[an error occurred while processing this directive]

Publicado por eliud castillo gomez pannthera@hotmail.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

CAPITULO V

ADMINISTRADOR DE USUARIOS

En NT hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre

NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos

de usuarios existe una herramienta de administración: el administrador de usuarios incluido

en NT Workstation y el administrador de usuarios para dominios incluido en NT Server. El

funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios

dispone de más opciones. Por ello, se describirá el administrador de usuarios para

dominios.

Las tareas que se pueden realizar con el administrador de usuarios:

- Añadir, modificar y eliminar usuarios del dominio.

- Añadir, modificar y eliminar grupos locales y globales del dominio.

- Fijar el plan de cuentas y contraseñas en el dominio.

- Fijar la política de derechos de usuario en el dominio.

- Establecer el sistema de auditoria en el dominio.

- Establecer relaciones de confianza entre dominios.

Figura Nro 01 Administrador de Usuarios, Pantalla Principal

Cuentas de usuarios y grupos

Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y

grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la

práctica.

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Aquí tienes algunos consejos importantes para realizar con éxito dicha planificación:

El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias

cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los

recursos (puestos, archivos, impresoras, etc.):

Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos

para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo

grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que

un usuario puede pertenecer a varios grupos.

Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u

organización, sin embargo también es aconsejable pensar en los grupos de usuarios en

función de los recursos que van a necesitar.

Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta

de grupo pero no modificaremos cada cuenta.

Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han

asignado útiles conjuntos de derechos y capacidades.

Usuario nuevo

Fig. Nro 02 Creación de Usuario Nuevo

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Fig. Nro 03 Usuario Nuevo, Rellenar todos los cuadros

1. En este cuadro hay que rellenar una serie de campos:

Nombre de usuario

una palabra completa, sin espacios en blanco ni caracteres especiales, de hasta14 caracteres

[verificar]. este identificador debe ser único en el dominio. Se le suele conocer también

como nombre de cuenta o login. Este identificador es el que se debe suministrar, junto con

la contraseña, para iniciar sesión en un dominio NT.

: Es el identificador que representa al usuario en el dominio. Debe ser

Nombre completo

suele escribir el nombre u apellidos.

: Es el nombre completo del usuario. Si este usuario es una persona se

Descripción.

departamento al que pertenecen el usuario, sobre todo si la base de datos de usuarios en el

dominio es grande.

Conviene añadir una descripción de la labor, grupo de personas o

Contraseña

mayúsculas y minúsculas, e incluso caracteres especiales. NT admite hasta 14 caracteres.

Cuando se va escribiendo aparecen asteriscos, y una vez completada en el cuadro aparece

una línea de asteriscos, siempre de la misma longitud.

. Aquí se debe escribir la contraseña para el usuario. Puede incluir espacios,

Repetir contraseña

escrito correctamente.

Tras estos campos aparecen una serie de botones activables:

. Hay que introducir de nuevo la contraseña, para comprobar que se ha

El usuario debe cambiar su contraseña

solicitar que introduzca una nueva contraseña. Habitualmente los administradores crean los

. La primera vez que inicia sesión en NT se va a

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

usuarios nuevos con contraseñas del tipo "cámbiame", que obligan al nuevo usuario a

cambiar su contraseña al iniciar sesión por primera vez.

El usuario no puede cambiar su contraseña

especiales, y bloquea el cambio de contraseña por parte del usuario.

. Se utiliza en tareas administrativas

La contraseña nunca caduca

utiliza normalmente sólo para algunos usuarios que lo necesitan.

. Desactiva la caducidad de contraseñas para esta usuario. Se

Cuenta desactivada.

cuando el usuario no va a iniciar sesión durante un periodo de tiempo o cuando se va a

cambiar la configuración o entorno del usuario y se necesita que no pueda acceder

temporalmente al sistema.

Al final del cuadro de diálogo aparecen varios botones:

Permite bloquear la cuenta fácilmente sin borrarla. Se suele utilizar

A. Grupos.

tipos de grupos:

Permite establecer los grupos a los que pertenece un usuario. En NT hay dos

ü

el icono de grupo global.

Grupos globales. Válidos para dominios en los que se confían. Aparecen marcados con

ü

Además se puede asignar un grupo primario para el usuario [Este grupo es utilizado en

entornos Macintosh]

Grupos locales. Son grupos locales al servidor o estación de trabajo.

B. Perfil

Se puede establecer:

. Permite controlar las características del entorno de un usuario.

Perfil

fichero en formato UNC (Univer name convention), es decir:

\\servidor\recurso\directorio\fichero.bat.

. Nombre del fichero que representa el perfil del usuario para NT. Hay que escribir un

Archivo de inicio

dominio. El archivo debe residir en el servidor que valida el inicio de sesión. Este fichero se

debe hallar en la carpeta NETLOGON del servidor que valida el inicio de sesión.

Directorio de trabajo. Admite dos modalidades de uso.

. Asigna un archivo que se ejecutará al iniciar la sesión de red en el

Ruta de acceso local

Conectar una letra de unidad a una unidad de red del tipo \\servidor\recurso.

A. El directorio de trabajo es el que aparece por defecto en los cuadros de diálogo de

guardar un fichero en una aplicación Windows.

. Utilizar una ruta local al ordenador en que se inicia la sesión.

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

C. Horas

sesión.

En este cuadro de diálogo se pueden fijar las horas de inicio de sesión en los servidores del

dominio, en intervalos de 1 hora, para cada día de la semana. En principio una vez iniciada

la sesión el usuario puede seguir trabajando en los servidores, aunque se puede modificar

esto para que los servidores cierren la sesión del usuario al terminar las horas permitidas,

mediante el cuadro de diálogo Plan de cuentas en el menú de Directivas del Administrador

de Usuarios.

. En el botón Horas podemos acceder al cuadro de diálogo de Horas de inicio de

D. Iniciar desde

cuales un usuario puede iniciar sesión. Se pueden especificar hasta 8 ordenadores que

ejecuten NT, o permitir el inicio en todos los ordenadores del dominio.

. Este cuadro de diálogo permite seleccionar los ordenadores desde los

E. Cuenta

cuenta y su duración. Se puede elegir que la cuenta caduque en una fecha determinada o

que no tenga caducidad. También se puede especificar si es una cuenta global o local.

. El cuadro de diálogo Información de cuenta permite especificar el tipo de

F. Marcado

marcado para el usuario.

. El cuadro de diálogo de Marcado permite especificar las propiedades de

Modificar un usuario.

Utilizando el menú Usuario\Propiedades o haciendo doble clic sobre un usuario o

grupo se puede modificar el mismo.

Al modificar un usuario se acceden a los mismos cuadros de diálogo empleados al

crearlo salvo que ahora aparece una casilla para cuentas bloqueadas. Si el bloqueo de

cuentas está activado en el dominio y el usuario ha fallado el número de veces limitado para

ese dominio, esta casilla aparece activada. Al desactivarla, la cuenta del usuario es

desbloqueada.

Nota importante: existe una ligera demora al cambiar las propiedades de un usuario

o grupo del dominio, debido a que la base de datos de usuarios del dominio tarda unos

minutos en actualizarse en los controladores secundarios. Se puede forzar la actualización

inmediata mediante la sincronización manual de los servidores.

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Fig. Nro 04 Propiedades de Usuarios

Creación de Grupos

Para un NT Workstation (o Server configurado como servidor) el administrador de

usuarios permite crear grupos locales, que sólo tienen validez en el propio ordenador. El

administrador de usuarios para dominios permite crear dos tipos de grupos: globales y

locales.

Los grupos locales pueden obtener permisos en los servidores del dominio propio.

Pueden ser miembros de los grupos locales los miembros del dominio, los grupos globales

del dominio y los grupos globales de otros dominios en los que se confía. Los grupos

globales tienen como miembros a los usuarios del dominio y se pueden utilizar tanto en los

servidores del dominio como en las estaciones de trabajo del dominio. También se pueden

usar en otros dominios en los que se confía.

En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos

locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un

pequeño extracto de los manuales de ayuda.

Grupos globales

Un grupo global contiene una serie de cuentas de usuario de un dominio que están

agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener

cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo

global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

trabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es

asignar derechos y permisos a grupos locales, y usar el grupo global como método para

agregar usuarios a grupos locales.

Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios

que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows

NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo

contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que

ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como

servidor miembro.

La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir

derechos y permisos en múltiples dominios (globales). Un grupo global sólo puede

contener cuentas de usuario; no puede contener grupos locales ni otros grupos globales.

Creación de un Grupo Global nuevo.

Para añadir un grupo global nuevo se selecciona el menú Usuario\Grupo Global

nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción

opcional. Podemos además añadir usuarios al grupo.

Para añadir un grupo local nuevo se selecciona el menú Usuario\Grupo Local nuevo

y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional.

Podemos además añadir usuarios al grupo.

Fig. Nro 05 Creación de Grupo Global

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Fig. Nro 06 Creación de Grupo Global

Grupos locales

Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más

dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos

globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un

dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y

permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos

de dicho dominio y otros dominios que confíen en él.

Los grupos locales también existen en servidores miembro y equipos que ejecutan

Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales.

La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir

derechos y permisos en un dominio único (local). Un grupo local no puede contener otros

grupos locales.

Creación Grupo Local Nuevo

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Fig. Nro 07 Creación de Grupos Locales

Fig. Nro 08 Creación de Grupos Locales

Estrategias para utilizar grupos locales y globales

Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a

muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor

miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma

independiente.

Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder

permisos para usar objetos en múltiples dominios y estaciones de trabajo.

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Por ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos

globales como medio para agregar usuarios a los grupos locales de dominios que confían.

Para extender los derechos y permisos de los usuarios a recursos de otros dominios,

agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a

un grupo local de un dominio que confía.

Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el

futuro, puede usar grupos globales agregados a grupos locales para conceder todos los

derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos

asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando

una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos

locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos

globales se pueden agregar a los grupos locales del dominio nuevo.

Los grupos globales de dominio también se pueden usar para propósitos administrativos en

equipos con Windows NT Workstation o en servidores miembro con Windows NT Server.

Por ejemplo, el grupo local Administradores de dominio se agrega de forma

predeterminada al grupo local incorporado Administradores en todas las estaciones de

trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo

local Administradores de una estación de trabajo o servidor miembro permite que el

administrador de red administre el equipo de forma remota creando grupos de programas,

instalando software y solucionando los problemas del equipo.

Usos de grupos locales y globales.

El grupo administradores que se ha creado permite administrar todos los servidores

del dominio. NT añade al grupo local administradores el grupo administradores del

dominio. De igual manera ocurre con el grupo de usuarios e invitados.

Cuando una estación de trabajo es añadida al dominio, NT añade automáticamente

los tres grupos globales del dominio (administradores, usuario e invitados del dominio) a

los grupos locales correspondientes de la estación de trabajo.

Los grupos locales se utilizan para asignar tareas especiales en las estaciones de

trabajo o servidores del dominio. Por ejemplo se pueden crear los grupos especiales para

trabajar con el recurso como una impresora láser en color, cuyo acceso queremos restringir.

Uno lo podemos llamar "Administradores de láser color" y otro "Usuarios de láser color".

Ahora basta dar permisos de impresión al grupo "Usuarios de láser color" y control total al

grupo "Administradores de láser color".

Para añadir usuarios a estos grupos bastaría añadir al grupo "Administradores de

láser color" el grupo "Administradores del dominio" y al grupo "Usuarios de láser color"

los miembros del dominio autorizados a imprimir en ella. Este último paso lo podemos

hacer de un medio más eficiente si creamos un grupo global "Usuarios de impresora láser

color" y añadimos este grupo al grupo local "Usuarios de láser color". Para dar permisos de

impresión a los usuarios y grupos utilizaremos el administrador de Impresión de dicha

impresora, accesible desde el menú de inicio Configuración\Impresoras.

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Cada usuario en NT debe pertenecer a uno o varios grupos globales o locales,

indistintamente. Los grupos locales se definen en cada estación de trabajo NT o en cada

servidor. Para los servidores hay dos posibles configuraciones : si el servidor está

configurado como controlador de dominio, primario o secundario, los grupos locales son

los que se definen para todos los servidores controladores del dominio. Es decir, todos los

controladores del dominio comparten la misma lista de grupos locales. Para los servidores

configurados como servidor, los grupos locales se definen en el propio servidor, del mismo

modo en que se hacen con las estaciones de trabajo.

La siguiente tabla muestra los grupos de que se pueden crear en NT y los usuarios y

grupos que les pueden añadir.

Usuarios que se pueden crear en NT Work-

Station y Server ( no controlador de

dominio).

Usuarios y grupos que se pueden añadir a los

grupos.

Grupos Locales

Usuarios Locales.

Usuarios del Dominio.

Grupos Globales del Dominio.

otros dominios en los que se confía.

Usuarios Locales.

Usuarios que se pueden crear en NT Server

controlador de dominio.

Usuarios y grupos que se pueden añadir a los

grupos.

Grupos Locales

Grupos Globales y Usuarios Globales de

Usuarios Locales.

Usuarios del Dominio.

Grupos Globales del Dominio.

otros dominios en los que se confía.

Usuarios Locales.

Grupos Globales. Usuarios del dominio.

Usuarios del dominio.

Grupos Globales y Usuarios Globales de

Administración del plan de seguridad.

En NT se pueden fijar una serie de directivas comunes para todo el dominio. Entre

estas se puede fijar el plan de cuentas para el dominio, que fija propiedades de las cuentas

tales como la política de contraseñas, el plan de derechos de usuarios, que permite asignar

determinados permisos genéricos a usuarios o grupos del dominio, o el plan de auditoria,

que permite activar los elementos del sistema de auditoria en el dominio.

Administración del plan de cuentas.

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

Desde el menú Directivas\Cuentas podemos acceder al cuadro de diálogo "Plan de

cuentas". En este cuadro podemos fijar las limitaciones de las contraseñas y el sistema de

bloque de cuentas. Cuando se ha seleccionado caducidad para la contraseña de un usuario,

la contraseña utilizará las opciones elegidas en este cuadro de diálogo. Se puede elegir:

q

Duración máxima de la contraseña, en días.

q

Duración mínima de la contraseña, para que el usuario cambie dos veces su contraseña

q

y vuelva a usar la contraseña antigua.

q

Longitud mínima de la contraseña. Las contraseñas con más de 6 caracteres son

q

bruta". Esto es útil en redes conectadas a Internet.

difíciles de saltar por métodos de asalto masivo (crackers), también llamados de "fuerza

q

Historia de la contraseña, que obliga al usuario a no repetir las últimas contraseñas.

q

El sistema de bloqueo de cuentas permite a los controladores de dominio reaccionar

frente a los intentos fallidos de iniciar sesión en el dominio. Si se activa el bloque de

cuentas entonces al alcanzarse el numero de intentos especificado la cuenta es bloqueada.

Su el número de intentos fallidos no alcanza al especificado, el usuario puede esperar el

tiempo fijado en "restablecer cuenta" para poder volver a intentarlo. Fijando por ejemplo

estos parámetros a 4 intentos y 10 minutos suele bastar para disuadir de accesos no

autorizados. Una vez bloqueada la cuenta se puede elegir entre desbloqueo automático o

manual, con intervención del administrador del dominio.

También en este cuadro de diálogo se puede seleccionar si los usuarios remotos serán

desconectados de los servidores al acabar su tiempo de conexión y si un usuario debe

iniciar sesión en una estación de trabajo para poder cambiar su contraseña.

Bloqueo de Cuentas

Administración del plan de derechos de usuarios.

Los derechos de usuarios son una serie de permisos que no se aplican sobre un

objeto concreto, como un fichero, impresora o directorio, sino que se aplican al sistema

completo. Estos permisos tienen prioridad sobre los permisos asignados sobre los objetos

del sistema. Se pueden asignar a cada tipo de derecho de usuario los usuarios o grupos de

usuarios a los que se necesite otorgar ese derecho.

Los derechos de usuarios pueden ser modificados desde el cuadro de diálogo "Plan

de derechos de usuarios" accesible desde el menú Directivas\Derechos de usuarios.

Si se activa la casilla "Mostrar derechos de usuario avanzados" se pueden ver

algunos derechos de usuarios más específicos. Normalmente los derechos de usuario

asignados por NT asignan derechos suficientes a los grupos de usuarios creados por NT.

Cuando se instalan algunos servicios, como servidores de correo, de Web y similares suele

ser necesario cambiar algunos de estos derechos. Los más frecuentes suelen ser:

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

ing. Ali Huarache Francia

www.iespana.es/cpys cpssa@ec-red.com

en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a

los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También

lo usa el servicio de duplicación de directorios.

Iniciar sesión como servicio. Permite asignar un usuario a un servicio. Suele ser usuario

atienden las peticiones de usuarios en forma de transacciones, como por ejemplo

servidores POP3 y otros. Actualmente no está implementado en el sistema operativo,

pero algunos servicios verifican que el usuario posea este derecho antes de atender su

petición.

Iniciar sesión como proceso por lotes. Este derecho está pensado para los servicios que

PDF created with FinePrint pdfFactory Pro trial version

http://www.fineprint.com

Powered by Coranto
[an error occurred while processing this directive]