Configuración de cuentas de grupo, equipos y usuarios

Slides:



Advertisements
Presentaciones similares
Creación y administración de cuentas de usuario locales
Advertisements

Creación y administración de grupos de dominio.  Descripción general Introducción a los grupos de Windows 2000 Tipos y ámbitos de los grupos Grupos integrados.
Cuentas de usuarios y grupos en windows 2008 server
Creación y administración de cuentas de usuario de dominio
Configuración de cuentas de
Gestión de sistemas operativos de red
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Hacer clic para comenzar. Reunión Especializada de Organismos Gubernamentales de Control Interno del Mercosur Foro Un espacio para el diálogo.
Exposición Dreamweaver Integrantes: Piero Alvarez Andrea Deleg Cristian Rodriguez Milena Gomez Jhoni Leon.
Administración del software base Archivos sin conexión (Ref. MCTS Examen )
Administración de software base Los usuarios. Usuario ● Necesitamos usuarios para: ● Autenticar ● Control de acceso a los recursos ● Administrar privilegios.
TEMA 11 Active Directory Msc. Rina Arauz. Índice 1. Conceptos y organización de Active Directory 2. Algunas características de Active Directory 3. Directivas.
Configuración de DNS, DHCP e IIS Conferencia 12. Sumario: Instalación del servicio DNS. Agregar y autorizar un servicio Servidor DHCP Internet Information.
¡LOS SERVIDORES DE FTP Y NUBE!
SISTEMAS OPERATIVOS REALIZADO POR: Noelia Hidalgo y Auda López.
Terminal Services Alumno : Juan Noa Saccatoma. ¿Qué es? Es un componente del Sistema Operativo que básicamente me permite dos cosas: Instalar aplicaciones.
Windows Server 2008 Desarrollado por Guillermo Verdugo Bastias.
Computación e Informática Contabilidad Ing. Miguel Ángel Ramos Frías Word 2013.
REGISTRO DE WINDOWS. . El registro del sistema, o registro de Windows, es una base de datos que almacena las configuraciones y opciones del sistema operativo.
Compartir carpetas, Crear Cuotas. Existen varias maneras de compartir carpetas Botón secundario sobre una carpeta, propiedades y en compartir. Botón secundario.
BASE DE DATOS EN LA WEB POR- OSIRYS MARCIAGA JESUS NIETO.
V 14: Nuevos Procedimientos
OUTLOOK 2007.
WINDOWS Elvira Abajo Lera Octubre, 2008.
Servidor de aplicaciones
MANEJO DE TEXTO Y OBJETOS AVANZADOS ENCABEZADOS Y PIES DE PÁGINA
Ram Delta Systems We bring you a better future… Co-Med On Line
TRABAJAR CON PROYECTOS
SERVIDOR ESCUELA LINUX
SEGURIDAD SQL Usuarios, privilegios y perfiles.
Módulo 2: Administrar cuentas de usuario y de equipo
Administrador de dispositivos
Gestión Documental SharePoint 2013
Administración de Sistemas
EL ESCRITORIO El Escritorio es la primera pantalla que nos aparece una vez se haya cargado el Sistema Operativo. La teclas rápidas o atajo para acceder.
Active Directory Guía básica del uso correcto del.
Introducción Presentación multimedia: La estructura de unidades organizativas Modificar los permisos de los objetos de Active Directory Delegar el control.
Novell Netware Autores: Cerrina Maria Josefina, Coto Marcelo,
Introducción a Windows 2008
Johnny Vanderley Montoya Mesa
Conalep plantel Zitácuaro 240
Carpetas y archivos.
Principios básicos del entorno windows
2.5 Seguridad e integridad.
Unidad 4. Administración de usuarios
Configurando mi espacio de trabajo
HERRAMIENTAS BÁSICAS PARA ESTUDIO VIRTUAL
TALLER DE SISTEMAS OPERATIVOS
ADMINISTRACIÓN DE USUARIOS
La replicación es una buena solución al problema de mover datos entre un servidor central y clientes que sólo se conectan en determinadas ocasiones. La.
Ingresar a : Ingresar con usuario y contraseña.
Instalaciones Desatendidas
Características principales de Outlook
DIRECTIVAS DE SEGURIDAD. QUE SON La Configuración de las directivas de seguridad son reglas que los administradores pueden configurar en un equipo o en.
Esquema de Respaldos Locales Esquema de Respaldos Locales APLICACIONES UTILIZADAS ABRIL-2018 Cobian Backup es un programa multitarea que podemos usar para.
HIPERVÍNCULO Escarlet Hernández Casas 1F MATUTINO.
¿Qué es un hipervínculo? . Un hipervínculo es un enlace, normalmente entre dos páginas web de un mismo sitio, pero un enlace también puede apuntar a.
Excel Macros Macros Automáticas.
REDES Video 7.
¿ Qué es Wamp Server? Es un entorno de desarrollo web que nos va a permitir tener nuestro propio servidor o host local (instalado en nuestro ordenador).
“ENTORNO DE TRABAJO DE ACCESS 2010” ACTIVIDAD DE ADQUISICIÓN DEL CONOCIMIENTO GRISEIDY CLARIBEL VELAZQUEZ RUIZ GPO:423.
helppeople Single Sign -On
Que es Word y sus Partes ING. CARLOS ITURIEL DOMINGUEZ VILLAR.
ADMINISTRACIÓN DE USUARIOS Y GRUPOS Linux es un sistema multiusuario, por lo tanto, la tarea de añadir, modificar, eliminar y en general administrar usuarios.
Instalación y configuración de un servidor ftp Accede a tu archivos desde cualquier parte del mundo.
SERVICIOS DE ALMACENAMIENTO EN LA NUBE DE QUE SE TRATA El Almacenamiento en la Nube consiste en guardar archivos en un lugar de Internet. Esos lugares.
Gestión de Recursos compartidos.. Aspectos fundamentales del usó compartido Existen dos maneras de compartir archivos y carpetas: desde el equipo y desde.
Access Este programa permite manipular datos en forma de tablas, realizar cálculos complejos con fórmulas y funciones, incluso dibujar distintos tipos.
INTERNET: Por medio de este icono podrá conectarse a Internet y podrá acceder a la red de redes. 4-PAPELERA DE RECICLAJE: En este icono.
Transcripción de la presentación:

Configuración de cuentas de grupo, equipos y usuarios TEMA 12 Configuración de cuentas de grupo, equipos y usuarios Msc. Rina Arauz

Índice 1. Herramienta Usuarios y equipos de Active Directory 2.    Cuentas de usuario 3.    Los grupos y su configuración 4.    Cuentas predeterminadas de usuarios y grupos 5.    Perfiles de usuario 6.    Administración de perfiles de usuario 7.    Configuración y administración de cuentas de equipos

Herramienta Usuarios y equipos de Active Directory •   Usuarios y equipos del Active Directory es la herramienta de administración más importante de Active Directory. •   Permite manejar todas las tareas relativas a cuentas de usuarios, grupos y equipos, además de administrar las unidades organizativas. •   Inicio / Programas / Herramientas administrativas/ Usuarios y equipos del Active Directory •   Por defecto se trabaja con el dominio al que esté conectado el equipo, accediendo a la información del Active Directory y a los objetos de usuario que estén definidos en el mismo. • También es posible conectarnos a otro controlador de dominio de ese dominio, o de otro dominio.

Herramienta Usuarios y equipos de Active Directory Builtin, Computers, ForeignSecurityPrincipals y Users: son contenedores especiales que sólo puede crear el sistema y dentro de ellas no podemos crear otras Unidades Organizativas ni enlazar Directivas de Grupo (Group Policy Objects). La única Unidad Organizativa creada por omisión es: Domain Controllers. En Builtin y Users están definidos todos los grupos que crea el sistema por omisión, y además la cuenta original de Administrador e Invitado. El contenedor Computers, contendrá todas las cuentas de máquina que creemos desde equipos cliente. El contenedor Domain Controllers, contendrá todas las cuentas de máquina de los Controladores de Dominio.

Cuentas de usuario W2008 ofrece cuatro tipos de cuentas de usuario: Cuentas de usuarios locales Cuentas de usuario de dominio Cuentas de usuario integradas Cuentas de usuario implícitas cuentas de usuario de dominio: aquéllas que se circunscriben al Active Directory. cuentas de usuario locales: se crean para tener acceso al equipo local. Las herramientas presentes en Windows Server para la creación de usuarios y grupos son: Usuarios y equipos de Active Directory y Usuarios y grupos locales; con la primera administraremos las cuentas de un dominio AD y con la segunda administraremos las cuentas de un equipo local. Las cuentas de usuarios que gestiona Active Directory son almacenadas en la base de datos SAM (Security Accounts Manager). El Administrador de cuentas de seguridad (SAM) es una base de datos que almacena las cuentas de usuario y los descriptores de seguridad de los usuarios del equipo local.

– Cuentas de usuarios locales •  Cuentas de usuario definidas en el equipo local, con acceso solamente al equipo local y, por tanto a los recursos del mismo. • Se pueden crear en estaciones de trabajo o en servidores miembros pero NO en controladores de dominio. •  Al usar cuentas locales de un servidor miembro, el usuario no podrán usar los recursos del dominio. – Cuentas de usuario de dominio •  Permiten a un usuario iniciar sesión en el dominio para obtener acceso a los recursos de la red. •  El usuario tendrá acceso en cualquier equipo de la red con una única cuenta y contraseña. •  Estas cuentas de usuario residen en el servicio de directorio AD y se crean definiéndolas en un controlador de dominio. •  En los controladores de dominio sólo puede haber cuentas de este tipo, no se pueden definir cuentas de usuario local. – Cuentas de usuario integradas Permite a un usuario realizar tareas administrativas u obtener acceso temporalmente a los recursos de red. Existen dos cuentas de usuario integradas que no pueden eliminarse: Administrador e Invitado Las cuentas de usuario locales Administrador e Invitado residen en SAM. Las cuentas de usuario integradas de dominio residen en AD. Estas cuentas se crean automáticamente durante la instalación de Windows o la de un dominio del Active Directory. Son cuentas instaladas con el sistema operativo y las aplicaciones o servicios.

– Cuentas de usuario implícitas •  Creadas de forma implícita por el sistema operativo o aplicaciones. No se puede iniciar una sesión con esta cuenta, pero algunos procesos se ejecutan con ella: – Por ejemplo, esta cuenta es la que se usa para ejecutar muchos de los servicios del sistema (los demonios) •  LocalService: acceso al sistema local •  NetworService: acceso al sistema local y en la red •  Otras cuentas son, por ejemplo, las de Internet Information Services o los servicios de terminales.

Cuentas de usuario •   Nombres de inicio de sesión: Todas las cuentas de usuario se identifican con este nombre que tiene 2 partes: – Nombre de usuario – Nombre del dominio o grupo de trabajo al que pertenece la cuenta – P.e., para el usuario rina, cuya cuenta está definida en el dominio aso.ni, tendríamos: rina@aso.ni •   Nombre completo de dominio del usuario: nombre del dominio + unidad organizativa + nombre usuario: – aso.ni\Users\rina – aso.ni\Users\Profesores\AdministracionSO\rina Identificador de seguridad, SID ó Id. de Seguridad – Cada cuenta (de usuario, grupo o equipo) tiene asociado un número único, el identificador de seguridad, que la identifica de forma única y que es generado al crear la cuenta. – Los procesos internos de Windows hacen referencia al SID de las cuentas y no a los nombres de las cuentas. – Cada cuenta tiene un SID diferente – Un SID nunca se reutiliza •   Si se elimina una cuenta, y después se crea una nueva cuenta usando el nombre de cuenta anterior, a la nueva se le asigna un SID distinto. La nueva cuenta NO tendrá los derechos o permisos de la anterior

Creación de cuentas de dominio de usuario: – El SID de una cuenta de dominio está formado por dos partes: •  Prefijo, que actúa como Id. de seguridad del dominio •  Id. relativo único, que alberga el maestro de Id. Relativo – Se utiliza, por ejemplo, para el cifrado de archivos. Si el usuario es borrado, sus ficheros no se pueden descifrar. Creación de cuentas de dominio de usuario: – Herramienta Usuarios y equipos del AD, clic con el botón derecho del ratón en la unidad organizativa donde se quiera añadir la nueva cuenta, seleccionando el menú Nuevo y la opción Usuario. – Configurar los nombres: •   Nombre y apellidos, que se usan para crear el nombre completo •   Nombre completo que es el nombre para mostrar el usuario (no se distingue entre mayúsculas y minúsculas y puede tener 64 caracteres como máximo) •   Nombre de inicio de sesión (no distingue entre mayúsculas y minúsculas y puede tener 20 caracteres como máximo) •   Seleccionar el dominio con el que va a estar asociada la cuenta – Configurar la contraseña y algunas restricciones •   El usuario debe cambiar la contraseña en el siguiente inicio de sesión •   El usuario no puede cambiar la contraseña •   La contraseña nunca caduca •   Cuenta deshabilitada

Configuración de cuentas de usuario: • Creación de cuentas locales de usuario: – Herramienta Administración de equipos, expandir el nodo Herramientas de sistema y abrir Usuarios y grupos locales. Hacer clic con el botón derecho del ratón en Usuarios y seleccionar Nuevo usuario. – Configurar los nombres: (Nombre de usuario, Nombre completo, Descripción) – Configurar la contraseña y algunas restricciones: •  El usuario debe cambiar la contraseña en el siguiente inicio de sesión •  El usuario no puede cambiar la contraseña •   La contraseña nunca caduca •   Cuenta deshabilitada Configuración de cuentas de usuario: Propiedades, general: Información de contacto del usuario: nombre, iniciales, apellidos, nombre para mostrar, descripción, oficina, nº de tlf, e-mail y página Web Propiedades, perfil: (Parámetros del entorno del usuario) •   Ruta de acceso al perfil (determinar la configuración del escritorio y del panel de control, la disponibilidad del menú y las aplicaciones) •   Archivo de comando de inicio de sesión (archivo por lotes que se ejecutará siempre que el usuario inicie una sesión) •   Ruta de acceso local (directorio a usar para guardar ficheros) – En un dominio, haciendo que el directorio de trabajo esté compartido en la red, podemos conseguir que el usuario siempre trabaje en el mismo directorio de trabajo

Propiedades, miembro de: Grupos a los que pertenece Propiedades, Cuenta: •  Horas de inicio de sesión: Permiten controlar las horas durante las cuales el usuario puede iniciar la sesión localmente o en el dominio, trabajar normalmente, acceder a sus recursos. Si un usuario mantiene la sesión cuando su hora de inicio de sesión termina, se pueden forzar dos comportamientos: – Desconexión forzada: se desconecta al usuario cuando caduca su hora de inicio de sesión (mediante la Configuración de seguridad de las Directivas locales, activando Cerrar automáticamente la sesión de los usuarios cuando termine su tiempo de sesión) – Sin desconexión: no desconecta las conexiones ya establecidas cuando entran en una franja de horario restringido, sencillamente no se permite que realicen nuevas conexiones de red •  Iniciar sesión en: Para cuentas de dominio, equipos del dominio en los que puede iniciar una sesión para trabajar en ellos

GRUPOS Los grupos de AD son un conjunto de cuentas de usuarios y de cuentas de equipo que se pueden administrar como una sola unidad. La utilización de grupos permite simplificar las tareas de administración, ya que se asigna un conjunto común de permisos y derechos a varias cuentas, en vez de tener que asignarlos a cada cuenta de manera individual. Los grupos cumplen una función muy importante dentro del AD ya que permite la simplificación de la administración y así mismo la asignación de permisos para los recursos; los grupos se distinguen por Ámbito y Tipo.

El AMBITO El ámbito de un grupo determina la medida en que el grupo se aplica dentro de un dominio o un bosque (determina si pertenece a varios dominios o a uno solo). Grupo Global: puede contener usuarios, equipo y grupos globales de su propio dominio. Puede conceder derechos y permisos a los grupos de seguridad global para los recursos de cualquier dominio del bosque. Grupo Local de dominio: puede contener grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. En los grupos de seguridad local, solamente puede otorgar derechos y permisos sobre los recursos que residen en el dominio en el que está ubicado el grupo local de dominio. Grupo Universal: Este contienes cuentas de usuario y cuentas de equipos de cualquier dominio del bosque.

El ámbito del grupo determina: los dominios desde los que puede agregar miembros al grupo. los dominios en los que puede utilizar el grupo para asignar permisos. los dominios en los que puede anidar el grupo en otro. El TIPO se subdivide en 2: El tipo de grupo determina si un grupo se puede utilizar para asignar permisos desde un recurso compartido (en grupos de seguridad) o bien si sólo se puede utilizar para listas de distribución de correo electrónico (en grupos de distribución). Seguridad: Asigna permisos y derechos. Este asigna permisos, los derechos o acciones que puede usar; recursos a los que se puede tener acceso. Distribución: Se usan para listas de distribución de correo electrónico. A estos grupos no se les puede asignar permisos para el acceso a los recursos.

•   Los grupos funcionan de forma diferente en un equipo local que en un dominio. •   Grupos en un equipo local (grupos locales): – Se crean en equipos que son estaciones de trabajo independientes o servidores miembro, pero NO en controladores de dominio. – Residen en SAM (Security Accounts Manager) – Se usan para otorgar permisos a recursos y otorgar derechos para las tareas del sistema en el equipo local. •   Grupos en un dominio: – Se crean únicamente en controladores de dominio – Residen en el servicio de directorio Active Directory – Se usan para otorgar permisos a recursos y otorgar derechos para tareas del sistema en cualquier equipo del dominio

Grupos • Creación de un grupo de dominio • Creación de un grupo local – Herramienta Usuarios y equipos del AD, en la Unidad organizativa, seleccionar Nuevo y después Grupo •  Creación de un grupo local – Herramienta Usuarios y grupos locales: en Grupos y seleccione Nuevo grupo                        

Grupos • Pertenencia a un grupo por defecto – Por defecto hay establecidas una serie de pertenencias – En un dominio •  Todos los usuarios de dominio son miembros del grupo Usuarios de dominio y ese es su grupo principal •  Todos los equipos (servidores miembro) del dominio son miembros de Equipos de dominio y ese es su grupo principal •  Todos los controladores de dominio son miembros de Controladores de dominio y ese es su grupo principal – Para sistemas con grupos locales •  Todos los usuarios son miembros del grupo Usuarios

Grupos Pertenencia a un grupo – Pertenencia individual: •  En el usuario, grupo o equipo (sólo para AD) que quiere modificar y en Propiedades seleccione la ficha Miembro de •  Seleccione Agregar para abrir el cuadro de diálogo Seleccionar grupos, escoja en él los nuevos grupos •  También puede eliminar la cuenta de un grupo con Quitar – Administración de varias pertenencias: •  En el Propiedades del grupo, seleccione la ficha Miembros •  Seleccione Agregar y escoja usuarios, equipos y grupos que serán miembros del grupo

Active Directory proporciona un conjunto de grupos predeterminados tras su instalación llamados Grupos predeterminados. Los grupos locales son aquellos que se encuentran en equipos locales y no en Active Directory y se llaman Grupos locales predeterminados. Existen dos tipos de cuentas de predeterminadas: – Integradas: cuentas de grupos que se instalan con el SO, aplicaciones y servicios. – Implícitas: grupos especiales creados implícitamente que se usan para asignar permisos en ciertas situaciones. A los grupos predeterminados se les asigna automáticamente un conjunto de derechos p.e., realizar una copia de seguridad, añadir/administrar, impresoras, etc. Grupos de dominio integrados: – Usuarios de dominio – Administradores de dominio – Invitados de dominio – Administración de empresas (control administrativo sobre el dominio). Grupos locales integrados – Usuarios – Usuarios avanzados – Administradores – Operadores de copias de seguridad – Operadores de impresión • Cuentas implícitas – Identidad Todos – Identidad Usuarios autenticados – Identidad Propietario creador – Identidad Interactiva – Identidad de Red – Identidad Sistema

Perfiles El perfil de usuario contiene todos los valores que puede definir el usuario para su entorno de trabajo en un equipo, incluyendo la configuración del escritorio, el ratón, el menú de opciones, la configuración regional y de sonido, además de las conexiones de red y de las impresoras. •   Windows requiere un perfil de usuario para cada cuenta de usuario que tenga acceso al sistema, cada usuario tendrá su configuración específica. La primera vez que inicia la sesión un usuario se crea su perfil. Hay tres tipos de perfiles Perfil de usuario local. Perfil de usuario móvil. Perfil de usuario obligatorio. perfil local : Es referente al equipo local y no es compartido por los equipos de la red (el usuario tendrá un perfil local en cada equipo en el que trabaje). En Windows Server todo usuario tiene un perfil y en cada equipo en el que inicie sesión habrá una copia del mismo que se almacena localmente. •  Se mantienen en Ruta Perfil (Propiedades del usuario). Los perfiles móviles han de almacenarse en un servidor que ejecute Windows Server; cuando un usuario inicia sesión en cualquier equipo, el perfil es descargado desde el servidor y almacenado localmente como una copia, los cambios se almacenarán al cerrar la sesión tanto en la copia local como la del servidor. Los perfiles controlados por el administrador son perfiles obligatorios, los usuarios que disponen de este perfil sólo podrán cambiar su entorno durante la sesión ya que al cerrarla estos cambios no se guardarán y por tanto al volver a iniciar sesión cargará de nuevo el perfil original.

Administración de perfiles Creación de perfiles móviles: – Compartir el directorio donde van a residir los perfiles de usuario, asegurándose que el grupo Todos tiene acceso al mismo – Crear el directorio vacío en el que se guardará el perfil del usuario. El usuario ha de tener el permiso Control total sobre el directorio. – Desde Usuarios y equipos del AD, para el usuario, en su cuadro de Propiedades en la ficha Perfil indique la ruta de acceso al perfil, con el servidor y el directorio compartido. – El perfil móvil se almacenará en el fichero ntuser.dat – La próxima vez que el usuario inicie una sesión se creará el perfil del usuario y se guardará al cerrar la sesión en ese directorio. Creación de perfiles obligatorios: – Hay que crear un perfil móvil (como se ha indicado anteriormente) – A continuación, el perfil obligatorio se crea cambiando de nombre el fichero ntuser.dat a ntuser.man •  Administrar perfiles locales – Desde la utilidad Sistema (en el Panel de control) en la opción Perfiles de usuario (está en la ficha Opciones Avanzadas) podrá ver la información de los perfiles guardados en el sistema: nombre, tamaño, tipo (local o móvil) y última modificación. – Se pueden copiar, cambiar el tipo (si fuese posible) o eliminar.

Cuentas de equipos Las cuentas de equipo se almacenan en Active Directory y representan un equipo concreto de la red. Cada equipo del dominio, sea servidor miembro o controlador de dominio, tiene una cuenta de equipo. Sirve para auditar las tareas que se realizan desde ese equipo, para otorgar permisos y restricciones o para controlar el acceso a la red y a los recursos. Permiten realizar administración remota. A los equipos con W95 y W98 no se les asignan cuentas de equipo porque no tienen las características de seguridad necesarias. Se pueden agregar cuentas de equipo a cualquier unidad organizativa, pero las mejores son Equipos o Controladores de dominio o bien una unidad organizativa creada dentro de ellas. Creación de cuentas de equipo – Automáticamente: al unirse un equipo a un dominio, se crea de forma automática la cuenta de equipo y se ubica en el contenedor Equipos (si es un servidor miembro) o en Controladores de dominio (si es un controlador de dominio). •   Se pueden editar las propiedades de una cuenta de equipo, añadiendo información sobre el SO, los grupos a los que pertenece, por quién está administrado, etc.