Las cuentas de usuario de Active Directory representan entidades como personas u objetos y permiten autenticar la identidad de los usuarios y autorizar o denegar el acceso a los recursos. Existen cuentas de usuario predeterminadas como Administrador, Invitado y Asistente de ayuda. Los grupos permiten agrupar objetos como usuarios, equipos y otros grupos para simplificar el acceso a recursos y envío de correo electrónico. Las unidades organizativas son contenedores para organizar objetos como usuarios, equipos y grupos con propósitos administrativos como deleg
2. Cuentas de Usuario
Las cuentas de usuario de Active Directory representan
entidades físicas, como personas. También las puede usar
como cuentas de servicio dedicadas para algunas
aplicaciones.
A veces, las cuentas de usuario también se denominan
entidades de seguridad. Las entidades de seguridad son
objetos de directorio a los que se asignan automáticamente
identificadores de seguridad (SID), que se pueden usar para
obtener acceso a recursos del dominio.
3. Funciones de una cuenta de usuario
Autentica la identidad de un usuario.
Una cuenta de usuario permite que un usuario inicie sesión en
equipos y dominios con una identidad que el dominio pueda
autenticar. Un usuario que inicia sesión en la red debe tener una
cuenta de usuario y una contraseña propias y únicas. Para
maximizar la seguridad, evite que varios usuarios compartan una
misma cuenta.
Autoriza o deniega el acceso a los recursos del dominio.
Después de que un usuario se autentica, se le concede o se le
deniega el acceso a los recursos del dominio en función de los
permisos explícitos que se le hayan asignado en el recurso.
4. Cuentas de usuario predeterminadas
El Contenedor de usuarios en el Centro de administración de
Active Directory contiene tres cuentas de usuario
integradas: Administrador, Invitado y Asistente de ayuda.
Estas cuentas de usuario integradas se crean
automáticamente al crear el dominio.
Cada cuenta integrada tiene una combinación diferente de
derechos y permisos. La cuenta Administrador es la que
tiene más derechos y permisos en el dominio. La cuenta
Invitado tiene derechos y permisos limitados
5. Grupos
Un grupo de Active Directory se compone de una colección
de objetos (usuarios y equipos, y otros grupos utilizados
para simplificar el acceso a los recursos y envío de correos
electrónicos). Los grupos pueden utilizarse para asignar
derechos administrativos, acceso a recursos de red, o, para
distribuir correo electrónico.
Hay grupos de varios sabores, y dependerá del modo en que
el dominio se esté ejecutando el que ciertas funcionalidades
de grupo estén o no disponibles.
6. Tipos de Grupos
Active Directory contiene dos tipos ditintos de
grupos: Distribución y Seguridad. Ambos tienen sus
propios usos y ventajas, siempre que se utilicen
correctamente y se hayan entendido sus
características.
7. Grupos de Distribución
Los grupos de distribución permiten el agrupamiento
de contactos, usuarios o grupos, principalmente para la
distribución de correo electrónico. Estos tipos de
grupos no pueden utilizarse para permitir o denegar el
acceso a recursos del dominio. Las Listas de Control de
Acceso Discrecional (DACLs), que se utilizan para
permitir y/o denegar el acceso a los recursos, o para
definir los derechos de usuario, se componen de
Entradas de Control de Acceso (ACEs)
8. Grupos de Seguridad
Los grupos de seguridad tienen habilitada la seguridad
y por tanto pueden utilizarse en la asignación de
derechos de usuario y en los permisos del recurso, o, en
la aplicación de directivas de grupo basadas en AD o
directivas de equipo. Los grupos pueden crearse para
recursos o tareas en particular, y cuando se efectúan
cambios en la lista de usuarios que necesitan
acceso, sólo debe modificarse la pertenencia de grupo
para reflejar los cambios en cada recurso que utiliza
este grupo.
9. Ámbito de Grupo
Además del tipo, los grupos disponen de un ámbito
a seleccionar. El ámbito, simplemente, marca los
límites de quién puede ser miembro, y dónde puede
utilizarse el grupo. Sólo los grupos de seguridad
pueden usarse para delegar control y asignar
acceso a recursos.
10. Ámbito local de dominio
Los miembros de los grupos locales de dominio
pueden incluir otros grupos y cuentas de dominio
de Windows. A los miembros de estos grupos sólo
se les pueden asignar permisos dentro de un
dominio.
11. Ámbito Global
Los miembros de los grupos globales pueden incluir
sólo grupos y cuentas del dominio en el que se
encuentra definido el grupo. A los miembros de
estos grupos se les pueden asignar permisos en
cualquier dominio del bosque.
12. Ámbito Universal
Los miembros de los grupos universales pueden
incluir otros grupos y cuentas de cualquier dominio
del bosque o del árbol de dominios. A los miembros
de estos grupos se les pueden asignar permisos en
cualquier dominio del bosque o árbol de dominios.
13. Unidades Organizativas
Simplemente, es un contenedor donde se pueden
poner distintos objetos de Active Directory como
Usuarios, Computadoras, Grupos y hasta otras OUs.
Dentro de las mismas, podemos delegar permisos de
Administración sobre los objetos que tenemos dentro y
podemos adjuntar políticas de dominio, para aplicar
distintas configuraciones sobre los tipos de objetos que
tengamos dentro.
14. Funciones de las U. Organizativas
Las Unidades Organizativas pueden usarse para
organizar cientos de objetos en el directorio dentro de
unidades administrables. Las Unidades Organizativas se
usaran para agrupar y organizar objetos con propósitos
administrativos, como delegar permisos, asignar
políticas de seguridad para uno o varios objetos como
uno solo. Las unidades organizativas pueden contener
otras unidades organizativas, pero no puede contener
objetos de otros dominios. La jerarquía de
contenedores se puede extender tanto como sea
necesario dentro de un dominio.
15. Ventajas
Las unidades organizativas permiten a disminuir el número
de dominios necesarios en una red.
Puede aplicar directivas de seguridad y permisos
administrativos a varios objetos(usuarios)como uno solo.
Puede utilizar unidades organizativas para crear un modelo
administrativo que se puede ampliar a cualquier tamaño.
Delegar control administrativo
El administrador de una unidad organizativa no necesita
tener autoridad administrativa sobre cualquier otra unidad
organizativa del dominio.