo, los miembros de este grupo que se encuentren en el bosque A pueden crear una confianza de bosque de entrada unidireccional desde el bosque B, que permite que los usuarios del bosque A tengan acceso a los recursos del bosque B. Los miembros de este grupo disfrutan del permiso Crear confianza de bosque entrante en el dominio raíz del bosque. Este grupo no tiene ningún miembro predeterminado. Para obtener más información sobre la creación de confianzas de bosque, vea el tema Crear una relación de confianza de bosque en http://go.microsoft.com/fwlink/?LinkId=149137. | No hay derechos de usuario predeterminados. |
| Operadores de configuración de red | Los miembros de este grupo pueden modificar la configuración TCP/IP y renovar y liberar direcciones TCP/IP en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| Usuarios del monitor de sistema | Los miembros de este grupo pueden supervisar los contadores de rendimiento de los controladores del dominio, tanto de forma local como desde clientes remotos, sin necesidad de ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. | No hay derechos de usuario predeterminados. |
| Usuarios del registro de rendimiento | Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores. | No hay derechos de usuario predeterminados. |
| Acceso compatible con versiones anteriores a Windows 2000 | Los miembros de este grupo tienen acceso de lectura a todos los usuarios y grupos del dominio. Este grupo se proporciona por motivos de compatibilidad con versiones anteriores para los equipos que ejecutan Windows NT 4.0 o anterior. De forma predeterminada, la identidad especial Todos es miembro de este grupo. Para obtener más información acerca de las identidades especiales, vea el tema Identidades especiales en http://go.microsoft.com/fwlink/?LinkId=149138. Agregue usuarios a este grupo únicamente si ejecutan Windows NT 4.0 o anterior. |
|
| Opers. de impresión | Los miembros de este grupo pueden administrar, crear, compartir y eliminar las impresoras que hay conectadas a los controladores del dominio. También pueden administrar los objetos de impresora de Active Directory del dominio. Los miembros de este grupo pueden iniciar sesión localmente en los controladores del dominio y, asimismo, pueden cerrarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivo en todos los controladores del dominio, tenga precaución al agregarle usuarios. |
|
| Usuarios de escritorio remoto | Los miembros de este grupo pueden iniciar sesión remotamente en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| Replicador | Este grupo admite las funciones de replicación de directorio. El Servicio de replicación de archivos usa este grupo en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. No agregue usuarios a este grupo. | No hay derechos de usuario predeterminados. |
| Opers. de servidores | En los controladores de dominio, los miembros de este grupo pueden iniciar sesión de manera interactiva, crear y eliminar recursos compartidos, iniciar y detener algunos servicios, realizar copias de seguridad de archivos y restaurarlos, formatear el disco duro y apagar el equipo. Este grupo no tiene ningún miembro predeterminado. Puesto que este grupo tiene un poder considerable en los controladores de dominio, tenga precaución al agregarle usuarios. |
|
| Usuarios | Los miembros del grupo Usuarios pueden realizar la mayoría de las tareas más habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el servidor. Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo. | No hay derechos de usuario predeterminados. |
Grupos en el contenedor Users
En la siguiente tabla se describen los grupos predeterminados que se incluyen en el contenedor Users, al tiempo que se enumeran los derechos de usuarios asignados a cada grupo. Para obtener descripciones completas de los derechos de usuario enumerados en la tabla, vea el tema Asignación de derechos de usuario en http://go.microsoft.com/fwlink/?LinkId=148787. Para obtener información sobre cómo editar estos derechos, vea el tema Modificar la configuración de seguridad en un objeto de directiva de grupo en http://go.microsoft.com/fwlink/?LinkId=149139.
| Grupo | Descripción | Derechos de usuario predeterminados |
|---|---|---|
| Publicadores de certificados | Los miembros de este grupo tienen permiso para publicar certificados relativos a usuarios y equipos. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| DnsAdmins (instalado con el Sistema de nombres de dominio (DNS)) | Los miembros de este grupo tienen acceso administrativo al servicio del servidor DNS. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| DnsUpdateProxy (instalado con DNS) | Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en nombre de otros clientes, como los servidores DHCP. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| Admins. del dominio | Los miembros de este grupo tienen un control total del dominio. De manera predeterminada, este grupo es un miembro del grupo Administradores en todos los controladores de dominio, todas las estaciones de trabajo del dominio y todos los servidores miembros del dominio en el momento en que estos se unieron al dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que este grupo tiene un control total del dominio, tenga precaución al agregarle usuarios. |
|
| Equipos del dominio | Este grupo contiene todas las estaciones de trabajo y servidores que se han unido al dominio. De forma predeterminada, cualquier cuenta de equipo que se cree pasa a formar parte de este grupo automáticamente. | No hay derechos de usuario predeterminados. |
| Controladores de dominio | Este grupo contiene todos los controladores del dominio. | No hay derechos de usuario predeterminados. |
| Invitados del dominio | Este grupo contiene todos los invitados del dominio. | No hay derechos de usuario predeterminados. |
| Usuarios del dominio | Este grupo contiene todos los usuarios del dominio. De forma predeterminada, cualquier cuenta de usuario que se cree en el dominio pasa a formar parte de este grupo automáticamente. Este grupo se puede usar para representar a todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios del dominio tengan acceso a una impresora, puede asignar a este grupo los permisos relativos a la impresora, o bien puede agregar el grupo Usuarios del dominio a un grupo local (en el servidor de impresión) que tenga permisos en la impresora en cuestión. | No hay derechos de usuario predeterminados. |
| Administradores de organización (aparece únicamente en el dominio raíz del bosque) | Los miembros de este grupo tienen pleno control de todos los dominios del bosque. De forma predeterminada, este grupo es miembro del grupo Administradores en todos los controladores del bosque. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que este grupo tiene control total del bosque, tenga precaución al agregarle usuarios. |
|
| Propietarios del creador de directivas de grupo | Los miembros de este grupo pueden modificar la directiva de grupo del dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que este grupo tiene un poder considerable en el dominio, tenga precaución al agregarle usuarios. | No hay derechos de usuario predeterminados. |
| IIS_WPG (instalado con IIS) | El grupo IIS_WPG es el grupo de proceso de trabajo de Internet Information Services (IIS) 6.0. IIS 6.0 contiene procesos de trabajo que ofrecen servicio a determinados espacios de nombres. Por ejemplo, www.microsoft.com es un espacio de nombres al que proporciona servicio un proceso de trabajo que se ejecuta bajo una identidad que se ha agregado al grupo IIS_WPG, como cuentaMicrosoft. Este grupo no tiene ningún miembro predeterminado. | No hay derechos de usuario predeterminados. |
| Servidores RAS e IAS | Los servidores incluidos en este grupo tienen permiso de acceso a las propiedades de acceso remoto de los usuarios. | No hay derechos de usuario predeterminados. |
| Administradores de esquema (aparece únicamente en el dominio raíz del bosque) | Los miembros de este grupo pueden modificar el esquema de Active Directory. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que este grupo tiene un poder considerable en el bosque, tenga precaución al agregarle usuarios. | No hay derechos de usuario predeterminados. |