Configuración de directiva de grupo utilizada en la autenticación de Windows
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
En este tema de referencia para el profesional de TI se describe el uso y el impacto de la configuración de directiva de grupo en el proceso de autenticación.
Puede administrar la autenticación en sistemas operativos Windows agregando cuentas de usuario, equipo y servicio a grupos y, a continuación, aplicando directivas de autenticación a esos grupos. Estas directivas se definen como directivas de seguridad locales y como plantillas administrativas, también conocidas como configuración de directiva de grupo. Ambos conjuntos se pueden configurar y distribuir en toda la organización mediante la directiva de grupo.
Nota
Las características introducidas en Windows Server 2012 R2 permiten configurar directivas de autenticación para aplicaciones o servicios de destino, normalmente denominados silos de autenticación, mediante cuentas protegidas. Para obtener información sobre cómo hacerlo en Active Directory, consulte Cómo configurar cuentas protegidas.
Por ejemplo, puede aplicar las siguientes directivas a grupos, en función de su función en la organización:
Iniciar sesión localmente o en un dominio
Inicio de sesión a través de una red
Restablecer cuentas
Creación de cuentas
En la tabla siguiente se enumeran los grupos de directivas pertinentes para la autenticación y se proporcionan vínculos a documentación que pueden ayudarle a configurar esas directivas.
| Grupo de directivas | Ubicación | Descripción |
|---|---|---|
| Directiva de contraseñas | Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas de la cuenta | Las directivas de contraseña afectan a las características y el comportamiento de las contraseñas. Las directivas de bloqueo de cuenta se usan para las cuentas de usuario local o de dominio. Estas directivas determinan la configuración de contraseñas, como la duración y la aplicación. Para obtener información sobre la configuración específica, consulte la directiva de contraseñas. |
| Directiva de bloqueo de cuentas | Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas de la cuenta | Las opciones de directiva de bloqueo de cuenta deshabilitan las cuentas después de un número establecido de intentos de inicio de sesión erróneos. El uso de estas opciones puede ayudarle a detectar y bloquear intentos de comprometer las contraseñas. Para obtener información sobre las opciones de directiva de bloqueo de cuenta, consulte Directiva de bloqueo de cuenta. |
| Directiva Kerberos | Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas de la cuenta | La configuración relacionada con Kerberos incluye la duración de los vales y las reglas de cumplimiento. La directiva Kerberos no se aplica a las bases de datos de cuentas locales porque el protocolo de autenticación Kerberos no se usa para autenticar cuentas locales. Por lo tanto, la configuración de la directiva Kerberos solo se puede configurar mediante el objeto de directiva de grupo (GPO) de dominio predeterminado, donde afecta a los inicios de sesión de dominio. Para obtener información sobre las opciones de directiva de Kerberos para el controlador de dominio, consulte Directiva de Kerberos. |
| Directiva de auditoría | Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría | La directiva de auditoría le permite controlar y comprender el acceso a objetos, como archivos y carpetas, y administrar cuentas de usuario y grupos, así como inicios de sesión e inicios de sesión de usuario. Las directivas de auditoría pueden especificar las categorías de eventos que desea auditar, establecer el tamaño y el comportamiento del registro de seguridad y determinar qué objetos desea supervisar y qué tipo de acceso desea supervisar. |
| Asignación de derechos de usuario | Directiva de equipo local\Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario | Normalmente, los derechos de usuario se asignan sobre la base de los grupos de seguridad a los que pertenece un usuario, como administradores, usuarios avanzados o usuarios. La configuración de directiva de esta categoría se usa normalmente para conceder o denegar permiso para acceder a un equipo en función del método de acceso y pertenencia a grupos de seguridad. |
| Opciones de seguridad | Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad | Entre las directivas relevantes para la autenticación se incluyen: - Devices (Dispositivos) |
| Delegación de credenciales | Configuración del equipo\Plantillas administrativas\Sistema\Delegación de credenciales | La delegación de credenciales es un mecanismo que permite usar las credenciales locales en otros sistemas, especialmente en servidores miembros y controladores de dominio dentro de un dominio. Esta configuración se aplica a las aplicaciones mediante el proveedor de soporte técnico de seguridad de credenciales (SSP cred). Un ejemplo sería la conexión a Escritorio remoto. |
| KDC | Configuración del equipo\Plantillas administrativas\Sistema\KDC | Esta configuración de directiva afecta a cómo el Centro de distribución de claves (KDC), que es un servicio en el controlador de dominio, controla las solicitudes de autenticación Kerberos. |
| Kerberos | Configuración del equipo\Plantillas administrativas\Sistema\Kerberos | Esta configuración de directiva afecta a cómo se configura Kerberos para controlar la compatibilidad con notificaciones, protección Kerberos, autenticación compuesta, identificación de servidores proxy y otras configuraciones. |
| Iniciar sesión | Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión | Esta configuración de directiva controla cómo el sistema presenta la experiencia de inicio de sesión para los usuarios. |
| Net Logon | Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión en red | Esta configuración de directiva controla cómo maneja el sistema las solicitudes de inicio de sesión de red, incluido el comportamiento del localizador de controladores de dominio. Para obtener más información sobre cómo encaja el localizador de controladores de dominio en los procesos de replicación, consulte Descripción de la replicación entre sitios. |
| Biometría | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Biometría | Esta configuración de directiva generalmente permite o deniega el uso de biometría como método de autenticación. Para obtener información sobre la implementación de Windows de la biometría, consulte la información general sobre la Plataforma de biometría de Windows. |
| Interfaz de usuario de credenciales | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Interfaz de usuario de credenciales | Esta configuración de directiva controla cómo se administran las credenciales en el punto de entrada. |
| Sincronización de contraseñas | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Sincronización de contraseña | Esta configuración de directiva determina cómo administra el sistema la sincronización de contraseñas entre sistemas operativos basados en Windows y UNIX. Para obtener más información acerca de la sincronización de contraseña, consulte. |
| Tarjeta inteligente | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Tarjeta inteligente | Esta configuración de directiva controla cómo el sistema administra los inicios de sesión de tarjetas inteligentes. |
| Opciones de inicio de sesión de Windows | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Opciones de inicio de sesión de Windows | Esta configuración de directiva controla cuándo y cómo están disponibles las oportunidades de inicio de sesión. |
| Opciones Ctrl+Alt+Supr | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Opciones Ctrl+Alt+Supr | Esta configuración de directiva afecta a la apariencia y accesibilidad a las características de la interfaz de usuario de inicio de sesión (escritorio seguro), como el Administrador de tareas y el bloqueo de teclado del equipo. |
| Iniciar sesión | Configuración del equipo\Plantillas administrativas\Componentes de Windows\Inicio de sesión | Esta configuración de directiva determina si o qué procesos se pueden ejecutar cuando el usuario inicia sesión. |