2.3.3.
- Administracion de cuentas de usuario y de equipo
Hemos de estar de acuerdo en que una de las funciones del
Administrador(administradores) del sistema es administrar cuentas de usuarios , y
equipos .
Al instalar Windows Server 2003 se crean unas cuentas predeterminadas:
- Cuenta Administrador: Tiene control total en el servidor.
- Cuenta invitado: Para aquéllos usuarios sin cuenta real en el equipo, no requiere
contraseña y en principio se encuentra deshabilitada.
- Cuenta Asistente de ayuda: Con limitado acceso al equipo.
Pero comencemos por ver las cuentas de usuario.
Cuentas de Usuarios
Una cuenta de usuario es un objeto, que consiste en toda la información que
define al usuario en Windows Server 2003. Una cuenta de usuario puede ser Local
o de Dominio, y consta de un nombre de cuenta(username) y de la
contraseña(password) necesarios para iniciar sesión, de los grupos a los que
pertenece dicho usuario y de los derechos, privilegios y permisos que tiene para
acceder al equipo, la red y los recursos.
Podemos utilizar una cuenta de usuario para permitir a alguien iniciar sesión en el
equipo, así como a procesos y servicios y que se ejecuten bajo un contexto de
seguridad específico y por supuesto, para el acceso a los recursos como: objetos
de AD y sus propiedades, carpetas compartidas, archivos, directorios y colas de
impresión.
Nos encontramos con los siguientes tipos de cuentas, ya mencionados
anteriormente:
Cuentas de usuario Locales (Local user accounts): Se almacenan en el equipo
que las contiene.
Usuarios y grupos locales se encuentra en Administración de equipos, un conjunto
de herramientas administrativas que puede utilizar para administrar un único
equipo local o remoto. Puede utilizar Usuarios y grupos locales para proteger y
administrar las cuentas de usuario y los grupos almacenados de forma local en el
equipo. A cada cuenta de usuario o de grupo local se le puede asignar permisos y
derechos en un equipo determinado, y sólo para ese equipo. Usuarios y grupos
locales se encuentra en los siguientes sistemas operativos de cliente y servidor:
�- Clientes que utilicen Microsoft® Windows® 2000 Professional o Windows XP
Professional
- Servidores miembro que ejecuten cualquiera de los productos de las familias de
servidores de Microsoft Windows 2000 Server o Windows Server 2003
- Servidores independientes que ejecuten cualquiera de los productos de las
familias de servidores de Microsoft Windows 2000 Server o Windows Server 2003
No puede utilizar Usuarios y grupos locales para ver las cuentas de usuario y de
grupo locales después de promocionar un servidor miembro a controlador de
dominio. Sin embargo, sí es posible utilizar Usuarios y grupos locales en un
controlador de dominio para administrar equipos remotos (que no sean
controladores de dominio) en la red.
Usando el complemento de administración de equipo, usuarios locales y grupos,
podemos:
- crear un usuario local: Abrimos Administración de equipos (clic derecho MI PC,
administrar, o desde herramientas administrativas del panel de control), nos
situamos en usuarios locales y grupos y lo expandimos, seleccionando Usuarios.
En el menú Acción pulsamos en Usuario nuevo y rellenamos la información
correspondiente en el cuadro de diálogo que nos aparece, luego
marcaremos/desmarcaremos las casillas de verificación que creamos. Pulsamos
en Crear y luego en Cerrar.
El nombre del usuario que creemos no puede coincidir con ningún otro ya
existente, o de nombre de grupo existente. Puede contener hasta 20 caracteres
excepto los especiales " /\[]:;|=,+*¿?<>, y no puede estar formado por sólo puntos
o espacios.
Las contraseñas pueden contener hasta 127 caracteres, pero si existen equipos
en la red que utilicen Windows 9x habría que utilizar un máximo de 14 caracteres
ya que usar más podría impedir al usuario iniciar sesión en estos equipos.
Es conveniente utilizar directivas de contraseña adecuadas para mejorar la
protección del equipo.
- restablecer su contraseña: Desde el complemento Administración de equipos,
seleccionaremos al usuario que deseamos, haremos clic con el botón derecho del
ratón y seleccionamos Establecer contraseña. Nos sale un mensaje de
advertencia, una vez leído pulsamos en continuar, escribiremos la contraseña
nueva en ambas cajas de texto, Contraseña nueva y Confirmar contraseña nueva,
y pulsamos en Aceptar.
- deshabilitar o activar una cuenta de usuario local: Accederemos al usuario
siguiendo la secuencia ya indicada anteriormente, clic derecho sobre la cuenta
�deseada y seleccionamos propiedades. Para realizar estas tareas tan sólo hemos
de marcar/desmarcar la casilla de verificación La cuenta está deshabilitada.
- Eliminar una cuenta de usuario local: Abriremos Administración de equipos y
haciendo clic con el botón derecho del ratón sobre la cuenta que queremos
eliminar, seleccionaremos Eliminar.
- Cambiar el nombre de una cuenta de usuario local: Clic con el botón secundario
del ratón en la cuenta de usuario cuyo nombre queremos cambiar, seleccionamos
Cambiar nombre, escribimos el nombre nuevo y pulsamos Aceptar.
- Asignar secuencias de comandos de inicio de sesión a una cuenta de usuario
local: Accederemos a las propiedades de la cuenta a la que queremos asignar la
secuencia de comandos, desde la consola Administración de equipos pulsando el
botón secundario del ratón y seleccionando propiedades. En la ficha Perfil,
escribiremos el nombre de archivo y la ruta de acceso relativa del mismo en
Secuencia de comandos de inicio de sesión.
- asignar una carpeta principal a una cuenta de usuario local: Al igual que la
asignación de una secuencia de comandos de inicio de sesión, podemos asignar
una carpeta principal en Ruta de acceso local (c:\carpetas\usuarios\juansa) de la
ficha Perfil, o si se encuentra en un recurso compartido ,haciendo clic en Conectar,
seleccionar la letra de unidad y escribir la ruta de acceso.(\\carpetas\usuarios\
juansa)
2.3.4.- Administracion de grupos
Un grupo de Active Directory se compone de una colección de objetos (usuarios y
equipos, y otros grupos utilizados para simplificar el acceso a los recursos y envío
de correos electrónicos). Los grupos pueden utilizarse para asignar derechos
administrativos, acceso a recursos de red, o, para distribuir correo electrónico. Hay
grupos de varios sabores, y dependerá del modo en que el dominio se esté
ejecutando el que ciertas funcionalidades de grupo estén o no disponibles.
Active Directory de Windows Server 2008 R2 es compatible con dos tipos ditintos
de grupos: Distribución y Seguridad. Ambos tienen sus propios usos y ventajas,
siempre que se utilicen correctamente y se hayan entendido sus características.
Los grupos de distribución permiten el agrupamiento de contactos, usuarios o
grupos, principalmente para la distribución de correo electrónico. Estos tipos de
