GESTIÓN DE USUARIOS…
La gestión de los usuarios es, hoy en día, un área de entidad propia, en la medida en que la relación de éstos con los sistemas es crucial a la hora de asegurar un correcto funcionamiento delos servicios puestos a su disposición. En ocasiones, se da por supuesto que los usuarios son capaces de asumir cualquier incorporación tecnológica sin necesidad de soporte adicional, lo cual da lugar a problemáticas específicas.
CUENTAS (DOMINIO, LOCALES)
Una cuenta de usuario se trata de las credenciales únicas de un usuario en un dominio, ofreciéndole la posibilidad de iniciar sesión en el Dominio para tener acceso a los recursos de la red o de iniciar la sesión local en un equipo para tener acceso a los recursos locales. Cada persona que utilice la red regularmente debe tener una cuenta. Las cuentas de usuario se utilizan para controlar cómo un usuario tiene acceso al Dominio o a un equipo. Por ejemplo, puede limitar el número de horas en las que un usuario puede iniciar una sesión en el dominio, impresoras de red que puede utilizar... Es decir, gracias a las cuentas de usuario el Administrador puede controlar todo lo que un usuario puede hacer en un dominio, a través de las restricciones de su cuenta y la configuración de derechos de usuario.
Existen dos tipos de cuentas de usuario:
Cuentas creadas por nosotros como administradores del dominio: Estas cuentas contienen información acerca del usuario, incluyendo el nombre y la contraseña del usuario, permiten que el usuario inicie una sesión en la red y, con los permisos apropiados, tenga acceso a los recursos de la red.
Cuentas predefinidas o incorporadas: Se trata de cuentas creadas durante la instalación de Windows NT. Estas cuentas son:
Invitado (Guess): La cuenta incorporada Invitado se utiliza para ofrecer a los usuarios ocasionales la posibilidad de iniciar sesiones y tener acceso a los recursos del dominio o equipo local. Por ejemplo, un empleado que necesite tener acceso al equipo durante un periodo breve de tiempo. La cuenta Invitado está deshabilitada de forma predeterminada. No se debe habilitar esta cuenta en una red de alta seguridad. Para mayor seguridad, cambie el nombre de esta cuenta y asígnele una contraseña.
Administrador (Administrator): La cuenta incorporada Administrador se utiliza para administrar la configuración global del equipo y del dominio. El Administrador puede realizar todas las tareas, como la creación o modificación de cuentas de usuario y de grupo, la administración de las directivas de seguridad, la creación de impresoras, y la asignación de permisos y derechos a las cuentas de usuario para que tengan acceso a los recursos.
Otras cuentas: Dependiendo de las aplicaciones instaladas pueden aparecer más cuentas predefinidas. Por ejemplo, si instalamos el IIS se crea el usuario IUS_Server para conexiones anónimas.
Para conseguir un mayor grado de seguridad, cree una cuenta de usuario normal que pueda utilizar para realizar las tareas no administrativas, cambie el nombre de la cuenta Administrador y sólo inicie una sesión como Administrador para realizar tareas administrativas.
CREACIÓN DE CUENTAS DE USUARIO
Se pueden crear cuentas de usuario de dominio o cuentas de usuario local.
Cuenta de usuario de dominio:
Cuenta de usuario local:
CREACIÓN DE CUANTAS DE USUARIO PARA UN DOMINIO
Nombre de usuario: Escribir un nombre único basado en la convención de nombres adoptada. Este campo es obligatorio.
Nombre completo: El nombre completo del usuario es útil para determinar la persona a la que pertenece una cuenta. Es opcional.
Descripción: Una descripción que nos sea útil para identificar a los usuarios. Puede ser el cargo, el departamento o la ubicación en la oficina. Es opcional.
Contraseña: Una contraseña, si vamos a controlar la contraseña de la cuenta. No hay por qué asignar una contraseña a una cuenta; sin embargo, para mayor seguridad nos aseguraremos siempre de que el usuario cambie su contraseña en su primer inicio de sesión. La contraseña no se presenta. Está representada por una serie de catorce asteriscos una vez escrita, cualquiera que sea su longitud. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una contraseña.
Cuentas creadas por nosotros como administradores del dominio: Estas cuentas contienen información acerca del usuario, incluyendo el nombre y la contraseña del usuario, permiten que el usuario inicie una sesión en la red y, con los permisos apropiados, tenga acceso a los recursos de la red.
Cuentas predefinidas o incorporadas: Se trata de cuentas creadas durante la instalación de Windows NT. Estas cuentas son:
Invitado (Guess): La cuenta incorporada Invitado se utiliza para ofrecer a los usuarios ocasionales la posibilidad de iniciar sesiones y tener acceso a los recursos del dominio o equipo local. Por ejemplo, un empleado que necesite tener acceso al equipo durante un periodo breve de tiempo. La cuenta Invitado está deshabilitada de forma predeterminada. No se debe habilitar esta cuenta en una red de alta seguridad. Para mayor seguridad, cambie el nombre de esta cuenta y asígnele una contraseña.
Administrador (Administrator): La cuenta incorporada Administrador se utiliza para administrar la configuración global del equipo y del dominio. El Administrador puede realizar todas las tareas, como la creación o modificación de cuentas de usuario y de grupo, la administración de las directivas de seguridad, la creación de impresoras, y la asignación de permisos y derechos a las cuentas de usuario para que tengan acceso a los recursos.
Otras cuentas: Dependiendo de las aplicaciones instaladas pueden aparecer más cuentas predefinidas. Por ejemplo, si instalamos el IIS se crea el usuario IUS_Server para conexiones anónimas.
Para conseguir un mayor grado de seguridad, cree una cuenta de usuario normal que pueda utilizar para realizar las tareas no administrativas, cambie el nombre de la cuenta Administrador y sólo inicie una sesión como Administrador para realizar tareas administrativas.
CREACIÓN DE CUENTAS DE USUARIO
Se pueden crear cuentas de usuario de dominio o cuentas de usuario local.
Cuenta de usuario de dominio:
Cuenta de usuario local:
CREACIÓN DE CUANTAS DE USUARIO PARA UN DOMINIO
- Iniciar el Administrador de usuarios para dominios. Menú Usuario – Seleccionar Usuario nuevo...
- Rellenar los siguientes campos.
Nombre de usuario: Escribir un nombre único basado en la convención de nombres adoptada. Este campo es obligatorio.
Nombre completo: El nombre completo del usuario es útil para determinar la persona a la que pertenece una cuenta. Es opcional.
Descripción: Una descripción que nos sea útil para identificar a los usuarios. Puede ser el cargo, el departamento o la ubicación en la oficina. Es opcional.
Contraseña: Una contraseña, si vamos a controlar la contraseña de la cuenta. No hay por qué asignar una contraseña a una cuenta; sin embargo, para mayor seguridad nos aseguraremos siempre de que el usuario cambie su contraseña en su primer inicio de sesión. La contraseña no se presenta. Está representada por una serie de catorce asteriscos una vez escrita, cualquiera que sea su longitud. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una contraseña.
Como administradores deberemos decidir si la contraseña de la cuenta de usuario la determina el administrador o el usuario además de tener en cuenta los siguientes puntos:
Asignar siempre una contraseña a la cuenta Administrador.
-Determinar quién controlará la contraseña.
-Decidir si una contraseña tiene que caducar.
-Educar a los usuarios sobre las maneras de proteger y escribir sus contraseñas.
-Evitar utilizar asociaciones obvias, como el nombre de algún familiar.
-Utilizar una contraseña larga. Las contraseñas pueden tener una longitud de hasta 14 caracteres.
-Utilizar letras mayúsculas y minúsculas. Las contraseñas distinguen entre mayúsculas y minúsculas. Por ejemplo, la contraseña SECRETA es diferente de secreta.
Repetir contraseña: Escriba la contraseña una segunda vez para asegurarse de que ha escrito correctamente la contraseña. Es obligatorio si se ha introducido una contraseña.
Hacer clic para activar o desactivar las siguientes casillas de verificación.
- El usuario debe cambiar la contraseña en el siguiente inicio: Quiere que los usuarios cambien su contraseña la primera vez que inicien sesión (activada de forma predeterminada). Esto asegura que el usuario es la única persona que sabe su contraseña. El usuario se está haciendo cargo de su contraseña.
- El usuario no puede cambiar la contraseña: Cuando hay más de una persona que utiliza la misma cuenta de usuario, como la del Invitado, o porque el Administrador quiere mantener el control sobre las contraseñas de usuario.
- La contraseña nunca caduca: Se trata de una cuenta de usuario para la que deseamos que la contraseña no cambie nunca. Por ejemplo, cuentas de usuario utilizadas para tareas de administración, como puede ser el propio Administrador. Esta opción ignora la selección de El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
- Cuenta desactivada: Con esta opción se consigue evitar temporalmente el uso de una cuenta; por ejemplo, si un empleado toma unas vacaciones, podemos desactivar su cuenta.
GRUPOS GLOBALES Y LOCALES
Un grupo es un conjunto de cuentas de usuario. La asignación de una cuenta de usuario a un grupo concede a éste todos los derechos y permisos concedidos al grupo. Los grupos simplifican la administración al proporcionar un método fácil para conceder derechos comunes a múltiples usuarios simultáneamente. Por ejemplo, si los usuarios Profesor_1, Profesor_2 y Profesor_3 necesitan acceder a un recurso compartido de nuestra red llamado Cursos, en lugar de asignar a cada uno de ellos derechos sobre el recurso nos podemos crear un grupo llamado Monitores, añadir a dicho grupo los tres usuarios y darle al grupo derechos para acceder al recurso Cursos. Esto, que en este caso puede parecer innecesario, no lo es, dado que si en algún momento hacemos cambios en la red que puedan producir la pérdida de las asignaciones de derechos sobre los recursos, nos será mucho más fácil recomponer los accesos. Es más sencillo asignarle al grupo monitores (grupo que tiene un nombre más fácilmente relacionable con el recurso) que acordarnos de todos y cada uno de los usuarios que tenían derechos de acceso al recurso compartido sin que se nos olvide ninguno. Por tanto, los grupos simplifican la administración al proporcionar un método fácil para conceder capacidades comunes a múltiples usuarios. La administración de grupos se realiza con la herramienta administrativa:Administrador de Usuarios para Dominios (o Administrador de Usuarios, si se trata de Windows NT Workstation o de un Servidor Independiente). Microsoft distingue entre dos tipos de grupos: locales y globales.
Grupos Locales
Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un recurso de la red. Recordemos que los permisos son normas que regulan qué usuarios pueden emplear un recurso como, por ejemplo, una carpeta, un archivo o una impresora. Los grupos locales también se utilizan para proporcionar a los usuarios los derechos para realizar tareas del sistema tales como el cambio de hora de un equipo o la copia de seguridad y la restauración de archivos. Los grupos locales están formados por usuarios y grupos que pueden proceder tanto del dominio en que se crearon y residen las cuentas, como de otros dominios, si tenemos establecidas relaciones de confianza. No pueden incluir ningún grupo local y sólo se les puede asignar permisos y derecho sobre recursos del Domino local. Windows NT incluye varios grupos locales ya creados, diseñados especialmente para asignar derechos a los usuarios. Los grupos incorporados con Windows NT son grupos "predefinidos" que tienen un conjunto predeterminado de derechos de usuario.
Grupos Globales
Los grupos globales se utilizan para organizar cuentas de usuario del dominio, normalmente por función o ubicación geográfica. Se suelen usar, en redes con múltiples dominios. Cuando los usuarios de un dominio necesitan tener acceso a los recursos existentes en otro dominio, se agregarán a un grupo local del otro dominio para conceder derechos a sus miembros. Se tienen que crear en un controlador del dominio en el que residen las cuentas de los usuarios. Los grupos globales están formados sólo por usuarios de un mismo dominio (del mismo en que reside el grupo) y no pueden contener ningún tipo de grupos.| RESUMEN DE LAS CARACTERÍSTICAS DE LOS GRUPOS LOCALES Y GLOBALES | |
| Grupos locales | Grupos globales |
| Proporcionan a los usuarios permisos o derechos. | Organizan los usuarios del dominio. |
| Pueden incluir (de cualquier dominio): – Cuentas de usuario – Grupos globales | Sólo pueden incluir cuentas de usuario del dominio en el que residen. |
| No pueden incluir ningún otro local. | No pueden contener ningún grupo local ni global. |
| Tienen asignados permisos y derechos en el dominio local. | Se agregan a un grupo local para conceder derechos y permisos a sus miembros. |
| En Windows NT Workstation o en servidores miembro, sólo se pueden asignar derechos y permisos a recursos locales. | No se asignan a recursos locales. |
| En un PDC, pueden tener asignados recursos de cualquier controlador del dominio. | Es necesario crearlos en el PDC del dominio donde residen las cuentas. |
CREACIÓN DE GRUPOS GLOBALES Y LOCALES
En Windows NT Server, los grupos locales y globales se crean mediante el "Administrador de usuarios para dominios". En Windows NT Workstation, los grupos locales se crean con el "Administrador de usuarios", y no se pueden crear grupos globales. Al crear los grupos locales y globales se deben cumplir las reglas siguientes:
1.- El usuario debe ser miembro del grupo Administradores, Administradores del dominio u Operadores de cuentas.
2. Se pueden crear un grupo local en cualquier equipo que ejecute Windows NT.
3. Se debe crear un grupo global en un PDC, pero se puede crear desde cualquier equipo que ejecute el Administrador de usuarios para dominios. Esto incluye:
o Un controlador de reserva (BDC).
o Un servidor miembro que forme parte del dominio.
o Un equipo que ejecute Windows NT Workstation o Microsoft Windows 95/98 y que tenga instaladas las Herramientas Administrativas del servidor.
4. Los nombres del grupo deben ser exclusivos para el Dominio. No pueden ser idénticos a otros nombres de usuarios o de grupos.
CREACIÓN DE GRUPOS GLOBALES
Para crear un grupo global:
1. En el menú Usuario, hacer clic en Grupo global nuevo. Aparecerá el cuadro de diálogoGrupo global nuevo.
2. En el cuadro Nombre de grupo, escribir el nombre del grupo. Dicho nombre:
· Puede contener cualquier carácter, en mayúsculas o minúsculas, salvo los siguientes: " / \ [ ] : ; =, + ? < >
· Deberá ser descriptivo de la función del grupo.
· Tendrá un máximo de 20 caracteres.
3. En el cuadro Descripción, escribir una descripción del grupo. Aunque es opcional, esta descripción puede resultar útil para identificar la función de un grupo.
4. En la lista No son miembros, seleccionar los usuarios que deseemos que pertenezcan al grupo.
5. Hacer clic en Agregar. Los usuarios seleccionados aparecerán en la lista Miembros.
6. Haga clic en Aceptar para crear el grupo global que contenga a todos los usuarios agregados como miembros.
CREACIÓN DE GRUPOS LOCALES
Para crear un grupo local:
1. En el menú Usuario, haga clic en Grupo local nuevo. Aparecerá el cuadro de diálogo "Grupo local nuevo".
2. En el cuadro Nombre de grupo, escribir un nombre descriptivo exclusivo para el grupo. Dicho nombre:
· Deberá describir la función del grupo.
· Puede contener cualquier carácter, en mayúsculas o minúsculas, salvo la barra invertida (\).
· Puede tener 256 caracteres de longitud como máximo; sin embargo, en la mayoría de las ventanas sólo aparecerán los 22 caracteres primeros.
3. En el cuadro Descripción, escriba una descripción del grupo y después haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar usuarios y grupos.
4. En la lista Nombres, seleccionaremos las cuentas de usuario o de grupo global del dominio local que deseemos agregar al grupo.
5. Para agregar grupos globales de otro dominio, en el cuadro Mostrar nombres en, seleccionaremos el dominio y después los grupos globales. El asterisco indica el dominio actual. En el cuadro Mostrar nombre en sólo aparecen los dominios en que se confía.
6. Hacer clic en Agregar y después en Aceptar.
7. Hacer clic en Aceptar en el cuadro de diálogo Grupo local nuevo para crear el grupo local.
2. En el cuadro Nombre de grupo, escribir el nombre del grupo. Dicho nombre:
· Puede contener cualquier carácter, en mayúsculas o minúsculas, salvo los siguientes: " / \ [ ] : ; =, + ? < >
· Deberá ser descriptivo de la función del grupo.
· Tendrá un máximo de 20 caracteres.
3. En el cuadro Descripción, escribir una descripción del grupo. Aunque es opcional, esta descripción puede resultar útil para identificar la función de un grupo.
4. En la lista No son miembros, seleccionar los usuarios que deseemos que pertenezcan al grupo.
5. Hacer clic en Agregar. Los usuarios seleccionados aparecerán en la lista Miembros.
6. Haga clic en Aceptar para crear el grupo global que contenga a todos los usuarios agregados como miembros.
CREACIÓN DE GRUPOS LOCALES
Para crear un grupo local:
1. En el menú Usuario, haga clic en Grupo local nuevo. Aparecerá el cuadro de diálogo "Grupo local nuevo".
2. En el cuadro Nombre de grupo, escribir un nombre descriptivo exclusivo para el grupo. Dicho nombre:
· Deberá describir la función del grupo.
· Puede contener cualquier carácter, en mayúsculas o minúsculas, salvo la barra invertida (\).
· Puede tener 256 caracteres de longitud como máximo; sin embargo, en la mayoría de las ventanas sólo aparecerán los 22 caracteres primeros.
3. En el cuadro Descripción, escriba una descripción del grupo y después haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar usuarios y grupos.
4. En la lista Nombres, seleccionaremos las cuentas de usuario o de grupo global del dominio local que deseemos agregar al grupo.
5. Para agregar grupos globales de otro dominio, en el cuadro Mostrar nombres en, seleccionaremos el dominio y después los grupos globales. El asterisco indica el dominio actual. En el cuadro Mostrar nombre en sólo aparecen los dominios en que se confía.
6. Hacer clic en Agregar y después en Aceptar.
7. Hacer clic en Aceptar en el cuadro de diálogo Grupo local nuevo para crear el grupo local.
No hay comentarios:
Publicar un comentario