UD3 Usuarios, Grupos y Equipos de Dominio PDF

**[3.1. Usuarios](#usuarios) 2** **[3.2. Grupos de usuarios](#grupos-de-usuarios) 4** **[3.3. Administración de usuarios y grupos locales](#administraci%C3%B3n-de-usuarios-y-grupos-locales) 4** **[3.4 Unidades organizativas](#unidades-organizativas) 8** **[3.5 Usuarios de dominio](#usuarios-de-dominio) 11** **[3.6. Grupos de dominio](#grupos-de-dominio) 14** **[3.7 Equipos](#equipos) 16** Uno de los elementos fundamentales en la administración de una red, es el control de los usuarios, grupos y equipos. Por ello, debemos aprender cómo crearlos, modificarlos, organizarlos y, si llega el caso, eliminarlos. Además, deberemos asignar privilegios para cada uno de ellos, de modo que podamos establecer en qué medida y bajo qué condiciones podrán beneficiarse de los recursos de la red. 3.1. Usuarios ============= Cuando hablamos de cuentas de usuario, no siempre representan a personas concretas, sino que también pueden ser utilizadas como mecanismos de acceso para determinados servicios o aplicaciones de la máquina local o, incluso, de un equipo remoto. En definitiva, una cuenta de usuario es un objeto que posibilita el acceso a los recursos del dominio de dos modos diferentes: - - Cada cuenta de usuario dispone de un identificador de seguridad (SID, Security IDentifier) que es único en el dominio. Tipos de usuarios ----------------- En un servidor podemos tener dos tipos de usuarios: - - ### Usuarios locales Cuando se instala un servidor se crea una primera cuenta especial, que es la cuenta del administrador del sistema. Esta cuenta no se puede borrar, como el resto de las cuentas, y debe protegerse especialmente, ya que tiene bastantes privilegios. Existen tres tipos de cuentas de usuario: - - - ### Usuarios globales Los usuarios globales pueden conectarse a un servidor a través de la red, de forma remota. Cada usuario que quiera iniciar una sesión debe tener una cuenta para poder identificarse en el sistema. Una cuenta permite que un usuario se identifique para entrar en el sistema, de forma que se le pueda permitir el acceso a ciertos recursos del sistema o denegárselo, así como seguir el rastro dejado por el usuario en el sistema, entre otras cosas, si previamente se han configurado. ***Ejercicio de clase*** Mira las cuentas de los usuarios locales de tu equipo. **Solución** Para ver los usuarios locales del sistema accede a Herramientas administrativas. Allí abres Administración de equipos, y en *Herramientas del sistema* selecciona *Usuarios y grupos locales*. En *Usuarios* sale una lista de las cuentas de usuarios que existen en el sistema, e información sobre las que están activadas y las que no. Si pinchas sobre la cuenta de un usuario con el botón secundario del ratón podrás acceder a las propiedades de la cuenta y podrás cambiarlas. 3.2. Grupos de usuarios ======================= Un grupo es un conjunto de objetos del dominio que pueden administrarse como un todo. Puede estar formado por cuentas de usuario, cuentas de equipo, contactos y otros grupos. Los usuarios, tanto locales, como globales, como veremos más adelante, pueden pertenecer a uno o varios grupos de usuarios. Los grupos de usuarios sirven, entre otras cosas, para asignar, eliminar o modificar permisos a varios usuarios de forma simultánea, cambiando los permisos del grupo al que pertenecen. Cuando una cuenta de usuario o de equipo está incluida en un grupo se dice que es miembro del grupo. 3.3. Administración de usuarios y grupos locales ================================================ La administración de los usuarios y de los grupos la podemos realizar de diversas formas, como veremos a continuación. Administración de usuarios -------------------------- Para administrar los usuarios locales en el equipo podemos acceder a Cuentas de usuario, en el Panel de control. Si queremos administrar la cuenta del usuario que ha iniciado la sesión tendremos las opciones de cambiar la contraseña o cambiar la imagen de la cuenta. Si lo que queremos es administrar la cuenta de otro usuario, elegimos Administrar otra cuenta. Podemos agregar una nueva, modificar una existente o eliminar una cuenta. Al asignar una contraseña hay que tener en cuenta que cumpla los requisitos de la directiva de contraseñas. Para ver los requisitos de la directiva de contraseñas abrimos ***Directiva de seguridad local*** en **Herramientas Administrativas, e ir a la opción Directivas de cuenta→ Directiva de contraseñas**, y ahí podemos ver los requisitos y habilitar/deshabilitar la directiva. ![](media/image9.png) Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos: - - - Estos requisitos de complejidad se exigen al cambiar o crear contraseñas. Cuando agregamos un usuario, por defecto nos lo crea como usuario estándar. Dependiendo de los privilegios que queremos que tenga ese nuevo usuario lo podremos convertir en administrador, una vez creado. Las cuentas estándar pueden usar la mayoría del software y cambiar la configuración del sistema que no afecte a otros usuarios ni a la seguridad del equipo. Los administradores tienen el control completo del equipo. Pueden cambiar cualquier configuración y obtener acceso a todos los archivos y programas almacenados en el equipo. *[¿Por qué se recomienda usar una cuenta estándar?]* Se recomienda, por razones de seguridad, utilizar siempre que sea posible una cuenta estándar; así se evita que un usuario pueda realizar cambios accidentalmente que afecten a los demás usuarios del equipo. *[Recuerda]*: Un permiso se asocia a un archivo, a una carpeta, a un recurso o a un conjunto de ellos, y regula qué usuarios o grupos de usuarios tienen acceso y qué tipo de acceso sobre esos objetos. Administración de grupos locales -------------------------------- En el editor de usuarios y grupos locales podremos ver los grupos locales que vienen predeterminados. Cada grupo de usuarios tiene una función definida. Entre los grupos que vienen predeterminados tenemos al de los administradores. ### Administradores Los administradores tienen acceso completo y sin restricciones. No es buena práctica trabajar como miembro del grupo Administradores, a no ser que vayamos a realizar tareas de administración, ya que hace que el sistema sea más vulnerable a cualquier riesgo para la seguridad del equipo. Si trabajamos como usuario estándar u otro usuario del grupo de administradores, cuando queramos ejecutar cualquier programa o comando como el usuario administrador es preferible utilizar ***Ejecutar como administrador***, desde donde se pueden ejecutar programas con las credenciales del usuario administrador. En este caso, el sistema operativo pedirá que introduzcas la contraseña del usuario administrador. Se puede utilizar ***Ejecutar como*** no solo para las cuentas de administrador, sino para ejecutar un comando como otro usuario diferente del que tiene iniciada la sesión. Para utilizar ***Ejecutar como administrador*** lo podemos hacer de alguna de las siguientes formas: - - - - En PowerShell podemos usar el cmdlet Start-Process con la opción - Verb RunAs. Por ejemplo, para abrir el PowerShell como el usuario administrador escribiremos el siguiente comando: Start-Process -FilePath \"PowerShell\" -Verb RunAs **[Servidor: Controlador de dominio]**![](media/image4.png) Una vez que el equipo sea controlador de dominio, los usuarios estándar que no pertenezcan al grupo de administradores no podrán iniciar sesión local en el servidor. Además, las cuentas locales habrá que gestionarlas desde ***Usuarios y equipos*** de Active Directory. 3.4 Unidades organizativas ========================== Las unidades organizativas (UO) se utilizan dentro de Active Directory para agrupar objetos, como usuarios, grupos y equipos, con unos requisitos comunes para su mantenimiento, administración y configuración, y así evitar tener mezclados elementos de diferentes categorías. La unidad organizativa se creará sobre un dominio, así que, a la hora de crearla, hay que indicar primero dónde la vamos a crear. Las unidades organizativas permiten crear la jerarquía de nuestra organización. Su fin es crear una estructura de \"carpetas\" que administrativamente organice nuestra empresa. Por ejemplo, crearemos una unidad organizativa para cada sección o departamento de mi empresa. Además, todos los usuarios y cuentas de equipo las crearé o moveré a este nuevo sitio. De esta forma, cuando abramos la administración del directorio activo veremos una estructura mucho más organizada que la predeterminada. Utilizaremos las unidades organizativas para agrupar y organizar objetos para delegar derechos administrativos y asignar directivas a una colección de objetos como una unidad única. Es decir, podemos delegar la administración de una unidad organizativa \"Finanzas\" a una persona de ese departamento para que administre y gestione los recursos de su departamento. Utilizaremos unidades organizativas para: - - - **[Ventajas]** - - - - - ### ### Nomenclatura de las unidades organizativas Podemos referirnos a cada objeto del directorio activo con varios tipos diferentes de nombres que describen la ubicación del objeto. Active Directory crea un nombre completo para cada objeto, un nombre canónico y un nombre completo relativo basado en la información proporcionada cuando se crea o se modifica el objeto. **Nombre** **Ejemplo** ------------------------------- ------------------------------------------------ Nombre completo relativo LDAP UO=miunidadorganizativa Nombre completo del LDAP UO=miunidadorganizativa, DC= miempresa, DC=com Nombre canónico miempresa.com/miunidadorganizativa 3.5 Usuarios de dominio ======================= Los usuarios de Active Directory no serán usuarios locales, sino globales al dominio. Entre las operaciones que podemos realizar sobre los usuarios están las de crear y eliminar usuarios. Ya hemos visto que podemos crear unidades organizativas, así como usuarios, grupos\...desde la herramienta ***Usuarios y Equipos de Active Directory*** pero podemos crear estos elementos desde otras herramientas como desde el ***Centro de administración de Active Directory***. ![](media/image3.png) ![](media/image1.png) *En esta pestaña del Administrador de tareas podemos ver los usuarios que están conectados en el sistema y enviar un mensaje a algún usuario.* Perfiles de usuario ------------------- Los perfiles de usuario son carpetas que incluyen configuraciones personalizadas del usuario y de sus documentos. Un perfil de usuario puede ser: - - - 3.6. Grupos de dominio ====================== Los grupos de Active Directory pueden contener agrupaciones de usuarios u objetos. Se utilizan para conceder permisos a un grupo de usuarios de forma simultánea. Los grupos se pueden crear y eliminar, así como añadirles usuarios, pero la eliminación de un grupo no elimina los usuarios u objetos que este contenga. El Directorio Activo proporciona un conjunto de grupos predefinidos que pueden utilizarse tanto para facilitar el control de acceso a los recursos como para delegar determinados roles administrativos. Por ejemplo, el grupo Operadores de copia de seguridad permite a sus miembros realizar copias de seguridad de todos los controladores de dominio, en el dominio al que pertenecen. Ámbitos de grupos de usuario ---------------------------- El ámbito de un grupo establece su alcance, es decir, en qué partes de la red puede utilizarse, y el tipo de cuentas que pueden formar parte de él. En ese sentido, pueden pertenecer a una de las siguientes categorías: Los grupos de Active Directory pueden ser de los siguientes tipos: - - - - - - - Tipos de grupos --------------- Existen dos tipos de grupos en Active Directory: - - - - 3.7 Equipos =========== En el directorio activo de un dominio tenemos la información sobre las cuentas de usuarios y los grupos globales. Allí también podemos tener una cuenta de equipo para cada uno de los que pertenezcan al dominio. Las cuentas de los equipos controladores de dominio (DC) se encuentran en la unidad organizativa ***DomainControllers***. El resto de los equipos se encuentran por defecto en la unidad organizativa ***Computers***. Para cada equipo se guarda la siguiente información: nombre del equipo (sin su sufijo DNS), contraseña (que utiliza el equipo para acreditarse en el dominio) y SID (de forma análoga a las cuentas de usuario y grupos). ***Ejercicio de clase*** Conecta el equipo cliente con el sistema operativo Windows 10 al dominio del servidor e inicia la sesión con un usuario de Active Directory del servidor. ***Solución*** Comprueba que los dos equipos se vean en la red. En el equipo cliente modifica la red para que el DNS sea la IP del servidor. A continuación, ve a Sistema y desde donde cambias el nombre o grupo del equipo, agrégalo al dominio, escribiendo en *Domino* el dominio del servidor. Te pedirá que introduzcas las credenciales para poderte conectar al dominio. ![](media/image2.png) Si todo fue correcto te indicará que se ha unido correctamente al domino y podrás iniciar sesión desde el equipo Cliente con un usuario de Active Directory. En el servidor puedes ver que el ordenador Cliente se ha añadido a *Computers* como equipo de Active Directory.

UD3 Usuarios, Grupos y Equipos de Dominio PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue