Las cuentas de usuario de Active Directory representan entidades físicas, como personas. También las puede usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:
- Autentica la identidad de un usuario.Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.
- Autoriza o deniega el acceso a los recursos del dominio.Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.
Cuentas de usuario
El Contenedor de usuarios en el Centro de administración de Active Directory contiene tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.
Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador es la que tiene más derechos y permisos en el dominio. La cuenta Invitado tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores de dominio que ejecutan Windows Server 2008 R2.
Cuenta de usuario predeterminada | Descripción | ||
---|---|---|---|
Administrador
|
La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio según sea necesario. Esta cuenta solo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contraseña segura.
La cuenta Administrador es un miembro predeterminado de los siguientes grupos de Active Directory: Administradores, Administradores del dominio, Administradores de organización, Propietarios del creador de directivas de grupo y Administradores de esquema.
La cuenta Administrador nunca se puede eliminar ni quitar del grupo Administradores, pero es posible cambiarle el nombre o deshabilitarla. Como es sabido que la cuenta Administrador existe en muchas versiones de Windows, si le cambia el nombre o la deshabilita dificultará el acceso a ella a usuarios malintencionados.
La cuenta Administrador es la primera cuenta que se crea cuando se configura un nuevo dominio con el Asistente para la instalación de los Servicios de dominio de Active Directory.
| ||
Invitado
|
Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña.
Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada y recomendamos que permanezca así.
| ||
Asistente de ayuda (se instala con una sesión de Asistencia remota)
|
La cuenta Asistente de ayuda es la cuenta principal para establecer una sesión de Asistencia remota. Esta cuenta se crea automáticamente al solicitar una sesión de Asistencia remota. Tiene acceso limitado al equipo. El servicio Administrador de sesión de Ayuda de escritorio remoto administra la cuenta Asistente de ayuda. La cuenta se elimina automáticamente si no hay solicitudes de Asistencia remota pendientes.
|
Protección de las cuentas de usuario
Si un administrador de red no modifica los derechos y permisos de las cuentas integradas, un usuario (o servicio) malintencionado puede usarlas para iniciar sesión en un dominio de forma no autorizada con la cuenta Administrador o Invitado. Una recomendación de seguridad para proteger estas cuentas es deshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conserva el SID, conserva también las demás propiedades, como la descripción, la contraseña, la pertenencia a grupos, el perfil de usuario, la información de cuenta y todos los permisos y derechos de usuario asignados.
Para obtener las ventajas de seguridad de la autenticación y autorización de usuarios, utilice el Centro de administración de Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en la red. Después, podrá agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupo con el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y grupos apropiados para una red se garantiza que se puede identificar a los usuarios que inician sesión en ella y que éstos tienen acceso solo a los recursos permitidos.
Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseñas seguras e implementar una directiva de bloqueo de cuenta. Las contraseñas seguras reducen el riesgo de que se adivinen las contraseñas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesión. Una directiva de bloqueo de cuenta determina cuántos intentos de inicio de sesión con error puede realizar una cuenta de usuario antes de que sea deshabilitada.
A continuación un pequeño manual de como configurar el protocolo TCP/IP así como el servicio DHCP, DNS y creación de cuentas por medio de Active Directory en Windows Server 2012.
Link de descarga aquí.
0 comentarios:
Publicar un comentario