Cómo cambiar el nombre de un grupo en Windows sin romper permisos

  • Windows mantiene los accesos al renombrar grupos siempre que el identificador interno (SID) no cambie.
  • Es más seguro administrar permisos a nivel de grupo que usuario, tanto en Windows como en aplicaciones como Project Server.
  • La combinación de NTFS, permisos de compartición y comandos como takeown o icacls permite controlar de forma precisa el acceso a archivos y carpetas.
  • Planificar la estructura de grupos y crear puntos de restauración minimiza errores y bloqueos al modificar permisos.
Lorena Figueredo

16 minutos

Cómo cambiar el nombre de un grupo en Windows sin romper permisos

Si administras equipos con Windows, tarde o temprano te verás en la situación de renombrar un grupo de usuarios sin estropear los permisos ni dejar a nadie sin acceso. Parece una tontería cambiar un nombre, pero en entornos de trabajo, aulas o servidores, tocar un grupo a lo loco puede dejar a media plantilla sin documentos, sin red o sin aplicaciones clave.

La buena noticia es que, si entiendes bien cómo funciona el sistema de grupos y permisos de Windows (tanto locales como de Active Directory), puedes cambiar el nombre de un grupo con total seguridad y, ya de paso, reforzar el control de acceso a archivos, carpetas y recursos compartidos. Vamos a ver todo el proceso con detalle, desde la teoría de permisos hasta comandos avanzados y buenas prácticas para evitar sustos.

Cómo funciona la actividad de cambiar nombre de grupo en Active Directory

En entornos con Active Directory (AD) no basta con ir a una ventana gráfica y cambiar el nombre de un grupo sin más. Herramientas de automatización como runbooks permiten usar una actividad específica de “Cambiar nombre de grupo” que trabaja directamente contra el directorio y publica datos útiles después de la operación.

Esta actividad de runbook exige una serie de propiedades obligatorias que siempre tienes que proporcionar:

  • Nuevo nombre común: es el nuevo nombre descriptivo del grupo (el “Common Name” o CN). Se trata de una cadena de texto que verán los administradores y, en muchos casos, las aplicaciones.
  • Nombre distintivo (DN): es la ruta completa del objeto en Active Directory, también en forma de cadena (por ejemplo, CN=Profesores,OU=Centro,DC=empresa,DC=local). Esta propiedad identifica de forma única al grupo dentro del bosque.

Además, la actividad admite una propiedad opcional clave para la compatibilidad con sistemas antiguos: el nuevo nombre de cuenta SAM. Este valor define el nombre de inicio de sesión heredado que utilizan versiones previas de Windows u otras integraciones que todavía dependen del formato SAMAccountName.

Cuando ejecutas la actividad, se generan y publican una serie de datos de salida que puedes reutilizar en pasos posteriores del runbook o para registro y auditoría:

  • Nuevo nombre común (cadena): refleja el nombre descriptivo final del grupo tras el cambio.
  • Nombre distintivo (cadena): muestra el DN actualizado del grupo.
  • Nuevo nombre de cuenta SAM (cadena): indica el valor heredado de inicio de sesión si lo has modificado.

La clave aquí es que el identificador interno del grupo (el SID) no cambia, de modo que los permisos NTFS, los accesos a recursos y las pertenencias no se “rompen” al renombrar. Por eso siempre es más seguro cambiar el nombre de un grupo que borrarlo y volverlo a crear.

actividad cambiar nombre de grupo en Active Directory

Gestión de grupos de seguridad en Project Server y otros sistemas

Más allá del propio Windows, muchas aplicaciones empresariales implementan su propio sistema de grupos y permisos que suele integrarse con Active Directory. Un ejemplo clásico es Project Server 2010, que incorpora siete grupos de seguridad predeterminados y permite crear grupos personalizados desde la interfaz de Project Web App (PWA).

Para añadir un grupo de seguridad personalizado en Project Server, el procedimiento habitual es:

  1. Desde la página principal de PWA, usar el panel de Inicio rápido y entrar en “Configuración del servidor”.
  2. Dentro de la sección de seguridad, entrar en “Administrar grupos”.
  3. Pulsar en “Nuevo grupo” para crear un grupo desde cero.
  4. En la sección de información del grupo:
    • Indicar un nombre de grupo claro y coherente (por ejemplo, “Jefes de proyecto TI”).
    • Escribir una descripción que resuma su finalidad.
    • Si se va a vincular con un grupo de Active Directory, usar “Buscar grupo”, localizar el grupo AD y asociarlo para que ambas entidades se sincronicen.
  5. En la sección Usuarios, agregar usuarios al grupo desde la lista de usuarios disponibles.
    • Se pueden seleccionar usuarios individuales o utilizar la opción de agregar todos.
    • También es posible quitar usuarios con los botones correspondientes.
  6. En la sección Categorías, seleccionar categorías disponibles (conjuntos de proyectos o recursos) y moverlas a “categorías seleccionadas”. Para cada categoría, establecer los permisos específicos, bien marcándolos a mano, bien aplicando una plantilla de seguridad predefinida.
  7. En la sección Permisos globales, definir los permisos globales del grupo, también de forma manual o usando una plantilla.
  8. Guardar los cambios.

La filosofía recomendada por Microsoft es clara: asignar permisos a nivel de grupo y no a usuarios sueltos, y reservar las excepciones para casos muy concretos. Esto reduce la complejidad, facilita las auditorías y evita “romper accesos” cuando alguien entra o sale de la organización.

Un punto muy importante es evitar la “inflación” de grupos. Crear más grupos de los necesarios y más categorías de la cuenta en Project Server o en cualquier otro sistema aumenta la carga de administración y puede repercutir incluso en el rendimiento de la autorización. Menos es más, siempre que la estructura esté bien pensada.

  Diseño gráfico en Windows 11: las suites de aplicaciones más recomendadas

configuración de grupos y permisos en aplicaciones

Editar grupos de usuarios y sus permisos desde herramientas administrativas

En muchas consolas de administración (paneles web, herramientas de backoffice, etc.) la gestión de grupos sigue un patrón muy parecido al de Windows. Si tienes permisos administrativos sobre la plataforma, podrás entrar en la sección de “Permisos” o similar y ver el listado de todos los grupos disponibles.

Los pasos típicos para editar un grupo existente suelen ser:

  1. Abrir el menú de herramientas de administración y entrar en “Permisos” o “Seguridad”.
  2. Localizar en el panel de grupos el grupo que quieres modificar y hacer clic sobre él.
  3. En el panel de detalle del grupo, ajustar si hace falta el nombre del grupo y su descripción para que reflejen mejor su función actual.
  4. Gestionar los miembros del grupo:
    • Para añadir usuarios, seleccionarlos en la lista de la izquierda (por ejemplo con la opción “Seleccionar todo” si procede) y pasarlos a la lista de la derecha.
    • Para quitarlos, usar las opciones de borrar o “Borrar todo” sobre la lista de usuarios asignados.
  5. Revisar la lista de características o módulos a los que el grupo puede acceder (capacidad, pedidos, informes, administración, etc.) y marcar o desmarcar las casillas según las necesidades reales.
  6. Guardar los cambios para aplicarlos.

Renombrar un grupo en estas herramientas, siempre que la aplicación mantenga internamente el mismo identificador de grupo, no debería afectar a los recursos ya asignados. Lo importante es confirmar que el cambio es solo cosmético (nombre y descripción) y no genera un nuevo grupo distinto en la base de datos.

Permisos NTFS en Windows: usuarios, grupos y propiedad de archivos

En Windows, el Explorador de archivos y el sistema NTFS trabajan juntos usando un modelo de propiedad y listas de control de acceso (ACL) para determinar quién puede ver, modificar o eliminar archivos y carpetas. Por defecto, el usuario que crea un archivo se convierte en su propietario y tiene control total, al igual que los administradores del equipo, y si necesitas reorganizar rutas del sistema consulta cómo cambiar la ubicación predeterminada de las carpetas del sistema.

Este sistema es especialmente útil en equipos compartidos, redes de empresa y laboratorios de formación. Permite definir con bastante detalle quién puede leer, quién puede modificar y quién ni siquiera puede ver determinados documentos. Además, al trabajar principalmente con grupos, puedes controlar permisos de forma centralizada en lugar de ir usuario por usuario.

En la administración de equipos (Administración de equipos > Usuarios y grupos locales) es posible consultar y crear distintos grupos locales, como “Administradores”, “Usuarios”, “Invitados” y otros relacionados con funciones específicas. Estos grupos se utilizan después en la pestaña Seguridad de archivos y carpetas para conceder o restringir permisos.

Los tipos de permiso NTFS más habituales incluyen:

  • Control total: el usuario o grupo puede hacer cualquier cosa (leer, modificar, eliminar, cambiar permisos, etc.).
  • Modificar: permite leer, escribir y borrar, pero no necesariamente cambiar permisos o tomar posesión.
  • Lectura y ejecución: el usuario puede ver el contenido y ejecutar archivos, pero no modificarlos.
  • Lectura: solo puede ver el contenido.
  • Escritura: puede crear o cambiar archivos, pero tiene limitaciones en otras acciones.
  • Permisos especiales: combinaciones avanzadas para escenarios muy concretos.

Para ver y cambiar permisos sobre un archivo o carpeta, basta con hacer clic derecho > Propiedades > pestaña Seguridad. Desde ahí puedes revisar qué usuarios y grupos figuran en la lista y qué tipo de acceso tienen.

permisos NTFS en archivos y carpetas

Cómo cambiar permisos y propiedad de archivos y carpetas en Windows

Si quieres ajustar los permisos manualmente, en la pestaña Seguridad verás un listado de usuarios y grupos con acceso. Desde el botón “Editar” podrás marcar o desmarcar permisos estándar (lectura, escritura, modificar, etc.), pero cuando necesites cambios más profundos hay que ir un paso más allá.

Al pulsar “Opciones avanzadas” en la pestaña Seguridad se abre una ventana donde se pueden añadir o quitar entradas de permiso de forma granular. Desde aquí puedes:

  • Agregar nuevas reglas de permiso para usuarios o grupos concretos.
  • Quitar permisos heredados de una carpeta superior (con cuidado).
  • Ver qué permisos son heredados y cuáles son explícitos.

Los grupos y usuarios que aparecen por defecto (como el propietario o los grupos de administración) no siempre pueden eliminarse, precisamente para evitar que dejes el archivo sin ningún administrador capaz de recuperarlo. Aquí conviene ir con calma y asegurarte de que al menos un grupo administrador mantiene control total.

Para cambiar el propietario de un archivo o carpeta sin liarla, el proceso habitual es:

  1. Clic derecho sobre el archivo o carpeta y acceder a Propiedades.
  2. Ir a la pestaña “Seguridad” y pulsar en “Opciones avanzadas”.
  3. En la parte superior aparecerá el propietario actual; pulsar en “Cambiar”.
  4. En el cuadro de búsqueda de usuarios, escribir el nombre del nuevo propietario o usar “Opciones avanzadas > Buscar ahora” para localizarlo en la lista.
  5. Seleccionar el usuario o grupo que será el nuevo propietario y aceptar.
  6. Aplicar los cambios y, si procede, marcar la casilla para que la propiedad se herede a subcarpetas y archivos.
  Inodes en Linux: guía práctica para entender y solucionar problemas

Si quieres que solo esa persona tenga acceso, después de cambiar la propiedad puedes quitar los permisos de otros usuarios o grupos, dejando únicamente al nuevo propietario y, si quieres, a los administradores. Este enfoque resulta muy útil para traspasar carpetas personales importantes entre cuentas sin perder la privacidad.

Permisos en carpetas compartidas en red

Cuando compartes carpetas por red (por ejemplo, al montar un servidor FTP en Windows), entran en juego dos capas: los permisos de compartición y los permisos NTFS. Para cambiar quién puede acceder desde la red hay que usar la pestaña “Compartir” en las propiedades de la carpeta.

El flujo típico para dar acceso a un nuevo usuario es:

  1. Localizar la carpeta compartida en el Explorador, hacer clic derecho y entrar en Propiedades > pestaña Compartir.
  2. Pulsar en el botón “Compartir” para abrir el asistente de acceso a la red.
  3. En la lista desplegable, elegir un usuario existente o crear uno nuevo si es necesario.
  4. Si creas un usuario nuevo, Windows te llevará al Panel de control a la sección de cuentas (“Administrar otra cuenta”) y desde ahí a “Agregar un nuevo usuario en Configuración”.
    • En Configuración, usar “Agregar otra persona a este equipo” e introducir los datos de inicio de sesión (correo o teléfono) o crear una cuenta local.
  5. De vuelta en la ventana de compartir, seleccionar el nuevo usuario y pulsar en “Agregar”.
  6. Asignar el nivel de permiso (normalmente Lectura o Lectura/Escritura) y confirmar.

A partir de ese momento, el usuario tendrá acceso a la carpeta compartida conforme a los permisos de compartición y a los permisos NTFS que existan sobre esa carpeta. Lo recomendable es que ambas capas estén alineadas, es decir, que no concedas por compartición más de lo que permite NTFS.

Quitar permisos de una carpeta o archivo compartido

Tan importante como conceder accesos es saber retirarlos cuando ya no hacen falta. Por ejemplo, si un trabajador deja la empresa o un alumno ya no debe ver una carpeta, hay que revocar su permiso sobre el recurso compartido.

Para eliminar el acceso a una carpeta compartida desde la propia pestaña Compartir:

  1. Abrir las propiedades de la carpeta (clic derecho > Propiedades) y entrar en “Compartir”.
  2. Pulsar en el botón “Compartir” para ver la lista de usuarios con acceso.
  3. Seleccionar en el listado el usuario al que ya no quieres permitir el acceso.
  4. Abrir el desplegable de su nivel de permiso y escoger la opción “Quitar”.
  5. Al desaparecer de la lista, ese usuario dejará de tener acceso a la carpeta desde la red.

Si prefieres hacer una limpieza mucho más drástica, puedes utilizar en el Explorador de archivos la cinta de opciones de la pestaña Compartir y pulsar “Quitar el acceso a”. Esta acción borra los permisos de compartición de todos los usuarios sobre esa carpeta, dejándola de nuevo como una carpeta local no compartida.

Control de permisos desde la línea de comandos: takeown, cacls e icacls

Para administradores avanzados, la consola (símbolo del sistema) ofrece comandos potentes para gestionar propiedad y permisos de forma masiva, especialmente útil en scripts o cuando la interfaz gráfica se queda corta.

El comando takeown sirve para tomar posesión de un archivo o carpeta. Si no eres el propietario y necesitas serlo para cambiar permisos, puedes usar:

takeown /f "C:\Windows\System32" /r

Con este comando indicas que quieres tomar la propiedad de la carpeta System32 y todo su contenido (/r). Es una acción delicada que solo deberías hacer si tienes muy claro por qué la necesitas, ya que System32 es una carpeta crítica del sistema.

Ten en cuenta que takeown solo funciona sobre contenido almacenado en el equipo local; no podrás tomar posesión de recursos remotos de red con este comando.

Para gestionar permisos propiamente dichos, los comandos clásicos son cacls (hoy obsoleto, pero aún muy citado) y su sucesor icacls. Un ejemplo con cacls para dar control total al usuario “Nacho” sobre la carpeta “Softzone” de la unidad H: sería:

cacls "h:\softzone" /e /g nacho:f

En este caso:

  • /e indica que se editan los permisos existentes (sin reemplazarlos por completo).
  • /g nacho:f concede control total (F de full control) al usuario Nacho.

Si luego quieres denegarle cualquier acceso a esa carpeta, podrías ejecutar:

cacls "h:\softzone" /d nacho

Y si lo que buscas es que Nacho pueda entrar a la carpeta, pero solo en modo lectura, sin capacidad para modificar nada, bastaría con:

cacls "h:\softzone" /p nacho:r

El comando icacls ofrece todavía más opciones modernas, incluyendo cambiar propietarios desde consola. Por ejemplo, si no puedes cambiar el propietario desde la GUI, puedes recurrir a:

icacls "C:\RutaArchivo" /setowner Administradores

Este comando obliga a que el grupo “Administradores” pase a ser propietario del archivo, lo que permite recuperar el control en situaciones en las que los permisos se han complicado demasiado.

  Windows en MacBook Neo: así funciona realmente con Parallels

Escenario real: laboratorio con Windows 11 y usuarios problemáticos

En un laboratorio con unos 15 PCs con Windows 11 Pro y cuentas sin privilegios de administrador, es habitual encontrarse con usuarios que intentan “jugar” con el sistema: poner contraseñas al usuario de la máquina, conectarse al Wi‑Fi sin autorización o cambiar configuraciones clave.

Para minimizar estos riesgos se pueden tomar varias medidas combinadas:

  • Uso estricto de cuentas estándar: asegurarse de que nadie inicia sesión con cuentas de administrador, y que las cuentas usadas por los formadores no forman parte del grupo Administradores ni de otros grupos con permisos elevados.
  • Uso de políticas de grupo (GPO) o configuración local: deshabilitar el acceso al Panel de control, impedir el cambio de contraseña por parte del usuario estándar, bloquear la modificación de la configuración de red o el alta de nuevas redes Wi‑Fi no autorizadas.
  • Controlar o deshabilitar la instalación de software: mediante directivas, impedir que se ejecuten instaladores desde rutas no autorizadas o que se lancen ejecutables desde ubicaciones temporales.
  • Restauración rápida del sistema: implementar herramientas de congelación de estado (tipo Deep Freeze o similares) o usar imágenes de referencia que permitan reinstalar o restaurar la máquina en pocos minutos si alguien la sabotea.
  • Supervisión y auditoría: activar registros de seguridad para saber quién intenta cambiar contraseñas, conectarse a redes no permitidas o modificar configuraciones de sistema.

Un script de PowerShell bien diseñado puede ayudarte a comprobar de forma periódica que ningún usuario ha sido añadido por error al grupo de administradores, que las políticas de seguridad siguen aplicadas y que los grupos locales mantienen exactamente la estructura que has definido.

Problemas habituales al cambiar permisos en Windows y cómo afrontarlos

Tocar permisos a la ligera puede generar errores bastante molestos. Algunos de los más frecuentes cuando se gestionan archivos, grupos y propiedades son:

El típico mensaje de “Acceso denegado” al intentar cambiar un permiso suele indicar una de estas dos cosas: que la cuenta que estás usando no tiene privilegios de administrador o que el archivo está en uso. Para solucionarlo, revisa que tu usuario pertenezca al grupo Administradores, cierra cualquier programa que pueda estar usando el archivo y prueba de nuevo. Si sigue bloqueado, utiliza takeown para tomar posesión primero.

Otro error frecuente es “No tienes permisos suficientes para realizar esta acción”, incluso siendo administrador. En estos casos conviene ir a la pestaña Seguridad, abrir Opciones avanzadas y cambiar el propietario al usuario o al grupo Administradores. Una vez seas el propietario, podrás ajustar la ACL sin tantas restricciones.

Si Windows te avisa de que “el archivo está en uso” o “no se puede modificar porque está abierto en otro programa”, lo que ocurre es que otro proceso mantiene un bloqueo sobre ese archivo. Puedes buscar el proceso en el Administrador de tareas y cerrarlo, reiniciar en Modo seguro para liberar bloqueos o usar utilidades de terceros como IObit Unlocker si el archivo se resiste.

Cuando aparece la advertencia de que “no se puede cambiar el propietario” desde la interfaz, suele ser problema de permisos heredados enrevesados o de archivos de sistema especialmente protegidos. Ahí es donde icacls resulta muy útil al permitirte forzar el cambio de propietario desde consola con /setowner.

En general, conviene tener claro que un mal cambio de permisos puede provocar bloqueos serios: archivos que no se pueden borrar ni modificar, aplicaciones que dejan de funcionar o rutas críticas del sistema inaccesibles. Por eso es muy recomendable crear un punto de restauración antes de hacer cambios masivos y tener copias de seguridad actualizadas de los datos importantes.

Un buen diseño de grupos, el uso coherente de permisos NTFS y el hábito de actuar siempre sobre grupos en lugar de usuarios individuales hacen que renombrar un grupo o reajustar accesos sea una tarea segura. Combinando la interfaz gráfica de Windows con herramientas como runbooks de Active Directory, comandos como takeown e icacls y políticas de grupo bien definidas, puedes mantener tus equipos y servidores bajo control sin dejar a nadie tirado sin acceso ni comprometer la seguridad de tus datos.

gestionar usuarios windows con powershell
Artículo relacionado:
Guía definitiva para gestionar usuarios de Windows con PowerShell