Grupos de seguridad de Active Directory
Obtenga información sobre grupos de seguridad predeterminados de Active Directory, ámbito de grupo y funciones de grupo.
¿Qué es un grupo de seguridad en Active Directory?
Active Directory tiene dos formas de entidades de seguridad comunes: cuentas de usuario y cuentas de equipo. Estas cuentas representan una entidad física que es una persona o un equipo. Una cuenta de usuario también se puede usar como una cuenta de servicio dedicada para algunas aplicaciones.
Los grupos de seguridad son una manera de recopilar cuentas de usuario, cuentas de equipo y otros grupos en unidades administrables.
En el sistema operativo Windows Server, varias cuentas integradas y grupos de seguridad están preconfigurados con los derechos y permisos adecuados para realizar tareas específicas. En Active Directory, las responsabilidades administrativas se dividen en dos tipos de administradores:
Administradores de servicios: responsable de mantener y entregar Active Directory Domain Services (AD DS), incluida la administración de controladores de dominio y la configuración de AD DS.
Administradores de datos: responsable de mantener los datos almacenados en AD DS y en servidores y estaciones de trabajo miembros del dominio.
Funcionamiento de los grupos de seguridad de Active Directory
Use grupos para recopilar cuentas de usuario, cuentas de equipo y otros grupos en unidades administrables. Trabajar con grupos en lugar de con usuarios individuales le ayuda a simplificar el mantenimiento y la administración de la red.
Active Directory tiene dos tipos de grupos:
Grupos de seguridad: puede usarlos para asignar permisos a los recursos compartidos.
Grupos de distribución: puede usarlos para crear listas de distribución de correo electrónico.
Grupos de seguridad
Los grupos de seguridad pueden ofrecer una forma eficaz de asignar acceso a los recursos de la red. Con los grupos de seguridad se puede:
Asignar derechos de usuario a grupos de seguridad en Active Directory
Asigne derechos de usuario a un grupo de seguridad para determinar lo que pueden hacer los miembros de ese grupo en el ámbito de un dominio o bosque. A algunos grupos de seguridad se les asignan derechos de usuario automáticamente cuando se instala Active Directory para ayudar a los administradores a definir la función administrativa de una persona en el dominio.
Por ejemplo, un usuario al que agrega al grupo Operadores de copia de seguridad de Active Directory puede realizar operaciones de copia de seguridad y restauración de archivos y directorios que se encuentran en cada controlador de dominio del dominio. El usuario puede completar estas acciones porque, de forma predeterminada, los derechos de usuario Hacer copias de seguridad de archivos y directorios y Restaurar archivos y directorios se asignan automáticamente al grupo Operadores de copia de seguridad. Por lo tanto, los miembros de este grupo heredan los derechos de usuario asignados a ese grupo.
Puede usar directivas de grupo para asignar derechos de usuario a grupos de seguridad para delegar tareas específicas. Para obtener más información sobre el uso de directivas de grupo, vea Asignación de derechos de usuario.
Asigne permisos para recursos a los grupos de seguridad.
Los permisos y los derechos de usuario no son lo mismo. Los permisos se asignan a un grupo de seguridad para un recurso compartido. Los permisos determinan quién puede obtener acceso al recurso y el nivel de acceso, como Control total o Lectura. Algunos permisos que se establecen en objetos de dominio se asignan automáticamente para proporcionar varios niveles de acceso a los grupos de seguridad predeterminados, como el grupo Operadores de cuentas o el grupo Administradores del dominio.
Los grupos de seguridad se enumeran en Listas de control de acceso discrecional (DACL) que definen permisos en recursos y objetos. Cuando los administradores asignan permisos para recursos como recursos compartidos de archivos o impresoras, deben asignar esos permisos a un grupo de seguridad en lugar de a usuarios individuales. Los permisos se asignan una vez al grupo en lugar de varias veces a cada usuario individual. Cada cuenta que se agrega a un grupo recibe los derechos asignados a ese grupo en Active Directory. El usuario recibe permisos definidos para ese grupo.
Puede usar un grupo de seguridad como entidad de correo electrónico. Al enviar un mensaje de correo electrónico a un grupo de seguridad, se envía a todos sus miembros.
Grupos de distribución
Solo puede usar grupos de distribución para enviar correos electrónicos a colecciones de usuarios mediante una aplicación de correo electrónico como Exchange Server. Los grupos de distribución no están habilitados para la seguridad, por lo que no se pueden incluir en las DACL.
Ámbito de grupo
Cada grupo tiene un ámbito que identifica su alcance en el bosque o árbol de dominios. El ámbito de un grupo define dónde se pueden conceder permisos de red para el grupo. Active Directory define los tres ámbitos de grupo siguientes:
Universal
Global
Dominio local
Nota
Además de estos tres ámbitos, los grupos predeterminados del contenedor Builtin tienen un ámbito de grupo de Builtin Local. Este ámbito de grupo y tipo de grupo no se pueden cambiar.
En la tabla siguiente se describen los tres ámbitos de grupo y cómo funcionan como grupos de seguridad:
Ámbito | Miembros posibles | Conversión de ámbito | Puede conceder permisos | Posible miembro de |
---|---|---|---|---|
Universal | Cuentas de cualquier dominio del mismo bosque Grupos globales de cualquier dominio del mismo bosque Otros grupos universales de cualquier dominio del mismo bosque |
Se puede convertir en ámbito local de dominio si el grupo no es miembro de ningún otro grupo universal Se puede convertir en ámbito global si el grupo no contiene ningún otro grupo universal |
En cualquier dominio del mismo bosque o bosques de confianza | Otros grupos universales del mismo bosque Grupos locales del dominio del mismo bosque o bosques de confianza Grupos locales en equipos del mismo bosque o bosques de confianza |
Global | Cuentas del mismo dominio Otros grupos globales del mismo dominio |
Se puede convertir en ámbito universal si el grupo no es miembro de ningún otro grupo global | En cualquier dominio del mismo bosque o bosques o dominios de confianza | Grupos universales de cualquier dominio del mismo bosque Otros grupos globales del mismo dominio Grupos locales de dominio de cualquier dominio del mismo bosque o de cualquier dominio de confianza |
Dominio local | Cuentas de cualquier dominio o de cualquier dominio de confianza Grupos globales de cualquier dominio o de cualquier dominio de confianza Grupos universales de cualquier dominio del mismo bosque Otros grupos locales de dominio del mismo dominio Cuentas, grupos globales y grupos universales de otros bosques y dominios externos |
Se puede convertir en ámbito universal si el grupo no contiene ningún otro grupo local de dominio | Dentro del mismo dominio | Otros grupos locales de dominio del mismo dominio Grupos locales en equipos del mismo dominio, excepto los grupos integrados que tienen identificadores de seguridad conocidos (SID) |
Grupos de identidades especiales
Un grupo de identidades especial es donde se agrupan determinadas identidades especiales. Los grupos de identidades especiales no tienen pertenencias específicas que pueda modificar, pero pueden representar a distintos usuarios en momentos diferentes en función de las circunstancias. Algunos de estos grupos incluyen Creador Propietario, Lote y Usuario autenticado.
Para obtener más información, consulte Grupos de identidades especiales.
Grupos de seguridad predeterminados
Los grupos predeterminados, como el grupo Administradores del dominio, son grupos de seguridad que se crean automáticamente cuando se crea un dominio de Active Directory. Estos grupos predefinidos pueden usarse para ayudar a controlar el acceso a los recursos compartidos y para delegar roles administrativos específicos en todo el dominio.
A muchos grupos predeterminados se les asigna automáticamente un conjunto de derechos de usuario que autorizan a los miembros del grupo a realizar acciones específicas en un dominio, como iniciar sesión en un sistema local o realizar copias de seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores de copia de seguridad puede realizar operaciones de copia de seguridad para todos los controladores de dominio del dominio.
Cuando se agrega un usuario a un grupo, dicho usuario recibe todos los derechos de usuario que el grupo tenga asignados, incluidos todos los permisos asignados al grupo sobre cualquier recurso compartido.
Los grupos predeterminados se encuentran en el contenedor Builtin y en el contenedor Usuarios de Usuarios y equipos de Active Directory. El contenedor Builtin incluye los grupos que se han definido con el ámbito local del dominio. El contenedor Usuarios incluye grupos definidos con ámbito Global y grupos definidos con ámbito Local de dominio. Los grupos ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas del dominio, pero no se pueden mover a otros dominios.
Algunos de los grupos administrativos que se enumeran en este artículo y todos los miembros de estos grupos están protegidos por un proceso en segundo plano que comprueba periódicamente y aplica un descriptor de seguridad específico. Este descriptor es una estructura de datos que contiene información de seguridad asociada a un objeto protegido. Este proceso garantiza que cualquier intento no autorizado correcto de modificar el descriptor de seguridad en una de las cuentas o grupos administrativos se sobrescribe con la configuración protegida.
Este descriptor de seguridad está presente en el objeto AdminSDHolder. Si quiere modificar los permisos en uno de los grupos de administradores de servicios o en cualquiera de sus cuentas de miembro, debe modificar el descriptor de seguridad en el objeto AdminSDHolder para que se aplique de forma coherente. Tenga cuidado al realizar estas modificaciones, ya que también está cambiando la configuración predeterminada que se aplica a todas las cuentas administrativas protegidas.
Grupos de seguridad predeterminados de Active Directory
En la lista siguiente se proporcionan descripciones de los grupos predeterminados que se encuentran en los contenedores Builtin y Users de Active Directory:
- Operadores de asistencia de control de acceso
- Operadores de cuentas
- Administradores
- Replicación de contraseñas en RODC permitidas
- Operadores de copias de seguridad
- Acceso DCOM de servicio de Certificate Service
- Publicadores de certificados
- Controladores de dominio clonables
- Operadores criptográficos
- Replicación de contraseñas en RODC denegadas
- Propietarios de dispositivos
- Administradores de DHCP
- Usuarios de DHCP
- Usuarios de COM distribuido
- DnsUpdateProxy
- DnsAdmins
- Admins. del dominio
- Equipos del dominio
- Controladores de dominio
- Invitados del dominio
- Usuarios de dominio
- Administradores de empresas
- Administradores clave Enterprise
- Controladores de dominio empresariales de solo lectura
- Lectores del registro de eventos
- Propietarios del creador de directivas de grupo
- Invitados
- Administradores de Hyper-V
- IIS_IUSRS
- Creadores de confianza de bosque de entrada
- Administradores de claves
- Operadores de configuración de red
- Usuarios del registro de rendimiento
- Usuarios de Monitor de rendimiento
- Acceso compatible con versiones anteriores a Windows 2000
- Operadores de impresión
- Usuarios protegidos
- Servidores RAS e IAS
- Servidores de extremo RDS
- Servidores de administración de RDS
- Servidores de acceso remoto de RDS
- Controladores de dominio de solo lectura
- Usuarios de escritorio remoto
- Usuarios de Administración remota
- Duplicadores
- Administradores de esquema
- Operadores de servidores
- Administradores de réplicas de almacenamiento
- Cuentas administradas del sistema
- Servidores de licencias de Terminal Server
- Usuarios
- Acceso de autorización de Windows
- WinRMRemoteWMIUsers_
Operadores de asistencia de control de acceso
Los miembros de este grupo pueden consultar de forma remota atributos y permisos de autorización para los recursos de este equipo.
El grupo Operadores de asistencia de control de acceso se aplica al sistema operativo Windows Server que aparece en la tabla Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-579 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Operadores de cuentas
El grupo Operadores de cuenta concede privilegios limitados de creación de cuentas a un usuario. Los miembros de este grupo pueden crear y modificar la mayoría de los tipos de cuentas, incluidas las cuentas para los usuarios, los grupos locales y los grupos globales. Los miembros del grupo pueden iniciar sesión localmente en controladores de dominio.
Los miembros del grupo Operadores de cuenta no pueden administrar la cuenta de usuario Administrador, las cuentas de usuario de los administradores, o los grupos Administradores, Operadores de servidor, Operadores de cuenta, Operadores de copia de seguridad u Operadores de impresión. Los miembros de este grupo no pueden modificar los derechos de usuario.
El grupo Operadores de cuenta se aplica al sistema operativo Windows Server en la lista Grupos de seguridad predeterminados de Active Directory.
Nota
De forma predeterminada, este grupo integrado no tiene miembros. El grupo puede crear y administrar usuarios y grupos en el dominio, incluida su propia pertenencia y la del grupo Operadores de servidor. Este grupo se considera un grupo de administradores de servicios porque puede modificar operadores de servidor, lo que a su vez puede modificar la configuración del controlador de dominio. Como procedimiento recomendado, deje vacía la pertenencia de este grupo y no la use para ninguna administración delegada. Este grupo no se puede cambiar de nombre, eliminar ni quitar.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-548 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Permitir el inicio de sesión local: SeInteractiveLogonRight |
Administradores
Los miembros del grupo Administradores tienen acceso completo y sin restricciones al equipo. Si el equipo se promueve a un controlador de dominio, los miembros del grupo Administradores tienen acceso sin restricciones al dominio.
El grupo Administradores se aplica al sistema operativo Windows Server en la lista Grupos de seguridad predeterminados de Active Directory.
Nota
El grupo Administradores tiene funcionalidades integradas que proporcionan a sus miembros control total sobre el sistema. Este grupo no se puede cambiar de nombre, eliminar ni quitar. Este grupo integrado controla el acceso a todos los controladores de dominio de su dominio y puede cambiar la pertenencia de todos los grupos administrativos. Los miembros de los grupos siguientes pueden modificar la pertenencia al grupo Administradores: los Administradores de servicios predeterminados, los Administradores de dominio del dominio y los Administradores de empresa. Este grupo tiene el privilegio especial de tomar posesión de cualquier objeto del directorio o de cualquier recurso de un controlador de dominio. Esta cuenta se considera un grupo de administradores de servicios porque sus miembros tienen acceso total a los controladores de dominio del dominio.
Este grupo de seguridad incluye los siguientes cambios desde Windows Server 2008:
Cambios de derechos de usuario predeterminados: Permitir el inicio de sesión a través de Terminal Services existía en Windows Server 2008 y se reemplazó por Permitir inicio de sesión a través de Servicios de Escritorio remoto.
Se quitó Quitar equipo de la estación de acoplamiento en Windows Server 2012 R2.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-544 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | Administrador, Administradores de dominio, Administradores de empresa |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Ajustar las cuotas de la memoria para un proceso: SeIncreaseQuotaPrivilege Tener acceso a este equipo desde la red: SeNetworkLogonRight Permitir el inicio de sesión local: SeInteractiveLogonRight Permitir inicio de sesión a través de Servicios de Escritorio remoto: SeRemoteInteractiveLogonRight Copia de seguridad de archivos y directorios: SeBackupPrivilege Omitir comprobación de recorrido: SeChangeNotifyPrivilege Cambiar la hora del sistema: SeSystemTimePrivilege Cambiar la zona horaria: SeTimeZonePrivilege Crear un archivo de paginación: SeCreatePagefilePrivilege Crear objetos globales: SeCreateGlobalPrivilege Crear vínculos simbólicos: SeCreateSymbolicLinkPrivilege Depurar programas: SeDebugPrivilege Habilitar confianza con las cuentas de usuario y de equipo para delegación: SeEnableDelegationPrivilege Forzar cierre desde un sistema remoto: SeRemoteShutdownPrivilege Suplantar a un cliente tras la autenticación: SeImpersonatePrivilege Aumentar prioridad de programación: SeIncreaseBasePriorityPrivilege Cargar y descargar controladores de dispositivo: SeLoadDriverPrivilege Iniciar sesión como proceso por lotes: SeBatchLogonRight Administrar registro de seguridad y auditoría: SeSecurityPrivilege Modificar valores de entorno firmware: SeSystemEnvironmentPrivilege Realizar tareas de mantenimiento del volumen: SeManageVolumePrivilege Analizar el rendimiento del sistema: SeSystemProfilePrivilege Analizar un solo proceso: SeProfileSingleProcessPrivilege Quitar equipo de la estación de acoplamiento: SeUndockPrivilege Restaurar archivos y directorios: SeRestorePrivilege Apagar el sistema: SeShutdownPrivilege Tomar posesión de archivos y otros objetos: SeTakeOwnershipPrivilege |
Replicación de contraseñas en RODC permitidas
El propósito de este grupo de seguridad es administrar una directiva de replicación de contraseñas de controlador de dominio de solo lectura (RODC). Este grupo no tiene miembros de forma predeterminada y da como resultado la condición de que los nuevos RODC no almacenen en caché las credenciales de usuario. El grupo Replicación de contraseñas en RODC denegadas contiene varias cuentas con privilegios elevados y grupos de seguridad. El grupo Replicación de contraseñas en RODC denegadas reemplaza al grupo Replicación de contraseñas RODC permitidas.
El grupo Replicación de contraseñas en RODC permitidas se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-571 |
Tipo | Local de dominio |
Contenedor predeterminado | CN=Users DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Operadores de copias de seguridad
Los miembros del grupo Operadores de copia de seguridad pueden hacer copias de seguridad y restaurar archivos de un equipo, independientemente de los permisos que protejan dichos archivos. Los operadores de copia de seguridad también pueden iniciar sesión en el equipo y apagarlo. Este grupo no se puede cambiar de nombre, eliminar ni quitar. De forma predeterminada, este grupo integrado no tiene miembros y puede realizar operaciones de copia de seguridad y restauración en controladores de dominio. Los miembros de los grupos siguientes pueden modificar la pertenencia al grupo Operadores de copia de seguridad: los Administradores de servicios predeterminados, los Administradores de dominio del dominio y los Administradores de empresa. Los miembros del grupo Operadores de copia de seguridad no pueden modificar la pertenencia de ningún grupo administrativo. Aunque los miembros de este grupo no pueden cambiar la configuración del servidor ni modificar la configuración del directorio, tienen los permisos necesarios para reemplazar los archivos (incluidos los archivos del sistema operativo) en los controladores de dominio. Dado que los miembros de este grupo pueden reemplazar archivos en controladores de dominio, se consideran administradores de servicios.
El grupo Operadores de copia de seguridad se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-551 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Permitir el inicio de sesión local: SeInteractiveLogonRight Copia de seguridad de archivos y directorios: SeBackupPrivilege Iniciar sesión como proceso por lotes: SeBatchLogonRight Restaurar archivos y directorios: SeRestorePrivilege Apagar el sistema: SeShutdownPrivilege |
Acceso DCOM de servicio de Certificate Service
Los miembros de este grupo pueden conectarse a las entidades de certificación de la empresa.
El grupo Acceso DCOM a Servicios de certificación se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-<domain>-574 |
Tipo | Dominio local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Publicadores de certificados
Los miembros del grupo Publicadores de certificados están autorizados para publicar certificados para objetos User en Active Directory.
El grupo Publicadores de certificado se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-517 |
Tipo | Dominio local |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | Replicación de contraseñas en RODC denegadas |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Controladores de dominio clonables
Los miembros del grupo Controladores de dominio clonables que son controladores de dominio se pueden clonar. En Windows Server 2012 R2 y Windows Server 2012, puede implementar controladores de dominio copiando un controlador de dominio virtual existente. En un entorno virtual, ya no tiene que implementar repetidamente una imagen de servidor preparada mediante Sysprep.exe, promover el servidor a un controlador de dominio y, a continuación, completar más requisitos de configuración para implementar cada controlador de dominio (incluida la adición del controlador de dominio virtual a este grupo de seguridad).
Para obtener más información, consulte Virtualización segura de Servicios de dominio de Active Directory (AD DS)
Attribute | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-522 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Operadores criptográficos
Los miembros de este grupo están autorizados a realizar operaciones criptográficas. Este grupo de seguridad se agregó en Windows Vista Service Pack 1 (SP1) para configurar Firewall de Windows para IPsec en modo Criterios comunes.
El grupo Operadores criptográficos se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Este grupo de seguridad se introdujo en Windows Vista SP1 y no ha cambiado en versiones posteriores.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-569 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Replicación de contraseñas en RODC denegadas
Las contraseñas de los miembros del grupo Replicación de contraseñas en RODC denegadas no se pueden replicar en ningún RODC.
El propósito de este grupo de seguridad es administrar una directiva de replicación de contraseñas de RODC. Este grupo contiene varias cuentas con privilegios elevados y grupos de seguridad. El grupo Replicación de contraseñas en RODC denegadas reemplaza al grupo Replicación de contraseñas RODC permitidas.
Este grupo de seguridad incluye los siguientes cambios desde Windows Server 2008:
- En Windows Server 2012 cambiaron los miembros predeterminados para incluir Publicadores de certificados.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-572 |
Tipo | Local de dominio |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Publicadores de certificados Propietarios del creador de directivas de grupo |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Propietarios de dispositivos
Cuando el grupo Propietarios de dispositivos no tiene miembros, se recomienda no cambiar la configuración predeterminada de este grupo de seguridad. Cambiar la configuración predeterminada podría dificultar escenarios futuros que se basan en este grupo. El grupo Propietarios de dispositivos no se usa actualmente en Windows.
El grupo Propietarios de dispositivos se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-583 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Puede mover el grupo, pero no se recomienda |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Permitir el inicio de sesión local: SeInteractiveLogonRight Tener acceso a este equipo desde la red: SeNetworkLogonRight Omitir comprobación de recorrido: SeChangeNotifyPrivilege Cambiar la zona horaria: SeTimeZonePrivilege |
Administradores de DHCP
Los miembros del grupo Administradores de DHCP pueden crear, eliminar y administrar diferentes áreas del ámbito del servidor, incluidos los derechos para realizar copias de seguridad y restaurar la base de datos del Protocolo de configuración dinámica de host (DHCP). Aunque este grupo tiene derechos administrativos, no forma parte del grupo Administradores porque este rol está limitado a los servicios DHCP.
El grupo Administradores de DHCP se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<dominio> |
Tipo | Dominio local |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | Usuarios |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Puede mover el grupo, pero no se recomienda |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Usuarios de DHCP
Los miembros del grupo Usuarios de DHCP pueden ver qué ámbitos están activos o inactivos, ver qué direcciones IP están asignadas y ver los problemas de conectividad si el servidor DHCP no está configurado correctamente. Este grupo se limita al acceso de solo lectura al servidor DHCP.
El grupo Usuarios de DHCP se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<dominio> |
Tipo | Dominio local |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | Usuarios |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Puede mover el grupo, pero no se recomienda |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Usuarios de COM distribuido
Los miembros del grupo Usuarios COM distribuidos pueden iniciar, activar y usar objetos COM distribuidos en el equipo. El modelo de objetos componentes (COM) es un sistema independiente de la plataforma, distribuido y orientado a objetos para crear componentes de software binarios que pueden interactuar. El modelo de objetos componentes distribuido (DCOM) permite que las aplicaciones se distribuyan entre ubicaciones que tengan más sentido para usted y para la aplicación. Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol maestro de operaciones (también denominado operaciones maestras únicas flexibles o FSMO).
El grupo Usuarios COM distribuidos se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-562 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
DnsUpdateProxy
Los miembros del grupo DnsUpdateProxy son clientes DNS. Se les permite realizar actualizaciones dinámicas en nombre de otros clientes, como para servidores DHCP. Un servidor DNS puede desarrollar registros de recursos obsoletos cuando un servidor DHCP está configurado para registrar dinámicamente registros de recursos de host (A) y puntero (PTR) en nombre de los clientes DHCP mediante la actualización dinámica. Agregar clientes a este grupo de seguridad mitiga este escenario.
Sin embargo, para protegerse contra registros no seguros o para permitir que los miembros del grupo DnsUpdateProxy registren registros en zonas que solo permitan actualizaciones dinámicas protegidas, debe crear una cuenta de usuario dedicada y configurar servidores DHCP para realizar actualizaciones dinámicas de DNS mediante las credenciales (nombre de usuario, contraseña y dominio) de esta cuenta. Varios servidores DHCP pueden usar las credenciales de una cuenta de usuario dedicada. Este grupo solo existe si el rol de servidor DNS está instalado o estuvo instalado en un controlador de dominio del dominio.
Para obtener más información, consulte Propiedad de registros DNS y el grupo DnsUpdateProxy.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-<variable RI> |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
DnsAdmins
Los miembros del grupo DnsAdmins tienen acceso a la información de DNS de red. Los permisos predeterminados son Permitir: Leer, Escribir, Crear todos los objetos secundarios, Eliminar objetos secundarios, Permisos especiales. Este grupo solo existe si el rol de servidor DNS está instalado o estuvo instalado en un controlador de dominio del dominio.
Para obtener más información sobre la seguridad y DNS, consulte DNSSEC en Windows Server 2012.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-<variable RI> |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Admins. del dominio
Los miembros del grupo de seguridad Administradores de dominio están autorizados para administrar el dominio. De forma predeterminada, el grupo Administradores de dominio es miembro del grupo Administradores en todos los equipos que se han unido al dominio, incluidos los controladores de dominio. El grupo Administradores de dominio es el propietario predeterminado de cualquier objeto creado en Active Directory para el dominio por cualquier miembro del grupo. Si los miembros del grupo crean otros objetos, como archivos, el propietario predeterminado es el grupo Administradores.
El grupo Administradores de dominio controla el acceso a todos los controladores de dominio de un dominio y puede modificar la pertenencia de todas las cuentas administrativas del dominio. Los miembros de los grupos de administradores de servicios en su dominio (Administradores y Administradores de dominio) y miembros del grupo Administradores de empresa pueden modificar la pertenencia a Administradores de dominio. Este grupo se considera una cuenta de administrador de servicios porque sus miembros tienen acceso total a los controladores de dominio del dominio.
El grupo Administradores de dominio se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-512 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Administrador |
Miembro predeterminado de | Administradores |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Consulte Administradores |
Equipos del dominio
Este grupo puede incluir todos los equipos y servidores que se han unido al dominio, excepto los controladores de dominio. De forma predeterminada, cualquier cuenta de equipo que se cree pasa a formar parte de este grupo automáticamente.
El grupo Equipos de dominio se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-515 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Todos los equipos unidos al dominio, excepto los controladores de dominio |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí (pero no es necesario) |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
Controladores de dominio
El grupo Controladores de dominio puede incluir todos los controladores de dominio del dominio. Los nuevos controladores de dominio se agregan automáticamente a este grupo.
El grupo Controladores de dominio se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-516 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Cuentas de equipo para todos los controladores de dominio del dominio |
Miembro predeterminado de | Replicación de contraseñas en RODC denegadas |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Invitados del dominio
El grupo Invitados de dominio incluye la cuenta de invitado integrada del dominio. Cuando los miembros de este grupo inician sesión como invitados locales en un equipo unido a un dominio, se crea un perfil de dominio en el equipo local.
El grupo Invitados de dominio se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-514 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Invitado |
Miembro predeterminado de | Invitados |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Puede mover el grupo, pero no se recomienda |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Consulte Invitados |
Usuarios de dominio
El grupo Usuarios del dominio incluye todas las cuentas de usuario de un dominio. Cuando se crea una cuenta de usuario en un dominio, se agrega automáticamente a este grupo.
De forma predeterminada, cualquier cuenta de usuario que se cree en el dominio pasa a formar parte de este grupo automáticamente. Puede utilizar este grupo para representar a todos los usuarios del dominio. Por ejemplo, si quiere que todos los usuarios del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo o agregar el grupo Usuarios del dominio a un grupo Local en el servidor de impresión que tenga permisos para la impresora.
El grupo Usuarios de dominio se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-513 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Administrador |
Krbtgt | |
Miembro predeterminado de | Usuarios |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Consulte Usuarios |
Administradores de empresas
El grupo Administradores de empresa solo existe en el dominio raíz de un bosque de Active Directory de dominios. El grupo es un grupo universal si el dominio está en modo nativo. El grupo es un grupo global si el dominio está en modo mixto. Los miembros de este grupo están autorizados para realizar cambios en todo el bosque en Active Directory, como agregar dominios secundarios.
De forma predeterminada, el único miembro del grupo es la cuenta Administrador del dominio raíz del bosque. Este grupo se agrega automáticamente al grupo Administradores de todos los dominios del bosque y proporciona acceso completo a la configuración de todos los controladores de dominio. Los miembros de este grupo pueden modificar la pertenencia de todos los grupos administrativos. Los miembros de los grupos de administradores de servicios predeterminados en el dominio raíz pueden modificar la pertenencia a Administradores de empresa. Este grupo se considera una cuenta de administrador de servicios.
El grupo Administradores de empresa se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<root domain>-519 |
Tipo | Universal si el dominio está en modo nativo; de lo contrario, global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Administrador |
Miembro predeterminado de | Administradores |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Consulte Administradores |
Administradores clave Enterprise
Los miembros de este grupo pueden realizar acciones administrativas en objetos clave dentro del bosque.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-527 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Controladores de dominio empresariales de solo lectura
Los miembros de este grupo son RODC en la empresa. Excepto para las contraseñas de cuenta, un RODC contiene todos los objetos y atributos de Active Directory que contiene un controlador de dominio grabable. Sin embargo, no se pueden realizar cambios en la base de datos almacenada en el RODC. Los cambios se deben realizar en un controlador de dominio grabable y, después, replicarse en el RODC.
Los RODC abordan algunos de los problemas que se encuentran habitualmente en las sucursales. Es posible que estas ubicaciones no tengan un controlador de dominio o que tengan un controlador de dominio grabable, pero no la seguridad física, el ancho de banda de red o la experiencia local para admitirlo.
Para obtener más información, consulte ¿Qué es un RODC?
El grupo Controladores de dominio de solo lectura de empresa se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<root domain>-498 |
Tipo | Universal |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Lectores del registro de eventos
Los miembros de este grupo pueden leer los registros de eventos desde los equipos locales. El grupo se crea cuando el servidor se promueve a un controlador de dominio.
El grupo Lectores de registro de eventos se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-573 |
Tipo | Dominio local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Propietarios del creador de directivas de grupo
Este grupo está autorizado para crear, editar y eliminar objetos de directiva de grupo en el dominio. De forma predeterminada, el único miembro del grupo es Administrador.
Para obtener información sobre otras características que puede usar con este grupo de seguridad, consulte Información general sobre directiva de grupo.
El grupo Propietarios del creador de directivas de grupo se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-520 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Administrador |
Miembro predeterminado de | Replicación de contraseñas en RODC denegadas |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Consulte Replicación de contraseñas en RODC denegadas |
Invitados
Los miembros del grupo Invitados tienen el mismo acceso que los miembros del grupo Usuarios de forma predeterminada, excepto porque la cuenta de invitado tiene más restricciones. De forma predeterminada, el único miembro es la cuenta Invitado. El grupo Invitados permite que los usuarios ocasionales o únicos inicien sesión con privilegios limitados en la cuenta de invitado integrada de un equipo.
Cuando un miembro del grupo Invitados cierra la sesión, se elimina todo el perfil. La eliminación del perfil incluye todo lo que se almacena en el directorio %userprofile%, incluida la información del subárbol del registro del usuario, los iconos de escritorio personalizados y otras configuraciones específicas del usuario. Este hecho implica que un invitado debe usar un perfil temporal para iniciar sesión en el sistema. Este grupo de seguridad interactúa con la configuración de directiva de grupo. Cuando este grupo de seguridad está habilitado, no inicie sesión en los usuarios que tengan perfiles temporales. Para acceder a esta configuración, vaya a Configuración del equipo>Plantillas administrativas>Sistema>Perfiles de usuario.
Nota
Una cuenta de invitado es un miembro predeterminado del grupo de seguridad Invitados. Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña. Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es miembro del grupo integrado Invitados y del grupo global Invitados de dominio, lo que permite al usuario iniciar sesión en un dominio. La cuenta Invitado está deshabilitada de forma predeterminada y recomendamos que permanezca así.
El grupo Invitados se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-546 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | Invitados del dominio |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Administradores de Hyper-V
Los miembros del grupo Administradores de Hyper-V tienen acceso completo y sin restricciones a todas las características de Hyper-V. Agregar miembros a este grupo ayuda a reducir el número de miembros necesarios en el grupo Administradores y separa aún más el acceso.
Nota
Antes de Windows Server 2012, el acceso a las características de Hyper-V se controlaba en parte por la pertenencia al grupo Administradores.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-578 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
IIS_IUSRS
IIS_IUSRS es un grupo integrado que usa Internet Information Services (IIS) a partir de IIS 7. El sistema operativo garantiza que una cuenta y un grupo integrados tengan siempre un SID único. IIS 7 reemplaza la cuenta IUSR_MachineName y el grupo IIS_WPG por el grupo IIS_IUSRS para asegurarse de que los nombres reales que usan la nueva cuenta y el grupo nunca se localizan. Por ejemplo, independientemente del idioma del sistema operativo Windows que instale, el nombre de la cuenta de IIS siempre será IUSR y el nombre del grupo será IIS_IUSRS.
Para obtener más información, consulte Descripción de las cuentas de grupo y de usuario integradas en IIS 7.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-568 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | IUSR |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Creadores de confianza de bosque de entrada
Los miembros del grupo Generadores de confianza del bosque entrante pueden crear confianzas unidireccionales entrantes en este bosque. Active Directory proporciona seguridad mediante varios dominios o bosques con relaciones de confianza entre ellos. Antes de que se pueda realizar la autenticación mediante las confianzas, Windows debe determinar si el dominio que se solicita, ya sea por parte de un usuario, un equipo o un servicio, tiene una relación de confianza con el dominio de inicio de sesión que realiza la solicitud.
Para determinarlo, el sistema de seguridad de Windows calcula una ruta de acceso de confianza entre el controlador de dominio del servidor que recibe la solicitud y un controlador de dominio del dominio de la cuenta que realiza la solicitud. Se extiende un canal seguro a otros dominios de Active Directory mediante relaciones de confianza entre dominios. Este canal seguro se utiliza para obtener y comprobar la información de seguridad, incluidos los SID para usuarios y grupos.
Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO). Este grupo no se puede cambiar de nombre, eliminar ni quitar.
Para obtener más información, vea Cómo funcionan las confianzas de dominio y bosque.
El grupo Creadores de confianza de bosque de entrada se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-557 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Administradores de claves
Los miembros de este grupo pueden realizar acciones administrativas en objetos clave dentro del dominio.
El grupo Administradores clave se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-526 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Operadores de configuración de red
Los miembros del grupo Operadores de configuración de red pueden tener los siguientes privilegios administrativos para administrar la configuración de las características de red:
Modifique las propiedades del Protocolo de control de transmisión/Protocolo de Internet (TCP/IP) para una conexión de red de área local (LAN), que incluye la dirección IP, la máscara de subred, la puerta de enlace predeterminada y los servidores de nombres.
Cambie el nombre de las conexiones LAN o las conexiones de acceso remoto que están disponibles para todos los usuarios.
Habilite o deshabilite una conexión LAN.
Modifique las propiedades de todas las conexiones de acceso remoto de los usuarios.
Elimine todas las conexiones de acceso remoto de los usuarios.
Cambie el nombre de todas las conexiones de acceso remoto de los usuarios.
Emita los comandos
ipconfig
,ipconfig /release
yipconfig /renew
.Introduzca la clave de desbloqueo PIN (PUK) para dispositivos de banda ancha móvil que admitan una tarjeta SIM.
Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO). Este grupo no se puede cambiar de nombre, eliminar ni quitar.
El grupo Operadores de configuración de red se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-556 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
Usuarios del registro de rendimiento
Los miembros del grupo Usuarios de registro de rendimiento pueden administrar los contadores de rendimiento, los registros y las alertas de un equipo, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores. En concreto, los miembros de este grupo de seguridad:
Puede usar todas las características que están disponibles para el grupo Usuarios del monitor de sistema.
Pueden crear y modificar conjuntos de recopiladores de datos después de que se asigne al grupo el derecho de usuario Iniciar sesión como trabajo por lotes.
Advertencia
Si es miembro del grupo Usuarios del registro de rendimiento, deberá configurar los conjuntos de recopiladores de datos que cree para que se ejecuten bajo sus credenciales.
Nota:
En Windows Server 2016 y versiones posteriores, un miembro del grupo Usuarios del registro de rendimiento no puede crear conjuntos de recopiladores de datos. Si un miembro del grupo Usuarios del registro de rendimiento intenta crear conjuntos de recopiladores de datos, no podrá completar la acción porque se denegará el acceso.
No se puede usar el proveedor de eventos Seguimiento del kernel de Windows en Conjuntos de recopiladores de datos.
Para que los miembros del grupo Usuarios del registro de rendimiento inicien el registro de datos o modifiquen conjuntos de recopiladores de datos, primero se debe asignar al grupo el derecho de usuario Iniciar sesión como trabajo por lotes. Para asignar este derecho de usuario, use el complemento Directiva de seguridad local en Microsoft Management Console (MMC).
Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO). Esta cuenta no se puede cambiar de nombre, eliminar ni mover.
El grupo Usuarios de registro de rendimiento se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-559 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | Iniciar sesión como proceso por lotes: SeBatchLogonRight |
Usuarios de Monitor de rendimiento
Los miembros de este grupo pueden supervisar los contadores de rendimiento de los controladores del dominio, tanto de forma local como desde clientes remotos, sin necesidad de ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. El Monitor de rendimiento de Windows es un complemento de MMC que proporciona herramientas para analizar el rendimiento del sistema. Desde una sola consola puede supervisar el rendimiento de las aplicaciones y del hardware, personalizar qué datos quiere recopilar en los registros, definir umbrales para alertas y acciones automáticas, generar informes y ver datos de rendimientos pasados en varias formas.
En concreto, los miembros de este grupo de seguridad:
Puede usar todas las características que están disponibles para el grupo Usuarios.
Puede ver los datos de rendimiento en tiempo real en Monitor de rendimiento.
Puede cambiar las propiedades de visualización del Monitor de rendimiento mientras visualiza los datos.
No se pueden crear ni modificar conjuntos de recopiladores de datos.
Advertencia
Los miembros del grupo Usuarios de supervisión de rendimiento no pueden configurar conjuntos de recopilación de datos.
Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO). Este grupo no se puede cambiar de nombre, eliminar ni quitar.
El grupo Usuarios de supervisión de rendimiento se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-558 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
Acceso compatible con versiones anteriores a Windows 2000
Los miembros del grupo de Acceso compatible con versiones anteriores a Windows 2000 tienen acceso de lectura para todos los usuarios y grupos del dominio. Este grupo se proporciona por motivos de compatibilidad con versiones anteriores para los equipos que ejecutan Windows NT 4.0 o anterior. De forma predeterminada, el grupo de identidad especial Todos es miembro de este grupo. Agregue usuarios a este grupo únicamente si ejecutan Windows NT 4.0 o versiones anteriores.
Advertencia
Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO).
El grupo Acceso compatible con versiones anteriores a Windows 2000 se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-554 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | Si elige el modo Permisos compatibles con Windows 2000, Todos los usuarios y anónimos serán miembros. Si elige el modo Permisos solo compatibles con Windows 2000, los usuarios autenticados serán miembros. |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Tener acceso a este equipo desde la red: SeNetworkLogonRight Omitir comprobación de recorrido: SeChangeNotifyPrivilege |
Operadores de impresión
Los miembros de este grupo pueden administrar, crear, compartir y eliminar las impresoras que hay conectadas a los controladores del dominio. También pueden administrar los objetos de impresora de Active Directory del dominio. Los miembros de este grupo pueden iniciar sesión localmente en los controladores de dominio del dominio y apagarlos.
Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivo en todos los controladores del dominio, tenga precaución al agregar usuarios. Este grupo no se puede cambiar de nombre, eliminar ni quitar.
El grupo Operadores de impresión se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Para obtener más información, consulte Asignación de un administrador de impresión delegado y configuración de permisos de impresora en Windows Server 2012.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-550 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Permitir el inicio de sesión local: SeInteractiveLogonRight Cargar y descargar controladores de dispositivo: SeLoadDriverPrivilege Apagar el sistema: SeShutdownPrivilege |
Usuarios protegidos
Los miembros del grupo Usuarios protegidos tienen protección adicional contra el riesgo de las credenciales durante los procesos de autenticación.
Este grupo de seguridad está diseñado dentro de una estrategia con la que las credenciales de la empresa se protegen y administran eficazmente. Las cuentas de los miembros de este grupo reciben automáticamente protecciones que no son configurables. La pertenencia al grupo de usuarios protegidos es de naturaleza restrictiva y segura proactivamente de forma predeterminada. El único método con el que estas protecciones de cuenta se pueden modificar consiste en quitar la cuenta del grupo de seguridad.
Este grupo global relacionado con el dominio desencadena la protección no configurable en dispositivos y equipos host, empezando por los sistemas operativos Windows Server 2012 R2 y Windows 8.1. También desencadena la protección no configurable en controladores de dominio en dominios que tienen un controlador de dominio principal que ejecuta Windows Server 2016 o Windows Server 2012 R2. Esta protección hace que la superficie de memoria de las credenciales se reduzca notablemente cuando los usuarios inician sesión en equipos de la red desde un equipo que no está en riesgo.
Según cuál sea el nivel funcional de dominio de la cuenta, los miembros del grupo de usuarios protegidos disfrutan de una mayor protección debido a los cambios de comportamiento en los métodos de autenticación que Windows admite:
Los miembros del grupo Usuarios protegidos no se pueden autenticar mediante los siguientes Proveedores de soporte de seguridad (SSP): NTLM, Autenticación implícita o CredSSP. Las contraseñas no se almacenan en caché en un dispositivo que ejecuta Windows 10 o Windows 8.1, por lo que el dispositivo no puede autenticarse en un dominio cuando la cuenta es miembro del grupo Usuarios protegidos.
El protocolo Kerberos no usará los tipos de cifrado DES o RC4 más débiles en el proceso de autenticación previa. El dominio se debe configurar para admitir al menos el conjunto de cifrado AES.
La cuenta del usuario no se puede delegar mediante la delegación Kerberos, sea con o sin restricciones. Si el usuario es miembro del grupo Usuarios protegidos, las conexiones anteriores a otros sistemas podrían causa run error.
Puede cambiar el ajuste predeterminado de cuatro horas para la duración de un vale de concesión de vales (TGT) de Kerberos mediante silos y directivas de autenticación en el Centro de administración de Active Directory. En la configuración predeterminada, cuando han transcurrido cuatro horas, el usuario debe autenticarse de nuevo.
El grupo Usuarios protegidos se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Este grupo se introdujo en Windows Server 2012 R2. Para obtener más información acerca de este grupo, vea Grupo de seguridad Usuarios protegidos.
En la siguiente tabla se especifican las propiedades del grupo Usuarios protegidos:
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<dominio>-525 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Servidores RAS e IAS
Los equipos que son miembros del grupo Servidores RAS e IAS, cuando se configuran correctamente, pueden usar servicios de acceso remoto. De forma predeterminada, este grupo no tiene miembros. Los equipos que ejecutan el Servicio de enrutamiento y acceso remoto (RRAS) y los servicios de acceso remoto, como el Servicio de autenticación de Internet (IAS) y los servidores de directivas de red se agregan automáticamente al grupo. Los miembros de este grupo tienen acceso a determinadas propiedades de objetos User, como Leer restricciones de cuenta, Leer información de inicio de sesión y Leer información de acceso remoto.
El grupo Servidores RAS e IAS se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-553 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
Servidores de extremo RDS
Los servidores que son miembros del grupo Servidores de punto de conexión RDS pueden ejecutar máquinas virtuales y hospedar sesiones en las que se ejecutan los programas RemoteApp de usuario y los escritorios virtuales personales. Debe rellenar este grupo en los servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores host de sesión y los servidores host de virtualización de Escritorio remoto que se usan en la implementación deben estar en este grupo.
Para obtener información sobre los Servicios de Escritorio remoto (RDS), consulte Información general de Servicios de Escritorio remoto en Windows Server.
Attribute | Valor |
---|---|
SID/RID conocido | S-1-5-32-576 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Servidores de administración de RDS
Puede usar servidores que son miembros del grupo Servidores de administración de RDS para completar acciones administrativas rutinarias en servidores que ejecutan RDS. Debe rellenar este grupo en todos los servidores de una implementación de RDS. Los servidores que ejecutan el servicio de administración central de RDS deben incluirse en este grupo.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-577 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Servidores de acceso remoto de RDS
Los servidores del grupo Servidores de acceso remoto de RDS proporcionan a los usuarios acceso a programas de RemoteApp y escritorios virtuales personales. En las implementaciones accesibles desde Internet, estos servidores normalmente se implementan en una red perimetral. Debe rellenar este grupo en los servidores que ejecutan el Agente de conexión a Escritorio remoto. Los servidores de puerta de enlace de Escritorio remoto y los servidores de Acceso web de Escritorio remoto que se usen en la implementación deben estar en este grupo.
Para obtener más información, consulte Información general de Servicios de Escritorio remoto en Windows Server.
Attribute | Valor |
---|---|
SID/RID conocido | S-1-5-32-575 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Controladores de dominio de solo lectura
Este grupo se compone de los RODC en el dominio. Un RODC permite a las organizaciones implementar fácilmente un controlador de dominio en escenarios en los que no se puede garantizar la seguridad física, como en ubicaciones de sucursales o cuando el almacenamiento local de todas las contraseñas de dominio se considera una amenaza principal, como en una extranet o un rol orientado a la aplicación.
Dado que se puede delegar en un usuario o en un grupo de seguridad del dominio la administración, un RODC es ideal para un sitio que no debería tener un usuario que sea miembro del grupo Administradores de dominio. Un RODC presenta la funcionalidad siguiente:
Contiene una base de datos de AD DS de solo lectura
Replicación unidireccional
Almacenamiento en caché de credenciales
Separación de funciones de administrador
Contiene el Sistema de nombres de dominio de solo lectura (DNS)
Para obtener más información, vea Descripción del planeamiento y la implementación de controladores de dominio de solo lectura.
Attribute | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-521 |
Tipo | Global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | Replicación de contraseñas en RODC denegadas |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | Consulte Replicación de contraseñas en RODC denegadas |
Usuarios de escritorio remoto
Use el grupo Usuarios de Escritorio remoto en un servidor host de sesión de Escritorio remoto para conceder permisos a los usuarios y grupos para conectarse de forma remota a un servidor host de sesión de Escritorio remoto. Este grupo no se puede cambiar de nombre, eliminar ni quitar. El grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO).
El grupo Usuarios de escritorio remoto se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-555 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
Usuarios de Administración remota
Los miembros del grupo Usuarios de administración remota pueden acceder a los recursos de Instrumental de administración de Windows (WMI) mediante protocolos de administración como WS-Management mediante el Servicio de administración remota de Windows. El acceso a los recursos WMI solo se aplica a los espacios de nombres WMI que conceden acceso al usuario.
Use el grupo Usuarios de administración remota para permitir que los usuarios administren servidores mediante la consola de Administrador del servidor. Use el grupo WinRMRemoteWMIUsers\_ para permitir que los usuarios ejecuten de forma remota comandos de Windows PowerShell.
Para obtener más información, consulte el tema Novedades de MI y Acerca de WMI.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-580 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Duplicadores
Los equipos que son miembros del grupo Replicación admiten la replicación de archivos en un dominio. Los sistemas operativos Windows Server usan el Servicio de replicación de archivos (FRS) para replicar directivas del sistema y scripts de inicio de sesión almacenados en la carpeta Volumen del sistema (carpeta sysvol). Cada controlador de dominio mantiene una copia de la carpeta sysvol para que los clientes de red accedan a ella. FRS también puede replicar datos para el Sistema de archivos distribuido (DFS) y sincronizar el contenido de cada miembro de un conjunto de réplicas tal como lo define DFS. FRS puede copiar y mantener archivos y carpetas compartidos en varios servidores simultáneamente. Cuando se producen cambios, el contenido se sincroniza inmediatamente dentro de los sitios y según una programación entre sitios.
Advertencia
En Windows Server 2008 R2, no puede usar FRS para replicar carpetas DFS ni datos personalizados (no sysvol). Un controlador de dominio de Windows Server 2008 R2 todavía puede usar FRS para replicar el contenido del recurso compartido de carpeta sysvol en un dominio que usa FRS para replicar el recurso compartido de carpeta sysvol entre controladores de dominio. Sin embargo, los servidores de Windows Server 2008 R2 no pueden usar FRS para replicar el contenido de ningún conjunto de réplicas, excepto el recurso compartido de la carpeta sysvol. El servicio de replicación DFS es un reemplazo de FRS. Puede usar la replicación DFS para replicar el contenido de un recurso compartido de la carpeta sysvol, carpetas DFS y otros datos personalizados (no sysvol). Debe migrar todos los conjuntos de réplicas FRS que no pertenezcan a sysvol a la replicación DFS.
Para más información, consulte:
- El servicio de replicación de archivos (FRS) está en desuso en Windows Server 2008 R2 (Windows)
- Introducción a Espacios de nombres DFS y Replicación DFS
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-552 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |
Administradores de esquema
Los miembros del grupo Administradores de esquema pueden modificar el esquema de Active Directory. Este grupo solo existe en el dominio raíz de un bosque de Active Directory de dominios. Este grupo es un grupo universal si el dominio está en modo nativo. Este grupo es un grupo global si el dominio está en modo mixto.
El grupo está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta Administrador del dominio raíz del bosque. Este grupo tiene acceso administrativo completo al esquema.
Cualquiera de los grupos de administradores de servicios del dominio raíz puede modificar la pertenencia de este grupo. Este grupo se considera una cuenta de administrador de servicios porque sus miembros pueden modificar el esquema, que rige la estructura y el contenido de todo el directorio.
Para obtener más información, consulte ¿Qué es un esquema de Active Directory?
El grupo Administradores de esquema se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<root domain>-518 |
Tipo | Universal (si el dominio está en modo nativo); de lo contrario, global |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | Administrador |
Miembro predeterminado de | Replicación de contraseñas en RODC denegadas |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Consulte Replicación de contraseñas en RODC denegadas |
Operadores de servidores
Los miembros del grupo Operadores de servidor pueden administrar controladores de dominio. Este grupo solo existe en controladores de dominio. De forma predeterminada, este grupo no tiene miembros. Los miembros del grupo Operadores de servidor pueden realizar las siguientes acciones: iniciar sesión en un servidor de forma interactiva, crear y eliminar recursos compartidos de red, iniciar y detener servicios, realizar copias de seguridad y restaurar archivos, dar formato a la unidad de disco duro del equipo y apagar el equipo. Este grupo no se puede cambiar de nombre, eliminar ni quitar.
De forma predeterminada, este grupo integrado no tiene miembros. El grupo tiene acceso a las opciones de configuración del servidor en controladores de dominio. Su pertenencia está controlada por los grupos administradores de servicios Administradores y Administradores de dominio en el dominio, y por el grupo Administradores de empresa en el dominio raíz del bosque. Los miembros de este grupo no pueden cambiar ninguna pertenencia a grupos administrativos. Este grupo se considera una cuenta de administrador de servicios porque sus miembros tienen acceso físico a los controladores de dominio. Los miembros de este grupo pueden realizar tareas de mantenimiento como copias de seguridad y restauración, y pueden cambiar archivos binarios instalados en los controladores de dominio. Consulte los derechos de usuario predeterminados del grupo en la tabla siguiente.
El grupo Operadores de servidor se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-549 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | Sí |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | Permitir el inicio de sesión local: SeInteractiveLogonRight Copia de seguridad de archivos y directorios: SeBackupPrivilege Cambiar la hora del sistema: SeSystemTimePrivilege Cambiar la zona horaria: SeTimeZonePrivilege Forzar cierre desde un sistema remoto: SeRemoteShutdownPrivilege Restaurar archivos y directorios: Restaurar archivos y directorios SeRestorePrivilege Apagar el sistema: SeShutdownPrivilege |
Administradores de réplicas de almacenamiento
Los miembros del grupo Administradores de réplicas de almacenamiento tienen acceso completo y sin restricciones a todas las características de réplica de almacenamiento. El grupo Administradores de réplicas de almacenamiento se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-582 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Cuentas administradas del sistema
El sistema administra la pertenencia al grupo Cuentas administradas del sistema.
El grupo Cuentas administradas del sistema se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-581 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | Usuarios |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Servidores de licencias de Terminal Server
Los miembros del grupo Servidores de licencias de Terminal Server pueden actualizar las cuentas de usuario en Active Directory con información sobre la emisión de licencias. El grupo se usa para realizar un seguimiento y notificar el uso de CAL por usuario de TS. Una CAL por usuario de TS concede a un usuario el derecho de acceso a una instancia de Terminal Server desde un número ilimitado de dispositivos o equipos cliente. Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO). Este grupo no se puede cambiar de nombre, eliminar ni quitar.
Para obtener más información sobre este grupo de seguridad, consulte Configuración del grupo de seguridad del servidor de licencias de Terminal Services.
El grupo Servidores de licencias de Terminal Server se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-561 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Protegido por AdminSDHolder? | No |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
Usuarios
Los miembros del grupo Usuarios no pueden realizar cambios accidentales o intencionados en todo el sistema. Los miembros de este grupo pueden ejecutar la mayoría de las aplicaciones. Después de la instalación inicial del sistema operativo, el único miembro es el grupo Usuarios autenticados. Cuando un equipo se une a un dominio, el grupo Usuarios del dominio se agrega al grupo Usuarios del equipo.
Los usuarios pueden realizar tareas como ejecutar una aplicación, usar impresoras locales y de red, apagar el equipo y bloquear el equipo. Los usuarios pueden instalar aplicaciones que solo pueden usar si el programa de instalación de la aplicación admite la instalación por usuario. Este grupo no se puede cambiar de nombre, eliminar ni quitar.
El grupo Usuarios se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Este grupo de seguridad incluye los siguientes cambios desde Windows Server 2008:
En Windows Server 2008 R2, Interactive se agregó a la lista de miembros predeterminados.
En Windows Server 2012, la lista de miembros predeterminados ha cambiado de Usuarios de dominio a ninguna.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-545 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | Usuarios autenticados |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | No |
Derechos de usuario predeterminados | None |
Acceso de autorización de Windows
Los miembros de este grupo tienen acceso al atributo de token calculado GroupsGlobalAndUniversal en objetos User. Algunas aplicaciones tienen características que leen el atributo token-groups-global-and-universal (TGGAU) en objetos de cuenta de usuario o en objetos de cuenta de equipo en AD DS. Algunas funciones de Win32 facilitan la lectura del atributo TGGAU. Las aplicaciones que leen este atributo o que llaman a una API (una función) que lee este atributo no se realizan correctamente si el contexto de seguridad que realiza la llamada no tiene acceso al atributo. Este grupo aparece como un SID hasta que el controlador de dominio se convierte en el controlador de dominio principal y contiene el rol de maestro de operaciones (FSMO). Este grupo no se puede cambiar de nombre, eliminar ni quitar.
El grupo Acceso de autorización de Windows se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-32-560 |
Tipo | Builtin Local |
Contenedor predeterminado | CN=Builtin, DC=<domain>, DC= |
Miembros predeterminados | Enterprise Domain Controllers |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | No se puede mover |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | Sí |
Derechos de usuario predeterminados | None |
WinRMRemoteWMIUsers_
En Windows Server 2012 y Windows 8, se agregó una pestaña Compartir a la interfaz de usuario Configuración de seguridad avanzada. En esta pestaña se muestran las propiedades de seguridad de un recurso compartido de archivos remoto. Para ver esta información, debe tener los siguientes permisos y pertenencias, según corresponda para la versión de Windows Server en la que se ejecuta el servidor de archivos.
El grupo WinRMRemoteWMIUsers_ se aplica al sistema operativo Windows Server en Grupos de seguridad predeterminados de Active Directory.
Si el recurso compartido de archivos se hospeda en un servidor que ejecuta una versión compatible del sistema operativo:
Debe ser miembro del grupo WinRMRemoteWMIUsers__ o del grupo BUILTIN\Administrators.
Debe tener permisos de lectura en el recurso compartido de archivos.
Si el recurso compartido de archivos está hospedado en un servidor que ejecuta una versión de Windows Server anterior a Windows Server 2012:
Debe ser miembro del grupo BUILTIN\Administrators.
Debe tener permisos de lectura en el recurso compartido de archivos.
En Windows Server 2012, la funcionalidad Asistencia de acceso denegado agrega el grupo Usuarios autenticados al grupo local WinRMRemoteWMIUsers__. Cuando se habilita la funcionalidad Asistencia de acceso denegado, todos los usuarios autenticados que tienen permisos de lectura en el recurso compartido de archivos pueden ver los permisos del recurso compartido de archivos.
Nota:
El grupo WinRMRemoteWMIUsers__ permite ejecutar comandos de Windows PowerShell de forma remota. Por el contrario, normalmente se usa el grupo Usuarios de administración remota para permitir que los usuarios administren servidores mediante la Consola de administrador del servidor.
Atributo | Valor |
---|---|
SID/RID conocido | S-1-5-21-<domain>-<variable RI> |
Tipo | Local de dominio |
Contenedor predeterminado | CN=Users, DC=<domain>, DC= |
Miembros predeterminados | None |
Miembro predeterminado de | None |
¿Protegido por AdminSDHolder? | No |
¿Es seguro sacarlo del contenedor predeterminado? | Sí |
¿Es seguro delegar la administración de este grupo en administradores que no son de servicio? | |
Derechos de usuario predeterminados | None |