Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Usuarios
Usuarios
14
Configuracin
g
de cuentas de
grupo, equipo y usuario
Administracin de Sistemas Operativos
ndice
1. Herramienta Usuarios y equipos de Active
Directory
2. Cuentas de usuario
3 Los
3.
L grupos y su configuracin
fi
i
4. Cuentas predeterminadas de usuarios y grupos
5. Perfiles de usuario
6. Administracin de perfiles de usuario
7. Configuracin y administracin de cuentas de
equipos
Tema 14. Cuentas de grupo, equipo y usuario
Cuentas de usuario
W2008 ofrece cuatro tipos de cuentas de usuario:
Cuentas de usuarios locales
Cuentas de usuario definidas en el equipo local, con acceso
solamente
l
all equipo
i local
l l y, por tanto, a los
l recursos del
d l mismo
i
Los usuarios pueden tener acceso a los recursos de otro equipo
de la red si disponen de una cuenta en dicho equipo
Para poder acceder a los recursos que un equipo comparte, es
necesario autenticarse en l
Estas
stas cue
cuentas
tas de usua
usuario
o residen
es de een eel ad
administrador
st ado de cuentas
cue tas
de seguridad (Security Account Manager, SAM) del equipo, que
es la BD de cuentas de seguridad local
Se pueden crear en estaciones de trabajo o en servidores
miembros pero NO en controladores de dominio
Al usar cuentas locales de un servidor miembro, el usuario no podrn
usar los
usa
os recursos
ecu sos de
del do
dominio
o (a
(al no
o esta
estar aute
autenticadas
t cadas en
e l)
)
Tema 14. Cuentas de grupo, equipo y usuario
C
Cuentas
de
d usuario
i integradas
i
d
Administrador
e Invitado
10
11
12
Nombre de inicio de sesin (no distingue entre maysculas y minsculas y puede tener 20
caracteres como mximo)
13
14
C
Cuentas
dde usuario
i (x)
( )
Configuracin de cuentas de usuario: en Propiedades
Informacin de contacto del usuario: nombre, iniciales, apellidos,
nombre para mostrar
mostrar, descripcin
descripcin, oficina
oficina, n
n de tlf,
tlf e-mail
e mail y pgina Web
15
16
17
18
Grupos
Un grupo es una coleccin de usuarios, equipos u
otros grupos
Los grupos se usan para simplificar la
administracin del acceso de usuarios y equipos a
los recursos (directorios, ficheros, impresoras,
etc )
etc.)
Permiten conceder permisos de acceso a varios
usuarios
i all mismo
i
tiempo,
ti
en lugar
l
de
d concederlos
d l
usuario a usuario
Tema 14. Cuentas de grupo, equipo y usuario
19
Grupos (ii)
Permisos asignados una
vez para un grupo
En lugar de
Grupo
Usuario
Permisos
Permisos
Permisos
Usuario
Usuario
20
G
Grupos
(iii)
L
Los grupos funcionan
f i
de
d forma
f
diferente
dif
en un equipo
i
local que en un dominio
local llamados grupos locales
Grupos en un equipo local,
Se crean en equipos que son estaciones de trabajo independientes o
servidores miembro, pero NO en controladores de dominio
Residen
R id en SAM (S
(Security A
Accounts Manager)
M
)
Se usan para otorgar permisos a recursos y otorgar derechos para
las tareas del sistema en el equipo local
Grupos en un dominio:
Se crean nicamente en controladores de dominio
Residen
R id en ell servicio
i i de
d directorio
di t i Active
A ti Directory
Di t
Se usan para otorgar permisos a recursos y otorgar derechos para
tareas del sistema en cualquier equipo del dominio
Tema 14. Cuentas de grupo, equipo y usuario
21
G upos( v)
Grupos(iv)
Grupo local
SAM
Equipo
cliente
SAM
Residen en SAM
Servidor
S
id
miembro
Creados en controladores
de dominio
Dominio
Controlador
de dominio
22
Grupos locales
Aadir
A
L
Aadir
Asignar
Asignar
Windows
Aadir
Grupo de trabajo
Asignar
Windows
Aadir
Asignar
Windows
Windows
A =
L =
Cuentas de usuario
Grupo local
Tema 14. Cuentas de grupo, equipo y usuario
P =
Permisos
23
Grupos (v)
Tipos de grupos de dominio
Grupos de seguridad:
Pueden tener descriptores de seguridad asociados
Permiten asignar permisos para el acceso a los recursos
compartidos en el dominio
Su finalidad es controlar quin puede usar qu recursos
Grupos de distribucin:
Se usan para listas de distribucin de correo electrnico
A estos grupos no se les puede asignar permisos para el
acceso a los recursos
Tema 14. Cuentas de grupo, equipo y usuario
24
Grupos (vi)
mbito de grupos de seguridad de dominio
El mbito de un grupo determina dnde se usar ese grupo, y afecta
a la pertenencia del grupo y al anidamiento de grupos (agrupar grupos como
miembros de otros grupos)
25
G
Grupos
( ii)
(vii)
mbito
26
Grupos (viii)
mbito de ggrupos
p de dominio: ((contina...))
Grupos de mbito universal (grupos universales): se
usan para otorgar permisos a gran escala en el rbol de
d i i o en ell bosque
dominio
b
Usados para conceder permisos de acceso a recursos situados en
cualquier dominio
Pensados para consolidar grupos que abarcan varios dominios.
Normalmente se agregan grupos globales como miembros
p
tener como miembros cualquier
q
Tienen ppertenencia abierta, pueden
cuenta de usuario del dominio, grupos globales y universales de
cualquier dominio
Pueden ser miembro de cualquier grupo de dominio local o universal
en cualquier dominio
No estn disponibles cuando el dominio funciona en modo mixto (compatibilidad con WNT)
27
Grupos (ix)
Ejemplo de mbito de grupos de dominio:
Grupo local de dominio impresora_color que tiene permisos
para imprimir en la impresora LaserColor
Grupo global de dominio profesoresASO
A ese grupo pertenecen los usuarios que son profesores de la asignatura
ASO: Pilar, Eduardo, Juanjo (pero no el resto de profesores)
Ese grupo de usuarios puede imprimir en la impresora LaserColor
El grupo profesoresASO se hace miembro de impresora_color para
darle permisos sobre la impresora, y que puedan imprimir
Grupo
G
universal
i
l Todosusuimpresora
T d
i
Se hacen miembros los grupos globales aso.es\alumnos y
etc.es\alumnos (aso.es y etc.es son dos dominios del mismo bosque)
El grupo Todosusuimpresora se hace miembro del grupo local
impresora_color
g
ppermisos al ggrupo
p universal se dan a todos sus miembros
Al asignar
Tema 14. Cuentas de grupo, equipo y usuario
28
Tipos
p y mbitos de los grupos
g p de dominio
Tipos de grupo
Grupos de
seguridad
Grupos de
distribucin
Grupo local de
d i i
dominio
Grupo universal
29
Grupos
G
upos een uun nico
co do
dominioo
A
Estrategia A G DL P
para grupos
de un dominio
Cuentas de
usuario
Agregar
Grupo global
Agregar
DL
Asignar
Grupo local de
dominio
30
Grupos (x)
Creacin de un ggrupo
p de dominio
Herramienta Usuarios y equipos del AD, en la Unidad
organizativa, seleccionar Nuevo y despus Grupo
Es necesario seleccionar
Nombre del grupo (no se distingue entre maysculas y minsculas)
mbito de grupo: Dominio Local, Global o Universal
Tipo de grupo: Seguridad o Distribucin
31
Grupos (xi)
Pertenencia a un grupo por defecto
Por defecto hay establecidas una serie de pertenencias
En un dominio
Todos los usuarios de dominio son miembros del grupo
Usuarios de dominio y ese es su grupo principal
Todos los equipos (servidores miembro) del dominio son
miembros de Equipos de dominio y ese es su grupo principal
Todos los controladores de dominio son miembros de
Controladores de dominio y ese es su grupo principal
32
Grupos (xii)
Pertenencia a un grupo
Pertenencia individual:
En el usuario, grupo o equipo (slo para AD) que quiere
modificar y en Propiedades seleccione la ficha Miembro de
Seleccione Agregar para abrir el cuadro de dilogo Seleccionar
grupos, escoja
j en l los
l nuevos grupos
Tambin puede eliminar la cuenta de un grupo con Quitar
33
34
35
C
Cuentas
predeterminadas
d
i d (iii)
Grupos locales integrados
Usuarios: Pueden realizar tareas para las que hayamos concedido
derechos. No pueden modificar la configuracin del sistema operativo
ni los datos de otros usuarios
Usuarios avanzados Los miembros de este grupo pueden realizar
tareas administrativas, excepto algunas reservadas al grupo
Administradores. Pueden, iniciar/detener servicios, instalar programas,
administrar las cuentas,
cuentas o personalizar los recursos del sistema
(impresoras, fecha, )
Administradores: Realizar todas las tareas administrativas en el
equipo
Operadores
O
de copias
i de seguridad:
i
Pueden
d realizar
li copias
i de
d
seguridad y restaurar todos los controladores de dominio usando la
herramienta Copias de seguridad de Windows
p
de impresin:
p
Pueden configurar
g
y administrar
Operadores
impresoras de red que existen en los controladores de dominio
36
Cuentas implcitas
Identidad Todos: Todos los usuarios interactivos, de red, de acceso
telefnico y autenticados son miembros del grupo Todos. Este grupo se
usa para dar un acceso amplio a los recursos del sistema
Identidad Usuarios autenticados: Todos los usuarios que estn
autenticados (no pertenecen ni usuarios ni invitados annimos)
Identidad
Id tid d Propietario
P i t i creador:
d La
L persona que cre ell archivo
hi o
directorio es miembro de este grupo. Se usa para garantizar
automticamente los permisos de acceso al creador del mismo
Identidad Interactiva: Cualquier
q
usuario qque haya
y iniciado la sesin en el
equipo local
Identidad de Red: Se concede a cualquier usuario que accede al sistema a
travs de la red
Identidad
Id tid d Sistema:
Si t
El propio
i SO Wi
Windows
d
tiene
ti
esta
t identidad
id tid d que se
utiliza cuando necesita realizar funciones a nivel de sistema
37
Perfiles
fil
El perfil de usuario contiene todos los valores que puede
definir el usuario para su entorno de trabajo en un equipo,
incluyendo la configuracin del escritorio,
escritorio el ratn,
ratn el
men de opciones, la configuracin regional y de sonido,
adems de las conexiones de red y de las impresoras
Un perfil de usuario concede,
concede por tanto,
tanto al usuario un
conjunto predefinido de configuraciones del S.O.
Windows requiere un perfil de usuario para cada cuenta de
usuario que tenga acceso al sistema
Cada usuario tendr su configuracin especfica
38
P fil (ii)
Perfiles
El escritorio final del usuario (el que ve al conectarse) se crea usando el perfil
creado para l y las configuraciones de los grupos de programas
comunes de la carpeta Acceso Pblico (W08) All Users (W. anteriores)
Cuando el usuario termina la sesin, todos los cambios realizados
durantee la ses
du
sesin
sobre
sob e la co
configuracin
gu c predeterminada
p ede e
d se guardan
gu d en
e
su perfil de usuario. (El perfil por defecto no se modifica)
39
Perfiles (iii)
( )
Hay tres tipos de perfiles
Perfil
P fil de
d usuario
i local:
l l
La primera vez que un usuario inicia sesin en un equipo se crea
un perfil para l y se guarda en el disco duro del equipo
Los cambios realizados en este perfil son especficos del equipo
en el que se hicieron esos cambios
Es referente al equipo local y no es compartido por los equipos
d la
de
l red
d (el
( l usuario
i tendr
d un perfil
fil local
l l en cada
d equipo
i en ell que trabaje)
b j )
Al cerrar la sesin, se actualiza el perfil con los cambios
Se mantienen en un directorio predeterminado o en una
l li i indicada
localizacin
i di d en Ruta
R t Perfil
P fil (Propiedades
(P i d d del
d l usuario)
i )
Directorios:
%SystemDrive%\Users\%UserName%\ntuser.dat
c:\Users\pilar\ntuser.dat
%SystemDrive%\Usuarios\%UserName%\ntuser.dat
%SystemDrive%\Documents and Settings \%UserName%\ntuser.dat
Tema 14. Cuentas de grupo, equipo y usuario
40
Perfiles (iv)
( )
Hay tres tipos de perfiles
Perfil de usuario mvil:
En un dominio, se puede guardar el perfil de usuario en un
perfil
f mvil, p
para que
q el usuario tenga
g el mismo perfil
p
servidor, p
en cualquier equipo
Perfil de usuario que se descarga desde el servidor de perfiles
al equipo local cuando un usuario inicia una sesin. Se
actualiza
t li en ell servidor
id cuando
d ell usuario
i cierra
i
la
l sesin
i
Este perfil es fijado por el administrador y se almacena en el
servidor. (Se crea la primera vez que un usuario inicia una sesin)
Los
L usuarios
i accedern
d siempre
i
all mismo
i
perfil
fil con
independencia del equipo del dominio que estn utilizando
Los cambios se guardan en el servidor al acabar la sesin
Si por algn problema
problema, el perfil mvil
m il del usuario
s ario no est disponible,
disponible
se crea y usa un perfil de usuario en el equipo local
Si no se asigna perfil mvil al usuario, el usuario tendr un perfil en
q p del dominio en el qque trabaje
j
cada equipo
Tema 14. Cuentas de grupo, equipo y usuario
41
Perfiles (v)
Hay tres tipos de perfiles (contina )
Perfil de usuario obligatorio:
Es un perfil mvil que es obligatorio o est impuesto, de
forma que no se guardarn los cambios que el usuario realice
en ell mismo
i
Lo crea el administrador para especificar una configuracin
determinada a aplicar a un usuario concreto o a varios
El usuario puede realizar cambios mientras tiene la sesin
iniciada, pero dichos cambios se perdern al cerrar la sesin
porque no se guardan
Slo los administradores de sistemas podran realizar cambios
sobre los mismos
Tema 14. Cuentas de grupo, equipo y usuario
42
Tipos
p de perfiles
p
de usuario
Pantalla
Modificar
Configuracin
regional
Guardar
Perfil de
usuario
Mouse
Sonido
P fil mvil
Perfil
il de
d usuario
i
z
z
Perfil
Creado por el
Administrador del sistema
Almacenado en un
servidor
Cliente
Wi d
Windows
Pantalla
Configuracin
regional
Creado por el
Mouse
Administrador del sistema
Servidor
perfil
fil
Almacenado en un
servidor
Tema 14. Cuentas de grupo,
equipo y usuario
Sonido
Cliente
Windows
Cliente
Windows
43
Ad i i
Administracin
i de
d perfiles
fil
Creacin
C
i de
d perfiles
fil mviles:
il
Compartir el directorio donde van a residir los perfiles de usuario,
asegurndose que el grupo Todos tiene acceso al mismo
P.e., en el servidor de perfiles compartir c:\perfiles\
44
45
Cuentas de equipos
Las cuentas de equipo se almacenan en Active Directory y
representan un equipo concreto de la red
Cada equipo del dominio
dominio, sea servidor miembro o controlador de
dominio, tiene una cuenta de equipo
Sirve para auditar las tareas que se realizan desde ese equipo, para
otorgar
t
permisos
i
y restricciones
ti i
o para controlar
t l ell acceso a la
l redd
y a los recursos
Permiten realizar administracin remota
A los equipos con W95 y W98 no se les asignan cuentas de equipo
porque no tienen las caractersticas de seguridad necesarias
Se ppueden agregar
g g cuentas de equipo
q p a cualquier
q
unidad
organizativa, pero las mejores son Equipos o Controladores de
dominio o bien una unidad organizativa creada dentro de ellas
Tema 14. Cuentas de grupo, equipo y usuario
46
47