Professional Documents
Culture Documents
ndice
1. Herramienta Usuarios y equipos de Active Directory 2. Cuentas de usuario 3. Los 3 L grupos y su configuracin fi i 4. Cuentas predeterminadas de usuarios y grupos 5. Perfiles de usuario 6. Administracin de perfiles de usuario 7. Configuracin y administracin de cuentas de equipos
Tema 14. Cuentas de grupo, equipo y usuario 2
Cuentas de usuario
W2008 ofrece cuatro tipos de cuentas de usuario:
Cuentas de usuarios locales
Cuentas de usuario definidas en el equipo local, con acceso solamente al equipo local y, por tanto, a l recursos d l mismo l l i l l los del i Los usuarios pueden tener acceso a los recursos de otro equipo de la red si disponen de una cuenta en dicho equipo Para poder acceder a los recursos que un equipo comparte, es necesario autenticarse en l Estas cue tas de usua o residen e e ad stas cuentas usuario es de en el administrador de cuentas st ado cue tas de seguridad (Security Account Manager, SAM) del equipo, que es la BD de cuentas de seguridad local Se pueden crear en estaciones de trabajo o en servidores miembros pero NO en controladores de dominio
Al usar cuentas locales de un servidor miembro, el usuario no podrn usa os ecu sos del dominio (a no esta aute t cadas en l) usar los recursos de do o (al o estar autenticadas e )
Tema 14. Cuentas de grupo, equipo y usuario 6
LocalService: acceso al sistema local NetworService: acceso al sistema local y en la red Otras cuentas son, por ejemplo, las de Internet Information Services o los servicios de terminales
Tema 14. Cuentas de grupo, equipo y usuario 9
Permiten a los usuarios iniciar sesin y acceder a recursos en un equipo especfico Residen en SAM
Cuentas de usuario de dominio
Permiten a los usuarios iniciar sesin en el dominio para tener acceso a los recursos de red Residen en Active Directory y
Cuentas de usuario integradas C d i i d Permiten a los usuarios realizar tareas administrativas o tener acceso temporal a recursos de red Residen en SAM (cuentas de usuario integradas locales) Residen en Active Directory (cuentas de usuario integradas ) del dominio)
Tema 14. Cuentas de grupo, equipo y usuario 10
Administrador e Invitado
Nombre completo de dominio del usuario: nombre del dominio + unidad organizativa + nombre usuario:
aso.es\Users\pilar aso.es\Users\Profesores\AdministracionSO\pilar
Tema 14. Cuentas de grupo, equipo y usuario 11
Nombre de inicio de sesin (no distingue entre maysculas y minsculas y puede tener 20
caracteres como mximo)
15
Iniciar sesin en: Para cuentas de dominio, equipos del dominio en los que puede iniciar una sesin para trabajar en ellos
Tema 14. Cuentas de grupo, equipo y usuario 16
Todas estas operaciones se realizarn desde la herramienta Usuarios y Equipos del AD o desde Usuarios y grupos locales
Tema 14. Cuentas de grupo, equipo y usuario 17
18
Grupos
Un grupo es una coleccin de usuarios, equipos u otros grupos Los grupos se usan para simplificar la administracin del acceso de usuarios y equipos a los recursos (directorios, ficheros, impresoras, etc.) etc ) Permiten conceder permisos de acceso a varios usuarios al mismo tiempo, en lugar de concederlos i l i ti l d d l usuario a usuario
Tema 14. Cuentas de grupo, equipo y usuario 19
Grupos (ii)
Permisos asignados una vez para un grupo
Grupo
En lugar de
Usuario
Permisos
Permisos
Permisos
Usuario
Usuario
Los miembros de un grupo tienen los mismos derechos y permisos concedidos al grupo Los usuarios pueden pertenecer a varios grupos Los grupos y las cuentas de equipos tambin pueden pertenecer a un grupo
Tema 14. Cuentas de grupo, equipo y usuario 20
Grupos (iii) G
L grupos funcionan de forma diferente en un equipo Los f i d f dif i local que en un dominio local Grupos en un equipo local, llamados grupos locales
Se crean en equipos que son estaciones de trabajo independientes o servidores miembro, pero NO en controladores de dominio R id en SAM (S Residen (Security A Accounts Manager) M ) Se usan para otorgar permisos a recursos y otorgar derechos para las tareas del sistema en el equipo local
Grupos en un dominio:
Se crean nicamente en controladores de dominio R id en el servicio de directorio Active Directory Residen l i i d di t i A ti Di t Se usan para otorgar permisos a recursos y otorgar derechos para tareas del sistema en cualquier equipo del dominio
Tema 14. Cuentas de grupo, equipo y usuario 21
G upos( v) Grupos(iv)
Grupo local
SAM SAM
Creados en equipos que no son controladores de dominio Residen en SAM Se utilizan para controlar el acceso a recursos del equipo q p
Servidor S id miembro
Equipo cliente
Dominio
Creados en controladores de dominio Residen en Active Directory y Se utilizan para controlar los recursos del dominio
22
Controlador de dominio
Grupos locales
A
Aadir
Aadir
Asignar
P
Windows
Asignar
Aadir
Asignar
A
Windows
Grupo de trabajo
Aadir
Asignar
P
Windows
Windows
A =
L =
P =
Permisos 23
Cuentas de usuario Grupo local Tema 14. Cuentas de grupo, equipo y usuario
Grupos (v)
Tipos de grupos de dominio
Grupos de seguridad:
Pueden tener descriptores de seguridad asociados Permiten asignar permisos para el acceso a los recursos compartidos en el dominio
Su finalidad es controlar quin puede usar qu recursos
Grupos de distribucin:
Se usan para listas de distribucin de correo electrnico A estos grupos no se les puede asignar permisos para el acceso a los recursos
Tema 14. Cuentas de grupo, equipo y usuario 24
Grupos (vi)
mbito de grupos de seguridad de dominio
El mbito de un grupo determina dnde se usar ese grupo, y afecta a la pertenencia del grupo y al anidamiento de grupos (agrupar grupos como
miembros de otros grupos)
Grupos de mbito local de dominio (grupos locales de dominio): se usan para garantizar permisos a recursos de dominio situados en el mismo dominio Estn pensados para ayudar a administrar el acceso a los recursos, tales como impresoras y carpetas compartidas p qu El recurso no tiene por q residir en un controlador de dominio, puede estar en un servidor miembro Slo se les pueden asignar permisos en el mismo dominio Pueden tener co o miembros cuentas de usu o, grupos globales y uede e e como e b os cue s usuario, g upos g ob es universales de cualquier dominio y grupos locales de su mismo dominio p g g grupos Se pueden agregar a otros g p locales de dominio
Tema 14. Cuentas de grupo, equipo y usuario 25
Grupos (viii)
mbito de grupos de dominio: (contina...)) g p (
Grupos de mbito universal (grupos universales): se usan para otorgar permisos a gran escala en el rbol de dominio d i i o en el bosque lb
Usados para conceder permisos de acceso a recursos situados en cualquier dominio Pensados para consolidar grupos que abarcan varios dominios. Normalmente se agregan grupos globales como miembros p p q Tienen pertenencia abierta, pueden tener como miembros cualquier cuenta de usuario del dominio, grupos globales y universales de cualquier dominio Pueden ser miembro de cualquier grupo de dominio local o universal en cualquier dominio
No estn disponibles cuando el dominio funciona en modo mixto (compatibilidad con WNT)
27
Grupos (ix)
Ejemplo de mbito de grupos de dominio:
Grupo local de dominio impresora_color que tiene permisos para imprimir en la impresora LaserColor Grupo global de dominio profesoresASO
A ese grupo pertenecen los usuarios que son profesores de la asignatura ASO: Pilar, Eduardo, Juanjo (pero no el resto de profesores) Ese grupo de usuarios puede imprimir en la impresora LaserColor El grupo profesoresASO se hace miembro de impresora_color para darle permisos sobre la impresora, y que puedan imprimir
Agregar
Grupo global
Agregar
P
Asignar
DL
Grupo local de dominio
30
Grupos (x)
Creacin de un grupo de dominio g p
Herramienta Usuarios y equipos del AD, en la Unidad organizativa, seleccionar Nuevo y despus Grupo Es necesario seleccionar
Nombre del grupo (no se distingue entre maysculas y minsculas) mbito de grupo: Dominio Local, Global o Universal Tipo de grupo: Seguridad o Distribucin
Grupos (xi)
Pertenencia a un grupo por defecto
Por defecto hay establecidas una serie de pertenencias En un dominio
Todos los usuarios de dominio son miembros del grupo Usuarios de dominio y ese es su grupo principal Todos los equipos (servidores miembro) del dominio son miembros de Equipos de dominio y ese es su grupo principal Todos los controladores de dominio son miembros de Controladores de dominio y ese es su grupo principal
32
Grupos (xii)
Pertenencia a un grupo
Pertenencia individual:
En el usuario, grupo o equipo (slo para AD) que quiere modificar y en Propiedades seleccione la ficha Miembro de Seleccione Agregar para abrir el cuadro de dilogo Seleccionar grupos, escoja en l los nuevos grupos j l Tambin puede eliminar la cuenta de un grupo con Quitar
A los grupos predeterminados se les asigna automticamente un conjunto de derechos que autoriza a los miembros del grupo a realizar acciones especficas, p.e., realizar una copia de seguridad, aadir/administrar li i d id d di / d i i t impresoras, etc.
Tema 14. Cuentas de grupo, equipo y usuario 34
36
37
Perfiles fil
El perfil de usuario contiene todos los valores que puede definir el usuario para su entorno de trabajo en un equipo, incluyendo la configuracin del escritorio, el ratn, el escritorio ratn men de opciones, la configuracin regional y de sonido, adems de las conexiones de red y de las impresoras Un perfil de usuario concede, por tanto, al usuario un concede tanto conjunto predefinido de configuraciones del S.O. Windows requiere un perfil de usuario para cada cuenta de usuario que tenga acceso al sistema
Cada usuario tendr su configuracin especfica
Los perfiles de usuario crean y mantienen automticamente la configuracin de escritorio del entorno de trabajo de cada usuario
Tema 14. Cuentas de grupo, equipo y usuario 38
El escritorio final del usuario (el que ve al conectarse) se crea usando el perfil creado para l y las configuraciones de los grupos de programas comunes de la carpeta Acceso Pblico (W08) All Users (W. anteriores) Cuando el usuario termina la sesin, todos los cambios realizados du durante la ses sobre la co gu c predeterminada se guardan en e sesin sob e configuracin p ede e d gu d e su perfil de usuario. (El perfil por defecto no se modifica) Sirve como base para todos los dems perfiles de usuario Cada perfil comienza como una copia de perfil de usuario predeterminado
Tema 14. Cuentas de grupo, equipo y usuario 39
Perfiles (iii) ( )
Hay tres tipos de perfiles
P fil de usuario local: Perfil d i l l
La primera vez que un usuario inicia sesin en un equipo se crea un perfil para l y se guarda en el disco duro del equipo Los cambios realizados en este perfil son especficos del equipo en el que se hicieron esos cambios Es referente al equipo local y no es compartido por los equipos de l d (el d la red ( l usuario tendr un perfil local en cada equipo en el que trabaje) i d fil l l d i l b j ) Al cerrar la sesin, se actualiza el perfil con los cambios Se mantienen en un directorio predeterminado o en una localizacin i di d l li i indicada en R t Perfil (P i d d del usuario) Ruta P fil (Propiedades d l i ) Directorios: %SystemDrive%\Users\%UserName%\ntuser.dat
c:\Users\pilar\ntuser.dat
Perfiles (iv) ( )
Hay tres tipos de perfiles
Perfil de usuario mvil:
En un dominio, se puede guardar el perfil de usuario en un p f p q g p servidor, perfil mvil, para que el usuario tenga el mismo perfil en cualquier equipo Perfil de usuario que se descarga desde el servidor de perfiles al equipo local cuando un usuario inicia una sesin. Se actualiza en el servidor cuando el usuario cierra la sesin t li l id d l i i l i Este perfil es fijado por el administrador y se almacena en el servidor. (Se crea la primera vez que un usuario inicia una sesin) L usuarios accedern siempre al mismo perfil con Los i d i l i fil independencia del equipo del dominio que estn utilizando Los cambios se guardan en el servidor al acabar la sesin
Si por algn problema el perfil mvil del usuario no est disponible, problema, m il s ario disponible se crea y usa un perfil de usuario en el equipo local Si no se asigna perfil mvil al usuario, el usuario tendr un perfil en q p que j cada equipo del dominio en el q trabaje
Tema 14. Cuentas de grupo, equipo y usuario 41
Perfiles (v)
Hay tres tipos de perfiles (contina )
Perfil de usuario obligatorio:
Es un perfil mvil que es obligatorio o est impuesto, de forma que no se guardarn los cambios que el usuario realice en el mismo l i Lo crea el administrador para especificar una configuracin determinada a aplicar a un usuario concreto o a varios El usuario puede realizar cambios mientras tiene la sesin iniciada, pero dichos cambios se perdern al cerrar la sesin porque no se guardan Slo los administradores de sistemas podran realizar cambios sobre los mismos
Tema 14. Cuentas de grupo, equipo y usuario 42
Modificar
Configuracin regional
Guardar
Perfil de usuario
Mouse
Sonido
Perfil il d P fil mvil de usuario i
Creado por el Administrador del sistema Almacenado en un servidor
Perfil
Pantalla
Configuracin regional
Cliente Windows Wi d
Creado por el Mouse Administrador del sistema Servidor perfil fil Almacenado en un servidor Tema 14. Cuentas de grupo, equipo y usuario Sonido
Crear el directorio vaco en el que se guardar el perfil del usuario. p El usuario ha de tener el permiso Control total sobre el directorio
P.e., en el servidor de perfiles crear c:\perfiles\Pilar
Desde Usuarios y equipos del AD, para el usuario, en su cuadro de Propiedades en la ficha Perfil indique la ruta de acceso al perfil, con el servidor y el directorio compartido:
P.e., \\servidor_de_perfiles\perfiles\Pilar
El perfil mvil se almacenar en el fichero ntuser dat ntuser.dat La prxima vez que el usuario inicie una sesin se crear el perfil del usuario y se guardar al cerrar la sesin en ese directorio
Tema 14. Cuentas de grupo, equipo y usuario 44
Cuentas de equipos
Las cuentas de equipo se almacenan en Active Directory y representan un equipo concreto de la red Cada equipo del dominio sea servidor miembro o controlador de dominio, dominio, tiene una cuenta de equipo Sirve para auditar las tareas que se realizan desde ese equipo, para otorgar permisos y restricciones o para controlar el acceso a la red t i ti i t l l l d y a los recursos Permiten realizar administracin remota A los equipos con W95 y W98 no se les asignan cuentas de equipo porque no tienen las caractersticas de seguridad necesarias Se pueden agregar cuentas de equipo a cualquier unidad p g g q p q organizativa, pero las mejores son Equipos o Controladores de dominio o bien una unidad organizativa creada dentro de ellas
Tema 14. Cuentas de grupo, equipo y usuario 46
Se pueden editar las propiedades de una cuenta de equipo, aadiendo informacin sobre el SO, los grupos a los que pertenece, por quin est administrado, etc. Las cuentas de equipo pueden ser eliminadas, deshabilitadas y habilitadas, moverlas a una unidad habilitadas organizativa distinta, etc.
Tema 14. Cuentas de grupo, equipo y usuario 47