En informática, el término grupo generalmente hace referencia a una agrupación de usuarios . En principio, los usuarios pueden pertenecer a ninguno, a uno o a muchos grupos (aunque en la práctica algunos sistemas imponen límites a esto). El objetivo principal de los grupos de usuarios es simplificar el control de acceso a los sistemas informáticos .
Supongamos que un departamento de informática tiene una red compartida por estudiantes y académicos . El departamento ha elaborado una lista de directorios a los que los estudiantes pueden acceder y otra lista de directorios a los que el personal puede acceder. Sin grupos, los administradores darían permiso a cada estudiante para cada directorio de estudiantes y a cada miembro del personal permiso para cada directorio de personal. En la práctica, eso sería muy inviable: cada vez que llegara un estudiante o un miembro del personal, los administradores tendrían que asignar permisos en cada directorio.
Con los grupos, la tarea es mucho más sencilla: [1] crear un grupo de estudiantes y un grupo de personal, colocando a cada usuario en el grupo adecuado. A todo el grupo se le puede conceder acceso al directorio apropiado. [1] Para agregar o eliminar una cuenta, solo hay que hacerlo en un lugar (en la definición del grupo), en lugar de en cada directorio. Este flujo de trabajo proporciona una clara separación de preocupaciones: cambiar las políticas de acceso, alterar los permisos del directorio; para cambiar los individuos que caen bajo la póliza, alterar las definiciones de grupo.
Los usos principales de los grupos son:
Muchos sistemas ofrecen posibilidades para delegar la administración de grupos. En estos sistemas, cuando se crea un grupo, uno o más usuarios pueden ser nombrados administradores del grupo. Estos administradores de grupo son capaces de agregar y eliminar otros usuarios del grupo, sin depender de un administrador del sistema.
Algunos sistemas también ofrecen grupos a los que se puede unir, que son grupos a los que los usuarios pueden optar por agregarse. Los grupos a los que se puede unir no están destinados a ser utilizados para el control de acceso, sino más bien para fines tales como listas de correo electrónico .
Muchos sistemas (especialmente los sistemas LDAP ) ofrecen la posibilidad de grupos dinámicos. Tradicionalmente los grupos son estáticos: uno define un grupo seleccionando individualmente a sus miembros. Sin embargo, en los grupos dinámicos, un administrador puede especificar criterios de búsqueda. Todos los usuarios que coincidan con los criterios de búsqueda serán considerados miembros de este grupo dinámico.
Por ejemplo, se podría crear un directorio LDAP utilizando datos de origen de un sistema de administración de estudiantes. El sistema de estudiantes podría proporcionar un atributo DegreeCode , que podría ser un código numérico que identifica el programa de estudios en el que está matriculado el estudiante. Supongamos entonces que el título Código 55 es Licenciatura en Ciencias de la Computación . Luego podríamos definir un grupo "BCS-Estudiantes" como "(código de grados = 55)"; una vez definido el grupo, no necesitamos modificar manualmente su membresía; su membresía cambiará automáticamente a medida que las actualizaciones fluyan a través del sistema. Se pueden construir definiciones aún más complejas: "BCS-Students-1" podría ser "(&(codeCode=55)(enrollmentYear=1))" (lo que significa: un usuario es miembro del grupo 'BCS-Students-1' si es cierto, están inscritos en el programa de grado de Ciencias de la Computación de la BSC y están en su primer año (es decir, estudiantes de primer año de Ciencias de la Computación ).
Algunos sistemas (por ejemplo, servidores LDAP Sun / Netscape / iPlanet ) distinguen entre grupos y roles. Estos conceptos son en su mayoría equivalentes: la principal diferencia es que con un grupo, su membresía se almacena como un atributo del grupo; mientras que con los roles, la membresía se almacena dentro de los usuarios, como una lista de roles a los que pertenecen. La diferencia es esencialmente una cuestión de compromisos de rendimiento, en términos de qué tipo de acceso será más rápido: el proceso de enumerar la membresía de una colección determinada (más rápido para grupos), o el proceso de enumerar a qué colecciones pertenece este usuario ( más rápido para roles).