Professional Documents
Culture Documents
Introducción
Un aspecto importante de la protección de la red es la administración de los usuarios y los grupos que tienen acceso
administrativo al servicio de directorio de Active Directory. Si particulares con fines maliciosos obtuvieran acceso
administrativo a los controladores de dominio de Active Directory, podrían poner en riesgo la seguridad de la red. Estas
personas podrían ser usuarios no autorizados que hubieran obtenido contraseñas administrativas o bien administradores
legítimos que se encuentren coaccionados o descontentos. Además, no todos los problemas se deben a propósitos
maliciosos. Un usuario con acceso administrativo también podría causar problemas sin darse cuenta si no comprende las
implicaciones de los cambios de configuración. Por estos motivos, es importante administrar con cuidado los usuarios y
grupos que tienen control administrativo sobre los controladores de dominio. (Este artículo contiene vínculos a páginas
en inglés.)
La configuración de seguridad predeterminada de Microsoft Windows Server 2003 es suficiente para proteger las cuentas
de Active Directory de un gran número de tipos de amenazas. No obstante, se pueden fortalecer algunos valores
predeterminados de las cuentas administrativas para mejorar el nivel de seguridad de la red.
• Crear una nueva cuenta de usuario con credenciales de administradores del dominio
• Establecer las prácticas más recomendadas para utilizar cuentas y grupos administrativos.
Siga las prácticas más recomendadas descritas en esta guía al administrar la red. Esto contribuirá a reducir el riesgo de
que usuarios no autorizados obtengan acceso administrativo a Active Directory con el que puedan dañar de forma
intencionada o accidental su organización al copiar o eliminar datos confidenciales o al deshabilitar la red.
IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado siguiendo el menú
Inicio que aparece de forma predeterminada al instalar el sistema operativo. Si ha modificado este menú, los pasos
podrían variar ligeramente.
Principio de la página
Antes de comenzar
Antes de utilizar esta guía para proteger cuentas y grupos administrativos, complete en primer lugar las tareas que se
especifican en "Proteger los controladores de dominio de Windows Server 2003" del kit de orientaciones sobre seguridad.
Para completar los procedimientos proporcionados en esta guía, debe conocer el nombre y la contraseña de la cuenta de
administrador integrada o el nombre y la contraseña de una cuenta que sea miembro del grupo de administradores
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 2 de 23
integrado en los controladores de dominio. Determine qué servidor o servidores de la red se ejecutan como
controladores de dominio. Un controlador de dominio es un servidor con Windows Server 2003 en el que se ha instalado
Active Directory.
Antes de comenzar, deberá comprender estas cuentas y grupos administrativos y cómo los administradores de datos y
los administradores de servicios comparten la responsabilidad administrativa. Para ver y administrar grupos y cuentas de
Active Directory, haga clic en Inicio. A continuación, seleccione Herramientas administrativas y haga clic en
Usuarios y equipos de Active Directory.
• La cuenta de administrador, que se crea cuando Active Directory se instala en el primer controlador de dominio del
dominio. Se trata de la cuenta con más capacidad del dominio. La persona que instala Active Directory en el equipo
crea la contraseña para esta cuenta durante la instalación.
• Cualquier cuenta creada posteriormente y que se coloque en un grupo que disponga de privilegios administrativos o a
la que se le asignen directamente.
Los grupos administrativos de un domino de Active Directory variarán en función de los servicios que se hayan instalado
en el dominio. Entre aquellos que se utilizan de forma específica para administrar Active Directory se incluyen:
• Cualquier grupo creado posteriormente y que se coloque en otro grupo que disponga de privilegios administrativos o
al que se le asignen directamente.
En una pequeña organización, estas dos funciones las podría realizar una misma persona, pero es importante conocer
qué cuentas y grupos predeterminados son administradores de servicios. Los grupos y las cuentas de administración de
servicios cuentan con la mayor capacidad dentro del entorno de red y requieren la máxima protección. Son responsables
de la configuración de todo el directorio, la instalación y el mantenimiento del software, así como de la aplicación de los
Service Packs y las actualizaciones del sistema operativo en los controladores de dominio.
En la siguiente tabla se muestran las cuentas y grupos predeterminados que se utilizan para la administración de
servicios, sus ubicaciones predeterminadas, así como una breve descripción de cada uno. Los grupos del contenedor
Builtin no se pueden mover a otra ubicación.
Administradores de Contenedor Este grupo cuenta con acceso administrativo completo al esquema de
esquema Usuarios Active Directory.
Administradores Contenedor Builtin Este grupo tiene un control completo de todos los controladores de
dominio y todo el contenido de directorio almacenado en el dominio, y
puede cambiar la pertenencia de todos los grupos administrativos del
dominio. Se trata del grupo administrativo de servicios que dispone de
mayor capacidad.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 3 de 23
Administradores del Contenedor Este grupo se agrega de forma automática al grupo de administradores
dominio Usuarios correspondiente de cada dominio del bosque. Tiene un control completo
de todos los controladores de dominio y todo el contenido de directorio
almacenado en el dominio, y puede modificar la pertenencia de todas las
cuentas administrativas del dominio.
Operadores de Contenedor Builtin De forma predeterminada, este grupo integrado no tiene miembros.
servidores Puede realizar tareas de mantenimiento, como copia de seguridad y
restauración, en controladores de dominio.
Operadores de Contenedor Builtin De forma predeterminada, este grupo integrado no tiene miembros.
cuentas Puede crear y administrar usuarios y grupos en el dominio, aunque no
puede administrar cuentas de administrador de servicios. Como práctica
más recomendada, no agregue miembros a este grupo y no lo utilice para
cualquier administración delegada.
Operadores de copia Contenedor Builtin De forma predeterminada, este grupo integrado no tiene miembros.
de seguridad Puede realizar operaciones de copia de seguridad y restauración en
controladores de dominio.
Administrador del No se almacena en Esta cuenta especial se crea durante el proceso de instalación de Active
modo de Active Directory Directory y no es la misma que la cuenta de administrador de la base de
restauración de SD datos de Active Directory. Sólo se utiliza para iniciar el controlador de
dominio en el modo de restauración de servicios de directorio. En dicho
modo, esta cuenta tiene acceso completo al sistema y a todos los
archivos del controlador de dominio.
Las cuentas y los grupos que se muestran en esta tabla, así como todos los miembros de estos grupos, están protegidos
por un proceso en segundo plano que de forma periódica comprueba y aplica un descriptor de seguridad específico, que
es una estructura de datos que contiene información de seguridad asociada a un objeto protegido. Este proceso
garantiza que cualquier intento no autorizado que se realice para modificar el descriptor de seguridad de una de las
cuentas o grupos administrativos se sobrescribirá con la configuración protegida.
Este descriptor de seguridad está presente en el objeto AdminSDHolder. Esto significa que para modificar los permisos
de uno de los grupos de administración de servicios o de cualquiera de sus cuentas miembro, se debe modificar el
descriptor de seguridad en el objeto AdminSDHolder de modo que éste se aplique de forma coherente. Ponga especial
atención al realizar estas modificaciones ya que con ellas se cambia la configuración predeterminada que se aplicará a
todas las cuentas administrativas protegidas. Para obtener más información sobre la modificación de permisos de
cuentas de administrador de servicios, consulte "Best Practice Guide for Securing Active Directory
Installations" (Windows Server 2003) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.
Principio de la página
Requisitos
• Credenciales: Administradores del dominio (si es la primera cuenta administrativa que ha creado, inicie sesión con la
cuenta de administrador predeterminada)
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 4 de 23
• Para crear una nueva cuenta de usuario con credenciales de administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
Nota: las capturas de pantalla de este documento reflejan un entorno de prueba y la información podría diferir
de la que se muestra en el equipo.
2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Usuarios, seleccione Nuevo y, a
continuación, Usuario.
3. Rellene los campos Nombre, Apellidos y Nombre de inicio de sesión de usuario y haga clic en Siguiente.
Tal y como se muestra en el ejemplo, puede que sea conveniente que siga una convención de nomenclatura
para las cuentas administrativas. Por ejemplo, podría decidir agregar "?ALT" al nombre del usuario
administrativo para que se muestre en el nombre de inicio de sesión para la cuenta administrativa.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 5 de 23
4. Escriba y confirme la contraseña del usuario, desactive la casilla de verificación El usuario debe cambiar la
contraseña en el siguiente inicio de sesión y haga clic en Siguiente.
6. Una vez seleccionado el contenedor Usuarios, en el panel de detalles (panel derecho), haga doble clic en el
grupo Administradores del dominio.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 6 de 23
8. Haga clic en Agregar y, en el cuadro de diálogo Seleccionar usuarios, contactos o grupos, escriba el
nombre de inicio de sesión del usuario de la cuenta administrativa que acaba de crear. A continuación, haga
clic en Aceptar.
9. Compruebe que la nueva cuenta aparece como miembro del grupo Administradores del dominio.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 7 de 23
Principio de la página
Un usuario con fines maliciosos que intente irrumpir en un sistema normalmente comenzaría por intentar obtener la
contraseña de la cuenta de administrador que dispone de mayor capacidad. Por este motivo, deberá cambiar el nombre y
el texto del campo Descripción para eliminar cualquier pista que indique que se trata de la cuenta de administrador.
Asimismo, tendrá que crear una cuenta de usuario señuelo denominada Administrador que no tenga permisos especiales
o derechos de usuario.
Cada vez que cree una contraseña para una cuenta de administrador, asegúrese de que ésta es larga y compleja. Utilice
diferentes contraseñas para las cuentas de administrador y de administrador del modo de restauración de SD. Para
obtener más información sobre la creación de contraseñas complejas, consulte "Seleccionar contraseñas seguras" del kit
de orientaciones sobre seguridad.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 8 de 23
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administrador y elija
Cambiar nombre.
5. En el cuadro de diálogo Cambiar nombre de usuario, cambie los valores de Nombre completo, Nombre,
Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de
sesión de usuario (versiones anteriores a Windows 2000) para que coindican con su nombre de cuenta
ficticia. A continuación, haga clic en Aceptar.
6. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nuevo nombre y
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 9 de 23
seleccione Propiedades.
7. En la ficha General, elimine la información de Descripción "Cuenta para la administración del equipo o
dominio" y escriba una descripción similar a la de otras cuentas de usuario (para muchas organizaciones, este
campo se quedará en blanco).
8. En la ficha Cuenta, compruebe que los nombres de inicio de sesión son correctos.
Nota: este procedimiento sólo cambia los datos de cuenta y el nombre de inicio de sesión de la cuenta de
administrador predeterminada, lo que puede ver cualquiera si se las ingenia para enumerar una lista de
cuentas en el sistema. Como existen dos cuentas diferentes, este procedimiento no afecta a la capacidad para
utilizar la cuenta de administrador del modo de restauración de SD para iniciar el modo de restauración de
servicios de directorio.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
2. Haga clic con el botón secundario del mouse en el contenedor Usuarios, seleccione Nuevo y, a continuación,
Usuario.
3. En Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y haga clic en Siguiente.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 10 de 23
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 11 de 23
7. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administrador y
seleccione Propiedades.
8. En la ficha General, en el cuadro Descripción, escriba Cuenta para la administración del equipo o
dominio y, a continuación, haga clic en Aceptar.
Principio de la página
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Invitado y elija
Cambiar nombre.
5. Haga clic con el botón secundario del mouse en el nuevo nombre y seleccione Propiedades.
6. En la ficha General, elimine la información de Descripción "Cuenta para la administración del equipo o
dominio" y escriba una descripción similar a la de otras cuentas de usuario (para muchas organizaciones, este
campo se quedará en blanco).
En la ficha Cuenta, rellene el campo Nombre de inicio de sesión de usuario, para lo que utilizará el
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 12 de 23
8. mismo formato que usa para otras cuentas de usuario, por ejemplo, la primera y la última inicial.
9. Escriba este mismo nuevo nombre de inicio de sesión en el cuadro Nombre de inicio de sesión del usuario
(versiones anteriores a Windows 2000) y, a continuación, haga clic en Aceptar.
10. Compruebe que la cuenta está deshabilitada. El icono debería aparecer con una X roja sobre el mismo. Si está
habilitada, haga clic con el botón secundario del mouse en el nuevo nombre y elija Deshabilitar cuenta.
Principio de la página
Las OU son contenedores de los dominios que pueden contener otras OU, usuarios, grupos, equipos y otros objetos.
Estas OU y OU secundarias forman una estructura jerárquica dentro de un dominio y se utilizan principalmente para
agrupar objetos con fines de administración.
Mediante la creación de un subárbol que contenga todas las cuentas de administración de servicios y las estaciones de
trabajo administrativas que utilizan, se puede aplicar una configuración de directivas y seguridad específica para
aumentar al máximo su protección.
• Administradores de servicios, bajo la raíz del dominio, para mantener las siguientes dos OU secundarias
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
2. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en el nombre de
dominio, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.
4. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en Administradores
de servicios, seleccione Nuevo y haga clic en Unidad organizativa.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 13 de 23
6. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en Administradores
de servicios, seleccione Nuevo y haga clic en Unidad organizativa.
• Bloquee la herencia de permisos en la OU Administradores de servicios de forma que los cambios en los permisos
heredables realizados en la parte superior del árbol de dominio no se hereden en la inferior, alterando de este modo la
configuración bloqueada abajo.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
3. Haga clic con el botón secundario del mouse en la OU Administradores de servicios y seleccione
Propiedades.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 14 de 23
4. En la ficha Seguridad, haga clic en Avanzadas para ver todas las entradas de permisos que existen para la
OU.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 15 de 23
5. Desactive la casilla de verificación Permitir que los permisos heredables del primario se transmitan a
este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aquí de
forma explícita.
6. En el cuadro de diálogo Seguridad, haga clic en Quitar. Esta acción elimina los permisos que se heredaron del
dominio.
7. Quite los permisos restantes. Seleccione todas las entradas de permisos restantes y haga clic en Quitar.
8. Para cada grupo que se muestra en la columna Nombre de la tabla siguiente, agregue una tabla de permiso de
conformidad con las columnas Acceso y Se aplica a, tal y como se muestra en la tabla. Para agregar una
entrada, haga clic en Agregar. A continuación, en el cuadro de diálogo Seleccionar usuario, equipo o
grupo, haga clic en Avanzadas. En el cuadro de diálogo expandido, haga clic en Buscar ahora. En el cuadro
de resultados de la búsqueda, seleccione el nombre del grupo y haga doble clic en Aceptar. Se abrirá el cuadro
de diálogo de entrada de permiso, donde puede seleccionar los elementos Acceso y Se aplica a de conformidad
con la tabla.
Permitir Administradores del dominio Control total Este objeto y todos los
secundarios
Permitir Acceso compatible con versiones anteriores Mostrar contenido Objetos de usuario
de Windows 2000 Leer todas las
propiedades
Leer permisos
Permitir Acceso compatible con versiones anteriores Mostrar contenido Objetos InetOrgPerson
de Windows 2000 Leer todas las
propiedades
Leer permisos
Permitir Controladores de dominio empresariales Mostrar contenido Este objeto y todos los
Leer todas las secundarios
propiedades
Leer permisos
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 16 de 23
Leer permisos
• Cualquier grupo anidado en los Administradores, Operadores de servidores, Operadores de copia de seguridad u
Operadores de cuentas del dominio.
• Cualquier grupo que tenga derechos delegados que otorgue de forma eficaz a sus usuarios derechos de administrador
de servicios.
Los grupos integrados (Administradores, Operadores de servidores, Operadores de cuentas y Operadores de copia de
seguridad) no se pueden mover de su contenedor predeterminado al subárbol controlado. No obstante, los grupos
integrados están protegidos de forma predeterminada en Windows Server 2003 por AdminSDHolder.
Si su organización no ha creado ningún subgrupo anidado o derechos de administración de servicios delegados para
cualquier grupo, sólo tendrá que mover Administradores del dominio, Administradores de organización y Administradores
de esquema.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administradores del
dominio y seleccione Mover.
4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Usuarios y grupos y, a
continuación, en Aceptar.
5. Compruebe que el grupo de administradores del dominio está ahora en la OU Usuarios y grupos.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 17 de 23
6. Repita el procedimiento para todos los grupos de administrador de servicios que se enumeran arriba. Observe
que si tiene grupos anidados bajo grupos integrados como Administradores o grupos que ha creado
previamente y a los que ha asignado privilegios administrativos, su ubicación original podría no ser el
contenedor Usuarios.
• Todas las cuentas de usuario administrativas que son miembros de cualquiera de los grupos de administrador de
servicios enumerados en la tabla Cuentas y grupos de administrador de servicios predeterminados. Esto incluye la
cuenta de administrador del dominio (a la que le ha cambiado el nombre anteriormente).
Tal y como se recomienda, cada administrador de servicios debería tener dos cuentas: una para las obligaciones de
administración de servicios y otra para la administración de datos y el acceso de usuario habitual. Coloque las cuentas de
usuario administrativas en la OU Usuarios y grupos en el subárbol controlado. Si estas cuentas ya existen en algún otro
lugar del directorio, muévalas ahora al subárbol. Las cuentas de usuario habituales para esos administradores no se
deberían colocar en este subárbol controlado. Estas cuentas permanecerán en su ubicación original: en el contenedor
Usuarios o en una OU utilizada por la organización para mantener cuentas de usuario.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nombre de la cuenta
de administrador a la que le ha cambiado el nombre y seleccione Mover.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 18 de 23
4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Usuarios y grupos y, a
continuación, en Aceptar.
6. Repita el procedimiento para todas las cuentas de administrador de servicios que se enumeran arriba. Observe
que si ha creado anteriormente cuentas administrativas u otras OU, su ubicación original podría no ser el
contenedor Usuarios.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nombre de una
estación de trabajo utilizada por un administrador y seleccione Mover.
4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Estaciones de
administración y, a continuación, seleccione Aceptar.
Requisitos
• Credenciales: Administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 19 de 23
3. Haga clic con el botón secundario del mouse en la OU Administradores de servicios y seleccione
Propiedades.
4. En la ficha Seguridad, haga clic en Avanzadas y seleccione la ficha Auditoría para ver la configuración de
auditoría actual de la OU. Observe que en este ejemplo la configuración actual se hereda del dominio.
5. Haga clic en Agregar para crear una entrada de auditoría que se aplicará a la OU Administradores de
servicios y a sus OU secundarias.
6. En el cuadro Escriba el nombre de objeto a seleccionar, escriba Todos y haga clic en Aceptar.
7. En el cuadro Acceso, seleccione tanto Con éxito como Error para los elementos de acceso que se muestran
en la tabla siguiente. A continuación, haga clic en Aceptar. Observe que cuando activa algunas casillas de
verificación, se seleccionan otros elementos de acceso de forma automática. Estos elementos no se deberían
cambiar.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 20 de 23
Todo Todos Escribir todas las propiedades Este objeto y todos los secundarios
Todo Todos Todas las escrituras validadas Este objeto y todos los secundarios
Todo Todos Todos los permisos extendidos Este objeto y todos los secundarios
Todo Todos Crear todos los objetos secundarios Este objeto y todos los secundarios
Todo Todos Eliminar todos los objetos secundarios Este objeto y todos los secundarios
Principio de la página
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 21 de 23
No utilice cuentas de administrador de servicios para las tareas administrativas diarias, como la administración de
servidores miembro; en su lugar utilice la cuenta de usuario convencional.
Para utilizar la cuenta de usuario convencional para la administración de servicios miembro y de cuentas, se puede
colocar los objetos que se van a administrar en una OU independiente y, a continuación, convertir la cuenta de usuario
convencional en miembro de un grupo con permisos para administrar esa OU.
Se requieren credenciales de administradores del dominio para realizar los siguientes pasos:
1. Cree una OU bajo la raíz de dominio denominada Datos. Utilice esta OU para mantener todos los objetos que
desea que administren los administradores de datos, por ejemplo, usuarios normales, sus estaciones de trabajo y
servidores miembro.
Nota: también puede ser conveniente crear al menos dos OU en la OU Datos, una denominada Usuarios y la
otra Equipos, y mover todas las cuentas de equipo y de usuario desde los contenedores de usuarios y equipos a
sus respectivas OU. Mover los objetos a las OU permite aplicar la directiva de grupo. También puede crear su
propio modelo de OU para cumplir los requisitos de delegación y aplicación de la directiva de grupo.
Permitir Administradores de datos Control total Este objeto y todos los secundarios
5. Mueva la cuenta de usuario normal que ha creado para el administrador del dominio a la OU Datos.
7. Si más tarde desea delegar la administración de datos en otros administradores, cree sus cuentas de usuario en
la OU Administradores de datos y agregue sus cuentas de usuario al grupo de seguridad Administradores de
datos de NombreDominio.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 22 de 23
Cree dos cuentas para cada usuario que desempeñe una función de administrador de servicios: una cuenta de usuario
normal que se utilizará para la administración de datos y tareas normales, y una cuenta administrativa de servicios que
se empleará para realizar tareas de administración de servicios. La cuenta de administración de servicios no debería
tener el correo habilitado o utilizar para ejecutar aplicaciones que se utilicen cada día, como Microsoft Office, o para
explorar Internet. Asegúrese de proporcionar siempre contraseñas distintas para las dos cuentas. Estas medidas reducen
la exposición de las cuentas al mundo exterior y el tiempo que permanece iniciada la sesión de las cuentas
administrativas en el sistema.
Todos los servidores miembro también contienen un grupo Operadores de copia de seguridad integrado que es local a
cada servidor. Aquellas personas que sean responsables de realizar copias de seguridad de aplicaciones en un servidor
miembro (por ejemplo, Microsoft SQL Server) deberían ser miembros del grupo Operadores de copia de seguridad local
de ese servidor. Estos usuarios no deberían ser miembros del grupo Operadores de copia de seguridad de Active
Directory.
En un servidor que se ha dedicado a la función de controlador de dominio, puede reducir el número de miembros en el
grupo Operadores de copia de seguridad. Si es posible, los controladores de dominio deberían ser dedicados, aunque en
las organizaciones más pequeñas se podrían utilizar para ejecutar otras aplicaciones. En este caso, también se debe
confiar en los usuarios que son responsables de realizar copias de seguridad de las aplicaciones en el controlador de
dominio como administradores de servicios ya que cuentan con los privilegios que les permiten restaurar archivos,
incluidos archivos de sistema, en controladores de dominio.
Evite utilizar el grupo Operadores de cuentas para delegar estrictamente una tarea de "administración de datos", como la
administración de cuentas. Los permisos de directorio predeterminados proporcionan a este grupo la capacidad de
modificar las cuentas de equipo de controladores de dominio, incluida su eliminación. De forma predeterminada, no
existen miembros del grupo Operadores de cuentas y su pertenencia debería dejarse vacía.
Para obtener más información sobre cómo restringir los administradores a estaciones de trabajo específicas y otras
medidas adicionales, consulte "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en
el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
Protección de cuentas y grupos administrativos de Active Directory Página 23 de 23
La delegación de la administración de datos se realiza mediante la creación de grupos, otorgando los permisos y
derechos de usuario adecuados a esos grupos y aplicando la configuración de directiva de grupo a los miembros de los
mismos. Una vez se hayan completado estos pasos, la delegación consiste básicamente en agregar cuentas de usuario a
los grupos que se han creado. La parte fundamental de esta operación consiste en obtener un acceso adecuado y aplicar
las directivas correspondientes, según el principio de mínimo privilegio, para maximizar la seguridad, al tiempo que aún
se permite a los administradores desempeñar sus funciones delegadas.
Para obtener más información sobre la delegación de administración de datos, consulte "Best Practices for Delegating
Active Directory Administration" en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22707.
Principio de la página
Información relacionada
• Para obtener más información sobre cómo garantizar la seguridad de Active Directory, consulte:
• Proteger los controladores de dominio de Windows Server 2003" del kit de orientaciones sobre seguridad.
• Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en el sitio Web de Microsoft
en /downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91&DisplayLang=en.
• "Best Practices for Delegating Active Directory Administration" en el sitio Web de Microsoft
en /technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid1.mspx.
Para obtener más información general sobre cuentas integradas y la migración de Microsoft Windows NT 4.0 a Active
Directory, consulte:
• "Migrating from Windows NT Server 4.0 to Windows Server 2003" en el sitio Web de Microsoft
en /downloads/details.aspx?FamilyID=e92cf6a0-76f0-4e25-8de0-19544062a6e6&DisplayLang=en.
Principio de la página
Administre su perfil
©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |
Condiciones de uso | Marcas registradas | Declaración de Privacidad
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014