Informacin acerca de las cuentasde usuarioLas cuentas de usuario de Active Directory representan entidades fsicas, como personas. Las cuentas deusuario tambin se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.A veces, las cuentas de usuario tambin se denominan entidades de seguridad. Las entidades de seguridadson objetos de directorio a los que se asignan automticamente identificadores de seguridad (SID), que sepueden usar para obtener acceso a recursos del dominio. Principalmente, una cuenta de usuario:

Autentica la identidad de un usuario.Una cuenta de usuario permite que un usuario inicie sesin en equipos y dominios con una identidadque el dominio pueda autenticar. Un usuario que inicia sesin en la red debe tener una cuenta deusuario y una contrasea propias y nicas. Para maximizar la seguridad, evite que varios usuarioscompartan una misma cuenta.

Autoriza o deniega el acceso a los recursos del dominio.Despus de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos deldominio en funcin de los permisos explcitos que se le hayan asignado en el recurso.

Cuentas de usuarioEl contenedor de usuarios del complemento Usuarios y equipos de Active Directory muestra tres cuentas deusuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se creanautomticamente al crear el dominio.Cada cuenta integrada tiene una combinacin diferente de derechos y permisos. La cuenta Administrador esla que tiene ms derechos y permisos en el dominio, mientras que la cuenta Invitado tiene derechos y permisoslimitados. En la tabla siguiente se describen las cuentas de usuario predeterminadas de los controladores dedominio que ejecutan el sistema operativo Windows Server 2008 R2.

Cuenta deusuariopredeterminada

Descripcin

Administrador La cuenta Administrador tiene control total del dominio. Puede asignarderechos de usuario y permisos de control de acceso a los usuarios deldominio segn sea necesario. Esta cuenta slo se debe usar para lastareas que requieran credenciales administrativas. Es recomendable queconfigure esta cuenta con una contrasea segura.La cuenta Administrador es un miembro predeterminado de lossiguientes grupos de Active Directory: Administradores,Administradores del dominio, Administradores de organizacin,Propietarios del creador de directivas de grupo y Administradores deesquema. La cuenta Administrador nunca se puede eliminar ni quitardel grupo Administradores, pero es posible cambiarle el nombre o

deshabilitarla. Como es sabido que la cuenta Administrador existe enmuchas versiones de Windows, si le cambia el nombre o la deshabilitadificultar el acceso a ella a usuarios malintencionados.La cuenta Administrador es la primera cuenta que se crea cuando seconfigura un nuevo dominio con el Asistente para instalacin de losServicios de dominio de Active Directory.

Importante

Aunque la cuenta Administrador est deshabilitada, puede seguirusndose para obtener acceso a un controlador de dominio con elmodo seguro.

Invitado Los usuarios que no tienen una cuenta en el dominio pueden usar lacuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero noeliminado) tambin puede usar la cuenta Invitado. La cuenta Invitadono requiere ninguna contrasea.Puede asignar derechos y permisos para la cuenta Invitado de la mismaforma que para cualquier cuenta de usuario. De manera predeterminada,la cuenta Invitado es miembro del grupo integrado Invitados y del grupoglobal Invitados de dominio, lo que permite al usuario iniciar sesin enun dominio. La cuenta Invitado est deshabilitada de formapredeterminada y recomendamos que permanezca as.

Asistente deayuda (se instalacon una sesin deAsistenciaremota)

Es la cuenta principal para establecer una sesin de Asistencia remota.Esta cuenta se crea automticamente al solicitar una sesin deAsistencia remota. Tiene acceso limitado al equipo. La cuenta Asistentede ayuda se administra mediante el servicio Administrador de sesin deAyuda de escritorio remoto. La cuenta se elimina automticamente sino hay solicitudes de Asistencia remota pendientes.

Proteccin de las cuentas de usuarioSi el administrador de red no modifica o deshabilita los derechos y los permisos de las cuentas integradas, unusuario (o servicio) malintencionado puede usarlos para iniciar sesin en un dominio de forma no autorizadacon la cuenta Administrador o Invitado. Una recomendacin de seguridad para proteger estas cuentas esdeshabilitarlas o cambiarles el nombre. Dado que una cuenta de usuario cuyo nombre se ha cambiado conservael SID, conserva tambin las dems propiedades, como la descripcin, la contrasea, la pertenencia a grupos,el perfil de usuario, la informacin de cuenta y todos los permisos y derechos de usuario asignados.Para obtener las ventajas de seguridad de la autenticacin y autorizacin de usuarios, utilice Usuarios y equiposde Active Directory para crear una cuenta de usuario individual para cada usuario que vaya a participar en lared. Despus, podr agregar la cuenta de usuario (incluidas las cuentas Administrador e Invitado) a un grupocon el fin de controlar los derechos y permisos que tiene asignados. Cuando se usan cuentas y gruposapropiados para una red se garantiza que se puede identificar a los usuarios que inician sesin en ella y questos tienen acceso slo a los recursos permitidos.Para ayudar a proteger el dominio de los intrusos, puede requerir el uso de contraseas seguras e implementaruna directiva de bloqueo de cuenta. Las contraseas seguras reducen el riesgo de que se adivinen lascontraseas y de que se usen ataques de diccionario en las mismas. Una directiva de bloqueo de cuenta reducela posibilidad de que un intruso ponga en peligro el dominio mediante continuos intentos de inicio de sesin.

Una directiva de bloqueo de cuenta determina cuntos intentos de inicio de sesin con error puede realizaruna cuenta de usuario antes de que sea deshabilitada.Opciones de cuentaCada cuenta de usuario de Active Directory tiene varias opciones que determinan cmo se autentica en la redalguien que inicie sesin con esa cuenta de usuario concreta. Con las opciones de la tabla siguiente se puedeestablecer la configuracin de las contraseas y la informacin especfica de la seguridad de las cuentas deusuario.

Opcin de cuenta Descripcin

El usuario debecambiar lacontrasea en elsiguiente iniciode sesin

Obliga al usuario a cambiar su contrasea la prxima vez que iniciesesin en la red. Habilite esta opcin cuando desee estar seguro de queel usuario es la nica persona que conoce la contrasea.

El usuario nopuede cambiar lacontrasea

Impide que un usuario cambie su contrasea. Habilite esta opcin sidesea mantener el control de una cuenta de usuario, tal como una cuentaInvitado o una cuenta temporal.

La contraseanunca expira

Impide que una contrasea de usuario expire. Recomendamos que lascuentas de servicio tengan esta opcin habilitada y usen contraseasseguras.

Almacenarcontraseasusando cifradoreversible

Permite al usuario iniciar sesin en una red de Windows desde unequipo Apple. Si el usuario no inicia sesin desde un equipo Apple, nohabilite esta opcin.

La cuenta estdeshabilitada

Impide al usuario iniciar sesin con la cuenta seleccionada. Muchosadministradores usan cuentas deshabilitadas como plantillas para lascuentas de usuario normales.

La tarjetainteligente esnecesaria paraun inicio desesin interactivo

Requiere que el usuario posea una tarjeta inteligente para iniciar sesinen la red de forma interactiva. El usuario debe tener tambin un lectorde tarjetas inteligentes conectado al equipo y un nmero deidentificacin personal (PIN) para la tarjeta inteligente. Cuando sehabilita esta opcin, la contrasea de la cuenta de usuario se estableceautomticamente en un valor aleatorio y complejo, y se habilita laopcin de cuenta La contrasea nunca expira.

Se confa en lacuenta para sudelegacin

Permite que un servicio que se ejecute con esta cuenta realiceoperaciones en nombre de otras cuentas de usuario en la red. Unservicio que se ejecuta con una cuenta de usuario (tambin conocidacomo cuenta de servicio) en la que se confa para la delegacin, puedesuplantar a un cliente para obtener acceso a los recursos del equipodonde se ejecuta el servicio o a los recursos de otros equipos. En unbosque que se encuentre establecido en el nivel funcional de Windows

Server 2008 R2, esta opcin est en la ficha Delegacin. Estdisponible slo para las cuentas con nombres principales de servicio(SPN) asignados, lo que se establece mediante el comando setspn deWindows Server 2008 R2. Abra una ventana del smbolo del sistema yescriba setspn. Se trata de una caracterstica crtica para la seguridad,por lo que se debe usar con precaucin.Esta opcin slo est disponible en los controladores de dominio queejecuten Windows Server 2008 R2 y que tengan funcionalidad dedominio Windows 2000 mixta o Windows 2000 nativa. En loscontroladores de dominio que ejecutan Windows Server 2008 yWindows Server 2008 R2, si el nivel funcional del dominio estestablecido en el nivel funcional de bosque de Windows Server 2008 oWindows Server 2008 R2, use la ficha Delegacin del cuadro dedilogo de propiedades del usuario para configurar las opciones dedelegacin. La ficha Delegacin slo aparece para las cuentas quetengan asignados SPN.

La cuenta esimportante y nose puede delegar

Puede usar esta opcin si otra cuenta no puede asignar esta cuenta parasu delegacin (por ejemplo, una cuenta Invitado o temporal).

Usar tipos decifrado DESpara esta cuenta

Ofrece compatibilidad con el Estndar de cifrado de datos (DES). DESadmite varios niveles de cifrado, como el estndar MPPE (Cifradopunto a punto de Microsoft) de 40 bits, el estndar MPPE de 56 bits, elestndar MPPE Strong de 128 bits, DES IPsec (Protocolo de seguridadde Internet) de 40 bits, DES IPsec de 56 bits y Triple DES (3DES)IPsec.

No pedir laautenticacinKerberos previa

Ofrece compatibilidad con implementaciones alternativas del protocoloKerberos. Tenga cuidado cuando habilite esta opcin, porque laautenticacin Kerberos previa proporciona una mayor seguridad yrequiere la sincronizacin de hora entre el cliente y el servidor.