Control de acceso en Active Directory

Pgina 1 de 4

Control de acceso en Active Directory

Control de acceso en Active Directory
Los administradores pueden utilizar el control de acceso para administrar el acceso de usuarios a recursos compartidos por motivos de seguridad. En Active Directory, el control de acceso se administra en el nivel de objetos, por medio de la configuracin de distintos niveles de acceso, o de permisos a los objetos, como Control total, Escribir, Leer o Sin acceso. El control de acceso en Active Directory define cmo pueden utilizar los objetos de Active Directory los distintos usuarios. Los permisos de objetos en Active Directory estn establecidos de forma predeterminada en la configuracin ms segura. Entre los elementos que definen los permisos de control de acceso de los objetos de Active Directory, figuran los descriptores de seguridad, la herencia de objetos y la autenticacin de usuarios.

Descriptores de seguridad
Los permisos de control de acceso se asignan a objetos compartidos y a objetos de Active Directory para controlar el uso que pueden hacer los distintos usuarios de cada objeto. Un objeto compartido, o recurso compartido, es un objeto destinado a ser usado en una red por uno o varios usuarios, como archivos, impresoras, carpetas y servicios. Tanto los objetos compartidos como los objetos de Active Directory almacenan los permisos de control de acceso en descriptores de seguridad. Un descriptor de seguridad contiene dos listas de control de acceso (ACL) que sirven para asignar y realizar un seguimiento de informacin de seguridad para cada objeto: la lista de control de acceso discrecional (DACL) y la lista de control de acceso al sistema (SACL). Listas de control de acceso discrecional (DACL). Las DACL identifican los usuarios y grupos que tienen asignados o denegados permisos de acceso a un objeto. Si una DACL no especifica un usuario de forma explcita, o los grupos a los que pertenece el usuario, se denegar el acceso a ese objeto al usuario. De forma predeterminada, una DACL la controla el propietario de un objeto o la persona que cre el objeto y contiene entradas de control de acceso (ACE) que determinan el acceso del usuario al objeto. Listas de control de acceso al sistema (SACL). Las SACL identifican los usuarios y los grupos que desea auditar cuando consiguen o no consiguen obtener acceso a un objeto. La auditora sirve para supervisar sucesos relacionados con la seguridad del sistema o de la red, para identificar infracciones de seguridad y para determinar el alcance y la ubicacin de los daos. De forma predeterminada, una SACL la controla el propietario de un objeto o la persona que cre el objeto. Una SACL contiene entradas de control de acceso (ACE) que determinan si se deben registrar intentos satisfactorios o insatisfactorios de acceso a un objeto por parte de un usuario con un permiso determinado, como por ejemplo, Control total y Leer. Para obtener ms informacin acerca de la auditora, vea Configuracin de la auditora en 1 objetos . Para ver las DACL y las SACL de objetos de Active Directory mediante Usuarios y equipos de Active Directory, en el men Ver, haga clic en Caractersticas avanzadas para obtener acceso a la ficha Seguridad de cada objeto. Para obtener ms informacin, vea Asignar, cambiar o eliminar 2 permisos en los objetos o atributos de Active Directory . Tambin puede utilizar la herramienta de

http://technet.microsoft.com/es-es/library/cc785913(d=printer,v=WS.10).aspx

29/08/2011

Control de acceso en Active Directory

Pgina 2 de 4

soporte DSACLS para administrar listas de control de acceso en Active Directory. Para obtener ms informacin, vea Herramientas de soporte de Active Directory3. Las DACL y las SACL estn asociadas de forma predeterminada con todos los objetos de Active Directory, lo que reduce los ataques en la red por parte de usuarios malintencionados o cualquier error accidental de usuarios del dominio. No obstante, si un usuario malintencionado obtiene un nombre de usuario y una contrasea de una cuenta con credenciales administrativas en Active Directory, su bosque ser vulnerable a ataques. Por esta razn, deber considerar la posibilidad de cambiar el nombre o deshabilitar la cuenta de administrador predeterminada y seguir las prcticas recomendadas descritas en Prcticas recomendadas de Active Directory4.

Herencia de objetos
Los objetos de Active Directory heredan ACE de forma predeterminada del descriptor de seguridad que se encuentra ubicado en su objeto de contenedor principal. La herencia permite aplicar la informacin de control de acceso definida en un objeto de contenedor de Active Directory a los descriptores de seguridad de cualquier objeto subordinado, incluidos otros contenedores y sus objetos. Esto elimina la necesidad de aplicar permisos cada vez que se crea un objeto secundario. Puede modificar los permisos heredados en caso necesario. No obstante, la prctica recomendada es evitar cambiar los permisos predeterminados o la configuracin de herencia de objetos de Active Directory. Para obtener ms informacin, vea Prcticas recomendadas para asignar permisos de objetos de Active Directory5 y Cambiar los permisos heredados6.

Autenticacin de usuarios
Active Directory tambin autentica y autoriza usuarios, grupos y equipos para que tengan acceso a objetos de la red. La Autoridad de seguridad local (LSA) es el subsistema de seguridad responsable de toda la autenticacin interactiva de usuarios y de los servicios de autenticacin de un equipo local. La LSA sirve tambin para procesar solicitudes de autenticacin realizadas por medio del protocolo Kerberos V5 o el protocolo NTLM en Active Directory. Para obtener ms informacin 7 acerca de la autenticacin Kerberos, vea Autenticacin Kerberos V5 . Para obtener ms informacin 8 acerca de la autenticacin NTLM, vea Autenticacin NTLM . Una vez confirmada en Active Directory la identidad de un usuario, la LSA del controlador de dominio de autenticacin genera un testigo de acceso de usuario y asocia un Id. de seguridad (SID) al usuario. Testigo de acceso. Cuando se autentica un usuario, la LSA crea un testigo de acceso de seguridad para el usuario. El testigo de acceso contiene el nombre del usuario, los grupos a los que pertenece el usuario, un SID para el usuario y todos los SID de los grupos a los que pertenece el usuario. Si agrega un usuario a un grupo tras la emisin del testigo de acceso de usuario, el usuario deber cerrar la sesin y volver a iniciarla para que se actualice el testigo de acceso. Id. de seguridad (SID). Active Directory asigna SID de forma automtica a objetos de la entidad principal de seguridad en el momento de su creacin. Las entidades principales de seguridad son cuentas de Active Directory a las que se pueden asignar permisos, como por ejemplo, las cuentas de equipo, grupo o usuario. Una vez emitido un SID para el usuario autenticado, se adjunta al testigo de acceso del usuario. La informacin del testigo de acceso sirve para determinar el nivel de acceso a objetos del usuario cuando el usuario intenta obtener acceso a ellos. Los SID del testigo de acceso se comparan con la lista de SID que conforman la DACL del objeto para garantizar que el usuario tenga permisos

http://technet.microsoft.com/es-es/library/cc785913(d=printer,v=WS.10).aspx

29/08/2011

Control de acceso en Active Directory

Pgina 3 de 4

suficientes para obtener acceso al objeto. Esto se debe a que el proceso de control de acceso identifica las cuentas de usuario por SID en lugar de por nombre. Importante Cuando un controlador de dominio proporciona un testigo de acceso a un usuario, el testigo de acceso contiene solamente informacin acerca de la pertenencia a grupos locales de dominio si los grupos locales de dominio pertenecen al dominio del controlador de dominio. En el caso de objetos de directorio replicados en el catlogo global, se requeriran entonces ciertas consideraciones de seguridad. Si desea obtener ms informacin, vea Replicacin del catlogo global9. Para obtener ms informacin acerca de la autenticacin, vea "Inicio de sesin y autenticacin" ("Logon and Authentication") en el sitio Web de kits de recursos de Microsoft Windows10. Para obtener ms informacin acerca de los permisos y el control de acceso, vea Introduccin al 11 control de acceso . Para obtener ms informacin acerca de la autorizacin y el control de acceso, 12 vea "Autorizacin y control de acceso" en el sitio Web de Kits de recursos de Microsoft Windows . Para obtener informacin acerca de las medidas de seguridad adicionales que se pueden implementar para proteger Active Directory, vea Proteger Active Directory13 e Informacin de seguridad para Active Directory14.

Tabla de vnculos
1 2 3 4 5 6 7 8 9

http://technet.microsoft.com/es-es/library/cc780909(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc757520(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc782713(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc778219(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc786285(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc758122(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc783708(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc783005(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc759007(v=WS.10).aspx http://go.microsoft.com/fwlink/?LinkId=4564 http://technet.microsoft.com/es-es/library/cc785144(v=WS.10).aspx http://go.microsoft.com/fwlink/?LinkId=4565 http://technet.microsoft.com/es-es/library/cc728372(v=WS.10).aspx http://technet.microsoft.com/es-es/library/cc779033(v=WS.10).aspx

10 11 12 13 14

Contenido de la comunidad

http://technet.microsoft.com/es-es/library/cc785913(d=printer,v=WS.10).aspx

29/08/2011

Control de acceso en Active Directory

Pgina 4 de 4

2011 Microsoft. Reservados todos los derechos.

http://technet.microsoft.com/es-es/library/cc785913(d=printer,v=WS.10).aspx

29/08/2011