Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Caso práctico
Por otro lado, Carmen ha repartido las funciones entre sus empleados y
empleadas, de modo que no todos tienen que utilizar los recursos de la
empresa (impresoras, carpetas, espacio en disco, etc) de la misma forma, por
lo que sería interesante agrupar de alguna forma esas cuentas de usuario, en
función del tipo de acceso a los recursos que necesitan.
1 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Caso práctico
Carmen quiere lograr un objetivo: que cada persona inicie
sesión con su cuenta de usuario y que a cada persona se
le puedan asignar permisos y derechos en el dominio.
2 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Los sistemas Windows Server se instalan con cuentas locales predeterminadas. Estas
cuentas son creadas durante el proceso de instalación del sistema operativo. Estas cuentas
tienen su homólogo en el momento que se instala un controlador de dominio y se crea un
dominio. Se pueden clasificar en:
Si el equipo pertenece a un dominio, sigue siendo posible utilizar sus cuentas de usuario
locales, pero aparece la posibilidad de iniciar sesión con las cuentas de usuario de dominio.
Las cuentas de usuario de dominio residen en la base de datos de AD y son comunes para
todos los equipos que pertenecen al dominio. Por ejemplo, si se crea la cuenta cmartinez en
AD, esta cuenta sirve para iniciar sesión en todos los equipos del dominio.
Contacto: A veces puede ser interesante crear una cuenta para utilizarla únicamente como
una cuenta de correo electrónico. Para ello, se crearía una cuenta de tipo “contacto”. Este
tipo de cuentas no se pueden utilizar para iniciar sesión en el dominio, ni se les pueden
asignar permisos ni derechos. Es decir, no tienen información de seguridad asociada. Sin
embargo, sí pueden pertenecer a grupos de distribución.
3 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
4 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Las cuentas locales predeterminadas del contenedor usuarios (Users) son: Administrador,
Invitado y KRBTGT. La cuenta Asistente de ayuda se instala cuando se establece una
sesión de asistencia remota
Administrador: Es la cuenta que tiene todos los privilegios sobre el dominio. Puede crear
otras cuentas de usuarios y asignar derechos y permisos a los usuarios del dominio. Debes
utilizar esta cuenta únicamente para tareas que requieran privilegios administrativos. Esta
cuenta no se puede eliminar ni bloquear, pero se puede cambiar el nombre de la cuenta o
deshabilitarla.
Invitado: Está pensada para que la utilicen las personas que no tienen una cuenta de usuario
en el dominio. Está deshabilitada por defecto, ya que no es buena idea conceder acceso a
personas ajenas a la organización. Por ello, sólo debe habilitarse en casos justificados. Para
utilizarla no es necesario escribir una contraseña. A esta cuenta se le pueden conceder
permisos y derechos como a cualquier otra cuenta. Por defecto, esta cuenta pertenece a los
grupos Invitados e Invitados del Dominio. La cuenta de invitado no se puede eliminar ni
deshabilitar, y no se puede cambiar el nombre de la cuenta. De forma predeterminada, la
contraseña de la cuenta de invitado se deja en blanco. Una contraseña en blanco permite el
acceso a la cuenta de invitado sin necesidad de que el usuario escriba una contraseña.
KRBTGT: se crea automáticamente como parte del directorio activo. Se utiliza para
administrar el protocolo de autenticación de Kerberos. Kerberos es un protocolo de
5 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Asistente de ayuda: la cuenta Asistente de ayuda es una cuenta local predeterminada que
está habilitada cuando se ejecuta una sesión de asistencia remota. Esta cuenta se
deshabilita automáticamente cuando no hay solicitudes de asistencia remota pendientes.
6 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Debes elegir un contenedor en el que crear los usuarios. Un poco más adelante
aprenderás a crear tus propios contenedores, pero por ahora puedes
elegir el contenedor "Users".
7 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Cuando el número de usuarios que hay que crear es muy grande, este proceso puede
hacerse muy pesado. En esta unidad aprenderás una técnica para agilizar el trabajo: la
utilización de plantillas.
Es conveniente que planifiques adecuadamente cómo vas a nombrar los usuarios. Las
organizaciones crecen y cambian, y conviene tener un "esquema de nomenclatura", para
que los nombres de usuario no se asignen aleatoriamente (lo que podría llevar a confusiones
y repeticiones).
En las organizaciones pequeñas se suele utilizar el nombre y la inicial del primer apellido. Por
ejemplo, Carmen Martínez sería carmenm. También se suele utilizar la inicial del nombre y el
primer apellido completo (cmartinez). En organizaciones más grandes, utilizarían el nombre
completo (carmenmartinez). Incluso, se pueden utilizar puntos como separadores
(carmen.martinez). Si existen varias personas con el mismo nombre, puede incluirse números
(carmen.martinez.01, carmen.martinez.02). Lo importante es que el esquema sea coherente y
adaptable.
8 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Para acceder a las opciones de una cuenta determinada, debes hacer doble clic sobre ella
en “Usuarios y Equipos de Active Directory”. En lugar de doble clic, también puedes abrir el
menú contextual (normalmente con el botón secundario del ratón) y elegir “Propiedades”. A
continuación, puedes ver las opciones más relevantes y su significado si pulsamos sobre la
pestaña Cuenta.
La contraseña nunca caduca: Hace que, para esta cuenta de usuario, no se tenga en
cuenta el tiempo de caducidad de la contraseña. Si no está marcada esta opción, el usuario
o la usuaria estará obligado a cambiar la contraseña cada cierto tiempo.
En las propiedades de la configuración existen otras pestañas como Perfiles, útil para definir
perfiles móviles, Miembro de, para agregar el usuario a grupos de usuarios, etc.
9 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Reflexiona
¿Qué crees que es mejor, que el administrador o administradora conozca las
contraseñas de los usuarios y usuarias o que no las conozca? Si tu respuesta
es la segunda opción, estás en lo cierto. El administrador o administradora
siempre podrá cambiar las contraseñas de los usuarios y usuarias, pero no
debe conocerlas. Imagina que una persona tiene la misma contraseña en el
dominio y en su cuenta de Facebook. ¿Te parece adecuado que el
administrador o administradora del dominio pueda “probar suerte” a ver si por
casualidad puede entrar en la cuenta de Facebook de esa persona? Por eso, al
crear un usuario, es importante marcar la opción “el usuario debe cambiar la
contraseña en el próximo inicio de sesión”.
Autoevaluación
Entra en las propiedades de un usuario de AD. Relaciona cada opción con la
pestaña en la que se encuentra.
Ejercicio de relacionar
Apellidos. 1. General.
Enviar
10 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Caso práctico
Carmen charla con Laura sobre este asunto:-Laura, cada vez vamos siendo
más personas en esta empresa. La idea de instalar Active Directory iba bien
encaminada, ¿no te parece? -Sí. Al principio yo no lo veía muy claro, pero es
evidente que ha sido buena idea. Ya tenemos la infraestructura preparada para
la incorporación de nuevas personas.-Vamos a crear cuentas de usuario para
Alberto y Marisa, para que puedan iniciar sesión en el dominio. Y también
vamos a crear grupos, porque no todos usaremos los recursos del mismo
modo.-Es lo lógico.
Los grupos en Active Directory son objetos que pueden contener: otros grupos,
usuarios, equipos y otros recursos, como archivos, directorios y listas de
distribución de correo electrónico, entre otros.
Para que puedas planificar correctamente los grupos de una red, tienes que comprender
adecuadamente sus dos características principales: el tipo y el ámbito.
11 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Grupos de seguridad ►
Grupos de distribución
Este tipo de grupos nada tiene que ver con el control de acceso a
los recursos. Se trata de listas de distribución de correo
electrónico. Son útiles para integrarlos con un servidor de correo:
por ejemplo, Microsoft Exchange.
1 2
Grupos universales.
12 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
13 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Seguro que lo entiendes mejor con un ejemplo: piensa en la impresora láser de CARMINFO
S. L. Dicha impresora pertenece al dominio carminfosl.com, y su nombre es laser, por lo que
su FQDN (Fully Qualified Domain Name - Nombre cualificado completo de dominio) es
laser.carminfosl.com.
exclusivamente a Adminslaser.
Más adelante, manejando la pertenencia a grupos, harás que las personas que deban
administrar trabajos pertenezcan a Adminslaser y las personas que sólo puedan imprimir
pertenezcan a Impresores.
Ahora piensa una cosa: ¿qué pasa si queremos que a un recurso local puedan acceder
usuarios de otros dominios del bosque? Ningún problema: seguiremos la misma estrategia:
los permisos se los daremos solamente a los grupos locales de dominio. Lo bueno de estos
grupos es que pueden contener miembros de cualquier dominio del bosque.
14 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Por otro lado, sería imposible conceder al grupo local de dominio Impresores, perteneciente
a carminfosl.com, algún tipo de permiso sobre un recurso de laurinfosl.com.
15 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Un grupo global puede contener usuarios y equipos que sean sólo de su propio
dominio y se le pueden asignar permisos sobre recursos de cualquier dominio del
bosque.
¿Para qué utilizar los grupos globales? Los utilizarás en combinación con los grupos
locales de dominio. Piensa en el ejemplo del apartado anterior, con el árbol formado por
carminfos.com y laurinfosl.com.
El objetivo final es que pblanco pueda imprimir en la impresora del dominio carminfosl.com.
Ahora bien, lo más lógico es que en su propia organización, LAURINFO S. L., pblanco
(Paloma Blanco) pertenezca a una división o departamento, por ejemplo, al Departamento de
Comercio. En ese caso, lo más habitual es que no sólo Paloma Blanco, sino todo el
departamento, pueda imprimir en la impresora de carminfosl.com (para enviar copias
impresas a CARMINFO S. L.).
16 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
De esta forma, no sólo Paloma Blanco, sino todo el Departamento de Comercio, puede
imprimir en la impresora del dominio carminfosl.com.
17 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Sin embargo, no es nada recomendable que utilices grupos universales como la principal
forma de agrupar usuarios, otros grupos y equipos. ¿Por qué? Porque tiene inconvenientes
importantes. El principal es que la información sobre los grupos universales se almacena en
el catálogo global. Bueno, y ¿qué es el catálogo global? Es una porción de la información
de la base de datos de Active Directory que es común a todos los dominios del bosque y
que, por lo tanto, se replica por todos los dominios. Para ello, algunos controladores de
dominio funcionan también como servidores de catálogo global.
Entonces, cada vez que se hace un cambio en las propiedades de un grupo universal, este
cambio tiene que replicarse por todo el bosque, es decir, este cambio tiene que ser
almacenado en todos los servidores de catálogo global. Si el bosque es grande y si abarca
diferentes ubicaciones geográficas (con el consecuente retardo en las comunicaciones), este
puede ser un proceso muy lento.
este esquema?
Lo lógico es, como ya hemos visto, crear un grupo local de dominio llamado Impresores y
concederle permisos de impresión. A continuación, podrías hacer miembros del grupo
Impresores a todos los grupos globales llamados DPTODesarrollo de las distintas
delegaciones. Sin embargo, es mucho más práctico crear un grupo universal llamado, por
ejemplo, Desarrolladores y hacer miembro de él a todos los grupos globales llamados
DPTODesarrollo de todos los dominios. Después, harías miembro a Desarrolladores de
Impresores.
18 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Autoevaluación
En el ejemplo de la figura, ¿podría el grupo Desarrolladores ser global?
Sí.
No.
Solución
1. Incorrecto
2. Opción correcta
Sí.
No.
19 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Solución
1. Incorrecto
2. Opción correcta
20 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Usuarios del dominio: Es un grupo global. Sus miembros son, por defecto, todos los
usuarios que se van creando en el dominio. No tienen ningún tipo de privilegio
administrativo.
Administradores: Es un grupo local de dominio. Los miembros de este grupo
controlan por completo todos los controladores del dominio. De forma predeterminada,
los grupos Administradores del dominio y Administradores de empresa son miembros
del grupo Administradores. La cuenta Administrador es miembro de este grupo de
forma predeterminada. Puesto que este grupo controla por completo el dominio, ten
cuidado con los usuarios a los que haces miembro de este grupo.
Admins. del dominio: Es un grupo global. Sus miembros tienen máximos privilegios en
todo el dominio. Ojo: sobre el dominio, no sobre el árbol ni el bosque. Por defecto, el
usuario Administrador del dominio pertenece a este grupo. Ten en cuenta que el
nombre de este grupo es tal y como está escrito, con la abreviatura “Admins.” en lugar
de “Administradores”.
21 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
22 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
23 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Autoevaluación
Señala las opciones correctas:
Desde la página de propiedades de un grupo se le pueden agregar
miembros.
Mostrar retroalimentación
Solución
1. Correcto
2. Correcto
3. Incorrecto
4. Incorrecto
24 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
25 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
A continuación, se nos abre una ventana para que escribamos el nombre del grupo al cual
queremos asignar el usuario. Pulsamos comprobar nombre para asegurarnos de que el
nombre escrito es correcto. Al seleccionar el botón Comprobar nombres nos mostrará un
listado con todos los miembros que contenga en nombre el texto introducido. Si solo
encuentra una coincidencia nos subrayará la palabra introducida para indicar que el nombre
del objeto introducido es correcto.
Deberemos de pulsar Aceptar para continuar. Para finalizar, podemos comprobar, que en el
apartado Miembro de, nos aparecen los grupos a los que pertenece el usuario y entre ellos
se encuentra el que hemos indicado. Finalizaremos el proceso pulsando de nuevo Aceptar.
26 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
27 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Caso práctico
La corporación GARABATO, ha subcontratado por tiempo
indefinido a la empresa CARMINFO S. L. para realizar tareas
de administración informática en la sede de Santander.
Dicha corporación, cuenta con un bosque en el que se
encuentra el dominio santander.garabato.es. Los
responsables de GARABATO han decidido que los María del Milagro
Bolado Tirado
trabajadores de CARMINFO S. L. deben tener ciertos (Elaboración propia)
28 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
En ciertas ocasiones podemos necesitar asociar una serie de permisos sobre los elementos
que contiene una unidad organizativa. A esto se denomina delegar permisos. Para delegar
29 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
1-. Crear la unidad organizativa en donde vayamos a insertar los elementos sobre los
cuáles queremos delegar permisos. En el interior de ella podemos añadir usuarios, grupos de
usuarios, etc.. Si dentro de la unidad organizativa tenemos usuarios y grupos de usuarios,
debemos de asegurarnos de que los usuarios sean miembros de los grupos
correspondientes. Recuerda que, para asociar a un usuario a un grupo, nos tenemos que ir a
las propiedades de la cuenta, pestaña Miembro de y agregar al usuario.
2-. Procedemos a delegar los permisos sobre la unidad organizativa creada, seleccionándola
y con el menú contextual (pulsamos el botón derecho del ratón) accedemos a la opción
Delegar Control.
Deberemos indicar los pasos indicados por un asistente para delegar los permisos. Al
comenzar el asistente pulsaremos Siguiente.
3-. Elegiremos los usuarios o grupos de usuarios sobre los cuales queremos delegar los
permisos. y pulsaremos Siguiente.
30 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
4-. Podemos elegir entre Delegar las siguientes tareas comunes o Crear una tarea
personalizada para delegar. Seleccionamos la primera opción y activamos las tareas que nos
interesen delegar.
Para terminar, nos aparecerá un mensaje indicando los permisos de control que se han
establecido y pulsamos Finalizar
Autoevaluación
Relaciona los siguientes contenedores con el tipo de objeto que contienen
por defecto.
31 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Ejercicio de relacionar
1. Grupos locales de
Builtin.
dominio.
Computer. 2. Equipos.
3. Grupos de todos
Users. los ámbitos y
usuarios.
4. Controladores de
Domain Controllers.
dominio
Enviar
32 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Una GPO es una colección virtual de configuraciones de políticas y cada una tiene un
nombre único. Para usar de forma correcta una GPO es necesario tener en cuenta lo
siguiente:
Los equipos que administrar deben estar unidos al dominio y los usuarios de estos
deben usar las credenciales de dominio para iniciar sesión en los equipos.
Será necesario contar con permisos para editar la Política de grupo en el dominio, y
esto se logra formando parte del grupo de Administradores o de Administradores de
Política de grupo.
Existen básicamente dos tipos de política de grupo para Windows Server las cuales son:
33 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Cuando creamos un dominio, se crea una GPO por defecto y se le asocia al dominio. Para
acceder a las GPO definidas, se debe de acceder al panel Herramientas del servidor /
Herramientas / Administración de directivas de grupo.
Para definir una GPO, primero debemos de crearla y en segundo lugar debemos de editarla
para su definición.
34 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Hay veces que querremos definir una GPO y asociarla a un objeto, por ejemplo, una unidad
organizativa. En este caso, seleccionamos la opción Objetos de directiva de grupo y
pulsaremos el botón derecho para acceder a la opción Nuevo. Al seleccionarlo deberemos
de introducir el nombre que le queramos asignar a nuestra GPO.
35 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
a. Configuración de equipos
b. Configuración de usuario.
Cada una de estas opciones, tiene subdivisiones que y dentro de cada una de ellas
podemos encontrarnos con diferentes políticas especiales.
Una vez creada la GPO con sus políticas especiales definidas, el siguiente paso es vincularla
al objeto sobre el cual queremos que se aplique. En función de cómo haya sido definida,
puede ser creada y vinculada como GPO de dominio por lo que ya no hará falta vincularla de
nuevo o como una simple GPO, en este caso si es necesario vincularla al objeto en donde
deseamos que se aplique. En este último caso, seleccionamos el objeto, pulsaremos el
botón derecho y seleccionaremos la opción Vincular. una GPO Existente.
36 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Caso práctico
En los siguientes apartados aprenderás a establecer diferentes tipos de perfiles para los
usuarios.
37 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
El perfil se crea la primera vez que un usuario inicia sesión (por eso, la primera vez que un
usuario inicia sesión en un equipo, el proceso es bastante más lento).
Cada usuario tiene su propio perfil, de forma que el aspecto del escritorio, barra de tareas y
menú inicio es distinto para cada usuario. Existen tres tipos de perfiles:
Por defecto, los perfiles se almacenan de forma local. Esto significa que el perfil se
crea y almacena en el equipo en el que el usuario inicia sesión. Los cambios que realice
quedan almacenados en dicho equipo y no estarán disponibles cuando se inicie sesión
en un equipo diferente. Es lo que les pasa a los integrantes de CARMINFO S. L. en el
caso práctico. Una clara desventaja es que los usuarios no tienen acceso a su
configuración habitual si cambian de equipo. Otra es que se crean varios perfiles para
cada usuario: uno en cada equipo en el que el usuario haya iniciado sesión. Esto ocupa
espacio de almacenamiento.
Cuando se trabaja en un dominio, es muy habitual configurar perfiles móviles. Estos
se almacenan en una carpeta compartida en red, de forma que están disponibles
desde cualquier equipo del dominio. Esto presenta varias ventajas:
1.- Sólo existe un perfil para cada usuario: el que está en la carpeta compartida.
2.- Los cambios que el usuario realiza en su perfil están disponibles
independientemente del equipo en el que inicie sesión.
Tanto el perfil local como el perfil móvil pueden convertirse en perfil obligatorio.
Este perfil no permite realizar cambios o, mejor dicho, no los almacena. Si un usuario
con perfil obligatorio cambia el fondo de escritorio, por ejemplo, este cambio no
quedará guardado. En el siguiente inicio de sesión, encontrará el mismo fondo de
escritorio de siempre.
38 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Reflexiona
¿En qué casos o situaciones te parece adecuada la utilización de perfiles
obligatorios?
39 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Para ello, necesitamos que tanto la configuración del sistema operativo, definida por el
usuario como las carpetas y ficheros que queramos que se encuentren disponibles, desde
cualquier equipo del dominio, se encuentren almacenados en un servidor de archivos.
El servidor de archivo será una unidad de red donde se encuentren compartidas las carpetas
con la información que queramos que se encuentre accesible.
Es aconsejable orientar a los usuarios del dominio para que guarden su información
importante en dicha unidad, de forma que resida en el servidor de ficheros y no en cada
equipo localmente. Es mucho más fácil programar copias de seguridad para un solo equipo
(el servidor de ficheros) que para todos los discos duros de todos los equipos del dominio.
La definición de los perfiles es muy útil porque permite a los usuarios ubicar sus datos
cómodamente en un recurso de red.
Para definir el uso de perfiles dentro de nuestro dominio, deberemos de seguir los siguientes
pasos:
1. Configurar el servidor de archivos. Definir las carpetas donde se van a almacenar tanto
los perfiles de usuarios como los ficheros que queramos almacenar y que se
encuentren disponibles desde el servidor de archivos.
2. Configurar las cuentas de usuarios para indicarle en donde se tiene que guardar dicho
perfil.
3. Crear una GPO para definir las directivas que queramos definir y vincularla a los
miembros del dominio. Por ejemplo, podemos definir que la carpeta Documentos de
cada usuario se guarde dentro del servidor de archivos dentro de una carpeta definida
previamente.
40 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
No es necesario crear cada carpeta individual por cada perfil que se genere. Windows Server
las creará automáticamente. Sólo es necesario crear la carpeta PERFILES (podría tener
cualquier otro nombre) y compartirla en red.
Una vez creada las dos carpetas, procederemos a configurarlas para que estén compartidas
correctamente. Comenzaremos por configurar la carpeta perfiles y luego vamos a repetir el
proceso para la carpeta Datos.
41 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
3) Añadimos una nueva Entidad de permisos para agregar a los usuarios del
dominio. Pulsamos Agregar. Dentro de la ventana que tiene como título Entrada de permisos
para Perfiles, Seleccionamos Seleccionar una nueva entidad de seguridad. Buscamos a
los Usuarios.
42 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Vamos a crear una carpeta compartida oculta, por lo tanto, el nombre del recurso
compartido debe de terminar en $. Por lo tanto, al recurso compartido le asignaremos como
nombre Perfiles$. Seleccionamos el botón Permisos para todos nos aseguramos de marcar
Control Total, Cambiar y Leer. Pulsamos el botón Aplicar y Aceptar.
43 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Carpeta Datos: para configurar la carpeta Datos, repetimos los primeros 3 pasos de
configuración que hemos realizado contra la carpeta perfiles, pero ahora contra la carpeta
Datos.
44 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
En paso 4) también lo realizaremos igual, excepto cuando pulsemos el botón Caché que en
ese caso elegiremos la opción Todos los programas que el usuario abra desde la carpeta
compartida estará disponible sin conexión.
45 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Procedemos a crear una nueva unidad organizativa con el nombre Usuarios. Accedemos a
su interior y procedemos a crear a los cuatro usuarios mencionados anteriormente.
46 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Una vez definido los usuarios, el siguiente paso es configurar el perfil de cada uno de ellos
para ello vamos a modificar la configuración de las cuentas de los usuarios. Esto se puede
realizar de manera individual o de manera general seleccionando previamente a todos los
usuarios.
Dentro de la opción Perfil de usuario, en el interior del apartado Ruta de acceso al perfil,
deberemos de indicar la ruta absoluta de la carpeta compartida perfiles (no olvidar que es
oculta y lleva símbolo $) a nivel de dominio. Es decir, la sintaxis que debemos de seguir para
completa este campo es: \\nombre_equipo_server.dominio\ruta_carpeta_perfiles
\cuenta_usuario. Para nuestro ejemplo, para configurar la cuenta del usuario cmartinez,
pondríamos: \\controlador.carminfosl.com\perfiles$\cmartinez. Pulsamos Aplicar y
Aceptar.
47 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
De manera general, para modificar la ruta de acceso al perfil para varios usuarios,
seleccionamos a los usuarios y pulsamos el botón derecho Propiedades. Accedemos a la
pestaña Perfil. Activamos ruta de acceso al perfil e introducimos la ruta teniendo en cuenta
que debemos tener en cuenta que no podemos escribir directamente el nombre de la cuenta
del usuario. Ahora deberemos de utilizar la variable del sistema %username% para que en
su lugar se introduzca el nombre de cada usuario. La sintaxis que deberemos seguir para
completar dicho campo, sería: \\nombre_equipo_server.dominio\ruta_carpeta_perfiles
\%username%. En nuestro ejemplo: \\controlador.carminfosl.com
\perfiles$\%username% . Pulsamos Aceptar y Aplicar.
48 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Comenzaremos por acceder, dentro del panel Herramientas del Servidor, a la opción
Herramientas y Administración de directivas de grupo.
49 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Vamos a configurar la carpeta Documentos para que, los ficheros de los usuarios no se
guarden dentro de la carpeta Documentos del equipo Local, sino que se guarden dentro de
la carpeta compartida Datos. De esta forma, todos los ficheros creados por los usuarios, en
cualquier ordenador del dominio, estarán siempre disponibles desde cualquier ordenador.
50 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
están guardando, que en nuestro ejemplo es dentro de la carpeta Datos o bien colocarlos en
la carpeta de la ubicación local del perfil del usuario cuando la directiva se haya eliminado.
Para nuestro ejemplo, marcaremos la primera opción. Pulsaremos Aplicar contestando que
SI a la pregunta que se nos plantea para mantener la compatibilidad con sistemas operativos
Windows. Pulsamos Aceptar.
Este paso lo deberemos de repetir por cada una de las carpetas que queramos guardar en el
servidor de ficheros. Por ejemplo, podemos hacerlo para la carpeta Escritorio, así los iconos
que se le muestren al usuario serán siempre los mismos, appData (Roaming), Menú de inicio
(dependerá de las aplicaciones instaladas), etc.
Para finalizar, refrescaremos las políticas de seguridad con el comando gpupdate /Force. Lo
ejecutaremos desde el intérprete de comandos, a través de una consola del sistema. Si
tenemos controladores replicando es obligatorio que los cambios se han replicado. Para ello,
ejecutamos la orden: repadmin /syncall
51 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Esta configuración es útil en entornos controlados, en los que el usuario está muy limitado.
Como cualquier cosa, el uso de perfiles obligatorios tiene ventajas e inconvenientes.
Ventajas:
Por lo tanto, antes de establecer una política de perfiles obligatorios, tienes que valorar los
pros y los contras, y tomar la decisión más adecuada.
52 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
53 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Autoevaluación
En un laboratorio de investigación sobre algoritmos matemáticos, existen
cincuenta equipos sobre los que trabajan treinta personas. Todo el
sistema funciona con un dominio en Active Directory y cada persona tiene
un usuario para iniciar sesión. Las personas que trabajan en el laboratorio
no tienen un equipo asignado, de forma que cada día se pueden sentar en
un equipo diferente. Si se trabaja con perfiles locales, ¿cuál es el máximo
número de perfiles que se almacenarán en el laboratorio?
30 perfiles.
50 perfiles.
Ninguno.
1500 perfiles.
Solución
1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta
54 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
55 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Esto ocurre porque la carpeta sólo tiene permisos el usuario propietario del perfil y el grupo
especial SYSTEM. Para lograrlo, seguiremos los siguientes pasos:
1-. Tenemos que darle permisos al administrador para poder entrar en la carpeta que
queremos modificar el perfil. Vamos a PROPIEDADES → SEGURIDAD → OPCIONES
AVANZADAS. Una vez ahí pulsamos Continuar y CAMBIAR en la parte superior.
56 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
3. Pulsamos Aceptar para cerrar todos los cuadros de diálogos abiertos y comprobamos
que ya podemos acceder al interior de la carpeta que contiene el perfil que deseamos
convertir a obligatorio.
4. Modificaremos las opciones de visualización de los ficheros y carpetas para que nos
muestren los ficheros del sistema, nos muestren los ficheros ocultos y las extensiones de
los mismos. Para ello, pulsamos Vista sobre las opciones de la carpeta, Opciones y
Cambiar opciones de carpeta y búsqueda.
57 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Pulsamos el botón Continuar para tener permisos suficientes. Continuamos pulsando sobre
58 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Para continuar volvemos a acceder a las propiedades del fichero y seleccionar la pestaña
Seguridad.
59 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Por último, procedemos a cambiar la extensión del fichero NTUSER.DAT para que pase a
denominarse NTUSER.MAN
Importante: una vez efectuado, eliminamos al grupo Administradores del apartado Usuarios
y grupos que pueden utilizar el fichero. Esta opción la podemos encontrar en la pestaña
Seguridad.
60 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
61 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Caso práctico
- Sí, Carmen, pero ya estamos hasta arriba de trabajo. Y hay que crear nada
menos que sesenta usuarios. Eso me llevará por lo menos cuatro horas.
- No, no tiene por qué llevarte tanto tiempo.- Es que no es sólo crear el usuario,
Carmen. También tenemos que agregarle a diferentes grupos, poner la ruta de
acceso al perfil, poner la ruta para conectar la unidad de red... Es todo el rato
lo mismo, pero lleva mucho tiempo escribirlo cada vez, incluso utilizando
copiar y pegar...- A ver, Alberto... ¿nunca te han enseñado a utilizar plantillas?
El caso de Alberto es común: tener que crear muchos usuarios puede convertirse en una
pesadilla si hay que modificar muchas de sus propiedades, como el nombre, los apellidos, la
pertenencia a grupos, las rutas de acceso al perfil y a la unidad de red, etc.
62 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Para personalizar las rutas de acceso a perfil y datos, es muy útil la utilización de la variable
de entorno %username%, que se sustituye por el nombre de usuario.
63 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
Caso práctico
64 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
1. Elegir un nombre para el dominio. A poder ser, que ese nombre corresponda con un
nombre DNS (Domain Name System – Sistema de nombres de dominio) adquirido por
la organización. Por ejemplo: villapedrusco.com.
3. UNIDADES ORGANIZATIVAS: Para organizar mejor los recursos, conviene crear una
Unidad Organizativa para almacenar todo lo relacionado con este dominio. La llamarías
VILLAPEDRUSCO. Dentro de esta UO y previendo un posible crecimiento de la
infraestructura informática, convendría crear dos UOs: YUSO y SUSO.
Con esto se tendría una configuración básica de la estructura en Active Directory, preparada
para la asignación de permisos sobre recursos cuando se definan y escalable, es decir, apta
para un crecimiento de la organización.
65 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
66 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
67 de 68 2/8/22, 10:09
SOR Gestión de usuarios, grupos y equipos http://localhost:51235/temp_print_dirs/eXeTempPrintDir_D3XgvB/S...
68 de 68 2/8/22, 10:09