Active Directory contiene objetos como usuarios, grupos y unidades organizativas. Los usuarios representan personas y cuentas de servicio. Los grupos agrupan usuarios y equipos para administrar permisos y recursos de forma conjunta. Las unidades organizativas organizan objetos en unidades administrables para aplicar políticas de seguridad y delegar permisos.

1. OBJETOS DE ACTIVE DIRECTORY
USUARIOS
• Las cuentas de usuario de Active Directory representan entidades físicas, como
personas. Las cuentas de usuario también se pueden usar como cuentas de servicio
dedicadas para algunas aplicaciones.
• CUENTA DE USUARIO PREDETERMINADA
• Administrador.- La cuenta Administrador tiene control total del dominio. Puede asignar
derechos de usuario y permisos de control de acceso a los usuarios del dominio según
sea necesario.
• Invitado.- Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta
Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también
puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.
• Asistente de ayuda (se instala con una sesión de Asistencia remota) .-Es la cuenta
principal para establecer una sesión de Asistencia remota. Tiene acceso limitado al
equipo.
• OPCIONES DE CUENTA:
• El usuario debe cambiar la contraseña en el siguiente inicio de sesión .- Obliga al
usuario a cambiar su contraseña la próxima vez que inicie sesión en la red.
• El usuario no puede cambiar la contraseña.- Impide que un usuario cambie su
contraseña. Habilite esta opción si desea mantener el control de una cuenta de
usuario, tal como una cuenta Invitado o una cuenta temporal.
• La contraseña nunca expira.- Impide que una contraseña de usuario expire.
Recomendamos que las cuentas de servicio tengan esta opción habilitada y usen
contraseñas seguras.
• Almacenar contraseñas usando cifrado reversible.- Permite al usuario iniciar sesión en
una red de Windows desde un equipo Apple. Si el usuario no inicia sesión desde un
equipo Apple, no habilite esta opción.
• La cuenta está deshabilitada.- Impide al usuario iniciar sesión con la cuenta
seleccionada. Muchos administradores usan cuentas deshabilitadas como plantillas
para las cuentas de usuario normales.
• La tarjeta inteligente es necesaria para un inicio de sesión interactivo
• Se confía en la cuenta para su delegación
• La cuenta es importante y no se puede delegar
• Usar tipos de cifrado DES para esta cuenta
• No pedir la autenticación Kerberos previa

2. GRUPOS
• Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos
que se pueden administrar como una sola unidad. Los usuarios y los equipos que
pertenecen a un grupo determinado se denominan miembros del grupo.
• Los grupos de AD DS se pueden usar para:
• Simplificar la administración al asignar los permisos para un recurso compartido a un
grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un grupo, se
concede el mismo acceso al recurso a todos los miembros de dicho grupo.
• Delegar la administración al asignar derechos de usuario a un grupo una sola vez
mediante la directiva de grupo.
• Crear listas de distribución de correo electrónico.
• Información acerca de los grupos predeterminados .-Los grupos predeterminados,
como es el caso del grupo Administradores del dominio, son grupos de seguridad que
se crean automáticamente cuando se crea un dominio de Active Directory.
• Cuando se agrega un usuario a un grupo, ese usuario recibe:
• Todos los derechos de usuario asignados al grupo
• Todos los permisos asignados al grupo para los recursos compartidos
• Información acerca del ámbito de grupo .- Los grupos se caracterizan por un ámbito
que identifica su alcance en el bosque o árbol de dominios. Existen tres ámbitos de
grupo: local de dominio, global y universal.
• Información acerca de los grupos locales de dominio.- Los miembros de los grupos
locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows
Server 2003, Windows 2000, Windows NT, Windows Server 2008 y Windows
Server 2008 R2. A los miembros de estos grupos sólo se les pueden asignar permisos
dentro de un dominio.
• Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los
recursos dentro de un dominio único. Estos grupos pueden tener los siguientes
miembros:
• Grupos con ámbito Global
• Grupos con ámbito Universal
• Cuentas
• Otros grupos con ámbito Local de dominio

3. UNIDAD
ORGANIZATIVA
• Las Unidades Organizativas pueden usarse para organizar cientos de objetos en el
directorio dentro de unidades administrables. Las Unidades Organizativas se usaran
para agrupar y organizar objetos con propósitos administrativos, como delegar
permisos, asignar políticas de seguridad para uno o varios objetos como uno solo. La
jerarquía de contenedores se puede extender tanto como sea necesario dentro de un
dominio.
• Ventajas
• Las unidades organizativas permiten a disminuir el número de dominios necesarios en
una red.
• Puede aplicar directivas de seguridad y permisos administrativos a varios
objetos(usuarios)como uno solo.
• Puede utilizar unidades organizativas para crear un modelo administrativo que se
puede ampliar a cualquier tamaño.
• Un usuario puede tener autoridad administrativa para todas las unidades organizativas
de un dominio o sólo para una de ellas.
• El administrador de una unidad organizativa no necesita tener autoridad administrativa
sobre cualquier otra unidad organizativa del dominio.
• Delegar control administrativo
• Podemos asignar control administrativo, como el control total de permisos sobre
objetos de la unidad organizativa, o de forma limitada a modificar la información
de Correo electrónico de los usuarios de la unidad organizativa. Para delegar control
administrativo podemos especificar permisos en la propia unidad organizativa y los
objetos que contiene para uno o varios usuarios y grupos.
• Reducción de recursos agrupados
• Podemos usar las unidades organizativas para delegar la autoridad administrativa. Un
usuario puede tener privilegios administrativos sobre una unidad organizativa o todas
las unidades organizativas de un dominio. Podemos entonces administrar la
configuración y uso de las cuentas y recursos basándonos en nuestro propio modelo de
organización.