MONOGRAFA:

GRUPOS Y CUENTAS DE USUARIOS

Mdulo de Autocontenido: Administracin de Redes

Grupos y Cuentas de Usuarios en una red
Objetivo: Al finalizar la sesin el alumno, identificar los diferentes grupos y cuentas de usuario existentes dentro de una red; de la misma manera podr aplicarlos adecuadamente durante la administracin de una red utilizando Windows NT. LI. Yadira Rojas Mata Semestre 208 09

Administracin de Redes

GRUPOS Y CUENTAS DE USUARIOS

El administrador de la red tiene entre sus tareas principales la de permitir a los usuarios el acceso a los diversos recursos crendoles cuentas y otorgndoles derechos. Una cuenta usuario de Windows NT incluye la siguiente informacin: nombre de usuario, contrasea, derechos y restricciones de acceso al sistema. Cada usuario tiene necesidad de una o de varias cuentas a fin de conectarse a la red. La cuenta otorga derechos especficos que determinan la forma en que el usuario puede hacer uso de la red NT, as como los grupos de usuarios a los cuales pertenece. Un grupo es una cuenta que contiene otras cuentas usuario y de grupos. Las cuentas contenidas en grupo son miembros de ese grupo. Las cuentas son usadas para: Permitirle a los usuarios efectuar operaciones como el cambio de fecha del sistema, o de hacer copias de seguridad de los archivos. Aunque las cuentas usuario no tienen ningn derecho predeterminado (por default), obtienen sus derechos al convertirse en miembros de un grupo. Dar permisos de acceso a recursos como los archivos, los directorios y las impresoras. La seguridad del servidor Windows NT est fundada sobre cuatro entidades siguientes: Cuentas de usuario globales: pueden ser utilizadas en cualquier dominio si se aprueba donde fueron creadas. Este tipo de cuentas es el ms utilizado en las redes Windows NT. Cuentas de usuario locales: No pueden ser utilizadas fuera del dominio en el que fueron creadas. Grupos globales: son utilizados para operar en un dominio y para exportar grupos de usuarios hacia otro dominio. Grupos locales: son utilizados para operar los usuarios y para importar grupos globales de usuarios de otros dominios.
ACTIVIDAD: En tu libreta, realiza un cuadro comparativo de las cuentas de usuario y de los grupos locales y globales.

Administracin de los grupos de usuarios

L.I. Yadira Rojas Mata 2/27

Administracin de Redes

Desde el punto de vista del administrador de la red, el trmino usuarios se aplica slo a quienes utilizan la red en el ejercicio de sus funciones. Generalmente no todos los empleados de la red tienen los mismos derechos de acceso, es importante poder distinguir un usuario de otro. Las dos tareas elementales de la administracin de una red, en lo que se refiere a los usuarios, son el agregado y el retiro de stos. Cuando un usuario es agregado al sistema, deben efectuarse tareas administrativas suplementarias a fin de adaptar el ambiente del usuario e informarlo acerca de los derechos y restricciones de acceso que se aplican. En el plano de la seguridad, el ambiente del usuario es a menudo una matriz de derechos que incluyen las impresoras, los archivos, las estaciones de trabajo, as como el tiempo que le es concedido en la red. Un usuario puede estar autorizado a utilizar ciertas impresoras, gozar de derechos de acceso a ciertos archivos y estar limitado a utilizar estaciones de trabajo particulares en ciertos momentos especficos. El primer nivel de seguridad interna consiste en crear una cuenta en la red por cada usuario. Sin cuenta, el usuario no puede conectarse y no puede acceder a los recursos de la red. A cada cuenta de usuario se le asocia un nombre de usuario que debe ser ingresado para conectarse a la red. Tambin se asocian otros datos sobre el usuario como contrasea, nombre completo y una lista de los derechos de acceso que le son conferidos. Ciertas redes permiten al administrador limitar los tiempos de acceso. As, se puede restringir el trabajo de los usuarios en la red a ciertas horas de operacin de la empresa. Un grupo es un conjunto de usuarios. En ciertos sistemas, cada usuario debe pertenecer a un solo grupo. Otros, permiten al usuario ser parte de uno o ms grupos o de ninguno. Los derechos se aplican al sistema en su totalidad. Afectan directamente las tareas que un usuario puede realizar dentro de la red, como el acceso a un servidor, la creacin de cuentas, la operacin de funciones del servidor, etc. Los derechos ofrecen un nivel de acceso superior en relacin a los permisos. Los permisos se aplican a objetos especficos, tales como archivos, directorios e impresoras. Por ejemplo, un usuario puede no tener permiso de agregar o suprimir los archivos.
L.I. Yadira Rojas Mata 3/27

Administracin de Redes

ACTIVIDAD: En tu libreta, explica la diferencia entre DERECHOS y PERMISOS dentro de una red.

Administracin de las contraseas Una red bien protegida implica que todos los usuarios deben identificarse y confirmar su identidad con una contrasea antes de tener acceso a ella. Suministrar un cdigo de seguridad y una contrasea otorga acceso a la red al usuario, lo que no permite necesariamente acceder a todos los datos y a todas las unidades perifricas de la red, pero permite utilizar ciertos programas y datos especficos. La seguridad de la red depende de los mtodos de creacin y de las contraseas. Las contraseas son el elemento esencial de la seguridad de la red. Con el nombre del usuario solamente, no existe ninguna seguridad. A travs del correo electrnico es posible obtener los nombres de los usuarios. En consecuencia, la red es bastante vulnerable. El servidor Windows NT es capaz de vigilar las tentativas infructuosas de entrada en sesin por intrusos que intentan diferentes combinaciones de contraseas. El sistema operativo puede bloquear la cuenta despus de un cierto nmero de tentativas infructuosas. Las formas ms comunes infructuosas dentro de una red son: de negociar las entradas

Definir la duracin mxima de la contrasea que le impedir al sistema aceptar otra tentativa de entrada con el mismo cdigo de identidad una vez expirado el tiempo. Un tiempo de expiracin de 5 minutos, le llevar a un usuario no autorizado algunos aos antes de descubrir una contrasea. Desactivar la cuenta de un usuario despus de cierto nmero de intentos infructuosos; sin embargo despus de la desactivacin de la cuenta, nadie, incluso el verdadero usuario podra tener acceso a la red, hasta que el administrador del sistema reactive la cuenta. Pretender que una entrada ha sido fructfera despus de una serie de fracasos. La entrada pretendida crea un ambiente controlado por el intruso hasta que se enva una seal a la consola de control del administrador de la red. El objeto de la pretendida sesin es el de permitirle al administrador identificar
L.I. Yadira Rojas Mata 4/27

Administracin de Redes

la estacin de trabajo desde la cual trabaja el intruso y as aprehenderlo.

ACTIVIDAD: En tu libreta, explica para que sirven las contraseas y da un ejemplo utilizando las reglas de redaccin de una contrasea para que sea segura.

Grupos Existen tres maneras de administrar los recursos de un sistema: Segn el usuario de la red Segn el recurso Segn el grupo. La administracin por usuario implica determinar un acceso para cada cuenta de usuario, lo que significa un trabajo considerable, pues si la red cuenta x usuarios se necesitaran definir x cuentas usuario y llevar un seguimiento de las actividades de stas. Si los recursos de la red fueran tres servidores, por ejemplo dos servidores de archivos y uno de impresin, de los cuales un servidor de archivos fuera para aplicaciones y el otro a las ventas, y el acceso se diera dependiendo el usuario; ocasionara un problema, pues resulta complejo administrar la red. Por lo tanto, la utilizacin de de grupos favorece una operacin ms eficaz de la utilizacin de los recursos de una red. Windows NT ofrece dos tipos de grupo de base: el grupo local y el grupo global.

ACTIVIDAD: Comenta con tus compaeros cul es la mejor manera de administrar una red y por qu; escrbelo en tu libreta.

Grupos Globales Los grupos globales son listas de cuentas de un solo dominio y no pueden contener otros grupos. Comprenden cuentas usuario provenientes slo del dominio en el que han sido creadas. Permiten establecer vnculos entre dominio en un ambiente multidominios. Los grupos globales tienen acceso a los dominios que confan ofrecen una forma de acceso a travs de los dominios.
L.I. Yadira Rojas Mata 5/27

Administracin de Redes

La Fig. 11, ilustra una red que comprende dos dominios: ABC y DEF. El dominio ABC es utilizado por todos los usuarios para entrar en sesin en la red. En este dominio, el administrador crea un grupo global, llamado grupo global ABC, que comprende a los miembros Pepe, Too y Lalo.
El dominio DEF que confa Grupo Local DEF
Grupo local de ABC

Miembros: Pepe, Too y Lalo

Grupo Local DEF

Grupo Global

Miembros: Pepe, Too y Lalo Fig. 11: Creacin de un grupo global que puede obtener privilegios en un dominio que aprueba otro dominio

El dominio llamado DEF confa al dominio ABC en este ejemplo. Esto le permite al administrador de DEF otorgar autorizaciones en el dominio DEF al grupo global de ABC como miembro del grupo local DEF. Esto significa que cuando DEF aprueba a ABC, los usuarios autorizados por ABC tambin son bienvenidos en el dominio DEF. Los grupos globales en el dominio ABC son as incluidos como miembros de los grupos globales en DEF. Cuando la condicin de miembro en los grupos locales de DEF se concede a los miembros de ABC, stos se benefician de autorizaciones, como si sus cuentas hubiesen sido creadas directamente en el dominio DEF. Se deben asignar derechos a los grupos locales de los cuales los grupos globales forman parte. Cada vez que un usuario es aadido al
L.I. Yadira Rojas Mata 6/27

Administracin de Redes

grupo global apropiado, obtiene los derechos necesarios. Es importante no dar el mismo nombre al grupo local o al global, los nombres deben ser nicos en la base de datos. Los grupos globales ofrecen las siguientes caractersticas: No pueden contener a otros grupos. Pueden ser miembros de grupos locales. Pueden incluir usuarios provenientes del dominio donde fueron creados. Les pueden ser concedidos privilegios en los dominios en los que se confan donde fueron creados. No pueden tener recursos como miembros, mas pueden recibir derechos en recursos cuando pertenecen a grupos locales. Con el servidor Windows NT los grupos globales estn predefinidos: un grupo de administradores y dos grupos de usuarios, como lo muestra el Cuadro 12. Grupo Global Administradores
Administradores del Dominio

Descripcin
Este grupo que rene nicamente dominios de Windows NT, permite a los administradores de la red tener derechos administrativos a travs de los dominios. Este grupo es utilizado para operar los derechos de acceso a travs de los dominios mltiples. Todas las cuentas usuario de un dominio son automticamente incluidas en el grupo global de los usuarios, de modo tal que todos los miembros del grupo global de los usuarios son usuarios del dominio. El usuario invitado, es generalmente incluido en el grupo global de los invitados del dominio, que es el mismo incluido en el grupo local de los huspedes. Los miembros de este grupo o esos del grupo de invitados gozan de privilegios de invitados en el dominio.

Usuarios del Dominio

Invitados del Dominio

Cuadro 12: Grupos globales predefinidos en Windows NT

Grupos locales La nocin local significa que el grupo est localizado en la base de datos y en la computadora en la cual existe el grupo. La cuenta usuario est definida en una base de datos y se asignan derechos a la computadora que contiene esta base de datos.

L.I. Yadira Rojas Mata

7/27

Administracin de Redes

No pueden asignarse privilegios a los grupos locales ms que en el dominio en el que fueron creados. Pueden contener grupos globales y de usuarios. Las caractersticas de los grupos locales son: Son utilizados para administrar los derechos y los permisos de un servidor en un dominio. Las cuentas usuarios pueden ser miembros. Pueden asignrseles los recursos del dominio. Pueden contener a los grupos globales provenientes de los dominio en los que confiar por el dominio de los grupos locales No se les pueden asignar privilegios en otros dominios. En el ejemplo mostrado en la Fig. 13, se encuentran dos tipos de grupos locales: 1. El grupo local DIRECTORES est definido en la base de datos de los controladores del dominio (CPD y CRD). Este grupo puede recibir permisos de acceso en el recurso compartido PRESUPUESTO dentro del control del sistema de respaldo. 2. En el servidor de archivos que no es controlador de dominio, el grupo local PERSONAL puede recibir permiso de acceso al recurso compartido EVALUACIN. Puesto que los grupos locales se localizan en la base de datos en la que residen, el grupo local DIRECTORES del controlador del dominio no puede tener permiso para ingresar al recurso EVALUACIN; as como tampoco el grupo local PERSONAL del servidor de archivos puede recibir permisos de acceso a un recurso en el controlador del dominio. Si el servidor NT es un controlador de dominio (CPD CRD), los grupos locales estn disponibles entre ellos en el mismo dominio. Si un servidor no forma parte del dominio (incluso si est ligado a la red), esos grupos locales no pueden ser compartidos con los servidores definidos como pertenecientes al dominio.

L.I. Yadira Rojas Mata

8/27

Administracin de Redes

CPD Grupo local

DIRECTORES SERVIDOR

DOMINIO XYZ

CRD

Grupo local Recurso compartido: PRESUPUESTO Recurso compartido: EVALUACIN Locales

PERSONAL Fig. 13: Grupos

En el Cuadro 14, aparece la lista de grupos locales predefinidos con el servidor de dominio Windows NT. Cuenta
Operadores de cuenta

Utilizacin
Creacin, modificacin y eliminacin de cuentas usuario, igual que de grupos locales y globales. Pero no pueden conceder derechos de acceso a los usuarios. Creacin, eliminacin y administracin de las cuentas usuario, de los grupos locales y globales. Comparte directorios e impresoras. Sesin de permisos y derechos en los recursos. Instalacin de los sistemas de operacin y programas. Para que el usuario pueda convertirse en administrador, basta con agregar la cuenta del usuario al grupo de los administradores. Respaldo y recuperacin de archivos y servidores. Pueden conectarse locamente al servidor. El usuario invitado est generalmente incluido en el grupo global de los invitados del dominio. Dominio que tambin est incluido en el grupo local de los invitados. Estos usuarios pueden ser empleados a tiempo parcial o visitantes de Internet que tienen acceso limitado al servidor o al dominio. En los dominios, los miembros del grupo de los invitados son similares a esos del grupo de los usuarios. Los empleados de ese grupo no pueden operar grupos locales, ni bloquear el puesto de trabajo (derechos limitados) Pueden compartir o suspender la particin y gestin de los recursos que funcionan en un dominio de Windows NT. Pueden conectarse localmente a los servidores para abrir y cerrar una sesin local. Los miembros de este grupo pueden efectuar el duplicado de
9/27

Administrador es Operadores de copia Invitados del dominio

Invitados

Operadores de impresin Duplicadores

L.I. Yadira Rojas Mata

Administracin de Redes

Cuenta

Utilizacin
archivos de dominio, en la estacin de trabajo o en el servidor. Reparticin y alto a la reparticin de recursos. Cierre del servidor. Formateo de los discos del servidor. Pueden conectarse localmente al servidor. Respaldo y recuperacin de los servidores. Son miembros de los grupos locales de usuarios. Pueden entrar en sesin en los controladores del dominio principal y de respaldo. Pueden acceder en red a los recursos del dominio.
Cuadro 14: La lista de grupos locales

Operadores de servidores

Usuarios

Existe otro grupo local que se llama Grupo de usuarios con poder. Este grupo se genera en la instalacin de un servidor NT que no es servidor de dominio. Los miembros de ese grupo pueden crear y modificar cuentas y compartir recursos. Los grupos locales predefinidos no pueden ser eliminados ni renombrados. El reto para los administradores es utilizar grupos locales que deben ejecutarse eficazmente. Al evaluar las tareas se debe en seguida encontrar al grupo que mejor se adapte. Estrategia de grupos Cuando la situacin lo permite es mejor utilizar grupos locales y globales por default. Se recomienda seguir las siguientes etapas para la implementacin de grupos en un dominio: Crear las cuentas usuario y agregarlas en seguida a un grupo global que les permita el acceso a travs del dominio. Ajustar los grupos globales a los grupos locales. Asignar derechos de acceso a los grupos locales. De este modo, todos los cambios a los miembros de los grupos globales son hechos en el controlador del dominio. El plan de los grupos locales no requiere nada de los miembros de grupos.
ACTIVIDAD: Realiza en tu libreta un cuadro comparativo de los grupos Locales y Globales, y explica porqu es importante la creacin de ambos

Administracin de las cuentas usuario

L.I. Yadira Rojas Mata

10/27

Administracin de Redes

En el momento de la instalacin de Windows NT, se crean dos cuentas usuario: Administrador e invitado. La cuenta usuario no puede ser eliminada, pues forma parte de los siguientes grupos predefinidos: Usuario de dominio (grupo global). Administrador del dominio (grupo global). Administradores (grupo local). Establecimiento de un plan de cuenta El plan de cuenta determina las contraseas y estrategias de bloqueo que afectan a los usuarios del dominio. Para tener acceso a la ventana del Plan de cuentas del mdulo Administrador de usuarios, se debe escoger Directivas y luego Cuentas. Una pantalla como la que se muestra en la Fig. 15, permite modificar los parmetros de las cuentas de usuario.

Definicin por restricciones por contrasea El plan de cuenta permite definir cuatro limitaciones por contrasea. Los parmetros de restriccin son: Limitaciones de contrasea. Se aplican a todas las cuentas usuario y establecen una seguridad adecuada. En la seccin Duracin mxima de contrasea, se encuentran las siguientes opciones: La contrasea nunca caduca: Nunca expira la contrasea Caduca en XX das: por default son 42 das, pero es recomendable cambiarla cada 30 das. En la seccin Longitud mnima de la contrasea, se encuentran las siguientes opciones: Permitir contraseas en blanco: Permitir una contrasea hueca Mnimo XX caracteres: Nmero de caracteres mnimos requeridos en la contrasea. En la seccin Duracin mnima de la contrasea, se encuentran las siguientes opciones:
L.I. Yadira Rojas Mata 11/27

Administracin de Redes

Permitir cambios inmediatamente: Para realizar cambios inmediatamente Permitir cambios en XX das. Para realizar cambios en determinado nmero de das. En la seccin historia de la contrasea se encuentran las siguientes opciones: No guardar Historia de contraseas: Para no guardar ningn historial de contraseas. Recordar XX contraseas: Recordar ciertas contraseas.

ACTIVIDAD: Explica en tu libreta porqu es importante contar con una buena contrasea y aplicar restricciones de acceso en una red

Bloqueo de las cuentas Puede suceder que personas no autorizadas busquen infiltrarse a la red, utilizando el nombre de un usuario adivinando la contrasea. Las opciones de proteccin que ayudan a prevenir esos casos son: Sin bloqueo de cuenta: Ningn bloqueo de cuenta. Cuenta bloqueada: Activacin del bloqueo de cuenta con los siguientes parmetros: Bloquear despus de XX intentos de inicio de sesin incorrectos. Restablecer cuenta despus de XX minutos: Regresar la computadora a cero despus de XX minutos.

En general, el nmero de intentos no debera rebasar de cuatro. Se recomienda otorgar un buen nmero de minutos antes de regresar el contador del reloj a cero entre dos intentos infructuosos. En la seccin siguientes opciones: Duracin del bloqueo, se encuentran las

Para siempre: Hasta que el administrador la desbloquee. Duracin XX minutos: Duracin del bloqueo en minutos.
L.I. Yadira Rojas Mata 12/27

Administracin de Redes

La opcin Desconectar del servidor a los usuarios remotos cuando termine la hora de inicio de conexin determina las horas de conexin para cada usuario. Gracias a esta opcin, el usuario ser desconectado de todos los servidores del dominio cuando la estancia permitida rebase las horas de utilizacin. La opcin Los usuarios deben iniciar la sesin para cambiar la contrasea fuerza al usuario a conectarse antes de cambiar su contrasea.
ACTIVIDAD: En tu libreta, escribe porqu motivo deben bloquearse las cuentas de usuario y da un ejemplo

Fig. 15: la ventana de Plan de cuentas para la administracin de cuentas usuario

Creacin y modificacin de las cuentas usuario La utilera Administrador de usuarios para dominio, seleccionada en el men Programas Herramientas administrativas, despliega una ventana, mostrada en la Fig. 16, que permite agregar, cambiar y eliminar cuentas oara usuarios y para grupos.

L.I. Yadira Rojas Mata

13/27

Administracin de Redes

Fig. 16: El mdulo de administracin de las cuentas de usuario para un dominio

Despus de que se ha establecido en plan de cuentas, deben crearse las cuentas; para esto, existen dos formas de establecer cuentas usuario: 1. Utilizando la ventana administrador de usuarios, mostrada en la Fig. 16, debe comenzarse por determinar el dominio en el cual se va a trabajar. 2. Con ayuda del Asistente, Agregar cuentas de usuario. Del men Usuario, escoger Usuario Nuevo, para agregar una nueva cuenta usuario. Se desplegar un cuadro de dilogo (Fig. 17), permitiendo capturar los parmetros. Para modificar una cuenta existente, se selecciona la cuenta existente y luego Usuario Propiedades. Se debe escribir el nombre de usuario, el nombre completo, la descripcin, la contrasea y la confirmacin, como se muestra en la Fig. 17. Las opciones de este cuadro de dilogo son: El usuario debe cambiar la contrasea en el siguiente inicio de sesin (opcin por default) El usuario no puede cambiar la contrasea. Esta opcin ser utilizada en los siguientes casos: Una cuenta utilizada por varias personas. Las contraseas son puestas manualmente por el administrador de la red y los usuarios no estn autorizados a cambiarlas. La contrasea nunca caduca. Esta jams expira; esta opcin reemplaza a la establecida en la estrategia de cuenta, no debe
L.I. Yadira Rojas Mata 14/27

Administracin de Redes

ser utilizada ms que por cuentas que auxiliarn servicios como la duplicacin de directorios. Cuenta desactivada. Esta opcin es utilizada en casos como cuando un usuario se encuentra de vacaciones.

Fig. 17: Ventana para agregar o modificar una cuenta usuario

Despus de que se ha creado una cuenta usuario, se puede hacer una copia con la ayuda del comando Copiar del men usuario. Los parmetros que se copiarn son la descripcin y grupos. Quedarn los perfiles en caso de necesidad. El nombre de usuario, la contrasea y las opciones de contrasea son por default inicializados en cero. Se puede suprimir la cuenta usuario con la ayuda del comando Eliminar del mismo men. La eliminacin de las cuentas usuario es irreversible (se elimina el identificador). Por lo que en lugar de suprimir una cuenta, es preferible desactivarla durante un cierto tiempo. Al cambiarle de nombre a una cuenta, sta conserva todos los parmetros establecidos. Para cambiarle de nombre a una cuenta, seleccionar: Cambiar nombre del men Usuario

Determinacin de pertenencia a grupos El botn grupos de la ventana Usuario nuevo, despliega el cuadro de dilogo de la Fig. 18, que permite determinar el grupo al que pertenece la cuenta usuario.
L.I. Yadira Rojas Mata 15/27

Administracin de Redes

Fig. 18: Designacin de pertenencia a grupos

La casilla No es miembro de elabora la lista de los grupos a los cuales no pertenece la cuenta usuario. JGONIDEC ya est agregado a la lista de usuarios del dominio. Para agregar una membresa a los grupos a la cuenta usuario, debe de seleccionarse el nombre del grupo y hacer clic sobre el botn Agregar, entonces se suprime el nombre de la casilla del grupo No es miembro de y se agrega a la casilla Es miembro de.

Administracin del perfil de los usuarios El botn Perfil de la ventana Usuario nuevo despliega un cuadro de dilogo (Fig. 19) que permite configurar los parmetros: Ruta de acceso del perfil del usuario: cada usuario puede operar un perfil de usuario asociado al nombre usuario en la red. El perfil de usuario puede estar definido por cada usuario a fin de crear un ambiente personalizado al entrar a una sesin de trabajo en la red. El ambiente hecho a la medida para un usuario, podra consistir en un grupo de aplicaciones o en una aplicacin especfica ejecutable cuando el usuario entra en sesin con el servidor de la red. El perfil registrado en la estacin de trabajo, es un perfil local porque no es accesible ms que a partir de la computadora desde la cual fue creado. Al abrir sesiones de trabajo en la red Windows NT, se pueden crear tanto perfiles como se desee. Al perfil mantenido en la red se le denomina perfil de acceso remoto porque es accesible a partil de cualquier computadora de la red. Archivos de comandos de inicio de sesin (script de inicio de sesin): los comandos de inicio son archivos que se ejecutan
L.I. Yadira Rojas Mata 16/27

Administracin de Redes

por adelantado cuando los usuarios se conectan a la red. Los perfiles usuario son ms flexibles, pero estn limitados a estaciones de trabajo NT. Los archivos de comandos de inicio tienen una extensin BAT para DOS y se aplican a los otros clientes, tales como DOS y Windows. Directorio particular: directorio personal del usuario. Cada usuario tiene su propio directorio que puede utilizar para archivos personales, con la opcin de acceso a otros usuarios. Es posible colocar este directorio en la estacin de trabajo o en el servidor. Ruta de acceso local: el repertorio de la estacin de trabajo. Conectar: la unidad en el servidor Para utilizar el mismo nombre que en la cuenta usuario como directorio personal, se necesita agregar el parmetro %USERNAME% al final del directorio en los parmetros del usuario. El directorio ser creado en forma automtica en el momento de la creacin de la cuenta usuario. En el caso de un directorio en el servidor, ste se crea automticamente, as como los derechos asignados al usuario. El directorio es asignado al nombre de usuario.

Fig. 19: Definicin de un perfil de un archivo de inicio a un directorio personal

Administracin de los horarios de acceso

L.I. Yadira Rojas Mata 17/27

Administracin de Redes

El botn Horas de la ventana de Usuario nuevo, despliega un cuadro de dilogo (Fig. 20), que permite restringir los das y las horas en que el usuario puede conectarse al dominio.

Fig. 20: Restricciones de das y horas en la utilizacin de la red

La ventana Horas de inicio de sesin ofrece un calendario semanal de las horas autorizadas para conectarse a la red. Las horas marcadas con una barra sombreada son aquellas en las que el usuario est autorizado a entrar en sesin. Las horas indicadas con tinta ms clara corresponden a aquellas en las cuales el usuario no tiene derecho de acceso. Por ejemplo, le est prohibido a JGONIDEC entrar a la red entre las 8 y las 10 pm, pues este es el horario durante el cual se efectan los respaldos diarios, como lo muestra la Fig. 20. Debe hacerse clic en seguida sobre el botn Denegar para evitar la apertura de una sesin durante este periodo. El administrador de la red debe poder acceder a la red en cualquier momento a partir de la cuenta de usuario o de la cuenta de administrador. Se debe contar con otro acceso si hay algn problema con la cuenta del administrador.

ACTIVIDAD: Contesta en tu libreta Por qu es importante establecer horarios de acceso a los usuarios en una red?, el administrador de la red debe estar restringido en acceso, si/no, por qu?

Administracin de los permisos de acceso a las estaciones de trabajo

L.I. Yadira Rojas Mata 18/27

Administracin de Redes

El botn iniciar desde de la ventana Usuario nuevo despliega un cuadro de dilogo, mostrado en la Fig. 21, que permite restringir las estaciones desde las cuales el usuario puede conectarse al dominio. El usuario puede conectarse de manera automtica a partir de cualquier estacin de trabajo. Si se selecciona la opcin El usuario puede acceder a estas estaciones de trabajo, se pueden incorporar hasta ocho nombres de estaciones de trabajo desde las cuales el usuario puede abrir sesiones.

Fig. 21: La determinacin de los permisos de acceso a las estaciones de trabajo

Expiracin de las cuentas de los usuarios El botn Cuenta de la ventana Usuario nuevo despliega un cuadro de dilogo (Fig. 22), que permite definir una fecha de caducidad de cuenta y seleccionar el tipo de cuenta de las cuentas usuario seleccionadas. Esta opcin es til cuando se desea crear una cuenta temporal para un auditor por una duracin especfica.

Fig. 22: Ventana para capturar la expiracin y seleccin de tipo de cuenta

Por default las cuentas no expiran jams. Cuando se selecciona Final de, aparece la fecha del da. Se puede seleccionar el mes con las
L.I. Yadira Rojas Mata 19/27

Administracin de Redes

flechas y entonces cambiar en forma manual la fecha. En lugar de eliminarla, se hace expirar. Cuando una cuenta tiene fecha de caducidad, ser puesta fuera de funciones al final del da fijado. El usuario no puede abrir otras sesiones despus de la fecha de expiracin. Si se desea que la cuenta sea reconocida por otros dominios que aprueben el dominio al que puede conectarse el usuario, se selecciona Cuenta Global. En el caso en que el usuario no vaya a tener acceso a ningn otro dominio seleccionar Cuenta Local.
ACTIVIDAD: Escribe en tu libreta ejemplos en los cuales se debe definir fecha de caducidad a las cuentas

Administracin de los accesos remotos El botn Marcado de la ventana Usuario nuevo, despliega un cuadro de dilogo que permite establecer acceso remoto con la red (Fig. 23). El servidor Windows NT incluye un servicio muy potente para permitir el acceso remoto o a distancia a los usuarios. Ese servicio se llama RAS Remote Access Service. Por default el usuario no tiene cuenta con derecho a conectarse a la red. Para darla permiso, se seala la casilla Conceder permiso de marcado al usuario.

Fig. 23: La determinacin del acceso remoto

La seccin Contestar de este mismo cuadro de dilogo ofrece las siguientes opciones que permiten mayor seguridad: No contestar: El usuario se conecta simplemente con su nombre y contrasea, por tanto, ninguna seguridad adicional.
L.I. Yadira Rojas Mata 20/27

Administracin de Redes

Establecer por quien marca: Una vez conectado, el servidor solicita al usuario un nmero de telfono. Antes de autorizarle el acceso a la red, el servidor llama al usuario para confirmarle el nmero de telfono que ha marcado. De este modo el servidor asume los gastos de comunicacin si stos tienen lugar. Preestablecer a: esta opcin es la ms segura, el servidor llama al usuario a un nmero preestablecido. Cuando se han terminado las modificaciones, hacer clic sobre el botn Agregar para agregar la cuenta a la base de datos.

Manejo de los Grupos Creacin de grupos La utilera Administrador de usuarios para dominios tambin es utilizada para la creacin y modificacin de grupos. Los servidores NT (controlador de dominio) pueden contener grupos locales o globales. Los servidores NT no pertenecen a un dominio y as, las estaciones NT no pueden contener grupos locales. Para crear un grupo global, se selecciona Grupo global nuevo en el men usuario y Grupo local nuevo del mismo men en el caso de un grupo local (Fig. 25).

Fig. 25: La creacin de un Grupo Local

Las opciones de esta ventana son: Nombre de grupo: Da un nombre a fin de identificar un grupo. Ese nombre puede contener hasta 256 caracteres (no debe contener el smbolo \). El nombre debe ser nico en el dominio (ningn otro grupo o usuario, debe llevar ese nombre).
L.I. Yadira Rojas Mata 21/27

Administracin de Redes

Descripcin: Es opcional y puede ser prctico ya que despliega una larga lista de grupos. Mostrar nombre completos: Despliega los nombres completos de los miembros (por default, slo despliega la cuenta usuario). Miembros: Despliega los nombres de los usuarios y de los grupos que han sido seleccionados antes de crear el grupo. Para agregarlos, hacer clic sobre el botn Agregar Se despliega el cuadro de dilogo mostrado en la Fig. 26 a fin de agregar usuarios y/o grupos.

Fig. 26: Agregar usuarios y/o grupos

En el cuadro de dilogo de la Fig. 26, se muestra: Mostrar nombres es: Permite cambiar de dominio o computadora, en el caso de una estacin NT o de un servidor NT no perteneciente al dominio. Un asterisco (*) indica que pueden ser vistos los grupos locales del dominio. Nombres: Despliega las listas de las cuentas del dominio o de la computadora seleccionada. Si se selecciona un dominio, los grupos globales son igualmente indicados. Agregar: Agrega los nombres seleccionados en la casilla Nombres. Miembros: Si se selecciona un grupo en la casilla Nombres, los usuarios son listados. Buscar: Permite hacer bsquedas en uno o varios dominios. Debe suministrarse el nombre exacto del usuario o del grupo. Quitar: Permite retirar nombres de los usuarios o de grupos de un grupo dado. Seleccionar los nombres deseados en la casilla Miembros, luego hacer clic sobre el botn.
L.I. Yadira Rojas Mata 22/27

Administracin de Redes

Copia de un grupo Para copiar un grupo existente, se selecciona en la ventana Administrador de usuarios y se escoge enseguida Copiar del men Usuario. La ventana Grupo nuevo permite configurar un nuevo grupo con la misma lista de miembros. Eliminar un grupo Contrariamente a los grupos predefinidos, los grupos creados por los administradores de dominios s pueden ser eliminados. Los grupos eliminados no pueden ser recuperados. Todos los grupos tienen una identificacin de seguridad (SID). Si se borra un grupo y luego se recrea, el SID del nuevo grupo ser diferente del SID original. Para borrar un grupo, seleccionarlo y despus escoger Eliminar en el men Usuario. Para aadir o modificar un grupo, se efecta el siguiente procedimiento a partir del men principal de Windows NT: Programas; Herramientas administrativas; Asistentes de administracin; Administracin de grupo Crear y modificar cuentas de grupo. Estrategia de derechos de los usuarios El programa de seguridad de Windows NT permite crear y asegurar la operacin de los derechos de los usuarios, como el acceso al servidor, el agregado de estaciones de trabajo al dominio, el cambio de la hora del sistema y dems. Los miembros del grupo Administradores pueden autorizar los derechos de acceso. Los derechos pueden ser asignados a los usuarios, a los grupos o a una combinacin de ambos. La manera metdica y fcil de administrar los derechos es a travs de los grupos. Cuando se crean grupos nuevos, se les deben asignar derechos. El comando Derechos de usuario del men Directivas en la ventana Administrador de usuarios despliega un cuadro de dilogo (Fig. 27). Existen dos categoras de derechos: los derechos de base (Cuadro 28), y los derechos avanzados.

L.I. Yadira Rojas Mata

23/27

Administracin de Redes

Fig. 27: La asignacin de derechos a los usuarios de los grupos

Si se quiere incluir en la lista Derecho se seala entonces la casilla Mostrar derechos de usuarios avanzados. La mayora de los derechos avanzados slo les conciernen a los programadores. Hacer clic sobre al lado de la casilla Derecho para desplegar una lista de derechos. Seleccionar el derecho a examinar y la casilla Conceder a mostrar los grupos y los usuarios a quienes se les asigna ese derecho. Para agregar un grupo o un usuario, hacer clic sobre el botn Agregar y escoger los y grupos en la ventana Agregar usuarios y grupos (Fig. 29); esta lista permite determinar los usuarios y los grupos en el dominio en curso o en los dominios aprobados.
Derecho
Acceder a este equipo desde la red Agregar estaciones de trabajo al dominio Hacer copias de seguridad de archivos y directorios Cambiar la hora del sistema Forzar el apagado desde un sistema remoto

Generalmente asignado a
Usuarios de las estaciones de trabajo. Administradores Administradores

Descripcin
Les permite a los usuarios conectarse a una computadora a travs de la red Permite a los usuarios agregar un servidor o una estacin de trabajo NT a un dominio existente, con interaccin entre los usuarios del dominio, los recursos y los grupos globales. Incluye derechos de lectura de archivos y directorios as como hacer copias de respaldo. Les permite a los usuarios ajustar el reloj interno Permite reinicializar interno del servidor. el reloj

Administradores Operadores de respaldo Operadores del servidor Administradores Operadores del servidor Administradores Operadores del servidor

L.I. Yadira Rojas Mata

24/27

Administracin de Redes

Cargar y descargar controladores de dispositivos Inicio de sesin local Administrar los registros de auditoria y seguridad Restaurar archivos y directorios Apagar el sistema Tomar posesin de archivos y otros objetos

Administradores

Permite copiar los controladores de los dispositivos del servidor. Permite conectarse a una computadora bajo Windows NT Les permite a los usuarios especificar los recursos a auditar y administrar los diarios de seguridad. Permite registrar todos los archivos y los directorios, sin importar las restricciones de los permisos. Permite cerrar el sistema.

Administradores Operadores del servidor Operadores de respaldo Administradores

Administradores Operadores del servidor Operadores de respaldo Administradores Operadores del servidor Operadores de respaldo Administradores

Permite tomar posesin de los archivos u otros objetos, como las impresoras.

Cuadro 28: Los derechos de los usuarios y de los grupos

Fig. 29: La asignacin de un derecho a un grupo ACTIVIDAD: Explica en tu libreta porqu es importante el manejo de los grupos en una red

CONCLUSIONES
El administrador de la red tiene entre sus tareas principales la de permitir a los usuarios el acceso a los diversos recursos crendoles cuentas y otorgndoles derechos.

L.I. Yadira Rojas Mata

25/27

Administracin de Redes

El primer nivel de seguridad interna consiste en crear una cuenta en la red por cada usuario. Sin cuenta, el usuario no puede conectarse y no puede acceder a los recursos de la red. Ciertas redes permiten al administrador limitar los tiempos de acceso. As, se puede restringir el trabajo de los usuarios en la red a ciertas horas de operacin de la empresa. La importancia de un administrador de redes radica en el conocimiento pleno de las necesidades de una red; de ah la importancia de crear grupos y cuentas de usuario conforme a las necesidades de la organizacin de la que se trate.

BIBLIOGRAFA REDES LOCALES E INTERNET o Introduccin a la comunicacin de datos. o Armand St-Pierre, William Stephanos o Ed. Trillas
L.I. Yadira Rojas Mata 26/27

Administracin de Redes

L.I. Yadira Rojas Mata

27/27