ManualAlfresco CSIRC v1.0

Protección de cuentas y grupos administrativos de Active Directory Página 1 de 23
Protección de cuentas y grupos administrativos de Active Directory

En esta página
Introducción
Antes de comenzar
Creación de una nueva cuenta de usuario con credenciales de administradores del dominio
Protección de la cuenta de administrador
Seguridad de la cuenta de invitado
Aumento de la seguridad de los grupos y las cuentas de administración de servicios
Establecimiento de las prácticas más recomendadas para utilizar grupos y cuentas administrativas
Información relacionada
Introducción
Un aspecto importante de la protección de la red es la administración de los usuarios y los grupos que tienen acceso
administrativo al servicio de directorio de Active Directory. Si particulares con fines maliciosos obtuvieran acceso
administrativo a los controladores de dominio de Active Directory, podrían poner en riesgo la seguridad de la red. Estas
personas podrían ser usuarios no autorizados que hubieran obtenido contraseñas administrativas o bien administradores
legítimos que se encuentren coaccionados o descontentos. Además, no todos los problemas se deben a propósitos
maliciosos. Un usuario con acceso administrativo también podría causar problemas sin darse cuenta si no comprende las
implicaciones de los cambios de configuración. Por estos motivos, es importante administrar con cuidado los usuarios y
grupos que tienen control administrativo sobre los controladores de dominio. (Este artículo contiene vínculos a páginas
en inglés.)
La configuración de seguridad predeterminada de Microsoft Windows Server 2003 es suficiente para proteger las cuentas
de Active Directory de un gran número de tipos de amenazas. No obstante, se pueden fortalecer algunos valores
predeterminados de las cuentas administrativas para mejorar el nivel de seguridad de la red.
En esta guía se ofrecen instrucciones detalladas que explican cómo:
• Crear una nueva cuenta de usuario con credenciales de administradores del dominio
• Proteger la cuenta de administrador predeterminada
• Asegurar la cuenta de invitado
• Aumentar la seguridad de los grupos y las cuentas de administración de servicios
• Establecer las prácticas más recomendadas para utilizar cuentas y grupos administrativos.
Siga las prácticas más recomendadas descritas en esta guía al administrar la red. Esto contribuirá a reducir el riesgo de
que usuarios no autorizados obtengan acceso administrativo a Active Directory con el que puedan dañar de forma
intencionada o accidental su organización al copiar o eliminar datos confidenciales o al deshabilitar la red.
IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado siguiendo el menú
Inicio que aparece de forma predeterminada al instalar el sistema operativo. Si ha modificado este menú, los pasos
podrían variar ligeramente.
Principio de la página
Antes de comenzar
Antes de utilizar esta guía para proteger cuentas y grupos administrativos, complete en primer lugar las tareas que se
especifican en "Proteger los controladores de dominio de Windows Server 2003" del kit de orientaciones sobre seguridad.
Para completar los procedimientos proporcionados en esta guía, debe conocer el nombre y la contraseña de la cuenta de
administrador integrada o el nombre y la contraseña de una cuenta que sea miembro del grupo de administradores
https://www.microsoft.com/spain/technet/recursos/articulos/sec_ad_admin_groups.mspx?... 06/06/2014
integrado en los controladores de dominio. Determine qué servidor o servidores de la red se ejecutan como
controladores de dominio. Un controlador de dominio es un servidor con Windows Server 2003 en el que se ha instalado
Active Directory.
Antes de comenzar, deberá comprender estas cuentas y grupos administrativos y cómo los administradores de datos y
los administradores de servicios comparten la responsabilidad administrativa. Para ver y administrar grupos y cuentas de
Active Directory, haga clic en Inicio. A continuación, seleccione Herramientas administrativas y haga clic en
Usuarios y equipos de Active Directory.
Descripción de cuentas y grupos administrativos

Entre las cuentas administrativas de un dominio de Active Directory se incluyen:
• La cuenta de administrador, que se crea cuando Active Directory se instala en el primer controlador de dominio del
dominio. Se trata de la cuenta con más capacidad del dominio. La persona que instala Active Directory en el equipo
crea la contraseña para esta cuenta durante la instalación.
• Cualquier cuenta creada posteriormente y que se coloque en un grupo que disponga de privilegios administrativos o a
la que se le asignen directamente.
Los grupos administrativos de un domino de Active Directory variarán en función de los servicios que se hayan instalado
en el dominio. Entre aquellos que se utilizan de forma específica para administrar Active Directory se incluyen:
• Grupos administrativos que se han creado de forma automática en el contenedor Builtin.
• Grupos administrativos que se han creado de forma automática en el contenedor Usuarios.
• Cualquier grupo creado posteriormente y que se coloque en otro grupo que disponga de privilegios administrativos o
al que se le asignen directamente.
Descripción de los administradores de datos y los administradores de servicios

En lo que respecta a Active Directory, existen dos tipos de responsabilidad administrativa en Windows Server 2003. Los
administradores de servicios son responsables de mantener y ofrecer el servicio de directorio, lo que incluye la
administración del controlador de dominio y la configuración del servicio de directorio. Los administradores de datos son
responsables de mantener los datos que se almacenan en el servicio de directorio y en las estaciones de trabajo y
servidores miembros del dominio.
En una pequeña organización, estas dos funciones las podría realizar una misma persona, pero es importante conocer
qué cuentas y grupos predeterminados son administradores de servicios. Los grupos y las cuentas de administración de
servicios cuentan con la mayor capacidad dentro del entorno de red y requieren la máxima protección. Son responsables
de la configuración de todo el directorio, la instalación y el mantenimiento del software, así como de la aplicación de los
Service Packs y las actualizaciones del sistema operativo en los controladores de dominio.
En la siguiente tabla se muestran las cuentas y grupos predeterminados que se utilizan para la administración de
servicios, sus ubicaciones predeterminadas, así como una breve descripción de cada uno. Los grupos del contenedor
Builtin no se pueden mover a otra ubicación.
Cuentas y grupos de administración de servicios predeterminados
Nombre de cuenta Ubicación Descripción

o grupo predeterminada
Administradores de Contenedor Este grupo se agrega de forma automática al grupo de administradores

organización Usuarios en cada dominio del bosque, por lo que disfruta de un acceso completo a
la configuración de todos los controladores de dominio.
Administradores de Contenedor Este grupo cuenta con acceso administrativo completo al esquema de
esquema Usuarios Active Directory.
Administradores Contenedor Builtin Este grupo tiene un control completo de todos los controladores de
dominio y todo el contenido de directorio almacenado en el dominio, y
puede cambiar la pertenencia de todos los grupos administrativos del
dominio. Se trata del grupo administrativo de servicios que dispone de
mayor capacidad.
Administradores del Contenedor Este grupo se agrega de forma automática al grupo de administradores
dominio Usuarios correspondiente de cada dominio del bosque. Tiene un control completo
de todos los controladores de dominio y todo el contenido de directorio
almacenado en el dominio, y puede modificar la pertenencia de todas las
cuentas administrativas del dominio.
Operadores de Contenedor Builtin De forma predeterminada, este grupo integrado no tiene miembros.
servidores Puede realizar tareas de mantenimiento, como copia de seguridad y
restauración, en controladores de dominio.
Operadores de Contenedor Builtin De forma predeterminada, este grupo integrado no tiene miembros.
cuentas Puede crear y administrar usuarios y grupos en el dominio, aunque no
puede administrar cuentas de administrador de servicios. Como práctica
más recomendada, no agregue miembros a este grupo y no lo utilice para
cualquier administración delegada.
Operadores de copia Contenedor Builtin De forma predeterminada, este grupo integrado no tiene miembros.
de seguridad Puede realizar operaciones de copia de seguridad y restauración en
controladores de dominio.
Administrador del No se almacena en Esta cuenta especial se crea durante el proceso de instalación de Active
modo de Active Directory Directory y no es la misma que la cuenta de administrador de la base de
restauración de SD datos de Active Directory. Sólo se utiliza para iniciar el controlador de
dominio en el modo de restauración de servicios de directorio. En dicho
modo, esta cuenta tiene acceso completo al sistema y a todos los
archivos del controlador de dominio.
Las cuentas y los grupos que se muestran en esta tabla, así como todos los miembros de estos grupos, están protegidos
por un proceso en segundo plano que de forma periódica comprueba y aplica un descriptor de seguridad específico, que
es una estructura de datos que contiene información de seguridad asociada a un objeto protegido. Este proceso
garantiza que cualquier intento no autorizado que se realice para modificar el descriptor de seguridad de una de las
cuentas o grupos administrativos se sobrescribirá con la configuración protegida.
Este descriptor de seguridad está presente en el objeto AdminSDHolder. Esto significa que para modificar los permisos
de uno de los grupos de administración de servicios o de cualquiera de sus cuentas miembro, se debe modificar el
descriptor de seguridad en el objeto AdminSDHolder de modo que éste se aplique de forma coherente. Ponga especial
atención al realizar estas modificaciones ya que con ellas se cambia la configuración predeterminada que se aplicará a
todas las cuentas administrativas protegidas. Para obtener más información sobre la modificación de permisos de
cuentas de administrador de servicios, consulte "Best Practice Guide for Securing Active Directory
Installations" (Windows Server 2003) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.
Creación de una nueva cuenta de usuario con credenciales de administradores

del dominio
Si aún no dispone de una cuenta de usuario que sea miembro del grupo de administradores del dominio, y que no sea la
cuenta de administrador predeterminada, cree una para realizar las tareas descritas en esta guía. Como administrador
de la red, sólo utilizará esta nueva cuenta cuando necesite realizar tareas que requieran credenciales de administrador
del dominio. No mantenga iniciada la sesión con esta cuenta una vez que haya terminado de realizar estas tareas. Si el
equipo recibe un virus mientras que un administrador del dominio se encuentra con la sesión iniciada, éste se ejecutará
en el contexto de dicho administrador del dominio. De este modo, el virus podría utilizar los privilegios del administrador
para infectar la estación de trabajo y el resto de la red. Cree otra cuenta de usuario para la administración de datos y el
uso diario, como la ejecución de Microsoft Office y el envío y la recepción de correo electrónico, pero no la agregue al
grupo de administradores del dominio. Más adelante en este documento se especifican prácticas seguras para la creación
y el uso de cuentas administrativas.
Requisitos
• Credenciales: Administradores del dominio (si es la primera cuenta administrativa que ha creado, inicie sesión con la
cuenta de administrador predeterminada)
• Herramientas: Usuarios y equipos de Active Directory
• Para crear una nueva cuenta de usuario con credenciales de administradores del dominio
1. Inicie sesión como miembro del grupo de administradores del dominio y, a continuación, abra Usuarios y
equipos de Active Directory.
Nota: las capturas de pantalla de este documento reflejan un entorno de prueba y la información podría diferir
de la que se muestra en el equipo.
2. Haga clic con el botón secundario del mouse (ratón) en el contenedor Usuarios, seleccione Nuevo y, a
continuación, Usuario.
3. Rellene los campos Nombre, Apellidos y Nombre de inicio de sesión de usuario y haga clic en Siguiente.
Tal y como se muestra en el ejemplo, puede que sea conveniente que siga una convención de nomenclatura
para las cuentas administrativas. Por ejemplo, podría decidir agregar "?ALT" al nombre del usuario
administrativo para que se muestre en el nombre de inicio de sesión para la cuenta administrativa.
4. Escriba y confirme la contraseña del usuario, desactive la casilla de verificación El usuario debe cambiar la
contraseña en el siguiente inicio de sesión y haga clic en Siguiente.
5. Revise la información de la cuenta y haga clic en Finalizar.
6. Una vez seleccionado el contenedor Usuarios, en el panel de detalles (panel derecho), haga doble clic en el
grupo Administradores del dominio.
7. Haga clic en la ficha Miembros.
8. Haga clic en Agregar y, en el cuadro de diálogo Seleccionar usuarios, contactos o grupos, escriba el
nombre de inicio de sesión del usuario de la cuenta administrativa que acaba de crear. A continuación, haga
clic en Aceptar.
9. Compruebe que la nueva cuenta aparece como miembro del grupo Administradores del dominio.
Protección de la cuenta de administrador

Cada instalación de Active Directory tiene una cuenta denominada Administrador en cada dominio. Esta cuenta no se
puede eliminar ni bloquear. En Windows Server 2003, se puede deshabilitar la cuenta de administrador, aunque ésta se
rehabilitará de forma automática al iniciar el equipo en modo de seguridad.
Un usuario con fines maliciosos que intente irrumpir en un sistema normalmente comenzaría por intentar obtener la
contraseña de la cuenta de administrador que dispone de mayor capacidad. Por este motivo, deberá cambiar el nombre y
el texto del campo Descripción para eliminar cualquier pista que indique que se trata de la cuenta de administrador.
Asimismo, tendrá que crear una cuenta de usuario señuelo denominada Administrador que no tenga permisos especiales
o derechos de usuario.
Cada vez que cree una contraseña para una cuenta de administrador, asegúrese de que ésta es larga y compleja. Utilice
diferentes contraseñas para las cuentas de administrador y de administrador del modo de restauración de SD. Para
obtener más información sobre la creación de contraseñas complejas, consulte "Seleccionar contraseñas seguras" del kit
de orientaciones sobre seguridad.
Cambio de nombre de la cuenta de administrador predeterminada

Este procedimiento elimina cualquier información obvia que pueda alertar a los atacantes de que esta cuenta dispone de
privilegios elevados. Aunque un atacante que haya descubierto la cuenta de administrador predeterminada aún
necesitaría la contraseña para utilizarla, al cambiar el nombre de la cuenta de administrador predeterminada se agrega
una capa de protección adicional frente al aumento de ataques de privilegio. Utilice un nombre y apellidos ficticios en el
mismo formato que los otros nombres de usuario. No utilice el nombre ficticio que se muestra en el ejemplo siguiente.
Requisitos
• Credenciales: Administradores del dominio
• Para cambiar el nombre de la cuenta de administrador predeterminada
2. En el árbol de la consola (panel izquierdo), haga clic en Usuarios.
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administrador y elija
Cambiar nombre.
4. Escriba el nombre y apellidos ficticios y presione Entrar.
5. En el cuadro de diálogo Cambiar nombre de usuario, cambie los valores de Nombre completo, Nombre,
Apellidos, Nombre para mostrar, Nombre de inicio de sesión de usuario y Nombre de inicio de
sesión de usuario (versiones anteriores a Windows 2000) para que coindican con su nombre de cuenta
ficticia. A continuación, haga clic en Aceptar.
6. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nuevo nombre y
seleccione Propiedades.
7. En la ficha General, elimine la información de Descripción "Cuenta para la administración del equipo o
dominio" y escriba una descripción similar a la de otras cuentas de usuario (para muchas organizaciones, este
campo se quedará en blanco).
8. En la ficha Cuenta, compruebe que los nombres de inicio de sesión son correctos.
Nota: este procedimiento sólo cambia los datos de cuenta y el nombre de inicio de sesión de la cuenta de
administrador predeterminada, lo que puede ver cualquiera si se las ingenia para enumerar una lista de
cuentas en el sistema. Como existen dos cuentas diferentes, este procedimiento no afecta a la capacidad para
utilizar la cuenta de administrador del modo de restauración de SD para iniciar el modo de restauración de
servicios de directorio.
Creación de una cuenta de administrador señuelo

Este procedimiento agrega una capa de protección adicional al ocultar la cuenta de administrador predeterminada. Un
atacante que tenga previsto realizar un ataque de contraseña en la cuenta de administrador puede ser engañado para
que ataque de una cuenta sin privilegios especiales.
Requisitos
• Para crear una cuenta de administrador señuelo
2. Haga clic con el botón secundario del mouse en el contenedor Usuarios, seleccione Nuevo y, a continuación,
Usuario.
3. En Nombre y Nombre de inicio de sesión de usuario, escriba Administrador y haga clic en Siguiente.
4. Escriba y confirme la contraseña.
5. Desactive la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de

sesión.
6. Compruebe que se ha creado la cuenta señuelo y haga clic en Finalizar.
7. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administrador y
seleccione Propiedades.
8. En la ficha General, en el cuadro Descripción, escriba Cuenta para la administración del equipo o
dominio y, a continuación, haga clic en Aceptar.
Seguridad de la cuenta de invitado

La cuenta de invitado permite a los usuarios que no disponen de una cuenta en el dominio iniciar sesión en éste como
invitado. Esta cuenta se deshabilita de forma predeterminada y debería permanecer en ese estado, aunque al ocultar la
cuenta se agrega una capa de protección adicional frente al acceso no autorizado. Utilice un nombre y apellidos ficticios
en el mismo formato que los otros nombres de usuario.
Requisitos
• Para cambiar el nombre de la cuenta de invitado
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Invitado y elija
Cambiar nombre.
4. Escriba el nombre y apellidos ficticios y presione Entrar.
5. Haga clic con el botón secundario del mouse en el nuevo nombre y seleccione Propiedades.
6. En la ficha General, elimine la información de Descripción "Cuenta para la administración del equipo o
dominio" y escriba una descripción similar a la de otras cuentas de usuario (para muchas organizaciones, este
campo se quedará en blanco).
7. En los cuadros Nombre y Apellidos, escriba los nombres ficticios.
En la ficha Cuenta, rellene el campo Nombre de inicio de sesión de usuario, para lo que utilizará el
8. mismo formato que usa para otras cuentas de usuario, por ejemplo, la primera y la última inicial.
9. Escriba este mismo nuevo nombre de inicio de sesión en el cuadro Nombre de inicio de sesión del usuario
(versiones anteriores a Windows 2000) y, a continuación, haga clic en Aceptar.
10. Compruebe que la cuenta está deshabilitada. El icono debería aparecer con una X roja sobre el mismo. Si está
habilitada, haga clic con el botón secundario del mouse en el nuevo nombre y elija Deshabilitar cuenta.
Aumento de la seguridad de los grupos y las cuentas de administración de

servicios
Crear un subárbol de unidad organizativa (OU) controlada en Active Directory y establecerlo con su configuración de
seguridad recomendada puede ayudar a proporcionar un entorno más seguro para las estaciones de trabajo y las
cuentas de administrador de servicios.
Las OU son contenedores de los dominios que pueden contener otras OU, usuarios, grupos, equipos y otros objetos.
Estas OU y OU secundarias forman una estructura jerárquica dentro de un dominio y se utilizan principalmente para
agrupar objetos con fines de administración.
Mediante la creación de un subárbol que contenga todas las cuentas de administración de servicios y las estaciones de
trabajo administrativas que utilizan, se puede aplicar una configuración de directivas y seguridad específica para
aumentar al máximo su protección.
Para crear el subárbol controlado, realice las siguientes tareas:
1. Cree la estructura de OU para el subárbol controlado.
2. Establezca los permisos de las OU del subárbol controlado.
3. Mueva los grupos de administración de servicios al subárbol controlado.
4. Mueva las cuentas de usuario de administrador de servicios al subárbol controlado.
5. Mueva las cuentas de estación de trabajo de administrador de servicios al subárbol controlado.
6. Habilite la auditoría en las OU del subárbol controlado.
Creación de la estructura de OU para el subárbol controlado.

Para crear el subárbol, cree tres OU:
• Administradores de servicios, bajo la raíz del dominio, para mantener las siguientes dos OU secundarias
• Usuarios y grupos, para mantener cuentas de grupo y de usuario administrativas.
• Estaciones de administración, para mantener estaciones de administración.
Requisitos
• Para crear la estructura de OU para el subárbol controlado
2. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en el nombre de
dominio, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.
3. En el cuadro Nombre, escriba Administradores de servicios y haga clic en Aceptar.
4. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en Administradores
de servicios, seleccione Nuevo y haga clic en Unidad organizativa.
5. En el cuadro Nombre, escriba Usuarios y grupos y haga clic en Aceptar.
6. En el árbol de la consola (panel izquierdo), haga clic con el botón secundario del mouse en Administradores
de servicios, seleccione Nuevo y haga clic en Unidad organizativa.
7. En el cuadro Nombre, escriba Estaciones de administración y haga clic en Aceptar.
8. Compruebe que la jerarquía de la OU se asemeja a la siguiente estructura, con Administradores de servicios en

el nivel que hay debajo del nombre de dominio, y Usuarios y grupos y Estaciones de administración en el nivel
bajo Administradores de servicios.
Configuración de los permisos de las OU del subárbol controlado

La realización de los siguientes pasos puede ayudar a limitar el acceso al subárbol controlado de forma que sólo los
administradores de servicios puedan administrar la pertenencia de las estaciones de trabajo y los grupos de
administrador de servicios:
• Bloquee la herencia de permisos en la OU Administradores de servicios de forma que los cambios en los permisos
heredables realizados en la parte superior del árbol de dominio no se hereden en la inferior, alterando de este modo la
configuración bloqueada abajo.
• Configure los permisos de la OU Administradores de servicios.
Requisitos
• Para configurar permisos en la OU Administradores de servicios
2. En el menú Ver, seleccione Características avanzadas.
3. Haga clic con el botón secundario del mouse en la OU Administradores de servicios y seleccione
Propiedades.
4. En la ficha Seguridad, haga clic en Avanzadas para ver todas las entradas de permisos que existen para la
OU.
5. Desactive la casilla de verificación Permitir que los permisos heredables del primario se transmitan a
este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aquí de
forma explícita.
6. En el cuadro de diálogo Seguridad, haga clic en Quitar. Esta acción elimina los permisos que se heredaron del
dominio.
7. Quite los permisos restantes. Seleccione todas las entradas de permisos restantes y haga clic en Quitar.
8. Para cada grupo que se muestra en la columna Nombre de la tabla siguiente, agregue una tabla de permiso de
conformidad con las columnas Acceso y Se aplica a, tal y como se muestra en la tabla. Para agregar una
entrada, haga clic en Agregar. A continuación, en el cuadro de diálogo Seleccionar usuario, equipo o
grupo, haga clic en Avanzadas. En el cuadro de diálogo expandido, haga clic en Buscar ahora. En el cuadro
de resultados de la búsqueda, seleccione el nombre del grupo y haga doble clic en Aceptar. Se abrirá el cuadro
de diálogo de entrada de permiso, donde puede seleccionar los elementos Acceso y Se aplica a de conformidad
con la tabla.
Configuración de permisos para la OU Administradores de servicios
Tipo Nombre Acceso Se aplica a
Permitir SISTEMA Control total Este objeto y todos los

secundarios
Permitir Administradores de organización Control total Este objeto y todos los

secundarios
Permitir Administradores del dominio Control total Este objeto y todos los
secundarios
Permitir Administradores Control total Este objeto y todos los

secundarios
Permitir Acceso compatible con versiones anteriores Mostrar contenido Objetos de usuario
de Windows 2000 Leer todas las
propiedades
Leer permisos
Permitir Acceso compatible con versiones anteriores Mostrar contenido Objetos InetOrgPerson
de Windows 2000 Leer todas las
propiedades
Leer permisos
Permitir Controladores de dominio empresariales Mostrar contenido Este objeto y todos los
Leer todas las secundarios
propiedades
Leer permisos
Permitir Usuarios autenticados Mostrar contenido Este objeto y todos los

Leer todas las secundarios
propiedades
Leer permisos
Desplazamiento de grupos de administrador de servicios a la OU Usuarios y grupos

Mueva los siguientes grupos de administrador de servicios de su ubicación actual en el directorio a la OU Usuarios y
grupos en el subárbol controlado:
• Administradores del dominio y cualquier subgrupo anidado.
• Administradores de organización y cualquier subgrupo anidado.
• Administradores de esquema y cualquier subgrupo anidado.
• Cualquier grupo anidado en los Administradores, Operadores de servidores, Operadores de copia de seguridad u
Operadores de cuentas del dominio.
• Cualquier grupo que tenga derechos delegados que otorgue de forma eficaz a sus usuarios derechos de administrador
de servicios.
Los grupos integrados (Administradores, Operadores de servidores, Operadores de cuentas y Operadores de copia de
seguridad) no se pueden mover de su contenedor predeterminado al subárbol controlado. No obstante, los grupos
integrados están protegidos de forma predeterminada en Windows Server 2003 por AdminSDHolder.
Si su organización no ha creado ningún subgrupo anidado o derechos de administración de servicios delegados para
cualquier grupo, sólo tendrá que mover Administradores del dominio, Administradores de organización y Administradores
de esquema.
Requisitos
• Para mover grupos de administrador de servicios a la OU Usuarios y grupos
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en Administradores del
dominio y seleccione Mover.
4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Usuarios y grupos y, a
continuación, en Aceptar.
5. Compruebe que el grupo de administradores del dominio está ahora en la OU Usuarios y grupos.
6. Repita el procedimiento para todos los grupos de administrador de servicios que se enumeran arriba. Observe
que si tiene grupos anidados bajo grupos integrados como Administradores o grupos que ha creado
previamente y a los que ha asignado privilegios administrativos, su ubicación original podría no ser el
contenedor Usuarios.
Desplazamiento de cuentas de usuario de administrador de servicios a la OU Usuarios y grupos

Mueva las siguientes cuentas de usuario de sus ubicaciones actuales en el directorio a la OU Usuarios y grupos en el
subárbol controlado:
• Todas las cuentas de usuario administrativas que son miembros de cualquiera de los grupos de administrador de
servicios enumerados en la tabla Cuentas y grupos de administrador de servicios predeterminados. Esto incluye la
cuenta de administrador del dominio (a la que le ha cambiado el nombre anteriormente).
• La cuenta de administrador señuelo que creó en un procedimiento anterior de esta guía.
Tal y como se recomienda, cada administrador de servicios debería tener dos cuentas: una para las obligaciones de
administración de servicios y otra para la administración de datos y el acceso de usuario habitual. Coloque las cuentas de
usuario administrativas en la OU Usuarios y grupos en el subárbol controlado. Si estas cuentas ya existen en algún otro
lugar del directorio, muévalas ahora al subárbol. Las cuentas de usuario habituales para esos administradores no se
deberían colocar en este subárbol controlado. Estas cuentas permanecerán en su ubicación original: en el contenedor
Usuarios o en una OU utilizada por la organización para mantener cuentas de usuario.
Requisitos
• Para mover cuentas de administrador de servicios a la OU Usuarios y grupos
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nombre de la cuenta
de administrador a la que le ha cambiado el nombre y seleccione Mover.
4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Usuarios y grupos y, a
continuación, en Aceptar.
5. Compruebe que la cuenta está ahora en la OU Usuarios y grupos.
6. Repita el procedimiento para todas las cuentas de administrador de servicios que se enumeran arriba. Observe
que si ha creado anteriormente cuentas administrativas u otras OU, su ubicación original podría no ser el
contenedor Usuarios.
Desplazamiento de cuentas de estaciones de administración a la OU Estaciones de

administración
Mueva las cuentas de equipo para estaciones de trabajo que utilizan los administradores en la OU Estaciones de
administración en el subárbol controlado.
IMPORTANTE: no mueva cuentas de controlador de dominio de la OU Controladores de dominio, aunque algunos

administradores inicien sesión en las mismas para realizar tareas administrativas. El desplazamiento de estas cuentas
alterará la aplicación coherente de directivas de controlador de dominio en todos los dominios, motivo por el cual no se
admite.
Requisitos
• Para mover cuentas de estaciones de administración de servicios a la OU Estaciones de administración
2. En el árbol de la consola (panel izquierdo), haga clic en Equipos.
3. En el panel de detalles (panel derecho), haga clic con el botón secundario del mouse en el nombre de una
estación de trabajo utilizada por un administrador y seleccione Mover.
4. En el cuadro Mover, haga doble clic en Administradores de servicios, haga clic en Estaciones de
administración y, a continuación, seleccione Aceptar.
5. Compruebe que la cuenta de equipo está ahora en la OU Estaciones de administración.
6. Repita el procedimiento para todas las estaciones de administración.
Habilitación de la auditoría en el subárbol controlado.

La auditoría y el seguimiento de las adiciones, eliminaciones y cambios en las cuentas de administrador de servicios,
estaciones de trabajo y directivas pueden ayudar a identificar cambios inadecuados o no autorizados que son indicadores
frecuentes de acciones o intentos no autorizados de acceso al sistema. Si suponemos que ha habilitado la auditoría en
los controladores de dominio de conformidad con las recomendaciones de "Proteger los controladores de dominio de
Windows Server 2003" del kit de orientaciones sobre seguridad, la habilitación de la auditoría en la OU Administradores
de servicios creará un registro de auditoría de seguridad que realizará un seguimiento de dichos cambios. Supervisar en
el registro de auditoría de seguridad los posibles cambios en el subárbol controlado y comprobar que los cambios son
legítimos puede ayudar a identificar el uso no autorizado. Para obtener acceso al registro de auditoría de seguridad, haga
clic en Inicio, seleccione Herramientas administrativas, haga clic en Visor de sucesos y, a continuación, en
Seguridad.
Requisitos
• Para habilitar la auditoría en el subárbol controlado
2. En el menú Ver, seleccione Características avanzadas.
3. Haga clic con el botón secundario del mouse en la OU Administradores de servicios y seleccione
Propiedades.
4. En la ficha Seguridad, haga clic en Avanzadas y seleccione la ficha Auditoría para ver la configuración de
auditoría actual de la OU. Observe que en este ejemplo la configuración actual se hereda del dominio.
5. Haga clic en Agregar para crear una entrada de auditoría que se aplicará a la OU Administradores de
servicios y a sus OU secundarias.
6. En el cuadro Escriba el nombre de objeto a seleccionar, escriba Todos y haga clic en Aceptar.
7. En el cuadro Acceso, seleccione tanto Con éxito como Error para los elementos de acceso que se muestran
en la tabla siguiente. A continuación, haga clic en Aceptar. Observe que cuando activa algunas casillas de
verificación, se seleccionan otros elementos de acceso de forma automática. Estos elementos no se deberían
cambiar.
Configuración de auditoría en la OU Administradores de servicios
Todo Todos Escribir todas las propiedades Este objeto y todos los secundarios
Todo Todos Eliminar Este objeto y todos los secundarios
Todo Todos Eliminar subárbol Este objeto y todos los secundarios
Todo Todos Modificar permisos Este objeto y todos los secundarios
Todo Todos Modificar propietario Este objeto y todos los secundarios
Todo Todos Todas las escrituras validadas Este objeto y todos los secundarios
Todo Todos Todos los permisos extendidos Este objeto y todos los secundarios
Todo Todos Crear todos los objetos secundarios Este objeto y todos los secundarios
Todo Todos Eliminar todos los objetos secundarios Este objeto y todos los secundarios
Establecimiento de las prácticas más recomendadas para utilizar grupos y

cuentas administrativas
El establecimiento de las siguientes prácticas más recomendadas para utilizar grupos y cuentas administrativas puede
contribuir a reducir la probabilidad de que los equipos y la red se vean afectados por usuarios no autorizados que
intenten obtener acceso a una cuenta con elevados derechos de acceso o usuarios legítimos que alteren de forma no
intencionada el funcionamiento de la red al hacer un mal uso de sus derechos administrativos:
• Limitar el número de cuentas de administrador de servicios
• Separar cuentas de usuario y administrativas para usuarios administrativos
• Asignar personal de confianza
• Limitar derechos de administrador a los derechos que se requieren en realidad
• Controlar el proceso de inicio de sesión administrativo
• Asegurar estaciones de trabajo de administrador de servicios
• Comprender la delegación de datos
Limitación del número de cuentas de administrador de servicios

Mantener la pertenencia de cuentas de administrador de servicios al mínimo necesario en la organización es una forma
clave de limitar el uso no autorizado. Para las pequeñas organizaciones, normalmente basta con dos cuentas que sean
miembro del grupo de administradores del dominio. La limitación de estas pertenencias reduce el número de posibles
cuentas administrativas cuya seguridad puede verse en riesgo por usuarios con fines maliciosos. Las tareas que realizan
los administradores de servicios se deberían limitar a cambiar la configuración de servicio de Active Directory y
reconfigurar controladores de dominio.
No utilice cuentas de administrador de servicios para las tareas administrativas diarias, como la administración de
servidores miembro; en su lugar utilice la cuenta de usuario convencional.
Para utilizar la cuenta de usuario convencional para la administración de servicios miembro y de cuentas, se puede
colocar los objetos que se van a administrar en una OU independiente y, a continuación, convertir la cuenta de usuario
convencional en miembro de un grupo con permisos para administrar esa OU.
Se requieren credenciales de administradores del dominio para realizar los siguientes pasos:
1. Cree una OU bajo la raíz de dominio denominada Datos. Utilice esta OU para mantener todos los objetos que
desea que administren los administradores de datos, por ejemplo, usuarios normales, sus estaciones de trabajo y
servidores miembro.
Nota: también puede ser conveniente crear al menos dos OU en la OU Datos, una denominada Usuarios y la
otra Equipos, y mover todas las cuentas de equipo y de usuario desde los contenedores de usuarios y equipos a
sus respectivas OU. Mover los objetos a las OU permite aplicar la directiva de grupo. También puede crear su
propio modelo de OU para cumplir los requisitos de delegación y aplicación de la directiva de grupo.
2. Cree otra OU bajo la raíz de dominio denominada Administradores de datos.
3. En la OU Administradores de datos, cree un grupo de seguridad local de dominio denominado

Administradores de datos de NombreDominio, por ejemplo, Administradores de datos de Contoso. Los
miembros de este grupo son responsables de la administración de datos en la OU Datos.
4. Modifique los permisos existentes en la OU Datos, tal y como se indica a continuación:
• Elimine todos los permisos otorgados a Operadores de cuentas y Operadores de impresión.
• Agregue la siguiente entrada:
Permitir Administradores de datos Control total Este objeto y todos los secundarios
5. Mueva la cuenta de usuario normal que ha creado para el administrador del dominio a la OU Datos.
6. Agregue la cuenta al grupo de seguridad Administradores de datos de NombreDominio.
7. Si más tarde desea delegar la administración de datos en otros administradores, cree sus cuentas de usuario en
la OU Administradores de datos y agregue sus cuentas de usuario al grupo de seguridad Administradores de
datos de NombreDominio.
Separación de cuentas de usuario y administrativas para usuarios administrativos
Cree dos cuentas para cada usuario que desempeñe una función de administrador de servicios: una cuenta de usuario
normal que se utilizará para la administración de datos y tareas normales, y una cuenta administrativa de servicios que
se empleará para realizar tareas de administración de servicios. La cuenta de administración de servicios no debería
tener el correo habilitado o utilizar para ejecutar aplicaciones que se utilicen cada día, como Microsoft Office, o para
explorar Internet. Asegúrese de proporcionar siempre contraseñas distintas para las dos cuentas. Estas medidas reducen
la exposición de las cuentas al mundo exterior y el tiempo que permanece iniciada la sesión de las cuentas
administrativas en el sistema.
Asignación de personal de confianza

Los administradores de servicios controlan la configuración y el funcionamiento del servicio de directorio. Por lo tanto,
esta responsabilidad sólo se debería proporcionar a usuarios de confianza que hayan demostrado hacer un uso
responsable de la propiedad y que comprendan totalmente el funcionamiento del directorio. Deberían estar
completamente familiarizados con las directivas de la organización en lo que respecta a la seguridad y las operaciones,
así como haber demostrado su voluntad de aplicar esas directivas.
Limitación de derechos de administrador a los derechos que se requieren en realidad

Active Directory contiene un grupo integrado denominado Operadores de copia de seguridad. Se considera que los
miembros de este grupo son administradores de servicios porque los miembros del grupo tienen el privilegio de iniciar
sesión de forma local y restaurar archivos, incluidos archivos del sistema operativo, en controladores de dominio. La
pertenencia al grupo Operadores de copia de seguridad de Active Directory debería limitarse a aquellos individuos que
realicen una copia de seguridad y restauren controladores de dominio.
Todos los servidores miembro también contienen un grupo Operadores de copia de seguridad integrado que es local a
cada servidor. Aquellas personas que sean responsables de realizar copias de seguridad de aplicaciones en un servidor
miembro (por ejemplo, Microsoft SQL Server) deberían ser miembros del grupo Operadores de copia de seguridad local
de ese servidor. Estos usuarios no deberían ser miembros del grupo Operadores de copia de seguridad de Active
Directory.
En un servidor que se ha dedicado a la función de controlador de dominio, puede reducir el número de miembros en el
grupo Operadores de copia de seguridad. Si es posible, los controladores de dominio deberían ser dedicados, aunque en
las organizaciones más pequeñas se podrían utilizar para ejecutar otras aplicaciones. En este caso, también se debe
confiar en los usuarios que son responsables de realizar copias de seguridad de las aplicaciones en el controlador de
dominio como administradores de servicios ya que cuentan con los privilegios que les permiten restaurar archivos,
incluidos archivos de sistema, en controladores de dominio.
Evite utilizar el grupo Operadores de cuentas para delegar estrictamente una tarea de "administración de datos", como la
administración de cuentas. Los permisos de directorio predeterminados proporcionan a este grupo la capacidad de
modificar las cuentas de equipo de controladores de dominio, incluida su eliminación. De forma predeterminada, no
existen miembros del grupo Operadores de cuentas y su pertenencia debería dejarse vacía.
Control del proceso de inicio de sesión administrativo

Los miembros de los grupos Administradores, Administradores de organización y Administradores del dominio
representan las cuentas con más funciones del dominio. Para reducir los riesgos de seguridad, puede ser recomendable
realizar pasos adicionales para aplicar credenciales administrativas seguras, como requerir tarjetas inteligentes para el
inicio de sesión administrativo o requerir dos formas de identificación, siendo cada forma mantenida por un
administrador diferente. Estas medidas adicionales se tratan en "Best Practice Guide for Securing Active Directory
Installations" (Windows Server 2003) en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.
Seguridad de estaciones de trabajo de administrador de servicios

Además de limitar el acceso a los recursos que se almacenan en los controladores de dominio y obtener acceso a la
información que se almacena en el directorio, también puede mejorar la seguridad controlando estrictamente las
estaciones de trabajo que utilizan los administradores de servicios para desempeñar sus funciones administrativas. Los
administradores de servicios sólo deberían iniciar sesión en equipos bien administrados, es decir, en equipos donde se
hayan aplicado todas las actualizaciones de seguridad y tengan al día el software antivirus instalado. Si se utilizan
credenciales de administrador de servicios en un equipo que no está bien administrado, se corre el riesgo de
comprometer las credenciales si alguien con fines maliciosos ha irrumpido de manera ilícita en dicho equipo.
Para obtener más información sobre cómo restringir los administradores a estaciones de trabajo específicas y otras
medidas adicionales, consulte "Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en
el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22342.
Descripción general de la delegación de datos

En una pequeña organización, es posible que sólo haya uno o dos usuarios administrativos, por lo que la delegación de
datos podría no ser necesaria. Sin embargo, a medida que crece la organización, podría ser conveniente designar
administradores de datos y delegar partes de administración de datos en los mismos. Los administradores de datos son
responsables de administrar datos que se almacenan en el directorio y en los equipos que son miembros del dominio.
Estos administradores no tienen control sobre la configuración y provisión del servicio de directorio en sí mismo;
controlan los subconjuntos de objetos del directorio. Al utilizar permisos de objetos que se almacenan en el directorio, se
puede limitar el control de una cuenta de administrador dada a áreas muy específicas del directorio. Los administradores
de datos también administran equipos miembros de su dominio (que no sean controladores de dominio). Administran
recursos locales, como recursos compartidos de impresión y archivos en servidores locales, y también administran las
cuentas de grupo y de usuario para su propia parte de la organización. Los administradores de datos pueden
desempeñar sus responsabilidades desde estaciones de trabajo de administración y no necesitan acceso físico a
controladores de dominio.
La delegación de la administración de datos se realiza mediante la creación de grupos, otorgando los permisos y
derechos de usuario adecuados a esos grupos y aplicando la configuración de directiva de grupo a los miembros de los
mismos. Una vez se hayan completado estos pasos, la delegación consiste básicamente en agregar cuentas de usuario a
los grupos que se han creado. La parte fundamental de esta operación consiste en obtener un acceso adecuado y aplicar
las directivas correspondientes, según el principio de mínimo privilegio, para maximizar la seguridad, al tiempo que aún
se permite a los administradores desempeñar sus funciones delegadas.
Para obtener más información sobre la delegación de administración de datos, consulte "Best Practices for Delegating
Active Directory Administration" en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22707.
Información relacionada
• Para obtener más información sobre cómo garantizar la seguridad de Active Directory, consulte:
• Proteger los controladores de dominio de Windows Server 2003" del kit de orientaciones sobre seguridad.
• Best Practice Guide for Securing Active Directory Installations" (Windows Server 2003) en el sitio Web de Microsoft
en /downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91&DisplayLang=en.
• "Best Practices for Delegating Active Directory Administration" en el sitio Web de Microsoft
en /technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/actdid1.mspx.
Para obtener más información general sobre cuentas integradas y la migración de Microsoft Windows NT 4.0 a Active
Directory, consulte:
• "Grupos predeterminados" en el sitio Web de TechNet en

www.microsoft.com/technet/prodtechnol/windowsserver2003/library/serverhelp/1631ACAD-EF34-4F77-9C2E-
94A62F8846CF.mspx.
• "Migrating from Windows NT Server 4.0 to Windows Server 2003" en el sitio Web de Microsoft
en /downloads/details.aspx?FamilyID=e92cf6a0-76f0-4e25-8de0-19544062a6e6&DisplayLang=en.
Administre su perfil
©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |
Condiciones de uso | Marcas registradas | Declaración de Privacidad


ManualAlfresco CSIRC v1.0

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ManualAlfresco CSIRC v1.0

Uploaded by

Copyright:

Available Formats

Protección de cuentas y grupos administrativos de Active Directory Página 1 de 23

Protección de cuentas y grupos administrativos de Active Directory

En esta guía se ofrecen instrucciones detalladas que explican cómo:

• Proteger la cuenta de administrador predeterminada

• Asegurar la cuenta de invitado

• Aumentar la seguridad de los grupos y las cuentas de administración de servicios

Descripción de cuentas y grupos administrativos

• Grupos administrativos que se han creado de forma automática en el contenedor Builtin.

• Grupos administrativos que se han creado de forma automática en el contenedor Usuarios.

Descripción de los administradores de datos y los administradores de servicios

Cuentas y grupos de administración de servicios predeterminados

Nombre de cuenta Ubicación Descripción

Administradores de Contenedor Este grupo se agrega de forma automática al grupo de administradores

Creación de una nueva cuenta de usuario con credenciales de administradores

• Herramientas: Usuarios y equipos de Active Directory

5. Revise la información de la cuenta y haga clic en Finalizar.

7. Haga clic en la ficha Miembros.

Protección de la cuenta de administrador

Cambio de nombre de la cuenta de administrador predeterminada

• Herramientas: Usuarios y equipos de Active Directory

• Para cambiar el nombre de la cuenta de administrador predeterminada

equipos de Active Directory.

2. En el árbol de la consola (panel izquierdo), haga clic en Usuarios.

4. Escriba el nombre y apellidos ficticios y presione Entrar.

Creación de una cuenta de administrador señuelo

• Herramientas: Usuarios y equipos de Active Directory

• Para crear una cuenta de administrador señuelo

4. Escriba y confirme la contraseña.

5. Desactive la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de

6. Compruebe que se ha creado la cuenta señuelo y haga clic en Finalizar.

Seguridad de la cuenta de invitado

• Herramientas: Usuarios y equipos de Active Directory

• Para cambiar el nombre de la cuenta de invitado

2. En el árbol de la consola (panel izquierdo), haga clic en Usuarios.

4. Escriba el nombre y apellidos ficticios y presione Entrar.

7. En los cuadros Nombre y Apellidos, escriba los nombres ficticios.

Aumento de la seguridad de los grupos y las cuentas de administración de

Para crear el subárbol controlado, realice las siguientes tareas:

1. Cree la estructura de OU para el subárbol controlado.

2. Establezca los permisos de las OU del subárbol controlado.

3. Mueva los grupos de administración de servicios al subárbol controlado.

4. Mueva las cuentas de usuario de administrador de servicios al subárbol controlado.

5. Mueva las cuentas de estación de trabajo de administrador de servicios al subárbol controlado.

6. Habilite la auditoría en las OU del subárbol controlado.

Creación de la estructura de OU para el subárbol controlado.

• Usuarios y grupos, para mantener cuentas de grupo y de usuario administrativas.

• Estaciones de administración, para mantener estaciones de administración.

• Herramientas: Usuarios y equipos de Active Directory

• Para crear la estructura de OU para el subárbol controlado

3. En el cuadro Nombre, escriba Administradores de servicios y haga clic en Aceptar.

5. En el cuadro Nombre, escriba Usuarios y grupos y haga clic en Aceptar.

7. En el cuadro Nombre, escriba Estaciones de administración y haga clic en Aceptar.

8. Compruebe que la jerarquía de la OU se asemeja a la siguiente estructura, con Administradores de servicios en

Configuración de los permisos de las OU del subárbol controlado

• Configure los permisos de la OU Administradores de servicios.

• Herramientas: Usuarios y equipos de Active Directory

• Para configurar permisos en la OU Administradores de servicios

2. En el menú Ver, seleccione Características avanzadas.

Configuración de permisos para la OU Administradores de servicios

Tipo Nombre Acceso Se aplica a

Permitir SISTEMA Control total Este objeto y todos los

Permitir Administradores de organización Control total Este objeto y todos los

Permitir Administradores Control total Este objeto y todos los

Permitir Usuarios autenticados Mostrar contenido Este objeto y todos los