Cabo

Cuenta de usuario

Objeto que posibilita el acceso a los recursos del dominio de dos modos diferentes:

  • Permite autenticar la identidad de un usuario.
  • Permite autorizar, o denegar, el acceso a los recursos del dominio.

Cada cuenta de usuario dispone de un SID que es único en el dominio.

Cuentas integradas

  • Administrador


    : Tiene control total sobre el dominio y no se podrá eliminar ni retirar del grupo administradores.
  • Invitado


    : Está deshabilitada de forma predeterminada, pero puede habilitarse para permitir el acceso a los usuarios que aún no tienen cuenta en el sistema o que la tienen deshabilitada. De forma predeterminada no requiere contraseña, aunque esta carácterística puede ser modificada por el administrador.
  • Asistente de ayuda


    : se utiliza para iniciar sesiones de Asistencia remota y tiene acceso limitado al equipo. Se crea automáticamente cuando se solicita una sesíón de asistencia remota y se elimina cuando dejan de existir solicitudes de asistencia.


Cuenta de equipo

Sirve para autenticar a los diferentes equipos que se conectan al dominio, permitiendo o denegando su acceso a los recursos del dominio. Las cuentas de equipo deben ser únicas en el dominio.

Las cuentas de equipo en el dominio tienen un sitio específico à Usuarios y Equipos de A.D en la unidad organizativa Computers.  Los equipos que son controladores de dominio se guardan en Domain Controlers.

Con una cuenta de equipo podemos hacer las siguientes operaciones:

  • Alta de cuentas de equipos.                             
  •   Modificar cuentas de equipos.
  • Bajas de cuentas de equipos.                                  
  • Administrar cuentas de equipos.
  • Deshabilitar cuentas de equipos.

También podemos fijar los lugares desde los que el usuario puede iniciar sesíón. Así, impediremos que pueda acceder al sistema desde un punto de la red diferente al que utiliza habitualmente.

Definición de perfiles

El sistema operativo utiliza los perfiles de usuarios para contener la configuración del entorno de trabajo de cada usuario en el equipo local. Esta información se organiza en diferentes archivos que se crean en el momento que el usuario inicia sesíón por primera vez.

De esta forma, el sistema operativo consigue que varios usuarios puedan utilizar el mismo equipo, de modo que cada usuario encontrará el mismo entorno que dejó. Los cambios efectuados por un usuario no afectarán a ningún otro.


Cuenta de grupo

Conjunto de objetos del dominio que pueden administrarse. Puede estar formado por cuentas de usuario, cuentas de equipo, contactos y otros grupos.

 Podemos utilizar los grupos para simplificar algunas tareas, como:

  • Simplificar la administración


    : Podemos asignar permisos al grupo y éstos afectarán a todos sus miembros.
  • Delegar la administración


    : Podemos utilizar la directiva de grupo para asignar derechos de usuario una sola vez y, más tarde, agregar los usuarios a los que queramos delegar esos derechos.
  • Crear listas de distribución


    : Sólo se utilizan con los grupos de distribución que comentaremos más abajo.

El Active Directory proporciona un conjunto de grupos que pueden utilizarse:

  • Para facilitar el control de acceso a los recursos.
  • Para delegar determinados roles administrativos.

Grupos integrados

Encontraremos los grupos predeterminados en dos contenedores:

  • Contenedor Builtinà Tienen un ámbito local.

  • Contenedor Usersà Tanto ámbito local como global.

Podemos abrir Usuarios y equipos de Active Directory: Click derecho sobre Inicio – Ejecutar – dsa.Msc.


Ámbito de los grupos

El ámbito de un grupo establece en qué partes de la red puede utilizarse, y el tipo de cuentas que pueden formar parte de él. Pueden pertenecer a una de las siguientes categorías:

  • Ámbito local


    : Entre sus miembros pueden encontrarse los siguientes tipos de objetos:
  • Cuentas de usuario.
  • Grupos de ámbito local.
  • Grupos de ámbito global.
  • Grupos de ámbito universal.
  • Ámbito global


    : Sólo pueden incluir grupos y cuentas que pertenezcan al dominio en el que esté definido el propio grupo. Los miembros de este tipo de grupos pueden tener permisos sobre los recursos de cualquier dominio dentro del bosque.

 Sin embargo, la asignación de derechos y permisos que tengan, no serán válidas en otros dominios del bosque.

Los grupos de ámbito global son perfectos para contener objetos que se modifique con frecuencia, debido a que, como no se replican fuera del dominio, no generan tráfico en la red para la actualización del catálogo global.

  • Ámbito universal


    : Entre sus miembros pueden encontrarse cuentas o grupos de cualquier dominio del bosque, a los que se les pueden asignar permisos sobre los recursos de cualquier dominio del bosque.


Tipos de grupos

Existen dos tipos de grupos en Active Directory:

  • Grupos de distribución


    : Se utilizan para crear listas de distribución de correo electrónico. Estos grupos no disponen de carácterísticas de seguridad, por lo que no pueden aparecer en las listas de control de acceso discrecional (Access Control Lists).
  • Grupos de seguridad


    : Permiten asignar permisos a las cuentas de usuario, de equipo y grupos sobre los recursos compartidos. Con los grupos de seguridad podemos:
  • Establecer qué acciones pueden llevar a cabo sus miembros dentro del dominio.
  • Definir quién accede a cada recurso y bajo qué condiciones. También se establecen permisos para ofrecer distintos niveles de acceso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.