Por: Elvis Raza Arredondo Seguridad de Redes II

Usuarios Grupos y OU en Windows Server 2008

Las cuentas de usuario de Active Directory representan entidades físicas, como personas. También las puede usar como cuentas de servicio dedicadas para algunas aplicaciones.A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio

Usuario en Active Directory

Autentica la identidad de un usuario

Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.

Autoriza o deniega el acceso a los recursos del dominio

Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.

Principalmente una cuenta de usuario:

Cuenta de Usuario Predeterminada

La cuenta Administrador es la primera cuenta que se crea cuando se configura un nuevo dominio con el Asistente para la instalación de los Servicios de dominio de Active Directory.La cuenta Administrador es un miembro predeterminado.La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla.

Administrador

Invitado

Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado.Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. La cuenta Invitado está deshabilitada de forma predeterminada y recomendamos que permanezca así.

- Proteger estas cuentas es deshabilitarlas o cambiarles el nombre de Administrador y Invitado.

- Para obtener las ventajas de seguridad de la autenticación y autorización de usuarios, utilice el Centro de administración de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red.

- Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso solo a los recursos permitidos.

- Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e implementar una directiva de bloqueo de cuenta.

- Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesión.

- Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error puede realizar una cuenta de usuario antes de que sea deshabilitada.

Protección de las cuentas de usuario

Grupos en Active Directory

Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una sola unidad. Los usuarios y los equipos que pertenecen a un grupo determinado se denominan miembros del grupo.Los grupos de Servicios de dominio de Active Directory (AD DS) son objetos de directorio que residen en un dominio y en objetos contenedores de unidad organizativa (OU).

Los grupos de AD DS se pueden usar para:

- Simplificar la administración al asignar los permisos para un recurso compartido a un grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un grupo, se concede el mismo acceso al recurso a todos los miembros de dicho grupo.

- Delegar la administración asignando derechos de usuario a un grupo una sola vez mediante la directiva de grupo. Después, a ese grupo le puede agregar miembros que desee que tengan los mismos derechos que el grupo.

- Crear listas de distribución de correo electrónico.

Ámbito de grupo

Los grupos se caracterizan por un ámbito que identifica su alcance en el bosque o árbol de dominios. Existen tres ámbitos de grupo: local de dominio, global y universal.

Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server . A los miembros de estos grupos solo se les pueden asignar permisos dentro de un dominio.Los grupos con ámbito Local de dominio ayudan a definir y administrar el acceso a los recursos dentro de un dominio único. Estos grupos pueden tener los siguientes miembros:

- Cuentas de cualquier dominio- Grupos globales de cualquier dominio- Grupos universales de cualquier dominio- Grupos locales de dominio, pero solo del mismo dominio que el grupo

local de dominio primario

Grupos locales de dominio

Grupos globalesLos miembros de los grupos globales pueden incluir cuentas del mismo dominio que el grupo global primario y los grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.Use los grupos con ámbito Global para administrar objetos de directorio que requieran un mantenimiento diario, como las cuentas de usuario y de equipo.

Grupos universales

Los grupos universales pueden tener los siguientes miembros:- Cuentas de cualquier dominio del bosque en el que reside este

grupo universal- Grupos globales de cualquier dominio del bosque en el que reside

este grupo universal- Grupos universales de cualquier dominio del bosque en el que

reside este grupo universal

A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del árbol de dominios. Use los grupos con ámbito Universal para consolidar los grupos que abarquen varios dominios.

UO en Active Directory La unidad organizativa (OU) es un tipo de objeto de directorio especialmente útil en los dominios. Las unidades organizativas son contenedores de Active Directory donde se pueden colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

Una unidad organizativa es el ámbito o la unidad más pequeña a la que se pueden asignar valores de configuración de directiva de grupo o a la que se puede delegar autoridad administrativa.

Organiza objetos en un dominio:

Las OUs contienen los objetos del dominio, como cuentas de usuario, equipo y grupos. Archivos e impresoras compartidas publicados en AD también pueden estar dentro de una OU. Delegar control administrativo:

Podemos asignar control administrativo, como el control total de permisos sobre objetos de la OU, o de forma limitada a modificar la información de correo electrónico de los usuarios de la OU .

Simplifican la administración de recursos comúnmente agrupados:

Podemos delegar privilegios administrativos sobre atributos individuales en objetos individuales de AD, pero normalmente usaremos las OU para delegar esa autoridad administrativa. Un usuario puede tener privilegios administrativos sobre una OU o toas las OUs de un dominio. Utilizándolas podemos crear contenedores que dentro del dominio representen la jerarquía o las estructuras lógicas de la empresa.