Descripción de las cuentas de usuario (Active Directory Administrative Center)

El Contenedor de usuarios en el Centro de administración de Active Directory contiene tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.

Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador es la que tiene más derechos y permisos en el dominio. La cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio que ejecutan Windows Server 2008 R2.

Cuenta de usuario predeterminada	Descripción
Administrador	La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio según sea necesario. Esta cuenta solo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contraseña segura. La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active Directory: Administradores, Administradores del dominio, Administradores de organización, Propietarios del creador de directivas de grupo y Administradores de esquema. La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a usuarios malintencionados. La cuenta Administrador es la primera cuenta que se crea cuando se configura un nuevo dominio con el Asistente para la instalación de los Servicios de dominio de Active Directory. Importante Aunque la cuenta Administrador esté deshabilitada, puede seguir usándose para obtener acceso a un controlador de dominio en modo seguro.
Invitado	Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada y recomendamos que permanezca así.
Asistente de ayuda (se instala con una sesión de Asistencia remota)	La cuenta Asistente de ayuda es la cuenta principal para establecer una sesión de Asistencia remota. Esta cuenta se crea automáticamente al solicitar una sesión de Asistencia remota. Tiene acceso limitado al equipo. El servicio Administrador de sesión de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda. La cuenta se elimina automáticamente si no hay solicitudes de Asistencia remota pendientes.

Si un administrador de red no modifica los derechos y permisos de las cuentas integradas, un usuario (o servicio) malintencionado puede usarlas para iniciar sesión en un dominio de forma no autorizada con la cuenta Administrador o Invitado. Una recomendación de seguridad para proteger estas cuentas es deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva también las demás propiedades, como la descripción, la contraseña, la pertenencia a grupos, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario asignados.

Para obtener las ventajas de seguridad de la autenticación y autorización de usuarios, utilice el Centro de administración de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Después, podrá agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso solo a los recursos permitidos.

Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e implementar una directiva de bloqueo de cuenta. Las contraseñas seguras reducen el riesgo de que se adivinen las contraseñas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesión. Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error puede realizar una cuenta de usuario antes de que sea deshabilitada.

Los Servicios de dominio de Active Directory (AD DS) ofrecen compatibilidad con la clase de objeto InetOrgPerson y sus atributos asociados, según se define en la RFC (solicitud de comentarios) 2798. La clase de objeto InetOrgPerson se usa en varios servicios de directorio que no son de Microsoft, LDAP (Protocolo ligero de acceso a directorios) y X.500 para representar a las personas de una organización.

La compatibilidad con InetOrgPerson hace que sea más eficaz la migración de directorios LDAP a AD DS. Un objeto InetOrgPerson se deriva de la clase user. Puede funcionar como entidad de seguridad igual que un objeto de la clase user. Para obtener información acerca de cómo crear una cuenta de usuario inetOrgPerson, vea Creación de cuentas de usuario.

Cuando el nivel funcional del dominio está establecido en Windows Server 2008 o Windows Server 2008 R2, se puede establecer el atributo userPassword en InetOrgPerson y los objetos de usuario como la contraseña efectiva. Esto también se puede hacer con el atributo unicodePwd.

• Administración de usuarios