Tema 14 Tema 14.

Configuracin de cuentas de g
grupo, equipo y usuario
Administracin de Sistemas Operativos
M Pilar Gonzlez Frez
ndice
1. Herramienta Usuarios y equipos de Active
Directory Directory
2. Cuentas de usuario
3 L fi i 3. Los grupos y su configuracin
4. Cuentas predeterminadas de usuarios y grupos
5. Perfiles de usuario
6. Administracin de perfiles de usuario
7. Configuracin y administracin de cuentas de
equipos
Tema 14. Cuentas de grupo, equipo y usuario 2
Herramienta Usuarios y equipos Herramienta Usuarios y equipos
de Active Directory de Active Directory
Usuarios y equipos del Active Directoryes la herramienta
de administracin ms importante de Active Directory p y
Permite manejar todas las tareas relativas a cuentas de
usuarios, grupos y equipos, adems de administrar las
unidades organizativas unidades organizativas
Inicio / Programas / Herramientas administrativas/
Usuarios y equipos del Active Directory
Por defecto se trabaja con el dominio al que est conectado
el equipo, accediendo a la informacin del Active
Directory y a los objetos de usuario que estn definidos en y y j q
el mismo
Tambin es posible conectarnos a otro controlador de dominio de ese dominio,
o de otro dominio
Tema 14. Cuentas de grupo, equipo y usuario 3
Herramienta Usuarios y equipos Herramienta Usuarios y equipos
de AD (ii) de AD (ii)
Al acceder a un dominio con Usuarios y equipos del AD,
existen por defecto una serie de unidades organizativas: existen por defecto una serie de unidades organizativas:
I ntegrada(Builtin): Contiene los objetos que definen las cuentas
integradas, (como los Administradores y Operadores de cuentas)
E i (C t ) L id d i ti d t i d Equipos(Computers): La unidad organizativa predeterminada para
las cuentas de los equipos de los servidores miembro
Controladores de dominio(Domain Controllers): La unidad
i i d i d l i organizativa predeterminada para los equipos que son
controladores de dominio
Usuarios(Users): La unidad organizativa para los usuarios
ForeignSecurityPrincipals: La unidad organizativa por defecto
para los identificadores de seguridad (SIDs) asociados con los
objetos de dominios externos en los que se confa
Tema 14. Cuentas de grupo, equipo y usuario 4
j q
Herramienta Usuarios y equipos Herramienta Usuarios y equipos
de AD (iii) de AD (iii)
Tambin podemos ver otras carpetas activando la opcin
de Opciones Avanzadas (dentro del men Ver) de Opciones Avanzadas (dentro del men Ver)
LostAndFound: contiene objetos cuyas unidades
organizativas se eliminaron al tiempo de crear el objeto. Si
un objeto se cre o se movi a una ubicacin que ya no
existe despus de la replicacin, el objeto perdido se agrega
a este contenedor. Son objetos que han quedado hurfanos, y j q q , y
se pueden eliminar o recuperar
System: contiene configuraciones integradas del sistema
Tema 14. Cuentas de grupo, equipo y usuario 5
Cuentas de usuario Cuentas de usuario
W2008 ofrece cuatro tipos de cuentas de usuario: W2008 ofrece cuatro tipos de cuentas de usuario:
Cuentas de usuarios locales
Cuentas de usuario definidas en el equipo local, con acceso
l l i l l l d l i solamente al equipo local y, por tanto, a los recursos del mismo
Los usuarios pueden tener acceso a los recursos de otro equipo
de la red si disponen de una cuenta en dicho equipo
Para poder acceder a los recursos que un equipo comparte, es
necesario autenticarse en l
Estas cuentas de usuario residen en el administrador de cuentas stas cue tas de usua o es de e e ad st ado de cue tas
de seguridad (Security Account Manager, SAM) del equipo, que
es la BD de cuentas de seguridad local
Se pueden crear en estaciones de trabajo o en servidores Se pueden crear en estaciones de trabajo o en servidores
miembros pero NO en controladores de dominio
Al usar cuentas locales de un servidor miembro, el usuario no podrn
usar los recursos del dominio (al no estar autenticadas en l)
Tema 14. Cuentas de grupo, equipo y usuario 6
usa os ecu sos de do o (a o esta aute t cadas e )
Cuentas de usuario (ii) Cuentas de usuario (ii)
W2008 ofrece 4 tipos de cuentas de usuario: (contina...)
Cuentas de usuario de dominio
Permiten a un usuario iniciar sesin en el dominio para obtener
acceso a los recursos de la red
El usuario tendr acceso en cualquier equipo de la red con una El usuario tendr acceso en cualquier equipo de la red con una
nica cuenta y contrasea
Estas cuentas de usuario residen en el servicio de directorio AD y
se crean definindolas en un controlador de dominio
En los controladores de dominio slo puede haber cuentas de este
tipo no se pueden definir cuentas de usuario local tipo, no se pueden definir cuentas de usuario local
Un usuario puede acceder a los recursos del dominio utilizando
un inicio de sesin nico
Tema 14. Cuentas de grupo, equipo y usuario 7
Cuentas de usuario (iii) Cuentas de usuario (iii)
W2008 ofrece 4 tipos de cuentas de usuario: (contina...)
Cuentas de usuario integradas
Permite a un usuario realizar tareas administrativas u obtener
acceso temporalmente a los recursos de red
Existen dos cuentas de usuario integradas que no pueden Existen dos cuentas de usuario integradas que no pueden
eliminarse: Administrador e Invitado
Las cuentas de usuario locales Administrador e Invitado
residen en SAM residen en SAM
Las cuentas de usuario integradas de dominio residen en AD
Estas cuentas se crean automticamente durante la instalacin
d Wi d l d d i i d l A ti Di t de Windows o la de un dominio del Active Directory
Son cuentas instaladas con el sistema operativo y las
aplicaciones o servicios
Tema 14. Cuentas de grupo, equipo y usuario 8
Cuentas de usuario (iv) ( )
W2008 ofrece 4 tipos de cuentas de usuario: (contina ) W2008 ofrece 4 tipos de cuentas de usuario: (contina...)
Cuentas de usuario implcitas
Creadas de forma implcita por el sistema operativo o p p p
aplicaciones, se usan para asignar permisos en ciertas
situaciones
SistemaLocal (Localsystem): permite ejecutar procesos ( y ) p j p
del sistema y administrar las tareas relativas al sistema.
No se puede iniciar una sesin con esta cuenta, pero
algunos procesos se ejecutan con ella:
Por ejemplo, esta cuenta es la que se usa para ejecutar muchos de
los servicios del sistema (los demonios)
LocalService: acceso al sistema local
NetworService: acceso al sistema local y en la red
Otras cuentas son, por ejemplo, las de Internet
Information Services o los servicios de terminales
Tema 14. Cuentas de grupo, equipo y usuario 9
Cuentas de usuario (v) ( )
Cuentas de usuario locales Cuentas de usuario locales
Permiten a los usuarios iniciar sesin y acceder a y
recursos en un equipo especfico
Residen en SAM
Cuentas de usuario de dominio Cuentas de usuario de dominio
Permiten a los usuarios iniciar sesin en el dominio para
tener accesoalosrecursosdered
y
tener acceso a los recursos de red
Residen en Active Directory
C d i i d C d i i d Cuentas de usuario integradas Cuentas de usuario integradas
Permiten a los usuarios realizar tareas administrativas o tener
accesotemporal arecursosdered acceso temporal a recursos de red
Residen en SAM (cuentas de usuario integradas locales)
Residen en Active Directory (cuentas de usuario integradas
del dominio)
Administrador
e Invitado
Tema 14. Cuentas de grupo, equipo y usuario 10
)
Cuentas de usuario (vi)
Nombres de inicio de sesin: Todas las cuentas de usuario
se identifican con este nombre que tiene 2 partes: se identifican con este nombre que tiene 2 partes:
Nombre de usuario
Nombre del dominio o grupo de trabajo al que pertenece
la cuenta
P.e., para el usuario pilar, cuya cuenta est definida en el
dominio aso es tendramos: pilar@aso es dominio aso.es, tendramos: pilar@aso.es
Nombre completo de dominio del usuario: nombre del
dominio + unidad organizativa + nombre usuario:
aso.es\Users\pilar
aso.es\Users\Profesores\AdministracionSO\pilar
Tema 14. Cuentas de grupo, equipo y usuario 11
Cuentas de usuario (vii) Cuentas de usuario (vii)
Identificador de seguridad, SID Id. de Seguridad
Cada cuenta (de usuario, grupo o equipo) tiene asociado un
nmero nico, el identificador de seguridad, que la identifica de
forma nica y que es generado al crear la cuenta y q g
Los procesos internos de Windows hacen referencia al SID de las
cuentas y no a los nombres de las cuentas
Cada cuenta tiene un SID diferente Cada cuenta tiene un SID diferente
Un SID nunca se reutiliza
Si se elimina una cuenta, y despus se crea una nueva cuenta usando
el nombre de cuenta anterior a la nueva se le asigna un SID distinto el nombre de cuenta anterior, a la nueva se le asigna un SID distinto.
La nueva cuenta NO tendr los derechos o permisos de la anterior
El SID de una cuenta de dominio est formado por dos partes:
Prefijo que acta como Id de seguridad del dominio Prefijo, que acta como Id. de seguridad del dominio
Id. relativo nico, que alberga el maestro de Id. Relativo
Se utiliza, por ejemplo, para el cifrado de archivos. Si el usuario es
borrado, sus ficheros no se pueden descifrar
Tema 14. Cuentas de grupo, equipo y usuario 12
, p
Cuentas de usuario (viii) Cuentas de usuario (viii)
Creacin de cuentas de dominio de usuario: Creacin de cuentas de dominio de usuario:
Herramienta Usuarios y equipos del AD, clic con el botn derecho
del ratn en la unidad organizativa donde se quiera aadir la nueva
l i d l N l i U i cuenta, seleccionando el men Nuevo y la opcin Usuario
Configurar los nombres:
Nombre y apellidos, que se usan para crear el nombre completo
Nombre completo que es el nombre para mostrar el usuario (no se distingue
entre maysculas y minsculas y puede tener 64 caracteres como mximo)
Nombre de inicio de sesin (no distingue entre maysculas y minsculas y puede tener 20
caracteres como mximo) caracteres como mximo)
Seleccionar el dominio con el que va a estar asociada la cuenta
Configurar la contrasea y algunas restricciones
El usuario debe cambiar la contrasea en el siguiente inicio de sesin El usuario debe cambiar la contrasea en el siguiente inicio de sesin
El usuario no puede cambiar la contrasea
La contrasea nunca caduca
Cuenta deshabilitada
Tema 14. Cuentas de grupo, equipo y usuario 13
Cuenta deshabilitada
Cuentas de usuario (ix)
Creacin de cuentas locales de usuario:
Herramienta Administracin de equipos, expandir el nodo
Herramientas de sistema y abrir Usuarios y grupos locales. Hacer
clic con el botn derecho del ratn en Usuarios y seleccionar
Nuevo usuario
Configurar los nombres:
Nombre de usuario
Nombre completo del usuario
Descripcin
Configurar la contrasea y algunas restricciones
El usuario debe cambiar la contrasea en el siguiente inicio de sesin
El usuario no puede cambiar la contrasea
La contrasea nunca caduca
Cuenta deshabilitada
Tema 14. Cuentas de grupo, equipo y usuario 14
C d i ( ) Cuentas de usuario (x)
Configuracin de cuentas de usuario: en Propiedades
Informacin de contacto del usuario: nombre, iniciales, apellidos,
nombre para mostrar descripcin oficina n de tlf e mail y pgina Web nombre para mostrar, descripcin, oficina, n de tlf, e-mail y pgina Web
Parmetros del entorno del usuario
Ruta de acceso al perfil (determinar la configuracin del escritorio y
del panel de control la disponibilidad del men y las aplicaciones) del panel de control, la disponibilidad del men y las aplicaciones)
Archivo de comando de inicio de sesin (archivo por lotes que se
ejecutar siempre que el usuario inicie una sesin)
Ruta de acceso local (directorio a usar para guardar ficheros)
En un dominio, haciendo que el directorio de trabajo est compartido en
la red, podemos conseguir que el usuario siempre trabaje en el mismo
directorio de trabajo
Grupos a los que pertenece Grupos a los que pertenece
Aspectos de configuracin del Terminal Server
Tema 14. Cuentas de grupo, equipo y usuario 15
Cuentas de usuario (xi) ( )
Configuracin de cuentas de usuario:
O i d i i Opciones de cuenta y restricciones
Horas de inicio de sesin: Permiten controlar las horas durante
las cuales el usuario puede iniciar la sesin localmente o en el
dominio, trabajar normalmente, acceder a sus recursos. Si un
usuario mantiene la sesin cuando su hora de inicio de sesin
termina, se pueden forzar dos comportamientos:
Desconexin forzada: se desconecta al usuario cuando caduca su
hora de inicio de sesin (mediante la Configuracin de seguridad
de las Directivas locales, activando Cerrar automticamente la
sesin de los usuarios cuando termine su tiempo de sesin) sesin de los usuarios cuando termine su tiempo de sesin)
Sin desconexin: no desconecta las conexiones ya establecidas
cuando entran en una franja de horario restringido, sencillamente
no se permite que realicen nuevas conexiones de red no se permite que realicen nuevas conexiones de red
Iniciar sesin en: Para cuentas de dominio, equipos del dominio
en los que puede iniciar una sesin para trabajar en ellos
Tema 14. Cuentas de grupo, equipo y usuario 16
Cuentas de usuario (xii)
Operaciones con cuentas de usuario:
Las principales operaciones que se pueden realizar son: Las principales operaciones que se pueden realizar son:
Deshabilitar/habilitar una cuenta
Desbloquear una cuenta
P hibi bi l t d l t Prohibir que se cambie la contrasea de la cuenta
Eliminar una cuenta
Mover una cuenta
b l Renombrarla
Cambiar la contrasea
Todas estas operaciones se realizarn desde la Todas estas operaciones se realizarn desde la
herramienta Usuarios y Equipos del AD o desde
Usuarios y grupos locales
Tema 14. Cuentas de grupo, equipo y usuario 17
Cuentas de usuario (xiii)
Derechos de los usuarios comunes
Los derechos autorizan a un usuario que ha iniciado
sesin en un equipo o en una red a realizar ciertas sesin en un equipo o en una red a realizar ciertas
acciones sobre el sistema (Si no posee los derechos apropiados para realizar
una accin se bloquean los intentos de llevarla a cabo)
Los derechos de una cuenta de usuario local incluyen: Los derechos de una cuenta de usuario local incluyen:
Iniciar sesin localmente y acceder a los recursos del equipo
segn los permisos asignados a los mismos
Cerrar el sistema Cerrar el sistema
Acceder a ese equipo desde la red
Los derechos de una cuenta de usuario de dominio:
Iniciar sesin en el dominio y acceder a cualquier objeto del
mismo segn los permisos asignados
Tema 14. Cuentas de grupo, equipo y usuario 18
Grupos
Un grupoes una coleccin de usuarios, equipos u
otros grupos otros grupos
Los grupos se usan para simplificar la
administracin del acceso de usuarios y equipos a administracin del acceso de usuarios y equipos a
los recursos (directorios, ficheros, impresoras,
etc ) etc.)
Permiten conceder permisos de acceso a varios
i l i ti l d d l usuarios al mismo tiempo, en lugar de concederlos
usuario a usuario
Tema 14. Cuentas de grupo, equipo y usuario 19
Grupos (ii) Grupos (ii)
Permisos asignados una vez
paracadacuentadeusuario
Permisos asignados una
vezparaungrupo
En lugar de En lugar de En lugar de En lugar de
Grupo
para cada cuenta de usuario vez para un grupo
Permisos
Usuario
Permisos
Permisos
Usuario
Permisos
Usuario
Los miembros de un grupo tienen los mismos derechos y permisos
concedidosal grupo concedidos al grupo
Los usuarios pueden pertenecer a varios grupos
Losgruposylascuentasdeequipostambinpuedenpertenecer aun
Tema 14. Cuentas de grupo, equipo y usuario 20
Los grupos y las cuentas de equipos tambin pueden pertenecer a un
grupo
G (iii) Grupos (iii)
L f i d f dif i Los grupos funcionan de forma diferente en un equipo
local que en un dominio
Grupos en un equipo local llamados gruposlocales Grupos en un equipo local, llamados grupos locales
Se crean en equipos que son estaciones de trabajo independientes o
servidores miembro, pero NO en controladores de dominio
R id SAM(S A M ) Residen en SAM (Security Accounts Manager)
Se usan para otorgar permisos a recursos y otorgar derechos para
las tareas del sistema en el equipo local
Grupos en un dominio:
Se crean nicamente en controladores de dominio
R id l i i d di t i A ti Di t Residen en el servicio de directorio Active Directory
Se usan para otorgar permisos a recursos y otorgar derechos para
tareas del sistema en cualquier equipo del dominio
Tema 14. Cuentas de grupo, equipo y usuario 21
Grupos(iv) G upos( v)
Grupo local
Creados en equipos que no
son controladores de
dominio
Residen en SAM
S id
SAM SAM
Se utilizan para controlar el
acceso a recursos del
equipo
Equipo
cliente
Servidor
miembro
SAM SAM
Dominio
Creadosencontroladores
q p
Creados en controladores
de dominio
Residen en Active Directoryy
Se utilizan para controlar
los recursos del dominio
Controlador
Tema 14. Cuentas de grupo, equipo y usuario 22
Controlador
de dominio
Grupos locales Grupos locales
LL
PP
AA
Aadir Asignar
Windows
LL
Aadir
PP
AA
LL
Aadir Asignar
Asignar
Grupo de trabajo
Windows
PP
AA
PP
AA
Windows
LL
PP
AA
Aadir
Windows
Asignar
Windows
PP
AA
AA
=
PP
=
LL
=
Tema 14. Cuentas de grupo, equipo y usuario 23
Cuentas de usuario Permisos Grupo local
Grupos (v)
Tipos de grupos de dominio
Grupos de seguridad: Grupos de seguridad:
Pueden tener descriptores de seguridad asociados
Permiten asignar permisos para el acceso a los recursos
compartidos en el dominio compartidos en el dominio
Su finalidad es controlar quin puede usar qu recursos
Tambin pueden ser usados para enviar mensajes de
correo
Grupos de distribucin:
Se usan para listas de distribucin de correo electrnico Se usan para listas de distribucin de correo electrnico
A estos grupos no se les puede asignar permisos para el
acceso a los recursos
Tema 14. Cuentas de grupo, equipo y usuario 24
Grupos (vi) Grupos (vi)
mbito de grupos de seguridad de dominio
El mbito de un grupo determina dnde se usar ese grupo, y afecta
a la pertenencia del grupo y al anidamiento de grupos (agrupar grupos como
miembros de otros grupos)
Grupos de mbito local de dominio (grupos locales de dominio): se
usan para garantizar permisos a recursos de dominio situados en el
mismo dominio
Estn pensados para ayudar a administrar el acceso a los recursos,
tales como impresoras y carpetas compartidas
El recurso no tiene por qu residir en un controlador de dominio, p q
puede estar en un servidor miembro
Slo se les pueden asignar permisos en el mismo dominio
Pueden tener como miembros cuentas de usuario, grupos globales y uede e e co o e b os cue s de usu o, g upos g ob es y
universales de cualquier dominio y grupos locales de su mismo
dominio
Se pueden agregar a otros grupos locales de dominio
Tema 14. Cuentas de grupo, equipo y usuario 25
p g g g p
G ( ii) Grupos (vii)
mbito de grupos de dominio: (contina...)
Grupos de mbito global (grupos globales): se usan
i bj d l d i i para otorgar permisos a objetos del dominio
Estn pensados para administrar cuentas de usuario y grupo en
el dominio particular p
Se incluyen en un grupo de dominio local para acceder a sus
recursos
Tienen una pertenencia limitada slo pueden tener como Tienen una pertenencia limitada, slo pueden tener como
miembros cuentas y grupos globales del mismo dominio
Pueden anidarse dentro de otros grupos, e.d., pueden ser
miembro de otro grupo global del mismo dominio a grupos miembro de otro grupo global del mismo dominio, a grupos
locales de dominio y a grupos universales del mismo y otro
dominio
Tema 14. Cuentas de grupo, equipo y usuario 26
Grupos (viii) Grupos (viii)
mbito de grupos de dominio: (contina...) g p ( )
Grupos de mbito universal (grupos universales): se
usan para otorgar permisos a gran escala en el rbol de
d i i l b dominio o en el bosque
Usados para conceder permisos de acceso a recursos situados en
cualquier dominio
Pensados para consolidar grupos que abarcan varios dominios.
Normalmente se agregan grupos globales como miembros
Tienen pertenencia abierta, pueden tener como miembros cualquier p p q
cuenta de usuario del dominio, grupos globales y universales de
cualquier dominio
Pueden ser miembro de cualquier grupo de dominio local o universal
en cualquier dominio
No estn disponibles cuando el dominio funciona en modo mixto (compatibilidad con WNT)
Tema 14. Cuentas de grupo, equipo y usuario 27
Grupos (ix) Grupos (ix)
Ejemplo de mbito de grupos de dominio:
Grupo local de dominio impresora_color que tiene permisos
para imprimir en la impresora LaserColor
Grupo global de dominio profesoresASO Grupo global de dominio profesoresASO
A ese grupo pertenecen los usuarios que son profesores de la asignatura
ASO: Pilar, Eduardo, Juanjo (pero no el resto de profesores)
Ese grupo de usuarios puede imprimir en la impresora LaserColor Ese grupo de usuarios puede imprimir en la impresora LaserColor
El grupo profesoresASO se hace miembro de impresora_color para
darle permisos sobre la impresora, y que puedan imprimir
G i l T d i Grupo universal Todosusuimpresora
Se hacen miembros los grupos globales aso.es\alumnos y
etc.es\alumnos (aso.esy etc.esson dos dominios del mismo bosque)
El grupo Todosusuimpresora se hace miembro del grupo local
impresora_color
Al asignar permisos al grupo universal se dan a todos sus miembros
Tema 14. Cuentas de grupo, equipo y usuario 28
g p g p
Tipos y mbitos de los grupos de dominio p y g p
Tipos de grupo Tipos de grupo
Seusanparaasignar permisos
Grupos de
seguridad
Se usan para asignar permisos
Se pueden usar como listas de distribucin
de correo electrnico
N d tili i i
Grupos de
distribucin
No se puede utilizar para asignar permisos
Se pueden usar como listas de distribucin
de correo electrnico
mbitos de mbitos de grupo de seguridad grupo de seguridad
Seutilizaparaorganizar usuarioscon
Grupo global
Se utiliza para organizar usuarios con
necesidades similares de acceso a la red
Grupo local de
d i i
Se usa para asignar permisos a recursos
d d i i dominio de dominios
Grupo universal
Se utiliza para asignar permisos a recursos
relacionados en varios dominios
Tema 14. Cuentas de grupo, equipo y usuario 29
Grupos en un nico dominio G upos e u co do o
Estrategia A G DL P
AA
Estrategia A G DL P
para grupos
de un dominio
GG
Cuentas de
usuario
Agregar
usuario
Agregar
Grupo global
DL DL
PP
Grupo local de
Asignar
Tema 14. Cuentas de grupo, equipo y usuario 30
dominio
Grupos (x) Grupos (x)
Creacin de un grupo de dominio g p
Herramienta Usuarios y equipos del AD, en la Unidad
organizativa, seleccionar Nuevo y despus Grupo
Es necesario seleccionar
Nombre del grupo (no se distingue entre maysculas y minsculas)
mbito de grupo: Dominio Local, Global o Universal
Tipo de grupo: Seguridad o Distribucin
Creacin de un grupo local
Herramienta Usuarios y grupos locales: en Grupos y y g p p y
seleccione Nuevo grupo
Nombre del grupo y una descripcin del mismo
Tema 14. Cuentas de grupo, equipo y usuario 31
Grupos (xi)
Pertenencia a un grupo por defecto
Por defecto hay establecidas una serie de pertenencias Por defecto hay establecidas una serie de pertenencias
En un dominio
Todos los usuarios de dominio son miembros del grupo
Usuarios de dominio y ese es su grupo principal
Todos los equipos (servidores miembro) del dominio son
miembros de Equipos de dominio y ese es su grupo principal
Todos los controladores de dominio son miembros de
Controladores de dominio y ese es su grupo principal
Para sistemas con grupos locales Para sistemas con grupos locales
Todos los usuarios son miembros del grupo Usuarios
Tema 14. Cuentas de grupo, equipo y usuario 32
Grupos (xii) Grupos (xii)
Pertenencia a un grupo Pertenencia a un grupo
Pertenencia individual:
En el usuario, grupo o equipo (slo para AD) que quiere En el usuario, grupo o equipo (slo para AD) que quiere
modificar y en Propiedades seleccione la ficha Miembro de
Seleccione Agregar para abrir el cuadro de dilogo Seleccionar
j l l grupos, escoja en l los nuevos grupos
Tambin puede eliminar la cuenta de un grupo con Quitar
Administracin de varias pertenencias: Administracin de varias pertenencias:
En el Propiedades del grupo, seleccione la ficha Miembros
Seleccione Agregar y escoja usuarios, equipos y grupos que
sern miembros del grupo
Tambin puede eliminar la cuenta de un grupo con Quitar
Tema 14. Cuentas de grupo, equipo y usuario 33
Cuentas de grupo predeterminadas
Existen dos tipos de cuentas de predeterminadas:
Integradas: cuentas de grupos que se instalan con el SO Integradas: cuentas de grupos que se instalan con el SO,
aplicaciones y servicios
Implcitas: grupos especiales creados implcitamente que se
usan para asignar permisos en ciertas situaciones; tambin
son llamadas identidades especiales
A los grupos predeterminados se les asigna A los grupos predeterminados se les asigna
automticamente un conjunto de derechos que autoriza a
los miembros del grupo a realizar acciones especficas,
li i d id d di / d i i t p.e., realizar una copia de seguridad, aadir/administrar
impresoras, etc.
Tema 14. Cuentas de grupo, equipo y usuario 34
Cuentas predeterminadas (ii)
Grupos de dominio integrados
Usuarios de dominio: Se agrega automticamente al grupo local
de dominio Usuarios. Todos los usuarios son miembros del mismo
Administradores de dominio: Se agrega automticamente al Administradores de dominio: Se agrega automticamente al
grupo local de dominio Administradores. Permite a los miembros
del grupo realizar tareas administrativas
I it d d d i i S t ti t l l l Invitados de dominio: Se agrega automticamente al grupo local
de dominio Invitados
Administracin de empresas: Diseado para usuarios que
necesitan tener control administrativo sobre el dominio. Se agrega
automticamente al grupo local de dominio Administradores
Tema 14. Cuentas de grupo, equipo y usuario 35
C d i d (iii) Cuentas predeterminadas (iii)
Grupos locales integrados
Usuarios: Pueden realizar tareas para las que hayamos concedido
derechos. No pueden modificar la configuracin del sistema operativo
ni los datos de otros usuarios ni los datos de otros usuarios
Usuarios avanzados Los miembros de este grupo pueden realizar
tareas administrativas, excepto algunas reservadas al grupo
Administradores. Pueden, iniciar/detener servicios, instalar programas,
administrar las cuentas o personalizar los recursos del sistema administrar las cuentas, o personalizar los recursos del sistema
(impresoras, fecha, )
Administradores: Realizar todas las tareas administrativas en el
equipo
O i i d li i d Operadores de copias de seguridad: Pueden realizar copias de
seguridad y restaurar todos los controladores de dominio usando la
herramienta Copias de seguridad de Windows
Operadores de impresin: Pueden configurar y administrar p p g y
impresoras de red que existen en los controladores de dominio
Tema 14. Cuentas de grupo, equipo y usuario 36
Cuentas predeterminadas (iv)
Cuentas implcitas
Identidad Todos: Todos los usuarios interactivos, de red, de acceso
telefnico y autenticados son miembros del grupo Todos. Este grupo se telefnico y autenticados son miembros del grupo Todos. Este grupo se
usa para dar un acceso amplio a los recursos del sistema
Identidad Usuarios autenticados: Todos los usuarios que estn
autenticados (no pertenecen ni usuarios ni invitados annimos)
Id tid d P i t i d L l hi Identidad Propietario creador: La persona que cre el archivo o
directorio es miembro de este grupo. Se usa para garantizar
automticamente los permisos de acceso al creador del mismo
Identidad Interactiva: Cualquier usuario que haya iniciado la sesin en el q q y
equipo local
Identidad de Red: Se concede a cualquier usuario que accede al sistema a
travs de la red
Id tid d Si t El i SO Wi d ti t id tid d Identidad Sistema: El propio SO Windows tiene esta identidad que se
utiliza cuando necesita realizar funciones a nivel de sistema
Tema 14. Cuentas de grupo, equipo y usuario 37
fil Perfiles
El perfil de usuariocontiene todos los valores que puede
definir el usuario para su entorno de trabajo en un equipo,
incluyendo la configuracin del escritorio el ratn el incluyendo la configuracin del escritorio, el ratn, el
men de opciones, la configuracin regional y de sonido,
adems de las conexiones de red y de las impresoras
Un perfil de usuario concede por tanto al usuario un Un perfil de usuario concede, por tanto, al usuario un
conjunto predefinido de configuraciones del S.O.
Windows requiere un perfil de usuario para cada cuenta de
usuario que tenga acceso al sistema
Cada usuario tendr su configuracin especfica
Los perfiles de usuario crean y mantienen automticamente Los perfiles de usuario crean y mantienen automticamente
la configuracin de escritorio del entorno de trabajo de
cada usuario
Tema 14. Cuentas de grupo, equipo y usuario 38
P fil (ii) Perfiles (ii)
La primera vez que inicia la sesin un usuario se crea su perfil de
usuario de la siguiente forma:
Se crea la carpeta para almacenar el perfil
i i l id d l ( ) A continuacin, el contenido de la carpeta Default (W08) Default User
(W. anteriores) se copia en la nueva carpeta de perfil de usuario
El escritorio final del usuario (el que ve al conectarse) se crea usando el perfil
creado para l y las configuraciones de los grupos de programas creado para l y las configuraciones de los grupos de programas
comunes de la carpeta Acceso Pblico (W08) All Users(W. anteriores)
Cuando el usuario termina la sesin, todos los cambios realizados
durante la sesin sobre la configuracin predeterminada se guardan en du e ses sob e co gu c p ede e d se gu d e
su perfil de usuario. (El perfil por defecto no se modifica)
Perfil de usuario predeterminado (Default User):
Sirve como base para todos los dems perfiles de usuario Sirve como base para todos los dems perfiles de usuario
Cada perfil comienza como una copia de perfil de usuario
predeterminado
Tema 14. Cuentas de grupo, equipo y usuario 39
Perfiles (iii) ( )
Hay tres tipos de perfiles
P fil d i l l Perfil de usuario local:
La primera vez que un usuario inicia sesin en un equipo se crea
un perfil para l y se guarda en el disco duro del equipo
Los cambios realizados en este perfil son especficos del equipo
en el que se hicieron esos cambios
Es referente al equipo local y no es compartido por los equipos
d l d ( l i d fil l l d i l b j ) de la red (el usuario tendr un perfil local en cada equipo en el que trabaje)
Al cerrar la sesin, se actualiza el perfil con los cambios
Se mantienen en un directorio predeterminado o en una
l li i i di d R t P fil (P i d d d l i ) localizacin indicada en Ruta Perfil (Propiedades del usuario)
Directorios:
%SystemDrive%\Users\%UserName%\ntuser.dat
c:\Users\pilar\ntuser.dat
%SystemDrive%\Usuarios\%UserName%\ntuser.dat
%SystemDrive%\Documents and Settings \%UserName%\ntuser.dat
Tema 14. Cuentas de grupo, equipo y usuario 40
%SystemDrive%\Documents and Settings \%UserName%\ntuser.dat
Perfiles (iv) ( )
Hay tres tipos de perfiles
Perfil de usuario mvil:
En un dominio, se puede guardar el perfil de usuario en un
servidor, perfil mvil, para que el usuario tenga el mismo perfil p f p q g p
en cualquier equipo
Perfil de usuario que se descarga desde el servidor de perfiles
al equipo local cuando un usuario inicia una sesin. Se
t li l id d l i i l i actualiza en el servidor cuando el usuario cierra la sesin
Este perfil es fijado por el administrador y se almacena en el
servidor. (Se crea la primera vez que un usuario inicia una sesin)
L i d i l i fil Los usuarios accedern siempre al mismo perfil con
independencia del equipo del dominio que estn utilizando
Los cambios se guardan en el servidor al acabar la sesin
Si por algn problema el perfil m il del s ario no est disponible Si por algn problema, el perfil mvil del usuario no est disponible,
se crea y usa un perfil de usuario en el equipo local
Si no se asigna perfil mvil al usuario, el usuario tendr un perfil en
cada equipo del dominio en el que trabaje
Tema 14. Cuentas de grupo, equipo y usuario 41
q p q j
Perfiles (v)
Hay tres tipos de perfiles (contina )
Perfil de usuario obligatorio: Perfil de usuario obligatorio:
Es un perfil mvil que es obligatorio o est impuesto, de
forma que no se guardarn los cambios que el usuario realice
l i en el mismo
Lo crea el administrador para especificar una configuracin
determinada a aplicar a un usuario concreto o a varios
El usuario puede realizar cambios mientras tiene la sesin
iniciada, pero dichos cambios se perdern al cerrar la sesin
porque no se guardan
Slo los administradores de sistemas podran realizar cambios
sobre los mismos
Tema 14. Cuentas de grupo, equipo y usuario 42
Tipos de perfiles de usuario
Perfil de usuario predeterminado
Sirve de base para todos los
perfilesdeusuario
p p
Pantalla
perfiles de usuario
Perfil de usuario local
Se crea la primera vez que un
usuario inicia sesin en un equipo
S l l di d
Perfil de
usuario
Perfil de
usuario
Configuracin Configuracin
regional Modificar Modificar Guardar Guardar
Se almacena en el disco duro
local del equipo
usuario usuario
Mouse
Sonido
P fil ild i
Perfil Perfil
Cliente
Wi d
Perfil mvil de usuario
Creado por el
Administrador del sistema
Almacenado en un
servidor
Windows
Cliente
Pantalla
servidor
Perfil de usuario obligatorio
Creado por el
Administrador del sistema
Windows
Cliente Servidor
fil
Configuracin
regional
Mouse
Tema 14. Cuentas de grupo, equipo y usuario 43
Almacenado en un
servidor
Windows
perfil
Sonido
Ad i i i d fil Administracin de perfiles
C i d fil il Creacin de perfiles mviles:
Compartir el directorio donde van a residir los perfiles de usuario,
asegurndose que el grupo Todos tiene acceso al mismo
P.e., en el servidor de perfiles compartir c:\perfiles\
Crear el directorio vaco en el que se guardar el perfil del usuario.
El usuario ha de tener el permiso Control total sobre el directorio p
P.e., en el servidor de perfiles crear c:\perfiles\Pilar
Desde Usuarios y equipos del AD, para el usuario, en su cuadro de
Propiedades en la ficha Perfil indique la ruta deacceso al perfil, Propiedades en la ficha Perfil indique la ruta deacceso al perfil,
con el servidor y el directorio compartido:
P.e., \\servidor_de_perfiles\perfiles\Pilar
El perfil mvil se almacenar en el fichero ntuser dat El perfil mvil se almacenar en el fichero ntuser.dat
La prxima vez que el usuario inicie una sesin se crear el perfil
del usuario y se guardar al cerrar la sesin en ese directorio
Tema 14. Cuentas de grupo, equipo y usuario 44
Administracin de perfiles (ii)
Creacin de perfiles obligatorios:
Hay que crear un perfil mvil (como se ha indicado anteriormente) y q p
A continuacin, el perfil obligatorio se crea cambiando
de nombre el fichero ntuser.dat a ntuser.man
Administrar perfiles locales Administrar perfiles locales
Desde la utilidad Sistema (en el Panel de control) en la
opcin Perfiles de usuario (est en la ficha Opciones Avanzadas) p f ( p )
podr ver la informacin de los perfiles guardados en el
sistema: nombre, tamao, tipo (local o mvil) y ltima
modificacin
Se pueden copiar, cambiar el tipo (si fuese posible) o
eliminar
Tema 14. Cuentas de grupo, equipo y usuario 45
Cuentas de equipos
Las cuentas de equipo se almacenan en Active Directory y
representan un equipo concreto de la red
Cada equipo del dominio sea servidor miembro o controlador de Cada equipo del dominio, sea servidor miembro o controlador de
dominio, tiene una cuenta de equipo
Sirve para auditar las tareas que se realizan desde ese equipo, para
t i t i i t l l l d otorgar permisos y restricciones o para controlar el acceso a la red
y a los recursos
Permiten realizar administracin remota
A los equipos con W95 y W98 no se les asignan cuentas de equipo
porque no tienen las caractersticas de seguridad necesarias
Se pueden agregar cuentas de equipo a cualquier unidad p g g q p q
organizativa, pero las mejores son Equipos o Controladores de
dominio o bien una unidad organizativa creada dentro de ellas
Tema 14. Cuentas de grupo, equipo y usuario 46
Cuentas de equipos (ii)
Creacin de cuentas de equipo
Automticamente: al unirse un equipo a un dominio, se q p ,
crea de forma automtica la cuenta de equipo y se ubica en
el contenedor Equipos (si es un servidor miembro) o en
Controladores de dominio (si es un controlador de dominio) Controladores de dominio (si es un controlador de dominio)
Se pueden editar las propiedades de una cuenta de equipo,
aadiendo informacin sobre el SO, los grupos a los que
pertenece, por quin est administrado, etc.
Las cuentas de equipo pueden ser eliminadas,
deshabilitadas y habilitadas moverlas a una unidad deshabilitadas y habilitadas, moverlas a una unidad
organizativa distinta, etc.
Tema 14. Cuentas de grupo, equipo y usuario 47