Directivas de Usuarios y Grupos

Directivas de Equipo y de Usuario

Directivas de Usuarios

La directiva de usuario es el nivel de directiva más bajo que se puede administrar. Cada usuario tiene un archivo de configuración de directiva individual. Los cambios que se hagan en este nivel de directiva sólo se aplican al usuario que ha iniciado la sesión actual. El nivel de directiva de usuario se restringe a lo que puede especificar.

Puesto que este nivel lo puede configurar el usuario que ha iniciado la sesión actual, los administradores del nivel de directiva de empresa deben ser conscientes de que el usuario puede alterar los cambios de directiva realizados en el nivel de directiva de usuario. El nivel de directiva de usuario no puede dar a un ensamblado más permisos que los especificados en los niveles de directiva superiores. Sin embargo, el nivel de directiva de usuario puede reducir los permisos, lo que podría ocasionar que las aplicaciones dejaran de funcionar correctamente. Si se aplica el atributo LevelFinal a un grupo de código en el nivel de equipo o de empresa, el nivel de usuario no puede endurecer las decisiones de directiva tomadas en esos niveles.

La administración del nivel de usuario es adecuada en algunas situaciones para endurecer la seguridad. Por ejemplo, un usuario puede decidir endurecer la directiva de seguridad para los ensamblados cuyo origen es la zona de la intranet local si allí se encuentra código que no es de confianza. Puede considerar la posibilidad de administrar la directiva en este nivel si es un usuario en una red corporativa y piensa que la configuración de la seguridad no es lo suficientemente estricta.

Directivas de grupo

Las directivas de grupo, son un conjunto de una o varias políticas de sistema y cada una de las políticas de sistema, actúa sobre un objeto, definiendo sus características. Por ejemplo podemos activar una política de grupo, que oculte los iconos del escritorio.

Windows Server 2003, permite configurar el sistema y el entorno del usuario gracias a las directivas de grupo. La configuración de las directivas de grupo se hace normalmente sobre la unidad organizativa, otorgándole al administrador un control más exhaustivo sobre la configuración del sistema y de los usuarios.
Puesto que las directivas de grupo, están diseñadas para aplicarlas sobre todos los usuarios de nuestra red, hacen que resulte más fácil el trabajo del administrador. Una vez configurada una directiva de grupo en una o varias cuentas de usuario, esta se aplica automáticamente a la unidad administrativa. Por ejemplo, podemos ocultar el icono Mi PC o la Papelera, aplicando las directivas de grupo.

Veamos un ejemplo:

Vamos a inicio, herramientas administrativas, usuarios y equipos de active directory.

Escogemos la unidad organizativa en nuestro caso “trabajadores”, le damos clic con el botón derecho del ratón y escogemos propiedades.

Pulsamos en el botón nuevo, le damos nombre al vinculo de objetos, que en mi caso coloco, limpieza de escritorio. Después pulsamos en editar.

 



Escogemos a nuestra izquierda, configuración de usuario, plantillas administrativas, escritorio y a nuestra derecha escogemos, quitar el asistente para limpieza de escritorio dándole doble clic.

Escogemos habilitada y pulsamos en aceptar.

Solo nos queda cerrar ventanas y aceptar los cambios.

Como podéis comprobar es muy sencillo modificar el comportamiento de los usuarios.

Ver Post

Gestion de Usuarios [Windows Server 2003]

GESTION DE USUARIOS

La gestión de los usuarios es, hoy en día, un área de entidad propia, en la medida en que la relación de éstos con los sistemas es crucial a la hora de asegurar un correcto funcionamiento de los servicios puestos a su disposición. En ocasiones, se da por supuesto que los usuarios son capaces de asumir cualquier incorporación tecnológica sin necesidad de soporte adicional, lo cual da lugar a problemáticas específicas.

Usuarios avanzados (Dominio)

Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario pero únicamente pueden modificar y eliminar las cuentas que creen. Pueden crear grupos locales y quitar usuarios de los grupos locales que hayan creado. También pueden quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados.
No pueden modificar los grupos Administradores u Operadores de copia de seguridad, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoria y seguridad.

El usuario proporciona su contraseña y nombre de usuario durante el proceso de inicio y Active Directory dichos datos, una vez comprobado los datos ingresados se le concede el acceso a la red.

Usuarios (Locales)

Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y cerrar y bloquear la estación de trabajo. Pueden crear grupos locales pero únicamente pueden modificar los grupos locales que hayan creado. No pueden compartir directorios ni crear impresoras locales.

Invitados
El grupo Invitados permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión con una cuenta de Invitado.

 

Administradores
Los miembros del grupo Administradores tienen control total sobre el equipo. Sólo a este grupo integrado se conceden automáticamente todos los derechos y capacidades integradas del sistema.

 

 CUENTAS DE USUARIOS LOCALES Y DE DOMINIO

Todos los usuarios pertenecen a uno o más grupos,de forma que se asignan derechos y privilegios a los grupos incorporados o personalizados y el usuario recibe estos derechos al convertirse miembro de un grupo.

Para acceder a Windows Server 2003,el usuario debe tener una cuenta de usuario válida.Una cuenta de usuario determina tres importantes factores:cuándo es posible que inicie sesión un usuario,dentro de qué dominio o grupo de trabajo puede iniciar sesión un usuario y el nivel de privilegios que tiene asignado.Los elementos principales de una cuenta de usuario son el nombre de inicio de sesión,la contraseña,el estado de miembro de grupo y las horas permitidas para el inicio de sesión.

Windows Server 2003 permite dos tipos de cuenta de usuario:local y de dominio.Las cuentas locales son compatibles con todos los sistemas de Windows Server 2003 excepto los controladores de dominio,que se mantienen en el sistema local y no se distribuyen a otros sistemas.La base de datos de seguridad local administra la información de la cuenta de usuario.La cuenta de usuario de dominio permite el acceso en un dominio y proporciona administración de cuenta de usuario centralizada utilizando los elementos de Active Directory.

• CUENTAS DE USUARIOS LOCALES

Como mínimo,las cuentas de administrador y de invitado ya existirían como cuentas locales,ya que está incorporadas en el sistema operativo.La cuenta de administrador permite la administración de cuentas de usuario,la adminstración de grupos y directivas para los sistemas locales.La cuenta de invitado está diseñada para usuarios temporales que requieren un acceso limitado al sistema.

Creación de una cuenta de usuario local

Las cuentas de usuarios están constituidas por dos datos obligatorios:el nombre de usuario y la contraseña.Otra información personal es opcional.A continuación presentamos algunas restricciones y sugerencias para la creación de nombres de usuario y contraseñas:

• Los nombres de usuario y de inicio son intransferibles.Los nombres de las cuentas de dominio deben ser únicos en el dominio,aunque se pueda utilizar el mismo nombre de inicio de sesión local.Los nombre de inicio de sesión no distinguen entre mayúsculas y minúsculas,no deben contener más de 20 caractéres,de entre los cuales no se pueden encontrar los siguientes: + , * , < , > , / , \ , [ , ] , : y ; .
• Las contraseñas no deben ser o contener elementos como palabras completas,nombres de familiares,referencias de la cultura popular,mascotas y lugares.Deben contener caracteres numéricos y alfanuméricos y no deben ser iguales que el nombre del usuario.El número máximo de caracteres es de 128 y el mínimo está determinado por la directiva de grupo.

Creación:

Inicio --> Programas --> Herramientas administrativas --> Administración de equipos

En el complemento Administración de equipos,haremos clic en Herramientas del sistema --> Usuarios y grupos locales.Hacemos clic con el botón derecho sobre Usuarios y seleccionamos Usuario nuevo...,apareciendo el cuadro de diálogo Usuario Nuevo.

El campo Nombre de usuario debe contener el nombre de inicio de sesión del usuario.Introduce el nombre de usuario,el nombre completo y la descripción del usuario.Haz clic en Cerrar para finalizar la creación del nuevo usuario.

• CUENTAS DE USUARIO DE DOMINIO

Una cuenta de usuario de dominio permite el acceso a los recursos de un dominio o árbol de dominio.Esta cuenta se crea en un contenedor de dominios en la base de datos de Active Directory y después se propaga a todos los demás controladores de dominio,permitiendo al usuario acceder a cualquier sistema o recurso del dominio.

Creación

NOTA: Para realizar la creación de este tipo de cuentas es necesario tener instalado el Active Directory.

- Hay que iniciar sesión con privilegios administrativos.

-Inicio --> Programas --> Herramientas administrativas --> Usuarios y equipos de Active Directory .

Señalamos,en este caso,el apartado Users dentro de nuestro dominio.Con el botón derecho seleccionamos Nuevo --> Usuario.

En esta ocasión,el cuadro de diálogo se llama Nuevo objeto con algunas ligeras diferencias respecto a la creación de usuarios locales.

Introducimos el nombre y apellidos del usuario en los respectivos apartados,además del nombre de usuario en el cuadro Nombre de inicio de sesión de usuario.Este nombre,junto con el nombre de dominio del usuario (ejemplo: nombre@gisela.org) identifica de manera exclusiva a un usuario en un dominio,árbol o bosque.No se debe confundir esto con un nombre de dominio DNS de Internet externo.Una vez rellenados los campos haremos clic en Siguiente>

Introducimos una contraseña para el usuario en el cuadro Contraseña ,confirmandola nuevamente justo debajo.Justo debajo aparecen una serie de opciones de contraseña:

- El usuario debe cambiar la contraseña en el siguiente inicio de sesión: La contraseña que se acaba de asignar cambiará la próxima vez que el usuario inicie sesión.

- El usuario no puede cambiar la contraseña: La contraseña de la cuenta sólo se puede cambiar con privilegios de administrador.

- La contraseña nunca caduca: El usuario no tiene que cambiar la contraseña periodicamente.

- La cuenta está deshabilitada: Desactiva una cuenta cuando el usuario no la necesita.Puede ser útil en caso de ausencias prolongadas o si tiene planificadas cuentas en un futuro.

Una vez elegidas las opciones oportunas,pulsaremos Siguiente > para acceder a la pantalla de confirmación y finalmente Finalizar.

Ya aparecerá el nuevo usuario en el contenedor de Active Directory.

• GRUPOS

Un grupo es una colección de usuarios,equipos y otras entidades.Puede tratarse de un grupo incorporado de Windows Server 2003 o uno creado por el administrador de sistemas para ajustarse a los atributos requeridos.Dichos grupos están incorporados en el sistema operativo de forma que las tareas comunes se puedan asignar a los usuarios con un conjunto definido de especificaciones y permisos.

Los grupos imponen permisos de seguridad o llevan a cabo funciones de distribución.Realizan tres tareas principales:

1. Los grupos de seguridad asignan principalmente permisos limitados a los grupos que necesitan acceso a ciertas carpetas,aplicaciones y equipos.
2. Los grupos de seguridad también filtran el efecto de directivas de grupo asignado a sus miembros por medio del Objeto de directiva de grupo (GPO).
3. Los grupos de distribución facilitan la información de correo electronico y de contacto.

  

Para crear un grupo en un equipo local

1. Abra Administración de equipos.
2. En el árbol de la consola, haga clic en Grupos.
   ¿Dónde?
   
   • Administración de equipos/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. En el menú Acción, haga clic en Grupo nuevo.
4. En Nombre de grupo, escriba un nombre para el nuevo grupo.
5. En Descripción, escriba la descripción del nuevo grupo.
6. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar.
7. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos realice las acciones siguientes:
   
   • Para agregar al grupo una cuenta de usuario o de grupo, escriba su nombre en Escriba los nombres de objeto que desea seleccionar y, después, haga clic en Aceptar.
   • Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de verificación Equipos y, a continuación, haga clic en Aceptar. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregar y, después, haga clic en Aceptar.
8. En el cuadro de diálogo Grupo nuevo, haga clic en Crear y, a continuación, en Cerrar.

Ver Post

Instalacion de Windows Server 2003 [Guia]

Instalación de Windows Server

Instalando Windows Server 2003

Instalación y configuración inicial de un servidor con Windows Server
Es muy interesante comprobar la compatibilidad de nuestro hardware con Windows Server 2003, para evitarnos sorpresas posteriores.  Y si la instalación la hacemos sobre un equipo que ya tiene un sistema operativo, aprovechar una de las opciones de comprobar la compatibilidad del sistema, lo que hará que se nos informe del hardware y/o software que no es compatible.

Si ya hemos determinado que nuestro equipo cumple con la compatibilidad adecuada o deseamos seguir con la instalación aunque no estemos seguros, esto es lo que iremos viendo sucesivamente durante el proceso de instalación: Partiendo del escenario planteado, es decir un equipo sin sistema anterior, podremos observar dos fases diferenciadas y separadas por un reinicio, la primera con una interfaz de texto y la segunda de una manera más gráfica. Pero veámoslo mediante imágenes... Comienza la instalación:
La primera bifurcación: se nos ofrecen tres opciones, como se observa en la imagen, instalar ahora, reparar/recuperar una instalación existente o salir de la instalación de Windows sin instalarlo. Nosotros por supuesto pulsamos la tecla ENTRAR y con ello seleccionamos instalar Windows ahora.
Luego se nos presentará el contrato de licencia para el usuario final, lo leeremos y si lo encontramos conforme pulsaremos la tecla F8, con lo que aceptaremos dicho contrato y proseguiremos con la instalación.
Siguiente bifurcación, hemos de elegir el lugar donde instalar Windows, aquí podemos crear una partición en el espacio que no está particionado, eliminar alguna/s para aumentar el espacio, o directamente elegir el espacio libre y pulsar ENTRAR.
Qué sistema de archivos elegimos para el formato de la partición? Bueno, si deseamos todo el potencial de Windows para nuestro servidor, la que viene marcada por defecto, que es NTFS.
Se procede a formatear la partición con el formato elegido en la pantalla anterior.
Despusé del formato, el proceso de instalación efectúa la copia de archivos necesarios para los siguientes pasos.
Terminada la copia de archivos se inicia la configuración.
La primera fase ha finalizado y se procede al reinicio. La primera de las pantallas que se nos muestra es la que desde ese momento veremos al iniciar el sistema o reiniciarlo, sea por alguna actualización, instalación de nuevo hardware o software, u otras.
Iniciando el sistema.
Aquí nos muestra los tres pasos ya llevados a cabo y el que comienza: Instalando Windows.
Instalando dispositivos.
Por defecto tenemos la configuración en Español. Pulsando en personalizar podremos comprobar que todo está correcto.
Las opciones regionales, avanzadas y, configuración regional y de idioma, en ésta última el botón detalles nos da paso al idioma del dispositivo de entrada.
Escribiremos nuestro nombre y nuestra organización.
Introduciremos la clave del producto.
Aquí hemos de elegir el modo de licencia, recordemos: Por servidor se refiere a las conexiones concurrentes al software del servidor, mientras Por dispositivo o usuario se aplica al dispositivo o usuario sin importar a qué servidor se acceda.
Nombre de equipo y contraseña del administrador, si la misma no cumple los requisitos de una contraseña segura recibiremos una advertencia, aunque nos permitirá seguir utilizando la propuesta.
Luego configuramos los valores de fecha y hora.
Seguidamente se instala la red.
Para la configuración de red podemos elegir una configuración típica y modificarla después o hacerla personalizada desde el inicio.
Si la hacemos personalizada nos aparecer n cada adaptador de red del equipo, seleccionaremos el Protocolo de Internet(TCP/IP) y pulsaremos en propiedades.
Configuraremos la IP, la máscara de subred y la puerta de enlace predeterminada. Luego pondremos la IP del DNS. En el caso de que el servidor se promocione a DC o se configure el servicio DNS, hemos de reconfigurar éste último valor.
Luego seleccionaremos si el equipo estar como un servidor stand-alone(independiente) o pertenecer a un dominio existente(servidor miembro) introduciendo el nombre del dominio al que se unirá, si fuese el segundo caso habría que configurar el DNS de dicho dominio en la configuración de TCP/IP vista anteriormente.
Comienza la copia de archivos.
Luego instalar los elementos del menú de inicio.
Registrar los componentes.
Guardar la configuración.
Eliminar los archivos temporales innecesarios.
Se reiniciará.
Aquí se nos muestra la pantalla de inicio, pulsando Ctrl-Alt-Supr iniciaremos el sistema.
Nos mostrará la ventana de inicio de sesión, y lo haremos como administrador para terminar los pasos iniciales.
Unos consejos: Un servidor deber a dedicarse simplemente a eso, a Servidor, no deber a plantearse su uso como una estación de trabajo más, aunque esto parece que depende mucho de cada cual y de sus necesidades. Pensando en que sólo realizará dichas tareas, siempre configuro el menú de inicio clásico, dejo el fondo de pantalla en el clásico azul y configuro el equipo para el máximo rendimiento. Sobre todo, antes de realizar cualquier conexión a internet, activar el cortafuegos y después actualizar el sistema con todos los parches de windows update que crea necesarios. Luego activo el sistema si la versión instalada no es Corporativa y exenta de dicha activación.
Clic derecho sobre la conexión de red local, propiedades, avanzadas.
Marco la casilla de verificación para activar la protección y observo como el icono de la conexión muestra un candado sobre la misma.
Visito windows update y actualizo todo lo que creo necesario.
Activo la copia de windows pulsando en el systray sobre el icono de advertencia o navego por el botón inicio, programas, accesorios, herramientas del sistema, Activar windows. Luego sigo el asistente de activación.

Ver Post