Control de acceso en Active Directory

Los administradores pueden utilizar el control de acceso para administrar el acceso de usuarios a recursos compartidos por motivos de seguridad. En Active Directory, el control de acceso se administra en el nivel de objetos, por medio de la configuración de distintos niveles de acceso, o de permisos a los objetos, como Control total, Escribir, Leer o Sin acceso. El control de acceso en Active Directory define cómo pueden utilizar los objetos de Active Directory los distintos usuarios. Los permisos de objetos en Active Directory están establecidos de forma predeterminada en la configuración más segura.

Entre los elementos que definen los permisos de control de acceso de los objetos de Active Directory, figuran los descriptores de seguridad, la herencia de objetos y la autenticación de usuarios.

Los permisos de control de acceso se asignan a objetos compartidos y a objetos de Active Directory para controlar el uso que pueden hacer los distintos usuarios de cada objeto. Un objeto compartido, o recurso compartido, es un objeto destinado a ser usado en una red por uno o varios usuarios, como archivos, impresoras, carpetas y servicios. Tanto los objetos compartidos como los objetos de Active Directory almacenan los permisos de control de acceso en descriptores de seguridad.

Un descriptor de seguridad contiene dos listas de control de acceso (ACL) que sirven para asignar y realizar un seguimiento de información de seguridad para cada objeto: la lista de control de acceso discrecional (DACL) y la lista de control de acceso al sistema (SACL).

• Listas de control de acceso discrecional (DACL). Las DACL identifican los usuarios y grupos que tienen asignados o denegados permisos de acceso a un objeto. Si una DACL no especifica un usuario de forma explícita, o los grupos a los que pertenece el usuario, se denegará el acceso a ese objeto al usuario. De forma predeterminada, una DACL la controla el propietario de un objeto o la persona que creó el objeto y contiene entradas de control de acceso (ACE) que determinan el acceso del usuario al objeto.
  
  
• Listas de control de acceso al sistema (SACL). Las SACL identifican los usuarios y los grupos que desea auditar cuando consiguen o no consiguen obtener acceso a un objeto. La auditoría sirve para supervisar sucesos relacionados con la seguridad del sistema o de la red, para identificar infracciones de seguridad y para determinar el alcance y la ubicación de los daños. De forma predeterminada, una SACL la controla el propietario de un objeto o la persona que creó el objeto. Una SACL contiene entradas de control de acceso (ACE) que determinan si se deben registrar intentos satisfactorios o insatisfactorios de acceso a un objeto por parte de un usuario con un permiso determinado, como por ejemplo, Control total y Leer.
  
  Para obtener más información acerca de la auditoría, vea Configuración de la auditoría en objetos.
  
  

Para ver las DACL y las SACL de objetos de Active Directory mediante Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características avanzadas para obtener acceso a la ficha Seguridad de cada objeto. Para obtener más información, vea Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory. También puede utilizar la herramienta de soporte DSACLS para administrar listas de control de acceso en Active Directory. Para obtener más información, vea Herramientas de soporte de Active Directory.

Las DACL y las SACL están asociadas de forma predeterminada con todos los objetos de Active Directory, lo que reduce los ataques en la red por parte de usuarios malintencionados o cualquier error accidental de usuarios del dominio. No obstante, si un usuario malintencionado obtiene un nombre de usuario y una contraseña de una cuenta con credenciales administrativas en Active Directory, su bosque será vulnerable a ataques. Por esta razón, deberá considerar la posibilidad de cambiar el nombre o deshabilitar la cuenta de administrador predeterminada y seguir las prácticas recomendadas descritas en Prácticas recomendadas de Active Directory.

Los objetos de Active Directory heredan ACE de forma predeterminada del descriptor de seguridad que se encuentra ubicado en su objeto de contenedor principal. La herencia permite aplicar la información de control de acceso definida en un objeto de contenedor de Active Directory a los descriptores de seguridad de cualquier objeto subordinado, incluidos otros contenedores y sus objetos. Esto elimina la necesidad de aplicar permisos cada vez que se crea un objeto secundario. Puede modificar los permisos heredados en caso necesario. No obstante, la práctica recomendada es evitar cambiar los permisos predeterminados o la configuración de herencia de objetos de Active Directory. Para obtener más información, vea Prácticas recomendadas para asignar permisos de objetos de Active Directory y Cambiar los permisos heredados.

Active Directory también autentica y autoriza usuarios, grupos y equipos para que tengan acceso a objetos de la red. La Autoridad de seguridad local (LSA) es el subsistema de seguridad responsable de toda la autenticación interactiva de usuarios y de los servicios de autenticación de un equipo local. La LSA sirve también para procesar solicitudes de autenticación realizadas por medio del protocolo Kerberos V5 o el protocolo NTLM en Active Directory. Para obtener más información acerca de la autenticación Kerberos, vea Autenticación Kerberos V5. Para obtener más información acerca de la autenticación NTLM, vea Autenticación NTLM.

Una vez confirmada en Active Directory la identidad de un usuario, la LSA del controlador de dominio de autenticación genera un testigo de acceso de usuario y asocia un Id. de seguridad (SID) al usuario.

• Testigo de acceso. Cuando se autentica un usuario, la LSA crea un testigo de acceso de seguridad para el usuario. El testigo de acceso contiene el nombre del usuario, los grupos a los que pertenece el usuario, un SID para el usuario y todos los SID de los grupos a los que pertenece el usuario. Si agrega un usuario a un grupo tras la emisión del testigo de acceso de usuario, el usuario deberá cerrar la sesión y volver a iniciarla para que se actualice el testigo de acceso.
  
  
• Id. de seguridad (SID). Active Directory asigna SID de forma automática a objetos de la entidad principal de seguridad en el momento de su creación. Las entidades principales de seguridad son cuentas de Active Directory a las que se pueden asignar permisos, como por ejemplo, las cuentas de equipo, grupo o usuario. Una vez emitido un SID para el usuario autenticado, se adjunta al testigo de acceso del usuario.
  
  

La información del testigo de acceso sirve para determinar el nivel de acceso a objetos del usuario cuando el usuario intenta obtener acceso a ellos. Los SID del testigo de acceso se comparan con la lista de SID que conforman la DACL del objeto para garantizar que el usuario tenga permisos suficientes para obtener acceso al objeto. Esto se debe a que el proceso de control de acceso identifica las cuentas de usuario por SID en lugar de por nombre.

Importante

• Cuando un controlador de dominio proporciona un testigo de acceso a un usuario, el testigo de acceso contiene solamente información acerca de la pertenencia a grupos locales de dominio si los grupos locales de dominio pertenecen al dominio del controlador de dominio. En el caso de objetos de directorio replicados en el catálogo global, se requerirían entonces ciertas consideraciones de seguridad. Si desea obtener más información, vea Replicación del catálogo global.
  
  

Para obtener más información acerca de la autenticación, vea "Inicio de sesión y autenticación" ("Logon and Authentication") en el sitio Web de kits de recursos de Microsoft Windows.

Para obtener más información acerca de los permisos y el control de acceso, vea Introducción al control de acceso. Para obtener más información acerca de la autorización y el control de acceso, vea "Autorización y control de acceso" en el sitio Web de Kits de recursos de Microsoft Windows.

Para obtener información acerca de las medidas de seguridad adicionales que se pueden implementar para proteger Active Directory, vea Proteger Active Directory e Información de seguridad para Active Directory.