Gestión de usuarios.

Gestin de usuarios.

http://informatica.iescuravalera.es/iflica/gtfinal/libro/x3697.html[20/03/2012 10:57:11 p.m.]

INSTALACIN FSICA Y LGICA DE UNA RED CABLEADA E INALMBRICA EN UN AULA:Anterior Captulo 22. Windows 2000 Server instalacin y configuracin de Active Directory. Siguiente

Gestin de usuarios.

Creacin de cuentas de usuario.

Cada persona que tenga acceso a la red requerir una cuenta deusuario. Una cuenta de usuario hace posible:

Autentificar la identidad de la persona que se conecta a la red.

Controlar el acceso a los recursos del dominio.

Auditar las acciones realizadas utilizando la cuenta.

Windows 2000 slo crea dos cuentas predefinidas: la cuentaAdministrador, que otorga al usuario todos los derechos y permisos, yla cuenta Invitado, que tiene derechos limitados. El resto de lascuentas las crea un administrador y son cuentas de dominio (vlidas alo largo de todo el dominio de forma predeterminada) o cuentaslocales (utilizables slo en la mquina donde se crean).

Denominacin de las cuentas de usuario.

En el Active Directory, cada cuenta de usuario tiene un nombreprincipal. El nombre consta de dos partes, el nombre principal deseguridad y el sufijo de nombre principal. Para las nuevas cuentas deusuario de Windows 2000, un administrador asigna el nombreprincipal de seguridad. El sufijo de nombre principal predeterminadoes el nombre DNS del dominio raz en el rbol de dominios. De estaforma un usuario identificado como EduardoP tendra un nombreprincipal tal como [email protected].

Opciones de cuentas.

La planificacin de las opciones de las cuentas de los usuariossimplificar el proceso de creacin de cuentas. Las opciones de lascuentas a considerar incluyen las siguientes:

Figura 22-21. Pantalla para la configuracin de usuarios.

Gestin de usuarios.


Horas de inicio de sesin: De forma predeterminada, un usuariopuede iniciar sesin a cualquier hora del da o de la noche. Porrazones de seguridad, se podra restringir el acceso a algunos o atodos los usuarios a ciertas horas del da o a ciertos das de lasemana.

Iniciar sesin en: De forma predeterminada, los usuarios puedeniniciar sesin en todas las estaciones de trabajo. Por razones deseguridad se puede limitar el acceso para iniciar sesin a unamquina o mquinas en particular si se dispone del protocoloNetBIOS instalado en el dominio. Sin NetBIOS, Windows 2000es incapaz de determinar la ubicacin de un inicio de sesinespecifico.

Caducidad de la cuenta: Se puede decidir si se desea establecerque las cuentas caduquen. Por razones obvias, tiene sentidoestablecer una fecha de caducidad para empleados temporales deforma que coincida con el fin de sus contratos.

Las tres opciones que se han enumerado aqu son las que muyposiblemente se apliquen a un gran nmero de usuarios.

Creacin de cuentas de usuario del dominio.

Las cuentas de usuario del dominio se pueden crear en el contenedorUsers o en algn otro contenedor u OU creada para almacenarcuentas de usuario del dominio. Para aadir una cuenta de usuario deldominio hay que seguir estos pasos:

Abrir Usuarios y equipos de Active Directory desde el menHerramientas administrativas.

Resaltar el nombre del dominio y, en el men Accin, apuntar aNuevo y escoger despus Usuario.

Nombre, Iniciales y Apellidos: Un nombre de usuario nopuede coincidir con otro nombre de usuario o de grupo en elequipo que est administrando. Puede contener hasta 20caracteres, en maysculas o minsculas, excepto los

Gestin de usuarios.


siguientes: " / [ ] : ; | = , + * ?

Nombre completo: se rellena automticamente. El nombrecompleto debe ser nico en la OU donde se crea el usuario.

Nombre de inicio de sesin de usuario: Hay que proporcionarel nombre de inicio de sesin de usuario basado en unconvenio de denominacin que previamente se ha tenido queestablecer. Este nombre debe ser nico en el ActiveDirectory. El nombre de inicio de sesin anterior a Windows2000 se rellena automticamente. Este es el nombre utilizadopara iniciar sesin desde equipos que ejecutan sistemasoperativos Windows como Windows NT. Pulsar Siguiente.

Contrasea y Confirmar contrasea: Se puede escribir unacontrasea que contenga hasta 127 caracteres. Sin embargo, siutiliza Windows 2000 en una red que tambin contiene equiposcon Windows 95 Windows 98, considere el uso de contraseascon menos de 14 caracteres. Windows 95 y Windows 98 admitencontraseas de hasta 14 caracteres. Si la contrasea es ms largano se podr iniciar sesin en la red desde estos equipos.

Figura 22-22. Pantalla de introduccin de contraseas.

Una buena contrasea tiene las siguientes caractersticas:

No es una rotacin de los caracteres de un nombre de inicio desesin.

Contiene al menos dos caracteres alfabticos y uno no alfabtico.

Tiene una longitud de al menos seis caracteres.

No es el nombre o las iniciales del usuario, las iniciales de sushijos, otro dato significativo o cualquiera de esos elementoscombinado con otra informacin personal comnmente disponiblecomo la fecha de nacimiento, el nmero de telfono o el nmero

Gestin de usuarios.


de matricula.

Entre las mejores contraseas se encuentran los acrnimosalfanumricos de frases que tienen un significado para el usuario peroque no es probable que conozcan otros. Esto hace que la contraseasea fcil de recordar para el usuario, mientras que al mismo tiemposea difcil de adivinar por una persona de fuera.

Conviene educar a los usuarios sobre las contraseas y su privacidad,pero, sobre todo, merece la pena hacer caso de los propios consejos:hay que asegurarse de que la contrasea seleccionada paraadministracin es una buena contrasea y cambiarla frecuentemente.Hacer esto ayudara a evitar las consecuencias de que alguien seintroduzca en el sistema y cause estragos. Si los usuarios seconectaran telefnicamente a la red desde casa a otros sitios remotos,debera incluirse ms seguridad que la autorizacin por contrasea denivel de dominio.

Los administradores deberan tener dos cuentas en el sistema: unacuenta administrativa y una cuenta de usuario normal. Se deberautilizar la cuenta de usuario normal a menos que se estn realizandotareas administrativas. A causa de los privilegios asociados a lascuentas administrativas, son un objetivo primario para los intrusos.

Directivas de contraseas:

El usuario debe cambiar la contrasea en el siguiente iniciode sesin: Normalmente se selecciona para que el usuariocontrole la contrasea y no la conozca el Usuario que le hadado de alta.

El usuario no puede cambiar la contrasea: Cuando pornecesidades de seguridad la contrasea debe ser controladapor el administrador.

La contrasea nunca caduca: Si seleccionamos esta casilla,no se aplicarn las restricciones de caducidad de contrasea aesta cuenta.

Cuenta deshabilitada: Deshabilita cuentas quemomentneamente no se necesitan en la red. Tambin puedeseleccionarse automticamente debido a las restricciones deseguridad impuestas por el Administrador. Pulsar Siguiente.

Se abre una pantalla de confirmacin, mostrando los detalles de lacuenta que se va a crear. Si los detalles son correctos, hay quepulsar Finalizar. En otro caso, se puede utilizar el botn Atrspara realizar correcciones.

Creacin de cuentas de usuarios locales.

Una cuenta local no puede acceder al dominio y, por lo tanto, solotiene acceso a los recursos del equipo donde se crea y utiliza. Paracrear una cuenta de usuario local hay que seguir estos pasos:

Pulsar con el botn derecho del ratn en Mi PC y escoger

Gestin de usuarios.


administrar en el men contextual.

En el rbol de la consola, hay que pulsar Usuarios locales ygrupos. Pulsar con el botn derecho del ratn en Usuarios yescoger Usuario nuevo en el men contextual.

En el cuadro de dilogo Usuario nuevo hay que suministrar elnombre de usuario, el nombre completo y la descripcin.

Proporcionar una contrasea y definir las directivas decontraseas. Pulsar Crear. Las cuentas locales pueden pertenecera grupos creados localmente (en el equipo nico).

Administracin de las cuentas de usuario.

Especialmente en una red grande y ocupada, la gestin de las cuentasde usuario es un proceso continuo de adiciones, eliminaciones ycambios. Aunque estas tareas no son difciles, pueden consumirtiempo y es necesario gestionarlas con cuidado.

Abrir Usuarios y equipos de Active Directory desde el menHerramientas administrativas. Abrir el contenedor que almacena lacuenta de usuario. Seleccionar el Usuario que queremos administrar ypulsar el men Accin. Aparecern las siguientes opciones:

Figura 22-23. Men contextual sobre el objeto usuarios.

Copiar:

Escriba el nombre del usuario en Nombre.

En Apellidos, escriba los apellidos.

Gestin de usuarios.


Modifique Nombre para agregar iniciales o invertir el ordendel nombre y los apellidos.

En Nombre de inicio de sesin de usuario, escriba el nombrecon el que el usuario iniciar una sesin y, en la lista, hagaclic en el sufijo UPN que se debe anexar al nombre de iniciode sesin de usuario, seguido del smbolo arroba (@).

Seleccione las opciones de contrasea que desee.

Si se ha deshabilitado la cuenta de usuario desde la que secopi la nueva cuenta de usuario, haga clic en Cuentadeshabilitada para habilitar la cuenta nueva.

Agregar miembros a un grupo: Si queremos hacer miembro deotro grupo ms al usuario deberemos pulsar esta opcin yseleccionar el grupo y despus Agregar.

Deshabilitar cuenta: Si es necesario desactivar una cuenta deusuario del dominio por algn periodo de tiempo, pero noeliminarla permanentemente, se puede deshabilitar. Si creacuentas deshabilitadas de usuario que pertenezcan a gruposcomunes, puede utilizarlas como plantillas para simplificar lacreacin de cuentas de usuario. Para habilitar una cuentapreviamente deshabilitada, hay que realizar los mismos pasos,escogiendo Habilitar cuenta en el men contextual.

Restablecer contrasea: Para que las contraseas sean efectivas,no deben ser obvias o fciles de adivinar. Sin embargo, cuandolas contraseas no sean obvias o fciles de adivinar, se olvidaraninevitablemente. Cuando un usuario olvida su contrasea, sepuede restablecer. La mejor poltica es restablecerla a una clavesencilla y obligar al usuario a que la cambie la prxima vez queinicie sesin en la red.

Hay que escribir y confirmar la contrasea.

Si desea que el usuario cambie esta contrasea en el siguienteproceso de inicio de sesin, active la casilla de verificacinEl usuario debe cambiar la contrasea en el siguiente iniciode sesin.

Si se cambia la contrasea de la cuenta de usuario de unservicio, deben restablecerse todos los servicios cuyaautenticacin se realice con esa cuenta de usuario.

Mover: Si un usuario pasa a pertenecer a otro grupo o UnidadOrganizativa podemos moverlo pulsando esta opcin. En elcuadro de dilogo Mover, hay que resaltar el contenedor destino ypulsar Aceptar.

Figura 22-24. Men contextual sobre el objeto usuarios.

Gestin de usuarios.


Abrir la pgina principal: Accederemos a la pgina web delusuario si se le ha especificado en la ficha General de laspropiedades de dicho usuario.

Enviar mensaje de correo: Si se le ha especificado una direccinde correo, se abrir el cliente de correo predeterminado paraenviarle un correo electrnico.

Eliminar: Cada cuenta de usuario del dominio tiene unidentificador de seguridad asociado que es nico y nunca sereutiliza, lo que significa que una cuenta eliminada se eliminacompletamente. Si se elimina la cuenta de Jaime y ms tarde secambia de opcin, habr que volver a crear no slo la cuenta, sinolos permisos, la configuracin, las pertenencias a grupos y el restode propiedades que posea la cuenta de usuario original. Por estarazn, si existe alguna duda sobre si una cuenta podra necesitarseen el futuro, es mejor deshabilitarla y no realizar la eliminacinhasta que se este seguro de que no se necesitar de nuevo.

Despus de pulsar en eliminar, aparece un cuadro de dilogoActive Directory, pidiendo confirmacin de la eliminacin. Hayque pulsar Si y se eliminar la cuenta.

Cambiar el nombre: En ocasiones, es necesario cambiar elnombre de una cuenta de usuario. Por ejemplo, si se tiene unacuenta configurada con una coleccin de derechos, permisos ypertenencias a grupos para una posicin particular y una nuevapersona se hace cargo de esa posicin se puede cambiar elnombre, los apellidos y el nombre de inicio de sesin de usuariopara la nueva persona.

Para cambiar el nombre de una cuenta de usuario existente,despus de pulsar el cambiar el nombre se pulsa Aceptar. Secambia el nombre de la cuenta y todos los permisos y el resto dela configuracin permanecen intactos. Si queremos cambiaralguna informacin ms, habr que entrar en la ficha dePropiedades del usuario.

Actualizar: Produce un refresco de la pantalla

Gestin de usuarios.


Propiedades: La ventana Propiedades de un usuario del dominiopuede tener hasta una docena de pestaas, dependiendo de laconfiguracin del dominio. Toda la informacin introducida en laventana Propiedades se puede utilizar como la base de unabsqueda en el Active Directory.

Figura 22-25. Men con las propiedades del objeto usuarios.

Desbloqueo de cuentas de usuario.

Si un usuario viola una directiva de grupo, como exceder el limite deintentos de inicio de sesin fallidos, directiva de grupo bloquear lacuenta. Cuando una cuenta esta bloqueada, no se puede utilizar parainiciar sesin en el sistema. Para desbloquear una cuenta de usuariohay que seguir estos pasos:


En el rbol de la consola hay que pulsar en la OU que contiene lacuenta bloqueada.

Pulsar con el botn derecho del ratn en la cuenta de usuario enel panel de detalles y escoger Propiedades en el men contextual.

En la ventana Propiedades, hay que pulsar en la pestaa Cuenta.

Desactivar la casilla de verificacin junto a La cuenta establoqueada. Pulsar Aceptar.

De forma predeterminada, directiva de grupo no bloquea cuentas acausa de intentos de inicio de sesin fallidos. Se debera crear estaconfiguracin por razones de seguridad.

Propiedades de las cuentas de usuario.

Las pestaas de la ventana Propiedades de una cuenta de Usuario deldominio, son:

Pestaa General.

Documenta el nombre, la descripcin la ubicacin de la oficina, elnmero de telfono, la direccin de correo electrnico y la direccinde la pgina Web del usuario.

Gestin de usuarios.


Pestaa Direccin.

Documenta la direccin fsica del usuario.

Pestaa Cuenta.

Documenta el nombre de inicio de sesin, las restricciones de iniciode sesin, las opciones de la contrasea y si la cuenta caduca.

Pestaa Perfil.

Muestra la ruta de acceso al perfil del usuario, la ruta de acceso decualquier archivo de comandos que se ejecuta en el inicio de sesin, laruta de acceso al directorio principal y cualquier conexin automticade unidades.

Perfil de Usuario:

Ruta de acceso al perfil: Se debe especificar la ruta completade acceso al perfil del usuario.

Archivos de comandos de inicio de Sesin: Se especifica elnombre de la secuencia de comandos de inicio de sesin queva a utilizar esta cuenta de usuario. Las secuencias decomandos de inicio de sesin estn almacenadas en elrecurso compartido NETLOGON, que se encuentra en%systemroot%\SYSVOL\sysvol\[nombre de dominioDNS]\scripts.

Directorio principal:

Ruta de acceso local: Se debe introducir la ruta hacia lacarpeta particular a la que el usuario puede tener acceso yque contiene archivos y programas de dicho usuario. Sepuede asignar una carpeta particular de red a un usuarioindividual o la pueden compartir muchos usuarios. Si no seasigna aqu ninguna carpeta particular de red o local, lacarpeta particular predeterminada se encuentra en la unidaddonde est instalado Windows 2000 en el equipo del usuario.

Conecta: Hay que especificar la letra de unidad que se leproporcionar a esa conexin.

A: En este espacio hay que escribir la ruta de acceso a la red.Para especificar una ruta de acceso de red para el directorioparticular, deber crear primero un recurso compartido yestablecer los permisos que concedan acceso al usuario.Puede hacerlo utilizando carpetas compartidas en otroequipo.

Los directorios o carpetas principales son almacenes que se puedenproporcionar en un servidor de red para los documentos de losusuarios. Situar los directorios principales en un servidor de archivosde la red tiene varias ventajas:

La copia de seguridad de los documentos de usuario esta

Gestin de usuarios.


centralizada.

Los usuarios pueden acceder a sus directorios principales desdecualquier equipo cliente.

Se puede acceder a los directorios principales desde clientes queejecuten cualquier sistema operativo de Microsoft (incluyendoMS-DOS y todas las versiones de Windows).

Los contenidos de los directorios principales no son parte de losperfiles de usuario, por lo que no afectan al trfico de la red durante elinicio de sesin.

Para crear un directorio principal en un servidor de archivos de lared, hay que seguir estos pasos:

Figura 22-26. Pestaa con las propiedades de perfiles de usuario.

En el servidor hay que crear una nueva carpeta para losdirectorios compartidos. Hay que pulsar con el botn derecho delratn en la nueva carpeta y escoger Propiedades en el mencontextual.

Pulsar en la pestaa Compartir y seleccionar Compartir estacarpeta.

Pulsar en la pestaa Seguridad y eliminar el Control totalpredeterminado del grupo Todos y asignar Control total al grupoUsuarios, lo que evitar que nadie excepto las cuentas de usuariodel dominio puedan acceder a la carpeta.

Para proporcionar un directorio principal a un usuario, se debe aadirla ruta de acceso de la carpeta a las propiedades de la cuenta deusuario. Hay que seguir estos pasos para otorgar a un usuario acceso aun directorio principal:


Pulsar la OU que contiene la cuenta de usuario. Pulsar con elbotn derecho del ratn en el nombre del usuario y escogerPropiedades en el men contextual.

Gestin de usuarios.


Pulsar en la pestaa Perfil.

En el rea Directorio principal hay que pulsar la opcin Conectary especificar una letra de unidad a utilizar para conectarse alservidor de archivos.

En el cuadro A hay que especificar el nombre UNC de la conexin;por ejemplo,\\nombre_del_servidor\carpeta_compartida\nombre_de_inicio_desesion_del_usuario. Si se utiliza la variable %username%, se le dar aldirectorio principal el nombre de inicio de sesin del usuario y se leasignarn permisos de acceso exclusivos para el usuario.

Asignacin de secuencias de comandos de inicio de sesin a perfilesde usuario.

Se pueden asignar secuencias de comandos de inicio de sesin pormedio del perfil o a travs de Directiva de grupo. Para asignar unasecuencia de comandos a un perfil, hay que seguir estos pasos:


Figura 22-27. Pestaa con las propiedades de perfiles de usuarioindicando como colocar un comando de inicio o un fichero deinicio.

En el rbol de la consola hay que pulsar Users. Seleccionar elusuario y en el men Accin, escoger Propiedades.

Pulsar en la pestaa Perfil a introducir el nombre de la secuenciade comandos de inicio de sesin en el cuadro Archivo decomandos de inicio de sesin.

Pulsar Aceptar cuando se haya terminado.

Windows 2000 siempre busca las secuencia de comandos de inicio desesin en el mismo lugar: en el controlador de dominio deautentificacin en la ruta de acceso%SystemRoot%\SYSVOL\sysvol\nombre_del_dominio. Lassecuencias de comandos de esta carpeta se pueden introducir en laruta de acceso Archivo de comandos de inicio de sesin solo con elnombre. Si se utilizan carpetas dentro de la carpeta Scripts, se debemostrar la parte de la ruta de acceso en la ruta de acceso Archivo decomandos de inicio de sesin. Las secuencias de comandos de iniciode sesin tambin se pueden crear en VBScript y Jscript.

Gestin de usuarios.


Las variables de secuencias de comando de inicio de sesin son:

%homedrive%: Letra de la unidad de disco que contiene eldirectorio principal del usuario en la estacin de trabajo local delusuario.

%homepath%: Ruta de acceso completa al directorio principal delusuario.

%os%: Sistema operativo del usuario.

%processor_architecture%: Tipo de procesador de la estacin detrabajo del usuario.

%processor_level%: Nivel de procesador de la estacin de trabajodel usuario.

%userdomain%: Dominio donde esta definida la cuenta delusuario.

%username%: Nombre del usuario de la cuenta.

Pestaa Telfonos.

Enumera nmeros de telfono adicionales como el telfono de unlocalizador, de un mvil o de Internet.

Pestaa Organizacin.

Documenta el ttulo, el departamento, la organizacin, eladministrador y las supervisiones directas del usuario.

Pestaa Miembro de.

Enumera las pertenencias a grupos del usuario.

Pestaa Marcado.

Documenta el acceso telefnico del usuario.

Pestaas Entorno, Sesiones, Control remoto, Perfil de Servicios de Terminal Server.

Documenta el perfil de Servicios de Terminal Server del usuario.

Bsquedad de cuentas de usuario.

Para buscar un cuenta de usuario en particular hay que abrir Usuariosy equipos de Active Directory desde el men Herramientasadministrativas y, en la barra de herramientas, pulsar el iconoEncontrar.

Esto abre el cuadro de dialogo Buscar Usuarios, contactos y grupos.Si se abre la lista desplegable del cuadro Buscar se observar que sepuede utilizar esta herramienta para buscar equipos, impresoras,

Gestin de usuarios.


carpetas compartidas, departamentos y mucho ms.

Para buscar un usuario especfico, hay que seleccionar el mbito de labsqueda en el cuadro En. Se puede escribir un nombre, parte de unnombre o algn otro elemento descriptivo que sea parte del perfil delusuario, y pulsar Buscar ahora. Una bsqueda con parte de un nombredevuelve todos los usuarios con ese elemento en sus nombres.

Cuanto ms grande sea la red, ms especifica tendr que ser labsqueda. En un entorno con una gran red, se puede limitar labsqueda a una unidad organizativa especifica. Hay que abrirUsuarios y equipos de Active Directory desde el men Herramientasadministrativas. Hay que pulsar con el botn derecho del ratn en laOU en la que se este interesado y seleccionar Buscar en el mencontextual.

Perfiles de usuario.

Un perfil es un entorno personalizado especficamente para unusuario. El perfil contiene la configuracin de escritorio y de losprogramas del usuario. Cada usuario tiene un perfil, tanto si eladministrador lo configura como si no, porque se crea un perfilautomticamente para cada usuario cuando inicia sesin en un equipo.Los perfiles ofrecen numerosas ventajas:

Mltiples usuarios pueden utilizar el mismo equipo, con laconfiguracin de cada uno recuperada al iniciar la sesin almismo estado en que estaba cuando cerr la sesin.

Los cambios hechos por un usuario en el escritorio no afectan aotro usuario.

Si los perfiles de usuario se almacenan en un servidor puedenseguir a los usuarios a cualquier equipo de la red que ejecuteWindows 2000.

Desde el punto de vista de un administrador, la informacin del perfilpuede ser una valiosa herramienta para configurar perfiles de usuariopredeterminados para todos los usuarios de la red o para personalizarlos perfiles predeterminados para diferentes departamentos oclasificaciones del trabajo. Tambin se pueden configurar perfilesobligatorios que permitan a un usuario hacer cambios en el escritoriomientras esta conectado, pero no guardar ninguno de los cambios. Unperfil obligatorio siempre se muestra exactamente igual cada vez queun usuario inicia sesin. Los tipos de perfiles son los siguientes:

Perfiles locales: Perfiles creados en un equipo cuando un usuarioinicia sesin. El perfil es especifico de un usuario, local al equipoy se almacena en el disco duro del equipo local.

Perfiles mviles: Perfiles creados por un administrador yalmacenados en un servidor. Estos perfiles siguen al usuario acualquier mquina Windows 2000 o Windows NT 4 de la red.

Perfiles obligatorios: Perfiles mviles que slo pueden sermodificados por un administrador.

Gestin de usuarios.


Todos los perfiles comienzan como una copia del perfil Default Userque esta instalado en cualquier equipo que ejecuta Windows 2000. Lainformacin del registro para Default User se encuentra en el archivoNtuser.dat incluido en el perfil Default User. Dentro de cada perfil seencuentran las siguientes carpetas:

Configuracin local:Datos de programa, Historial y Archivostemporales.

Cookies:Mensajes enviados a un navegador Web por un servidorWeb y almacenados localmente para registrar informacin ypreferencias del usuario.

Datos de programa:Configuraciones especificas de programadeterminadas por el fabricante del programa adems deconfiguracin de seguridad especifica del usuario.

Entorno de red:Accesos directos a Mis sitios de red.

Escritorio:Archivos, carpetas, accesos directos del escritorio y suapariencia.

Favoritos:Accesos directos a ubicaciones favoritos, en particularsitios Web.

Impresoras:Accesos directos a elementos de la carpetaImpresoras.

Menu Inicio:Elementos del men Inicio del usuario.

Mis documentos:Documentos del usuario y Mis imgenes, quecontiene los archivos grficos del usuario.

Plantillas:Plantillas de programas.

Reciente:accesos directos a las carpetas y archivos msrecientemente utilizados.

SendTo:Elementos del men enviar a.

De forma predeterminada, solo Cookies, Escritorio, Favoritos, menInicio y Mis documentos son visibles en el Explorador de Windows.Las otras carpetas estn ocultas; para verlas es necesario seleccionarOpciones de carpeta, pulsar en la pestaa Ver y seleccionar Mostrartodos los archivos y carpetas ocultos.

Perfiles locales.

Los perfiles locales se crean en los equipos cuando los usuariosindividuales inician sesin. En un equipo actualizado desde WindowsNT 4, el perfil se almacena en la carpeta Perfiles de la particin razdel sistema. En un equipo con una nueva instalacin de Windows2000, el perfil del usuario esta en la carpeta Documents and Settings.

Gestin de usuarios.


La primera vez que un usuario inicia sesin en un equipo, se generauna carpeta de perfil para el usuario, y los contenidos de la carpetaDefault User se copian en ella. Cualquier cambio realizado por elusuario al escritorio se almacena en ese perfil de usuario cuandocierra la sesin.

Si un usuario tiene una cuenta local en el equipo adems de unacuenta de dominio a inicia sesin varias veces utilizando ambascuentas, el usuario tendr dos carpetas de perfil en el equipo local: unapara cuando el usuario inicie sesin en el dominio utilizando la cuentade usuario del dominio y otra para cuando el usuario inicie sesinlocalmente en el equipo. El perfil local se mostrar con el nombre deinicio de sesin. El perfil de dominio tambin se mostrara con elnombre de inicio de sesin, pero llevara aadido el nombre deldominio.

Perfiles mviles.

Los perfiles mviles son una gran ventaja para los usuarios queutilizan frecuentemente ms de un equipo. Un perfil mvil sealmacena en un servidor y, despus de que el inicio de sesin delusuario sea autentificado en el servicio de directorio, se copia alequipo local. Esto permite al usuario tener el mismo escritorio, laconfiguracin de las aplicaciones y la configuracin local en cualquiermquina que ejecute Windows 2000 o Windows NT 4.

El funcionamiento es: se asigna una ubicacin de un servidor paraperfiles de usuario y se crea una carpeta compartida con los usuariosque tengan perfiles mviles. Se introduce una ruta de acceso a esacarpeta en la ventana propiedades de los usuarios. La siguiente vezque el usuario inicie sesin en un equipo, el perfil del servidor sedescarga al equipo local. Cuando el usuario cierra la sesin, el perfilse almacena tanto localmente como en la ubicacin de la ruta deacceso al perfil del usuario. La especificacin de la ruta de acceso alperfil del usuario es todo lo que hace falta para convertir un perfillocal en un perfil mvil, disponible en cualquier parte del dominio.

Cuando el usuario inicia sesin de nuevo, el perfil del servidor secompara con la copia en el equipo local y se carga para el usuario lams reciente. Si el servidor no esta disponible, se utiliza la copialocal. Si el servidor no esta disponible y es la primera vez que elusuario ha iniciado sesin en el equipo, se crea un perfil de usuariolocalmente utilizando el perfil Default User. Cuando un perfil no esdescargado a un equipo local a causa de problemas con el servidor, elperfil mvil no se actualiza cuando el usuario cierra la sesin.

Figura 22-28. Pantalla de configuracin de perfiles mviles.

Gestin de usuarios.


Configuracin de los perfiles mviles.

Para configurar un perfil mvil simplemente hay que asignar unaubicacin en un servidor y completar los siguientes pasos:

1.Crear una carpeta compartida en el servidor para los perfiles.

En la pestaa Perfil de la ventana Propiedades de la cuenta deusuario hay que proporcionar una ruta de acceso a la carpetacompartida, como\\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%.

Una vez que se ha creado una carpeta de perfiles compartida en unservidor y se ha suministrado una ruta de acceso al perfil en la cuentadel usuario, se ha habilitado un perfil mvil. La configuracin delusuario de su escritorio se copia y almacena en el servidor y estardisponible para el usuario desde cualquier equipo.

Perfiles obligatorios.

Si se va a realizar todo el trabajo de asignar perfiles personalizados,indudablemente se deseara hacer que esos perfiles sean obligatorios.Un perfil obligatorio se puede asignar a mltiples usuarios. Cuando semodifica un perfil obligatorio, el cambio se realiza en los entornos detodos los usuarios a los cuales se haya asignado el perfil obligatorio.Para convertir un perfil en un perfil obligatorio, se debe renombrar elarchivo oculto Ntuser.dat a Ntuser.man.

Recursos compartidos y permisos.

El objetivo principal de una red es compartir recursos entre losusuarios. Sin embargo, compartir es tambin una extensin de lascaractersticas de seguridad que comienzan con las cuentas de usuarioy las contraseas. El objetivo como administrador del sistema esasegurarse de que todo el mundo pueda utilizar los recursos quenecesita sin comprometer la seguridad de los archivos y el resto de losrecursos. Se pueden otorgar a los usuarios tres tipos de capacidades:

Derechos:estn asignados a los grupos predefinidos, pero eladministrador puede extender los derechos a grupos o individuos.

Recursos compartidos:Directorios o unidades de disco que estncompartidos en la red.

Permisos:Capacidades del sistema de archivos que se puedenconceder tanto a individuos como a grupos.

Permisos en NTFS frente a FAT.

En un volumen NTFS, Windows 2000, al igual que Windows NTServer, permite una seguridad tan granular que es prcticamentemicroscpica. Se pueden establecer permisos de varios tipos,incluyendo permisos en archivos individuales. Esto representarealmente una tentacin para el administrador para gestionar al detallecada recurso. El mejor consejo que se puede dar es no caer en estatentacin. Se debe comenzar con la menor restriccin posible y aadir

Gestin de usuarios.


restricciones solo cuando se requieran.

En particiones con formato FAT se pueden restringir los archivos soloa nivel de carpeta, slo desde la red y slo si la carpeta estacompartida. Para alguien que inicie sesin localmente, los recursoscompartidos no tendrn efecto.

En un volumen NTFS, los directorios pueden ser compartidos ytambin restringidos ms profundamente a causa del significado de lospermisos. En un volumen NTFS, se deberan utilizar los permisos decarpetas y archivos para el control de la seguridad tanto localmentecomo desde la red y permitir acceso de Control total a Todos en elrecurso compartido.

Para determinar los permisos reales de acceso a un recurso se siguenlos siguientes pasos:

Determinar el permiso de comparticin (FAT) efectivo:El permisode comparticin (FAT) efectivo ser el permiso ms restrictivo detodos aqullos asignado a un usuario o a los grupos a los que elusuario pertenece. La excepcin es el de Denegar Control Totalque anular el resto de permisos.

Determinar el permiso de NTFS efectivo:El permiso de NTFSefectivo ser el ms permisivo de todos los permisos de NTFSasignados al usuario y a los grupos a los que el usuario pertenece.La excepcin es que si existe Sin Acceso, se niegan el resto delos permisos asignados

El permiso global efectivo ser el ms restrictivo entre el permisoefectivo de comparticin (FAT) y el permiso NTFS:El permiso decomparticin (FAT) sera de control total para Luis. El permisoNTFS efectivo para Luis sera Sin Acceso (Denegar Control Totales el equivalente a Sin Acceso). El ms restrictivos entre ControlTotal y Sin Acceso ser Sin Acceso que es el permiso efectivo deacceso de Luis al recurso.

Recursos compartidos especiales.

Adems de los recursos compartidos creados por un usuario o unadministrador, el sistema crea varios recursos compartidos especialesque no se deberan modificar o eliminar. El recurso compartidoespecial que ms probablemente se ver es el recurso compartidoADMIN$ que aparece como C$, D$, E$, etc. Estos recursoscompartidos permiten a los administradores conectarse a unidades queen otro caso no estaran compartidas.

Los recursos compartidos especiales existen como parte de lainstalacin del sistema operativo. Dependiendo de la configuracin delequipo, estarn presentes algunos o todos de los siguientes recursoscompartidos especiales. Ninguno de ellos debera modificarse oeliminarse.

ADMIN$:Se utiliza durante la administracin remota de unequipo. La ruta de acceso es siempre la ubicacin de la carpeta enla que Windows se instal (esto es, la raz del sistema). Solo los

Gestin de usuarios.


Administradores, Operadores de copia y Operadores de servidoresse pueden conectar a este recurso compartido.

letraunidad$:La carpeta raz de la unidad especificada. Slo losAdministradores, Operadores de copia y Operadores de servidoresse pueden conectar a estos recursos compartidos en un servidorWindows 2000. En un equipo Windows 2000 Professional, slolos Administradores y Operadores de copia pueden conectarse aestos recursos compartidos.

IPC$Utilizado durante la administracin remota y cuando serevisan los recursos compartidos. Este recurso compartido esesencial en la comunicacin y no se debe cambiar, modificar oeliminar.

NETLOGON:Lo utiliza el servicio Inicio de sesin de red de unservidor que ejecuta Windows NT Server cuando procesa losinicios de sesin en el dominio. Este recurso solo se proporcionaen servidores.

PRINT$Un recurso que soport impresoras compartidas

REPL$:Se crea en un servidor cuando un cliente de fax estenviando un fax.

Para conectarse a una unidad de disco no compartida en otro equipo,hay que utilizar la barra de direcciones de cualquier ventana aintroducir la direccin, utilizando la sintaxis:

\\nombre_equipo\[letraunidad]$

Para conectarse a la carpeta raz del sistema (la carpeta en la cual estainstalado Windows) en otro equipo hay que utilizar la sintaxis:

\\nombre_equipo\admin$

El resto de recursos compartidos especiales como IPC$ y PRINT$ loscrea y utiliza nicamente el sistema. NETLOGON es un recursocompartido especial en servidores Windows 2000 y Windows NT y seutiliza cuando se procesan peticiones de inicio de sesin en eldominio.

Carpetas compartidas.

La forma ms sencilla de crear carpetas compartidas es utilizar laherramienta Configurar el servidor del men Herramientasadministrativas. Para hacerlo, hay que seguir estos pasos:

Figura 22-29. Pantalla de Crear carpetas compartidas.

Gestin de usuarios.


Abrir Configurar el servidor y pulsar Servidor de archivosEn lacolumna de la izquierda.

Pulsar el vinculo Iniciar el asistente para carpetas compartidaspara abrir el cuadro de dialogo Crear carpeta compartida.

Introducir el nombre y ruta de acceso de la carpeta y un nombrede recurso compartido.

Seleccionar los permisos de recurso compartido que se deseanasignar a la carpeta teniendo en cuenta que casi siempre es mejorcontrolar el acceso por medio de permisos en lugar que conrecursos compartidos. Pulsar Finalizar cuando se haya terminado.

Se pueden definir recursos compartidos directamente pulsando con elbotn derecho del retn en una carpeta, escogiendo Propiedades en elmen contextual y pulsando despus en la pestaa Compartir.

Creacin de un nuevo recurso compartido para una carpeta compartida.

Una nica carpeta puede ser compartida ms de una vez. Por ejemplo,un recurso compartido podra incluir Control total paraAdministradores y otro recurso compartido para usuarios podra serms restrictivo. Para aadir un nuevo recurso compartido, hay queseguir estos pasos:

Buscar la carpeta compartida en el Explorador de Windows ypulsar con el botn derecho del ratn en ella. Hay que escogerCompartir en el men contextual.

En el cuadro de dialogo que se abre, hay que pulsar el botnNuevo recurso compartido.

En el cuadro de dialogo Nuevo recurso compartido hay queintroducir un nuevo Nombre de recurso compartido. (Cadarecurso compartido debe tener un nombre nico). Hay queestablecer un lmite de usuarios, si es necesario.

Pulsar Permisos para restringir el acceso. De nuevo, de formapredeterminada, la carpeta compartida otorga Control total atodos los usuarios.

Gestin de usuarios.


Desconexin de carpetas compartidas.

Para que una carpeta deje de estar compartida, hay que abrirAdministracin de equipos desde el men Herramientasadministrativas. Hay que expandir Herramientas del sistema, despusCarpetas compartidas y por ultimo Recursos compartidos. Hay quepulsar con el botn derecho del ratn en la carpeta compartida en elpanel de detalles y escoger Dejar de compartir en el men contextual.

Permisos de recursos compartidos.

Los permisos de recursos compartidos establecen el mximo mbitode acceso disponible. Otras asignaciones de permisos (en un volumenNTFS) pueden ser ms restrictivas, pero no pueden expandirse msall de los limites establecidos por los permisos de recursocompartido.

Definicin de los permisos de recursos compartidos.

Para establecer permisos de recursos compartidos, hay que pulsar conel botn derecho del ratn en la carpeta y escoger Compartir en elmen contextual. Hay que pulsar el botn Permisos para abrir elcuadro de dilogo. El tipo de acceso se establece por medio de la listade la parte inferior. Se pueden utilizar los botones Agregar y Quitarpara cambiar quien accede. Los permisos de recursos compartidos sepueden asignar a usuarios individuales, a grupos y a las entidadesespeciales Todos, SYSTEM, INTERACTIVE, NETWORK y Usuariosautentificados.

Los tipos de permisos de recursos compartidos desde el menos al msrestrictivo son:

Figura 22-30. Pantalla para la comparticin de recursos en la red.

Leer: Permite ver los nombres de los archivos y subcarpetas,siempre se puede revisar y borrar el registro de seguridad.

Modificar: Permite el acceso de Leer adems de permitir agregararchivos y subdirectorios a la carpeta compartida, modificar lainformacin de los archivos y subdirectorios.

Gestin de usuarios.


Control total: Permite todo el acceso de Modificar adems depermitir cambiar permisos (slo en volmenes NTFS) y tomarposesin (slo en volmenes NTFS).

Asignacin de directorios y unidades compartidas.

Despus de ir de ac para all entre varias ventanas de Mis sitios dered para buscar una carpeta compartida, los usuarios puedensimplemente pulsar, dos veces con el ratn en la carpeta para abrirla yacceder a su contenido. Para facilitar el acceso, hay que pulsar con elbotn derecho del ratn en la carpeta compartida y arrastrarla alescritorio. Hay que seleccionar Crear iconos de acceso directo aqudespus de soltar el botn.

Si se utiliza frecuentemente, es sencillo conectarse a una carpeta ounidad de disco para que aparezca en el Explorador de Windows (o enMi PC) como otra simple unidad de disco local.

Para configurar estas conexiones para los usuarios:

Seleccionar Mis sitios en red y pulsar con el botn derecho delratn para que aparezca el men contextual y seleccionarConectar a unidad de red. El cuadro de dilogo que aparece tienetres entradas configurables:

Unidad: Esta es la letra que se asignar a la nueva carpeta ounidad en el equipo local.

Carpeta: Ruta UNC hasta el recurso compartido.

Conectar utilizando un nombre de usuario diferente: Si laconexin es para alguien distinto del usuario actual, hay quepulsar este vnculo y suministrar el nombre y contrasea delusuario.

Conectar de nuevo al iniciar sesin: Se puede seleccionareste cuadro para que se realice automticamente la conexinal iniciar sesin en el equipo donde reside fsicamente esterecurso.

Pulsar Finalizar cuando se haya terminado.

Desconexin de recursos conectados.

Para deshacerse de una conexin a una unidad o carpeta se la puederesaltar y pulsar el botn derecho del ratn. Hay que escogerDesconectar en el men contextual

Anterior Inicio SiguienteActive Directory Subir Grupos de Windows 2000: Gestin y

Directivas.

informatica.iescuravalera.esGestin de usuarios.

Gestión de usuarios.

Documents

Transcript of Gestión de usuarios.