Unidad 3 - Administración de usuarios y grupos

Estudio completo sobre autenticación, Active Directory, usuarios locales y de dominio, perfiles móviles, GPOs, delegación de tareas y administración profesional de identidades en entornos Windows corporativos.

⏱ Tiempo estimado por bloque: 20-30 minutos

3.1 Gestión de identidades y accesos

La gestión de identidades y accesos determina:

Quién puede acceder
A qué recursos puede acceder
Qué acciones puede realizar
Qué permisos tiene cada usuario

Objetivos principales

Objetivo	Descripción
Autenticación	Verificar identidad
Autorización	Asignar permisos
Auditoría	Registrar actividades
Seguridad	Proteger recursos

Tipos de autenticación

Contraseña
Tarjeta inteligente
MFA
Biometría

💡 Active Directory es la base de autenticación empresarial en Windows.

⚠ Pregunta trampa: Autenticación y autorización NO son lo mismo.

Mini-Test

1. ¿Qué proceso verifica identidad?

3.2 Cuentas locales

Las cuentas locales se almacenan en la base SAM (Security Account Manager) del propio equipo.

Características

Independientes por ordenador
No requieren dominio
Administración descentralizada
Uso doméstico o pequeños entornos

Ventajas

Simplicidad
No dependen de red
Funcionan sin servidor

Problemas

Duplicar usuarios en varios equipos
Contraseñas distintas
Gestión compleja
Menor control corporativo

lusrmgr.msc

Abre Usuarios y grupos locales.

⚠ Una cuenta local NO existe en otros equipos.

Mini-Test

1. ¿Dónde se almacenan usuarios locales?

3.3 Cuentas de dominio

Las cuentas de dominio se gestionan desde un Controlador de Dominio mediante Active Directory.

Ventajas

Inicio de sesión único
Gestión centralizada
Aplicación de políticas globales
Mayor seguridad

Elemento	Función
DC	Controlador de dominio
AD	Base de identidades
GPO	Políticas de seguridad
OU	Organización lógica

Funcionamiento

El usuario puede iniciar sesión en cualquier PC del dominio con las mismas credenciales.

💡 Si un usuario deja la empresa, basta con desactivar su cuenta AD.

Mini-Test

1. ¿Qué servicio centraliza autenticación?

3.4 Gestión de contraseñas y bloqueo

Políticas de contraseña

Longitud mínima
Complejidad
Caducidad
Historial

Bloqueo de cuentas

Protege frente a ataques de fuerza bruta.

Política	Ejemplo
Intentos fallidos	3 intentos
Bloqueo	15 minutos
Complejidad	Mayúsculas + símbolos

MFA

La autenticación multifactor mejora drásticamente la seguridad.

⚠ Contraseña compleja ≠ seguridad total.

💡 MFA es obligatorio en entornos modernos.

Mini-Test

1. ¿Qué evita fuerza bruta?

3.5 Active Directory en entornos corporativos

AD centraliza usuarios, grupos, políticas, equipos y permisos.

Objetos importantes

Usuarios
Equipos
Grupos
Impresoras
OUs

Beneficios empresariales

Ventaja	Impacto
Centralización	Menos trabajo manual
Seguridad	Políticas globales
Escalabilidad	Miles de usuarios
Auditoría	Trazabilidad

💡 Las GPOs automatizan configuraciones masivas.

Mini-Test

1. ¿Qué almacena AD además de usuarios?

3.6 Herramientas clave

lusrmgr.msc

Gestiona usuarios locales.

net user

net user alumno /add net user alumno * net user alumno /delete

dsa.msc

Usuarios y equipos de Active Directory.

gpmc.msc

Administración de políticas de grupo.

Herramienta	Uso
lusrmgr.msc	Usuarios locales
dsa.msc	AD
gpmc.msc	GPOs
net user	Línea de comandos

💡 PowerShell es clave en automatización empresarial.

Mini-Test

1. ¿Qué consola administra GPOs?

3.7 Perfiles móviles (Roaming Profiles)

Los perfiles móviles almacenan configuraciones de usuario en un servidor central.

Funcionamiento

Inicio de sesión
Descarga perfil
Trabajo normal
Sincronización al cerrar sesión

Ventajas

Mismo entorno en cualquier PC
Movilidad
Configuración centralizada

Problemas típicos

Perfiles muy pesados
Sincronización lenta
Corrupciones

⚠ No guardar gigas en el Escritorio.

💡 Usar redirección de carpetas mejora muchísimo el rendimiento.

Mini-Test

1. ¿Dónde se almacenan perfiles móviles?

3.8 Perfiles obligatorios (Mandatory Profiles)

Son perfiles móviles de solo lectura.

Funcionamiento

Los cambios no se guardan
Cada sesión empieza limpia
Ideal para aulas y kioscos

Implementación

NTUSER.DAT → NTUSER.MAN

Ventajas

Menor mantenimiento
Mayor estabilidad
Protección frente a malware

💡 Muy utilizados en universidades y cibercafés.

⚠ Los usuarios NO conservan personalización.

Mini-Test

1. ¿Qué archivo convierte un perfil en obligatorio?

3.9 Scripts de inicio de sesión

Los logon scripts automatizan tareas al iniciar sesión.

Funciones típicas

Mapear unidades
Asignar impresoras
Lanzar aplicaciones
Mostrar mensajes

Ejemplo

@echo off net use Z: \\Servidor\Recursos echo Bienvenido

Ubicación

NETLOGON

Los scripts suelen almacenarse allí.

💡 GPP es una alternativa moderna a scripts clásicos.

Mini-Test

1. ¿Qué comando mapea unidades?

3.10 OUs, grupos y delegación

OUs

Contenedores lógicos para organizar objetos.

Usuarios
Equipos
Impresoras
Departamentos

Grupos

Grupo	Uso
Seguridad	Permisos
Distribución	Correo

Delegación

Permite asignar tareas limitadas sin otorgar privilegios globales.

Tipos de grupos

Global
Local de dominio
Universal

⚠ OUs y grupos NO son lo mismo.

💡 AGDLP es la metodología profesional recomendada.

Mini-Test

1. ¿Qué sirve para organizar objetos?

2. ¿Qué asigna permisos?

3.11 Herramientas y consejos

PowerShell

New-ADUser New-ADGroup Set-ADUser

Consejos profesionales

Aplicar principio de mínimo privilegio
Usar MFA
Centralizar autenticación
Documentar delegaciones
Evitar permisos directos

Principio AGDLP

Sigla	Significado
A	Accounts
G	Global Groups
DL	Domain Local
P	Permissions

💡 Los permisos deben darse a grupos, no a usuarios individuales.

⚠ Dar permisos directos complica auditorías y mantenimiento.

Mini-Test Final

1. ¿Qué principio organiza permisos en AD?

2. ¿Qué herramienta moderna administra AD?