Informacin acerca de las cuentas

de usuario
Las cuentas de usuario de Active Directory representan entidades fsicas, como personas. Las cuentas de
usuario tambin se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario tambin se denominan entidades de seguridad. Las entidades de seguridad
son objetos de directorio a los que se asignan automticamente identificadores de seguridad (SID), que se
pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:

Autentica la identidad de un usuario.

Una cuenta de usuario permite que un usuario inicie sesin en equipos y dominios con una identidad
que el dominio pueda autenticar. Un usuario que inicia sesin en la red debe tener una cuenta de
usuario y una contrasea propias y nicas. Para maximizar la seguridad, evite que varios usuarios
compartan una misma cuenta.

Autoriza o deniega el acceso a los recursos del dominio.

Despus de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del
dominio en funcin de los permisos explcitos que se le hayan asignado en el recurso.

Cuentas de usuario

El contenedor de usuarios del complemento Usuarios y equipos de Active Directory muestra tres cuentas de
usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean
automticamente al crear el dominio.
Cada cuenta integrada tiene una combinacin diferente de derechos y permisos. La cuenta Administrador es
la que tiene ms derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisos
limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de
dominio que ejecutan el sistema operativo Windows Server 2008 R2.

Cuenta
de
usuario
predeterminada
Administrador

Descripcin

La cuenta Administrador tiene control total del dominio. Puede asignar

derechos de usuario y permisos de control de acceso a los usuarios del
dominio segn sea necesario. Esta cuenta slo se debe usar para las
tareas que requieran credenciales administrativas. Es recomendable que
configure esta cuenta con una contrasea segura.
La cuenta Administrador es un miembro predeterminado de los
siguientes grupos de Active Directory: Administradores,
Administradores del dominio, Administradores de organizacin,
Propietarios del creador de directivas de grupo y Administradores de
esquema. La cuenta Administrador nunca se puede eliminar ni quitar
del grupo Administradores, pero es posible cambiarle el nombre o

deshabilitarla. Como es sabido que la cuenta Administrador existe en

muchas versiones de Windows, si le cambia el nombre o la deshabilita
dificultar el acceso a ella a usuarios malintencionados.
La cuenta Administrador es la primera cuenta que se crea cuando se
configura un nuevo dominio con el Asistente para instalacin de los
Servicios de dominio de Active Directory.
Importante
Aunque la cuenta Administrador est deshabilitada, puede seguir
usndose para obtener acceso a un controlador de dominio con el
modo seguro.

Invitado

Los usuarios que no tienen una cuenta en el dominio pueden usar la

cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no
eliminado) tambin puede usar la cuenta Invitado. La cuenta Invitado
no requiere ninguna contrasea.
Puede asignar derechos y permisos para la cuenta Invitado de la misma
forma que para cualquier cuenta de usuario. De manera predeterminada,
la cuenta Invitado es miembro del grupo integrado Invitados y del grupo
global Invitados de dominio, lo que permite al usuario iniciar sesin en
un dominio. La cuenta Invitado est deshabilitada de forma
predeterminada y recomendamos que permanezca as.

Asistente
de
ayuda (se instala
con una sesin de
Asistencia
remota)

Es la cuenta principal para establecer una sesin de Asistencia remota.

Esta cuenta se crea automticamente al solicitar una sesin de
Asistencia remota. Tiene acceso limitado al equipo. La cuenta Asistente
de ayuda se administra mediante el servicio Administrador de sesin de
Ayuda de escritorio remoto. La cuenta se elimina automticamente si
no hay solicitudes de Asistencia remota pendientes.

Proteccin de las cuentas de usuario

Si el administrador de red no modifica o deshabilita los derechos y los permisos de las cuentas integradas, un
usuario (o servicio) malintencionado puede usarlos para iniciar sesin en un dominio de forma no autorizada
con la cuenta Administrador o Invitado. Una recomendacin de seguridad para proteger estas cuentas es
deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva
el SID, conserva tambin las dems propiedades, como la descripcin, la contrasea, la pertenencia a grupos,
el perfil de usuario, la informacin de cuenta y todos los permisos y derechos de usuario asignados.
Para obtener las ventajas de seguridad de la autenticacin y autorizacin de usuarios, utilice Usuarios y equipos
de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la
red. Despus, podr agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo
con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos
apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesin en ella y que
stos tienen acceso slo a los recursos permitidos.
Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseas seguras e implementar
una directiva de bloqueo de cuenta. Las contraseas seguras reducen el riesgo de que se adivinen las
contraseas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce
la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin.

Una directiva de bloqueo de cuenta determina cuntos intentos de inicio de sesin con error puede realizar
una cuenta de usuario antes de que sea deshabilitada.

Opciones de cuenta

Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cmo se autentica en la red
alguien que inicie sesin con esa cuenta de usuario concreta. Con las opciones de la tabla siguiente se puede
establecer la configuracin de las contraseas y la informacin especfica de la seguridad de las cuentas de
usuario.

Opcin de cuenta

Descripcin

El usuario debe
cambiar
la
contrasea en el
siguiente inicio
de sesin

Obliga al usuario a cambiar su contrasea la prxima vez que inicie

sesin en la red. Habilite esta opcin cuando desee estar seguro de que
el usuario es la nica persona que conoce la contrasea.

El usuario no
puede cambiar la
contrasea

Impide que un usuario cambie su contrasea. Habilite esta opcin si

desea mantener el control de una cuenta de usuario, tal como una cuenta
Invitado o una cuenta temporal.

La
contrasea
nunca expira

Impide que una contrasea de usuario expire. Recomendamos que las

cuentas de servicio tengan esta opcin habilitada y usen contraseas
seguras.

Almacenar
contraseas
usando cifrado
reversible

Permite al usuario iniciar sesin en una red de Windows desde un

equipo Apple. Si el usuario no inicia sesin desde un equipo Apple, no
habilite esta opcin.

La cuenta est
deshabilitada

Impide al usuario iniciar sesin con la cuenta seleccionada. Muchos

administradores usan cuentas deshabilitadas como plantillas para las
cuentas de usuario normales.

La
tarjeta
inteligente
es
necesaria para
un inicio de
sesin interactivo

Requiere que el usuario posea una tarjeta inteligente para iniciar sesin
en la red de forma interactiva. El usuario debe tener tambin un lector
de tarjetas inteligentes conectado al equipo y un nmero de
identificacin personal (PIN) para la tarjeta inteligente. Cuando se
habilita esta opcin, la contrasea de la cuenta de usuario se establece
automticamente en un valor aleatorio y complejo, y se habilita la
opcin de cuenta La contrasea nunca expira.

Se confa en la
cuenta para su
delegacin

Permite que un servicio que se ejecute con esta cuenta realice

operaciones en nombre de otras cuentas de usuario en la red. Un
servicio que se ejecuta con una cuenta de usuario (tambin conocida
como cuenta de servicio) en la que se confa para la delegacin, puede
suplantar a un cliente para obtener acceso a los recursos del equipo
donde se ejecuta el servicio o a los recursos de otros equipos. En un
bosque que se encuentre establecido en el nivel funcional de Windows

Server 2008 R2, esta opcin est en la ficha Delegacin. Est

disponible slo para las cuentas con nombres principales de servicio
(SPN) asignados, lo que se establece mediante el comando setspn de
Windows Server 2008 R2. Abra una ventana del smbolo del sistema y
escriba setspn. Se trata de una caracterstica crtica para la seguridad,
por lo que se debe usar con precaucin.
Esta opcin slo est disponible en los controladores de dominio que
ejecuten Windows Server 2008 R2 y que tengan funcionalidad de
dominio Windows 2000 mixta o Windows 2000 nativa. En los
controladores de dominio que ejecutan Windows Server 2008 y
Windows Server 2008 R2, si el nivel funcional del dominio est
establecido en el nivel funcional de bosque de Windows Server 2008 o
Windows Server 2008 R2, use la ficha Delegacin del cuadro de
dilogo de propiedades del usuario para configurar las opciones de
delegacin. La ficha Delegacin slo aparece para las cuentas que
tengan asignados SPN.
La cuenta es
importante y no
se puede delegar

Puede usar esta opcin si otra cuenta no puede asignar esta cuenta para
su delegacin (por ejemplo, una cuenta Invitado o temporal).

Usar tipos de
cifrado
DES
para esta cuenta

Ofrece compatibilidad con el Estndar de cifrado de datos (DES). DES

admite varios niveles de cifrado, como el estndar MPPE (Cifrado
punto a punto de Microsoft) de 40 bits, el estndar MPPE de 56 bits, el
estndar MPPE Strong de 128 bits, DES IPsec (Protocolo de seguridad
de Internet) de 40 bits, DES IPsec de 56 bits y Triple DES (3DES)
IPsec.

No
pedir
la
autenticacin
Kerberos previa

Ofrece compatibilidad con implementaciones alternativas del protocolo

Kerberos. Tenga cuidado cuando habilite esta opcin, porque la
autenticacin Kerberos previa proporciona una mayor seguridad y
requiere la sincronizacin de hora entre el cliente y el servidor.