Está en la página 1de 11

SISTEMAS OPERATIVOS EN RED

1. CONFIGURACIÓN DE GRUPOS Y USUARIOS.


Uno de los elementos fundamentales en la administración de una red, es el control
de los usuarios, grupos y equipos. Por ello, debemos aprender cómo crearlos,
modificarlos, organizarlos y, si llega el caso, eliminarlos.

En Windows 2003/2008 Server ya no disponemos del Administrador de


usuarios para dominios, las cuentas de usuario, equipo y grupo se administran ahora
con el complemento Usuarios y equipos de Active Directory.

1.1. Las cuentas de usuario y de equipo en Windows 2003/2008 Server

Tanto las cuentas de Usuario como las de equipo deben estar habilitadas para
ofrecer derechos de acceso, así como restricciones tanto a usuarios de red como a
equipos que pertenezcan a la red. Windows 2003/2008 Server ofrece dos modos
diferentes de cuentas de usuario:

 Cuentas de usuario de dominio


 Cuentas de usuario local.

Cuando un usuario se conecta al dominio, la cuenta de usuario y su contraseña se


verifican con el Id. de seguridad (SID, Security ID) para esa cuenta. Si la cuenta es
válida, la cuenta se autentifica por el controlador de dominio y el usuario recibe un
testigo de acceso. La información de la cuenta de usuario se replica a los otros
controladores de dominio para que el usuario pueda tener acceso a los recursos del
dominio. La cuenta de usuario local permite al usuario conectar con un equipo concreto

Prof: Ana María Fuentes Conde 1


SISTEMAS OPERATIVOS EN RED

y tener acceso a los recursos que existan en la máquina. La cuenta del equipo local se
crea sólo en la base de datos de seguridad del equipo y su información de cuenta no se
replica a los controladores de dominio. Los usuarios que acceden a un equipo local
usando una cuenta de equipo local no podrán usar los recursos que existan en el
dominio.

Windows 2003/2008 Server contiene dos cuentas incorporadas, la cuenta del


administrador y la cuenta de invitado. La cuenta de invitado se deshabilita de forma
predeterminada y se puede habilitar y asignarle una contraseña si hace falta. Podemos
volver a nombrar la cuenta de invitado pero no podemos eliminarla.

Es importante recordar al crear cuentas de usuario que los nombres de inicio de


sesión de usuario deben ser únicos, no pueden contener más de 20 caracteres, y los
siguientes caracteres no son válidos: "/\[];|=,+*?<>. Las mayúsculas no influyen en los
nombres de inicio de sesión de usuario.

1.2. Cuentas de usuario

Aquí veremos cómo crear, configurar y administrar cuentas de usuario.

1.2.1. Creación de cuentas de usuario de dominio

Para crear una cuenta de usuario, siga estos pasos:

1. Haga clic en Inicio, Programas, Herramientas administrativas, Usuarios y


equipos de Active Directory.
2. Expanda el dominio dentro de la
consola.
3. Haga clic con el botón derecho en el
contenedor Usuarios, o en la OU donde
quiera crear una cuenta de usuario,
seleccione Nuevo y haga clic en
Usuario, o simplemente seleccione el
icono Nuevo usuario en la barra de
tareas. Aparece Crear nuevo objeto
(Usuario). Escriba el nombre del usuario
y el nombre de inicio de sesión. El
nombre de inicio de sesión a bajo nivel,
que usará con servidores de Windows
anteriores, como NT, se muestra
automáticamente. A continuación, haga
clic en Siguiente.

Prof: Ana María Fuentes Conde 2


SISTEMAS OPERATIVOS EN RED

4. En la siguiente ventana, escriba la


contraseña para el usuario y active las
casillas de verificación adecuadas.
Realice la selección y haga clic en
Siguiente

5. Aparece una página de resumen.


Revise la cuenta y haga clic en el botón
Finalizar para crear la cuenta, o
seleccione el botón Atrás para realizar
cambios.

1.2.2. Configuración de las propiedades de cuenta

Una vez creada una cuenta de usuario,


podemos configurar información adicional sobre
la cuenta para especificar más detalles sobre el
usuario y asignar al usuario ciertos derechos y
privilegios de acceso.

Para configurar una cuenta de usuario,


localice la cuenta de usuario que quiera
configurar, haga clic con el botón derecho sobre
ella y seleccione sus propiedades. La página de
propiedades del usuario se abre mostrando ocho
fichas. Pueden aparecer más fichas en función
de la configuración del sistema.

Prof: Ana María Fuentes Conde 3


SISTEMAS OPERATIVOS EN RED

General

En la página General, podemos escribir información adicional sobre el usuario,


como una descripción del usuario, información del lugar de trabajo, teléfono, correo
electrónico y la página personal de usuario, si dispone de ella. Podemos seleccionar el
botón Otros para escribir información adicional o páginas de acceso web adicionales si
es necesario.

Dirección

En la hoja de propiedades Dirección, podemos escribir la dirección del usuario


escribiendo los datos en el cuadro correspondiente.

Cuenta

La hoja de propiedades Cuenta, presenta el


nombre de inicio de sesión de usuario y el
nombre de inicio de sesión de bajo nivel. En
esta página tenemos las siguientes opciones de
cuenta para el usuario:
 El usuario debe cambiar de contraseña
en el siguiente inicio de sesión.
 El usuario no puede cambiar de
contraseña.
 La contraseña nunca caduca.
 Almacenar contraseña como texto
sencillo cifrado.
 Cuenta deshabilitada.
 El usuario debe iniciar sesión utilizando
una tarjeta inteligente.
 La cuenta debe estar aprobada por la
delegación.
 La cuenta es importante y no se puede delegar.
 Utilizar tipos de cifrado DES para esta cuenta (DES es un estándar de cifrado de
datos basado en algoritmos de cifrado que se usan para ofrecer
confidencialidad).
 No requerir autenticación previa Kerberos (lo que cifra la contraseña en cuanto
se comienza a enviar al servidor de autenticación).

En la parte inferior de la pantalla también podemos establecer una fecha de


caducidad para la cuenta si ésta es temporal y queremos que desaparezca.

Prof: Ana María Fuentes Conde 4


SISTEMAS OPERATIVOS EN RED

Al seleccionar el botón Horas de inicio de sesión, podemos restringir el acceso a


ciertos días y horas de la semana si
es necesario. La página Horas de
inicio de sesión muestra una
cuadrícula que representa cada día y
cada hora de la semana. Las
cuadrículas azules permiten el inicio
de sesión mientras que las
cuadrículas blancas lo deniegan. Para
realizar cambios, seleccione en las
secciones de cuadrícula los días y
horas y active los botones de opción
Inicio de sesión permitido o Inicio de
sesión denegado.

Al seleccionar el botón Iniciar sesión en, podemos restringir las estaciones de


trabajo en las que puede iniciar sesión el usuario.

Perfil

En la página Perfil, podemos escribir la ruta del perfil, archivo de comandos de


inicio de sesión y ruta del directorio principal, si los perfiles están habilitados para el
usuario. También podemos escribir la ruta de red a una carpeta de documentos
compartida si es necesario.

Miembro de

La página Miembro de, permite configurar los grupos a los que pertenece el
usuario. Si selecciona el botón Agregar, aparece una lista de grupos de Active
Directory. Seleccione un grupo al que quiera que pertenezca el usuario, haga clic en
Agregar y, a continuación, haga clic en Aceptar. Los nuevos grupos que seleccione van
a aparecer en la lista Miembro de.

1.3. Los Grupos


Los grupos de Windows 2003/2008 Server permiten administrar usuarios más
fácilmente. Podemos conceder acceso a un grupo de usuarios para un recurso concreto
de una vez, en lugar de tener que concederlo a cada usuario. Este método organizativo
ahorra tiempo de administración y reduce la posibilidad de errores. Además, los
miembros de un grupo concreto también pueden ser miembros de otros grupos, y los
grupos pueden ser miembros de otros grupos (se denomina anidamiento). Sin embargo,

Prof: Ana María Fuentes Conde 5


SISTEMAS OPERATIVOS EN RED

agregar grupos a otros grupos deber hacerse cuidadosamente, ya que conceder permisos
se hace más complicado.

1.3.1. Tipos de Grupos

Windows 2003/2008 Server soporta dos tipos de grupos:

 Grupos de seguridad
 Grupos de distribución.

Los dos tipos de grupos se guardan en Active Directory. Los grupos de seguridad
se usan para asignar permisos para los recursos a los grupos, mientras que los grupos de
distribución se usan con fines distintos a la seguridad, como por ejemplo mandar
mensajes de correo electrónico a un grupo de usuarios al mismo tiempo. Este grupo no
se puede utilizar para asignar permisos.

Además, un grupo de seguridad tiene todas las funciones de un grupo de


distribución y más.

1.3.2. Ámbitos de Grupos

Los ámbitos de grupo definen cómo podemos usar el grupo para asignar permisos.
El ámbito determina cómo podemos asignar permisos al grupo para tener acceso a
recursos. Hay tres ámbitos de grupo disponibles en Windows 2003/2008 Server:

1. Grupos globales
2. Grupos locales
3. Grupos universales.

 Grupos globales: Los miembros de grupos globales pertenecen a un dominio


pero tienen acceso a recursos en cualquier dominio para el que el grupo tenga
permiso.

 Grupos locales: Los miembros pertenecen a cualquier dominio pero los


miembros sólo tienen acceso a recursos en el dominio local. Los grupos locales
se usan para asignar permisos a recursos. A continuación podemos colocar los
grupos globales dentro de grupos locales, de modo que a esos recursos puedan
tener acceso los miembros del grupo global.

 Grupos universales: Los miembros pueden pertenecer a cualquier dominio y


pueden tener acceso a recursos en cualquier dominio. En Windows 2003/2008
Server, los grupos universales están disponibles sólo en modo nativo y no en
modo mixto.

Prof: Ana María Fuentes Conde 6


SISTEMAS OPERATIVOS EN RED

1.3.3. Configuración de grupos

Al igual que las cuentas de usuario, las cuentas de grupo son fáciles de crear y de
configurar.

Creación de un nuevo grupo

Para crear un nuevo grupo, siga estos pasos:

1. Haga clic en Inicio, Programas, Herramientas administrativas, Usuarios y


equipos de Active Directory.

2. Expanda el nombre del servidor y haga clic con el botón derecho en la OU


donde quiera agregar un nuevo grupo. Seleccione Nuevo y elija Grupo.

3. Aparece la ventana Crear


nuevo objeto (Group),
escriba el nombre del
nuevo grupo y, a
continuación, asigne el
ámbito de grupo, ya sea
de dominio local, global o
universal. En Tipo de
grupo, deje activado el
botón de opción
Seguridad. Haga clic en
Aceptar. El nuevo grupo
aparecerá en el panel de
detalles de la consola.

Configuración de las propiedades de grupo

Una vez creado el nuevo grupo, podemos


hacer clic con el botón derecho en el icono del
objeto y elegir Propiedades. Esta acción abre la
página de propiedades del grupo, que contiene
cuatro fichas. La siguiente sección explica lo que
podemos configurar con cada ficha.

Prof: Ana María Fuentes Conde 7


SISTEMAS OPERATIVOS EN RED

General

En la página General, podemos escribir una descripción del grupo y una dirección
de correo electrónico, también muestra el ámbito y el tipo del grupo.

Miembros

La página Miembros, muestra una lista de los miembros actuales del grupo. Si es
un grupo nuevo, necesitaremos usar esta ficha para agregar miembros al grupo. Si
hacemos clic en el botón Agregar, podremos seleccionar y agregar miembros al grupo
desde Active Directory.

Miembro de

La página Miembro de, se parece a la página Miembros, si bien en esta ficha


agregamos los grupos de los que es miembro este grupo.

Administrado por

En la página Administrado por, podemos usar el botón Cambiar para seleccionar


el usuario de Active Directory que administrará el grupo. Una vez hecho esto, el nombre
de usuario, dirección, teléfono y fax se transfieren automáticamente de la cuenta de
usuario a Active Directory.

Todas las tareas

El menú Todas las tareas de cada grupo permite mover el grupo a una ubicación
diferente, o bien enviar correo electrónico. Puede abrir Todas las tareas haciendo clic
con el botón derecho en el objeto de grupo dentro del panel derecho de la consola, y
seleccione Todas las tareas. A continuación, elija Mover, o bien Enviar correo.

Prof: Ana María Fuentes Conde 8


SISTEMAS OPERATIVOS EN RED

2. INTEGRACIÓN DE CLIENTES WINDOWS EN UN


DOMINIO
Lo primero que tenemos que tener verificado y comprobado es la identificación de
los clientes que se van a integrar en el dominio.

De cada cliente tendremos que comprobar lo siguiente:

1. El equipo tiene un nombre de equipo único en la red.


2. Tiene una dirección IP dentro del mismo rango de direcciones IP que el
servidor.
3. La máscara de red tiene que ser la misma que la del servidor u otra que permita
verla en la red.
4. El grupo de trabajo al que pertenece el equipo, no es importante.
5. Comprobar y verificar que el cliente tiene conectividad con otros equipos de la
red. Esto lo podemos comprobar ejecutando una consola desde Inicio+Ejecutar
e introduciendo cmd. Utilizamos el comando ping DirIP, siendo DirIP la
dirección IP de un equipo de la red.
6. Introducir como DNS principal del equipo cliente la dirección IP del servidor.
Para la DNS secundaria, podemos poner la que utilizamos para el acceso a
Internet (ej. 8.8.8.8 de google).
7. Asegurarnos de que el usuario Administrador del equipo cliente tiene
contraseña, preferiblemente la misma que el Administrador del controlador de
dominio.
8. Aunque no es estrictamente necesario, sí que es conveniente tener las cuentas de
usuario globales creadas en el controlador de dominio, para realizar la
integración del cliente de forma correcta.
9. Tener iniciada sesión en el dominio y en el cliente como Administrador.

Realizadas todas estas comprobaciones, ya podemos integrar el equipo en el


dominio.
Para ello seguir los siguientes pasos:

1. Desde los clientes, nos vamos a la pantalla “Propiedades del equipo” en


“Propiedades de Mi PC” y nos vamos a la pestaña “Nombre de equipo”.
2. Pulsamos en Cambiar. En ella introduciremos el nombre del dominio al que
queremos unir este equipo, seleccionando previamente el botón de radio del
cuadro Miembro del, Dominio.
3. El nombre de dominio puede ser el nombre DNS o el nombre NetBios
correspondiente al dominio. Pulsamos Aceptar y ya tendremos integrado el
equipo.

Prof: Ana María Fuentes Conde 9


SISTEMAS OPERATIVOS EN RED

4. Ahora se nos pedirá la identificación de un usuario con privilegios en el dominio


(es decir, dado de alta en el dominio) para integrar al cliente en el mismo. Este
proceso lo realizará el Administrador.

3. INICIAR SESIÓN CON UN CLIENTE WINDOWS EN


EL DOMINIO O DE FORMA LOCAL.

Una vez que tengamos agregado el equipo al dominio, sea Windows XP o


Windows Vista, podremos iniciar sesión de modo local o en el dominio.

Cuando iniciemos sesión en el dominio, nos tendremos que validar con uno de los
usuarios dados de alta en el dominio. Si por el contrario iniciamos sesión en modo local
tendremos que saber qué usuario son los que están dados de alta localmente en el
sistema para poder iniciar sesión de esta forma.

3.1. Inicios de Sesión en clientes Windows XP/Vista en un dominio.

Tenemos que tener:


1. Dados de alta los usuarios en el controlador de dominio
2. Configurada la red.
3. Los clientes integrados en el dominio.
En Windows XP:

Una vez integrado el equipo en el dominio, al iniciarlo tendremos que pulsar la


combinación de teclas Control+Alt+Supr. Aparecerá la pantalla de login.

Aparecen dos casillas que piden: Nombre de Usuario y Contraseña. En la casilla


Conectarse a (si no vemos esta casilla pulsamos en Opciones) y pulsando en el botón
para desplegar la casilla, podemos observar dos cosas:

 Nombre NetBios del controlador de dominio en el que está integrado el


equipo.
 Nombre del equipo local.

Seleccionamos dónde queremos iniciar sesión, introducimos el nombre de usuario


y contraseña, y pulsamos Aceptar.

Vemos que podemos iniciar sesión en modo local con usuarios locales, o iniciar
sesión en el dominio con un usuario global del dominio desde la misma pantalla.

Prof: Ana María Fuentes Conde 10


SISTEMAS OPERATIVOS EN RED

Otra forma de iniciar sesión en el dominio con un equipo Windows XP es


introduciendo en el nombre de usuario la denominación completa del usuario y el
dominio al que pertenece de la siguiente forma:
nombre_usuario_dominio@nombre_dns_dominio, por ejemplo:
paco@principal.peque.es. Después se introduce la contraseña y pulsamos Aceptar.

4. PERFÍLES DE USUARIO.
Un perfil define el entorno personalizado de un usuario. El perfil contiene la
configuración del escritorio y de los programas de usuario y se crea automáticamente
para cada usuario cuando inicia sesión en un equipo. Un perfil ofrece muchas ventajas
como:
 Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de
cada uno recuperada al iniciar sesión al mismo estado en que estaba cuando
cerró sesión.
 Los cambios hechos por un usuario en el escritorio no afectan a otro usuario.
 Si los perfiles de usuario se almacenan en un servidor pueden seguir a los
usuarios en cualquier equipo de la red que ejecute Windows Server 2003,
Windows XP Professional, Windows 7, Windows Vista...

Se definen tres tipos de perfiles:

 Perfiles locales.- Son los perfiles creados en un equipo cuando un usuario inicia
sesión. El perfil es específico de un usuario local al equipo y se almacena en el
disco duro del equipo local. Son carpetas propias de un usuario, que incluyen
básicamente sus configuraciones personalizadas del entorno de trabajo y los
documentos por él creados. El perfil de usuario se almacena en la carpeta
“C:\Documents and Settings”.
 Perfiles móviles.- Son perfiles creados por el administrador y almacenados en
un servidor. Estos perfiles siguen al usuario a cualquier máquina de la red
Windows Server 2003, Windows XP Professional, Windows 7, Windows
Vista... Este Perfil de usuario se descarga desde el servidor en el equipo cliente
donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre
sesión en el cliente, los cambios en el perfil se almacenarán en el servidor en el
espacio destinado para tal fin para dicho usuario.
 Perfiles obligatorios.- Son perfiles móviles que sólo pueden ser modificados
por el administrador. Es un Perfil de usuario que se descarga desde el servidor
en el equipo cliente donde el usuario en cuestión haya iniciado sesión; cuando
dicho usuario cierre sesión en el cliente, los cambios en el perfil NO se
almacenarán en el servidor, de modo que el usuario siempre dispondrá del
mismo perfil.

Prof: Ana María Fuentes Conde 11