Este documento describe las cuentas de usuario, grupos y unidades organizativas en Active Directory. Explica que las cuentas de usuario representan entidades como personas o servicios, y que vienen con cuentas integradas como Administrador e Invitado. Los grupos permiten agrupar usuarios y recursos para asignar permisos de forma simplificada. Las unidades organizativas son contenedores para organizar objetos como usuarios, equipos y grupos, y delegar permisos de administración.

1. CUENTAS DE USUARIO,
GRUPOS Y UNIDADES
ORGANIZATIVAS

2. CUENTAS DE USUARIO

Las cuentas de usuario de Active Directory representan
entidades físicas, como personas. También las puede usar como
cuentas de servicio dedicadas para algunas aplicaciones.

A veces, las cuentas de usuario también se denominan
entidades de seguridad. Las entidades de seguridad son objetos
de directorio a los que se asignan automáticamente
identificadores de seguridad (SID), que se pueden usar para
obtener acceso a recursos del dominio. Principalmente, una
cuenta de usuario:

3. 
El Contenedor de usuarios en el Centro de administración de
Active Directory contiene tres cuentas de usuario integradas:
Administrador, Invitado y Asistente de ayuda. Estas cuentas de
usuario integradas se crean automáticamente al crear el
dominio.

Cada cuenta integrada tiene una combinación diferente de
derechos y permisos. La cuenta Administrador es la que tiene
más derechos y permisos en el dominio. La cuenta Invitado tiene
derechos y permisos limitados. En la tabla siguiente se describen
las cuentas de usuario predeterminadas de los controladores de
dominio que ejecutan Windows Server 2008 R2.

4. PROTECCIÓN DE LAS CUENTAS DE
USUARIO

Si un administrador de red no modifica los derechos y permisos
de las cuentas integradas, un usuario (o servicio)
malintencionado puede usarlas para iniciar sesión en un dominio
de forma no autorizada con la cuenta Administrador o Invitado.
Una recomendación de seguridad para proteger estas cuentas
es deshabilitarlas o cambiarles el nombre. Dado que una cuenta
de usuario cuyo nombre se ha cambiado conserva el SID,
conserva también las demás propiedades, como la descripción,
la contraseña, la pertenencia a grupos, el perfil de usuario, la
información de cuenta y todos los permisos y derechos de
usuario asignados.

5. 
Para obtener las ventajas de seguridad de la autenticación y
autorización de usuarios, utilice el Centro de administración de
Active Directory para crear una cuenta de usuario individual
para cada usuario que vaya a participar en la red.
Después, podrá agregar la cuenta de usuario (incluidas las
cuentas Administrador e Invitado) a un grupo con el fin de
controlar los derechos y permisos que tiene asignados. Cuando
se usan cuentas y grupos apropiados para una red se garantiza
que se puede identificar a los usuarios que inician sesión en ella
y que éstos tienen acceso solo a los recursos permitidos.

6. 
Para ayudar a proteger el dominio de los intrusos, puede requerir
el uso de contraseñas seguras e implementar una directiva de
bloqueo de cuenta. Las contraseñas seguras reducen el riesgo
de que se adivinen las contraseñas y de que se usen ataques de
diccionario en las mismas. Una directiva de bloqueo de cuenta
reduce la posibilidad de que un intruso ponga en peligro el
dominio mediante continuos intentos de inicio de sesión. Una
directiva de bloqueo de cuenta determina cuántos intentos de
inicio de sesión con error puede realizar una cuenta de usuario
antes de que sea deshabilitada.

7. GRUPOS

Un grupo de Active Directory se compone de una colección de
objetos (usuarios y equipos, y otros grupos utilizados para
simplificar el acceso a los recursos y envío de correos
electrónicos). Los grupos pueden utilizarse para asignar
derechos administrativos, acceso a recursos de red, o, para
distribuir correo electrónico.

Hay grupos de varios sabores, y dependerá del modo en que el
dominio se esté ejecutando el que ciertas funcionalidades de
grupo estén o no disponibles.

8. TIPOS DE GRUPOS

Active Directory contiene dos tipos ditintos de grupos:
Distribución y Seguridad. Ambos tienen sus propios usos y
ventajas, siempre que se utilicen correctamente y se hayan
entendido sus características.

Grupos de Distribución

Grupos de Seguridad

9. GRUPOS DE DISTRIBUCIÓN

Los grupos de distribución permiten el agrupamiento de
contactos, usuarios o grupos, principalmente para la distribución
de correo electrónico. Estos tipos de grupos no pueden utilizarse
para permitir o denegar el acceso a recursos del dominio. Las
Listas de Control de Acceso Discrecional (DACLs), que se utilizan
para permitir y/o denegar el acceso a los recursos, o para definir
los derechos de usuario, se componen de Entradas de Control
de Acceso (ACEs)

10. GRUPOS DE SEGURIDAD

Los grupos de seguridad tienen habilitada la seguridad y por
tanto pueden utilizarse en la asignación de derechos de usuario
y en los permisos del recurso, o, en la aplicación de directivas
de grupo basadas en AD o directivas de equipo. Los grupos
pueden crearse para recursos o tareas en particular, y cuando
se efectúan cambios en la lista de usuarios que necesitan
acceso, sólo debe modificarse la pertenencia de grupo para
reflejar los cambios en cada recurso que utiliza este grupo.

11. UNIDADES ORGANIZATIVAS

Simplemente, es un contenedor donde se pueden poner distintos
objetos de Active Directory como Usuarios, Computadoras,
Grupos y hasta otras OUs. Dentro de las mismas, podemos
delegar permisos de Administración sobre los objetos que
tenemos dentro y podemos adjuntar políticas de dominio, para
aplicar distintas configuraciones sobre los tipos de objetos que
tengamos dentro.

12. FUNCIONES DE LAS U. ORGANIZATIVAS

Las Unidades Organizativas pueden usarse para organizar
cientos de objetos en el directorio dentro de unidades
administrables. Las Unidades Organizativas se usaran para
agrupar y organizar objetos con propósitos administrativos,
como delegar permisos, asignar políticas de seguridad para uno
o varios objetos como uno solo. Las unidades organizativas
pueden contener otras unidades organizativas, pero no puede
contener objetos de otros dominios. La jerarquía de
contenedores se puede extender tanto como sea necesario
dentro de un dominio.