Como de seguro es tu Windows? Parte 3. Si no tienes memoria, usa una chuleta…

junio 4, 2013

Blog

Como
hemos visto en anteriores artículos, tenemos varias herramientas para hacernos
más fácil la tarea de proporcionar seguridad a nuestros servidores WINDOWS
2012.

Ahora
vamos a hablar de las famosas GPO, Group Policy Object. Vamos a mostrar algunos
objetos de directiva de grupo susceptibles a ser configurados para nuestro
propósito. Esto no quiere decir que sean los únicos, ni que tengas que
habilitaros todos, pero seguro que te sirve de guía para adaptar tu
configuración a tus necesidades. Te recomiendo acceder al detalle de cada uno
de ellos (Link Microsoft) para profundizar en su cometido.

Access Credential Manager as a trusted caller

Access this computer from the network

Act as part of the operating system

Add workstations to domain

Adjust memory quotas for a process

Allow log on locally

Allow log on through Remote Desktop Services

Back up files and directories

Bypass traverse checking

Change the system time

Change the time zone

Create a pagefile

Create a token object

Create global objects

Create permanent shared objects

Create symbolic links

Debug programs

Deny access to this computer from the network

Deny log on as a batch job

Deny log on as a service

Deny log on locally

Deny log on through Remote Desktop Services

Enable computer and user accounts to be
trusted for delegation

Force shutdown from a remote system

Generate security audits

Impersonate a client after authentication

Increase a process working set

Increase scheduling priority

Load and unload device drivers

Lock pages in memory

Log on as a batch job

Log on as a service

Manage auditing and security log

Modify an object label

Modify firmware environment values

Perform volume maintenance tasks

Profile single process

Profile system performance

Remove computer from docking station

Replace a process level token

Restore files and directories

Shut down the system

Synchronize directory service data

Take ownership of files or other objects

Ahora vamos a ver los grupos Built-in, los creados automáticamente
al introducirnos en un ambiente de Active Directory, que propiedades tienen
marcadas por defecto a nivel de directiva de grupo. EL ARTÍCULO CONTINUA DEBAJO DE LA LISTA.

Account or Group	Default Container, Group Scope and Type	Description and Default User Rights
Access Control Assistance Operators (Active Directory in Windows Server 2012)	Built-in container Domain-local security group	Los miembros de este grupo pueden consultar remotamente atributos de autorización y permisos para los recursos en este equipo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Account Operators	Built-in container Domain-local security group	Los miembros pueden administrar de usuario de dominio y cuentas de grupo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Administrator account	Users container Not a group	Cuenta integrada para administrar el dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras la autenticación Aumenta un proceso conjunto de trabajo Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos
Administrators group	Built-in container Domain-local security group	Los administradores tienen acceso completo y sin restricciones al dominio. Derechos de los usuarios directos: El acceso a este equipo desde la red Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras la autenticación Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Allowed RODC Password Replication Group	Users container Domain-local security group	Los miembros de este grupo pueden tener sus contraseñas replican en todos los de sólo lectura controladores de dominio del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Backup Operators	Built-in container Domain-local security group	Operadores de copia de seguridad pueden anular las restricciones de seguridad con el único propósito de hacer copias de seguridad o restaurar archivos. Derechos de los usuarios directos: Permitir inicio de sesión local Realice una copia de seguridad de archivos y directorios Inicie sesión como un trabajo por lotes Restaurar archivos y directorios Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Cert Publishers	Users container Domain-local security group	Los miembros de este grupo se les permite publicar certificados en el directorio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Certificate Service DCOM Access	Built-in container Domain-local security group	Si Servicios de Certificate Server está instalado en un controlador de dominio (no recomendado), este grupo de subvenciones DCOM Inscripción acceso a usuarios del dominio y Equipos del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS)	Users container Global security group	Los miembros de este grupo que son controladores de dominio pueden ser clonados. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Cryptographic Operators	Built-in container Domain-local security group	Los miembros están autorizados para realizar operaciones criptográficas. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Debugger Users	This is neither a default nor a built-in group, but when present in AD DS, is cause for further investigation.	La presencia de un grupo de usuarios del depurador indica que las herramientas de depuración se han instalado en el sistema en algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieran y apoyar un entorno de depuración. Este grupo permite el acceso remoto a equipos de depuración. Cuando este grupo existe en el nivel de dominio, indica que un depurador o una aplicación que contiene un depurador se ha instalado en un controlador de dominio.
Denied RODC Password Replication Group	Users container Domain-local security group	Los miembros de este grupo no pueden tener sus contraseñas replicar en cualquier de sólo lectura controladores de dominio del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
DHCP Administrators	Users container Domain-local security group	Los miembros de estegrupo tienenacceso administrativoal servicioDHCPServer. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
DHCP Users	Users container Domain-local security group	Los miembros de estegrupo tienenacceso de sólo lecturaparael servicioDHCPServer. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Distributed COM Users	Built-in container Domain-local security group	Los miembros deeste grupopuedeniniciar, activar y usarobjetos COMdistribuido en este equipo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
DnsAdmins	Users container Domain-local security group	Los miembros de estegrupo tienenacceso administrativo alservicio del servidor DNS. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
DnsUpdateProxy	Users container Global security group	Los miembros de estegrupo sonlos clientes DNSque se les permiterealizar actualizaciones dinámicasen nombre delos clientes que nopueden a su vezllevar a cabolas actualizaciones dinámicas. Los miembros deeste gruposuelen serservidores DHCP. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Domain Admins	Users container Global security group	Administradores designadosdel dominio; Administradores de dominioes un miembro decadadominiounido al grupode administradores localesdel equipoy recibelos derechosy permisos concedidosal grupode administradores locales, además de grupo de administradoresdel dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Ajustar las cuotas dememoria para un proceso Permitirinicio de sesión local Permitir inicio de sesióna través de Serviciosde Escritorio remoto Realice una copiade seguridad de archivosy directorios Omitir comprobación de recorrido Cambiarla hora del sistema Cambiar la zona horaria Crearun archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurarprogramas Habilitarcuentas deusuario y de equipode confianza para delegación Forzar el apagadodesde un sistema remoto Suplantar a uncliente tras la autenticación Aumentaunprocesoconjunto de trabajo Aumentarla prioridad de programación Cargar ydescargar controladores de dispositivos Inicie sesión comoun trabajo por lotes Administrarregistro de auditoría yseguridad Modificarvalores deentorno del firmware Realizar tareasde mantenimientodel volumen Perfil deun solo proceso El rendimiento del sistema Quitar el equipode la estación deacoplamiento Restaurar archivosy directorios Apague el sistema Tomar posesión dearchivos u otros objetos
Domain Computers	Users container Global security group	Todas lasestaciones de trabajoy servidoresque se unenal dominiosonlos miembrosde este grupopor defecto. Por defectoderechos de usuariodirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Domain Controllers	Users container Global security group	Todos loscontroladores de dominio deldominio. Nota: Los controladores de dominionoes miembrodel grupoEquipos del dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Domain Guests	Users container Global security group	Todos los huéspedesen el dominio Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Domain Users	Users container Global security group	Todos losusuariosenel dominio Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Enterprise Admins (exists only in forest root domain)	Users container Universal security group	Administradores de organizacióntienenpermisos para cambiarlos valores de configuraciónde todo el bosque, Administradores de organizaciónes miembro delgrupo de administradoresde cadadominio yrecibelos derechosy permisos concedidosa ese grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Ajustar las cuotas dememoria para un proceso Permitirinicio de sesión local Permitir inicio de sesióna través de Serviciosde Escritorio remoto Realice una copiade seguridad de archivosy directorios Omitir comprobación de recorrido Cambiarla hora del sistema Cambiar la zona horaria Crearun archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurarprogramas Habilitarcuentas deusuario y de equipode confianza para delegación Forzar el apagadodesde un sistema remoto Suplantar a uncliente tras la autenticación Aumentaunprocesoconjunto de trabajo Aumentarla prioridad de programación Cargar ydescargar controladores de dispositivos Inicie sesión comoun trabajo por lotes Administrarregistro de auditoría yseguridad Modificarvalores deentorno del firmware Realizar tareasde mantenimientodel volumen Perfil deun solo proceso El rendimiento del sistema Quitar el equipode la estación deacoplamiento Restaurar archivosy directorios Apague el sistema Tomar posesión dearchivos u otros objetos
Enterprise Read-only Domain Controllers	Users container Universal security group	Este grupo contienelas cuentas de todosde sólo lecturacontroladores de dominio delbosque. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Event Log Readers	Built-in container Domain-local security group	Los miembros deeste grupopueden leerenlos registros de sucesosen los controladores dedominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Group Policy Creator Owners	Users container Global security group	Los miembros de estegrupo pueden creary modificarobjetosde directiva de grupoen el dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Guest	Users container Not a group	Estaes la única cuentaen un dominio deADDSque notienen losusuarios autenticadosSIDañadidoa sutoken de acceso.Por lo tanto, todos los recursosque están configurados parapermitir el acceso algrupo Usuarios autenticadosno se podrá accedera esta cuenta.Estecomportamiento noes el caso delos miembros delos Invitadosde dominioy gruposinvitados,sin embargo,son miembrosde esos grupostienen elusuarios autenticadosSIDañadido a sustokens de acceso. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Guests	Built-in container Domain-local security group	Los huéspedes tienen el mismo acceso que los miembros del grupo de usuarios de forma predeterminada, a excepción de la cuenta de invitado, que se limita aún más como se ha descrito anteriormente. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Hyper-V Administrators (Windows Server 2012)	Built-in container Domain-local security group	Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper–V. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
IIS_IUSRS	Built-in container Domain-local security group	Incorporado en el grupo que utiliza Internet Information Services. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Incoming Forest Trust Builders (exists only in forest root domain)	Built-in container Domain-local security group	Los miembros de este grupo pueden crear entrantes unidireccionales a este bosque. (Creación de confianzas de bosque de salida está reservada para Administradores de empresa.) Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Krbtgt	Users container Not a group	La cuenta krbtgt es la cuenta de servicio del Centro de distribución de claves Kerberos en el dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas «almacenados en Active Directory. Esta cuenta está desactivada por defecto y nunca debe estar habilitado Derechos del usuario: N / A
Network Configuration Operators	Built-in container Domain-local security group	Los miembros de este grupo se otorgan privilegios que les permitan gestionar la configuración de las funciones de red. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde la red Agregar estaciones de trabajo al dominio Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo
Performance Log Users	Built-in container Domain-local security group	Los miembros deeste grupo puedenprogramarel registro decontadores de rendimiento, permitirá a los proveedoresde seguimientoyrecopilar seguimientosde eventosa nivel local comoa través de accesoremoto al ordenador. Derechos de los usuariosdirectos: Inicie sesión comoun trabajo por lotes Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Performance Monitor Users	Built-in container Domain-local security group	Los miembros deeste grupo puedenacceder a los datosdel contador de rendimientoa nivel localcomo a distancia. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Pre-Windows 2000 Compatible Access	Built-in container Domain-local security group	Estegrupo existepara la compatibilidad consistemas operativosanterioresa Windows2000 Server, que proporciona la capacidaddelos miembrospara leer la informaciónde usuarioy de grupoen el dominio. Derechos de los usuariosdirectos: El accesoa este equipo desdela red Omitir comprobación de recorrido Heredadoderechos de usuario: Agregar estaciones de trabajoal dominio Aumentaunprocesoconjunto de trabajo
Print Operators	Built-in container Domain-local security group	Los miembros deeste grupo puedenadministrarlas impresorasde dominio. Derechos de los usuariosdirectos: Permitirinicio de sesión local Cargar ydescargar controladores de dispositivos Apague el sistema Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
RAS and IAS Servers	Users container Domain-local security group	Los servidores deeste grupo puedenleer las propiedadesde acceso remotoenlas cuentas de usuarioen el dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
RDS Endpoint Servers (Windows Server 2012)	Built-in container Domain-local security group	Los servidores deestegrupo ejecutanmáquinasvirtualesy sesionesde acogidadonde los usuarios deprogramas deRemoteAppy escritorios virtualespersonalescorren. Estegrupo necesitaser pobladoen servidores que ejecutanAgente de conexión. Servidores host desesión de Escritorio remotoy servidoreshost de virtualización deEscritorio remotoutilizados en laimplementacióndeben estar eneste grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
RDS Management Servers (Windows Server 2012)	Built-in container Domain-local security group	Los servidores deeste grupopueden realizar accionesadministrativas de rutinaen los servidores deServicios de Escritorio remotoen ejecución.Estegrupo necesitaser pobladoen todos los servidoresen unaimplementación de Servicios deEscritorio remoto.Losservidores que ejecutanel serviciode administración centralRDSdeben incluirse eneste grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
RDS Remote Access Servers (Windows Server 2012)	Built-in container Domain-local security group	Los servidores deeste grupopermiten a los usuariosde los programas deRemoteAppy escritorios virtualespersonales,el acceso aestos recursos.EnInternetorientada aldespliegue, estos servidores se despliegantípicamente enuna red EDGE. Estegrupo necesitaser pobladoen servidores que ejecutanAgente de conexión. Servidores depuerta de enlace deEscritorio remoto yservidores de accesoweb de Escritorio remotoutilizados enel desplieguenecesidad deestar en este grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Read-only Domain Controllers	Users container Global security group	Este grupo contienetodos losde sólo lecturacontroladores de dominio deldominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Remote Desktop Services Users	Built-in container Domain-local security group	Los miembros deeste grupose les concede elderecho de iniciar sesiónde forma remota utilizandoRDP. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Remote Management Servers (Windows Server 2012)	Built-in container Domain-local security group	Los miembros deeste grupo puedenacceder a los recursosde WMIa través de protocolosde gestión (comoWS-Management a través del servicioWindows RemoteManagement). Esto se aplica sóloa losespacios de nombres WMIque conceden accesoal usuario. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Replicator	Built-in container Domain-local security group	Admitela replicaciónde archivos heredadoen un dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Schema Admins (exists only in forest root domain)	Users container Universal security group	Administradores de esquemason los únicos usuariosque pueden hacermodificaciones en elesquema de ActiveDirectory,y sólosi el esquemaestáhabilitada para escritura. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Server Operators	Built-in container Domain-local security group	Los miembros deeste grupo puedenadministrar los servidoresde dominio. Derechos de los usuariosdirectos: Permitirinicio de sesión local Realice una copiade seguridad de archivosy directorios Cambiarla hora del sistema Cambiar la zona horaria Forzar el apagadodesde un sistema remoto Restaurar archivosy directorios Apague el sistema Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Terminal Server License Servers	Built-in container Domain-local security group	Los miembros deeste grupopueden actualizarlas cuentas de usuarioen ActiveDirectory coninformación sobrela emisión de licencias, con el fin derastrear y reportarTSCAL por usuario deuso Por defectoderechos de usuariodirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
Users	Built-in container Domain-local security group	Los usuarios tienenpermisosque les permitenleermuchos objetosy atributosen ActiveDirectory,si bien no puedencambiar la mayoría. Los usuariosno pueden realizarcambios accidentaleso intencionadosen todo el sistemay se puede ejecutarla mayoría de aplicaciones. Derechos de los usuariosdirectos: Aumentaunprocesoconjunto de trabajo Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido
Windows Authorization Access Group	Built-in container Domain-local security group	Los miembros de estegrupo tienen accesoal atributotokenGroupsGlobalAndUniversalcalculadasobre los objetosde los usuarios Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo
WinRMRemoteWMIUsers_ (Windows Server 2012)	Users container Domain-local security group	Los miembros deeste grupo puedenacceder a los recursosde WMIa través de protocolosde gestión (comoWS-Management a través del servicioWindows RemoteManagement). Esto se aplica sóloa losespacios de nombres WMIque conceden accesoal usuario. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desdela red Agregar estaciones de trabajoal dominio Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo

Account or Group

Default Container,
Group Scope and Type

Description and
Default User Rights

Access
Control Assistance Operators (Active Directory in Windows Server 2012)

Built-in
container

Domain-local
security group

Los miembros de este grupo pueden consultar remotamente atributos de autorización y permisos para los recursos en este equipo.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Account
Operators

Built-in
container

Domain-local
security group

Los miembros pueden administrar de usuario de dominio y cuentas de grupo.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Administrator
account

Users
container

Not a
group

Cuenta integrada para administrar el dominio.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Ajustar las cuotas de memoria para un
proceso

Permitir inicio de sesión local

Permitir inicio de sesión a través de
Servicios de Escritorio remoto

Realice una copia de seguridad de
archivos y directorios

Omitir comprobación de recorrido

Cambiar la hora del sistema

Cambiar la zona horaria

Crear un archivo de paginación

Crear objetos globales

Cree enlaces simbólicos

Depurar programas

Habilitar cuentas de usuario y de equipo de confianza para
delegación

Forzar el apagado desde un sistema
remoto

Suplantar a un cliente tras la autenticación

Aumenta un proceso
conjunto de trabajo

Aumentar la prioridad de programación

Cargar y descargar controladores de
dispositivos

Inicie sesión como un trabajo por
lotes

Administrar registro de auditoría y
seguridad

Modificar valores de entorno del firmware

Realizar tareas de mantenimiento
del volumen

Perfil de un solo proceso

El rendimiento del sistema

Quitar el equipo de la estación de
acoplamiento

Restaurar archivos y directorios

Apague el sistema

Tomar posesión de archivos u otros
objetos

Administrators
group

Built-in
container

Domain-local
security group

Los administradores tienen
acceso completo
y sin restricciones al dominio.

Derechos de los usuarios directos:

El acceso a este equipo desde la red

Ajustar las cuotas
de memoria para un proceso

Permitir inicio de sesión local

Permitir inicio de sesión a través de
Servicios de Escritorio remoto

Realice una copia de seguridad de
archivos y directorios

Omitir comprobación de recorrido

Cambiar la hora del sistema

Cambiar la zona horaria

Crear un archivo de paginación

Crear objetos globales

Cree enlaces simbólicos

Depurar programas

Habilitar cuentas de usuario y de equipo de confianza para
delegación

Forzar el apagado desde un sistema
remoto

Suplantar a un cliente tras la autenticación

Aumentar la prioridad de
programación

Cargar y descargar controladores de
dispositivos

Inicie sesión como un trabajo por
lotes

Administrar registro de auditoría y
seguridad

Modificar valores de entorno del firmware

Realizar tareas de mantenimiento
del volumen

Perfil de un solo proceso

El rendimiento del sistema

Quitar el equipo de la estación de
acoplamiento

Restaurar archivos y directorios

Apague el sistema

Tomar posesión de archivos u otros
objetos

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Allowed
RODC Password Replication Group

Users
container

Domain-local
security group

Los miembros de este grupo pueden tener sus contraseñas replican en todos los de sólo lectura
controladores de dominio del dominio.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Backup
Operators

Built-in
container

Domain-local
security group

Operadores de copia
de seguridad pueden anular las
restricciones de seguridad con el único propósito de hacer copias de seguridad o
restaurar archivos.

Derechos de los usuarios directos:

Permitir inicio de sesión local

Realice una copia de seguridad de
archivos y directorios

Inicie sesión como un trabajo por
lotes

Restaurar archivos y directorios

Apague el sistema

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Cert
Publishers

Users
container

Domain-local
security group

Los miembros de este grupo se les permite publicar certificados en el directorio.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Certificate
Service DCOM Access

Built-in
container

Domain-local
security group

Si Servicios de Certificate Server
está instalado en un controlador de
dominio (no recomendado), este
grupo de subvenciones DCOM
Inscripción acceso a usuarios del dominio y Equipos del dominio.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Cloneable
Domain Controllers (AD DS in Windows Server 2012AD DS)

Users
container

Global
security group

Los miembros de este grupo que
son controladores de dominio pueden ser clonados.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Cryptographic
Operators

Built-in
container

Domain-local
security group

Los miembros están autorizados para realizar operaciones criptográficas.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Debugger
Users

This is
neither a default nor a built-in group, but when present in AD DS, is
cause for further investigation.

La presencia de un grupo de usuarios del depurador indica que las
herramientas de depuración se han
instalado en el sistema en
algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieran y apoyar un entorno
de depuración. Este grupo permite
el acceso remoto a equipos de
depuración. Cuando este grupo
existe en el nivel de dominio,
indica que un depurador o una aplicación que contiene un depurador
se ha instalado en un controlador de
dominio.

Denied
RODC Password Replication Group

Users
container

Domain-local
security group

Los miembros de este grupo no pueden tener sus contraseñas replicar en cualquier de sólo lectura controladores de dominio del
dominio.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

DHCP
Administrators

Users
container

Domain-local
security group

Los miembros de estegrupo tienenacceso administrativoal servicioDHCPServer.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

DHCP
Users

Users
container

Domain-local
security group

Los miembros de estegrupo tienenacceso de sólo lecturaparael servicioDHCPServer.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Distributed
COM Users

Built-in
container

Domain-local
security group

Los miembros deeste grupopuedeniniciar, activar y usarobjetos COMdistribuido en este equipo.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

DnsAdmins

Users
container

Domain-local
security group

Los miembros de estegrupo tienenacceso administrativo alservicio del servidor DNS.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

DnsUpdateProxy

Users
container

Global
security group

Los miembros de estegrupo sonlos clientes DNSque se les permiterealizar actualizaciones
dinámicasen
nombre delos
clientes que nopueden
a su vezllevar
a cabolas actualizaciones dinámicas. Los miembros deeste gruposuelen serservidores DHCP.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Domain
Admins

Users
container

Global
security group

Administradores designadosdel dominio; Administradores de dominioes un miembro decadadominiounido al grupode administradores localesdel equipoy recibelos derechosy permisos concedidosal grupode administradores locales, además de grupo de administradoresdel dominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Ajustar las cuotas dememoria para un proceso

Permitirinicio
de sesión local

Permitir inicio de sesióna través de Serviciosde Escritorio remoto

Realice una copiade seguridad de archivosy directorios

Omitir comprobación de recorrido

Cambiarla
hora del sistema

Cambiar la zona horaria

Crearun
archivo de paginación

Crear objetos globales

Cree enlaces simbólicos

Depurarprogramas

Habilitarcuentas
deusuario y de equipode confianza para delegación

Forzar el apagadodesde un sistema remoto

Suplantar a uncliente tras la autenticación

Aumentaunprocesoconjunto de trabajo

Aumentarla
prioridad de programación

Cargar ydescargar
controladores de dispositivos

Inicie sesión comoun trabajo por lotes

Administrarregistro de auditoría yseguridad

Modificarvalores
deentorno del firmware

Realizar tareasde mantenimientodel volumen

Perfil deun
solo proceso

El rendimiento del sistema

Quitar el equipode la estación deacoplamiento

Restaurar archivosy directorios

Apague el sistema

Tomar posesión dearchivos u otros objetos

Domain
Computers

Users container

Global security group

Todas
lasestaciones de trabajoy servidoresque se unenal dominiosonlos miembrosde este grupopor defecto.

Por defectoderechos de usuariodirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Domain
Controllers

Users
container

Global
security group

Todos loscontroladores de dominio deldominio. Nota: Los controladores de dominionoes miembrodel grupoEquipos del dominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Domain
Guests

Users
container

Global
security group

Todos los huéspedesen el dominio

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Domain
Users

Users
container

Global
security group

Todos losusuariosenel dominio

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Enterprise
Admins (exists only in forest root domain)

Users container

Universal
security group

Administradores de organizacióntienenpermisos para cambiarlos valores de configuraciónde todo el bosque, Administradores de organizaciónes miembro delgrupo de administradoresde cadadominio yrecibelos derechosy permisos concedidosa ese grupo.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Ajustar las cuotas dememoria para un proceso

Permitirinicio
de sesión local

Permitir inicio de sesióna través de Serviciosde Escritorio remoto

Realice una copiade seguridad de archivosy directorios

Omitir comprobación de recorrido

Cambiarla
hora del sistema

Cambiar la zona horaria

Crearun
archivo de paginación

Crear objetos globales

Cree enlaces simbólicos

Depurarprogramas

Habilitarcuentas
deusuario y de equipode confianza para delegación

Forzar el apagadodesde un sistema remoto

Suplantar a uncliente tras la autenticación

Aumentaunprocesoconjunto de trabajo

Aumentarla
prioridad de programación

Cargar ydescargar
controladores de dispositivos

Inicie sesión comoun trabajo por lotes

Administrarregistro de auditoría yseguridad

Modificarvalores
deentorno del firmware

Realizar tareasde mantenimientodel volumen

Perfil deun
solo proceso

El rendimiento del sistema

Quitar el equipode la estación deacoplamiento

Restaurar archivosy directorios

Apague el sistema

Tomar posesión dearchivos u otros objetos

Enterprise
Read-only Domain Controllers

Users
container

Universal
security group

Este grupo contienelas cuentas de todosde sólo lecturacontroladores de dominio delbosque.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Event Log
Readers

Built-in
container

Domain-local
security group

Los miembros deeste grupopueden leerenlos registros de sucesosen los controladores dedominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Group
Policy Creator Owners

Users
container

Global
security group

Los miembros de estegrupo pueden creary modificarobjetosde directiva de grupoen el dominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Guest

Users
container

Not a
group

Estaes la única cuentaen un dominio deADDSque notienen losusuarios autenticadosSIDañadidoa sutoken de acceso.Por lo tanto, todos los recursosque están configurados parapermitir el acceso algrupo Usuarios autenticadosno se podrá accedera esta cuenta.Estecomportamiento noes el caso delos miembros delos Invitadosde dominioy gruposinvitados,sin embargo,son miembrosde esos grupostienen elusuarios autenticadosSIDañadido a sustokens de acceso.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Omitir comprobación
de recorrido

Aumentaunprocesoconjunto de trabajo

Guests

Built-in
container

Domain-local
security group

Los huéspedes tienen el mismo acceso que los miembros del grupo de usuarios de forma predeterminada, a excepción de la
cuenta de invitado, que se limita aún más como se ha descrito anteriormente.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Hyper-V Administrators (Windows Server 2012)

Built-in container

Domain-local security group

Los miembros de este grupo tienen acceso completo y sin
restricciones a todas las características de Hyper–V.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

IIS_IUSRS

Built-in
container

Domain-local
security group

Incorporado en el grupo que utiliza Internet Information Services.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Incoming
Forest Trust Builders (exists only in forest root domain)

Built-in
container

Domain-local
security group

Los miembros de este grupo pueden crear entrantes unidireccionales a este bosque. (Creación
de confianzas de bosque de salida está reservada para Administradores de empresa.)

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Krbtgt

Users container

Not a
group

La cuenta krbtgt es
la cuenta de servicio del Centro
de distribución de claves Kerberos
en el dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas «almacenados
en Active Directory. Esta cuenta está desactivada por defecto
y nunca debe estar habilitado

Derechos del usuario: N / A

Network
Configuration Operators

Built-in
container

Domain-local
security group

Los miembros de este
grupo se otorgan privilegios
que les permitan gestionar la
configuración de las funciones de red.

Derechos de los usuarios directos:
Ninguno

Heredado derechos de usuario:

El acceso a este equipo desde la red

Agregar estaciones
de trabajo al dominio

Omitir comprobación de recorrido

Aumenta un proceso
conjunto de trabajo

Performance
Log Users

Built-in
container

Domain-local
security group

Los miembros deeste grupo puedenprogramarel registro decontadores de rendimiento, permitirá a los proveedoresde seguimientoyrecopilar seguimientosde eventosa nivel local comoa través de accesoremoto al ordenador.

Derechos de los usuariosdirectos:

Inicie sesión comoun trabajo por lotes

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Performance
Monitor Users

Built-in
container

Domain-local
security group

Los miembros deeste grupo puedenacceder a los datosdel contador de rendimientoa nivel localcomo a distancia.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Pre-Windows 2000
Compatible Access

Built-in
container

Domain-local
security group

Estegrupo existepara la compatibilidad consistemas operativosanterioresa Windows2000 Server, que proporciona la capacidaddelos miembrospara leer la informaciónde usuarioy de grupoen el dominio.

Derechos de los usuariosdirectos:

El accesoa
este equipo desdela red

Omitir comprobación
de recorrido

Heredadoderechos
de usuario:

Agregar estaciones de trabajoal dominio

Aumentaunprocesoconjunto de trabajo

Print
Operators

Built-in
container

Domain-local
security group

Los miembros deeste grupo puedenadministrarlas impresorasde dominio.

Derechos de los usuariosdirectos:

Permitirinicio
de sesión local

Cargar ydescargar
controladores de dispositivos

Apague el sistema

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

RAS and
IAS Servers

Users
container

Domain-local
security group

Los servidores deeste grupo puedenleer las propiedadesde acceso remotoenlas cuentas de usuarioen el dominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

RDS
Endpoint Servers (Windows Server 2012)

Built-in
container

Domain-local
security group

Los servidores deestegrupo ejecutanmáquinasvirtualesy sesionesde acogidadonde los usuarios deprogramas deRemoteAppy escritorios virtualespersonalescorren. Estegrupo necesitaser pobladoen servidores que ejecutanAgente de conexión. Servidores host desesión de Escritorio remotoy servidoreshost de virtualización deEscritorio remotoutilizados en laimplementacióndeben estar eneste grupo.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

RDS
Management Servers (Windows Server 2012)

Built-in
container

Domain-local
security group

Los servidores deeste grupopueden realizar accionesadministrativas de rutinaen los servidores deServicios de Escritorio remotoen ejecución.Estegrupo necesitaser pobladoen todos los servidoresen unaimplementación de Servicios deEscritorio remoto.Losservidores que ejecutanel serviciode administración centralRDSdeben incluirse eneste grupo.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

RDS
Remote Access Servers (Windows Server 2012)

Built-in
container

Domain-local
security group

Los servidores deeste grupopermiten a los usuariosde los programas deRemoteAppy escritorios virtualespersonales,el acceso aestos recursos.EnInternetorientada aldespliegue, estos servidores se despliegantípicamente enuna red EDGE. Estegrupo necesitaser pobladoen servidores que ejecutanAgente de conexión. Servidores depuerta de enlace deEscritorio remoto yservidores de accesoweb de Escritorio remotoutilizados enel desplieguenecesidad deestar en este grupo.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Read-only
Domain Controllers

Users
container

Global
security group

Este grupo contienetodos losde sólo lecturacontroladores de dominio deldominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Remote
Desktop Services Users

Built-in
container

Domain-local
security group

Los miembros deeste grupose les concede elderecho de iniciar sesiónde forma remota utilizandoRDP.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Remote
Management Servers (Windows Server 2012)

Built-in
container

Domain-local
security group

Los miembros deeste grupo puedenacceder a los recursosde WMIa través de protocolosde gestión (comoWS-Management a través del servicioWindows RemoteManagement). Esto se aplica sóloa losespacios de nombres WMIque conceden accesoal usuario.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Replicator

Built-in
container

Domain-local
security group

Admitela replicaciónde archivos heredadoen un dominio.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Schema
Admins (exists only in forest root domain)

Users
container

Universal
security group

Administradores de esquemason los únicos usuariosque pueden hacermodificaciones en elesquema de ActiveDirectory,y sólosi el esquemaestáhabilitada para escritura.

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Server
Operators

Built-in
container

Domain-local
security group

Los miembros deeste grupo puedenadministrar los servidoresde dominio.

Derechos de los usuariosdirectos:

Permitirinicio
de sesión local

Realice una copiade seguridad de archivosy directorios

Cambiarla
hora del sistema

Cambiar la zona horaria

Forzar el apagadodesde un sistema remoto

Restaurar archivosy directorios

Apague el sistema

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Terminal
Server License Servers

Built-in
container

Domain-local
security group

Los miembros deeste grupopueden actualizarlas cuentas de usuarioen ActiveDirectory coninformación sobrela emisión de licencias, con el fin derastrear y reportarTSCAL por usuario deuso

Por defectoderechos de usuariodirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Users

Built-in
container

Domain-local
security group

Los usuarios tienenpermisosque les permitenleermuchos objetosy atributosen ActiveDirectory,si bien no puedencambiar la mayoría. Los
usuariosno
pueden realizarcambios
accidentaleso
intencionadosen todo
el sistemay se
puede ejecutarla
mayoría de aplicaciones.

Derechos de los usuariosdirectos:

Aumentaunprocesoconjunto de trabajo

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Windows
Authorization Access Group

Built-in
container

Domain-local
security group

Los miembros de estegrupo tienen accesoal atributotokenGroupsGlobalAndUniversalcalculadasobre los objetosde los usuarios

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

WinRMRemoteWMIUsers_
(Windows Server 2012)

Users
container

Domain-local
security group

Derechos de los usuariosdirectos: Ninguno

Heredadoderechos
de usuario:

El accesoa
este equipo desdela red

Agregar estaciones
de trabajoal dominio

Omitir comprobación de recorrido

Aumentaunprocesoconjunto de trabajo

Una de las características de la pertenencia a estos grupos
protegidos por defecto por el sistema operativo es que pueden ser modificadas,
ya que al poseer el permiso de poder modificar el propietario del objeto,
pueden aplicarse los permisos que quieran. Existe un proceso continuo por parte
de Active Directory encargado de garantizar la correcta aplicación de los
permisos de los grupos protegidos, revocando cualquier cambio auto-configurado
por algún miembro de estos grupos.

Este proceso, llamado SDProp almacena los permisos
«tipo» descritos a continuación para las cuentas protegidas del
sistemas, dentro de Active Directory como un objeto, denominado ADMINSDHolder.

SDProp lo que hace es comparar los permisos de las cuentas
pertenecientes a los grupos restringidos, con la definición de estos permisos
ubicada en AdminSdHolder, cada 60 minutos. Lo realiza contra el servicio de
emulación PDC (PDC Emulator) En caso de que algún usuario perteneciente a uno
de estos grupos haya cambiado algún permiso de su configuración de usuario, el
proceso SDProp volverá a dejar al usuario con los permisos definidos en
ADMINSDHolder.

SDProp también es encargado de replicar la información de
los SID entre controladores de dominio.

Imaginamos un caso hipotético. Tenemos una UO (usuarios de
Madrid)en la cual hemos delegado, como administradores del dominio, en un
usuario. Imaginamos que por cualquier motivo, se mueve el usuario administrador
del dominio a esa UO (porque se mueve de Murcia a Madrid) El usuario creado
para administrar la UO podría cambiar la clave del usuario Administrador del
dominio, por herencia? SDProp mitiga estos casos.

Para cambiar el parámetro de tiempo de búsqueda de «sintonía»
entre los permisos debemos entrar en HKLMSYSTEMCurrentControlSetServicesNTDSParameters.
y modificar la clave, en segundos, the AdminSDProtectFrequency.

Cambiar este valor a un intervalo menor de búsqueda va a
garantizar mayor coherencia a los permisos de nuestras cuentas dentro de grupos
privilegiados, pero irá en detrimento del rendimiento de la red por las
constantes búsquedas y cambios.

Para forzar la comprobación de los permisos de ADMINSDHolder
— Usuarios podemos entrar en el editor ldap LDP.exe. Conectamos con el
servidor que tiene instalado el ROLE FSMO de PDC Emulator. Una vez conectados
pulsamos en conexión, y enlazar.

Podemos proporcionar un usuario con permisos sobre el
dominio, administrador de dominio o indicarle que tome las credenciales del
usuario logueado, más cómodo.

Pulsamos sobre modificar y escribimos lo siguiente.

En ambientes 2008 anteriores a r2 podemos ejecutarlo de la misma manera, configurando
este parámetro.

PERMISOS SOBRE EL LA CUENTA ADMINISTRADOR.

Es curioso, pero lo primero que vamos a hacer es deshabilitarla, y trabajar con
otro usuario «parecido». No obstante, para evitar futuros usos
indebidos vamos a configurar una seria de parámetros.

Cambiar el nombre de esta cuenta proporciona un nivel de
seguridad extra. Puede ser interesante crear un usuario administrador, después
de haber cambiado el nombre de la cuenta real administrador ( hablamos de que
LDAP trabaja son SID únicos, no importa el nombre o Nick) sin ningún permiso, y
una auditoria con notificación por correo para saber si alguien ha intentado
acceder a algún recurso con esa cuenta. Claro ejemplo de que estamos siendo
atacados. Otros objetos de directiva de grupo que deberíamos cambiar sobre
Administrador son:

Configuración del equipo Directivas Configuración de Windows Configuraciónde
seguridad Configuración
local Asignación de
derechos deusuario:

Denegar el acceso aeste equipo desdela red

Denegar inicio de sesióncomo un trabajo porlotes

Denegar inicio de sesióncomo servicio

Denegarinicio de
sesióna través deServicios de Escritorio remoto

Atención a la hora de establecer estos objetos, ya que se
aplicarán al contenedor o UO sobre el que apliquemos la directiva, pero debemos
especificar si administrador es LOCAL, o es midominioadministrador. Importante
esta distinción.

De momento os dejo repasar todo lo aprendido en este artículo y seguiremos en próximas entregas con la seguridad, esta vez en entornos Windows no solo servidores.

Como siempre, gracias por leerme.