Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de usuario
Las cuentas de usuario de Active Directory representan entidades fsicas, como personas. Las cuentas de
usuario tambin se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario tambin se denominan entidades de seguridad. Las entidades de seguridad
son objetos de directorio a los que se asignan automticamente identificadores de seguridad (SID), que se
pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:
Cuentas de usuario
El contenedor de usuarios del complemento Usuarios y equipos de Active Directory muestra tres cuentas de
usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean
automticamente al crear el dominio.
Cada cuenta integrada tiene una combinacin diferente de derechos y permisos. La cuenta Administrador es
la que tiene ms derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisos
limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de
dominio que ejecutan el sistema operativo Windows Server 2008 R2.
Cuenta
de
usuario
predeterminada
Administrador
Descripcin
Invitado
Asistente
de
ayuda (se instala
con una sesin de
Asistencia
remota)
Si el administrador de red no modifica o deshabilita los derechos y los permisos de las cuentas integradas, un
usuario (o servicio) malintencionado puede usarlos para iniciar sesin en un dominio de forma no autorizada
con la cuenta Administrador o Invitado. Una recomendacin de seguridad para proteger estas cuentas es
deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva
el SID, conserva tambin las dems propiedades, como la descripcin, la contrasea, la pertenencia a grupos,
el perfil de usuario, la informacin de cuenta y todos los permisos y derechos de usuario asignados.
Para obtener las ventajas de seguridad de la autenticacin y autorizacin de usuarios, utilice Usuarios y equipos
de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la
red. Despus, podr agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo
con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos
apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesin en ella y que
stos tienen acceso slo a los recursos permitidos.
Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseas seguras e implementar
una directiva de bloqueo de cuenta. Las contraseas seguras reducen el riesgo de que se adivinen las
contraseas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce
la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin.
Una directiva de bloqueo de cuenta determina cuntos intentos de inicio de sesin con error puede realizar
una cuenta de usuario antes de que sea deshabilitada.
Opciones de cuenta
Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cmo se autentica en la red
alguien que inicie sesin con esa cuenta de usuario concreta. Con las opciones de la tabla siguiente se puede
establecer la configuracin de las contraseas y la informacin especfica de la seguridad de las cuentas de
usuario.
Opcin de cuenta
Descripcin
El usuario debe
cambiar
la
contrasea en el
siguiente inicio
de sesin
El usuario no
puede cambiar la
contrasea
La
contrasea
nunca expira
Almacenar
contraseas
usando cifrado
reversible
La cuenta est
deshabilitada
La
tarjeta
inteligente
es
necesaria para
un inicio de
sesin interactivo
Requiere que el usuario posea una tarjeta inteligente para iniciar sesin
en la red de forma interactiva. El usuario debe tener tambin un lector
de tarjetas inteligentes conectado al equipo y un nmero de
identificacin personal (PIN) para la tarjeta inteligente. Cuando se
habilita esta opcin, la contrasea de la cuenta de usuario se establece
automticamente en un valor aleatorio y complejo, y se habilita la
opcin de cuenta La contrasea nunca expira.
Se confa en la
cuenta para su
delegacin
Puede usar esta opcin si otra cuenta no puede asignar esta cuenta para
su delegacin (por ejemplo, una cuenta Invitado o temporal).
Usar tipos de
cifrado
DES
para esta cuenta
No
pedir
la
autenticacin
Kerberos previa