Unidad 3: Usuarios, grupos y

equipos en Windows Server

3.1. Conceptos Básicos.
Uno de los elementos fundamentales en la administración de una red, es el control de los
usuarios, grupos y equipos. Por ello, debemos aprender cómo crearlos, modificarlos, organizarlos
y, si llega el caso, eliminarlos. Además, deberemos asignar privilegios para cada uno de ellos, de
modo que podamos establecer en qué medida y bajo qué condiciones podrán beneficiarse de los
recursos de la red. Este objetivo lo cubriremos, en parte durante el presente capítulo, pero
seguiremos completándolo en el siguiente.

Cuenta de usuario
Como ya comentábamos en el capítulo anterior, una de las primeras ideas que deben quedar
claras cuando hablamos de cuentas de usuario es que no siempre representan a personas
concretas, sino que también pueden ser utilizadas como mecanismos de acceso para
determinados servicios o aplicaciones de la máquina local o, incluso, de un equipo remoto.

Las cuentas de usuario también suelen identificarse como entidades de seguridad.

En definitiva, una cuenta de usuario es un objeto que posibilita el acceso a los recursos del
dominio de dos modos diferentes:

Permite autenticar la identidad de un usuario, porque sólo podrán iniciar una sesión
aquellos usuarios que dispongan de una cuenta en el sistema asociada a una
determinada contraseña.
Permite autorizar, o denegar, el acceso a los recursos del dominio, porque, una vez que el
usuario haya iniciado su sesión sólo tendrá acceso a los recursos para los que haya
recibido los permisos correspondientes.

Cada cuenta de usuario dispone de un identificador de seguridad (SID, Security IDentifier)

que es único en el dominio.

Por razones de seguridad, debes evitar que varios usuarios utilicen la misma cuenta para
iniciar sesión en el dominio.

Cuentas integradas
Cuando se crea el dominio, se crean también dos nuevas cuentas: Administrador e Invitado.
Posteriormente, cuando es necesario, se crea también la cuenta Asistente de ayuda. Estas
son las denominadas cuentas integradas y disponen de una serie de derechos y permisos
predefinidos:

Administrador: Tiene control total sobre el dominio y no se podrá eliminar ni retirar del
grupo Administradores (aunque sí podemos cambiarle el nombre o deshabilitarla).
 Invitado: Está deshabilitada de forma predeterminada y, aunque no se recomienda,
puede habilitarse, por ejemplo, para permitir el acceso a los usuarios que aún no tienen
cuenta en el sistema o que la tienen deshabilitada. De forma predeterminada no requiere
contraseña, aunque esta característica, como cualquier otra, puede ser modificada por el
administrador.
Asistente de ayuda: se utiliza para iniciar sesiones de Asistencia remota y tiene acceso
limitado al equipo. Se crea automáticamente cuando se solicita una sesión de asistencia
remota y se elimina cuando dejan de existir solicitudes de asistencia pendientes de
satisfacer.

Por último, debemos tener en cuenta que, aunque la cuenta Administrador esté
deshabilitada, podrá seguir usándose para acceder al controlador de dominio en modo
seguro.

Desde el punto de vista de la seguridad, puede ser interesante cambiar el nombre de la

cuenta Administrador.

Cuenta de equipo
Como ocurría con las cuentas de usuario, una cuenta de equipo sirve para autenticar a los
diferentes equipos que se conectan al dominio, permitiendo o denegando su acceso a los
diferentes recursos del dominio.

Del mismo modo que con las cuentas de usuario, las cuentas de equipo deben ser únicas en
el dominio. Aunque una cuenta de equipo se puede crear de forma manual (como veremos
más adelante), también se puede crear en el momento en el que el equipo se une al dominio.

Los sistemas de escritorio Windows que sean anteriores a XP no pueden disponer de cuentas
de equipo. El motivo es que estos sistemas carecen de características de seguridad
avanzadas.

Cuenta de grupo
Un grupo es un conjunto de objetos del dominio que pueden administrarse como un todo.
Puede estar formado por cuentas de usuario, cuentas de equipo, contactos y otros grupos.

Cuando una cuenta de usuario o de equipo está incluida en un grupo se dice que es miembro
del grupo.

Podemos utilizar los grupos para facilitar algunas tareas, como:

Simplificar la administración: Podemos asignar permisos al grupo y éstos afectarán a

todos sus miembros.
Delegar la administración: Podemos utilizar la directiva de grupo para asignar derechos
de usuario una sola vez y, más tarde, agregar los usuarios a los que queramos delegar
esos derechos.
Crear listas de distribución de correo electrónico: Sólo se utilizan con los grupos de
distribución que comentaremos más abajo.
El Directorio Activo proporciona un conjunto de grupos predefinidos que pueden utilizarse
tanto para facilitar el control de acceso a los recursos como para delegar determinados roles
administrativos. Por ejemplo, el grupo Operadores de copia de seguridad permite a sus
miembros realizar copias de seguridad de todos los controladores de dominio, en el dominio
al que pertenecen.

Ámbitos de los grupos

El ámbito de un grupo establece su alcance, es decir, en qué partes de la red puede utilizarse,
y el tipo de cuentas que pueden formar parte de él. En ese sentido, pueden pertenecer a una
de las siguientes categorías:

Ámbito local: Entre sus miembros pueden encontrarse uno o varios de los siguientes
tipos de objetos:
Cuentas de usuario o equipo.
Otros grupos de ámbito local.
Grupos de ámbito global.
Grupos de ámbito universal.
Las cuentas o grupos contenidos tendrán necesidades de acceso similares dentro del
propio dominio. Por ejemplo, los que necesiten acceder a una determinada impresora.
Ámbito global: Sólo pueden incluir otros grupos y cuentas que pertenezcan al dominio en
el que esté definido el propio grupo. Los miembros de este tipo de grupos pueden tener
permisos sobre los recursos de cualquier dominio dentro del bosque. Sin embargo, estos
grupos no se replican fuera de su propio dominio, de modo que, la asignación de
derechos y permisos que alberguen, no serán válidas en otros dominios del bosque.
Los grupos de ámbito global son perfectos para contener objetos que se modifique con
frecuencia, debido a que, como no se replican fuera del dominio, no generan tráfico en la
red para la actualización del catálogo global.
Ámbito universal: Entre sus miembros pueden encontrarse cuentas o grupos de cualquier
dominio del bosque, a los que se les pueden asignar permisos sobre los recursos de
cualquier dominio del bosque.

Tipos de grupos
Existen dos tipos de grupos en Active Directory:

Grupos de distribución: Se utilizan en combinación con programas como Microsoft

Exchange Server, para crear listas de distribución de correo electrónico. Estos grupos no
disponen de características de seguridad, por lo que no pueden aparecer en las listas de
control de acceso discrecional (DACL, Discretionary Access Control Lists).
Grupos de seguridad: Permiten asignar permisos a las cuentas de usuario, de equipo y
grupos sobre los recursos compartidos. Con los grupos de seguridad podemos:
Asignar derechos de usuario a los grupos de seguridad del Directorio Activo. De esta
forma, podemos establecer qué acciones pueden llevar a cabo sus miembros dentro
del dominio (o del bosque). Como veremos después, durante la instalación del
Directorio Activo, se crean grupos de seguridad predeterminados que facilitan al
 administrador la delegación de ciertos aspectos de la administración (como, por
ejemplo, las copias de seguridad) en otros usuarios del sistema.
Asignar permisos para recursos a los grupos de seguridad. Lo que nos permite definir
quién accede a cada recurso y bajo qué condiciones (control total, sólo lectura, etc.)
También se establecen permisos de forma predeterminada sobre diferentes objetos
del dominio para ofrecer distintos niveles de acceso.

Grupos integrados
Como hemos mencionado antes, durante la instalación del Directorio Activo se crean una
serie de grupos que podremos utilizar para simplificar la asignación de derechos y permisos a
otras cuentas o grupos. Como veremos más abajo, los grupos se administran con el
complemento Usuarios y equipos de Active Directory. Cuando ejecutemos esta herramienta,
encontraremos los grupos predeterminados en dos contenedores:

Los grupos predeterminados incluidos en el contenedor Builtin tienen un ámbito local.

Puedes ver un pequeño resumen de todos ellos en la siguiente tabla:

En el contenedor Users podemos encontrar grupos predeterminados que tienen tanto ámbito local como
global.
También en este caso tienes una tabla con un resumen de sus grupos:
Tanto los grupos del contenedor Builtin como los del contenedor Users pueden cambiarse
libremente de contenedor, siempre que se mantengan dentro del mismo dominio. Los grupos
ubicados en estos contenedores se pueden mover a otros grupos o unidades organizativas
(OU) del dominio, pero no se pueden mover a otros dominios.

Debemos conocer los privilegios y derechos que ofrece cada grupo predeterminado a sus
miembros antes de asignarle una cuenta de usuario o equipo. Lógicamente, la precaución
será mayor cuanto más elevadas sean las capacidades del grupo en cuestión.

3.2. Crear una cuenta de usuario.

Una vez que hemos explicado qué son y para qué sirven las cuentas de usuario de un
Dominio, el siguiente paso será aprender a crearlas.

En este apartado y en los siguientes, veremos cómo acceder a la herramienta Usuarios y

equipos de Active Directory desde el menú Herramientas del Administrador del Servidor,
pero recuerda que también puedes lograrlo desde la consola Herramientas comunes que
creamos en el capítulo anterior para agrupar las herramientas que utilizamos más a menudo.

También podemos abrir Usuarios y equipos de Active Directory haciendo clic, con el botón
derecho del ratón, sobre el botón Inicio y eligiendo Ejecutar. Después, en la ventana Ejecutar
escribimos la orden dsa.msc.

Una vez que nos encontremos en la herramienta Usuarios y equipos de Active Directory, es
muy sencillo crear una nueva cuenta.

Crear una cuenta de usuario del dominio en la interfaz gráfica de Windows Server 2019

3.3. Modificar Valores de las cuentas de Usuario.

Una vez que hemos creado una cuenta de usuario, podemos volver a la herramienta Usuarios
y equipos de Active Directory, en cualquier momento, para ajustar sus propiedades. Como
antes, usaremos el menú Herramientas del Administrador del Servidor.

En su interior, haremos clic sobre Usuarios y equipos de Active Directory (recuerda que
también puedes utilizar la consola Herramientas comunes que creamos en el capítulo
anterior).

Una vez abierta la ventana, podemos aplicar, por ejemplo, las siguientes modificaciones:

Modificar valores generales de las cuentas.

Establecer horas de inicio de sesión.
Limitar los equipos desde los que un usuario puede iniciar sesión.
Averiguar de qué grupos es miembro un usuario.

Estas operaciones ya las recogíamos en los artículos que te incluimos a continuación (puedes
consultar el que coincida con tu sistema operativo):

Operaciones frecuentes sobre cuentas de usuario en un dominio Windows Server 2019 (Parte
I).

3.4. Otras operaciones frecuentes con cuentas de usuario.

En el apartado anterior, hemos visto algunas de las operaciones fundamentales
para modificar la configuración de las cuentas que hayamos creado con
anterioridad. Sin embargo, existen algunas más que nos pueden resultar de gran
utilidad en algunos momentos. En particular, me refiero a operaciones como …

Recuperar contraseñas
Deshabilitar una cuenta de usuario
Hacer que un usuario sea miembro de un grupo
Copiar cuentas de usuario
Eliminar una cuenta de usuario

Operaciones frecuentes sobre cuentas de usuario en un dominio Windows Server

2019 (Parte II).

3.5. Administrar cuentas de equipo

Muchas de las operaciones que podemos hacer sobre las cuentas de equipo son
idénticas a las que hemos visto más arriba con las cuentas de usuario. Por este
motivo, en este apartado nos centraremos en algunas de las operaciones
fundamentales:

Crear una cuenta de equipo

Modificar valores en las cuentas de los equipos

Administrar cuentas de equipo del dominio desde la interfaz gráfica de Windows

Server 2019.
3.6. Administrar cuentas de grupo
Ya hemos comentado al principio del capítulo que los grupos nos permiten
administrar objetos del dominio de forma conjunta. Un grupo puede estar formado
por cuentas de usuario, de equipo, contactos o, incluso, otros grupos.

Las acciones más frecuentes que podemos llevar a cabo con cuentas de grupo son:

Crearlas.
Modificar sus valores.
Añadir miembros a un grupo.
Eliminar miembros de un grupo.
Convertir a un grupo en miembro de otro grupo.
Conseguir que un grupo deje de ser miembro de otro.
Eliminar grupos.

Todas estas acciones hemos aprendido a realizarlas en las versiones de Windows

Server que usamos habitualmente:

Administrar cuentas de grupo en un dominio de Windows Server 2019 desde la interfaz

gráfica (Parte I).
Administrar cuentas de grupo en un dominio de Windows Server 2019 desde la interfaz
gráfica (Parte II).

3.7. Operaciones frecuentes con Unidades Organizativas.

Como recordarás, las Unidades Organizativas (en inglés, Organizational Units o,
simplemente, OUs) son contenedores del Directorio Activo que pueden incluir
usuarios, equipos, grupos y otras unidades organizativas.

A una Unidad Organizativa le podemos otorgar valores de configuración de

directiva de grupo o podemos delegar sobre ella una parte de la autoridad
administrativa. De esta forma, un usuario puede tener autoridad para administrar
una determinada unidad organizativa y no tenerla para el resto.

En definitiva, esto significa que podemos definir contenedores que representen la

organización lógica de nuestra red.

Para aprender a administrar Unidades organizativas sobre Windows Server, puedes

consultar nuestros artículos:

WS 2019 WS 2016 WS 2012 R2

Crear una unidad organizativa en la interfaz gráfica de Windows Server 2019 y

asignarle contenido.
Eliminar una unidad organizativa en la interfaz gráfica de Windows Server 2019.
3.8. El Centro de Administración de Active Directory en
Windows Server
El Centro de Administración de Active Directory (ADAC) es una herramienta que
basa su funcionamiento en PowerShell y permite administrar, mediante una
interfaz gráfica de usuario, multitud de aspectos de un directorio. Por ejemplo, los
usuarios, grupos, equipos, unidades organizativas, dominios, controladores, etc.
Incluso puede realizar esta tarea sobre varios dominios de forma centralizada.

Una de sus características más interesantes es su diseño modular, con paneles

personalizables en los que podemos incluir la mayoría de las tareas que
necesitemos. Además, incluye ejemplos de las tareas más habituales e información
sobre el modo de resolver diferentes situaciones.

Después de leer esto, puede que aún pienses que el Centro de administración de
Active Directory no te ofrece mucho más de lo que ya tenías, pero quizás cambies
de opinión si sigues leyendo…

Para ver cómo funciona, explicaremos los pasos a seguir para crear desde aquí una
nueva cuenta de usuario. Como es de esperar, comenzaremos por abrir el
Administrador del servidor y desplegar el menú Herramientas.

En su interior, elegimos la opción Centro de administración de Active Directory.

Verás que aparece, de forma inmediata, una nueva ventana con el título Centro de
administración de Active Directory.

En el panel izquierdo se muestran las diferentes categorías y en el derecho, un

acceso sencillo a una gran cantidad de información sobre el funcionamiento
Centro de administración de Active Directory.

Para acceder a los diferentes objetos del dominio, sólo hay que hacer clic sobre su
nombre en el panel izquierdo. Observa que además aparecen las categorías
Usuarios y grupos propios y Users. El motivo es que ya se habían utilizado
recientemente y el Centro de administración de Active Directory lo recuerda.

En cualquier caso, en el panel derecho aparecerán todos los objetos relacionados.

Bastará con hacer clic sobre Usuarios y grupos propios (la Unidad organizativa que
habíamos creado en artículos anteriores) para acceder a su contenido.

Para iniciar la creación del nuevo usuario, hacemos clic con el botón derecho del
ratón sobre cualquier espacio libre del panel central.

En el menú de contexto que aparece, elegimos Nuevo y, a continuación, Usuario.

Al hacerlo, la pantalla muestra un formulario vacío donde debemos rellenar los
datos de la nueva cuenta de usuario.

Como puedes observar, a diferencia de lo que ocurría en Usuarios y equipos de

Active Directory, aquí podemos incluir desde el principio todos los datos de la
cuenta.

El panel izquierdo nos facilita el acceso rápido a cada una de las secciones que
forman la ficha completa del usuario.
Por ejemplo, podemos utilizar el enlace Horas de inicio de sesión para establecer
en qué momentos de la semana podrá usar la cuenta el usuario que estamos
creando.

Aparecerá una ventana con un funcionamiento idéntico al que ya conocemos.

Como puedes imaginar, también podríamos haber utilizado la sección Miembro de,
Configuración de contraseña o Perfil para ajustar todos los aspectos necesarios de
la cuenta.

Por último, cuando hayamos terminado, hacemos clic sobre el botón Aceptar.

De vuelta en la pantalla principal del Centro de administración de Active Directory

podemos comprobar que el usuario se ha creado correctamente.

Observa que en la parte inferior del panel central obtenemos la información

resumida de la cuenta que tengamos seleccionada en la parte de arriba.

Además, en el panel derecho tenemos las tareas más frecuentes que se pueden hacer
con una cuenta de usuario.
Y para terminar, una pequeña sorpresa: Si observas la parte inferior de la ventana,
se puede leer el texto HISTORIAL DE WINDOWS POWERSHELL y a la derecha, un
pequeño botón que apunta hacia arriba. Si haces clic sobre él, tendrás acceso a los
cmdlets que ha aplicado el Centro de administración de Active Directory para
realizar las tareas que le hemos ido encomendando.

De esta forma, los más novatos en PowerShell pueden usar esta información como
referencia para aplicarlos en los servidores sin interfaz gráfica o para crear sus
propios scripts.

Incluso disponemos de una opción Copiar para obtener una copia en el portapapeles.