# Usuarios y grupo por defectos en AD

En un entorno de Active Directory (AD), hay varios grupos y usuarios predeterminados que son creados durante la instalación. Estos grupos y usuarios tienen diferentes niveles de privilegios que permiten realizar ciertas tareas dentro del dominio.

## <mark style="color:red;">**Grupos predeterminados de Active Directory:**</mark>

1. <mark style="color:red;">**Domain Admins:**</mark> Este grupo tiene control total sobre todos los dominios en el bosque. Cualquier usuario que sea miembro de este grupo puede realizar cualquier cambio en el dominio, como crear o eliminar otros usuarios, grupos y modificar políticas de seguridad.
2. <mark style="color:red;">**Enterprise Admins:**</mark> Los miembros de este grupo tienen permisos para realizar cambios a nivel de toda la empresa, incluidos todos los dominios y bosques.
3. <mark style="color:red;">**Schema Admins:**</mark> Los usuarios en este grupo pueden hacer cambios en el esquema de AD, que es la definición de objetos y atributos que pueden ser creados y almacenados en AD.
4. <mark style="color:red;">**Account Operators:**</mark> Pueden administrar las cuentas de usuario y grupos dentro de un dominio, pero no pueden modificar los miembros de los grupos de administradores ni cambiar la configuración de los servidores de dominio.
5. <mark style="color:red;">**Backup Operators:**</mark> Pueden realizar copias de seguridad y restaurar archivos en un servidor, independientemente de los permisos de acceso a esos archivos.
6. <mark style="color:red;">**Server Operators:**</mark> Pueden realizar tareas de mantenimiento en servidores de dominio.
7. <mark style="color:red;">**Guests:**</mark> Es un grupo que por defecto tiene privilegios mínimos, y generalmente se utiliza para proporcionar acceso temporal o limitado a la red.
8. <mark style="color:red;">**DNS Admins:**</mark> Es un grupo especial que tiene privilegios administrativos sobre el servicio DNS del dominio.&#x20;

## <mark style="color:red;">**Usuarios predeterminados de Active Directory:**</mark>

1. <mark style="color:red;">**Administrator:**</mark> La cuenta de administrador del dominio que tiene acceso total a todos los servidores y estaciones de trabajo del dominio.
2. <mark style="color:red;">**Guest:**</mark> Una cuenta de usuario que tiene privilegios limitados, generalmente deshabilitada por defecto.

## <mark style="color:red;">**Impacto de la Compromisión de Cuentas Privilegiadas:**</mark>

Si un atacante compromete una cuenta perteneciente a uno de los grupos privilegiados, como Domain Admins o Enterprise Admins, podría tener impactos severos en la seguridad de la red. Por ejemplo:

* <mark style="color:red;">**Compromiso de Domain Admins:**</mark> El atacante podría crear cuentas de usuario adicionales para acceso persistente, cambiar políticas de seguridad, acceder a datos confidenciales, implementar malware en toda la red, tomar control de otros servidores y estaciones de trabajo, y más.
* <mark style="color:red;">**Compromiso de Enterprise Admins:**</mark> Este nivel de acceso podría permitir al atacante afectar múltiples dominios dentro del bosque de AD, potencialmente dándoles el control sobre toda la infraestructura de IT de la empresa.
* <mark style="color:red;">**Compromiso de Schema Admins:**</mark> El atacante podría modificar el esquema de AD, lo que puede tener un impacto duradero y posiblemente irreversible en la estructura del directorio y la interoperabilidad de los servicios basados en AD.
* <mark style="color:red;">**Compromiso de Account Operators:**</mark> Aunque no pueden cambiar cuentas de administradores, podrían alterar otras cuentas y grupos, posiblemente creando puertas traseras para ellos mismos.
* <mark style="color:red;">**Compromiso de Backup Operators:**</mark> Podrían utilizar sus privilegios para copiar datos confidenciales o alterar/eliminar respaldos para impedir la recuperación después de un incidente.

En todos estos casos, la detección y respuesta rápida son esenciales para mitigar el daño. La implementación de la menor cantidad de privilegios necesarios, la monitorización de las cuentas privilegiadas y la utilización de medidas de seguridad adicionales como la autenticación multifactor y el análisis de comportamiento son prácticas recomendadas para reducir el riesgo de compromiso.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cpad/introduccion-a-directorio-activo-ad/usuarios-y-grupo-por-defectos-en-ad.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.