unitec cuentas de usuarios y grupos en windows 2008 server “ gestiòn de sistemas operativos de...
TRANSCRIPT
Unitec
Cuentas de usuarios y grupos en windows
2008 server
Cuentas de usuarios y grupos en windows
2008 server
“ Gestiòn de sistemas operativos de red “
Contenido
1 Introducción
2 Definición de cuentas
3 Cuentas en windows 2008
4 Cuentas de usuarios
5 Grupos
Introducciòn
Las cuentas de usuario de Active Directory representan entidades físicas, como personas. Las cuentas de usuario también se pueden usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario también se denominan entidades de seguridad. Las entidades de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del dominio.
www.themegallery.com
Definiciòn de Cuenta
Una cuenta es un registro con toda la información necesaria para definir un usuario, grupo o equipo en Windows Server 2008. Una cuenta de usuario incluye la contraseña y nombre de usuario necesarios para iniciar una sesión, los grupos a los que pertenece la cuenta del usuario y los derechos y permisos que tiene el usuario para utilizar el equipo y la red, y tener acceso a sus recursos
Un usuario, al igual que una estación de trabajo registrada en el dominio, no deja de ser un objeto en el árbol de Active Directory del servidor Windows Server 2008, de modo que un usuario o equipo pueden ser incluidos en los grupos de usuarios o equipos del dominio deseados.
Cuentas en windows 2008 server
AAutenticar la identidad de la persona o equipo que se
conecta a la red.
BControlar el acceso a los recursos del dominio
CAuditar las acciones realizadas
utilizando la cuenta
Una cuenta de usuario o de equipo hace
posible
Cuentas de usuario
Autentica identidad
Autoriza odeniega
Permite que un usuario inicie sesión en equipos y dominios con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.
Después de que un usuario se autentica, se le concede o se le deniega el acceso a los recursos del dominio en función de los permisos explícitos que se le hayan asignado en el recurso.
Cuentas integradas
Asistente de ayuda
Invitado
Administrador
Cuentas de usuarios
Invitado
Administrador
Asistente de ayuda .
.La cuenta Administrador tiene control total del dominio. Puede asignar derechos de usuario y permisos de control de acceso a los usuarios del dominio según sea necesario. Esta cuenta sólo se debe usar para las tareas que requieran credenciales administrativas. Es recomendable que configure esta cuenta con una contraseña segura.
Los usuarios que no tienen una cuenta en el dominio pueden usar la cuenta Invitado. Un usuario cuya cuenta se haya deshabilitado (pero no eliminado) también puede usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña
Es la cuenta principal para establecer una
sesión de Asistencia remota. Esta cuenta se crea automáticamente al solicitar una sesión
de Asistencia remota. Tiene
acceso limitado al equipo
Objetos de seguridad
Usuarios
Un usuario o grupo local es una cuenta a la que se pueden conceder permisos y derechos desde el equipo. El administrador de la red administra los usuarios y grupos globales o del dominio. A un grupo local se pueden agregar usuarios locales, usuarios globales y grupos globales. Sin embargo, no se pueden agregar grupos ni usuarios locales a un grupo global.
Derechos
Un derecho autoriza a un usuario a realizar ciertas acciones en un equipo, como efectuar copias de seguridad de archivos y carpetas, o apagar un equipo. Un permiso es una regla asociada con un objeto (normalmente un archivo, carpeta o impresora) que regula los usuarios que pueden tener acceso al objeto y de qué manera.
Grupos
Los grupos locales predeterminados se crean automáticamente al instalar un servidor independiente o un servidor miembro donde se use Windows Server 2008. Al pertenecer al grupo local, se le proporcionan al usuario los derechos y capacidades necesarios para realizar diversas tareas en el equipo local. Algunos de los grupos predeterminados que se crean:
Tipos de grupos
Grupos de Ámbito Local al Dominio.- Son grupos que permitirán definir y administrar el acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros a: grupos de ámbito global, grupos de ámbito universal, usuarios del dominio, otros grupos de ámbito local de dominio, una mezcla de los anteriores.
Grupos de Ámbito Local.- Estos grupos se utilizan para administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuarios y equipos.
Grupos de Ámbito Universal.- Son grupos utilizados cuando la pertenencia a dicho grupo no cambian frecuentemente
Grupos
Administradores. Los miembros del grupo Administradores tienen control total sobre el equipo. Sólo a este grupo integrado se conceden automáticamente todos los derechos y capacidades integradas del sistema.
Operadores de copia. Los miembros del grupo Operadores de copia pueden hacer copias de seguridad y restaurar archivos en el equipo, independientemente de los permisos que protejan dichos archivos. También pueden iniciar sesión en el equipo y cerrarlo, pero no pueden
cambiar la configuración de seguridad
Usuarios avanzados. Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario pero únicamente pueden modificar y eliminar las cuenta s que creen. Pueden crear grupos locales y quitar usuarios de los grupos locales que hayan creado. También pueden quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados.
Usuarios. Pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y cerrar y bloquear la estación de trabajo. Pueden crear grupos locales pero únicamente pueden modificar los grupos locales que hayan creado. No pueden compartir directorios ni crear impresoras locales.
Invitados. El grupo Invitados permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión con una cuenta de Invitado integrada en la estación de trabajo y permite que se les concedan capacidades limitadas. Los miembros del grupo Invitados también pueden cerrar el sistema.
Duplicadores. El grupo Duplicadores es compatible con las funciones de replicación de directorios. El único miembro del grupo duplicador debe ser una cuenta de usuario de dominio que se utilice para iniciar los servicios duplicadores del controlador de dominio. No agregue a este grupo las cuentas de usuario de los usuarios reales.
www.themegallery.com
Consola de Administración de Microsoft
Administración de cuentas de usuario
Una cuenta de usuario del Directorio Activo permite que un usuario inicie sesiones en equipos y dominios con una identidad que se puede autenticar y autorizar para tener acceso a los recursos del dominio. Cada usuario que se conecta a la red debe tener su propia cuenta de usuario y su propia contraseña única.
Windows Server 2008 proporciona cuentas de usuario predefinidas que se pueden usar para iniciar una sesión en un equipo donde se ejecuta Windows Server 2003. Estas cuentas predefinidas son:
Cuentas predefinidas
Administrador Invitado Las cuentas predefinidas son cuentas de usuario
predeterminadas, diseñadas para permitir que los usuarios inicien una sesión en un equipo local y tengan acceso a sus recursos. Su objetivo principal es iniciar una sesión y configurar inicialmente un equipo local. Cada cuenta predefinida tiene una combinación diferente de derechos y permisos. La cuenta de administrador tiene los derechos y permisos más amplios mientras que la cuenta de invitado los tiene limitados
Crear una cuenta de usuario
Las cuentas de usuario se emplean para autentificar a los usuarios, y garantizar mediante los permisos los accesos a recursos. Se utiliza Equipos y usuarios del Directorio Activo sobre cualquier controlador de dominio disponible para crear cuentas de usuario. Después de crear la cuenta, se replicará a todos los demás controladores de dominio.
Cuando se crea la cuenta de usuario, primero debe seleccionar la OU donde se creará. Se pueden crear cuentas de usuario a nivel de dominio para limitar las opciones de delegación e incrementar la complejidad de la administración de la red
Procedimiento
1. Abra Equipos y usuarios del Directorio Activo desde el menú de Herramientas Administrativas.
2. Haga clic con el botón derecho sobre la OU en la que se quiere crear la cuenta de usuario, marque Nuevo y elija Usuario
Pantalla de usuarios
Atributos de la cuenta
?? Nombre y Apellidos son atributos de la cuenta de usuario que se pueden usar para operaciones de búsqueda en la localización de esa cuenta.
?? Nombre Completo es el nombre completo del usuario, que se mostrará como el nombre de cuenta de usuario. Este nombre debe de ser único dentro del contenedor en que se cree la cuenta de usuario.
?? Cada cuenta de usuario tiene un nombre principal de usuario (UPN) que consta en el nombre de inicio de sesión del usuario y un sufijo UPN. Este sufijo muestra pordefecto el nombre DNS del dominio. Se podrá seleccionar otro dominio de la lista de sufijos UPN.
Perfiles
Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesión en un equipo. Incluye todos los valores de configuración de usuario específicas del entorno Windows Server 2008, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc. Dichos perfiles de usuario se crean automáticamente la primera vez que un usuario inicia una sesión en el sistema.
Tipos de perfiles
Perfiles de usuarios.- Carpetas propias de un usuario, que incluyen básicamente sus configuraciones personalizadas del entorno de trabajo y los documentos por él creados.
Perfil Móvil.- Perfil de usuario que se descarga desde el servidor en el equipo donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el equipo cliente, los cambios en el perfil se almacenarán en el servidor en el espacio destinado para tal fin para dicho usuario.
Perfil Obligatorio.- Perfil de usuario que se descarga desde el servidor en el equipo donde el usuario en cuestión haya iniciado sesión;
Unitec
Recuerden“ Entre más difícil
más valiosa la Victoria”