visibles en todos los dominios del bosque y suelen ser utilizados para formar
conjuntos de usuarios según sean los trabajos que realizan dentro de la
organización y de los roles que tienen en el dominio.

_ Grupos universales: podrán contener cuentas de usuario, grupos globales
y otros grupos universales de cualquier dominio del bosque. Podrán ser
visibles para todo el bosque, y suelen ser empleados para administrar
recursos que puedan estar localizados en ordenadores de varios dominios
del bosque.
Las recomendaciones a la hora de crear grupos de dominios, serían las siguientes:
1. En función de las labores que realicen los usuarios dentro de la
organización, crear grupos globales con estos propósitos e incluir a dichos
usuarios.
2. En función del nivel de acceso que vayan a tener en los recursos del
dominio los usuarios y/o grupos globales, incluirlos en grupos locales del
dominio.
3. Asignar permisos en dichos recursos exclusivamente a los grupos locales
del dominio.
En la siguiente imagen podemos ver de forma gráfica lo que acabamos de comentar:

Podremos encontrarnos numerosos grupos que ya habrán sido creados en la instalación
de Active Directory. Por ejemplo, en el contenedor “Builtin”, podremos encontrar grupos
que serían equivalentes a los que podemos encontrar en cualquier grupo local de
cualquier sistema Windows que no sea miembro de un dominio. Serían los casos de los
grupos “administradores”, “Operadores de copia”, etc.
Pero lo grupos que sean propios de Active Directory los podremos encontrar en el
contenedor “Users”. Estos grupos están asociados a los diferentes niveles de
acceso preasignados en el directorio. Algunos de ellos serían, por ejemplo, los
grupos “administradores del dominio” o “usuarios del dominio”.
Equipos
El directorio activo también va a almacenar información sobre las cuentas de
equipo, que servirá para identificar a todos los ordenadores de la organización, ya
sean simples miembros del dominio, en cuyo caso estarán alojados por defecto en