• Author / Uploaded
• Bendezú Mallma Antonio Marco

Citation preview

GRUPOS DE CONTENEDORES BUILTIN A continuación, se describen los grupos predeterminados ubicados en el contenedor Integrados y se indican los derechos de usuario asignados a cada grupo.

Operadores de cuentas (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio. Los miembros de este grupo no tienen permiso para modificar los grupos Administradores o Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios. Los derechos de los usuarios predeterminados en este grupo son: •

Permitir el inicio de sesión local.

•

Apagar el sistema.

Administradores (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo controlan por completo todos los controladores del dominio. De forma predeterminada, los grupos Administradores del dominio y Administradores de organización son miembros del grupo Administradores. La cuenta Administrador es miembro de este grupo de forma predeterminada. Puesto que este grupo controla por completo el dominio, los usuarios serán agregados a él con cautela. Los derechos de los usuarios predeterminados en este grupo son: • • • • • • • • • • • • •

Tener acceso a este equipo desde la red. Ajustar las cuotas de memoria de un proceso. Hacer copia de seguridad de archivos y directorios. Saltarse la comprobación de recorrido. Cambiar la hora del sistema. Crear un archivo de paginación. Depurar programas. Habilitar la confianza para la delegación de las cuentas de usuario y de equipo. Forzar el apagado desde un sistema remoto. Aumentar la prioridad de programación. Cargar y descargar controladores de dispositivo. Permitir el inicio de sesión local. Administrar el registro de auditoría y seguridad.

• • • • • • •

Modificar valores de entorno del firmware. Hacer perfil de un solo proceso. Hacer perfil del rendimiento del sistema. Quitar un equipo de una estación de acoplamiento. Restaurar archivos y directorios. Apagar el sistema. Tomar posesión de archivos y otros objetos.

Los usuarios y grupos que integran el grupo Administradores son: • •

Administrador. Administradores de la empresa (grupo de seguridad universal).

•

Administradores del dominio (grupo de seguridad global).

Operadores de copia de seguridad (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos individuales en esos archivos. Los Operadores de copia de seguridad también pueden iniciar la sesión en los controladores de dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Como este grupo tiene una autoridad considerable en los controladores de dominio, al agregar usuarios a este grupo hay que ser prudente. Los derechos de los usuarios predeterminados en este grupo son: • •

Hacer copia de seguridad de archivos y directorios. Permitir el inicio de sesión local. Restaurar archivos y directorios.

•

Apagar el sistema.

•

Invitados (Grupo de seguridad y grupo local de dominio). De forma predeterminada, los invitados tienen el mismo acceso que los miembros del grupo Usuarios, excepto que la cuenta de invitado tiene más restricciones aun. Este grupo no tiene derechos de usuario predeterminados. Los usuarios y grupos que integran el grupo Invitados son el grupo Invitados del dominio (grupo de seguridad global) y la cuenta Invitado (que está deshabilitada de forma predeterminada).

Creadores de confianza de bosque de entrada (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden crear confianzas de bosque de entrada unidireccionales en el dominio raíz del bosque. Por ejemplo, los miembros de este grupo que residen en el Bosque A pueden crear una confianza de bosque de entrada unidireccional desde el Bosque B. Esta confianza de bosque de entrada unidireccional permite a los usuarios del Bosque A tener acceso a recursos ubicados en el Bosque B. Los miembros de este grupo disponen del permiso Crear confianza de bosque de entrada en el dominio raíz del bosque. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Operadores de configuración de red (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden modificar la configuración TCP/IP, así como renovar y liberar las direcciones TCP/IP en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Usuarios del Monitor de sistema (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden supervisar los contadores de rendimiento en los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Usuarios del registro de rendimiento (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Acceso compatible con versiones anteriores a Windows 2000 (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en los equipos con Windows NT 4.0 y anteriores. De forma predeterminada, la identidad especial Todos es miembro de este grupo. Se agregarán usuarios a este grupo únicamente si se ejecutan en Windows NT 4.0 o versiones anteriores. Los derechos de los usuarios predeterminados en este grupo son: •

Tener acceso a este equipo desde la red.

•

Saltarse la comprobación de recorrido.

Este grupo lo integran usuarios autenticados.

Operadores de impresión (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar objetos de impresora de Active Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, los usuarios se agregarán con cautela. Los derechos de los usuarios predeterminados en este grupo son: • •

Permitir el inicio de sesión local. Apagar el sistema.

Este grupo no tiene ningún miembro predeterminado.

Usuarios de escritorio remoto (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden iniciar la sesión en los controladores del dominio de forma remota. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Duplicadores (Grupo de seguridad y grupo local de dominio).

Este grupo admite funciones de replicación de directorio y el Servicio de replicación de archivos lo utiliza en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. No agregar usuarios a este grupo. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Operadores de servidores (Grupo de seguridad y grupo local de dominio). En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo. Dado que este grupo tiene mucha importancia para los controladores de dominio, los usuarios serán agregados con cautela. Los derechos de los usuarios predeterminados en este grupo son: • • • •

Hacer copia de seguridad de archivos y directorios. Cambiar la hora del sistema. Forzar el apagado desde un sistema remoto.

•

Permitir el inicio de sesión local. Restaurar archivos y directorios.

•

Apagar el sistema.

Este grupo no tiene ningún miembro predeterminado.

Usuarios (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor. Todas las cuentas de usuario que se crean en el dominio son miembros de este grupo. Este grupo no tiene derechos de usuario predeterminados. Los usuarios y grupos que integran el grupo Usuarios son: • • •

El grupo Usuarios del dominio (grupo de seguridad global). Usuarios autenticados. Interactivo (INTERACTIVE).

Administradores de Hyper-V (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V.

Este grupo no tiene ningún miembro predeterminado.

Certificate Service DCOM Access (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo se pueden conectar a entidades de certificación en la empresa. Este grupo no tiene ningún miembro predeterminado.

Grupo de acceso de autorización de Windows (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo tienen acceso al atributo Token Groups Goblal And Universal calculado en objetos de usuario. Este grupo tiene como miembro al usuario Enterprise Domain Controllers.

ISS_IUSRS (Grupo de seguridad y grupo local de dominio). Grupo integrado por Internet Information Services (Servicios de información de internet). Este grupo tiene como miembro al usuario IUSR.

Lectores de registro de eventos (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden leer registros de eventos del equipo local. Este grupo no tiene ningún miembro predeterminado.

Operadores criptográficos (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo tienen autorización para realizar operaciones criptográficas. Este grupo no tiene ningún miembro predeterminado.

Operadores de asistencia de control de acceso (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden consultar de forma remota los atributos de autorización y los permisos para los recursos de este equipo. Este grupo no tiene ningún miembro predeterminado.

Servidores de acceso remoto RDS (Grupo de seguridad y grupo local de dominio). Los servidores de este grupo permiten a los usuarios de programas Remote App y escritorios virutales personales obtener acceso a estos recursos. En implementaciones con conexión a Internet, estos servidores se suelen implementar en una red perimentral. Este grupo debe rellenarse en serivodres que ejecuten el Agente de conexión a Escritorio Remoto. Los servidores de Puerta de enlace de Escritorio remoto y de Acceso Web de Escritorio remoto usados en la implementación deben formar parte de este grupo. Este grupo no tiene ningún miembro predeterminado.

Servidores de administración RDS (Grupo de seguridad y grupo local de dominio). Los servidores de este grupo pueden realizar acciones administrativas rutinarioas en servidores que ejecuten Servicios de Escritorio Remoto. Este grupo debe llenarse en todos los servidores de una implementación de Servicios de Escritorio Remoto. Los servidores que ejecuten el servicio de Administración central de RDS deben incluirse en este grupo. Este grupo no tiene ningún miembro predeterminado.

Servidores de extremo RDS (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo ejecutan máquinas virutales y hospedan sesiones donde se ejecutan los programas Remote App y los escritorios virtuales personales de los usuarios. Este grupo debe llenarse en los servidores que ejecuten el Agente de conexión a Escritorio remoto. Los servidores hosts de sesión de Escritorio remoto y de virtualización de Escritorio Remoto usados en la implementación deben formar parte de este grupo. Este grupo no tiene ningún miembro predeterminado.

Servidores de licencias de Terminal Server (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden actualizar las cuentas de usuario en Active Directory con información sobre la emisión de licencias con fines de seguimiento e informes de uso de licencias CAL por usuario del TS. Este grupo no tiene ningún miembro predeterminado.

Usuarios COM distribuidos (Grupo de seguridad y grupo local de dominio).

Los miembros de este grupo pueden iniciar, activar y usar objetos de COM distribuido en este equipo. Este grupo no tiene ningún miembro predeterminado.

Usuarios de administración remota (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden acceder a los recursos de WMI mediante protocolos de administración (como WS-Management a través del servicio de Administración remota de Windows). Esto se aplica solo al espacio de nombres de WMI que conceden acceso al usuario. Este grupo no tiene ningún miembro predeterminado.

Grupos del contenedor Users. A continuación, se describen los grupos predeterminados ubicados en el contenedor Usuarios y se indican los derechos de usuario asignados a cada grupo.

Publicadores de certificados (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo tienen permitida la publicación de certificados para usuarios y equipos. Este grupo no tiene ningún miembro predeterminado, pero si es miembro del grupo de replicación de contraseña RODC denegada (Grupo de seguridad y del domino local).

Este grupo no tiene derechos de usuario predeterminados.

DnsAdmins (Grupo de seguridad y grupo local de dominio). Este grupo se instala junto al servicio DNS. Los miembros de este grupo tienen acceso administrativo al Servidor DNS. Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

DnsUpdateProxy (Grupo de seguridad y grupo global). Este grupo se instala junto al servicio DNS. Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en lugar de otros clientes, como los servidores DHCP.

Este grupo no tiene ningún miembro predeterminado. Este grupo no tiene derechos de usuario predeterminados.

Administradores de dominio (Grupo de seguridad y grupo global). Los miembros de este grupo controlan el dominio por completo. De forma predeterminada, este grupo pasa a ser miembro del grupo Administradores (Grupo de seguridad local del contenedor Builtin) en todos los controladores, estaciones de trabajo y servidores miembros del dominio en el momento en que se une al dominio y del grupo de replicación de contraseña RODC denegada. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que el grupo controla el dominio por completo, se deben agregar los usuarios con cautela. Los derechos de los usuarios predeterminados en este grupo son: • • • • • • • • • • • • • • •

Tener acceso a este equipo desde la red. Ajustar las cuotas de memoria de un proceso. Hacer copia de seguridad de archivos y directorios. Saltarse la comprobación de recorrido. Cambiar la hora del sistema. Crear un archivo de paginación. Depurar programas. Habilitar la confianza para la delegación de las cuentas de usuario y de equipo. Forzar el apagado desde un sistema remoto. Aumentar la prioridad de programación. Cargar y descargar controladores de dispositivo. Permitir el inicio de sesión local. Administrar el registro de auditoría y seguridad. Modificar valores de entorno del firmware.

•

Hacer perfil de un solo proceso. Hacer perfil del rendimiento del sistema. Quitar un equipo de una estación de acoplamiento. Restaurar archivos y directorios. Apagar el sistema.

•

Tomar posesión de archivos y otros objetos.

• • •

Equipos del dominio (Grupo de seguridad y grupo global). Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De forma predeterminada, todas las cuentas de equipo creadas pasan a ser miembros de este grupo automáticamente. Este grupo no tiene derechos de usuario predeterminados.

Controladores de dominio (Grupo de seguridad y grupo global). Este grupo contiene todos los controladores del dominio. Este grupo se integra como miembro en el grupo de replicación de contraseña RODC denegada.

Este grupo no tiene derechos de usuario predeterminados.

Invitados del dominio (Grupo de seguridad y grupo global). Este grupo contiene todos los invitados del dominio. En este grupo se integra la cuenta de invitado, inicialmente deshabilitada. El grupo Invitados del Dominio pasa a se miembro del grupo Invitados (grupo de seguridad local del contenedor Builtin).

Usuarios del dominio (Grupo de seguridad y grupo global). Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros de este grupo automáticamente. Este grupo se puede utilizar para representar todos los usuarios del dominio. Por ejemplo, si se desea que todos los usuarios del dominio tengan acceso a una impresora, se pueden asignar permisos para la impresora a este grupo (o se puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla). Este grupo se integra en el grupo Invitados (Grupo de seguridad local del contenedor Builtin). Este grupo no tiene derechos de usuario predeterminados.

Administradores de empresas (Grupo de seguridad y grupo universal). Los miembros de este grupo controlan por completo todos los dominios del bosque. De forma predeterminada, este grupo es un miembro del grupo Administradores (Grupo de seguridad local del contenedor Builtin) en todos los controladores de dominio del bosque y del grupo de replicación de contraseña RODC denegada. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Dado que este grupo controla el bosque por completo, se deben agregar los usuarios con cautela.

Los derechos de los usuarios predeterminados en este grupo son: •

Tener acceso a este equipo desde la red.

• • • • • • • • • • • •

Ajustar las cuotas de memoria de un proceso. Hacer copia de seguridad de archivos y directorios. Saltarse la comprobación de recorrido. Cambiar la hora del sistema. Crear un archivo de paginación. Depurar programas. Habilitar la confianza para la delegación de las cuentas de usuario y de equipo. Forzar el apagado desde un sistema remoto. Aumentar la prioridad de programación. Cargar y descargar controladores de dispositivo. Permitir el inicio de sesión local.

•

Administrar el registro de auditoría y seguridad. Modificar valores de entorno del firmware.

•

Hacer perfil de un solo proceso.

•

Hacer perfil del rendimiento del sistema. Quitar un equipo de una estación de acoplamiento. Restaurar archivos y directorios. Apagar el sistema. Tomar posesión de archivos u otros objetos.

• • • •

Propietarios del creador de directiva de grupo (Grupo de seguridad y grupo global). Los miembros de este grupo pueden modificar la Directiva de grupo en el dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el dominio, se debe ser prudente al agregar usuarios. Este grupo se agrega al grupo de replicación de contraseña RODC denegada. Este grupo no tiene derechos de usuario predeterminados.

Servidores RAS e IAS (Grupo de seguridad y grupo local de dominio). Los servidores de este grupo tienen permitido el acceso a las propiedades de acceso remoto de los usuarios. Este grupo no tiene derechos de usuario predeterminados.

Administradores de esquema (Grupo de seguridad y grupo universal). Los miembros de este grupo pueden modificar el esquema de Active Directory. Este grupo se integra en el grupo de replicación de contraseña RODC denegada.

De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el bosque, se debe ser prudente al agregar usuarios.

Este grupo no tiene derechos de usuario predeterminados.

Enterprise Domain Controllers de sólo lectura (Grupo de seguridad y grupo universal). Los miembros de este grupo son controladores de dominio de sólo lectura en la empresa. Este grupo no tiene ningún miembro predeterminado.

Controladores de dominio clonables (Grupo de seguridad y grupo local). Se pueden clonar los miembros del grupo que sean controladores de dominio. Este grupo no tiene ningún miembro predeterminado.

Controladores de dominio de solo lectura (Grupo de seguridad y grupo global). Los miembros de este grupo son controladores de dominio de solo lectura en el dominio. Este grupo no tiene ningún miembro predeterminado. Este grupo se integra en el grupo de replicación de contraseña RODC denegada.

Protected Users (Grupo de seguridad y grupo global). Los miembros de este grupo tienen protecciones adicionales contra la seguridad de autenticación. Este grupo no tiene ningún miembro predeterminado.

Grupo de replicación de contraseña RODC denegada (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo no pueden replicar las contraseñas a ningún controlador de dominio de sólo lectura en el dominio. Este grupo tiene como miembros predeterminados: • •

Administradores de empresa. Administradores de esquema.

• • • • •

Administradores del dominio. Controladores de dominio. Controladores de dominio de sólo lectura. Propietarios del creador de directivas de grupo. Publicadores de certificados.

Grupo de replicación de contraseña RODC permitida (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden replicar las contraseñas a todos los controladores de dominio de sólo lectura en el propio dominio. Este grupo no tiene ningún miembro predeterminado.

WinRMRemoteWMIUsers_ (Grupo de seguridad y grupo local de dominio). Los miembros de este grupo pueden acceder a los recursos de WMI con los protocolos d gestión (como WS-Management a través del servicio de administración remota de Windows). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario. Este grupo no tiene ningún miembro predeterminado.