|
Publicado por eliud castillo gomez pannthera@hotmail.com ing. Ali Huarache Francia CAPITULO V ADMINISTRADOR DE USUARIOS En NT hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos de usuarios existe una herramienta de administración: el administrador de usuarios incluido en NT Workstation y el administrador de usuarios para dominios incluido en NT Server. El funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios dispone de más opciones. Por ello, se describirá el administrador de usuarios para dominios. Las tareas que se pueden realizar con el administrador de usuarios: - Añadir, modificar y eliminar usuarios del dominio. - Añadir, modificar y eliminar grupos locales y globales del dominio. - Fijar el plan de cuentas y contraseñas en el dominio. - Fijar la política de derechos de usuario en el dominio. - Establecer el sistema de auditoria en el dominio. - Establecer relaciones de confianza entre dominios. Figura Nro 01 Administrador de Usuarios, Pantalla Principal Cuentas de usuarios y grupos Es muy importante planificar cuidadosamente la administración de las cuentas de usuario y grupos, no obstante disponemos de sencillas y potentes herramientas para llevarlo a la práctica. PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Aquí tienes algunos consejos importantes para realizar con éxito dicha planificación: El mantenimiento de los permisos y derechos de un grupo es más sencillo que el de varias cuentas de usuario, generalmente usaremos los grupos para administrar el acceso a los recursos (puestos, archivos, impresoras, etc.): Es obvio que sobre el directorio personal de un usuario aplicaremos permisos específicos para dicho usuario, pero si necesitamos que varios usuarios de distintos o de un mismo grupo accedan al mismo recurso es recomendable crear un nuevo grupo para tal fin, ya que un usuario puede pertenecer a varios grupos. Muchas veces creamos grupos utilizando el mismo esquema de nuestra empresa u organización, sin embargo también es aconsejable pensar en los grupos de usuarios en función de los recursos que van a necesitar. Cambiaremos los permisos proporcionados a un conjunto de usuarios utilizando la cuenta de grupo pero no modificaremos cada cuenta. Intentaremos aprovechar los grupos predefinidos de Windows NT, a los que se han asignado útiles conjuntos de derechos y capacidades. Usuario nuevo Fig. Nro 02 Creación de Usuario Nuevo PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Fig. Nro 03 Usuario Nuevo, Rellenar todos los cuadros 1. En este cuadro hay que rellenar una serie de campos: Nombre de usuario una palabra completa, sin espacios en blanco ni caracteres especiales, de hasta14 caracteres [verificar]. este identificador debe ser único en el dominio. Se le suele conocer también como nombre de cuenta o login. Este identificador es el que se debe suministrar, junto con la contraseña, para iniciar sesión en un dominio NT. Nombre completo suele escribir el nombre u apellidos. Descripción. departamento al que pertenecen el usuario, sobre todo si la base de datos de usuarios en el dominio es grande. Contraseña mayúsculas y minúsculas, e incluso caracteres especiales. NT admite hasta 14 caracteres. Cuando se va escribiendo aparecen asteriscos, y una vez completada en el cuadro aparece una línea de asteriscos, siempre de la misma longitud. Repetir contraseña escrito correctamente. Tras estos campos aparecen una serie de botones activables: El usuario debe cambiar su contraseña solicitar que introduzca una nueva contraseña. Habitualmente los administradores crean los PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia usuarios nuevos con contraseñas del tipo "cámbiame", que obligan al nuevo usuario a cambiar su contraseña al iniciar sesión por primera vez. El usuario no puede cambiar su contraseña especiales, y bloquea el cambio de contraseña por parte del usuario. La contraseña nunca caduca utiliza normalmente sólo para algunos usuarios que lo necesitan. Cuenta desactivada. cuando el usuario no va a iniciar sesión durante un periodo de tiempo o cuando se va a cambiar la configuración o entorno del usuario y se necesita que no pueda acceder temporalmente al sistema. Al final del cuadro de diálogo aparecen varios botones: A. Grupos. tipos de grupos: ü el icono de grupo global. ü Además se puede asignar un grupo primario para el usuario [Este grupo es utilizado en entornos Macintosh] B. Perfil Se puede establecer: Perfil fichero en formato UNC (Univer name convention), es decir: \\servidor\recurso\directorio\fichero.bat. Archivo de inicio dominio. El archivo debe residir en el servidor que valida el inicio de sesión. Este fichero se debe hallar en la carpeta NETLOGON del servidor que valida el inicio de sesión. Directorio de trabajo. Admite dos modalidades de uso. Ruta de acceso local Conectar una letra de unidad a una unidad de red del tipo \\servidor\recurso. A. El directorio de trabajo es el que aparece por defecto en los cuadros de diálogo de guardar un fichero en una aplicación Windows. PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia C. Horas sesión. En este cuadro de diálogo se pueden fijar las horas de inicio de sesión en los servidores del dominio, en intervalos de 1 hora, para cada día de la semana. En principio una vez iniciada la sesión el usuario puede seguir trabajando en los servidores, aunque se puede modificar esto para que los servidores cierren la sesión del usuario al terminar las horas permitidas, mediante el cuadro de diálogo Plan de cuentas en el menú de Directivas del Administrador de Usuarios. D. Iniciar desde cuales un usuario puede iniciar sesión. Se pueden especificar hasta 8 ordenadores que ejecuten NT, o permitir el inicio en todos los ordenadores del dominio. E. Cuenta cuenta y su duración. Se puede elegir que la cuenta caduque en una fecha determinada o que no tenga caducidad. También se puede especificar si es una cuenta global o local. F. Marcado marcado para el usuario. Modificar un usuario. Utilizando el menú Usuario\Propiedades o haciendo doble clic sobre un usuario o grupo se puede modificar el mismo. Al modificar un usuario se acceden a los mismos cuadros de diálogo empleados al crearlo salvo que ahora aparece una casilla para cuentas bloqueadas. Si el bloqueo de cuentas está activado en el dominio y el usuario ha fallado el número de veces limitado para ese dominio, esta casilla aparece activada. Al desactivarla, la cuenta del usuario es desbloqueada. Nota importante: existe una ligera demora al cambiar las propiedades de un usuario o grupo del dominio, debido a que la base de datos de usuarios del dominio tarda unos minutos en actualizarse en los controladores secundarios. Se puede forzar la actualización inmediata mediante la sincronización manual de los servidores. PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Fig. Nro 04 Propiedades de Usuarios Creación de Grupos Para un NT Workstation (o Server configurado como servidor) el administrador de usuarios permite crear grupos locales, que sólo tienen validez en el propio ordenador. El administrador de usuarios para dominios permite crear dos tipos de grupos: globales y locales. Los grupos locales pueden obtener permisos en los servidores del dominio propio. Pueden ser miembros de los grupos locales los miembros del dominio, los grupos globales del dominio y los grupos globales de otros dominios en los que se confía. Los grupos globales tienen como miembros a los usuarios del dominio y se pueden utilizar tanto en los servidores del dominio como en las estaciones de trabajo del dominio. También se pueden usar en otros dominios en los que se confía. En un dominio de Windows NT Server se pueden mantener dos tipos de grupos: grupos locales y grupos globales, para comprender la utilidad de cada uno hemos hecho un pequeño extracto de los manuales de ayuda. Grupos globales Un grupo global contiene una serie de cuentas de usuario de un dominio que están agrupadas bajo un nombre de cuenta de grupo. Un grupo global sólo puede contener cuentas de usuario del dominio donde se creó el grupo global. Una vez que se crea un grupo global, se le puede asignar permisos y derechos en su propio dominio sobre estaciones de PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia trabajo o servidores miembro, o sobre dominios que confían. Sin embargo, lo mejor es asignar derechos y permisos a grupos locales, y usar el grupo global como método para agregar usuarios a grupos locales. Los grupos globales se pueden agregar a grupos locales del mismo dominio, en dominios que confían en dicho dominio, o en servidores miembro o equipos que ejecuten Windows NT Workstation en el mismo dominio o en uno que confía. Los grupos globales sólo contienen cuentas de usuario de dominio. No puede crear un grupo global en un equipo que ejecute Windows NT Workstation o en un equipo que ejecute Windows NT Server como servidor miembro. La palabra "globales" en "grupos globales" indica que el grupo está disponible para recibir derechos y permisos en múltiples dominios (globales). Un grupo global sólo puede contener cuentas de usuario; no puede contener grupos locales ni otros grupos globales. Creación de un Grupo Global nuevo. Para añadir un grupo global nuevo se selecciona el menú Usuario\Grupo Global nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional. Podemos además añadir usuarios al grupo. Para añadir un grupo local nuevo se selecciona el menú Usuario\Grupo Local nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional. Podemos además añadir usuarios al grupo. Fig. Nro 05 Creación de Grupo Global PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Fig. Nro 06 Creación de Grupo Global Grupos locales Un grupo local contiene cuentas de usuario y cuentas de grupo globales de uno o más dominios, agrupados bajo un nombre de cuenta de grupo. Los usuarios y los grupos globales de fuera del dominio local sólo se pueden agregar al grupo local si pertenecen a un dominio que confía. Los grupos locales hacen posible la rápida asignación de derechos y permisos sobre los recursos de un dominio (es decir, el dominio local) a usuarios y grupos de dicho dominio y otros dominios que confíen en él. Los grupos locales también existen en servidores miembro y equipos que ejecutan Windows NT Workstation, y pueden contener cuentas de usuario y grupos globales. La palabra "locales" de "grupos locales" indica que el grupo está disponible para recibir derechos y permisos en un dominio único (local). Un grupo local no puede contener otros grupos locales. Creación Grupo Local Nuevo PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Fig. Nro 07 Creación de Grupos Locales Fig. Nro 08 Creación de Grupos Locales Estrategias para utilizar grupos locales y globales Un grupo local es una entidad de seguridad única a la que se puede conceder acceso a muchos objetos de una única ubicación (un dominio, una estación de trabajo o un servidor miembro) en vez de tener que editar los permisos sobre todos esos objetos de forma independiente. Con los grupos globales puede agrupar las cuentas de usuario a las que podría conceder permisos para usar objetos en múltiples dominios y estaciones de trabajo. PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Por ejemplo, en una configuración de múltiples dominios, puede pensar en los grupos globales como medio para agregar usuarios a los grupos locales de dominios que confían. Para extender los derechos y permisos de los usuarios a recursos de otros dominios, agregue sus cuentas a un grupo global de su dominio y después agregue el grupo global a un grupo local de un dominio que confía. Incluso en un dominio único, si recuerda que puede agregar dominios adicionales en el futuro, puede usar grupos globales agregados a grupos locales para conceder todos los derechos y permisos. Posteriormente, si se crea otro dominio, los derechos y permisos asignados a sus grupos locales pueden extenderse a los usuarios del dominio nuevo creando una relación de confianza y agregando grupos globales del dominio nuevo a sus grupos locales. De la misma manera, si el dominio nuevo confía en su dominio, sus grupos globales se pueden agregar a los grupos locales del dominio nuevo. Los grupos globales de dominio también se pueden usar para propósitos administrativos en equipos con Windows NT Workstation o en servidores miembro con Windows NT Server. Por ejemplo, el grupo local Administradores de dominio se agrega de forma predeterminada al grupo local incorporado Administradores en todas las estaciones de trabajo o servidores miembro que se unen a un dominio existente. La pertenencia al grupo local Administradores de una estación de trabajo o servidor miembro permite que el administrador de red administre el equipo de forma remota creando grupos de programas, instalando software y solucionando los problemas del equipo. Usos de grupos locales y globales. El grupo administradores que se ha creado permite administrar todos los servidores del dominio. NT añade al grupo local administradores el grupo administradores del dominio. De igual manera ocurre con el grupo de usuarios e invitados. Cuando una estación de trabajo es añadida al dominio, NT añade automáticamente los tres grupos globales del dominio (administradores, usuario e invitados del dominio) a los grupos locales correspondientes de la estación de trabajo. Los grupos locales se utilizan para asignar tareas especiales en las estaciones de trabajo o servidores del dominio. Por ejemplo se pueden crear los grupos especiales para trabajar con el recurso como una impresora láser en color, cuyo acceso queremos restringir. Uno lo podemos llamar "Administradores de láser color" y otro "Usuarios de láser color". Ahora basta dar permisos de impresión al grupo "Usuarios de láser color" y control total al grupo "Administradores de láser color". Para añadir usuarios a estos grupos bastaría añadir al grupo "Administradores de láser color" el grupo "Administradores del dominio" y al grupo "Usuarios de láser color" los miembros del dominio autorizados a imprimir en ella. Este último paso lo podemos hacer de un medio más eficiente si creamos un grupo global "Usuarios de impresora láser color" y añadimos este grupo al grupo local "Usuarios de láser color". Para dar permisos de impresión a los usuarios y grupos utilizaremos el administrador de Impresión de dicha impresora, accesible desde el menú de inicio Configuración\Impresoras. PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Cada usuario en NT debe pertenecer a uno o varios grupos globales o locales, indistintamente. Los grupos locales se definen en cada estación de trabajo NT o en cada servidor. Para los servidores hay dos posibles configuraciones : si el servidor está configurado como controlador de dominio, primario o secundario, los grupos locales son los que se definen para todos los servidores controladores del dominio. Es decir, todos los controladores del dominio comparten la misma lista de grupos locales. Para los servidores configurados como servidor, los grupos locales se definen en el propio servidor, del mismo modo en que se hacen con las estaciones de trabajo. La siguiente tabla muestra los grupos de que se pueden crear en NT y los usuarios y grupos que les pueden añadir. Usuarios que se pueden crear en NT Work- Station y Server ( no controlador de dominio). Usuarios y grupos que se pueden añadir a los grupos. Grupos Locales • • • • otros dominios en los que se confía. Usuarios Locales. Usuarios que se pueden crear en NT Server controlador de dominio. Usuarios y grupos que se pueden añadir a los grupos. Grupos Locales • • • • otros dominios en los que se confía. Usuarios Locales. Grupos Globales. Usuarios del dominio. Usuarios del dominio. Administración del plan de seguridad. En NT se pueden fijar una serie de directivas comunes para todo el dominio. Entre estas se puede fijar el plan de cuentas para el dominio, que fija propiedades de las cuentas tales como la política de contraseñas, el plan de derechos de usuarios, que permite asignar determinados permisos genéricos a usuarios o grupos del dominio, o el plan de auditoria, que permite activar los elementos del sistema de auditoria en el dominio. Administración del plan de cuentas. PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Desde el menú Directivas\Cuentas podemos acceder al cuadro de diálogo "Plan de cuentas". En este cuadro podemos fijar las limitaciones de las contraseñas y el sistema de bloque de cuentas. Cuando se ha seleccionado caducidad para la contraseña de un usuario, la contraseña utilizará las opciones elegidas en este cuadro de diálogo. Se puede elegir: q q q q q bruta". Esto es útil en redes conectadas a Internet. q q El sistema de bloqueo de cuentas permite a los controladores de dominio reaccionar frente a los intentos fallidos de iniciar sesión en el dominio. Si se activa el bloque de cuentas entonces al alcanzarse el numero de intentos especificado la cuenta es bloqueada. Su el número de intentos fallidos no alcanza al especificado, el usuario puede esperar el tiempo fijado en "restablecer cuenta" para poder volver a intentarlo. Fijando por ejemplo estos parámetros a 4 intentos y 10 minutos suele bastar para disuadir de accesos no autorizados. Una vez bloqueada la cuenta se puede elegir entre desbloqueo automático o manual, con intervención del administrador del dominio. También en este cuadro de diálogo se puede seleccionar si los usuarios remotos serán desconectados de los servidores al acabar su tiempo de conexión y si un usuario debe iniciar sesión en una estación de trabajo para poder cambiar su contraseña. Administración del plan de derechos de usuarios. Los derechos de usuarios son una serie de permisos que no se aplican sobre un objeto concreto, como un fichero, impresora o directorio, sino que se aplican al sistema completo. Estos permisos tienen prioridad sobre los permisos asignados sobre los objetos del sistema. Se pueden asignar a cada tipo de derecho de usuario los usuarios o grupos de usuarios a los que se necesite otorgar ese derecho. Los derechos de usuarios pueden ser modificados desde el cuadro de diálogo "Plan de derechos de usuarios" accesible desde el menú Directivas\Derechos de usuarios. Si se activa la casilla "Mostrar derechos de usuario avanzados" se pueden ver algunos derechos de usuarios más específicos. Normalmente los derechos de usuario asignados por NT asignan derechos suficientes a los grupos de usuarios creados por NT. Cuando se instalan algunos servicios, como servidores de correo, de Web y similares suele ser necesario cambiar algunos de estos derechos. Los más frecuentes suelen ser: PDF created with FinePrint pdfFactory Pro trial version ing. Ali Huarache Francia Ø en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También lo usa el servicio de duplicación de directorios. Ø atienden las peticiones de usuarios en forma de transacciones, como por ejemplo servidores POP3 y otros. Actualmente no está implementado en el sistema operativo, pero algunos servicios verifican que el usuario posea este derecho antes de atender su petición. PDF created with FinePrint pdfFactory Pro trial version
Aún no hay comentarios para este recurso.
Monografias, Exámenes, Universidades, Terciarios, Carreras, Cursos, Donde Estudiar, Que Estudiar y más: Desde 1999 brindamos a los estudiantes y docentes un lugar para publicar contenido educativo y nutrirse del conocimiento.
Contacto »