Cuentas de Usuarios, Grupos y Unidades Organizativas en Active

Directory

Larry Ruiz Barcayola

Cuentas de UsuarioLas cuentas de usuario de Active Directory

representan entidades físicas, como personas. También las puede usar como cuentas de servicio dedicadas para algunas aplicaciones.

A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio.

Funciones de una cuenta de usuarioAutentica la identidad de un usuario.

Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.

Autoriza o deniega el acceso a los recursos del dominio.

Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.

Cuentas de usuario predeterminadasEl Contenedor de usuarios en el Centro de

administración de Active Directory contiene tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.

Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador es la que tiene más derechos y permisos en el dominio. La cuenta Invitado tiene derechos y permisos limitados

GruposUn grupo de Active Directory se compone de una

colección de objetos (usuarios y equipos, y otros grupos utilizados para simplificar el acceso a los recursos y envío de correos electrónicos). Los grupos pueden utilizarse para asignar derechos administrativos, acceso a recursos de red, o, para distribuir correo electrónico.

Hay grupos de varios sabores, y dependerá del modo en que el dominio se esté ejecutando el que ciertas funcionalidades de grupo estén o no disponibles.

Tipos de GruposActive Directory contiene dos tipos ditintos

de grupos: Distribución y Seguridad. Ambos tienen sus propios usos y ventajas, siempre que se utilicen correctamente y se hayan entendido sus características.

Grupos de DistribuciónLos grupos de distribución permiten el

agrupamiento de contactos, usuarios o grupos, principalmente para la distribución de correo electrónico. Estos tipos de grupos no pueden utilizarse para permitir o denegar el acceso a recursos del dominio. Las Listas de Control de Acceso Discrecional (DACLs), que se utilizan para permitir y/o denegar el acceso a los recursos, o para definir los derechos de usuario, se componen de Entradas de Control de Acceso (ACEs)

Grupos de SeguridadLos grupos de seguridad tienen habilitada la

seguridad y por tanto pueden utilizarse en la asignación de derechos de usuario y en los permisos del recurso, o, en la aplicación de directivas de grupo basadas en AD o directivas de equipo. Los grupos pueden crearse para recursos o tareas en particular, y cuando se efectúan cambios en la lista de usuarios que necesitan acceso, sólo debe modificarse la pertenencia de grupo para reflejar los cambios en cada recurso que utiliza este grupo.

Ámbito de GrupoAdemás del tipo, los grupos disponen de

un ámbito a seleccionar. El ámbito, simplemente, marca los límites de quién puede ser miembro, y dónde puede utilizarse el grupo. Sólo los grupos de seguridad pueden usarse para delegar control y asignar acceso a recursos.

Ámbito local de dominioLos miembros de los grupos locales de

dominio pueden incluir otros grupos y cuentas de dominio de Windows. A los miembros de estos grupos sólo se les pueden asignar permisos dentro de un dominio.

Ámbito GlobalLos miembros de los grupos globales

pueden incluir sólo grupos y cuentas del dominio en el que se encuentra definido el grupo. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.

Ámbito UniversalLos miembros de los grupos universales

pueden incluir otros grupos y cuentas de cualquier dominio del bosque o del árbol de dominios. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o árbol de dominios.

Unidades OrganizativasSimplemente, es un contenedor donde se

pueden poner distintos objetos de Active Directory como Usuarios, Computadoras, Grupos y hasta otras OUs. Dentro de las mismas, podemos delegar permisos de Administración sobre los objetos que tenemos dentro y podemos adjuntar políticas de dominio, para aplicar distintas configuraciones sobre los tipos de objetos que tengamos dentro.

Funciones de las U. OrganizativasLas Unidades Organizativas pueden usarse para

organizar cientos de objetos en el directorio dentro de unidades administrables. Las Unidades Organizativas se usaran para agrupar y organizar objetos con propósitos administrativos, como delegar permisos, asignar políticas de seguridad para uno o varios objetos como uno solo. Las unidades organizativas pueden contener otras unidades organizativas, pero no puede contener objetos de otros dominios. La jerarquía de contenedores se puede extender tanto como sea necesario dentro de un dominio.

VentajasLas unidades organizativas permiten a disminuir el

número de dominios necesarios en una red. Puede aplicar directivas de seguridad y permisos

administrativos a varios objetos(usuarios)como uno solo.

Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño.

Delegar control administrativoEl administrador de una unidad organizativa no

necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio.