Las cuentas de usuario de Active Directory representan entidades físicas, como personas. Las cuentas de usuario también se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.

A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:

  • Autentica la identidad de un usuario.

    Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.

  • Autoriza o deniega el acceso a los recursos del dominio.

    Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.

Cuentas de usuario

El contenedor de usuarios del complemento Usuarios y equipos de Active Directory muestra tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.

Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador es la que tiene más derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio que ejecutan el sistema operativo Windows Server® 2008 R2.

Cuenta de usuario predeterminada Descripción

Administrador

La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio según sea necesario. Esta cuenta sólo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contraseña segura.

La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active Directory: Administradores, Administradores del dominio, Administradores de organización, Propietarios del creador de directivas de grupo y Administradores de esquema. La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a usuarios malintencionados.

La cuenta Administrador es la primera cuenta que se crea cuando se configura un nuevo dominio con el Asistente para instalación de los Servicios de dominio de Active Directory.

Importante

Aunque la cuenta Administrador esté deshabilitada, puede seguir usándose para obtener acceso a un controlador de dominio con el modo seguro.

Invitado

Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.

Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada y recomendamos que permanezca así.

Asistente de ayuda (se instala con una sesión de Asistencia remota)

Es la cuenta principal para establecer una sesión de Asistencia remota. Esta cuenta se crea automáticamente al solicitar una sesión de Asistencia remota. Tiene acceso limitado al equipo. La cuenta Asistente de ayuda se administra mediante el servicio Administrador de sesión de Ayuda de escritorio remoto. La cuenta se elimina automáticamente si no hay solicitudes de Asistencia remota pendientes.

Protección de las cuentas de usuario

Si el administrador de red no modifica o deshabilita los derechos y los permisos de las cuentas integradas, un usuario (o servicio) malintencionado puede usarlos para iniciar sesión en un dominio de forma no autorizada con la cuenta Administrador o Invitado. Una recomendación de seguridad para proteger estas cuentas es deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva también las demás propiedades, como la descripción, la contraseña, la pertenencia a grupos, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario asignados.

Para obtener las ventajas de seguridad de la autenticación y autorización de usuarios, utilice Usuarios y equipos de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Después, podrá agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso sólo a los recursos permitidos.

Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e implementar una directiva de bloqueo de cuenta. Las contraseñas seguras reducen el riesgo de que se adivinen las contraseñas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesión. Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error puede realizar una cuenta de usuario antes de que sea deshabilitada.

Opciones de cuenta

Cada cuenta de usuario de Active Directory tiene varias opciones que determinan cómo se autentica en la red alguien que inicie sesión con esa cuenta de usuario concreta. Con las opciones de la tabla siguiente se puede establecer la configuración de las contraseñas y la información específica de la seguridad de las cuentas de usuario.

Opción de cuenta Descripción

El usuario debe cambiar la contraseña en el siguiente inicio de sesión

Obliga al usuario a cambiar su contraseña la próxima vez que inicie sesión en la red. Habilite esta opción cuando desee estar seguro de que el usuario es la única persona que conoce la contraseña.

El usuario no puede cambiar la contraseña

Impide que un usuario cambie su contraseña. Habilite esta opción si desea mantener el control de una cuenta de usuario, tal como una cuenta Invitado o una cuenta temporal.

La contraseña nunca expira

Impide que una contraseña de usuario expire. Recomendamos que las cuentas de servicio tengan esta opción habilitada y usen contraseñas seguras.

Almacenar contraseñas usando cifrado reversible

Permite al usuario iniciar sesión en una red de Windows desde un equipo Apple. Si el usuario no inicia sesión desde un equipo Apple, no habilite esta opción.

La cuenta está deshabilitada

Impide al usuario iniciar sesión con la cuenta seleccionada. Muchos administradores usan cuentas deshabilitadas como plantillas para las cuentas de usuario normales.

La tarjeta inteligente es necesaria para un inicio de sesión interactivo

Requiere que el usuario posea una tarjeta inteligente para iniciar sesión en la red de forma interactiva. El usuario debe tener también un lector de tarjetas inteligentes conectado al equipo y un número de identificación personal (NIP) para la tarjeta inteligente. Cuando se habilita esta opción, la contraseña de la cuenta de usuario se establece automáticamente en un valor aleatorio y complejo, y se habilita la opción de cuenta La contraseña nunca expira.

Se confía en la cuenta para su delegación

Permite que un servicio que se ejecute con esta cuenta realice operaciones en nombre de otras cuentas de usuario en la red. Un servicio que se ejecuta con una cuenta de usuario (también conocida como cuenta de servicio) en la que se confía para la delegación, puede suplantar a un cliente para obtener acceso a los recursos del equipo donde se ejecuta el servicio o a los recursos de otros equipos. En un bosque que se encuentre establecido en el nivel funcional de Windows Server 2008 R2, esta opción está en la ficha Delegación. Está disponible sólo para las cuentas con nombres principales de servicio (SPN) asignados, lo que se establece mediante el comando setspn de Windows Server 2008 R2. Abra una ventana del símbolo del sistema y escriba setspn. Se trata de una característica crítica para la seguridad, por lo que se debe usar con precaución.

Esta opción sólo está disponible en los controladores de dominio que ejecuten Windows Server 2008 R2 y que tengan funcionalidad de dominio Windows® 2000 mixta o Windows 2000 nativa. En los controladores de dominio que ejecutan Windows Server 2008 y Windows Server 2008 R2, si el nivel funcional del dominio está establecido en el nivel funcional de bosque de Windows Server 2008 o Windows Server 2008 R2, use la ficha Delegación del cuadro de diálogo de propiedades del usuario para configurar las opciones de delegación. La ficha Delegación sólo aparece para las cuentas que tengan asignados SPN.

La cuenta es importante y no se puede delegar

Puede usar esta opción si otra cuenta no puede asignar esta cuenta para su delegación (por ejemplo, una cuenta Invitado o temporal).

Usar tipos de cifrado DES para esta cuenta

Ofrece compatibilidad con el Estándar de cifrado de datos (DES). DES admite varios niveles de cifrado, como el estándar MPPE (Cifrado punto a punto de Microsoft) de 40 bits, el estándar MPPE de 56 bits, el estándar MPPE Strong de 128 bits, DES IPsec (Protocolo de seguridad de Internet) de 40 bits, DES IPsec de 56 bits y Triple DES (3DES) IPsec.

No pedir la autenticación Kerberos previa

Ofrece compatibilidad con implementaciones alternativas del protocolo Kerberos. Tenga cuidado cuando habilite esta opción, porque la autenticación Kerberos previa proporciona una mayor seguridad y requiere la sincronización de hora entre el cliente y el servidor.

Cuentas InetOrgPerson

Los Servicios de dominio de Active Directory (AD DS) ofrecen compatibilidad con la clase de objeto InetOrgPerson y sus atributos asociados, según se define en la RFC (solicitud de comentarios) 2798. La clase de objeto InetOrgPerson se usa en varios servicios de directorio que no son de Microsoft, LDAP (Protocolo ligero de acceso a directorios) y X.500 para representar a las personas de una organización.

La compatibilidad con InetOrgPerson hace que sea más eficaz la migración de directorios LDAP a AD DS. El objeto InetOrgPerson se deriva de la clase user. Puede funcionar como entidad de seguridad igual que la clase user. Para obtener información acerca de cómo crear una cuenta de usuario inetOrgPerson, vea Creación de cuentas de usuario (Usuarios y equipos de Active Directory).

Cuando el nivel funcional del dominio está establecido en Windows Server 2008 o Windows Server 2008 R2, se puede establecer el atributo userPassword en InetOrgPerson y los objetos de usuario como la contraseña efectiva. Esto también se puede hacer con el atributo unicodePwd.

Referencias adicionales


Tabla de contenido