Gestion de Usuarios [Windows Server 2003]

GESTION DE USUARIOS

La gestión de los usuarios es, hoy en día, un área de entidad propia, en la medida en que la relación de éstos con los sistemas es crucial a la hora de asegurar un correcto funcionamiento de los servicios puestos a su disposición. En ocasiones, se da por supuesto que los usuarios son capaces de asumir cualquier incorporación tecnológica sin necesidad de soporte adicional, lo cual da lugar a problemáticas específicas.

Usuarios avanzados (Dominio)

Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario pero únicamente pueden modificar y eliminar las cuentas que creen. Pueden crear grupos locales y quitar usuarios de los grupos locales que hayan creado. También pueden quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados.
No pueden modificar los grupos Administradores u Operadores de copia de seguridad, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoria y seguridad.

El usuario proporciona su contraseña y nombre de usuario durante el proceso de inicio y Active Directory dichos datos, una vez comprobado los datos ingresados se le concede el acceso a la red.

Usuarios (Locales)

Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y cerrar y bloquear la estación de trabajo. Pueden crear grupos locales pero únicamente pueden modificar los grupos locales que hayan creado. No pueden compartir directorios ni crear impresoras locales.

Invitados
El grupo Invitados permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión con una cuenta de Invitado.

 

Administradores
Los miembros del grupo Administradores tienen control total sobre el equipo. Sólo a este grupo integrado se conceden automáticamente todos los derechos y capacidades integradas del sistema.

 

 CUENTAS DE USUARIOS LOCALES Y DE DOMINIO

Todos los usuarios pertenecen a uno o más grupos,de forma que se asignan derechos y privilegios a los grupos incorporados o personalizados y el usuario recibe estos derechos al convertirse miembro de un grupo.

Para acceder a Windows Server 2003,el usuario debe tener una cuenta de usuario válida.Una cuenta de usuario determina tres importantes factores:cuándo es posible que inicie sesión un usuario,dentro de qué dominio o grupo de trabajo puede iniciar sesión un usuario y el nivel de privilegios que tiene asignado.Los elementos principales de una cuenta de usuario son el nombre de inicio de sesión,la contraseña,el estado de miembro de grupo y las horas permitidas para el inicio de sesión.

Windows Server 2003 permite dos tipos de cuenta de usuario:local y de dominio.Las cuentas locales son compatibles con todos los sistemas de Windows Server 2003 excepto los controladores de dominio,que se mantienen en el sistema local y no se distribuyen a otros sistemas.La base de datos de seguridad local administra la información de la cuenta de usuario.La cuenta de usuario de dominio permite el acceso en un dominio y proporciona administración de cuenta de usuario centralizada utilizando los elementos de Active Directory.

• CUENTAS DE USUARIOS LOCALES

Como mínimo,las cuentas de administrador y de invitado ya existirían como cuentas locales,ya que está incorporadas en el sistema operativo.La cuenta de administrador permite la administración de cuentas de usuario,la adminstración de grupos y directivas para los sistemas locales.La cuenta de invitado está diseñada para usuarios temporales que requieren un acceso limitado al sistema.

Creación de una cuenta de usuario local

Las cuentas de usuarios están constituidas por dos datos obligatorios:el nombre de usuario y la contraseña.Otra información personal es opcional.A continuación presentamos algunas restricciones y sugerencias para la creación de nombres de usuario y contraseñas:

• Los nombres de usuario y de inicio son intransferibles.Los nombres de las cuentas de dominio deben ser únicos en el dominio,aunque se pueda utilizar el mismo nombre de inicio de sesión local.Los nombre de inicio de sesión no distinguen entre mayúsculas y minúsculas,no deben contener más de 20 caractéres,de entre los cuales no se pueden encontrar los siguientes: + , * , < , > , / , \ , [ , ] , : y ; .
• Las contraseñas no deben ser o contener elementos como palabras completas,nombres de familiares,referencias de la cultura popular,mascotas y lugares.Deben contener caracteres numéricos y alfanuméricos y no deben ser iguales que el nombre del usuario.El número máximo de caracteres es de 128 y el mínimo está determinado por la directiva de grupo.

Creación:

Inicio --> Programas --> Herramientas administrativas --> Administración de equipos

En el complemento Administración de equipos,haremos clic en Herramientas del sistema --> Usuarios y grupos locales.Hacemos clic con el botón derecho sobre Usuarios y seleccionamos Usuario nuevo...,apareciendo el cuadro de diálogo Usuario Nuevo.

El campo Nombre de usuario debe contener el nombre de inicio de sesión del usuario.Introduce el nombre de usuario,el nombre completo y la descripción del usuario.Haz clic en Cerrar para finalizar la creación del nuevo usuario.

• CUENTAS DE USUARIO DE DOMINIO

Una cuenta de usuario de dominio permite el acceso a los recursos de un dominio o árbol de dominio.Esta cuenta se crea en un contenedor de dominios en la base de datos de Active Directory y después se propaga a todos los demás controladores de dominio,permitiendo al usuario acceder a cualquier sistema o recurso del dominio.

Creación

NOTA: Para realizar la creación de este tipo de cuentas es necesario tener instalado el Active Directory.

- Hay que iniciar sesión con privilegios administrativos.

-Inicio --> Programas --> Herramientas administrativas --> Usuarios y equipos de Active Directory .

Señalamos,en este caso,el apartado Users dentro de nuestro dominio.Con el botón derecho seleccionamos Nuevo --> Usuario.

En esta ocasión,el cuadro de diálogo se llama Nuevo objeto con algunas ligeras diferencias respecto a la creación de usuarios locales.

Introducimos el nombre y apellidos del usuario en los respectivos apartados,además del nombre de usuario en el cuadro Nombre de inicio de sesión de usuario.Este nombre,junto con el nombre de dominio del usuario (ejemplo: nombre@gisela.org) identifica de manera exclusiva a un usuario en un dominio,árbol o bosque.No se debe confundir esto con un nombre de dominio DNS de Internet externo.Una vez rellenados los campos haremos clic en Siguiente>

Introducimos una contraseña para el usuario en el cuadro Contraseña ,confirmandola nuevamente justo debajo.Justo debajo aparecen una serie de opciones de contraseña:

- El usuario debe cambiar la contraseña en el siguiente inicio de sesión: La contraseña que se acaba de asignar cambiará la próxima vez que el usuario inicie sesión.

- El usuario no puede cambiar la contraseña: La contraseña de la cuenta sólo se puede cambiar con privilegios de administrador.

- La contraseña nunca caduca: El usuario no tiene que cambiar la contraseña periodicamente.

- La cuenta está deshabilitada: Desactiva una cuenta cuando el usuario no la necesita.Puede ser útil en caso de ausencias prolongadas o si tiene planificadas cuentas en un futuro.

Una vez elegidas las opciones oportunas,pulsaremos Siguiente > para acceder a la pantalla de confirmación y finalmente Finalizar.

Ya aparecerá el nuevo usuario en el contenedor de Active Directory.

• GRUPOS

Un grupo es una colección de usuarios,equipos y otras entidades.Puede tratarse de un grupo incorporado de Windows Server 2003 o uno creado por el administrador de sistemas para ajustarse a los atributos requeridos.Dichos grupos están incorporados en el sistema operativo de forma que las tareas comunes se puedan asignar a los usuarios con un conjunto definido de especificaciones y permisos.

Los grupos imponen permisos de seguridad o llevan a cabo funciones de distribución.Realizan tres tareas principales:

1. Los grupos de seguridad asignan principalmente permisos limitados a los grupos que necesitan acceso a ciertas carpetas,aplicaciones y equipos.
2. Los grupos de seguridad también filtran el efecto de directivas de grupo asignado a sus miembros por medio del Objeto de directiva de grupo (GPO).
3. Los grupos de distribución facilitan la información de correo electronico y de contacto.

  

Para crear un grupo en un equipo local

1. Abra Administración de equipos.
2. En el árbol de la consola, haga clic en Grupos.
   ¿Dónde?
   
   • Administración de equipos/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. En el menú Acción, haga clic en Grupo nuevo.
4. En Nombre de grupo, escriba un nombre para el nuevo grupo.
5. En Descripción, escriba la descripción del nuevo grupo.
6. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar.
7. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos realice las acciones siguientes:
   
   • Para agregar al grupo una cuenta de usuario o de grupo, escriba su nombre en Escriba los nombres de objeto que desea seleccionar y, después, haga clic en Aceptar.
   • Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de verificación Equipos y, a continuación, haga clic en Aceptar. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregar y, después, haga clic en Aceptar.
8. En el cuadro de diálogo Grupo nuevo, haga clic en Crear y, a continuación, en Cerrar.