Este documento describe los usuarios, grupos y unidades organizativas (OU) en Windows Server 2008. Explica que los usuarios representan entidades como personas o cuentas de servicio, y que se les asignan permisos para acceder a recursos del dominio. También describe las cuentas predeterminadas de Administrador e Invitado, y recomienda protegerlas cambiándoles el nombre o deshabilitándolas. Finalmente, explica que los grupos y OUs permiten organizar y administrar de forma más eficiente los objetos y permisos en el dominio.
1. Usuarios Grupos y OU en
Windows Server 2008
Por: Elvis Raza Arredondo
Seguridad de Redes II
2. Usuario en Active Directory
Las cuentas de usuario de Active Directory representan entidades
físicas, como personas. También las puede usar como cuentas de servicio
dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario también se denominan entidades de
seguridad. Las entidades de seguridad son objetos de directorio a los que
se asignan automáticamente identificadores de seguridad (SID), que se
pueden usar para obtener acceso a recursos del dominio
3. Principalmente una cuenta de usuario:
Autentica la identidad de un usuario
Una cuenta de usuario permite que un usuario inicie sesión en
equipos y dominios con una identidad que el dominio pueda
autenticar. Un usuario que inicia sesión en la red debe tener una
cuenta de usuario y una contraseña propias y únicas. Para maximizar la
seguridad, evite que varios usuarios compartan una misma cuenta.
Autoriza o deniega el acceso a los recursos del dominio
Después de que un usuario se autentica, se le concede o se le deniega
el acceso a los recursos del dominio en función de los permisos
explícitos que se le hayan asignado en el recurso.
4. Cuenta de Usuario Predeterminada
Administrador
La cuenta Administrador es la primera cuenta que se crea cuando se
configura un nuevo dominio con el Asistente para la instalación de los
Servicios de dominio de Active Directory.
La cuenta Administrador es un miembro predeterminado.
La cuenta Administrador nunca se puede eliminar ni quitar del grupo
Administradores, pero es posible cambiarle el nombre o deshabilitarla.
Invitado
Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta
Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado)
también puede usar la cuenta Invitado.
Puede asignar derechos y permisos para la cuenta Invitado de la misma
forma que para cualquier cuenta de usuario.
La cuenta Invitado está deshabilitada de forma predeterminada y
recomendamos que permanezca así.
5. Protección de las cuentas de usuario
- Proteger estas cuentas es deshabilitarlas o cambiarles el nombre de
Administrador y Invitado.
- Para obtener las ventajas de seguridad de la autenticación y
autorización de usuarios, utilice el Centro de administración de Active
Directory para crear una cuenta de usuario individual para cada
usuario que vaya a participar en la red.
- Cuando se usan cuentas y grupos apropiados para una red se garantiza
que se puede identificar a los usuarios que inician sesión en ella y que
éstos tienen acceso solo a los recursos permitidos.
- Para ayudar a proteger el dominio de los intrusos, puede requerir el
uso de contraseñas seguras e implementar una directiva de bloqueo
de cuenta.
- Una directiva de bloqueo de cuenta reduce la posibilidad de que un
intruso ponga en peligro el dominio mediante continuos intentos de
inicio de sesión.
- Una directiva de bloqueo de cuenta determina cuántos intentos de
inicio de sesión con error puede realizar una cuenta de usuario antes
de que sea deshabilitada.
6. Grupos en Active Directory
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y
otros grupos que se pueden administrar como una sola unidad. Los
usuarios y los equipos que pertenecen a un grupo determinado se
denominan miembros del grupo.
Los grupos de Servicios de dominio de Active Directory (AD DS) son
objetos de directorio que residen en un dominio y en objetos
contenedores de unidad organizativa (OU).
Los grupos de AD DS se pueden usar para:
- Simplificar la administración al asignar los permisos para un recurso
compartido a un grupo en lugar de a usuarios individuales. Cuando se
asignan permisos a un grupo, se concede el mismo acceso al recurso a
todos los miembros de dicho grupo.
- Delegar la administración asignando derechos de usuario a un grupo
una sola vez mediante la directiva de grupo. Después, a ese grupo le
puede agregar miembros que desee que tengan los mismos derechos
que el grupo.
- Crear listas de distribución de correo electrónico.
7. Ámbito de grupo
Los grupos se caracterizan por un ámbito que identifica su alcance en el
bosque o árbol de dominios. Existen tres ámbitos de grupo: local de
dominio, global y universal.
Grupos locales de dominio
Los miembros de los grupos locales de dominio pueden incluir otros grupos
y cuentas de dominios de Windows Server . A los miembros de estos grupos
solo se les pueden asignar permisos dentro de un dominio.
Los grupos con ámbito Local de dominio ayudan a definir y administrar el
acceso a los recursos dentro de un dominio único. Estos grupos pueden
tener los siguientes miembros:
-
Cuentas de cualquier dominio
Grupos globales de cualquier dominio
Grupos universales de cualquier dominio
Grupos locales de dominio, pero solo del mismo dominio que el grupo
local de dominio primario
8. Grupos globales
Los miembros de los grupos globales pueden incluir cuentas del mismo
dominio que el grupo global primario y los grupos globales del mismo dominio
que el grupo global primario. A los miembros de estos grupos se les pueden
asignar permisos en cualquier dominio del bosque.
Use los grupos con ámbito Global para administrar objetos de directorio que
requieran un mantenimiento diario, como las cuentas de usuario y de equipo.
Grupos universales
A los miembros de estos grupos se les pueden asignar permisos en cualquier
dominio del bosque o del árbol de dominios. Use los grupos con ámbito
Universal para consolidar los grupos que abarquen varios dominios.
Los grupos universales pueden tener los siguientes miembros:
- Cuentas de cualquier dominio del bosque en el que reside este
grupo universal
- Grupos globales de cualquier dominio del bosque en el que reside
este grupo universal
- Grupos universales de cualquier dominio del bosque en el que
reside este grupo universal
9. UO en Active Directory
La unidad organizativa (OU) es un tipo de objeto de directorio
especialmente útil en los dominios. Las unidades organizativas son
contenedores de Active Directory donde se pueden colocar
usuarios, grupos, equipos y otras unidades organizativas. Una unidad
organizativa no puede contener objetos de otros dominios.
Una unidad organizativa es el ámbito o la unidad más pequeña a la que se
pueden asignar valores de configuración de directiva de grupo o a la que se
puede delegar autoridad administrativa.
10. Organiza objetos en un dominio:
Las OUs contienen los objetos del dominio, como cuentas de
usuario, equipo y grupos. Archivos e impresoras compartidas publicados
en AD también pueden estar dentro de una OU.
Delegar control administrativo:
Podemos asignar control administrativo, como el control total de permisos
sobre objetos de la OU, o de forma limitada a modificar la información de
correo electrónico de los usuarios de la OU .
Simplifican la administración de recursos comúnmente agrupados:
Podemos delegar privilegios administrativos sobre atributos individuales
en objetos individuales de AD, pero normalmente usaremos las OU para
delegar esa autoridad administrativa. Un usuario puede tener privilegios
administrativos sobre una OU o toas las OUs de un dominio. Utilizándolas
podemos crear contenedores que dentro del dominio representen la
jerarquía o las estructuras lógicas de la empresa.