4

UNIDAD

3. Gestión de usuarios, grupos y política de contraseñas locales

Una cuenta de usuario es un conjunto de información que identifica un acceso en particular. En realidad
es un acceso en este caso a un sistema operativo de manera que según la información que incorpore dicha
cuenta tendrá acceso a unos recursos u otros y estará habilitado para realizar unas tareas u otras. Una cuenta
de usuario en realidad no es una cuenta particular de un usuario, es una manera de autenticar una identidad.

Los grupos son una colección de usuarios a los que se le asignan permisos o tareas y que comparten recursos
del sistema.

Para la gestión de los usuarios y grupos, en Windows server, se accede a través de la configuración del
sistema, cuentas, otros usuarios, agregar otra persona a este equipo. También se puede ejecutar en la consola
de ejecución lusrmgr.msc para abrir el panel de gestión. Otra manera de acceder a la gestión de usuarios y
grupos es con el botón derecho sobre el inicio de windows y seleccionar administración de equipos.

En el administrador, seleccionar en el menú lateral izquierdo la opción “Usuarios y grupos locales”. Si se

accede a las carpetas de usuarios y grupos separadas, se podrán ver los usuarios y grupos predeterminados
del sistema. Aquellos usuarios que aparecen con una flecha son usuarios deshabilitados.

Para gestionar la seguridad de cuentas y contraseñas en usuarios locales, se puede acceder en el panel de
control a cuentas de usuario. En este apartado se puede realizar gestiones para restablecer las contraseñas
creando un disco de recuperación en que podría utilizarse una memoria usb o administrar certificados de
cifrado de archivos. También se pueden administrar credenciales desde aquí, ya sea web o credencial de
windows.

3.1. Añadir un usuario

Para añadir un usuario, una vez dentro del administrador de equipos (administrador del servidor,
menú superior derecho, herramientas y administrador de equipos), una vez seleccionada la carpeta Usuarios,
con el botón derecho del ratón sobre el espacio en blanco de la parte de la derecha del panel. Se selecciona la
opción “Usuario nuevo”.
En el cuadro de diálogo que aparece, rellenamos la información con el nombre de usuario, el nombre
completo y una descripción. Además, también se debe escribir una contraseña por duplicado. Otras opciones
que aparecen a la hora de crear una cuenta son:
 El usuario debe cambiar la contraseña en el siguiente inicio de sesión: está opción está por defecto
seleccionada, y deshabilita las 2 opciones siguientes. Fuerza al usuario a cambiar la contraseña la
próxima vez que se valide.
 El usuario no puede cambiar la contraseña: evita que el usuario pueda cambiar la contraseña.
 La contraseña nunca expira: la contraseña no tiene un período de vigencia tras el cual se debe
cambiar.
 La cuenta está deshabilitada: deshabilita la cuenta.

3.2. Añadir un grupo

De la misma manera, se pueden añadir grupos seleccionando la carpeta grupos y procediendo igual
que a la hora de añadir usuarios. En este caso, el menú es diferente, ya que se deberá proporcionar un nombre
al grupo, una descripción y se podrán añadir miembros. Seleccionando el botón agregar, se pueden agregar
usuarios, objetos como por ejemplo equipos o entidades de seguridad. Para agregarlos, se puede escribir
algunas letras y pulsar en comprobar nombres o en Opciones avanzadas, hacer una búsqueda.
 4
UNIDAD

Las entidades de seguridad son elementos de seguridad del sistema operativo que éste puede autenticar,
ya sea una cuenta de usuario, equipo o proceso y que se ejecuta en una cuenta de usuario o equipo. Un
ejemplo de entidad de seguridad podría ser un inicio de sesión de Windows.

Las cuentas locales predeterminadas son aquellas cuentas que se crean al instalar el sistema operativo, no se
pueden eliminar y son creadas para poder administrar los recursos locales del servidor. Las cuentas de
usuarios predeterminadas locales que instala windows server son las siguientes:
 La cuenta de administrador local, es aquella cuenta que se crea al instalar el sistema operativo y es la
que se usa para realizar tareas de administración del sistema. Entre las tareas que puede realizar esta
cuenta están las de crear otras cuentas de usuario locales, asignar permisos y/o derechos, Además,
esta cuenta tiene control total sobre los recursos del sistema. Esta cuenta no se puede eliminar, ni
tampoco dejar de pertenecer al grupo de administradores, pero si deshabilitar o cambiar el nombre.
 La cuenta de invitado: esta cuenta está deshabilitada de forma predeterminada ya que es una cuenta
que no tiene ninguna contraseña. Puede ser habilitada por un administrador del servidor, pero se
recomienda no hacerlo por el potencial peligro de seguridad que es. Esta cuenta pertenece al grupo
invitado y es el único usuario que pertenece a este grupo.
 La cuenta HelpAssistent es una cuenta que se utiliza en asistencia remota. Está deshabilitada de
manera predeterminada, pero se habilita en el momento en el que se ejecuta una sesión de asistencia
remota.

Los grupos locales predeterminados, al igual que las cuentas locales predeterminadas, se crean al instalar el
sistema operativo. Dependiendo del grupo al que se pertenezca, el usuario podrá realizar unas tareas o
disponer de ciertos permisos u otros. A continuación, se incluyen algunos grupos locales predeterminados:
 Administradores: a este grupo pertenecen aquellos usuarios que tienen control total sobre la
máquina. La cuenta administrador predeterminada es un usuario de este grupo. Entre los derechos
que ofrece este grupo estarían: ajustar cuotas, hacer copias de seguridad, cambiar la hora del sistema,
realizar tareas de mantenimiento del volumen, apagar el sistema, etcétera.
 Operadores de copia de seguridad: los miembros de este grupo pueden realizar copias de seguridad y
restaurarlas sin importar los permisos que tengan estos archivos
 Operadores criptográficos: los usuarios que pertenecen a este grupo pueden realizar tareas de
criptográficas.
 Invitados: los usuarios miembros de este grupo, pueden iniciar sesión pero se borra cuando el
usuario la cierra.
 Operadores de configuración de red: los usuarios pertenecientes a este grupo pueden modificar
parámetros de la configuración TCP/IP.
 Operadores de impresión: Los miembros pueden administrar impresoras instaladas en controladores
de dominio.
 Usuarios de registro de rendimiento: los miembros de este grupo pueden realizar tareas de
administración de contadores de rendimiento, los registros y alertas de un equipo.
 Usuarios del monitor de sistema: estos usuarios monitorean el rendimiento del sistema.
 Usuarios: los miembros de este grupo pueden ejecutar aplicaciones, pero no pueden compartir
recursos. Las cuentas que se crean en el dominio son miembros de este grupo y también pueden
realizar operaciones de copia de seguridad como los miembros de ese grupo.

Cabe decir que una vez el servidor es promocionado a controlador de dominio, la administración de cuentas
de usuario y de grupos locales queda deshabilitada por seguridad, de manera que se gestionará a través de
Active Directory. No sería seguro iniciar un controlador de dominio con una cuenta local. Las cuentas de
usuarios y grupos locales predeterminados que tienen un ámbito local pasan a ser de ámbito global de
manera que se incorporan a los usuarios y grupos del directorio activo. Las cuentas locales que se incorporan
a Active directory se llaman cuentas integradas.

3.3. Gestión de directivas de cuenta y contraseña.

 4
UNIDAD

Las directivas de seguridad son unas reglas de configuración de seguridad con el propósito de
proteger en este caso las cuentas y los recursos de los que se dispone. Para acceder a las directivas de
usuarios, se puede ejecutar el comando secpol.msc o seleccionando Inicio, panel de control, herramientas
administrativas de seguridad local. En cualquier caso, el panel que se mostrará es el siguiente:

Ilustración 1 Panel de directivas de seguridad local (ISO_U04_A03_01)

La imagen anterior muestra las opciones de directivas de cuenta desplegadas. En la parte de la derecha se
muestran todas las directivas de las contraseñas que se pueden editar:
 La directiva de almacenar contraseñas con cifrado reversible no es aconsejable habilitarla ya que la
finalidad es guardar las contraseñas en formato de texto simple.
 Exigir historial de contraseñas establece el número de contraseñas no iguales que se pueden utilizar
antes de volver a utilizar una ya usada. Se puede editar un número entre 0 y 24.
 La contraseña debe cumplir los requisitos de complejidad: esta opción establece unos requisitos para
definir la contraseña. Estos requisitos se pueden ver en:
[ENLACE 3]
 Longitud mínima de la contraseña: si se establece en 0, no se pedirá contraseña para acceder al
sistema, el número de caracteres son entre 1 y 14.
 Vigencia máxima de la contraseña: es el valor en días en el que una contraseña puede usarse. Pasado
este tiempo, el sistema pedirá que la cambie. Microsoft recomienda un valor entre 30 y 90 días.
 Vigencia mínima de la contraseña: este valor debe ser menor que el anterior y establece el tiempo
mínimo que una contraseña se usará. Si toma el valor 0 significa que la contraseña no caduca.

Por otra parte, en las directivas de cuenta encontramos las directivas bloqueo de cuenta:

 Umbral de bloqueo de cuenta: define el número de intentos incorrectos de inicio de sesión para que
se bloquee. El valor va entre 0 y 999. Esta regla está ligada con la regla siguiente.
 Duración del bloqueo de cuenta: esta regla no tiene valor predeterminado ya que depende del valor
de la regla anterior y establece el tiempo en minutos que la cuenta estará bloqueada después de
sobrepasar el umbral de intentos.
 restablecer recuentos de bloqueo después de: establece los minutos que deben pasar entre un acceso
incorrecto y otro intento para que el contador de accesos incorrectos se ponga a 0.
 4
UNIDAD