Como con el diseño de UOs, lo mejor es diseñar la estructura de grupos para evitar tareas administrativas innecesarias. Estableciendo un conjunto de políticas de como tratar a los grupos y qué grupos crear ayudarána con la gestión de un gran número de grupos de usuarios con mayor eficacia y a resolver problemas de seguridad más eficientemente.
Antes era muy común el usar grupos locales de dominio para el control de acceso a los recursos y los grupos globales para la organización de grupos de usuarios similares. Una vez hecho, los grupos globales se añadian como miembros a los grupos locales de dominio, permitiendo a los usuarios permisos sobre aquéllos recursos y limitando el efecto de replicación que se tienen en un entorno.
El concepto de grupo Universal alcanza la mayoría de edad en R2. Ahora que la replicación ha sido solucionada mediante la replicación incremental de pertenencia en 2003, hace más probable la existencia de este tipo de grupo en un entorno. Cuando es necesario, un grupo universal toma el lugar de grupos globales o puede potencialmente incluir grupos globales como miembros. Los grupos universales son útiles en la consolidación de pertenencia a grupo a través de los límites del dominio, y esto debería ser su función primaria si se usan en Windows Server 2008 R2.
Los nombres de grupos, como objetos de AD DS que son, han de ser fácilmente identificables donde no debe existir ambiguedad y poder diferenciar a usuarios de administradores. Por ello, hay que establecer una convención estándar para los nombres, que se comunicará a los responsables de creación de grupos para su uso. Esto siempre ayuda a la administración.
Los grupos pueden anidarse, es decir, grupos que son miembros de otros grupos, con la intención de disminuir el número de grupos existentes.
Notas:
- Usar grupos locales de dominio para controlar el acceso a los recursos y grupos globales para organizar de forma similar a los usuarios.
- Usar grupos de distribución o grupos de seguridad habilitados para correo para la creación de las listas de distribución de correo en entornos con Exchange Server.
- Si no es necesaria la separación, usar grupos de seguridad habilitados para correo, si hay que separar entonces usar grupos de distribución.
- No eliminemos o recreemos grupos a la ligera ya que cada grupo tiene un SID único.
- No usemos grupos locales en permisos dentro de un entorno de dominio.