Aplicacin de PSO a usuarios o grupos de seguridad global mediante la interfaz

de Windows
Para aplicar un PSO al objeto de usuario o de grupo, debe poseer permisos de
escritura en el objeto PSO en cuestin.
El requisito mnimo para completar este procedimiento es la pertenencia al
grupo Administradores del dominio o a un grupo equivalente. Consulte los
detalles relativos al uso correcto de las cuentas y pertenencias a grupos en
Para aplicar PSO a usuarios o grupos de seguridad global mediante la interfaz
de Windows
1. Abra Usuarios y equipos de Active Directory. Para abrir Usuarios y
equipos de Active Directory, haga clic en inicio, elija Herramientas
administrativas y, a continuacin, haga clic en Usuarios y equipos de
Active Directory.
2. En el men Ver, asegrese de que la opcin Caractersticas
avanzadas est activada.
3. En el rbol de la consola, haga clic en Contenedor de configuraciones
de contrasea.
Dnde?
Usuarios y equipos de Active Directory\nodo del dominio\Sistema\Contenedor
de configuraciones de contrasea.
4. En el panel de detalles, haga clic con el botn secundario del mouse en
el PSO y, a continuacin, haga clic en Propiedades.
5. Haga clic en la ficha Editor de atributos.
6. Seleccione el atributo msDS-PsoAppliesTo y haga clic en Editar.
En esta gua paso a paso se proporcionan las instrucciones necesarias para
configurar y aplicar directivas de bloqueo de cuenta y contrasea especfica
relativas a los distintos conjuntos de usuarios en los dominios de
Windows Server 2008.
En los dominios de Active Directory de Microsoft Windows 2000 y
Windows Server 2003 nicamente se poda aplicar una directiva de bloqueo de
cuenta y contrasea (especificada en la directiva predeterminada de
dominio del dominio) a todos los usuarios del dominio. Como resultado, si
quera disponer de una configuracin de bloqueo de cuenta y contrasea
distinta para varios conjuntos de usuarios, tena que crear un filtro de
contrasea, o bien implementar varios dominios. Ambas opciones resultaban
costosas por diversos motivos.
En Windows Server 2008, se pueden usar directivas de contrasea especfica
para establecer varias directivas de contrasea, as como aplicar diversas
restricciones de contrasea y directivas de bloqueo de cuenta a grupos de
usuarios diferentes dentro de un solo dominio. Por ejemplo, para aumentar la
seguridad de las cuentas con privilegios, se puede aplicar una configuracin
ms rgida a dichas cuentas y una configuracin ms permisiva a las cuentas
de otros usuarios. En algunos casos, es posible que quiera aplicar una directiva
de contrasea especial en cuentas cuyas contraseas estn sincronizadas con
otros orgenes de datos.

Para almacenar directivas de contrasea especfica, Windows Server 2008

incluye dos nuevas clases de objeto en el esquema de Servicios de dominio de
Active Directory (AD DS):

Contenedor de configuraciones de contrasea

Configuraciones de contrasea

La clase de objeto Contenedor de configuraciones de contrasea (PSC) se

crea de forma predeterminada en el contenedor Sistema del dominio. En l se
almacenan los objetos Configuraciones de contrasea (PSO) de dicho dominio.
Este contenedor no se puede mover ni eliminar, as como cambiar el nombre.

Control de acceso en Active Directory

Los administradores pueden utilizar el control de acceso para administrar el
acceso de usuarios a recursos compartidos por motivos de seguridad. En
Active Directory, el control de acceso se administra en el nivel de objetos, por
medio de la configuracin de distintos niveles de acceso, o de permisos a los
objetos, como Control total, Escribir, Leer o Sin acceso. El control de acceso en
Active Directory define cmo pueden utilizar los objetos de Active Directory los
distintos usuarios. Los permisos de objetos en Active Directory estn
establecidos de forma predeterminada en la configuracin ms segura.
Entre los elementos que definen los permisos de control de acceso de los
objetos de Active Directory, figuran los descriptores de seguridad, la herencia
de objetos y la autenticacin de usuarios.
Descriptores de seguridad
Los permisos de control de acceso se asignan a objetos compartidos y a
objetos de Active Directory para controlar el uso que pueden hacer los distintos
usuarios de cada objeto. Un objeto compartido, o recurso compartido, es un
objeto destinado a ser usado en una red por uno o varios usuarios, como
archivos, impresoras, carpetas y servicios. Tanto los objetos compartidos como
los objetos de Active Directory almacenan los permisos de control de acceso en
descriptores de seguridad.
Un descriptor de seguridad contiene dos listas de control de acceso (ACL) que
sirven para asignar y realizar un seguimiento de informacin de seguridad para
cada objeto: la lista de control de acceso discrecional (DACL) y la lista de
control de acceso al sistema (SACL).

Listas de control de acceso discrecional (DACL). Las DACL

identifican los usuarios y grupos que tienen asignados o denegados
permisos de acceso a un objeto. Si una DACL no especifica un usuario
de forma explcita, o los grupos a los que pertenece el usuario, se
denegar el acceso a ese objeto al usuario. De forma predeterminada,
una DACL la controla el propietario de un objeto o la persona que cre el
objeto y contiene entradas de control de acceso (ACE) que determinan
el acceso del usuario al objeto.

Listas de control de acceso al sistema (SACL). Las SACL identifican los

usuarios y los grupos que desea auditar cuando consiguen o no consiguen
obtener acceso a un objeto. La auditora sirve para supervisar sucesos
relacionados con la seguridad del sistema o de la red, para identificar
infracciones de seguridad y para determinar el alcance y la ubicacin de los
daos. De forma predeterminada, una SACL la controla el propietario de un
objeto o la persona que cre el objeto. Una SACL contiene entradas de control
de acceso (ACE) que determinan si se deben registrar intentos satisfactorios o
insatisfactorios de acceso a un objeto por parte de un usuario con un permiso
determinado, como por ejemplo, Control total y Leer.

Para ver las DACL y las SACL de objetos de Active Directory mediante
Usuarios y equipos de Active Directory, en el men Ver, haga clic
en Caractersticas avanzadas para obtener acceso a la ficha Seguridad de
cada objeto. Para obtener ms informacin, vea Asignar, cambiar o eliminar
permisos en los objetos o atributos de Active Directory. Tambin puede utilizar
la herramienta de soporte DSACLS para administrar listas de control de acceso
en Active Directory. Para obtener ms informacin, vea Herramientas de
soporte de Active Directory.
Las DACL y las SACL estn asociadas de forma predeterminada con todos los
objetos de Active Directory, lo que reduce los ataques en la red por parte de
usuarios malintencionados o cualquier error accidental de usuarios del dominio.
No obstante, si un usuario malintencionado obtiene un nombre de usuario y
una contrasea de una cuenta con credenciales administrativas en Active
Directory, su bosque ser vulnerable a ataques. Por esta razn, deber
considerar la posibilidad de cambiar el nombre o deshabilitar la cuenta de
administrador predeterminada y seguir las prcticas recomendadas descritas
en Prcticas recomendadas de Active Directory
Los objetos de Active Directory heredan ACE de forma predeterminada del
descriptor de seguridad que se encuentra ubicado en su objeto de contenedor
principal. La herencia permite aplicar la informacin de control de acceso
definida en un objeto de contenedor de Active Directory a los descriptores de
seguridad de cualquier objeto subordinado, incluidos otros contenedores y sus
objetos. Esto elimina la necesidad de aplicar permisos cada vez que se crea un
objeto secundario. Puede modificar los permisos heredados en caso necesario.
No obstante, la prctica recomendada es evitar cambiar los permisos
predeterminados o la configuracin de herencia de objetos de Active Directory.
Para obtener ms informacin, vea Prcticas recomendadas para asignar
permisos de objetos de Active Directory y Cambiar los permisos heredados.
Autenticacin de usuarios
Active Directory tambin autentica y autoriza usuarios, grupos y equipos para
que tengan acceso a objetos de la red. La Autoridad de seguridad local (LSA)
es el subsistema de seguridad responsable de toda la autenticacin interactiva
de usuarios y de los servicios de autenticacin de un equipo local. La LSA sirve
tambin para procesar solicitudes de autenticacin realizadas por medio del

protocolo Kerberos V5 o el protocolo NTLM en Active Directory. Para obtener

ms informacin acerca de la autenticacin Kerberos, veaAutenticacin
Kerberos V5. Para obtener ms informacin acerca de la autenticacin NTLM,
vea Autenticacin NTLM.
Una vez confirmada en Active Directory la identidad de un usuario, la LSA del
controlador de dominio de autenticacin genera un testigo de acceso de
usuario y asocia un Id. de seguridad (SID) al usuario.

Testigo de acceso. Cuando se autentica un usuario, la LSA crea un

testigo de acceso de seguridad para el usuario. El testigo de acceso
contiene el nombre del usuario, los grupos a los que pertenece el
usuario, un SID para el usuario y todos los SID de los grupos a los que
pertenece el usuario. Si agrega un usuario a un grupo tras la emisin del
testigo de acceso de usuario, el usuario deber cerrar la sesin y volver
a iniciarla para que se actualice el testigo de acceso.

Id. de seguridad (SID). Active Directory asigna SID de forma automtica

a objetos de la entidad principal de seguridad en el momento de su
creacin. Las entidades principales de seguridad son cuentas de Active
Directory a las que se pueden asignar permisos, como por ejemplo, las
cuentas de equipo, grupo o usuario. Una vez emitido un SID para el
usuario autenticado, se adjunta al testigo de acceso del usuario.

La informacin del testigo de acceso sirve para determinar el nivel de acceso a

objetos del usuario cuando el usuario intenta obtener acceso a ellos. Los SID
del testigo de acceso se comparan con la lista de SID que conforman la DACL
del objeto para garantizar que el usuario tenga permisos suficientes para
obtener acceso al objeto. Esto se debe a que el proceso de control de acceso
identifica las cuentas de usuario por SID en lugar de por nombre.
Importante

Cuando un controlador de dominio proporciona un testigo de acceso a

un usuario, el testigo de acceso contiene solamente informacin acerca
de la pertenencia a grupos locales de dominio si los grupos locales de
dominio pertenecen al dominio del controlador de dominio. En el caso de
objetos de directorio replicados en el catlogo global, se requeriran
entonces ciertas consideraciones de seguridad. Si desea obtener ms
informacin, vea Replicacin del catlogo global.

Para obtener ms informacin acerca de la autenticacin, vea "Inicio de sesin

y autenticacin" ("Logon and Authentication") en el sitio Web de kits de
recursos de Microsoft Windows.
Para obtener ms informacin acerca de los permisos y el control de acceso,
vea Introduccin al control de acceso. Para obtener ms informacin acerca de
la autorizacin y el control de acceso, vea "Autorizacin y control de acceso" en
el sitio Web de Kits de recursos de Microsoft Windows.
Para obtener informacin acerca de las medidas de seguridad adicionales que
se pueden implementar para proteger Active Directory, vea Proteger Active
Directory e Informacin de seguridad para Active Directory.

Bibliografa
http://go.microsoft.com/fwlink/?LinkId=83477
http://msdn.microsoft.com/es-es/library/cc785913(v=ws.10).aspx