winnt - ALIPSO.COM: Monografías, resúmenes, biografias y tesis gratis.
Miércoles 23 de Octubre de 2019 | Hay 1 usuario online en este momento!
 

winnt

Imprimir Recomendar a un amigo Recordarme el recurso

windows nt

Agregado: 07 de FEBRERO de 2005 (Por eliud castillo gomez) | Palabras: 3253 | Votar! | Sin Votos | Sin comentarios | Agregar Comentario
Categoría: Apuntes y Monografías > Computación >
Material educativo de Alipso relacionado con winnt
  • winnt: windows nt

  • Enlaces externos relacionados con winnt


    Publicado por eliud castillo gomez pannthera@hotmail.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    CAPITULO V

    ADMINISTRADOR DE USUARIOS

    En NT hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre

    NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos

    de usuarios existe una herramienta de administración: el administrador de usuarios incluido

    en NT Workstation y el administrador de usuarios para dominios incluido en NT Server. El

    funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios

    dispone de más opciones. Por ello, se describirá el administrador de usuarios para

    dominios.

    Las tareas que se pueden realizar con el administrador de usuarios:

    - Añadir, modificar y eliminar usuarios del dominio.

    - Añadir, modificar y eliminar grupos locales y globales del dominio.

    - Fijar el plan de cuentas y contraseñas en el dominio.

    - Fijar la política de derechos de usuario en el dominio.

    - Establecer el sistema de auditoria en el dominio.

    - Establecer relaciones de confianza entre dominios.

    Figura Nro 01 Administrador de Usuarios, Pantalla Principal

    Cuentas de usuarios y grupos

    Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y

    grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la

    práctica.

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Aquí tienes algunos consejos importantes para realizar con éxito dicha planificación:

    El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias

    cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los

    recursos (puestos, archivos, impresoras, etc.):

    Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos

    para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo

    grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que

    un usuario puede pertenecer a varios grupos.

    Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u

    organización, sin embargo también es aconsejable pensar en los grupos de usuarios en

    función de los recursos que van a necesitar.

    Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta

    de grupo pero no modificaremos cada cuenta.

    Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han

    asignado útiles conjuntos de derechos y capacidades.

    Usuario nuevo

    Fig. Nro 02 Creación de Usuario Nuevo

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Fig. Nro 03 Usuario Nuevo, Rellenar todos los cuadros

    1. En este cuadro hay que rellenar una serie de campos:

    Nombre de usuario

    una palabra completa, sin espacios en blanco ni caracteres especiales, de hasta14 caracteres

    [verificar]. este identificador debe ser único en el dominio. Se le suele conocer también

    como nombre de cuenta o login. Este identificador es el que se debe suministrar, junto con

    la contraseña, para iniciar sesión en un dominio NT.

    : Es el identificador que representa al usuario en el dominio. Debe ser

    Nombre completo

    suele escribir el nombre u apellidos.

    : Es el nombre completo del usuario. Si este usuario es una persona se

    Descripción.

    departamento al que pertenecen el usuario, sobre todo si la base de datos de usuarios en el

    dominio es grande.

    Conviene añadir una descripción de la labor, grupo de personas o

    Contraseña

    mayúsculas y minúsculas, e incluso caracteres especiales. NT admite hasta 14 caracteres.

    Cuando se va escribiendo aparecen asteriscos, y una vez completada en el cuadro aparece

    una línea de asteriscos, siempre de la misma longitud.

    . Aquí se debe escribir la contraseña para el usuario. Puede incluir espacios,

    Repetir contraseña

    escrito correctamente.

    Tras estos campos aparecen una serie de botones activables:

    . Hay que introducir de nuevo la contraseña, para comprobar que se ha

    El usuario debe cambiar su contraseña

    solicitar que introduzca una nueva contraseña. Habitualmente los administradores crean los

    . La primera vez que inicia sesión en NT se va a

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    usuarios nuevos con contraseñas del tipo "cámbiame", que obligan al nuevo usuario a

    cambiar su contraseña al iniciar sesión por primera vez.

    El usuario no puede cambiar su contraseña

    especiales, y bloquea el cambio de contraseña por parte del usuario.

    . Se utiliza en tareas administrativas

    La contraseña nunca caduca

    utiliza normalmente sólo para algunos usuarios que lo necesitan.

    . Desactiva la caducidad de contraseñas para esta usuario. Se

    Cuenta desactivada.

    cuando el usuario no va a iniciar sesión durante un periodo de tiempo o cuando se va a

    cambiar la configuración o entorno del usuario y se necesita que no pueda acceder

    temporalmente al sistema.

    Al final del cuadro de diálogo aparecen varios botones:

    Permite bloquear la cuenta fácilmente sin borrarla. Se suele utilizar

    A. Grupos.

    tipos de grupos:

    Permite establecer los grupos a los que pertenece un usuario. En NT hay dos

    ü

    el icono de grupo global.

    Grupos globales. Válidos para dominios en los que se confían. Aparecen marcados con

    ü

    Además se puede asignar un grupo primario para el usuario [Este grupo es utilizado en

    entornos Macintosh]

    Grupos locales. Son grupos locales al servidor o estación de trabajo.

    B. Perfil

    Se puede establecer:

    . Permite controlar las características del entorno de un usuario.

    Perfil

    fichero en formato UNC (Univer name convention), es decir:

    \\servidor\recurso\directorio\fichero.bat.

    . Nombre del fichero que representa el perfil del usuario para NT. Hay que escribir un

    Archivo de inicio

    dominio. El archivo debe residir en el servidor que valida el inicio de sesión. Este fichero se

    debe hallar en la carpeta NETLOGON del servidor que valida el inicio de sesión.

    Directorio de trabajo. Admite dos modalidades de uso.

    . Asigna un archivo que se ejecutará al iniciar la sesión de red en el

    Ruta de acceso local

    Conectar una letra de unidad a una unidad de red del tipo \\servidor\recurso.

    A. El directorio de trabajo es el que aparece por defecto en los cuadros de diálogo de

    guardar un fichero en una aplicación Windows.

    . Utilizar una ruta local al ordenador en que se inicia la sesión.

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    C. Horas

    sesión.

    En este cuadro de diálogo se pueden fijar las horas de inicio de sesión en los servidores del

    dominio, en intervalos de 1 hora, para cada día de la semana. En principio una vez iniciada

    la sesión el usuario puede seguir trabajando en los servidores, aunque se puede modificar

    esto para que los servidores cierren la sesión del usuario al terminar las horas permitidas,

    mediante el cuadro de diálogo Plan de cuentas en el menú de Directivas del Administrador

    de Usuarios.

    . En el botón Horas podemos acceder al cuadro de diálogo de Horas de inicio de

    D. Iniciar desde

    cuales un usuario puede iniciar sesión. Se pueden especificar hasta 8 ordenadores que

    ejecuten NT, o permitir el inicio en todos los ordenadores del dominio.

    . Este cuadro de diálogo permite seleccionar los ordenadores desde los

    E. Cuenta

    cuenta y su duración. Se puede elegir que la cuenta caduque en una fecha determinada o

    que no tenga caducidad. También se puede especificar si es una cuenta global o local.

    . El cuadro de diálogo Información de cuenta permite especificar el tipo de

    F. Marcado

    marcado para el usuario.

    . El cuadro de diálogo de Marcado permite especificar las propiedades de

    Modificar un usuario.

    Utilizando el menú Usuario\Propiedades o haciendo doble clic sobre un usuario o

    grupo se puede modificar el mismo.

    Al modificar un usuario se acceden a los mismos cuadros de diálogo empleados al

    crearlo salvo que ahora aparece una casilla para cuentas bloqueadas. Si el bloqueo de

    cuentas está activado en el dominio y el usuario ha fallado el número de veces limitado para

    ese dominio, esta casilla aparece activada. Al desactivarla, la cuenta del usuario es

    desbloqueada.

    Nota importante: existe una ligera demora al cambiar las propiedades de un usuario

    o grupo del dominio, debido a que la base de datos de usuarios del dominio tarda unos

    minutos en actualizarse en los controladores secundarios. Se puede forzar la actualización

    inmediata mediante la sincronización manual de los servidores.

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Fig. Nro 04 Propiedades de Usuarios

    Creación de Grupos

    Para un NT Workstation (o Server configurado como servidor) el administrador de

    usuarios permite crear grupos locales, que sólo tienen validez en el propio ordenador. El

    administrador de usuarios para dominios permite crear dos tipos de grupos: globales y

    locales.

    Los grupos locales pueden obtener permisos en los servidores del dominio propio.

    Pueden ser miembros de los grupos locales los miembros del dominio, los grupos globales

    del dominio y los grupos globales de otros dominios en los que se confía. Los grupos

    globales tienen como miembros a los usuarios del dominio y se pueden utilizar tanto en los

    servidores del dominio como en las estaciones de trabajo del dominio. También se pueden

    usar en otros dominios en los que se confía.

    En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos

    locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un

    pequeño extracto de los manuales de ayuda.

    Grupos globales

    Un grupo global contiene una serie de cuentas de usuario de un dominio que están

    agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener

    cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo

    global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    trabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es

    asignar derechos y permisos a grupos locales, y usar el grupo global como método para

    agregar usuarios a grupos locales.

    Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios

    que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows

    NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo

    contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que

    ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como

    servidor miembro.

    La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir

    derechos y permisos en múltiples dominios (globales). Un grupo global sólo puede

    contener cuentas de usuario; no puede contener grupos locales ni otros grupos globales.

    Creación de un Grupo Global nuevo.

    Para añadir un grupo global nuevo se selecciona el menú Usuario\Grupo Global

    nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción

    opcional. Podemos además añadir usuarios al grupo.

    Para añadir un grupo local nuevo se selecciona el menú Usuario\Grupo Local nuevo

    y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional.

    Podemos además añadir usuarios al grupo.

    Fig. Nro 05 Creación de Grupo Global

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Fig. Nro 06 Creación de Grupo Global

    Grupos locales

    Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más

    dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos

    globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un

    dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y

    permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos

    de dicho dominio y otros dominios que confíen en él.

    Los grupos locales también existen en servidores miembro y equipos que ejecutan

    Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales.

    La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir

    derechos y permisos en un dominio único (local). Un grupo local no puede contener otros

    grupos locales.

    Creación Grupo Local Nuevo

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Fig. Nro 07 Creación de Grupos Locales

    Fig. Nro 08 Creación de Grupos Locales

    Estrategias para utilizar grupos locales y globales

    Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a

    muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor

    miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma

    independiente.

    Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder

    permisos para usar objetos en múltiples dominios y estaciones de trabajo.

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Por ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos

    globales como medio para agregar usuarios a los grupos locales de dominios que confían.

    Para extender los derechos y permisos de los usuarios a recursos de otros dominios,

    agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a

    un grupo local de un dominio que confía.

    Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el

    futuro, puede usar grupos globales agregados a grupos locales para conceder todos los

    derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos

    asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando

    una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos

    locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos

    globales se pueden agregar a los grupos locales del dominio nuevo.

    Los grupos globales de dominio también se pueden usar para propósitos administrativos en

    equipos con Windows NT Workstation o en servidores miembro con Windows NT Server.

    Por ejemplo, el grupo local Administradores de dominio se agrega de forma

    predeterminada al grupo local incorporado Administradores en todas las estaciones de

    trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo

    local Administradores de una estación de trabajo o servidor miembro permite que el

    administrador de red administre el equipo de forma remota creando grupos de programas,

    instalando software y solucionando los problemas del equipo.

    Usos de grupos locales y globales.

    El grupo administradores que se ha creado permite administrar todos los servidores

    del dominio. NT añade al grupo local administradores el grupo administradores del

    dominio. De igual manera ocurre con el grupo de usuarios e invitados.

    Cuando una estación de trabajo es añadida al dominio, NT añade automáticamente

    los tres grupos globales del dominio (administradores, usuario e invitados del dominio) a

    los grupos locales correspondientes de la estación de trabajo.

    Los grupos locales se utilizan para asignar tareas especiales en las estaciones de

    trabajo o servidores del dominio. Por ejemplo se pueden crear los grupos especiales para

    trabajar con el recurso como una impresora láser en color, cuyo acceso queremos restringir.

    Uno lo podemos llamar "Administradores de láser color" y otro "Usuarios de láser color".

    Ahora basta dar permisos de impresión al grupo "Usuarios de láser color" y control total al

    grupo "Administradores de láser color".

    Para añadir usuarios a estos grupos bastaría añadir al grupo "Administradores de

    láser color" el grupo "Administradores del dominio" y al grupo "Usuarios de láser color"

    los miembros del dominio autorizados a imprimir en ella. Este último paso lo podemos

    hacer de un medio más eficiente si creamos un grupo global "Usuarios de impresora láser

    color" y añadimos este grupo al grupo local "Usuarios de láser color". Para dar permisos de

    impresión a los usuarios y grupos utilizaremos el administrador de Impresión de dicha

    impresora, accesible desde el menú de inicio Configuración\Impresoras.

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Cada usuario en NT debe pertenecer a uno o varios grupos globales o locales,

    indistintamente. Los grupos locales se definen en cada estación de trabajo NT o en cada

    servidor. Para los servidores hay dos posibles configuraciones : si el servidor está

    configurado como controlador de dominio, primario o secundario, los grupos locales son

    los que se definen para todos los servidores controladores del dominio. Es decir, todos los

    controladores del dominio comparten la misma lista de grupos locales. Para los servidores

    configurados como servidor, los grupos locales se definen en el propio servidor, del mismo

    modo en que se hacen con las estaciones de trabajo.

    La siguiente tabla muestra los grupos de que se pueden crear en NT y los usuarios y

    grupos que les pueden añadir.

    Usuarios que se pueden crear en NT Work-

    Station y Server ( no controlador de

    dominio).

    Usuarios y grupos que se pueden añadir a los

    grupos.

    Grupos Locales

    Usuarios Locales.

    Usuarios del Dominio.

    Grupos Globales del Dominio.

    otros dominios en los que se confía.

    Usuarios Locales.

    Usuarios que se pueden crear en NT Server

    controlador de dominio.

    Usuarios y grupos que se pueden añadir a los

    grupos.

    Grupos Locales

    Grupos Globales y Usuarios Globales de

    Usuarios Locales.

    Usuarios del Dominio.

    Grupos Globales del Dominio.

    otros dominios en los que se confía.

    Usuarios Locales.

    Grupos Globales. Usuarios del dominio.

    Usuarios del dominio.

    Grupos Globales y Usuarios Globales de

    Administración del plan de seguridad.

    En NT se pueden fijar una serie de directivas comunes para todo el dominio. Entre

    estas se puede fijar el plan de cuentas para el dominio, que fija propiedades de las cuentas

    tales como la política de contraseñas, el plan de derechos de usuarios, que permite asignar

    determinados permisos genéricos a usuarios o grupos del dominio, o el plan de auditoria,

    que permite activar los elementos del sistema de auditoria en el dominio.

    Administración del plan de cuentas.

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    Desde el menú Directivas\Cuentas podemos acceder al cuadro de diálogo "Plan de

    cuentas". En este cuadro podemos fijar las limitaciones de las contraseñas y el sistema de

    bloque de cuentas. Cuando se ha seleccionado caducidad para la contraseña de un usuario,

    la contraseña utilizará las opciones elegidas en este cuadro de diálogo. Se puede elegir:

    q

    Duración máxima de la contraseña, en días.

    q

    Duración mínima de la contraseña, para que el usuario cambie dos veces su contraseña

    q

    y vuelva a usar la contraseña antigua.

    q

    Longitud mínima de la contraseña. Las contraseñas con más de 6 caracteres son

    q

    bruta". Esto es útil en redes conectadas a Internet.

    difíciles de saltar por métodos de asalto masivo (crackers), también llamados de "fuerza

    q

    Historia de la contraseña, que obliga al usuario a no repetir las últimas contraseñas.

    q

    El sistema de bloqueo de cuentas permite a los controladores de dominio reaccionar

    frente a los intentos fallidos de iniciar sesión en el dominio. Si se activa el bloque de

    cuentas entonces al alcanzarse el numero de intentos especificado la cuenta es bloqueada.

    Su el número de intentos fallidos no alcanza al especificado, el usuario puede esperar el

    tiempo fijado en "restablecer cuenta" para poder volver a intentarlo. Fijando por ejemplo

    estos parámetros a 4 intentos y 10 minutos suele bastar para disuadir de accesos no

    autorizados. Una vez bloqueada la cuenta se puede elegir entre desbloqueo automático o

    manual, con intervención del administrador del dominio.

    También en este cuadro de diálogo se puede seleccionar si los usuarios remotos serán

    desconectados de los servidores al acabar su tiempo de conexión y si un usuario debe

    iniciar sesión en una estación de trabajo para poder cambiar su contraseña.

    Bloqueo de Cuentas

    Administración del plan de derechos de usuarios.

    Los derechos de usuarios son una serie de permisos que no se aplican sobre un

    objeto concreto, como un fichero, impresora o directorio, sino que se aplican al sistema

    completo. Estos permisos tienen prioridad sobre los permisos asignados sobre los objetos

    del sistema. Se pueden asignar a cada tipo de derecho de usuario los usuarios o grupos de

    usuarios a los que se necesite otorgar ese derecho.

    Los derechos de usuarios pueden ser modificados desde el cuadro de diálogo "Plan

    de derechos de usuarios" accesible desde el menú Directivas\Derechos de usuarios.

    Si se activa la casilla "Mostrar derechos de usuario avanzados" se pueden ver

    algunos derechos de usuarios más específicos. Normalmente los derechos de usuario

    asignados por NT asignan derechos suficientes a los grupos de usuarios creados por NT.

    Cuando se instalan algunos servicios, como servidores de correo, de Web y similares suele

    ser necesario cambiar algunos de estos derechos. Los más frecuentes suelen ser:

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    ing. Ali Huarache Francia

    www.iespana.es/cpys cpssa@ec-red.com

    en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a

    los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También

    lo usa el servicio de duplicación de directorios.

    Iniciar sesión como servicio. Permite asignar un usuario a un servicio. Suele ser usuario

    atienden las peticiones de usuarios en forma de transacciones, como por ejemplo

    servidores POP3 y otros. Actualmente no está implementado en el sistema operativo,

    pero algunos servicios verifican que el usuario posea este derecho antes de atender su

    petición.

    Iniciar sesión como proceso por lotes. Este derecho está pensado para los servicios que

    PDF created with FinePrint pdfFactory Pro trial version

    http://www.fineprint.com

    Powered by Coranto

    Comentarios de los usuarios


    Agregar un comentario:


    Nombre y apellido:

    E-Mail:

    Asunto:

    Opinión:



    Aún no hay comentarios para este recurso.
     
    Sobre ALIPSO.COM

    Monografias, Exámenes, Universidades, Terciarios, Carreras, Cursos, Donde Estudiar, Que Estudiar y más: Desde 1999 brindamos a los estudiantes y docentes un lugar para publicar contenido educativo y nutrirse del conocimiento.

    Contacto »
    Contacto

    Teléfono: +54 (011) 3535-7242
    Email:

    Formulario de Contacto Online »