Una
cuenta de usuario permite que un
usuario inicie sesiones en equipos o dominios con una identidad que se puede
autentificar y autorizar para tener acceso a los recursos del dominio. Cada
usuario que se conecta a la red debe tener su propia cuenta de usuario y su
propia contraseña única. Por tanto, una cuenta de usuario se utiliza para:
o
Autentificar la identidad del usuario.
o
Autorizar o denegar el acceso a los
recursos del dominio.
o
Administrar otros principales de
seguridad.
o
Auditar las acciones realizadas con la
cuenta de usuario
En
Windows Server 2012, los usuarios pueden ser de 2 tipos:
o
Usuarios
Locales: Estas cuentas se crean y guardan en equipos que no son
controladores de dominio y, por tanto, no pueden usarse para conectarse a
ningún dominio.
o
Usuarios
globales o usuarios del dominio: son utilizadas para conectarse a los dominios en que están
creadas y a otros dominios en los que confía.
La
cuenta de usuario del Administrador
que le permite administrar el equipo en el que se creó. Esta cuenta puede ser
renombrada o deshabilitada pero no puede ser borrada ni quitada del grupo local
de Administradores.
La
cuenta de usuario del Invitado.
Normalmente, esta cuenta está deshabilitada, pero puede habilitarse si desea que
alguien se conecte al equipo o dominio con ella.
Para
crear un usuario local, nos debemos
dirigir al administrador del servidor
y en la parte izquierda, desplegamos Usuarios
y grupos locales y encontraremos el contenido de los usuarios e grupos.
Debemos
indicar el nombre que deseemos dar al usuario para conectarse, con un máximo de
20 caracteres y con un máximo de 127 caracteres para la contraseña.
Un
usuario global o usuario del dominio es una cuenta a la
que se puede conceder permisos y derechos para el dominio en el que se está
creando dicha cuenta.
Se
crean en los Servicios de dominio del
Directorio Activo y se guarda en equipos que son controladores de dominio.
Una
vez que hemos creado algún usuario podremos realizar varias operaciones. Por
ejemplo crear un perfil de usuario.
Cada
usuario puede tener un perfil que está asociado a su nombre de usuario y que se
guarda en la estación de trabajo, y aquellos usuarios que acceden a varias estaciones
pueden tener un perfil en cada una de ellas. Este perfil se denomina perfil local porque solo es accesible
desde la estación en que está creado.
Además,
existe un perfil temporal que se crea
cuando se produce un error en la carga del perfil del usuario. Este se elimina
al final de la sesión y no se almacenan los cambios realizados por el usuario
en la configuración del escritorio y los archivos.
Los
usuarios que se conectan a un servidor Windows Server 2012 pueden tener también
perfiles en dicho servidor. De esta manera, se puede acceder al perfil independientemente
de la estación en que se esté conectado. Este perfil se denomina perfil de red porque se puede acceder a
él desde cualquier estación de la red.
v Perfil móvil.
Este tipo de perfil es asignado a cada usuario por los administradores pero
puede ser modificado por el usuario y los cambios permanecerán después de
finalizar la conexión.
v Perfil obligatorio.
Este tipo de perfil es igual que el perfil móvil pero asegura que los usuarios
trabajen en un entorno común. Por tanto, puede ser modificado por el usuario
pero los cambios realizados se pierden al finalizar la conexión. Solo pueden
ser modificados y guardados sus cambios por los administradores.
v Perfil súper-obligatorio.
Este tipo de perfil es igual que el obligatorio pero con un nivel superior de
seguridad. Cuando el usuario se conecta al servidor, si no se puede cargar este
perfil, no se le permitirá conectarse, es decir, no se le cargará el perfil
temporal.
Todos
los perfiles en Windows Server 2012 se guardan por defecto en \Usuarios\<nombre de usuario>.
Otros
tipos de operaciones que podemos hacer con un usuario son las siguientes:
Un
script de inicio de sesión un
archivo de proceso de lotes que se ejecuta automáticamente cuando el usuario
inicia una sesión de red. Estos archivos tienen que tener BAT como extensión, aunque también se puede utilizar cualquier
programa ejecutable.
La
ruta de acceso local indica el
directorio local privado de cada usuario donde puede almacenar sus archivos y
programas. Así mismo, es el directorio predeterminado que se utilizará en el símbolo
del sistema y en todas las aplicaciones que no tienen definido un directorio de
trabajo.
Conectar a una unidad de red,
para ello indicamos la letra deseada que estará conectada al directorio de red,
es decir, un directorio compartido, privado de cada usuario, donde puede
almacenar sus archivos y programas. Así mismo, es el directorio predeterminado
que se utilizará en el Símbolo del sistema y en todas las aplicaciones que no
tienen definido un directorio de trabajo. Debemos crearlo antes de
especificar su ruta y su utilización es incompatible con ruta de acceso local.
Más
adelante explicaremos el proceso de creación de estas operaciones.
Las
cuentas de grupo representan, como
su propio nombre indica, a un grupo y se denominan principales de seguridad dentro del Directorio Activo, ya que son
objetos del directorio a los que se asignan automáticamente identificadores de
seguridad. En Windows Server 2012 se pueden dar dos tipos de grupos:
v Los
grupos de seguridad. Este tipo se
muestra en las listas de control de acceso discrecional (DACL), que constituyen
el lugar donde están definidos los permisos sobre los recursos y los objetos.
Los grupos de seguridad se utilizan para asignar derechos y permisos y,
también, como entidades de correo electrónico. De esta manera, al enviar un
mensaje de correo electrónico al grupo, el mensaje se envía a todos sus
miembros.
v Los
grupos de distribución. En este tipo
no es posible habilitar la seguridad, ya que no aparecen en las listas de
control de acceso discrecional (DACL). Los grupos de distribución solo se
pueden utilizar con aplicaciones de correo electrónico (como Microsoft
Exchangé) para enviar correo electrónico a los grupos de usuarios y no para
asignar derechos ni permisos.
Un
grupo de seguridad puede convertirse en grupo de distribución (y viceversa) en
cualquier momento.
Cada
grupo de seguridad o de distribución tiene un ámbito que identifica el alcance
de aplicación del grupo. Se clasifican en cuatro tipos en función de su ámbito de
aplicación:
v Grupos de ámbito universal.
Este tipo de grupos, que únicamente se pueden crear en servidores que tengan
instalado el Directorio Activo, puede tener como miembros a otros grupos
universales, grupos globales y cuentas de cualquier dominio y se les pueden
conceder permisos en cualquier dominio. También se les denomina grupos
universales.
v Grupos de ámbito global.
Este tipo de grupos, que solo puede crearse en servidores que tengan instalado
el Directorio Activo, puede tener como miembros a grupos globales y cuentas
únicamente del dominio en el que se ha definido el grupo, y se le puede
conceder permisos en cualquier dominio. También se les denomina grupos
globales.
v Grupos de ámbito local de dominio.
Este tipo de grupos (que únicamente pueden crearse en servidores que tengan
instalado el Directorio Activo) puede tener como miembros a grupos universales,
grupos globales, grupos locales de su propio dominio y cuentas de cualquier
dominio, y solo se pueden utilizar para conceder permisos en el dominio que
contiene el grupo. También se les denomina grupos de dominio local o integrado
local.
v Grupos locales.
Estos grupos únicamente pueden crearse en equipos que no tienen instalado el
Directorio Activo. Pueden tener como miembros a cuentas locales del equipo en
el que se crean y, si el equipo forma parte de un dominio, podrán tener también
cuentas y grupos del propio dominio y de los dominios de confianza, y se pueden
utilizar para conceder permisos en el equipo en el que se crea el grupo.
El
funcionamiento de Active Directory se basa en los objetos. Usuarios, equipos,
recursos compartidos y muchas otras entidades están definidas como tales. Los
controles de acceso se aplican a estos objetos mediante descriptores de
seguridad. Estos descriptores sirven para:
v Mostrar
a qué objetos tienen acceso los usuarios y los grupos,
v Especificar
los permisos asignados a usuarios y grupos.
v Hacer
el seguimiento de los eventos de objetos que deban auditarse.
v Definir
las propiedades de los objetos.
Los
objetos de Active Directory pueden heredar las ACE (Entradas de control de
acceso) de sus objetos padre. Esto significa que los permisos de un objeto
padre se aplican a un objeto hijo. Por ejemplo, todos los miembros del grupo de
administradores de dominio heredan los permisos que tiene ese grupo.
Cuando
trabaje con las ACE, debe tener en cuenta que:
v La
herencia está habilitada por defecto.
v La
herencia entra en vigor justo después de escribirlas.
v Todas
contienen información que indica si el permiso se ha heredado o se ha asignado
directamente al objeto correspondiente.
Todas
las cuentas de usuario se identifican con un nombre de inicio de sesión. En Windows
Server se componen de dos partes:
v Nombre
de usuario
v Dominio
o grupo de trabajo de usuario
Para
el usuario wrstanek, cuya cuenta se ha creado en el dominio cpandl.com, el nombre
completo de inicio de sesión es wrstanek@cpandl.com
Si
trabajamos con Active Directory puede que también necesitemos indicar el FQDN (Nombre
de dominio completo) de un usuario. El FQDN de un usuario es la .com binación
del nombre de dominio DNS, el contenedor o unidad organizativa que contiene al
usuario y el nombre del usuario. Para el usuario cpandl.com\users\wrstanek, cpandl.com
es el nombre de dominio DNS, users es el contenedor o unidad organizativa y
wrstanek el nombre de usuario.
Aunque
Windows Server muestra los nombres de usuario para describir privilegios y
permisos, los identificadores más importantes en el caso de las cuentas son los
SID (Identificadores de seguridad). Los SID son identificadores únicos que se
generan al crear las cuentas. Cada SID de cuenta consiste en el SID del dominio
seguido de un identificador relativo único generado por el maestro RID.
SID
sirven para muchas cosas, entre ellas, para
permitir cambiar los nombres de usuario fácilmente y eliminar cuentas
sin tener que preocuparse de si alguien quiere acceder a los recursos utilizando
una cuenta con el mismo nombre.
Dentro
de Active Directory, los grupos pueden tener varios ámbitos: local de dominio,
local integrado, global y universal. Es decir, los grupos pueden ser válidos en
distintas áreas:
Grupos
locales de dominio: Se utilizan principalmente para la asignación de permisos de
acceso a recursos dentro de un único dominio. Pueden incluir miembros de cualquier
dominio del bosque y de dominios con los que haya relación de confianza, aunque
pertenezcan a otros bosques. Por lo general, los grupos global y universal son
miembros de grupos locales de dominio.
v Grupos locales integrados:
Tienen un ámbito especial de grupo con permisos de ámbito local de dominio que,
por simplicidad, se suelen incluir en el término "grupos local de
dominio". La diferencia entre estos grupos y otros estriba en que no se
pueden ni crear ni eliminar, sólo es posible modificarlos. Las referencias
aplicables a los grupos locales de dominio también se aplican a estos grupos a
no ser que se diga lo contrario.
v Grupos globales:
Utilizados principalmente para definir conjuntos de usuarios o equipos en el
mismo dominio que comparten una función o trabajo similar. Los miembros de los
grupos globales sólo pueden ser cuentas y grupos del dominio en el que están
definidos.
v Grupos universales:
Utilizados principalmente para definir conjuntos de usuarios o equipos que
deberían tener permisos aplicables a todo un dominio o bosque. Entre los
miembros de estos grupos están cuentas, grupos globales y otros grupos
universales de cualquier dominio dentro del árbol o bosque de dominios.
Disponer
de grupos de dominio locales, globales y universales ofrece muchas opciones para
la configuración de grupos en una organización. La mejor manera de utilizar los
grupos de dominio locales, globales y universales es:
v Grupos locales de dominio:
Son los que menos posibilidades ofrecen. Utilícelos para administrar el acceso
a los recursos como por, ejemplo, impresoras o carpetas compartidas.
v Grupos globales:
Utilícelos para administrar cuentas de usuario y de equipo de un dominio en
concreto. Entonces, para conceder permiso de acceso a un recurso, sólo tendrá
que hacer miembro del grupo local de dominio al grupo con ámbito global.
v Grupos universales:
Son los que más posibilidades ofrecen. Se utilizan para consolidar grupos que
se extienden por varios dominios. Normalmente, esto se consigue añadiendo
grupos globales como miembros. Entonces, cuando cambie la pertenencia de los
grupos globales, los cambios no se replicarán a todos los catálogos globales,
ya que la pertenencia del grupo universal no habrá cambiado.
Un
administrador es alguien con un acceso amplio a los recursos de red. Los
administradores pueden crear cuentas, modificar derechos de usuario, instalar
impresoras, administrar recursos compartidos y mucho más. Los grupos de
administrador más importantes son Administradores, Administradores del dominio
y Administradores de empresas. En la siguiente tabla se comparan estos grupos.
La
unidades organizativas son
utilizadas para organizar la información, básicamente, un contenedor lógico,
pero no nos servirá de nada si tras crearlo queda vacío, a pesar de que le
asociemos directivas de grupo. En una OU es posible introducir prácticamente
cualquier tipo de objeto, si exceptuamos los propios dominios, incluidas otras
OU.
Si
hacemos clic con el botón secundario del ratón sobre cualquiera de las unidades
organizativas creadas previamente, para abrir el menú contextual
correspondiente, y elija la opción Nuevo. Veremos una lista de los tipos de objetos que podemos
crear en el interior de la OU:
v Equipos
v Contactos
v Grupos
v Usuarios
v Carpetas
compartidas
v Impresoras
v Unidades
organizativas
v Alias
de la cola de MSMQ
v InetOrgPerson
Cada
tipo de objeto cuenta con su propio cuadro de diálogo para la creación,
solicitando siempre los datos básicos que, con posterioridad, pueden ampliarse accediendo
a la ventana de propiedades correspondiente.
