Es importante no confundir los usuarios de dominio, con los usuarios locales, que
cualquier equipo perteneciente a un dominio es capaz de crear, pero que su ámbito
de trabajo estará restringido al propio equipo. A este usuario local, no podremos
asignarle permisos de acceso a los recursos del dominio, ya que dicha cuenta no
será localizada en la base de datos de Active Directory, y por lo tanto, es como si
no existiera para el dominio.
La primera cuenta de usuario de dominio que es creada de forma automática
cuando creamos un dominio, es la cuenta “Administrador”, que será quien tenga
la totalidad de los permisos administrativos para la gestión del dominio, y por lo
tanto, tendrá pleno control de la base de datos de Active Directory, así como de
cada equipo que sea miembro del dominio, como si fuera un administrador local del
equipo. Como particularidad, podemos decir que esta cuenta no podrá ser borrada,
ni bloqueada, aunque sí podrá ser renombrada.
Cuando una cuenta de usuario del dominio es creada, entre los diferentes campos
que tendremos que rellenar, existe uno que será de especial importancia para que
el usuario pueda ser identificado dentro del dominio en el proceso de inicio de
sesión. Nos referimos al nombre de inicio de sesión.
El nombre de inicio de sesión, es el identificador nativo en sistemas Windows
Server 2008 para que un usuario pueda validarse en cualquier dominio del bosque.
Estará formado por dos partes, separadas del símbolo “@” : usuario@dominio.
Este nombre también es conocido como nombre principal de usuario (User Principal
Name, UPN), y será único en el bosque.
Grupos
En el directorio podremos crear dos tipos de grupos: grupos de distribución y
grupos de seguridad.
Mientras que los grupos de distribución se utilizan para crear listas de distribución de
correo electrónico, los grupos de seguridad son los que se van a utilizar para las tareas
administrativas, y por eso vamos a centrarnos principalmente en estos últimos.
Un grupo de seguridad, podrá ser definido en tres ámbitos distintos, que
comentamos a continuación:

_ Grupos locales de dominio: podrán contener cuentas de usuario de todos
los dominios del bosque, cuentas de grupos globales o universales de
cualquier dominio del bosque, así como otros grupos locales de dominio del
mismo dominio. Su visibilidad estará reducida al dominio en el que hayan
sido creados y por lo general suelen ser utilizados para administrar recursos
que estén localizados en los equipos del dominio.

_ Grupos globales: en este caso sólo estarán formados por los usuarios del
mismo dominio y de otros grupos globales del mismo dominio. Podrán ser