CUENTAS DE USUARIO, GRUPOS Y UNIDADES ORGANIZATIVAS

CUENTAS DE USUARIO

Las cuentas de usuario de Active Directory representan entidades físicas, como personas. También las puede usar como cuentas de servicio dedicadas para algunas aplicaciones.

A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:

El Contenedor de usuarios en el Centro de administración de Active Directory contiene tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.

Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador es la que tiene más derechos y permisos en el dominio. La cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio que ejecutan Windows Server 2008 R2.

PROTECCIÓN DE LAS CUENTAS DE USUARIO

Si un administrador de red no modifica los derechos y permisos de las cuentas integradas, un usuario (o servicio) malintencionado puede usarlas para iniciar sesión en un dominio de forma no autorizada con la cuenta Administrador o Invitado. Una recomendación de seguridad para proteger estas cuentas es deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva también las demás propiedades, como la descripción, la contraseña, la pertenencia a grupos, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario asignados.

Para obtener las ventajas de seguridad de la autenticación y autorización de usuarios, utilice el Centro de administración de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Después, podrá agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso solo a los recursos permitidos.

Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e implementar una directiva de bloqueo de cuenta. Las contraseñas seguras reducen el riesgo de que se adivinen las contraseñas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesión. Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error puede realizar una cuenta de usuario antes de que sea deshabilitada.

GRUPOS

Un grupo de Active Directory se compone de una colección de objetos (usuarios y equipos, y otros grupos utilizados para simplificar el acceso a los recursos y envío de correos electrónicos). Los grupos pueden utilizarse para asignar derechos administrativos, acceso a recursos de red, o, para distribuir correo electrónico.

Hay grupos de varios sabores, y dependerá del modo en que el dominio se esté ejecutando el que ciertas funcionalidades de grupo estén o no disponibles.

TIPOS DE GRUPOS

Active Directory contiene dos tipos ditintos de grupos: Distribución y Seguridad. Ambos tienen sus propios usos y ventajas, siempre que se utilicen correctamente y se hayan entendido sus características.

Grupos de Distribución

Grupos de Seguridad

GRUPOS DE DISTRIBUCIÓN

Los grupos de distribución permiten el agrupamiento de contactos, usuarios o grupos, principalmente para la distribución de correo electrónico. Estos tipos de grupos no pueden utilizarse para permitir o denegar el acceso a recursos del dominio. Las Listas de Control de Acceso Discrecional (DACLs), que se utilizan para permitir y/o denegar el acceso a los recursos, o para definir los derechos de usuario, se componen de Entradas de Control de Acceso (ACEs)

GRUPOS DE SEGURIDAD

Los grupos de seguridad tienen habilitada la seguridad y por tanto pueden utilizarse en la asignación de derechos de usuario y en los permisos del recurso, o, en la aplicación de directivas de grupo basadas en AD o directivas de equipo. Los grupos pueden crearse para recursos o tareas en particular, y cuando se efectúan cambios en la lista de usuarios que necesitan acceso, sólo debe modificarse la pertenencia de grupo para reflejar los cambios en cada recurso que utiliza este grupo.

UNIDADES ORGANIZATIVAS

Simplemente, es un contenedor donde se pueden poner distintos objetos de Active Directory como Usuarios, Computadoras, Grupos y hasta otras OUs. Dentro de las mismas, podemos delegar permisos de Administración sobre los objetos que tenemos dentro y podemos adjuntar políticas de dominio, para aplicar distintas configuraciones sobre los tipos de objetos que tengamos dentro.

FUNCIONES DE LAS U. ORGANIZATIVAS

Las Unidades Organizativas pueden usarse para organizar cientos de objetos en el directorio dentro de unidades administrables. Las Unidades Organizativas se usaran para agrupar y organizar objetos con propósitos administrativos, como delegar permisos, asignar políticas de seguridad para uno o varios objetos como uno solo. Las unidades organizativas pueden contener otras unidades organizativas, pero no puede contener objetos de otros dominios. La jerarquía de contenedores se puede extender tanto como sea necesario dentro de un dominio.