ADMINISTRACIN DE USUARIOS Y GRUPOS EN WINDOWS 2003

ADMINISTRACIN DE USUARIOS
Cuentas de Usuario

Las cuentas de usuario (o entidades de seguridad) representan entidades

fsicas, como personas. Adems se pueden usar como cuentas de servicio
dedicadas para algunas aplicaciones.
Son objetos de directorio a los que se asignan automticamente
identificadores de seguridad (SID), que se pueden usar para obtener acceso
a recursos del dominio. Principalmente, una cuenta de usuario:
Autentica la identidad de un usuario.
Un usuario inicia sesin en equipos y dominios con una identidad
que el dominio pueda autenticar.
Un usuario debe tener una cuenta de usuario y una contrasea
propias y nicas.
Evitar que varios usuarios compartan una misma cuenta.
Autoriza o deniega el acceso a los recursos del dominio.
Despus de que un usuario se autentica, se le concede o se le
deniega el acceso a los recursos del dominio en funcin de los
permisos explcitos que se le hayan asignado en el recurso.

El contenedor de usuarios del complemento Usuarios y equipos de Active Directory

muestra tres cuentas de usuario integradas (estas se crean automticamente al
crear el dominio).
1. Administrador

La cuenta Administrador tiene control total del dominio.

Puede asignar derechos de usuario y permisos de control de
acceso a los usuarios del dominio.
Se usa para las tareas que requieran credenciales administrativas
Es un miembro predeterminado de los siguientes grupos de
Active Directory: Administradores, Administradores del dominio,
Administradores de organizacin, Propietarios del creador de
directivas de grupo y Administradores de esquema.
Nunca se puede eliminar ni quitar del grupo Administradores, pero
es posible cambiarle el nombre o deshabilitarla.

2. Invitado

Pueden usar la cuenta Invitado los usuarios que no tienen una

cuenta en el dominio.

Un usuario cuya cuenta se haya deshabilitado (pero no eliminado)

tambin puede usar la cuenta Invitado.

La cuenta Invitado no requiere ninguna contrasea.

Se le puede asignar derechos y permisos

La cuenta Invitado es miembro del grupo integrado Invitados y del

grupo global Invitados de dominio.

3. Asistente de ayuda (se instala con una sesin de Asistencia remota)

Cuenta para establecer una sesin de Asistencia remota.

Esta cuenta se crea automticamente al solicitar una sesin de

Asistencia remota. Tiene acceso limitado al equipo.

La cuenta se elimina automticamente si no hay solicitudes de

Asistencia remota pendientes.

Proteccin de las cuentas de usuario

Para ayudar a proteger el dominio de los intrusos, se puede requerir el uso de
contraseas seguras e implementar una directiva de bloqueo de cuenta.

Las contraseas seguras reducen el riesgo de que se adivinen las

contraseas y de que se usen ataques de diccionario en las mismas.

Una directiva de bloqueo de cuenta reduce la posibilidad de que un intruso

ponga en peligro el dominio mediante continuos intentos de inicio de sesin.

Una directiva de bloqueo de cuenta determina cuntos intentos de inicio de

sesin con error puede realizar una cuenta de usuario antes de que sea
deshabilitada.

Con las opciones siguientes se puede establecer la configuracin de las contraseas

y la informacin especfica de la seguridad de las cuentas de usuario.

El usuario debe cambiar la contrasea en el siguiente inicio de sesin

El usuario no puede cambiar la contrasea

La contrasea nunca expira

Almacenar contraseas usando cifrado reversible

Deshabilitada la cuenta si es necesario

La tarjeta inteligente es necesaria para un inicio de sesin interactivo

Usar tipos de cifrado DES(admite varios niveles de cifrado, como el estndar)

para esta cuenta

Creacin de cuentas de usuario

Para administrar los usuarios de un dominio, cree cuentas de usuario en Servicios
de dominio de Active Directory (AD DS).
1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y en
Panel de control, haga doble clic en Herramientas administrativas y, a
continuacin, haga doble clic en Usuarios y equipos de Active Directory.
2. En el rbol de consola, haga clic en Usuarios.
o

Usuarios y equipos de Active Directory\domain node\Usuarios

Alternativamente, haga clic en la carpeta que contiene la cuenta de usuario.

Para crear una cuenta de usuario mediante la interfaz de Window
1. En el rbol de consola, haga clic con el botn secundario en la carpeta a la
que desea agregar una cuenta de usuario, elija Nuevo y haga clic en Usuario.

2. Escriba el Nombre, Apellidos e iniciales

3. Modifique Nombre completo para agregar iniciales o invertir el orden del
nombre y los apellidos.
4. En Nombre de inicio de sesin de usuario, escriba el nombre de inicio de
sesin del usuario, haga clic en el sufijo de nombre principal de usuario
(UPN) en la lista
desplegable y
haga clic en
Siguiente.

5. En Contrasea y Confirmar contrasea, escriba la contrasea del usuario y, a

continuacin, seleccione las opciones apropiadas para la contrasea.

 Restablecimiento de contraseas de usuario

Para restablecer una cuenta de usuario mediante la interfaz de Windows
1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y en
Panel de control, haga
2. En el panel Detalles, haga clic con el botn secundario en el usuario cuya
contrasea desea restablecer y, a continuacin, haga clic en Restablecer
contrasea

3. Escriba y, a continuacin, confirme la contrasea.

4. Si desea que el usuario cambie esta contrasea en el siguiente inicio de

sesin, active la casilla El usuario debe cambiar la contrasea en el siguiente
inicio de sesin.

Copia de cuentas de usuario

Para copiar cuentas de usuario
1. En el panel Detalles, haga clic con el botn secundario en la cuenta de
usuario que desea copiar y, a continuacin, haga clic en Copiar.

2. En Nombre, Apellidos

3. Modifique Nombre completo para agregar iniciales o invertir el orden del

nombre y los apellidos.
4. En Nombre de inicio de sesin de usuario, escriba el nombre de inicio de
sesin del usuario, haga clic en el sufijo de nombre principal de usuario
(UPN) en la lista
desplegable y haga
clic en Siguiente.

5. En Contrasea y Confirmar contrasea, escriba la contrasea del usuario y, a

continuacin, seleccione las opciones apropiadas para la contrasea.

Si la cuenta de usuario desde la que se copi la nueva cuenta estaba deshabilitada,

haga clic en La cuenta est deshabilitada para habilitar la nueva cuenta.

Desplazamiento de cuentas de usuario

Para desplazar una cuenta de usuario mediante la interfaz de Windows
1. En el panel Detalles, haga clic con el botn secundario en el usuario que
desea desplazar y, a continuacin, haga clic en Mover.

2. En el cuadro de dilogo Mover, haga clic en la carpeta a la que desea

desplazar la cuenta de usuario.

Establecimiento de las horas de inicio de sesin

Para establecer las horas de inicio de sesin mediante la interfaz de
Windows
1. Haga clic con el botn secundario en la cuenta de usuario y, a continuacin,
haga
clic
en
Propiedades.

2. En la ficha Cuenta, haga clic en Horas de inicio de sesin y, a continuacin,

establezca las horas de inicio de sesin permitidas o no permitidas para el
usuario.

 Habilitacin o des habilitacin de cuentas de usuario

Para habilitar o deshabilitar una cuenta de usuario mediante la interfaz de
Windows
1. En el panel de detalles, haga clic con el botn secundario en el usuario.

2. En funcin del estado de la cuenta, realice uno de los pasos siguientes:

o Para deshabilitar la cuenta, haga clic en Deshabilitar cuenta.
o Para habilitar la cuenta, haga clic en Habilitar cuenta.

Asignacin de certificados a cuentas de usuario

Para asignar un certificado a una cuenta de usuario
1. En el panel Detalles, haga clic con el botn secundario en el usuario al que
desea asignar un certificado y, a continuacin, haga clic en Asignaciones de
nombres.
2. En el cuadro de dilogo Asignacin de identidad de seguridad, en la ficha
Certificados X.509, haga clic en Agregar.
3. Escriba el nombre y la ruta de acceso al archivo.cer que contiene el
certificado que desea asignar a esta cuenta de usuario y haga clic en Abrir

Modificacin del grupo principal de un usuario

Para cambiar el grupo principal de un usuario
1. En el panel Detalles, haga clic con el botn secundario en el usuario que
desea cambiar y, a continuacin, haga clic en Propiedades.

2. En la ficha Miembro de, haga clic en el grupo que desea definir como el
grupo principal del usuario y, a continuacin, haga clic en Establecer grupo
principal.

Eliminacin de cuentas de usuario

Para eliminar una cuenta de usuario mediante la interfaz de Windows
1. En el panel Detalles, haga clic con el botn secundario en la cuenta de
usuario y, a continuacin, haga clic en Eliminar.

ADMINISTRACIN DE GRUPOS
Cuentas de grupo

Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y

otros grupos que se pueden administrar como una sola unidad.

Los usuarios y los equipos que pertenecen a un grupo determinado se

denominan miembros del grupo.

Los grupos son objetos de directorio que residen en un dominio y en objetos

contenedores de unidades organizativas (OU) que se pueden usar para:

Simplificar la administracin al asignar los permisos para un recurso

compartido a un grupo en lugar de a usuarios individuales.
Cuando se asignan permisos a un grupo, se concede el mismo acceso al
recurso a todos los miembros de dicho grupo.
Delegar la administracin al asignar derechos de usuario a un grupo una sola
vez mediante la directiva de grupo.
Despus, a ese grupo le puede agregar miembros que desee que tengan los
mismos derechos que el grupo.
Crear listas de distribucin de correo electrnico.

Grupos predeterminados

Son grupos de seguridad que se crean automticamente cuando se crea un

dominio de Active Directory.

Se usan para ayudar a controlar el acceso a los recursos compartidos y para

delegar roles administrativos especficos en todo el dominio

Se les asigna automticamente un conjunto de derechos de usuario que

autorizan a los miembros del grupo a realizar acciones especficas en un
dominio

Cuando se agrega un usuario a un grupo, ese usuario recibe:

Todos los derechos de usuario asignados al grupo

Todos los permisos asignados al grupo para los recursos compartidos

mbitos de grupo
Los grupos se caracterizan por un mbito que identifica su alcance en el bosque o
rbol de dominios. Existen tres mbitos de grupo: local de dominio, global y
universal.

Locales de dominio

Los miembros de los grupos locales de dominio pueden incluir otros

grupos y cuentas de dominios de Windows Server 2003.

A los miembros de estos grupos slo se les pueden asignar permisos

dentro de un dominio.

Estos grupos pueden tener los siguientes miembros:

Grupos con mbito Global

Grupos con mbito Universal
Cuentas
Otros grupos con mbito Local de dominio
Una combinacin de los anteriores

Grupos globales

Pueden incluir slo otros grupos y cuentas del dominio en el que se

encuentra definido el grupo.

A los miembros de estos grupos se les pueden asignar permisos en cualquier

dominio del bosque

Use para administrar objetos de directorio que requieran un mantenimiento

diario, como las cuentas de usuario y de equipo.

Aunque las asignaciones de derechos y permisos slo son vlidas en el dominio en

el que se asignan, al aplicar grupos con mbito Global de manera uniforme entre los
dominios apropiados, es posible consolidar las referencias a cuentas con fines
similares. De esta manera se simplifica y se racionaliza la administracin de grupos
entre dominios
Grupos universales

Los miembros pueden incluir otros grupos y cuentas de cualquier dominio

del bosque o del rbol de dominios.

A los miembros de estos grupos se les pueden asignar permisos en cualquier

dominio del bosque o del rbol de dominios.

Use estos grupos para consolidar los grupos que abarquen varios dominios.
Para ello, agregue las cuentas a los grupos con mbito Global y anide estos
grupos dentro de los grupos que tienen mbito Universal. Si usa esta
estrategia, los cambios de pertenencias en los grupos que tienen mbito
Global no afectan a los grupos con mbito Universal

No cambie la pertenencia de un grupo con mbito Universal frecuentemente.

Los cambios de pertenencia de este tipo de grupo hacen que se replique

toda la pertenencia del grupo en cada catlogo global del bosque.

Tipos de grupo
Grupos de distribucin

Usados para crear listas de distribucin de correo electrnico

Se pueden usar con aplicaciones de correo electrnico para enviar mensajes

a conjuntos de usuarios

Estos no tienen seguridad habilitada, lo que significa que no pueden

aparecer en las listas de control de acceso discrecional (DACL).

Grupos de seguridad

Se usan para asignar permisos para los recursos compartidos.

Si necesita un grupo para controlar el acceso a los recursos compartidos,

cree un grupo de seguridad

Los grupos de seguridad son eficaces para conceder acceso a los recursos de
la red.

Tambin se pueden usar como entidades de correo electrnico. Al enviar un

mensaje de correo electrnico al grupo, se enva a todos sus miembros.

Con los grupos de seguridad se puede:

Asignar derechos de usuario a los grupos de seguridad de AD DS

Asignar permisos para recursos a los grupos de seguridad

Dnde se pueden crear grupos?

En AD DS, los grupos se crean en los dominios

Para crear grupos, se usa Usuarios y equipos de Active Directory. Con los
permisos necesarios, se pueden crear grupos en el dominio raz del bosque,
en cualquier otro dominio del bosque o en una unidad organizativa.

Adems de por el dominio en el que se crea, un grupo tambin se caracteriza por su

mbito. El mbito de un grupo determina lo siguiente:

El dominio desde el que se pueden agregar miembros

El dominio en el que son vlidos los derechos y permisos asignados al grupo

Creacin de grupos
1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y
en Panel de control, haga doble clic en Herramientas administrativas
y, a continuacin, haga doble clic en Usuarios y equipos de Active
Directory.
2. En el rbol de consola, haga clic con el botn secundario en la
carpeta en la que desea crear el grupo.
3. Usuarios y equipos de Active Directory\domain node\folder
Para crear una cuenta de grupo mediante la interfaz de Windows
1. Elija Nuevo y haga clic en Grupo.
2. Escriba el nombre del nuevo grupo.

3. En mbito
clic en una de las opciones disponibles.
4. Haga clic en una de las opciones de Tipo de grupo.

Adicin de miembros a un grupo

de

grupo,

haga

Para agregar un miembro a un grupo mediante la interfaz de Windows

1. En el panel de detalles, haga clic en el grupo con el botn secundario y, a
continuacin, haga clic en Propiedades.

2. En

la

ficha
Miembros,

haga clic en Agregar.

3. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre

del usuario, grupo o equipo que desee agregar al grupo y, a continuacin,
haga clic en
Aceptar.

Conversin de tipos de grupo

Para convertir un tipo de grupo a otro tipo de grupo mediante la interfaz
de Windows

1. En el panel de detalles, haga clic en el grupo con el botn secundario y, a

continuacin, haga clic en Propiedades.
2. En la ficha General, en Tipo de grupo, haga clic en el tipo de grupo.

Modificacin
grupo

del mbito de

Para cambiar el mbito de grupo mediante la interfaz de Windows

1. En el panel de detalles, haga clic en el grupo con el botn secundario y, a
continuacin, haga clic en Propiedades.
2. En la ficha General, en mbito de grupo, seleccione el mbito de grupo.

Eliminacin de cuentas de grupo

Para eliminar una cuenta de grupo mediante la interfaz de Windows

1. En el panel de detalles, haga clic en el grupo con el botn secundario y, a

continuacin, haga clic en Eliminar.

 Bsqueda de los grupos a los que pertenece un usuario

Para encontrar los grupos a los que pertenece un usuario mediante la
interfaz de Windows
1. En el panel Detalles, haga clic con el botn secundario en una cuenta de
usuario y, a continuacin, haga clic en Propiedades.
2. Haga clic en la ficha Miembro de.

Asignacin de derechos a usuarios de un grupo

Para asignar derechos de usuario a un grupo en los Servicios de dominio

de Active Directory
1. Para abrir Administracin de directivas de grupo, haga clic en Inicio y en
Ejecutar, escriba gpmc.msc y, a continuacin, haga clic en Aceptar.

2. En el rbol de consola, haga clic con el botn secundario en Directiva

predeterminada de controladores de dominio y, a continuacin, haga clic en
Editar.
o Dominios\Current
Domain
Name\Objetos
de
directiva
de
grupo\Directiva predeterminada de controladores de dominio
3. En el rbol de consola, haga clic en Asignacin de derechos de usuario.
o Configuracin de Windows\Configuracin de seguridad\Directivas
locales\Asignacin de derechos de usuario
4. En el panel de detalles, haga doble clic en el derecho de usuario que desee
asignar.
5. Haga clic en Agregar usuario o grupo.
Si el botn est atenuado, active la casilla Definir esta configuracin de
directiva.
6. Escriba el nombre del grupo al que desea asignar este derecho.