UNIDAD DE TRABAJO 5

Creación y administración de dominios con Windows Server

15. USUARIOS LOCALES Y GLOBALES.

La gestión de usuarios y grupos desde un equipo de Windows Server 2016 se realiza de forma similar a como
se realiza en un equipo con Windows 10, siempre y cuando nuestro sistema server no se haya promovido aún
a controlador de dominio ni tenga instalado aún los servicios de dominio de Active Directory. Esta gestión
se realiza mediante el acceso a configuración --> Cuentas --> Familia y otras personas; entonces se pueden
añadir los diferentes tipos de usuarios locales del equipo.

Esta gestión de usuarios cambia totalmente cuando nuestro sistema es un controlador de dominio y se
comporta como un sistema de gestión de la red multiusuario. En este caso los usuarios que se gestionan son
usuarios globales del dominio y pueden iniciar sesión desde cualquier equipo que forme parte del dominio
siempre que tengan el permiso para ello.

La administración de los usuarios se lleva a cabo desde la herramienta de AD llamada “Usuarios y equipos
de Active directory”.

Las tareas en la administración de usuario son las siguientes:

• Autentificar a los usuarios: Permite a los diferentes usuarios iniciar sesión en determinados equipos
con unas credenciales de acceso que pueden y deben ser verificadas. Así garantizamos la seguridad
de nuestro dominio contra el acceso de intrusos. Para esta protección haremos uso de contraseñas
seguras.
• Autorizar el acceso a los recursos: una vez que el usuario está autentificado en el sistema, se debe
controlar a qué elementos del dominio podrá acceder para proteger la información y el sistema. Al
loguearse un usuario en equipo se determina qué puede hacer en él.

15.1 Gestión de usuarios globales

Como hemos comentado anteriormente, los usuarios globales son aquellos creados en la base de datos de AD
y que tendrán validez en todo el dominio. Estas cuentas tienen que crearse en los controladores de dominio
y podrán ser usadas en el dominio completo o incluso en otros dominios con los cuales se establezcan
relaciones de confianza; en próximas unidades veremos cómo crear estas relaciones de confianza.

Esta información sobre los usuarios se encuentra en la base de datos de AD ubicada en

“C:\Windows\NTDS” y llamada “[Link]”. Con la creación de esta base de datos se crean una serie de
usuarios predefinidos para que tengamos acceso a los equipos y a los recursos hasta que creemos nuestros
usuarios. Estos usuarios son:

IES Romero Vargas Página 1 de 7

UNIDAD DE TRABAJO 5
Creación y administración de dominios con Windows Server
• Administrador: tiene control total sobre el dominio.

• DefaultAccount: usuario por defecto. Se trata de un usuario estándar.

• Krbtgt: es una cuenta de servicio de centro de distribución de claves.

• Invitado: para el acceso como invitado al dominio. Tiene unos permisos mínimos.

Para crear cuentas de usuario abriremos “Usuarios y equipos de Active Directory” y nos situaremos en la OU
donde queramos que crear el usuario; con el sistema se crea una llamada Users donde se encuentran los
usuarios predefinidos citados anteriormente.

Cada cuenta de usuario tiene un nombre principal formado por su nombre principal de seguridad y su sufijo,
que hace referencia al dominio. Al crear un usuario se crea una cuenta DNS, por lo que el usuario podrá
identificarse con este nombre DNS.

Un usuario puede autentificarse de dos modos:

• Con su nombre NetBIOS, como anabel.

• Con su nombre DNS, como anabel@[Link]. (nombre principal + sufijo).

El nombre del usuario debe ser único en el equipo local y en su dominio de pertenencia, pero puede repetirse
en otro equipo de forma local o en otro dominio, aunque tengan relaciones de confianza.

15.2 Creación de cuentas de usuario

Los pasos para la creación de una cuenta de usuario son:

1. En la herramienta de “Usuarios y equipos de AD”, nos situamos en la OU donde vamos a crear al

usuario y en la zona de la ventana le damos a botón derecho → Nuevo → Usuario (1), también
podemos usar el icono de “nuevo usuario” de la barra de herramientas (2).

2. Nos pide información sobre el nombre, apellidos e iniciales y se genera el “Nombre completo” de
forma automática. Además, le indicamos un nombre para el inicio de sesión y se rellenará
automáticamente el nombre anterior a Windows 2000. Le damos a siguiente.

IES Romero Vargas Página 2 de 7

UNIDAD DE TRABAJO 5
Creación y administración de dominios con Windows Server

3. Nos pide la contraseña de acceso y su confirmación. Además, podremos indicar entre varias opciones
si queremos que tenga que cambiar la clave en su primer acceso, si queremos que no pueda cambiar
la contraseña nunca, si nunca caduca o si esta cuenta estará deshabilitada, por lo que no podría
autentificarse hasta que se habilite.

4. Por último, nos muestra una ventana con la información básica de la cuenta. Le damos a finalizar y
ya estaría creada esta nueva cuenta. En este momento se comprueba si tu contraseña cumple con los
requisitos de seguridad y complejidad, si no es así se mostrará un mensaje de error; por lo que
tendríamos que ir “Atrás” y modificarla.

IES Romero Vargas Página 3 de 7

UNIDAD DE TRABAJO 5
Creación y administración de dominios con Windows Server

15.3 Propiedades de las cuentas de usuario

Tras la creación de un usuario podemos acceder a muchas propiedades de este que no establecimos durante
su creación. La información y las pestañas disponibles son muy numerosas; nosotros vamos a centrarnos en
las que consideramos más importantes y comunes en la gestión de los dominios.

Para acceder a las propiedades del usuario tan solo tenemos que seleccionarlo y pulsar con botón derecho del
ratón y seleccionar propiedades. Entonces se nos muestra una ventana, de la que explicaremos las siguientes
pestañas:

• General: muestra la información sobre el usuario. Hay campos que hemos rellenado cuando lo
creamos y otros campos que podemos rellenar a continuación, como: descripción, oficina, teléfono,
correo electrónico y página web.

• Dirección: no permite indicar los datos del domicilio del usuario.

• Cuenta: nos muestra información sobre los datos de inicio de sesión, una opción para desbloquear
la cuenta en caso de bloqueo, configurar las horas de uso y los equipos permitidos, otras opciones de
contraseña y expiración de la cuenta.

• Perfil: datos para configurar el perfil del usuario. En futuras unidades veremos cómo configurar los
perfiles de usuario.

IES Romero Vargas Página 4 de 7

UNIDAD DE TRABAJO 5
Creación y administración de dominios con Windows Server
• Teléfonos: podremos indicar los teléfonos de este usuario en diferentes ubicaciones.

• Organización: información sobre el puesto del usuario dentro de la institución.

• Sesiones: podemos indicar límites de sesión de escritorios remotos para el usuario.

• Control remoto: configura el control remoto para este perfil de usuario.

• Miembro de: indica los grupos a los que pertenece este usuario, podremos incluirlo en nuevos
grupos o eliminarlo de los que está. El procedimiento es similar al de incluir grupos dentro de otros,
ya explicado en el documento de “gestión de grupos” que hemos visto recientemente.

15.4 Operaciones comunes sobre cuentas de usuario

Cambiar el nombre del usuario
Para cambiar el nombre de un usuario solo tenemos que seleccionarlo y pulsar con botón derecho del ratón
para elegir la opción “cambiar nombre”, entonces podemos indicarle un nuevo nombre que no exista en el
dominio.

Cambiar la contraseña
Al igual que para cambiar el nombre tendremos que
seleccionar el usuario y seleccionar la opción “Restablecer
contraseña...” de su menú contextual. Se debe asignar una
nueva contraseña siguiendo con las políticas de seguridad de
contraseñas.

IES Romero Vargas Página 5 de 7

UNIDAD DE TRABAJO 5
Creación y administración de dominios con Windows Server
Establecer las horas de conexión
Para determinar las horas en las cuales un usuario puede
conectarse tenemos que acceder a las propiedades del usuario
y seleccionar la pestaña “Cuentas”. En esta ventana pulsamos
sobre el botón “Horas de inicio de sesión”.

Entonces nos mostrará una ventana para establecer el tiempo

en el que puede conectarse. Tendremos que ir seleccionando
las celdas e ir indicando si está permitida o denegada la sesión
en ese rango:

En la figura de la derecha podemos ver

como se le ha establecido que pueda
conectarse de lunes a viernes desde las
8:00 hasta las 15:00.

Aceptamos y ya estaría configurado.

Limitar las estaciones de trabajo donde puede identificarse

Igual que podemos limitar las horas de sesión para un usuario, también podemos limitar los equipos desde
los cuales puede iniciar esta sesión. Para ello tenemos que acceder a la misma pestaña de propiedades del
objeto, la pestaña “cuenta” y pulsar el botón “Iniciar sesión en...”, entonces se nos mostraría la siguiente
ventana:

IES Romero Vargas Página 6 de 7

UNIDAD DE TRABAJO 5
Creación y administración de dominios con Windows Server
En esa ventana tenemos que seleccionar “Los siguientes equipos”.

Entonces escribimos los nombres NetBIOS de los equipos o el nombre

DNS y le damos a agregar.

En la figura podemos ver que hemos incluido la estación “cliente01”,

hemos introducido su nombre NetBIOS.

Eliminar cuenta
Para eliminar la cuenta solo tenemos que seleccionarla y elegir la opción
“Eliminar” de su menú contextual o también podemos pulsar el botón de eliminar de la barra de herramientas
de la ventana.

Deshabilitar cuenta
En el menú contextual del usuario también podemos seleccionar la opción “Deshabilitar cuenta”, lo cual
impide que un usuario pueda identificarse en el dominio hasta que vuelva a habilitarse.

Añadir a un grupo
Como hemos visto en las opciones de grupos podemos añadir usuarios a estos desde su menú contextual,
pero también podemos añadir un usuario a uno o varios grupos desde su menú contextual seleccionando la
opción “Agregar a un grupo...”. Nos mostraría la ventana de búsqueda de grupos y elegimos los grupos a
los que queremos añadirlo.

IES Romero Vargas Página 7 de 7