Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de Windows
Para aplicar un PSO al objeto de usuario o de grupo, debe poseer permisos de
escritura en el objeto PSO en cuestin.
El requisito mnimo para completar este procedimiento es la pertenencia al
grupo Administradores del dominio o a un grupo equivalente. Consulte los
detalles relativos al uso correcto de las cuentas y pertenencias a grupos en
Para aplicar PSO a usuarios o grupos de seguridad global mediante la interfaz
de Windows
1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y
equipos de Active Directory, haga clic en inicio, elija Herramientas
administrativas y, a continuacin, haga clic en Usuarios y equipos de
Active Directory.
2. En el men Ver, asegrese de que la opcin Caractersticas
avanzadas est activada.
3. En el rbol de la consola, haga clic en Contenedor de configuraciones
de contrasea.
Dnde?
Usuarios y equipos de Active Directory\nodo del dominio\Sistema\Contenedor
de configuraciones de contrasea.
4. En el panel de detalles, haga clic con el botn secundario del mouse en
el PSO y, a continuacin, haga clic en Propiedades.
5. Haga clic en la ficha Editor de atributos.
6. Seleccione el atributo msDS-PsoAppliesTo y haga clic en Editar.
En esta gua paso a paso se proporcionan las instrucciones necesarias para
configurar y aplicar directivas de bloqueo de cuenta y contrasea especfica
relativas a los distintos conjuntos de usuarios en los dominios de
Windows Server 2008.
En los dominios de Active Directory de Microsoft Windows 2000 y
Windows Server 2003 nicamente se poda aplicar una directiva de bloqueo de
cuenta y contrasea (especificada en la directiva predeterminada de
dominio del dominio) a todos los usuarios del dominio. Como resultado, si
quera disponer de una configuracin de bloqueo de cuenta y contrasea
distinta para varios conjuntos de usuarios, tena que crear un filtro de
contrasea, o bien implementar varios dominios. Ambas opciones resultaban
costosas por diversos motivos.
En Windows Server 2008, se pueden usar directivas de contrasea especfica
para establecer varias directivas de contrasea, as como aplicar diversas
restricciones de contrasea y directivas de bloqueo de cuenta a grupos de
usuarios diferentes dentro de un solo dominio. Por ejemplo, para aumentar la
seguridad de las cuentas con privilegios, se puede aplicar una configuracin
ms rgida a dichas cuentas y una configuracin ms permisiva a las cuentas
de otros usuarios. En algunos casos, es posible que quiera aplicar una directiva
de contrasea especial en cuentas cuyas contraseas estn sincronizadas con
otros orgenes de datos.
Configuraciones de contrasea
Para ver las DACL y las SACL de objetos de Active Directory mediante
Usuarios y equipos de Active Directory, en el men Ver, haga clic
en Caractersticas avanzadas para obtener acceso a la ficha Seguridad de
cada objeto. Para obtener ms informacin, vea Asignar, cambiar o eliminar
permisos en los objetos o atributos de Active Directory. Tambin puede utilizar
la herramienta de soporte DSACLS para administrar listas de control de acceso
en Active Directory. Para obtener ms informacin, vea Herramientas de
soporte de Active Directory.
Las DACL y las SACL estn asociadas de forma predeterminada con todos los
objetos de Active Directory, lo que reduce los ataques en la red por parte de
usuarios malintencionados o cualquier error accidental de usuarios del dominio.
No obstante, si un usuario malintencionado obtiene un nombre de usuario y
una contrasea de una cuenta con credenciales administrativas en Active
Directory, su bosque ser vulnerable a ataques. Por esta razn, deber
considerar la posibilidad de cambiar el nombre o deshabilitar la cuenta de
administrador predeterminada y seguir las prcticas recomendadas descritas
en Prcticas recomendadas de Active Directory
Los objetos de Active Directory heredan ACE de forma predeterminada del
descriptor de seguridad que se encuentra ubicado en su objeto de contenedor
principal. La herencia permite aplicar la informacin de control de acceso
definida en un objeto de contenedor de Active Directory a los descriptores de
seguridad de cualquier objeto subordinado, incluidos otros contenedores y sus
objetos. Esto elimina la necesidad de aplicar permisos cada vez que se crea un
objeto secundario. Puede modificar los permisos heredados en caso necesario.
No obstante, la prctica recomendada es evitar cambiar los permisos
predeterminados o la configuracin de herencia de objetos de Active Directory.
Para obtener ms informacin, vea Prcticas recomendadas para asignar
permisos de objetos de Active Directory y Cambiar los permisos heredados.
Autenticacin de usuarios
Active Directory tambin autentica y autoriza usuarios, grupos y equipos para
que tengan acceso a objetos de la red. La Autoridad de seguridad local (LSA)
es el subsistema de seguridad responsable de toda la autenticacin interactiva
de usuarios y de los servicios de autenticacin de un equipo local. La LSA sirve
tambin para procesar solicitudes de autenticacin realizadas por medio del
Bibliografa
http://go.microsoft.com/fwlink/?LinkId=83477
http://msdn.microsoft.com/es-es/library/cc785913(v=ws.10).aspx