Guía Completa para la Gestión de Usuarios, Grupos y Equipos en Active Directory

by on

Uno de los elementos fundamentales en la administración de una red es el control de los usuarios, grupos y equipos. Por ello, debemos aprender cómo crearlos, modificarlos, organizarlos y, si llega el caso, eliminarlos. Además, deberemos asignar privilegios para cada uno de ellos, de modo que podamos establecer en qué medida y bajo qué condiciones podrán beneficiarse de los recursos de la red. En este artículo vamos a explicar cómo usar los usuarios y grupos dentro de Windows Server 2016.

La gestión de usuarios es la rutina principal para los administradores de sistemas y los especialistas de la mesa de ayuda. Esta guía ayuda a administrar dichos objetos de múltiples maneras.

Cuentas de Usuario en Active Directory

Los usuarios son uno de los objetos más populares en Active Directory. Se utilizan para autenticación y autorización en estaciones de trabajo y en muchos servicios que están integrados con AD. Los usuarios tienen que autentificarse y autorizarse para tener acceso a los recursos del dominio.

Creación de Usuarios

Lo primero que haremos es acceder a la consola de “Usuarios y equipos de Active Directory”. Para administrar usuarios, es necesario instalar Herramientas RSAT o administrarlos desde su CD. Vaya a la unidad organizativa donde deben estar ubicados los nuevos usuarios. En la barra de tareas, haga clic en el icono "Nuevo usuario", o haga clic derecho en un espacio en blanco en la ventana principal y luego haga clic en "Nuevo -> Usuario".

Ahora llega el momento de teclear la contraseña. Ésta ha de cumplir unos requisitos que todos ya conocemos. En la siguiente imagen he marcado “El usuario no puede cambiar la contraseña” esto es para que la contraseña que he asignado a dicho usuario no se pueda cambiar en el siguiente inicio de sesión. También he marcado la opción “La contraseña nunca caduca” se utiliza este Check cuando queremos que la directiva de complejidad de contraseña no nos obligue a cambiar dicha contraseña transcurrido un tiempo.

En la siguiente pantalla obtendremos un breve resumen de los datos introducidos en las ventanas anteriores. Para terminar pulsaremos el botón Siguiente y luego en Finalizar. Para hacer lo mismo en cmd necesitamos usar la utilidad dsadd.exe.

Eliminación de Usuarios

Eliminemos un usuario del entorno AD, siga estos sencillos métodos. Vaya a la OU o al contenedor donde reside el usuario que necesita eliminar. Escriba el nombre o apellido del usuario que desea eliminar en el campo de nombre y haga clic en “Buscar ahora”.

Cuentas de Usuario Predeterminadas

Cuando se crea el dominio, se crean también dos nuevas cuentas: Administrador e Invitado. Posteriormente, cuando es necesario, se crea también la cuenta Asistente de ayuda.

  • Administrador: Es alguien con un acceso amplio a los recursos de red, impresoras, y la capacidad de administrar recursos compartidos y mucho más.
  • Invitado: Está deshabilitada de forma predeterminada y, aunque no se recomienda, puede habilitarse, por ejemplo, para permitir el acceso a los usuarios que aún no tienen cuenta en el sistema o que la tienen deshabilitada.
  • Asistente de ayuda: Se utiliza para iniciar sesiones de Asistencia remota y tiene acceso limitado al equipo.

Perfiles de Usuario

Ahora que tenemos cuentas de usuario del dominio podemos iniciar sesión con las cuentas de usuario del dominio creadas en los equipos en los que tengan permiso para ello. El problema está en que, se están utilizando perfiles de usuario locales. Podemos observar que hay dos perfiles de cuentas de usuario del dominio almacenados en este equipo. También podemos observar que hay dos perfiles de cuentas de usuario locales de este equipo: PC01\alumno y PC01\marinapg. Los usuarios pueden tener un perfil en cada una de ellas. Cuando se produce un error en la carga del perfil del usuario, los perfiles en dicho servidor se pueden dañar.

Gestión de Grupos en Active Directory

Un grupo es un conjunto de objetos del dominio que pueden administrarse como un todo. El Directorio Activo proporciona un conjunto de grupos predefinidos que pueden utilizarse tanto para facilitar el control de acceso a los recursos como para delegar determinados roles administrativos.

Los grupos se utilizan para crear unidades idénticas para que a la hora de aplicar permisos lo podamos hacer sobre el Grupo y no sobre cada usuario, que sería una labor muy ardua y pesada. Cuando apliquemos algún tipo de permiso sobre dicho grupo, también se verán afectados todos y cada uno de los usuarios que hay dentro.

Tipos de Grupos en Active Directory

Hay dos tipos de grupos en Active Directory: grupos de seguridad y grupos de distribución.

  1. Grupos de Seguridad: Permiten asignar permisos a las cuentas de usuario, de equipo y grupos sobre los recursos compartidos. Todas las cuentas de usuario, computadoras y otros objetos de Active Directory que tienen membresía en un grupo de seguridad heredan todos los permisos de acceso otorgados a ese grupo de seguridad. Se utilizan para agrupar usuarios para listas de distribución (gestión de correos), por ejemplo, Exchange Server.
  2. Grupos de Distribución: Se utilizan en combinación con programas como Microsoft Exchange Server, para crear listas de distribución de correo electrónico. No puedes asignar permisos a los grupos de distribución.

Creación y Gestión de Grupos

Abrimos la consola de “Usuarios y Equipos de Active Directory”. A continuación, vamos a crear un grupo llamado RRHH y colocaremos dentro de dicho grupo al usuario que acabamos de crear.

Para añadir usuarios a un grupo podemos seleccionar todos los usuarios que queremos añadir al grupo desde la herramienta de usuarios y equipos de AD y haciendo clic con el botón derecho, seleccionamos "Agregar a un grupo". Seleccionamos los usuarios y hacemos clic con el botón secundario. Ahora se mostrará en el menú contextual las operaciones que podemos hacer sobre todos ellos. Para terminar con este post, solo nos queda arrastrar el usuario a dicho grupo.

¿Qué es el Active Directory (Directorio Activo de Microsoft) y para qué sirve? | Alberto López

Ámbito de los Grupos de Seguridad

El ámbito de un grupo establece su alcance, es decir, en qué partes de la red puede utilizarse, y el tipo de cuentas que pueden formar parte de él.

Hay tres tipos de alcance para los grupos de seguridad en Active Directory:

  • Ámbito Global: Sólo pueden incluir otros grupos y cuentas que pertenezcan al dominio en el que esté definido el propio grupo. Los miembros de este tipo de grupos pueden tener permisos sobre los recursos de cualquier dominio dentro del bosque.
  • Ámbito Local de Dominio: Se utilizan para asignar permisos a recursos en un dominio específico. Las cuentas o grupos contenidos tendrán necesidades de acceso similares dentro del propio dominio.
  • Ámbito Universal: Los grupos universales en Active Directory se utilizan para asignar permisos a recursos en múltiples dominios dentro de un bosque dado. Pueden conceder permisos en cualquier dominio y pertenezcan a otros bosques.

La siguiente tabla resume las diferencias entre los tipos de ámbito de grupo:

Ámbito del Grupo Miembros Permisos sobre Recursos
Global Solo de su propio dominio En cualquier dominio confiable
Local de Dominio De cualquier dominio del bosque En el dominio en el que está definido
Universal De cualquier dominio del bosque En cualquier dominio del bosque

Grupos Predeterminados de Active Directory

Durante la instalación del Directorio Activo se crean una serie de grupos que podremos utilizar para simplificar la asignación de derechos y permisos a otras cuentas o grupos. Como veremos más abajo, los grupos se administran con el complemento Usuarios y equipos de Active Directory. Los grupos de los contenedores Builtin y Users pueden moverse libremente a otras unidades organizativas, siempre que permanezcan dentro del mismo dominio.

Algunos de los grupos de seguridad predeterminados en Active Directory incluyen:

  • Administradores del dominio (DA): Este grupo extremadamente poderoso tiene control sobre el acceso a todos los controladores de dominio en el dominio y puede modificar la membresía de todas las cuentas administrativas en el dominio.
  • Administradores de empresa (EA): Tienen derechos y permisos que les permiten hacer cambios en todo el bosque.
  • Administradores de esquemas (SA): Son un grupo universal en el dominio raíz del bosque y solo tienen la cuenta de administrador integrada de ese dominio como miembro predeterminado.
  • Usuarios del Dominio: Por defecto, cualquier cuenta de usuario creada en el dominio se convierte automáticamente en miembro de este grupo.
  • Equipos del Dominio: Por defecto, cualquier cuenta de computadora creada en el dominio se convierte en miembro de este grupo.
  • Controladores de Dominio: Los nuevos controladores de dominio se agregan automáticamente a este grupo.
  • Administradores: Grupo local de dominio que tiene muchos derechos de usuario en Active Directory y en los controladores de dominio.

Además de los grupos con privilegios más altos mencionados anteriormente, se conceden privilegios elevados a algunas cuentas y grupos integrados y predeterminados y también se deben proteger y usar solo en hosts administrativos seguros.

Aquí se presentan algunos grupos integrados y predeterminados con sus descripciones y derechos de usuario:

  • Usuarios del depurador: Indica que las herramientas de depuración se han instalado en el sistema. Este grupo permite el acceso de depuración remota a los equipos.
  • Clientes DNS dinámicos: Miembros de este grupo son clientes DNS a los que se les permite realizar actualizaciones dinámicas en nombre de clientes que no pueden realizar actualizaciones dinámicas por sí mismos.
  • Controladores de dominio: Todos los controladores de dominio del dominio.
  • Invitado: La única cuenta de un dominio de AD DS que no tiene el SID de usuarios autenticados agregado a su token de acceso.
  • Operadores de confianza de entrada: Los miembros de este grupo pueden crear confianzas unidireccionales entrantes en este bosque.
  • Krbtgt: Cuenta de servicio para el Centro de distribución de claves Kerberos en el dominio, con acceso a las credenciales de todas las cuentas almacenadas en Active Directory.
  • Servidores de Escritorio remoto: Los servidores de este grupo ejecutan máquinas virtuales y sesiones de host donde se ejecutan los programas de RemoteApp y los escritorios virtuales personales de los usuarios.
  • Administradores de Escritorio remoto: Los servidores de este grupo pueden realizar acciones administrativas rutinarias en servidores que ejecutan Servicios de Escritorio remoto.
  • Puertas de enlace de Escritorio remoto: Los servidores de este grupo permiten a los usuarios de programas de RemoteApp y escritorios virtuales personales acceder a estos recursos.
  • Usuarios de administración remota: Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de administración (como WS-Management a través del servicio de administración remota de Windows).
  • Usuarios: Tienen permisos que les permiten leer muchos objetos y atributos en Active Directory, aunque no pueden cambiar la mayoría.

Grupos Dinámicos

Los grupos dinámicos en Active Directory tienen su membresía determinada por reglas especificadas, como tener un atributo particular de la cuenta de usuario. La lista de miembros del grupo se actualiza periódicamente basada en la regla definida. Usar grupos dinámicos reduce la sobrecarga administrativa y el riesgo de errores. Los grupos de seguridad dinámicos de Active Directory pueden crearse y gestionarse utilizando Windows PowerShell o herramientas de gestión de grupos de Active Directory de terceros que soporten esta funcionalidad.

Gestión de Equipos en Active Directory

Del mismo modo que con las cuentas de usuario, las cuentas de equipo deben ser únicas en el dominio. Los sistemas de escritorio Windows que sean anteriores a XP no pueden disponer de cuentas de equipo. Podemos añadir cuentas de equipo directamente desde la herramienta de usuarios y equipos de Active Directory. Sin embargo, realmente ese equipo todavía no está unido al dominio.

Unir un Equipo al Dominio

Para ello, nos vamos al panel Sistema. Pulsamos en "Cambiar configuración" en nombre del equipo. Pulsamos Aceptar y nos pedirá las credenciales de una cuenta con permiso suficiente para unir un equipo al dominio. De hecho, esto se suele hacer con unas cuentas especiales llamadas plantillas.

Como estamos trabajando con máquinas virtuales en VirtualBox, tendremos que haber creado previamente una Red NAT con la que vamos a interconectar los sistemas invitados. Ahora que tenemos ambas máquinas conectadas a la misma red NAT tendré que conocer cual es la dirección IP del controlador de dominio, es decir del sistema invitado Windows Server 2016. Importante, tenemos que tener conexión de red con el controlador de dominio, así que le damos una dirección IP de la red NAT. Estos errores pueden estar causados por las discrepancias en la configuración de fecha y hora de nuestros sistemas.

Derechos, Permisos y Privilegios

Las diferencias entre derechos, permisos y privilegios pueden ser confusas. En esta sección se describen algunas de las características de cada uno de ellos tal como se usan en este documento.

  • Derechos y Privilegios: Son eficazmente las mismas funcionalidades de todo el sistema que se conceden a las entidades de seguridad, como usuarios, servicios, equipos o grupos. En las interfaces que suelen usar los profesionales de TI, se denominan derechos o derechos de usuario, y a menudo se asignan mediante objetos de directiva de grupo.
  • Permisos: Son controles de acceso que se aplican a objetos protegibles, como el sistema de archivos, el registro, el servicio y los objetos de Active Directory. Cada objeto protegible tiene una lista de control de acceso (ACL) asociada que contiene entradas de control de acceso (ACE), estas conceden o deniegan la capacidad de realizar varias operaciones en el objeto a las entidades de seguridad (usuarios, servicios, equipos o grupos).

Siempre que haya un conflicto entre un derecho de usuario y un permiso, el derecho de usuario generalmente tiene prioridad. Por ejemplo, si un objeto de Active Directory está configurado con una ACL que deniega a los administradores todo el acceso de lectura y escritura a un objeto, un usuario que es miembro del grupo Administradores del dominio no puede ver mucha información sobre el objeto. Es por esta razón que este documento le anima a evitar el uso de cuentas y grupos eficaces para la administración diaria, en lugar de intentar restringir las capacidades de las cuentas y los grupos. Active Directory está pensado para facilitar la delegación de la administración y el principio de privilegios mínimos al asignar derechos y permisos.

Los usuarios normales que tienen cuentas en un dominio de Active Directory pueden, de forma predeterminada, leer gran parte de lo que se almacena en el directorio, pero solo pueden cambiar un conjunto limitado de datos en el directorio.

Mejores Prácticas para la Gestión de Grupos de Active Directory

La gestión efectiva de los grupos de AD es vital para controlar el acceso a recursos críticos de TI, pero puede ser un verdadero desafío. Las siguientes mejores prácticas pueden ayudarte a evitar problemas comunes:

  1. Siempre sepa qué grupos tiene: Mantenga un inventario detallado de todos sus grupos, prestando especial atención a grupos sin miembros, sin propietario, sin cambios recientes, duplicados y anidados.
  2. Utilice estándares: Siga un conjunto de estándares para nombres de grupos, alcance, tipo, descripción y ubicación. Asegúrese de que el anidamiento se realice correctamente y esté documentado exhaustivamente.
  3. Asigne propietarios a los grupos: Cada grupo debe tener al menos un propietario para garantizar la responsabilidad sobre la membresía y los permisos.
  4. Asegurar la responsabilidad sobre los cambios en los grupos: Implemente un flujo de trabajo que permita a los usuarios solicitar membresía y otorgue al propietario del grupo la autoridad para aprobar o denegar la solicitud. Realice un seguimiento de todos los cambios con su justificación.
  5. Asegurar la responsabilidad mediante auditorías periódicas: Audite periódicamente sus grupos para detectar cualquier problema, validando la existencia y la atestación de los grupos.
  6. Automatizar los procesos de gestión de grupos: Automatice tareas como agregar y eliminar miembros, actualizar atributos y borrar grupos para reducir la sobrecarga administrativa y los errores humanos.
  7. Eliminar grupos innecesarios: Identifique y elimine de forma confiable los grupos que ya no son necesarios, utilizando características como la atestación y la caducidad de grupos.

La gestión adecuada de los grupos de Active Directory es esencial tanto para la seguridad como para la continuidad del negocio. Con procesos manuales, la gestión de grupos es una carga pesada para los equipos de TI y muy propensa a errores costosos. Aunque PowerShell puede ayudar, requiere tanto tiempo como experiencia. En consecuencia, muchas organizaciones invierten en una solución de gestión de grupos de terceros como Netwrix GroupID.

tags: #gestion #de #usuarios #grupos #y #equipos

Publicaciones populares: