Cuentas de usuario Las cuentas de usuario de Active Directory representan entidades fsicas, como personas.

Las cuentas de usuario tambin se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones. A veces, las cuentas de usuario tambin se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:

Autentica la identidad de un usuario. Una cuenta de usuario permite que un usuario inicie sesin en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesin en la red debe tener una cuenta de usuario y una contrasea propias y nicas. Autoriza o deniega el acceso a los recursos del dominio.

Despus de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en funcin de los permisos explcitos que se le hayan asignado en el recurso. El contenedor de usuarios de Usuarios y equipos de Active Directory muestra tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automticamente al crear el dominio. Cada cuenta integrada tiene una combinacin diferente de derechos y permisos

Grupos

En la carpeta Grupos, que se encuentra en el complemento Usuarios y grupos locales de MMC (Microsoft Management Console), se muestran los grupos locales predeterminados y los creados por los usuarios. Los grupos locales predeterminados se crean automticamente al instalar el sistema operativo. Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de equipo y cuentas de grupo a los grupos locales; los grupos predeterminados que se encuentran en la carpeta Grupos.

Administradores: Los miembros de este grupo tienen control total del equipo y pueden asignar derechos de usuario y permisos de control de acceso a los usuarios segn sea necesario. Tener acceso a este equipo desde la red. 1. 2. 3. 4. 5. 6. 7. 8. 9. Ajustar las cuotas de la memoria para un proceso Permitir el inicio de sesin local Permitir inicio de sesin a travs de Terminal Services Hacer copias de seguridad de archivos y directorios Omitir comprobacin de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginacin Crear objetos globales

10. Crear vnculos simblicos 11. Depurar programas 12. Forzar cierre desde un sistema remoto 13. Suplantar a un cliente tras la autenticacin 14. Aumentar prioridad de programacin 15. Cargar y descargar controladores de dispositivo 16. Iniciar sesin como proceso por lotes 17. Administrar registro de seguridad y auditora 18. Modificar valores de entorno firmware 19. Realizar tareas de mantenimiento del volumen 20. Analizar un solo proceso

21. Analizar el rendimiento del sistema 22. Quitar equipo de la estacin de acoplamiento 23. Restaurar archivos y directorios 24. Apagar el sistema 25. Tomar posesin de archivos y otros objetos

Operadores de copia de seguridad Los miembros de este grupo pueden hacer copias de seguridad y restaurar archivos de un equipo, independientemente de los permisos que protejan dichos archivos, Los miembros de este grupo no pueden cambiar la configuracin de seguridad. 1. 2. 3. 4. 5. 6. 7. Tener acceso a este equipo desde la red Permitir el inicio de sesin local Hacer copias de seguridad de archivos y directorios Omitir comprobacin de recorrido Iniciar sesin como proceso por lotes Restaurar archivos y directorios Apagar el sistema

Operadores criptogrficos Los miembros de este grupo estn autorizados a realizar operaciones criptogrficas. Usuarios de COM distribuido; Los miembros de este grupo pueden iniciar, activar y usar objetos DCOM en un equipo.

Invitados Los miembros de este grupo disponen de un perfil temporal que se crea al iniciar la sesin y que se elimina cuando el miembro la cierra. La cuenta Invitado (que est deshabilitada de forma predeterminada) tambin es miembro del grupo de forma predeterminada.

IIS_IUSRS Es un grupo integrado que usa Internet Information Services (IIS). Operadores de configuracin de red; Los miembros de este grupo pueden modificar la configuracin TCP/IP, y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningn miembro predeterminado.

Usuarios del registro de rendimiento Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de un equipo, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores.

Usuarios del monitor de sistema Los miembros de este grupo pueden supervisar los contadores de rendimiento de un equipo, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.

Usuarios avanzados De forma predeterminada, los miembros de este grupo no tienen ms derechos o permisos de usuario que una cuenta de usuario estndar. El grupo Usuarios avanzados de versiones anteriores de Windows se dise para otorgar derechos y permisos de administrador especficos para realizar tareas del sistema habituales. En esta versin de Windows, las cuentas de usuario estndar tienen, de forma inherente, la capacidad de realizar las tareas de configuracin ms habituales, como el cambio de las zonas horarias. En el caso de las aplicaciones heredadas que requieren los mismos derechos y permisos del grupo Usuarios avanzados que se encontraban en versiones anteriores de Windows, los administradores pueden aplicar una plantilla de seguridad que los otorgue.

Usuarios de escritorio remoto Los miembros de este grupo pueden iniciar una sesin en el equipo de forma remota. 1. Permitir inicio de sesin a travs de Terminal Services

Replicador

Este grupo admite funciones de rplica. El nico miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se use para iniciar sesin en los servicios de Replicador de un controlador de dominio. No agregue a este grupo cuentas de usuario de usuarios reales.

Usuarios Los miembros del grupo Usuarios pueden realizar las tareas ms habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el equipo. Los miembros de este grupo no pueden compartir directorios ni crear impresoras locales. Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo. 2. 3. 4. 5. 6. 7. 8. 9. Tener acceso a este equipo desde la red Permitir el inicio de sesin local Omitir comprobacin de recorrido Cambiar la zona horaria Aumentar el espacio de trabajo de un proceso Quitar equipo de la estacin de acoplamiento Apagar el sistema Ofrecer aplicaciones auxiliares de asistencia remota

10. Los miembros de este grupo pueden ofrecer Asistencia remota a los usuarios de este equipo.

Administrador: La cuenta Administrador tiene control total del dominio. Esta cuenta slo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contrasea segura.

La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active Directory: Administradores, Administradores del dominio, Administradores de organizacin, Propietarios del creador de directivas de grupo y Administradores de esquema

Nota: La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla, Aunque est deshabilitada puede seguir usndose para obtener acceso a un controlador de dominio con el modo seguro.

Invitado: Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado, La cuenta Invitado no requiere ninguna contrasea. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. Cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio.

Asistente de ayuda (se instala con una sesin de Asistencia remota): Es la cuenta principal para establecer una sesin de Asistencia remota. Esta cuenta se crea automticamente al solicitar una sesin de Asistencia remota. Tiene acceso limitado al equipo. La cuenta se elimina automticamente si no hay solicitudes de Asistencia remota pendientes.

Seguridad para tener en cuenta: el administrador de red no modifica o deshabilita los derechos y los permisos de las cuentas integradas, Una recomendacin de seguridad para proteger estas cuentas es deshabilitarlas o cambiarles el nombre, Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseas seguras e implementar una directiva de bloqueo de cuenta. 1. 2. 3. 4. 5. 6. 7. 8. 9. El usuario debe cambiar la contrasea en el siguiente inicio de sesin El usuario no puede cambiar la contrasea La contrasea nunca expira Almacenar contraseas usando cifrado reversible Cuenta deshabilitada La tarjeta inteligente es necesaria para un inicio de sesin interactivo Se confa en la cuenta para su delegacin La cuenta es importante y no se puede delegar Usar tipos de cifrado DES para esta cuenta

10. No pedir la autenticacin Kerberos previa