Qué es un objeto en Active Directory?

Como se mencionó anteriormente, en Active Directory un objeto puede definirse como cualquier recurso almacenable dentro del entorno, como usuarios, computadoras, unidades organizativas (OUs), controladores de dominio, entre otros.

A continuación se presentan los objetos más relevantes al momento de comenzar a aprender sobre Active Directory, junto con sus respectivas definiciones:

• Users: En Active Directory, los usuarios son entidades de seguridad consideradas objetos hoja, lo que significa que no pueden contener otros objetos. Tienen un identificador de seguridad (SID) y un identificador global único (GUID). Los objetos de usuario incluyen varios atributos como el nombre, la fecha del último inicio de sesión, la dirección de correo electrónico, la descripción de la cuenta, entre otros, y pueden tener miles de atributos posibles dependiendo de la configuración del entorno. Son objetivos clave para los atacantes, ya que acceder incluso a un usuario con pocos privilegios puede otorgar acceso a múltiples recursos y facilitar la enumeración del dominio o del bosque.

• Computers: Un objeto de computadora en Active Directory es cualquier computadora conectada a la red, ya sea una estación de trabajo o un servidor. Al igual que los usuarios, son objetos hoja y tienen un SID y un GUID. Son objetivos clave para los atacantes, ya que obtener acceso administrativo completo a una computadora (como la cuenta NT AUTHORITY\SYSTEM) otorga privilegios similares a los de un usuario estándar del dominio.

• Groups: Un grupo en Active Directory es un contenedor que puede incluir usuarios, computadoras e incluso otros grupos. Actúa como una entidad de seguridad con un SID y un GUID, y se utiliza para gestionar permisos de acceso. Por ejemplo, en lugar de asignar permisos a usuarios individuales, se puede agregar un grupo y los usuarios heredarán esos permisos. Los grupos anidados (grupos dentro de otros grupos) son comunes en AD y pueden resultar en permisos no deseados.

• OU (Organizational Unit): Es una forma de organizar lógicamente los objetos (como usuarios o grupos) dentro de Active Directory. Permite delegar tareas administrativas específicas sin otorgar acceso completo a todo el sistema. Por ejemplo, un administrador puede delegar únicamente los restablecimientos de contraseña a un departamento sin afectar a toda la empresa. Las OUs también ayudan a aplicar políticas específicas, como reglas de contraseñas, a grupos de usuarios.

• Domain Controller: Son el cerebro de una red de Active Directory (AD). Se encargan de la autenticación de usuarios, controlan el acceso a los recursos, aplican políticas de seguridad y gestionan la información de todos los objetos del dominio.