Redesderealocal: Aplicacionesyservicios WINDOWS

9.Usuarios

ndice DefinicindeUsuarios,EquiposyGrupos ................................................................................... 3 CreacindeUsuarios ................................................................................................................... 6 PerfilesdeUsuarios .................................................................................................................... 9 Gruposde usuarios ................................................................................................................... 16 IniciodeSesin .......................................................................................................................... 19

DefinicindeUsuarios,EquiposyGrupos
Lacuentadeunusuariodeldominioregistratodalainformacinnecesariaparasudefinicin en"Windows2003Server",incluyendosunombredeusuarioycontrasea(necesariospara iniciarsesin),losgruposalosqueperteneceelusuario,losderechosypermisosquetieneel usuarioparautilizarelequipoylared,as comoparateneraccesoasusrecursos.Enlos controladoresdedominiode"Windows2003Server",lascuentasdeusuarioseadministran con"UsuariosyequiposdeActiveDirectory". LosobjetoscorrespondientesalosequiposdeldominioquedanincluidoseneldominioActive Directory de nuestro servidorWindows 2003 cuando son registrados en el mismo (proceso vistoanteriormenteenelcaptulocorrespondientealservidorRIS);apartirdesuintegracinen eldominio,puedenserincluidosencualquiergrupoaligualqueharamosconlosusuarios. Sindudaalgunaeltemadelosgruposen"Windows2003Server",esunadelaspartesms complejas de dicho S.O., no tanto por alcanzar a comprender su funcionamiento, sino por poderrealizarunaplanificacinadecuadadelosgruposnecesariosysuorganizacin,caraa gestionareficazmentelosrecursosexistentesennuestraredyelaccesoalosmismos.No podemosdarunconfiguracincomnyvlidaparacualquierentornodetrabajo;debeserel administradordelaredelquedefinalosgrupos(ylasUnidadesOrganizativas)necesariaspara elmejoraprovechamientoygestindelosrecursosdelareddelcentro.Enlassiguientes lneastrataremosdeexplicardeformasimpleysomeraqusonlosgruposysuutilidad. Enprimerlugarparapodertrabajarconlosgrupos,loprimeroquehemosdehacerescrear usuarioseneldominioquepuedanautenticarsedesdeunaestacindetrabajoregistradaenel dominiogestionadoporelservidorWindows2003;cuandounusuarioescreado,ser incluido comomiembrodeundeterminadogrupodeldominio(administradores,usuarios,etc.);adems decrearlos,lesasociaremoslaspropiedadesycaractersticasquedeseemos,definiendopor ejemplo su contrasea, las propiedades de cambio de la misma, la posibilidad de acceso remotoalservidoroaccesoalmismoporTerminalServer,entreotrasmuchasposibilidades.
3

Unusuario,aligualqueunaestacindetrabajoregistradaeneldominio,nodejadeserun objetoenel rboldeActiveDirectorydenuestroservidorWindows2003,demodoquepuede serincluidoenunaUnidadOrganizativaoenlosgruposdeusuariosoequiposdeldominio deseados.LainclusindeunobjetoUsuariooEquipoenunaUnidadOrganizativapermitir aplicarledirectivasopolticasdegrupo,comoveremosenelsiguientecaptulo. Lacreacinpuraeindividualdeunconjuntodeusuariosquetenganaccesoidentificadoal dominiodesdelasestacionesdetrabajo,esunalaborsencilla,perolaconcesindepermisos deaccesoalosrecursosdelsistemasecomplicaenormementeamedidaqueelnmerode usuarioscrece;comoejemplodeellosupongamosquetenemosquincerecursoscompartidosa losquesloqueremosdaraccesoalosadministradores;sidamosaccesoindividualacada usuariosobrecadarecurso,ydefinimosunnuevousuarioadministradordenombre"pepe", deberamos acceder a cada uno de los quince recursos indicados y darle explcitamente permisosdeaccesoa"pepe",locualesunalabortediosayqueademspuedeimplicarolvidos enlaasignacindepermisossobrealgunodelosrecursosalosquedeberamospermitirleel acceso;aqu cobransentidoplenamentelosgruposdeusuarios,puesloqueharemospara lograrunaeficazgestindenuestrodominio,noserdarpermisosindividualessobrecadauno delosquincerecursosacadaadministrador,sinodarpermisossobredichosrecursosalgrupo deusuarios"administradores",yluegoincluiracadaadministrador("pepe"entreellos)enel grupo;deestemodocuandodefinamosunnuevoadministrador,demodoautomticotendr accesoatodoslosrecursosdeseados,alestarincluidoenungrupoconderechosdeaccesoa dichosrecursos. "Windows 2003 Server" tiene predefinidos una serie de grupos de usuarios, entre los que podemosdestacaralos"administradoresdeldominio","usuariosdeldominio","invitadosdel dominio"y"equiposdeldominio"(puestambinpuedenserasociadospermisosdeaccesoa losrecursos,agruposquetengancomomiembrosestacionesdetrabajoenvezdeusuarios individuales);alaexistenciadelosgrupospredefinidospor"Windows2003Server",nosotros podemosaadirnuestrospropiosgrupos,enfuncindelasnecesidadesdeorganizacinde nuestro centro; por ejemplo, si queremos que a unos determinados recursos slo tengan accesolosprofesores,podemoscrearungrupo"profesores"eincluiralosusuariosdeldominio que sean profesores de nuestro centro en dicho grupo, de modo que cuando asignemos permisosdeaccesoadeterminadosrecursosalosusuariosdedichogrupo,cualquierprofesor podrteneraccesoalrecursodeseado. Unusuariodeldominio(ounaestacindetrabajodeldominio)puedeperteneceramsdeun grupo;asuvez,aundeterminadorecursodelsistemapuedenteneraccesolosusuariosy/o equipos de varios grupos. Obviamente no se puede dar una organizacin estndar de los gruposdeusuariosy/oequipos,cadacentroenfuncindesusnecesidadesdeberplanificary crearlosgruposqueestimeoportuno. EsimportantenoconfundirlasUnidadesOrganizativasylosgruposdeusuariosoequipos, pues se tiende a mezclar dichos conceptos cuando realmente no tienen nada que ver, de hechopodremostenerunaUnidadOrganizativadenombre"profesores"yungrupodeusuarios con el mismo nombre, teniendo ambos su finalidad y su razn de ser. Las Unidades Organizativasserncomentadasenelprximocaptulo,cuandoabordemoseltemarelativoa laspolticasodirectivasdegrupo.

Si definimos una Unidad Organizativa de nombre "profesores", e incluimos en ella a los usuariosdeldominioquesonprofesores,podremosindicarlaspolticasodirectivasdegrupo quequeremosqueleseanasignadasalosprofesores(estoloveremosenelprximocaptulo), pero no podremosdefinirenella lospermisos de acceso a losrecursosdel sistema; cada usuariooequipodeldominiopodrestarenglobadoenunaysloenunaUnidadOrganizativa. Siporcontradefinimosungrupodeusuariosdenombre"profesores",eincluimosen lalos usuariosdedominioquesonprofesores,nopodremosasociarlespolticasodirectivasdegrupo quedeseemos,peropodremosdefinirenllospermisosdeaccesoalosrecursosdelsistema; cadausuariodeldominiopodrestarenglobadoenmsdeungrupodeusuarios. Tambinpodemoshacerquelosmiembrosdeundeterminadogruposeanasuvezmiembros de otros grupos ya existentes; aparentemente esto complica aun ms la estructura de los gruposdelcentro,perorealmentelasimplifica;pensemosporejemploenunrecursoalque deseamosquetenganaccesotodoslosprofesoresylosalumnosdeE.S.O,podemoscrearun nuevogrupodenombre"colaboradores"eincluirindividualmenteatodoslosprofesoresyalos alumnosdeseados,peroesaseraunatediosalabor;ademscadavezqueunnuevoprofesor llegaraanuestrocentroyquisiramosquetuvieraaccesoalosrecursosalosquetieneacceso el resto de profesores, deberamos incluirlo en los grupos "profesores" y en el grupo "colaboradores"(pudiendodenuevoolvidarnosdedarlodealtacomomiembrodealgunode los grupos a los que debera pertenecer); si cuando creamos el grupo "colaboradores" indicamosquelosmiembrosdeesegruposonelgrupo"profesores"ylosalumnosdeE.S.O., habremossolucionadonuestroproblemadeformarpidaysencilla,demodoquecuandoun nuevo profesor llegue al centro, con incluirlo en el grupo "profesores", quedar automticamenteincluidoenelgrupo"colaboradores",simplificandonuestralabordegestin deusuariosygrupos. Todolocomentadoanteriormenteparalosgruposdeusuariospuedeseraplicadoalosgrupos deestacionesdetrabajo,oparagruposmixtosformadosporambostiposdeobjetos. A continuacin vamos a definir algunos trminos que utilizaremos a continuacin con frecuencia: Gruposde mbitoLocalalDominio .Songruposquepermitirndefiniryadministrarel accesoalosrecursosenunsolodominio.Estosgrupospuedentenercomomiembrosalos siguientes elelementos: grupos de mbito global, grupos de mbito universal, usuarios del dominio,otrosgruposdembitolocaldedominio,unamezcladelosanteriores. GruposdembitoLocal.Estosgruposseutilizanparaadministrarobjetosdedirectorioque requierenmantenimientodiario,comolascuentasdeusuariosyequipos. GruposdembitoUniversal.Songruposutilizadoscuandolapertenenciaadichogrupono cambianfrecuentemente,yaqueloscambiosdepertenenciadeesosgruposhacenquetodos losdatosdepertenenciadelgruposerepliquenentodosloscatlogosglobalesdelbosquedel dominio.

Perfiles de usuarios . Carpetas propias de un usuario, que incluyen bsicamente sus configuracionespersonalizadasdelentornodetrabajoylosdocumentosporlcreados. Perfil Mvil . Perfil de usuario que se descarga desde el servidor en el equipo donde el usuarioencuestinhayainiciadosesin;cuandodichousuariocierresesinenelcliente,los cambiosenelperfilsealmacenarnenelservidorenelespaciodestinadoparatalfinpara dichousuario. PerfilObligatorio.Perfildeusuarioquesedescargadesdeelservidorenelequipodondeel usuarioencuestinhayainiciadosesin;cuandodichousuariocierresesinenelcliente,los cambios en el perfil NO se almacenarn en el servidor, de modo que el usuario siempre dispondrdelmismoperfil.

CreacindeUsuarios
Enesteapartadonoscentraremosenlacreacindelascuentasdelosusuariosdeldominio; como comentamos anteriormente las estaciones de trabajo registradas ya son equipos del dominio,yportantosonsusceptiblesdeserincluidosenlosgruposlocalesdeldominioaligual quelosusuarios,comoveremosmsadelante. Paralagestindenuestrocentroeducativocrearemosmltiplesusuarios,sibienennuestro caso, utilizaremos un usuario genrico de nombre "ESO" que ser utilizado por cualquier alumnodeE.S.O.,unsegundousuariogenricodenombre"Bachiller",queser utilizadopor los alumnos que cursen dichos estudios, y finalmente crearemos 3 usuarios individuales "Javier","Joaquin"y"Miguel",quesernprofesoresdenuestrocentro;estaorganizacines unadelasmuchasporlaquesepuedeoptarparagestionarlosusuariosdenuestrodominio;lo hacemos as porque los alumnos de nuestro centro ("ESO" y "Bachiller") tendrn un perfil obligatorio mvil, frente a los profesores que tendrn un perfil mvil, pero modificable (los perfilesde usuario losabordaremoseneste mismo captulo msadelante). Vamospuesa procederacrearlosusuariosindicadosanteriormente. Paracrearunusuariodeldominio,accederemosa"UsuariosyequiposdeActiveDirectory"en las"Herramientasadministrativas"del"PaneldeControl".

Una vez all, pulsaremos con el botn derecho del ratn sobre la carpeta "Users" y seleccionaremoslaopcin"Nuevo"ydentrodeella"Usuario"

Enlapantallaquesemuestraacontinuacinindicaremoslosdatoscorrespondientesalnuevo usuario; en nuestro caso vamos a crear un usuario denominado "ESO", que utilizaremos posteriormente para cualquier alumno de ESO que quiera autenticarse en el dominio; rellenamos los datos correspondientes tal y como se muestra en la siguiente ventana, y pulsaremossobreelbotn"Siguiente".

Enlanuevapantallamostrada,especificaremoslacontraseaquedeseemosparaelnuevo usuario(ennuestrocasoladejaremosvaca),ascomodiversaspropiedadesrelacionadascon estacuentadeusuario;concretamenteactivaremoslascasillas"Elusuarionopuedecambiarla contrasea" y "La contrasea nunca caduca"; posteriormente pulsaremos sobre el botn "Siguiente".

Finalmentesemuestraunapantallaresumendelanuevacuentadeusuarioqueser creada; pulsaremossobreelbotn"Finalizar"paracompletarelproceso.

Unavezquehayamospulsadosobreelbotn"Finalizar",enlacarpeta"Users"tendremosun nuevoobjetocorrespondientealnuevousuario"ESO"creado.

Acontinuacinrepetiremoselprocesoparacrearalosusuarios"Bachiller","Javier","Joaquin" y"Miguel",siguiendorigurosamentelospasosanteriormenteindicados;alosprofesoresles asignaremoscomocontraseasunombredeusuario,peroconlainicialenletraminscula,es decir,"javier","joaquin"y"miguel"respectivamente,talycomovemosenlasiguienteimagen:

PerfilesdeUsuarios
Podemosdefinirel perfildeunusuario comoelentornocargadoporelsistemacuandoun usuarioiniciaunasesin.Incluyetodoslosvaloresdeconfiguracindeusuarioespecficasdel entorno Windows2000, como elementos de programa, conexiones de red, conexiones de impresoras,escritorio,documentos,etc.Dichosperfilesdeusuariosecreanautomticamente laprimeravezqueunusuarioiniciaunasesin. Sienlaspropiedadesdelusuarioencuestinselehaasociadounaunidaddereddelservidor comorutadeaccesoasuperfil,estamosdefiniendounperfildenominado"perfilmvil",yque secaracterizaporqueelperfildeusuariodeservidorsedescargaenelequipolocalcuandoun usuarioiniciaunasesin,yseactualizatantolocalmentecomoenelservidorcuandoelusuario cierralasesin.Losperfilesdeusuariosmvilesestndisponiblesenelservidorcuandose inicieunasesinencualquierequipodeldominio. Los perfiles mviles, a no ser que se indique lo contrario, almacenarn los cambios en la configuracin delperfilindicados por el usuario (este tipo de perfil ser el utilizado porlos profesoresdenuestrocentro),talescomolosarchivosalmacenadosen"MisDocumentos"olos iconos existentes en el "Escritorio", por ejemplo. Los alumnos de nuestro centro tambin dispondrn deun perfil mvil,pero que noseactualizacuandoelusuariocierra la sesin, denominado perfilobligatorio,yquesedescargacadavezqueelusuarioiniciasesin.Los perfilesobligatoriossoncreadosporunadministradoryasignadosaunoovariosusuariosafin decrearperfilesdeusuarioinvariables.

Para poder definir perfiles mviles (obligatorios para los alumnos y dinmicos para los profesores), lo primero que hemos de hacer es crear una carpeta compartida donde almacenemoslatotalidaddelosperfilesdelosusuariosdelcentro.Paraellocrearemosenla unidad"D:"denuestroservidorWindows2000unacarpetadenombre"Perfiles"ycompartirla conelnombre"Perfiles$";acontinuacinpulsaremossobreelbotn"Permisos"yhacremos que el usuario "Todos" tenga los permisos "Control Total", "Cambiar" y "Leer" (el usuario "Todos"debedisponerdetodoslospermisosparaquecadausuariopuedagrabarsuperfilen sucarpeta,deah elhechodeincluirel"$"enelnombreasignadoalrecursoparaquenosea visibleporlosusuarios,porquedebemostenerencuentaquecualquierusuariopodragrabar loquequisieraenlarazdelacarpeta"Perfiles"sisabedesuexistencia;estonogeneraun grave problema de seguridad, pues NUNCA ningn usuario podr acceder a visualizar el contenidodeotracarpetadeperfilesquenosealasuyapropia);parafinalmentecompletarel procesopulsandosobreelbotn"Aceptar".

Paracrearunperfilobligatorio,loprimeroquehemosdetenerencuentaesqueNOdebemos tenerasignadaningunarutadeaccesoalperfilenlosusuariosalosquevamosaasociarlesel perfilobligatorio("losusuarios"ESO"y"Bachiller");sisobrepulsamosconelbotnderechodel ratnsobreunusuario,yseleccionamoslaopcin"Propiedades",podemospulsarsobrela pestaa"Perfil"ycomprobarquelacajadetexto"Rutadeaccesoalperfil"estvaca.

10

Unavezcomprobadoquenoexisteasociadarutadeaccesoalperfilalgunaparaelusuarioen cuestin,iniciaremossesinenunaestacindetrabajodeldominioconlacuentadeldominio de dicho usuario (es decir, iniciando sesin con el usuario "ESO" en el dominio "MICENTRO"), modificando en dicha sesin el entorno de trabajo, de modo que personalicemoselperfiltalcualqueremosqueloveanmisalumnosdeE.S.O.;posteriormente cerraremos sesin y nos autenticaremos en la misma mquina como un administrador del dominio(NOeladministradordelamquinalocal).

Unavezautenticadoscomoeladministradordeldominio,iremosalaopcin"Sistema"dentro de"PaneldeControl";unavezallpulsaremossobrelapestaa"OpcionesAvanzadas"yluego sobre el botn "Configuracin" del apartado "Perfiles de Usuario", seleccionamos el perfil "MICENTRO\ESO",talycomovemosenlasiguienteimagen:

11

Elsiguientepasoconsistirenpulsarsobreelbotn"Copiara",indicandocomorutadedestino "\\SERVIDOR\Perfiles$\alumno.man"(hemosespecificado"alumno.man"comonombreparael perfilmvilobligatorioenvezde"ESO.man",debidoaquedichoperfilser utilizadotantopor misalumnosde"E.S.O."comoporlode"Bachiller").

Ademsendichaventanapulsaremossobreelbotn"Cambiar"paraespecificarqueelperfil puede ser utilizado por el usuario "Todos", tecleando dicho usuario en la caja de texto destinadaataldefecto,talycomovemosenlasiguienteventana.Finalmentepulsamossobre elbotn"Aceptar".

Alavueltadelapantallaanterioryaaparecernespecificadoslosusuariosalosquelesestar permitidousardichoperfil;pulsamossobreelbotn"Aceptar"paraconcluiresteapartado.

12

Unavezcompletadoelprocesoanterior,yapodemoscerrarsesinenlaestacindetrabajo dondehemosrealizadoelprocesodescrito;enesteinstanteyaencontraremoscolgandode nuestra carpeta"Perfiles$" delservidor, unacarpeta de nombre"alumno.man". Elsiguiente pasoesiranuestroservidorysobrelas"Propiedades"delacarpeta"alumno.man",seleccionar la pestaa "Seguridad", y sobre el usuario "Todos" definir para dicho usuario permisos de "Lectura y ejecucin", "Listar el contenido de la carpeta" y "leer", tal y como vemos en la siguienteimagen.

Deestemodoevitamosquelosusuariosquehaganusodelperfilobligatoriopuedanrealizar unaconexinderedyeliminarelperfilobligatorio(conelconsiguienteperjuicioparaelrestode usuarios que hagan uso de ese perfil); una vez hecho lo indicado en el prrafo anterior, debemos pulsar sobre el botn "Avanzadas", seleccionar al usuario "Todos" de entre los existentes,pulsarsobreelbotn"VeroModificar"yconfirmarqueseencuentranactivadaslas siguientescasillas:"Recorrercarpeta/Ejecutararchivo","Listarcarpeta/Leerdatos","Atributos delectura","Atributosextendidosdelectura"y"Permisosdelectura".

13

NOTA: Estos cambios se propagan automticamente a las subcarpetas que cuelgan de "alumno.man",demodoquelosusuariosalosqueselesasigneelperfilobligatorio,podrn accederaleerde l,peronuncapodrnmodificarnada,nisiquieraaccediendopormediode unaconexinderedalperfilobligatorio. Adems,paraforzaraqueelperfildelosusuariosseaobligatorio,tenemosqueaccederala carpeta"alumno.dat"yrenombrarelficherooculto"NTUSER.DAT"a"NTUSER.MAN".

Eneste instanteyatenemosdefinidalacarpetarazdelaquecolgarn losperfilesdelos usuariosdenuestrodominio,ytambinhemoscreadocolgandodedichacarpeta,elperfilmvil obligatorio para mis alumnos; as pues el siguiente paso es asociar al usuario "ESO" recientementecreado,larutacorrespondientedeaccesoasuperfil;paraelloaccederemosa nuestroservidorWindows2000,nosubicamossobredichousuario,yconelbotnderechodel ratn seleccionamos la opcin "Propiedades", yendo sobre la pestaa "Perfil"; una vez all especificaremoscomo"Rutadeaccesoalperfil"laruta"\\SERVIDOR\Perfiles$\alumno.man"

14

Deigualmaneraquehemosasociadoelperfil"alumno.man"alusuario"ESO",asociaremos dichoperfilalusuario"Bachiller". Paramodificaralgnaspectodelperfilobligatoriodelosalumnos,comoporejemploincluirun fichero en la ventana inicio o un nuevo acceso directo en el Escritorio, podemos hacerlo directamentesobrelacarpetadelperfil"alumno.man"delservidor,sinnecesidaddehacertodo el laborioso proceso descrito anteriormente, copiando dicho fichero o acceso directo en la carpetaadecuadadedichoperfil;porejemplopodemosincluirposteriormentealacopiade dichoperfil,unficherodenombre"bienvenida.txt"enlacarpeta"Inicio"delperfildelalumno,de modoquecuandounalumnoiniciesesinencualquierestacindetrabajodeldominio,sele muestredichofichero.
Paraelrestodeusuariosdeldominio(losprofesores)especificaremoscomorutadeaccesoalperfilla ruta"\\SERVIDOR\Perfiles$\%username%";lavariable"%username%"estasociadaalnombredel usuariosobreelqueestemostrabajando,demodoqueporejemploalusuario"Javier"seleasociaruna carpetaunacarpetadeperfildenombre"javier";finalmentepulsaremossobreelbotn"Aceptar". Repetiremoselprocesoparalosprofesores"miguel"y"joaquin".

15

Unavezrealizadoelprocesoanterior,cuandoelusuario"Javier"inicieporprimeravezsesin desdecualquierequipodeldominio,secrearunacarpetadenombre"javier"enlacarpetadel servidordondesealmacenanlosperfiles;apartirdeesemomentocualquierotraautenticacin dedichousuarioencualquierequipodeldominio,provocar elaccesoadichacarpetadel servidorparaserviralusuario"Javier"superfilpersonalizado(brindndoletotalmovilidada dichousuario,puessuperfilsiempreserelesperado). Aunqueunusuariopudierallegaraestablecerunaconexinasuperfil(alsuyo,ysloalsuyo, alrestonopodra)yeliminarlo(elalumnonopodraeliminarelsuyoalnodisponerdepermisos paraello),enlasiguienteautenticacinserecrearadenuevolacarpetaconsuperfilenel servidor(obviamenteperderalaspersonalizacionesquehubieraefectuadoenelperfilborrado anteriormente).

Gruposdeusuarios
Loprimeroqueharemosser incluiralosalumnosdenuestrocentroenungrupoglobaldel dominiodenominado"alumnos";dichogrupotendr comomiembrosalosusuarios"ESO"y "Bachiller".Paraellonosubicaremossobrelacarpeta"Users"ypulsaremossobreellaconel botnderechodelratn,seleccionandolaopcin"Nuevo",yluegolaopcin"Grupo"

Enlapantallaquesemuestraacontinuacinindicaremos"alumnos"comonombredegrupo,y dejaremos las opciones por defecto, especificando que el grupo es un grupo global de seguridad,talycomovemosenlasiguienteimagen;posteriormentepulsamossobreelbotn "Aceptar"

16

Unavezcreadoelgrupo"alumnos",nossituamossobre lyconelbotnderechodelratn seleccionamos la opcin "Propiedades" y en la ventana mostrada nos situamos sobre la pestaa"Miembros",ypulsamossobreelbotn"Agregar"paraincluiralosusuarios"ESO"y "Bachiller"endichogrupo;finalmentepulsamossobreelbotn"Aceptar".

Unavezcompletadoelprocesoelgrupo"alumnos"aparecerenglobadocomoungrupoglobal deldominio"MiCentro.edu",yestarformadoporlosusuarios"ESO"y"Bachiller".

17

Posteriormenterepetimoselmismoprocesoparacrearunsegundogrupoglobaldeldominio denominado "profesores", incluyendo como miembros de este nuevo grupo a los usuarios "Javier","Joaquin"y"Miguel". Unavezdefinidoscorrectamenteambosgruposglobalesdeldominio,podemoscrearungrupo "colaboradores", cuyos miembros sean el usuario "ESO" y el grupo global del dominio "profesores";enestecasohemosdeespecificarqueelgrupoNOser "global",sinoquesu mbitosereldel"dominiolocal",talycomovemosenlaimagensiguiente;sinodefiniramos elmbitodeestenuevogrupocomodel"dominiolocal",nopodramosincluircomomiembrode estenuevogrupoalgrupo"profesores",

Elrestodelprocesodecreacindelgrupoessimilar,sloqueahoraentrelosmiembrosdel grupo del dominio local "colaboradores" se encuentra el grupo global del dominio "profesores" (y por tanto a los miembros de este grupo), tal y como vemos en la imagen siguiente.

A partir de este momento ya podemos asignar recursos a los miembros de los grupos "alumnos","profesores"y"colaboradores".

18

Comoejemplovamosacrearunacarpetacompartidaenlaunidad"D:"denombre"RecPro",y leasignaremoslospermisosdecomparticinde"ControlTotal","Cambiar"y"Leer"algrupo "profesores",talycomovemosenlaimagensiguiente,demodoquenicamentelosprofesores puedanaccederaella(nisiquieralosadministradoresdeldominiopuedenaccederaellade formaremota).

Podemos crear una segunda carpeta de la unidad "D:" de nombre "RecCol", asignndoles permisosde"ControlTotal","Cambiar"y"Leer"algrupo"colaboradores"yde"Leer"alusuario "Bachiller",demodoquelosalumnosdeE.S.O.ylosprofesorespuedantenerplenoaccesoa dichacarpetaylosalumnosdeBachillerslotendrnaccesodelecturaalamisma.

IniciodeSesin
El ltimoapartadoqueconfiguraremosparalosusuariosdeldominio,eslalimitacinenla autenticacindelosusuariosendeterminadosequiposdeldominio,demodoquepodamos limitarelaccesoadeterminadosequiposaciertosusuarios;supongamosporejemploqueno queremosquelosusuarios"ESO"y"Bachiller"puedaniniciarsesinenlosequiposdelaSala deProfesores,oenlosEquiposdelAuladeBachiller;podemospuesespecificarlasmquinas concretasdondes puededichousuarioautenticarseeneldominio.Tambinpodemoslimitar elaccesoalasmquinasenlosdasyfranjashorariasdeseadas.

19

Paraimposibilitarelaccesoadeterminadasmquinasdeldominioalosalumnosdelcentro, especificaremosexplcitamentelosordenadoresdondepuedeniniciarsesinnuestrosalumnos (losusuarios"ESO"y"Bachiller"),delsiguientemodo: Nosubicaremossobreelusuariodeseado("ESO"enestecaso),ypulsaremossobrelconel botnderechodelratn,seleccionandolaopcin"Propiedades",ubicndonossobrelapestaa "Cuenta";unavezall pulsaremossobreelbotn"Iniciarsesinen",talycomovemosenla siguientepantalla

Enlanuevaventanamostrada,indicaremosaquellasmquinasdeldominiodondedeseamos quenicamentepuedainiciarsesinelusuario"ESO"(ennuestrocasoslohemosindicadola mquina"WindowsXPProfessional"deldominio,peroennuestrocentroespecificaremosel conjuntodemquinasdondepuedainiciarsesindichousuario).

Procederemosdeigualmaneraparalimitarelaccesoalusuario"Bachiller"alosequiposdel dominiodenuestrocentro.Enprincipiodejaremosquelosprofesorespuedaniniciarsesinen cualquierequipodenuestrocentro,noespecificandolimitacinalgunaparadichosusuarios.

20

Siloquequeremoses"filtrar"elaccesoalasmquinasanuestrosalumnosdeterminadosdas enciertasfranjashorarias,enlamismaventanadondelimitamoslasmquinasdondesepuede iniciarsesin,pulsaremossobreelbotn"Horasdeiniciodesesin",pudiendoindicarlashoras alasquehabilitamosanuestrosusuariosparaelaccesoalasmquinas,talycomovemosen lasiguienteventana(nosotrosnoindicaremosningunarestriccinhorariaparaelaccesoalos equiposdelcentro);estaopcinnoesincompatibleconlaanterior(quelimitabaelaccesoa determinadas mquinas), y en ciertosentornos puede serun importante complemento a la misma.

21