Publicado por eliud castillo gomez pannthera@hotmail.com
ing. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comCAPITULO V
ADMINISTRADOR DE USUARIOS
En NT hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre
NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos
de usuarios existe una herramienta de administración: el administrador de usuarios incluido
en NT Workstation y el administrador de usuarios para dominios incluido en NT Server. El
funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios
dispone de más opciones. Por ello, se describirá el administrador de usuarios para
dominios.
Las tareas que se pueden realizar con el administrador de usuarios:
- Añadir, modificar y eliminar usuarios del dominio.
- Añadir, modificar y eliminar grupos locales y globales del dominio.
- Fijar el plan de cuentas y contraseñas en el dominio.
- Fijar la política de derechos de usuario en el dominio.
- Establecer el sistema de auditoria en el dominio.
- Establecer relaciones de confianza entre dominios.
Figura Nro 01 Administrador de Usuarios, Pantalla Principal
Cuentas de usuarios y grupos
Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y
grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la
práctica.
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comAquí tienes algunos consejos importantes para realizar con éxito dicha planificación:
El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias
cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los
recursos (puestos, archivos, impresoras, etc.):
Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos
para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo
grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que
un usuario puede pertenecer a varios grupos.
Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u
organización, sin embargo también es aconsejable pensar en los grupos de usuarios en
función de los recursos que van a necesitar.
Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta
de grupo pero no modificaremos cada cuenta.
Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han
asignado útiles conjuntos de derechos y capacidades.
Usuario nuevo
Fig. Nro 02 Creación de Usuario Nuevo
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comFig. Nro 03 Usuario Nuevo, Rellenar todos los cuadros
1. En este cuadro hay que rellenar una serie de campos:
Nombre de usuario
una palabra completa, sin espacios en blanco ni caracteres especiales, de hasta14 caracteres
[verificar]. este identificador debe ser único en el dominio. Se le suele conocer también
como nombre de cuenta o login. Este identificador es el que se debe suministrar, junto con
la contraseña, para iniciar sesión en un dominio NT.
: Es el identificador que representa al usuario en el dominio. Debe serNombre completo
suele escribir el nombre u apellidos.
: Es el nombre completo del usuario. Si este usuario es una persona seDescripción.
departamento al que pertenecen el usuario, sobre todo si la base de datos de usuarios en el
dominio es grande.
Conviene añadir una descripción de la labor, grupo de personas oContraseña
mayúsculas y minúsculas, e incluso caracteres especiales. NT admite hasta 14 caracteres.
Cuando se va escribiendo aparecen asteriscos, y una vez completada en el cuadro aparece
una línea de asteriscos, siempre de la misma longitud.
. Aquí se debe escribir la contraseña para el usuario. Puede incluir espacios,Repetir contraseña
escrito correctamente.
Tras estos campos aparecen una serie de botones activables:
. Hay que introducir de nuevo la contraseña, para comprobar que se haEl usuario debe cambiar su contraseña
solicitar que introduzca una nueva contraseña. Habitualmente los administradores crean los
. La primera vez que inicia sesión en NT se va aPDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comusuarios nuevos con contraseñas del tipo "cámbiame", que obligan al nuevo usuario a
cambiar su contraseña al iniciar sesión por primera vez.
El usuario no puede cambiar su contraseña
especiales, y bloquea el cambio de contraseña por parte del usuario.
. Se utiliza en tareas administrativasLa contraseña nunca caduca
utiliza normalmente sólo para algunos usuarios que lo necesitan.
. Desactiva la caducidad de contraseñas para esta usuario. SeCuenta desactivada.
cuando el usuario no va a iniciar sesión durante un periodo de tiempo o cuando se va a
cambiar la configuración o entorno del usuario y se necesita que no pueda acceder
temporalmente al sistema.
Al final del cuadro de diálogo aparecen varios botones:
Permite bloquear la cuenta fácilmente sin borrarla. Se suele utilizarA. Grupos.
tipos de grupos:
Permite establecer los grupos a los que pertenece un usuario. En NT hay dosü
el icono de grupo global.
Grupos globales. Válidos para dominios en los que se confían. Aparecen marcados conü
Además se puede asignar un grupo primario para el usuario [Este grupo es utilizado en
entornos Macintosh]
Grupos locales. Son grupos locales al servidor o estación de trabajo.B. Perfil
Se puede establecer:
. Permite controlar las características del entorno de un usuario.Perfil
fichero en formato UNC (Univer name convention), es decir:
\\servidor\recurso\directorio\fichero.bat.
. Nombre del fichero que representa el perfil del usuario para NT. Hay que escribir unArchivo de inicio
dominio. El archivo debe residir en el servidor que valida el inicio de sesión. Este fichero se
debe hallar en la carpeta NETLOGON del servidor que valida el inicio de sesión.
Directorio de trabajo. Admite dos modalidades de uso.
. Asigna un archivo que se ejecutará al iniciar la sesión de red en elRuta de acceso local
Conectar una letra de unidad a una unidad de red del tipo \\servidor\recurso.
A. El directorio de trabajo es el que aparece por defecto en los cuadros de diálogo de
guardar un fichero en una aplicación Windows.
. Utilizar una ruta local al ordenador en que se inicia la sesión.PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comC. Horas
sesión.
En este cuadro de diálogo se pueden fijar las horas de inicio de sesión en los servidores del
dominio, en intervalos de 1 hora, para cada día de la semana. En principio una vez iniciada
la sesión el usuario puede seguir trabajando en los servidores, aunque se puede modificar
esto para que los servidores cierren la sesión del usuario al terminar las horas permitidas,
mediante el cuadro de diálogo Plan de cuentas en el menú de Directivas del Administrador
de Usuarios.
. En el botón Horas podemos acceder al cuadro de diálogo de Horas de inicio deD. Iniciar desde
cuales un usuario puede iniciar sesión. Se pueden especificar hasta 8 ordenadores que
ejecuten NT, o permitir el inicio en todos los ordenadores del dominio.
. Este cuadro de diálogo permite seleccionar los ordenadores desde losE. Cuenta
cuenta y su duración. Se puede elegir que la cuenta caduque en una fecha determinada o
que no tenga caducidad. También se puede especificar si es una cuenta global o local.
. El cuadro de diálogo Información de cuenta permite especificar el tipo deF. Marcado
marcado para el usuario.
. El cuadro de diálogo de Marcado permite especificar las propiedades deModificar un usuario.
Utilizando el menú Usuario\Propiedades o haciendo doble clic sobre un usuario o
grupo se puede modificar el mismo.
Al modificar un usuario se acceden a los mismos cuadros de diálogo empleados al
crearlo salvo que ahora aparece una casilla para cuentas bloqueadas. Si el bloqueo de
cuentas está activado en el dominio y el usuario ha fallado el número de veces limitado para
ese dominio, esta casilla aparece activada. Al desactivarla, la cuenta del usuario es
desbloqueada.
Nota importante: existe una ligera demora al cambiar las propiedades de un usuario
o grupo del dominio, debido a que la base de datos de usuarios del dominio tarda unos
minutos en actualizarse en los controladores secundarios. Se puede forzar la actualización
inmediata mediante la sincronización manual de los servidores.
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comFig. Nro 04 Propiedades de Usuarios
Creación de Grupos
Para un NT Workstation (o Server configurado como servidor) el administrador de
usuarios permite crear grupos locales, que sólo tienen validez en el propio ordenador. El
administrador de usuarios para dominios permite crear dos tipos de grupos: globales y
locales.
Los grupos locales pueden obtener permisos en los servidores del dominio propio.
Pueden ser miembros de los grupos locales los miembros del dominio, los grupos globales
del dominio y los grupos globales de otros dominios en los que se confía. Los grupos
globales tienen como miembros a los usuarios del dominio y se pueden utilizar tanto en los
servidores del dominio como en las estaciones de trabajo del dominio. También se pueden
usar en otros dominios en los que se confía.
En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos
locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un
pequeño extracto de los manuales de ayuda.
Grupos globales
Un grupo global contiene una serie de cuentas de usuario de un dominio que están
agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener
cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo
global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comtrabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es
asignar derechos y permisos a grupos locales, y usar el grupo global como método para
agregar usuarios a grupos locales.
Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios
que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows
NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo
contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que
ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como
servidor miembro.
La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir
derechos y permisos en múltiples dominios (globales). Un grupo global sólo puede
contener cuentas de usuario; no puede contener grupos locales ni otros grupos globales.
Creación de un Grupo Global nuevo.
Para añadir un grupo global nuevo se selecciona el menú Usuario\Grupo Global
nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción
opcional. Podemos además añadir usuarios al grupo.
Para añadir un grupo local nuevo se selecciona el menú Usuario\Grupo Local nuevo
y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional.
Podemos además añadir usuarios al grupo.
Fig. Nro 05 Creación de Grupo Global
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comFig. Nro 06 Creación de Grupo Global
Grupos locales
Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más
dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos
globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un
dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y
permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos
de dicho dominio y otros dominios que confíen en él.
Los grupos locales también existen en servidores miembro y equipos que ejecutan
Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales.
La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir
derechos y permisos en un dominio único (local). Un grupo local no puede contener otros
grupos locales.
Creación Grupo Local Nuevo
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comFig. Nro 07 Creación de Grupos Locales
Fig. Nro 08 Creación de Grupos Locales
Estrategias para utilizar grupos locales y globales
Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a
muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor
miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma
independiente.
Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder
permisos para usar objetos en múltiples dominios y estaciones de trabajo.
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comPor ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos
globales como medio para agregar usuarios a los grupos locales de dominios que confían.
Para extender los derechos y permisos de los usuarios a recursos de otros dominios,
agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a
un grupo local de un dominio que confía.
Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el
futuro, puede usar grupos globales agregados a grupos locales para conceder todos los
derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos
asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando
una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos
locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos
globales se pueden agregar a los grupos locales del dominio nuevo.
Los grupos globales de dominio también se pueden usar para propósitos administrativos en
equipos con Windows NT Workstation o en servidores miembro con Windows NT Server.
Por ejemplo, el grupo local Administradores de dominio se agrega de forma
predeterminada al grupo local incorporado Administradores en todas las estaciones de
trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo
local Administradores de una estación de trabajo o servidor miembro permite que el
administrador de red administre el equipo de forma remota creando grupos de programas,
instalando software y solucionando los problemas del equipo.
Usos de grupos locales y globales.
El grupo administradores que se ha creado permite administrar todos los servidores
del dominio. NT añade al grupo local administradores el grupo administradores del
dominio. De igual manera ocurre con el grupo de usuarios e invitados.
Cuando una estación de trabajo es añadida al dominio, NT añade automáticamente
los tres grupos globales del dominio (administradores, usuario e invitados del dominio) a
los grupos locales correspondientes de la estación de trabajo.
Los grupos locales se utilizan para asignar tareas especiales en las estaciones de
trabajo o servidores del dominio. Por ejemplo se pueden crear los grupos especiales para
trabajar con el recurso como una impresora láser en color, cuyo acceso queremos restringir.
Uno lo podemos llamar "Administradores de láser color" y otro "Usuarios de láser color".
Ahora basta dar permisos de impresión al grupo "Usuarios de láser color" y control total al
grupo "Administradores de láser color".
Para añadir usuarios a estos grupos bastaría añadir al grupo "Administradores de
láser color" el grupo "Administradores del dominio" y al grupo "Usuarios de láser color"
los miembros del dominio autorizados a imprimir en ella. Este último paso lo podemos
hacer de un medio más eficiente si creamos un grupo global "Usuarios de impresora láser
color" y añadimos este grupo al grupo local "Usuarios de láser color". Para dar permisos de
impresión a los usuarios y grupos utilizaremos el administrador de Impresión de dicha
impresora, accesible desde el menú de inicio Configuración\Impresoras.
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comCada usuario en NT debe pertenecer a uno o varios grupos globales o locales,
indistintamente. Los grupos locales se definen en cada estación de trabajo NT o en cada
servidor. Para los servidores hay dos posibles configuraciones : si el servidor está
configurado como controlador de dominio, primario o secundario, los grupos locales son
los que se definen para todos los servidores controladores del dominio. Es decir, todos los
controladores del dominio comparten la misma lista de grupos locales. Para los servidores
configurados como servidor, los grupos locales se definen en el propio servidor, del mismo
modo en que se hacen con las estaciones de trabajo.
La siguiente tabla muestra los grupos de que se pueden crear en NT y los usuarios y
grupos que les pueden añadir.
Usuarios que se pueden crear en NT Work-
Station y Server ( no controlador de
dominio).
Usuarios y grupos que se pueden añadir a los
grupos.
Grupos Locales
·
Usuarios Locales.·
Usuarios del Dominio.·
Grupos Globales del Dominio.·
otros dominios en los que se confía.
Usuarios Locales.
Usuarios que se pueden crear en NT Server
controlador de dominio.
Usuarios y grupos que se pueden añadir a los
grupos.
Grupos Locales
Grupos Globales y Usuarios Globales de·
Usuarios Locales.·
Usuarios del Dominio.·
Grupos Globales del Dominio.·
otros dominios en los que se confía.
Usuarios Locales.
Grupos Globales. Usuarios del dominio.
Usuarios del dominio.
Grupos Globales y Usuarios Globales deAdministración del plan de seguridad.
En NT se pueden fijar una serie de directivas comunes para todo el dominio. Entre
estas se puede fijar el plan de cuentas para el dominio, que fija propiedades de las cuentas
tales como la política de contraseñas, el plan de derechos de usuarios, que permite asignar
determinados permisos genéricos a usuarios o grupos del dominio, o el plan de auditoria,
que permite activar los elementos del sistema de auditoria en el dominio.
Administración del plan de cuentas.
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comDesde el menú Directivas\Cuentas podemos acceder al cuadro de diálogo "Plan de
cuentas". En este cuadro podemos fijar las limitaciones de las contraseñas y el sistema de
bloque de cuentas. Cuando se ha seleccionado caducidad para la contraseña de un usuario,
la contraseña utilizará las opciones elegidas en este cuadro de diálogo. Se puede elegir:
q
Duración máxima de la contraseña, en días.q
Duración mínima de la contraseña, para que el usuario cambie dos veces su contraseñaq
y vuelva a usar la contraseña antigua.q
Longitud mínima de la contraseña. Las contraseñas con más de 6 caracteres sonq
bruta". Esto es útil en redes conectadas a Internet.
difíciles de saltar por métodos de asalto masivo (crackers), también llamados de "fuerzaq
Historia de la contraseña, que obliga al usuario a no repetir las últimas contraseñas.q
El sistema de bloqueo de cuentas permite a los controladores de dominio reaccionar
frente a los intentos fallidos de iniciar sesión en el dominio. Si se activa el bloque de
cuentas entonces al alcanzarse el numero de intentos especificado la cuenta es bloqueada.
Su el número de intentos fallidos no alcanza al especificado, el usuario puede esperar el
tiempo fijado en "restablecer cuenta" para poder volver a intentarlo. Fijando por ejemplo
estos parámetros a 4 intentos y 10 minutos suele bastar para disuadir de accesos no
autorizados. Una vez bloqueada la cuenta se puede elegir entre desbloqueo automático o
manual, con intervención del administrador del dominio.
También en este cuadro de diálogo se puede seleccionar si los usuarios remotos serán
desconectados de los servidores al acabar su tiempo de conexión y si un usuario debe
iniciar sesión en una estación de trabajo para poder cambiar su contraseña.
Bloqueo de CuentasAdministración del plan de derechos de usuarios.
Los derechos de usuarios son una serie de permisos que no se aplican sobre un
objeto concreto, como un fichero, impresora o directorio, sino que se aplican al sistema
completo. Estos permisos tienen prioridad sobre los permisos asignados sobre los objetos
del sistema. Se pueden asignar a cada tipo de derecho de usuario los usuarios o grupos de
usuarios a los que se necesite otorgar ese derecho.
Los derechos de usuarios pueden ser modificados desde el cuadro de diálogo "Plan
de derechos de usuarios" accesible desde el menú Directivas\Derechos de usuarios.
Si se activa la casilla "Mostrar derechos de usuario avanzados" se pueden ver
algunos derechos de usuarios más específicos. Normalmente los derechos de usuario
asignados por NT asignan derechos suficientes a los grupos de usuarios creados por NT.
Cuando se instalan algunos servicios, como servidores de correo, de Web y similares suele
ser necesario cambiar algunos de estos derechos. Los más frecuentes suelen ser:
PDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.coming. Ali Huarache Francia
www.iespana.es/cpys cpssa@ec-red.comØ
en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a
los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También
lo usa el servicio de duplicación de directorios.
Iniciar sesión como servicio. Permite asignar un usuario a un servicio. Suele ser usuarioØ
atienden las peticiones de usuarios en forma de transacciones, como por ejemplo
servidores POP3 y otros. Actualmente no está implementado en el sistema operativo,
pero algunos servicios verifican que el usuario posea este derecho antes de atender su
petición.
Iniciar sesión como proceso por lotes. Este derecho está pensado para los servicios quePDF created with FinePrint pdfFactory Pro trial version
http://www.fineprint.com
Powered by Coranto
Imprimir apunte
Recomendar a un amigo
Recordarme el recurso
Descargar como PDF 
