Windows 2003 - Grupos en Active Directory

Caracteristicas por Ambito y Tipo:

• Ambito (medida en que el grupo se aplica)
  


• Universal
  
Puede incluir otros grupos y cuentas de otro dominio en el bosque o arbol de dominios.

• Global
  
Puede incluir otros grupos y cuentas de otro dominio donde este definido el grupo.
Puede asignar permisos en cualquier dominio del bosque o dominio con relacion de confianza.

• Dominio Local
  
Pueden incluir otros grupos y cuentas de dominios W2003, W2000, WNT y solo en el dominio donde fueron creados.



• Tipo
  


• Grupos de Seguridad
  
Controlar acceso a los recursos compartidos de forma eficaz.
Los derechos de usuario se asignan a los grupos de seguridad para determinar los miembros que estan autorizados en el ambito de un dominio.

• Grupos de Distribucion
  
Normalmente se aplica con aplicacione de distribucion de correo Ej. Exchange
No se pueden incluir en la lista de control de acceso discrecional (DACL) por que no se maneja seguridad.

• *Grupos "identidades especiales"
  


Sirven para representar usuarios diferentes en momentos distintos segun las circunstancias, ej. "Todos" representa a los usuarios actuales de la red.

Usuarios:

• Cuentas integradas en Usuarios de Usuarios y equipos de Active Directory:
Administrador
Nunca se puede eliminar, pero si desactivar o cambiar de nombre por seguridad.
Invitado
Una persona sin usuario en el dominio puede utilizar esta cuenta, no requiere contraseña.
Viene desabilitada de forma predeterminada.
Asistente de ayuda
Cuenta principal para establecer un sesion de asistencia remota.
Solo existe durante la asistencia remota.


• Opciones de Cuentas (Existe una serie de opciones pero vamos a describir solo las menos tradicionales.)
Usuario debe cambiar contraseña en el siguiente inicio de sesion.
El usuario no puede cambiar la contraseña
La contraseña nunca caduca.
Almacenar contraseñas utilizando cifrado reversible
Permite al usuario iniciar una sesión en una red de Windows desde equipos Palee.
Si un usuario no va a iniciar una sesión desde un equipo Palee, no debe utilizar esta opción.
Cuenta deshabilitada.
Tajeta inteligente para sesiones interactivas.
Se confia en la cuenta para su delegacion
Tambien llamados cuentas de servicio, puede suplantar a un cliente para tener acceso a los recursos necesarios donde se ejecute el servicio.
Se encuentra en la ficha "delegacion".
Solo esta disponible para cuentas a las que se han asignado nombres principales de servicio.
SPN se establecen mediante #setspn
La cuenta es importante y no se puede delegar.
Se asigna si no se quiere que pueda ser delegada por otra cuenta.
Usar tipos de cifrado DES para esta cuenta.
Compatibilidad con DES.
No pedir la autenticacion de kerbeos previa.
Compatibilidad con implementaciones alternativas del protocolo kerbeos.


• InetOrgPerson
Son objetos establecidos por el estandar LDAP, Microsoft los admite para soportar migraciones con mayor eficacia.
Se deriva de la clase usuario y puede ser utilizado como un principal de seguridad.

• Cuentas de equipo.
Todos los equipos con WNT,W2000,WXP,W2003 unidos a un dominios tienen una cuenta de equipo.
Son similares a las cuentas de usuario.
Permite autenticar y auditar el acceso a la red de equipos.
Cada cuenta de equipo debe ser unica.


• LastLogonTimestamp
Atributo para realizar seguimientos del inicio de sesion de una cuenta (usuario o equipo).

Glosario:
SPN: Service Principal Name
SID: Security ID.
DES: Data Encryption Standard.