Compartir a través de

Administrar cuentas de usuario en usuarios y equipos de Active Directory

Puede crear, eliminar y administrar entidades de seguridad, incluidas las cuentas de usuario, en la consola de Usuarios y equipos de Active Directory. Esta consola está disponible cuando el componente Active Directory Domain Services (AD DS) y Active Directory Lightweight Directory Services (AD LDS) Tools de las herramientas de administración remota del servidor se instalan en un equipo cliente o Windows Server. Para crear, eliminar y administrar permisos de seguridad, debe tener los permisos adecuados. De forma predeterminada, los miembros del grupo Administradores de dominio y administradores de empresa pueden administrar cuentas de usuario, grupo y equipo. Los miembros del grupo Operadores de cuenta pueden crear, modificar y eliminar cuentas de usuario, pero no pueden administrar grupos o permisos.

Prerrequisitos

Para administrar cuentas de usuario en Usuarios y equipos de Active Directory, debe tener los siguientes requisitos previos:

  • Un equipo que ejecuta Windows Server o el sistema operativo cliente de Windows con el componente de herramientas Active Directory Domain Services (AD DS) y Active Directory Lightweight Directory Services (AD LDS) de las herramientas de administración remota del servidor instalado.

  • El equipo debe estar unido a un dominio y la cuenta de usuario que use debe tener los permisos adecuados para administrar cuentas de usuario en ese dominio.

Administración de cuentas de usuario

En las secciones siguientes de esta página se proporciona información sobre cómo administrar las cuentas de usuario en el servidor:

Crear una cuenta de usuario

Al agregar una cuenta de usuario, el usuario asignado puede iniciar sesión en un equipo unido a un dominio. Puede conceder al usuario permiso para acceder a recursos de red, como carpetas compartidas, impresoras y aplicaciones. Para crear una cuenta de usuario mediante Usuarios y equipos de Active Directory, siga estos pasos:

  1. En la consola Usuarios y equipos de Active Directory, expanda el árbol de dominio y seleccione el contenedor o la unidad organizativa que desea hospedar la cuenta de usuario.
  2. En el menú Acción, seleccione Nuevo y, a continuación, seleccione Usuario.
  3. En el cuadro de diálogo Nuevo objeto - Usuario, proporcione la siguiente información y elija Siguiente:
    • Nombre: nombre del usuario (campo opcional)
    • Iniciales: iniciales del usuario (campo opcional)
    • Apellidos: apellidos del usuario (campo opcional)
    • Nombre completo: nombre completo del usuario (campo obligatorio)
    • Nombre de inicio de sesión de usuario: Nombre de cuenta de usuario (campo obligatorio)
  4. En la segunda página del cuadro de diálogo Nuevo objeto - Usuario, proporcione la siguiente información y elija Siguiente:
    • Contraseña: puede ser la contraseña asignada o una contraseña temporal que el usuario cambie en el siguiente inicio de sesión.
    • Confirmar: un duplicado de la contraseña asignada o la contraseña temporal
    • El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Casilla que se puede habilitar para forzar al usuario a cambiar la contraseña en el siguiente inicio de sesión. Se puede habilitar o dejar en blanco.
    • El usuario no puede cambiar la contraseña. Casilla que se puede habilitar para impedir que el usuario cambie su contraseña. Se puede habilitar o dejar en blanco.
    • La contraseña nunca expira. Casilla que se puede habilitar para excluir la cuenta de las directivas de contraseña. Se puede habilitar o dejar en blanco.
    • La cuenta está deshabilitada. Una casilla que le permite crear la cuenta en un estado deshabilitado. Se puede habilitar o dejar negro.
  5. Revise la página de resumen del cuadro de diálogo Nuevo objeto : usuario y elija Finalizar para crear la cuenta.

Administrar pertenencias a grupos

Los permisos de seguridad, como los de carpetas compartidas, se asignan con más frecuencia a grupos de seguridad en lugar de a cuentas de usuario individuales. Al administrar de qué grupos es miembro un usuario, a menudo se administran los recursos a los que tiene acceso la cuenta de usuario. Para administrar la pertenencia a grupos de una cuenta, realice los pasos siguientes.

  1. En la consola usuarios y equipos de Active Directory, busque y seleccione la cuenta de usuario de la que desea administrar la pertenencia.
  2. En el menú Acción, seleccione Propiedades.
  3. En el cuadro de diálogo Propiedades de la cuenta de usuario, seleccione la pestaña Miembro de.
  4. Si desea quitar la cuenta de usuario de un grupo, seleccione el grupo enumerado y seleccione Quitar y, a continuación, elija Aceptar para cerrar el cuadro de diálogo propiedades de la cuenta de usuario.
  5. Si desea agregar la cuenta de usuario a un grupo, seleccione Agregar.
  6. En el cuadro de diálogo Seleccionar grupos, escriba el nombre del grupo al que desea agregar la cuenta y, a continuación, seleccione Aceptar. Si no está seguro del nombre del grupo, use el botón Avanzadas para buscar el dominio de los grupos y el botón Comprobar nombres para comprobar el nombre correcto.
  7. Elija Aceptar para cerrar el cuadro de diálogo propiedades de la cuenta de usuario y aplicar los cambios.

Restablecimiento de una contraseña de usuario

Para restablecer una contraseña de cuenta de usuario mediante la consola Usuarios y equipos de Active Directory, siga estos pasos:

  1. En la consola de Usuarios y Equipos de Active Directory, busque y localice la cuenta de usuario para la que desea restablecer la contraseña.
  2. En el menú Acción, seleccione Restablecer contraseña.
  3. En el cuadro de diálogo Restablecer contraseña, proporcione la siguiente información y elija Aceptar.
    • Nueva contraseña: nueva contraseña para el usuario
    • Confirmar contraseña: vuelva a escribir la misma contraseña para confirmar
    • El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Casilla que puede habilitar para forzar al usuario a cambiar la contraseña la próxima vez que inicie sesión.
    • Desbloquee la cuenta de usuario. Si la cuenta está bloqueada debido a la entrada de contraseñas incorrectas, habilite esta casilla para desbloquear la cuenta.

Deshabilitar una cuenta de usuario

Para deshabilitar una cuenta de usuario mediante la consola usuarios y equipos de Active Directory, siga estos pasos:

  1. En la consola de usuarios y equipos de Active Directory, localice y busque la cuenta de usuario que desea deshabilitar.
  2. En el menú Acción, seleccione Deshabilitar cuenta.
  3. En el cuadro de diálogo Active Directory Domain Services, seleccione Aceptar. La cuenta está deshabilitada.

Cuando se deshabilita una cuenta, una sesión iniciada permanece iniciada, pero no puede realizar nuevos inicios de sesión.

Habilitación de una cuenta de usuario

Para habilitar una cuenta de usuario mediante la consola usuarios y equipos de Active Directory, siga estos pasos:

  1. En la consola de usuarios y equipos de Active Directory, busque la cuenta de usuario que quiera habilitar.
  2. En el menú Acción, seleccione Habilitar cuenta.
  3. En el cuadro de diálogo Active Directory Domain Services, seleccione Aceptar. La cuenta está habilitada.

Quitar una cuenta de usuario

Al quitar una cuenta de Active Directory, se elimina la cuenta. El procedimiento recomendado es deshabilitar las cuentas antes de eliminarlas en caso de que la cuenta tenga permisos para los recursos a los que no se puede acceder mediante otros métodos. Para eliminar una cuenta mediante la consola usuarios y equipos de Active Directory, siga estos pasos:

  1. En la consola de usuarios y equipos de Active Directory, localice y busque la cuenta de usuario que desea habilitar.
  2. En el menú Acción, seleccione Habilitar cuenta.
  3. En el cuadro de diálogo Active Directory Domain Services, seleccione Aceptar. La cuenta está habilitada.

Las cuentas eliminadas se pueden recuperar mediante la Papelera de reciclaje de Active Directory si habilita la Papelera de reciclaje de Active Directory antes de la eliminación de la cuenta. Si la papelera de reciclaje de Active Directory no está habilitada, debe realizar una restauración autoritativa de AD DS mediante una copia de seguridad de AD DS que incluya la cuenta.

Propiedades de la cuenta de usuario

En la lista siguiente se incluyen todas las pestañas de la página de propiedades de la cuenta de usuario, incluidas las pestañas solo están visibles si la opción Características avanzadas está habilitada. Puede habilitar esta opción desde el menú Ver en la consola de usuarios y equipos de Active Directory. Esta información se almacena con la cuenta como atributos del objeto de cuenta de AD DS.

GeneralDirecciónCuentaPerfilTeléfonosOrganizaciónPerfil de servicios de Escritorio remotoCOM+Editor de atributosSeguridadEntornoSesionesControl remotoCertificados publicadosMiembro deReplicación de contraseñasAcceso telefónicoObjeto

General

La pestaña General de la página de propiedades de la cuenta de usuario incluye los siguientes campos relacionados con el nombre y la descripción del usuario:

  • Nombre
  • Initials
  • Apellido
  • Nombre para mostrar
  • Descripción
  • Oficina
  • Número de teléfono
  • Página web

Dirección

La pestaña Dirección de la página de propiedades de la cuenta de usuario permite almacenar información de ubicación con la cuenta e incluye los siguientes campos:

  • Calle
  • Apartado de Correos
  • Ciudad
  • Estado o provincia
  • Código postal
  • País o región

Cuenta

La pestaña Cuenta de la página de propiedades de la cuenta de usuario permite configurar varias opciones de cuenta. Entre ellas se incluyen las horas de inicio de sesión, los equipos específicos en los que la cuenta puede iniciar sesión y los tipos de cifrado que admite la cuenta. También puede establecer si la cuenta se puede delegar y especificar si la cuenta debe expirar o cuándo debe expirar. Esta pestaña incluye la siguiente configuración:

  • Nombre de inicio de sesión de usuario, incluido el dominio de inicio de sesión de usuario
  • Nombre de inicio de sesión de usuario (anterior a Windows 2000)
  • Horas de inicio de sesión
  • Iniciar sesión en
  • Desbloquear cuenta
  • El usuario debe cambiar la contraseña en el siguiente inicio de sesión
  • El usuario no puede cambiar la contraseña
  • La contraseña nunca expira
  • Almacenamiento de contraseñas mediante cifrado reversible
  • La cuenta está deshabilitada
  • La tarjeta inteligente es necesaria para un inicio de sesión interactivo
  • La cuenta es confidencial y no se puede delegar
  • Usar solo los tipos de cifrado DES de Kerberos para esta cuenta
  • Esta cuenta admite el cifrado de 128 bits de Kerberos AES
  • Esta cuenta admite el cifrado de 256 bits de Kerberos AES
  • No pedir la autenticación Kerberos previa
  • Expira la cuenta

Perfil

La pestaña Perfil de la página de propiedades de la cuenta de usuario permite configurar la información de perfil móvil, el script de inicio de sesión y la configuración de la carpeta principal. Esta pestaña contiene los siguientes campos:

  • Ruta de acceso al perfil
  • Script de inicio de sesión
  • Carpeta principal

Teléfonos

La pestaña Teléfonos de la página de propiedades de la cuenta de usuario permite almacenar información de número de teléfono con una cuenta de usuario e incluye los siguientes campos:

  • Hogar
  • Buscapersonas
  • Móvil
  • Fax
  • Teléfono IP
  • Notas

Organización

La pestaña Organización de la página de propiedades de la cuenta de usuario le permite almacenar información sobre un usuario, incluido el puesto de trabajo y el departamento. También puede usar esta pestaña para especificar un administrador y ver qué cuentas de usuario aparecen como informes directos. Esta pestaña contiene los siguientes campos:

  • Título del Puesto
  • Departamento
  • Empresa
  • Gerente
  • Informes directos

Perfil de Servicios de Escritorio remoto

La pestaña Perfil de servicio de Escritorio remoto de la página de propiedades de la cuenta de usuario le permite configurar un perfil de usuario de Servicio de Escritorio remoto. Esta pestaña contiene los siguientes campos:

  • Ruta de perfil de usuario de Servicios de Escritorio remoto
  • Carpeta principal de Servicios de Escritorio Remoto
  • Denegar los permisos de este usuario para iniciar sesión en el servidor host de sesión de Escritorio remoto.

COM+

La pestaña COM+ de la página de propiedades de la cuenta de usuario permite especificar con qué conjunto de particiones COM+ está asociada una cuenta de usuario.

Editor de atributos

La pestaña Editor de atributos de la página de propiedades de la cuenta de usuario permite editar directamente cada atributo de cuenta. El Editor de atributos también muestra atributos que no se exponen a través de la interfaz de página de propiedades del usuario.

Seguridad

La pestaña Seguridad de la página de propiedades de la cuenta de usuario le permite ver los permisos de seguridad que se aplican a la cuenta. Al seleccionar el botón Avanzadas, también puede configurar la auditoría del uso de estos permisos.

Medio ambiente

La pestaña Entorno de la página de propiedades de la cuenta de usuario permite configurar programas específicos para que se inicien en el inicio de sesión en el entorno de Servicios de Escritorio remoto y si se deben conectar unidades de cliente, impresoras y la impresora cliente principal al iniciar sesión.

Sesiones

La pestaña Sesiones de la página de propiedades de la cuenta de usuario permite configurar los valores de tiempo de espera y reconexión de los Servicios de Escritorio Remoto. Puede configurar las siguientes opciones en esta pestaña:

  • Finalizar una sesión desconectada
  • Límite de sesión activo
  • Límite de sesión inactiva
  • Qué acción realizar cuando se alcanza un límite de sesión o se interrumpe la conexión
  • Si se permite la reconexión desde cualquier cliente o solo el cliente de origen

Control remoto

La pestaña Control remoto de la página de propiedades de la cuenta de usuario permite configurar las opciones de control remoto de Servicios de Escritorio remoto. Esta pestaña contiene los siguientes campos:

  • Habilitación del control remoto
  • Requerir el permiso del usuario
  • Nivel de control (vista/interacción)

Certificados publicados

La pestaña Certificados publicados de la página de propiedades de la cuenta de usuario muestra todos los certificados X509 publicados para la cuenta de usuario y almacenados en Active Directory.

Miembro de

La pestaña Miembro de la página de propiedades de la cuenta de usuario permite administrar la pertenencia a grupos de seguridad. Puede agregar o quitar la pertenencia a grupos mediante esta pestaña de la página de propiedades de la cuenta de usuario.

Replicación de contraseñas

La pestaña Replicación de contraseñas de la página de propiedades de la cuenta de usuario permite administrar si la contraseña de la cuenta de usuario se almacena en caché en controladores de dominio de solo lectura. Puede usar esta pestaña para especificar qué controladores de dominio de solo lectura almacenan copias almacenadas en caché de la contraseña de la cuenta de usuario.

Marcado

La pestaña Acceso telefónico de la página de propiedades de la cuenta de usuario permite configurar los siguientes permisos de acceso de red del servidor de directivas de red:

  • Permitir acceso
  • Denegación del acceso
  • Control del acceso a través de la Política de red NPS
  • Comprobar ID de autor de llamada
  • Sin devolución de llamada
  • Establecido por llamador
  • Siempre devolver la llamada a
  • Asignar direcciones IP estáticas
  • Aplicar rutas estáticas

Objeto

La pestaña Objeto de la página de propiedades de la cuenta de usuario permite ver información sobre el objeto de entidad de seguridad y configurar la opción "Proteger el objeto de eliminación accidental".