2. Concepto de Cuentas de Usuario:
• Las cuentas de usuario de Active Directory representan entidades físicas,
como personas. También las puede usar como cuentas de servicio dedicadas
para algunas aplicaciones.
• A veces, las cuentas de usuario también se denominan entidades de
seguridad. Las entidades de seguridad son objetos de directorio a los que se
asignan automáticamente identificadores de seguridad (SID), que se pueden
usar para obtener acceso a recursos del dominio.
3. Principalmente una cuenta de usuario:
•Autentica la identidad de un usuario.
Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una
identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener
una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite
que varios usuarios compartan una misma cuenta.
•Autoriza o deniega el acceso a los recursos del dominio.
Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos
del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.
4. Cuentas de usuario
• El Contenedor de usuarios en el Centro de administración de
Active Directory contiene tres cuentas de usuario integradas: Administrador,
Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean
automáticamente al crear el dominio.
• Cada cuenta integrada tiene una combinación diferente de derechos y
permisos. La cuenta Administrador es la que tiene más derechos y permisos
en el dominio. La cuenta Invitado tiene derechos y permisos limitados. En la
tabla siguiente se describen las cuentas de usuario predeterminadas de los
controladores de dominio que ejecutan Windows Server 2008 R2
5. Protección de las cuentas de usuario
• Si un administrador de red no modifica los derechos y permisos de las cuentas integradas, un usuario (o
servicio) malintencionado puede usarlas para iniciar sesión en un dominio de forma no autorizada con la
cuenta Administrador o Invitado. Para obtener las ventajas de seguridad de la autenticación y autorización de
usuarios, utilice el Centro de administración de Active Directory para crear una cuenta de usuario individual
para cada usuario que vaya a participar en la red. Cuando se usan cuentas y grupos apropiados para una red
se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso solo a
los recursos permitidos.
• Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e
implementar una directiva de bloqueo de cuenta. Las contraseñas seguras reducen el riesgo de que se
adivinen las contraseñas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de
cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de
inicio de sesión. Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error
puede realizar una cuenta de usuario antes de que sea deshabilitada.
6. Concepto de Grupos
• Un grupo de Active Directory se compone de una colección de objetos (usuarios y
equipos, y otros grupos utilizados para simplificar el acceso a los recursos y envío de
correos electrónicos). Los grupos pueden utilizarse para asignar derechos
administrativos, acceso a recursos de red, o, para distribuir correo electrónico. Hay
grupos de varios sabores, y dependerá del modo en que el dominio se esté
ejecutando el que ciertas funcionalidades de grupo estén o no disponibles.
• Active Directory de Windows Server 2008 R2 es compatible con dos tipos ditintos
de grupos: Distribución y Seguridad. Ambos tienen sus propios usos y ventajas,
siempre que se utilicen correctamente y se hayan entendido sus características.
7. Tipos
• Los tipos de grupos determinan cómo se utiliza el grupo. Los tipos de
grupos de Microsoft Active Directory son los siguientes:Grupos de
seguridad: Microsoft Active Directory utiliza los grupos de seguridad para
otorgar permisos para, así, obtener acceso a los recursos.
• Grupos de distribución: las aplicaciones basadas en Windows utilizan los
grupos de distribución como listas para funciones no relacionadas con la
seguridad. Los grupos de distribución se utilizan para enviar mensajes de
correo electrónico a grupos de usuarios. No puede otorgar permisos de
Windows a grupos de distribución.
8. Ámbitos
• Los ámbitos de grupo describen qué tipo de objetos se pueden organizar
juntos dentro de un grupo. La anidación de grupos se describe cuándo un
grupo es un miembro de otros grupos. Los ámbitos de grupos de Microsoft
Active Directory son los siguientes:Grupo local del dominio:
• Uso de Windows: los miembros de este grupo pueden provenir de cualquier dominio,
pero pueden acceder a los recursos de Windows sólo en el dominio local. Utilice este
ámbito para otorgar permisos a los recursos del dominio que estén ubicados en el
mismo dominio en el que creó el grupo local del dominio. Los grupos locales de
dominio pueden existir en todos los niveles combinados, nativos y funcionales
provisionales de dominios y bosques.
9. • Grupo global: Uso de Windows: los miembros de este grupo tienen su
origen en un dominio local, pero pueden acceder a los recursos de Windows
de cualquier dominio. El grupo global se utiliza para organizar los usuarios
que comparten requisitos de acceso a red similares de Windows. Puede
añadir miembros sólo desde el dominio en que se cree el grupo global. Puede
utilizar este grupo para asignar los permisos para obtener acceso a los
recursos de Windows que estén ubicados en cualquier dominio del dominio,
árbol o bosque.
10. • Grupo universal: Uso de Windows: los miembros de este grupo pueden
provenir de cualquier dominio, y pueden acceder a los recursos de Windows
de varios dominios. Las pertenencias a los grupos universales no están
limitadas, como ocurre en los grupos globales. Todas las cuentas de usuario y
grupos del dominio pueden ser miembros de un grupo universal.
• Restricciones:
• Los grupos universales están disponibles cuando el dominio está en un nivel funcional
mixto de Windows.
• Puede resultar caro replicar estos datos en el bosque. Las definiciones y supresiones de
grupo son relativamente inusuales, en comparación con las acciones de usuario
equivalentes, y los cambios efectuados en la pertenencia a grupos anidados, por lo
general, son inusuales, en comparación con las pertenencias de los usuarios dentro de
los grupos.
11. Concepto de Unidades Organizativas
• Las Unidades Organizativas pueden usarse para organizar cientos de
objetos en el directorio dentro de unidades administrables. Las Unidades
Organizativas se usaran para agrupar y organizar objetos con propósitos
administrativos, como delegar permisos, asignar políticas de seguridad para
uno o varios objetos como uno solo. Las unidades organizativas pueden
contener otras unidades organizativas, pero no puede contener objetos de
otros dominios. La jerarquía de contenedores se puede extender tanto como
sea necesario dentro de un dominio.
12. Ventajas
Las unidades organizativas permiten a disminuir el número de dominios
necesarios en una red.
Puede aplicar directivas de seguridad y permisos administrativos a varios
objetos(usuarios)como uno solo.
Puede utilizar unidades organizativas para crear un modelo administrativo
que se puede ampliar a cualquier tamaño.
Un usuario puede tener autoridad administrativa para todas las unidades
organizativas de un dominio o sólo para una de ellas.
El administrador de una unidad organizativa no necesita tener autoridad
administrativa sobre cualquier otra unidad organizativa del dominio.
13. Organiza objetos en un dominio
• Las unidades organizativas contienen los objetos del dominio, como cuentas
de usuario, equipo y grupos. Archivos e impresoras compartidas publicados
en Active Directory y también pueden estar dentro de una unidad
organizativa
14. Delegar control administrativo
• Podemos asignar control administrativo, como el control total de permisos
sobre objetos de la unidad organizativa, o de forma limitada a modificar la
información de Correo electrónico de los usuarios de la unidad organizativa.
Para delegar control administrativo podemos especificar permisos en la
propia unidad organizativa y los objetos que contiene para uno o varios
usuarios y grupos.
15. Reducción de recursos agrupados
• Podemos usar las unidades organizativas para delegar la autoridad
administrativa. Un usuario puede tener privilegios administrativos sobre una
unidad organizativa o todas las unidades organizativas de un dominio.
Podemos entonces administrar la configuración y uso de las cuentas y
recursos basándonos en nuestro propio modelo de organización.