Tareas de administracin de usuarios globales en Active Directory

ndice. Alta de usuarios. Baja de usuarios. Modificar usuarios. o Definir las horas en las que el usuario puede iniciar sesin y en las que no puede. o Lista de equipos a travs de los cuales el usuario puede iniciar sesin. o Bloquear una cuenta. Plantillas de usuarios. Variables de entorno de usuario. Buscar usuarios. Perfiles mviles y obligados de usuario.

Alta de usuarios. 1. Desde Inicio-Herramientas administrativas-Usuarios y equipos de Active Directory, pulsamos en el dominio y seleccionamos la carpeta Users o unidad organizativa donde deseamos aadir el usuario, pulsando el botn derecho del ratn, en el men dar a Nuevo-Usuario o podemos situar el ratn en un lugar vacio del panel izquierdo de la ventana y en el men contextual elegimos Nuevo-Usuario. Tambin podemos aadir un nuevo usuario desde el men Accin-Acciones adicionales-Nuevo-Usuario. Completar los campos de la ventana de dilogo, teniendo en cuenta que hay un lmite de caracteres para cada campo. Pulsamos en Siguiente.

2.

3.

En la ventana debemos introducir la contrasea del usuario que no puede contener menos de 7 caracteres, alguno debe de ser en minscula, mayscula y numrico. Adems debemos marcar las directivas de seguridad de cuenta indicadas en la ventana dependiendo del uso y del nivel de seguridad que deseamos aplicar. Son las mismas que las explicadas en la creacin de cuentas locales del servidor en unidades anteriores. Pulsamos al botn Siguiente, donde aparece el resumen de la tarea realizada, y desde donde podemos volver hacia atrs para modificar alguna opcin. Si todo es correcto, pulsamos en Finalizar para crear la cuenta.

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

Baja de usuarios. Cuando se elimina una cuenta de usuario se perder toda su configuracin, por este motivo los administradores por seguridad en vez de borrar las cuentas definitivamente del sistema suelen realizar la operacin de deshabilitarla. Los archivos del usuario no se borran y quedan en el disco. Para eliminar una cuenta de usuario, debemos ir a Inicio-Herramientas administrativas -Usuarios y equipos de Active Directory, y seleccionar el dominio, marcamos la carpeta Users o unidad organizativa donde se encuentre el usuario a dar de baja, y de la lista seleccionamos el usuario, pulsando el botn derecho del ratn elegimos Eliminar y confirmamos la eliminacin. Modificar usuarios. 1. Inicio-Herramientas administrativas-Usuarios y equipos de Active Directory, seleccionamos el dominio y elegimos la carpeta Users o unidad organizativa donde se encuentre el usuario a modificar, de la lista seleccionamos el usuario, y elegimos Propiedades del men contextual.

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

Nos encontramos una ventana con las siguientes pestaas: General y Direccin: sirven para completar informacin de los usuarios, es importante para poder realizar bsquedas de usuarios por algn criterio en el Active Directory. Cuenta: Es importante, ya que podemos configurar opciones de la cuenta donde podemos modificar el nombre de usuario para el inicio de sesin y operaciones relacionadas con las directivas de seguridad de la cuenta y contraseas, por ejemplo los bloqueos de cuenta.

A continuacin vemos las opciones de configuracin de la pestaa de cuenta: o Pulsando en el botn de Horas de inicio de sesin aparece una ventana donde podemos definir las horas en las que el usuario puede iniciar sesin y en las que no puede, por ejemplo para denegar el uso, se selecciona del cuadro el rango correspondiente de horas y das y se pulsa a la opcin de Inicio de sesin denegado. Del mismo modo, podemos indicar las horas en las que se puede iniciar sesin pero pulsando en la opcin de Inicio de sesin permitido. Para finalizar pulsamos Aceptar. Para indicar la lista de equipos por los que el usuario puede iniciar sesin se pulsa en el botn Iniciar sesin en., de manera predeterminada el usuario puede iniciar sesin desde todos los equipos del dominio, si activamos la opcin Los siguientes equipos podemos ir agregando el nombre NetBIOS de los equipos desde los que se permitir iniciar sesin al usuario. Si activamos la opcin Desbloquear cuenta, podemos permitir al usuario iniciar sesin cuando su cuenta ha sido bloqueada por el sistema despus de haber intentado escribir la contrasea varias veces incorrectamente.

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

En la lista del campo Opciones de cuenta podemos activar y desactivar las siguientes funciones de configuracin de cuenta, algunas relacionadas con directivas de seguridad de las cuentas: Obligamos a que el usuario cambie la contrasea. Limitamos al usuario a que no pueda cambiar su contrasea. No existe fecha de caducidad de la contrasea. Para terminales con sistema Macintosh que inician sesin. Se limita al usuario a no poder iniciar sesin. Ser necesario disponer de un lector de tarjetas inteligentes. Permite a un servicio que se ejecute con esta cuenta realizar operaciones en nombre de otras cuentas de usuario de la red. No se podr delegar por parte de otra cuenta. Permite el uso del mtodo de cifrado de datos DES. Permite el uso del mtodo de cifrado de datos AES de 128 bits. Permite el uso del mtodo de cifrado de datos AES de 256 bits. Para utilizar otros mtodos de autentificacin distinto a Kerberos.

El usuario debe cambiar la contrasea en el siguiente inicio de sesin. El usuario no puede cambiar la contrasea. La contrasea nunca caduca. Almacenar contrasea utilizando cifrado reversible. Cuenta deshabilitada. La tarjeta inteligente es necesaria para un inicio de sesin interactivo. Se confa en la cuenta para su delegacin.

La cuenta es importante y no se puede delegar. Usar tipos de cifrado DES de Kerberos para esta cuenta. Esta cuenta admite cifrado AES de Kerberos de 128 bits. Esta cuenta admite cifrado AES de Kerberos de 256 bits. No pedir la autentificacin Kerberos previa.

En el apartado La cuenta caduca podemos indicar que la cuenta de usuario nunca caducar o indicar una fecha de caducidad de la cuenta de usuario.

Perfil: Podemos indicar datos del perfil de usuario, como son el directorio particular del usuario y la posibilidad de ejecutar un script o fichero por lotes en el momento de inicio de sesin del usuario. Telfonos: Especificamos datos de los diferentes telfonos que pueda tener el usuario. Organizacin: Podemos describir una ficha de usuario referente a los datos de puesto de trabajo que desempea en la empresa que trabaja. Miembro de: Definimos los grupos a los que deseamos que pertenezca el usuario. Marcado: Describimos el marcado para el acceso remoto en el apartado de Acceso telefnico a redes. Entorno: Configuramos el entorno de trabajo en el inicio del usuario en los Servicios de Terminal Server. Sesiones: Indicamos el tiempo de espera en la conexin con los Servicios de Terminal Server. Control remoto: Para habilitar o bloquear la posibilidad de controlar remotamente el equipo de cliente, que permite los Servicios de Terminal Server. Perfil de Servicios de Terminal Server: Par indicar el camino de acceso al perfil de usuario de los Servicios de Terminal Server. COM+: Determina el conjunto de particiones COM+ que puede utilizar el usuario para la ejecucin de aplicaciones que utilizan los servicios.

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

Otra forma de trabajar con la configuracin de cuentas es seleccionando las cuentas del dominio desde la ventana de Usuarios y equipos del Active Directory y en el men contextual aparecer un men de opciones para realizar tareas como: copiar las cuentas, mover a otro lugar las cuentas, enviar un correo a los usuarios, deshabilitar la cuenta, etc. Por ejemplo, si seleccionamos varios usuarios pulsando a la vez la tecla CTRL, y a continuacin hacemos clic en el botn derecho del ratn y pulsamos Propiedades podemos cambiar a la vez las propiedades de todos los usuarios, como por ejemplo, la ruta de su perfil (para que todos alojen su perfil en el mismo directorio).

Del mismo modo podemos seleccionar los usuarios y acceder a la configuracin de las caractersticas de sus cuentas, desplegando el men Accin de la ventana o consola MMC de Usuarios y equipos del Active Directory, donde parecern diferentes opciones para realizar tareas de administracin de cuentas de usuario. Por ejemplo para bloquear una cuenta de manera que podamos prohibir el inicio de sesin a un usuario, debemos ir a InicioHerramientas administrativas-Usuarios y equipos de Active Directory; Seleccionamos el dominio y pulsamos en la carpeta Users o unidad organizativa donde est el usuario a modificar, de la lista seleccionamos el usuario o los usuarios (con la tecla CTRL) y desplegar el men contextual para elegir Deshabilitar cuenta, nos aparece una ventana de dilogo que indica que la cuenta se deshabilita y pulsamos Aceptar. Plantillas de usuarios. Podemos utilizar la configuracin de un usuario dado de alta, como plantilla para crear nuevos usuarios. Para ello debemos seleccionar el usuario y copiar su cuenta, para crear nuevos usuarios el sistema mantendr todas las opciones de configuracin del usuario copiado, facilitando la tarea de creacin o alta del nuevo usuario, lo que si ser necesario describir en el nuevo usuario es el nombre y la contrasea. Los pasos a seguir sern los siguientes: 1. Crear la plantilla de usuario siguiendo los pasos del apartado altas de usuario. 2. Desde la ventana de consola MMC de Usuarios y equipos del Active Directory, buscamos el usuario dentro de la capeta Users o de la unidad organizativa donde se haya creado la plantilla, seleccionamos el usuario y en el men contextual elegimos Copiar, seguidamente se abrir el asistente de creacin de usuario, donde debemos completar los campos vacios, como nombre y contrasea y seguir el asistente como en el apartado de alta de usuario. Veremos que se mantienen muchos campos de la plantilla creada, facilitndonos as el alta de varios usuarios.

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

3. Cuando ya tengamos creado el usuario o usuarios (pulsando a la vez la tecla CTRL) si deseamos se podr mover a la unidad organizativa deseada, para ello seleccionamos el usuario y lo arrastramos con el ratn a la ubicacin final. Tambin podemos realizar la misma operacin seleccionando el usuario o los usuarios (pulsando a la vez la tecla CTRL) y en el men contextual marcamos Mover, a la carpeta donde deseamos su ubicacin final y aceptamos.

Variables de entorno de usuario. Las variables de entorno asignan un perfil al usuario, para su configuracin seguimos los siguientes pasos: 1. Inicio-Herramientas administrativas-Usuarios y equipos de Active Directory, seleccionamos el dominio y pulsamos en la carpeta Users o unidad organizativa donde se encuentre el usuario a modificar, pulsamos el botn derecho sobre el usuario y elegimos Propiedades, seguidamente pulsamos en la pestaa Perfil.

En la ventana disponemos de los siguientes campos que debemos completar para dar valor a ciertas variables de entorno del sistema que otorgan propiedades a los usuarios: Ruta de acceso al perfil: Cada vez que un usuario inicia sesin en un equipo dispone de su propio entorno de trabajo configurado en su escritorio, panel de control, etc. Para conservar dicha configuracin en los siguientes inicios de sesin se deber indicar el camino o path donde el sistema guardar dicho perfil en un fichero. Dentro del sistema se representa por el siguiente nombre de variables %UserProfile%. Script de inicio de sesin: Permitir asociar un lugar al usuario donde est un script de inicio de sesin que se ejecutar todas las veces que el usuario entre en el servidor. Este tipo de ficheros de denominan por lotes o script, y permitirn automatizar tareas relacionadas con el usuario. De forma predeterminada el sistema guarda los scripts en el directorio \Windows\SYSVOL\sysvol\nombre_dns_del_dominio\scripts. Los script son archivos ejecutables (extensin BAT, CMD, EXE, VBS, JS, etc.), que contienen rdenes que permiten realizar tareas cada vez que un usuario inicie sesin en el servidor. Por ejemplo: Podemos realizar un programa que cada vez que el usuario inicie sesin el sistema ejecute rdenes para realizar una copia de la carpeta particular del usuario, enviar un correo particular, etc. El comando que ms se utiliza para crear script de inicio de sesin es NET USE ya que permite asignar rutas de acceso de la red a los usuarios, por ejemplo para asignar al usuario carlos la ruta c:\\carpeta\usuarios\carlos, se escribe la orden:

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

NET USE c:\\carpeta\usuarios\carlos /YES Por seguridad es recomendable indicar los programas que pueden ejecutar los usuarios y no cambiar el valor de las variables de entorno. Pueden utilizar las variables internas del sistema para completar el diseo del programa ejecutable. Un script puede ser utilizado por varios usuarios en su inicio de sesin. Carpeta particular: En este campo podemos asignar el directorio o carpeta personal al usuario donde guardar sus archivos. Podemos utilizar un lugar fuera del servidor obligando a conectar una unidad de red compartida a la que el usuario podr acceder desde cualquier estacin de trabajo. Dentro del sistema se representa por los siguientes nombres de variables: %HomeDrive% contiene la letra de la unidad del directorio particular del usuario (por ejemplo, Z:) y %HomePtah% contiene la ruta de acceso del directorio particular del usuario (por ejemplo, \alumnos\carpetas_usu\carlos). Si no se asigna un directorio particular Windows asigna uno de forma predeterminada, que se encuentra localmente en el disco del servidor en el directorio raz, y en caso de haber instalado una actualizacin del sistema se encontrar en \Users\Default. Otras variables internas generales definidas por el propio sistema que se pueden utilizar para la gestin de usuarios son: %UserName%: Contiene el nombre de la cuenta de usuario. %SystemRoot%: Representa el directorio base del sistema, de forma predeterminada generalmente es C:\Wimdows.

Buscar usuarios. 1. Desde Inicio-Herramientas administrativas-Usuarios y equipos de Active Directory, seleccionamos el dominio y desplegamos el men contextual para elegir Buscar. En el campo Buscar de la lista despegable seleccionamos Usuarios, contactos y grupos, desplegamos la lista del campo En y seleccionamos donde tiene que ir a buscar el sistema, podemos elegir Todo el Directorio o podemos dar en el botn Examinar para seleccionar otro dominio o unidad organizativa. A continuacin en el campo Nombre escribimos el nombre del usuario y pulsamos en el botn Buscar ahora. Si encuentra alguna coincidencia la visualizar en el panel inferior.

2.

Perfiles mviles y obligados de usuario. Con los perfiles, podemos gestionar las caractersticas del entorno de trabajo de las sesiones de usuario, como tipos de aplicaciones que puede ejecutar, la configuracin del escritorio, etc. Adems de los perfiles locales, estudiados en unidades anteriores, existen otros gestionados por el servidor y son los siguientes: Los perfiles mviles: Cuando un usuario inicia sesin en un equipo, se crear una copia del perfil que se guardar en el disco duro del equipo, de manera que tendr tantos perfiles como equipos utilice. Para evitar esto, es posible crear un

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

perfil mvil que se guardar en el servidor, y al que puedan acceder otros equipos de la red, para que el usuario pueda utilizar el mismo perfil aunque se conecte desde equipos diferentes. Cuando un usuario se conecta desde un equipo el servidor, le enva una copia del perfil mvil que tiene guardada, al terminar la sesin el terminal enviar las modificaciones realizadas en el perfil, para que se guarde de forma predeterminada en el archivo \Usuarios\ntuser.dat del servidor. El administrador puede crear perfiles mviles de la siguiente manera: 1. Creamos una carpeta, por ejemplo desde Inicio-Equipo, entrando en la unidad C: desde el men Archivo-NuevaCarpeta, y le asignamos un nombre. En su interior debemos crear una carpeta para cada usuario del sistema que deseamos que tenga un perfil mvil. 2. Seleccionamos la carpeta creada y desplegamos el men contextual para seleccionar la opcin Compartir, en la ventana hay que desplegar la lista del campo Agregar y seleccionar Todos y finalizamos pulsando Agregar.

3.

Para dar permisos pulsamos en la entrada Todos, desplegamos la lista del campo Nivel de permiso y seleccionamos Colaborador (dispondr de permisos de lectura y modificacin). Pulsamos Compartir.

4.

Seguidamente desde Inicio-Herramientas administrativas-Usuarios y equipos de Active Directory, seleccionamos el dominio y pulsamos en la carpeta Users o unidad organizativa donde se encuentre el usuario a modificar, de la lista tenemos que seleccionar el usuario y desplegamos el men contextual para elegir Propiedades, y marcamos la pestaa Perfil. En el campo Ruta de acceso al perfil escribimos la ruta que hemos creado con el formato \\nombre_del_servidor\nombre_carpeta_compartida\variable_nombre_usuario o el nombre_usuario\Ntuser.dat. El perfil mvil del usuario se guardar en ese lugar con el nombre del fichero Ntuser.dat.

Los perfiles obligados: Son los que pueden ser controlados por el administrador, generalmente para que todos los usuarios tengan la misma configuracin de entorno de trabajo en red, en estos perfiles el usuario solamente puede realizar cambios mientras esta con la sesin abierta y esos cambios no se guardan al cerrar la sesin, es decir, el usuario siempre iniciar la

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

sesin con el mismo perfil configurado por el administrador. El archivo encargado de guardar en el servidor el perfil obligado del usuario es \Usuarios\ntuser.man. El administrador puede crear perfiles obligados del siguiente modo: 1. Creamos una carpeta, por ejemplo desde Inicio-Equipo, entramos en la unidad C: desde el men Archivo-NuevaCarpeta,yleasignamosunnombre.El sistema crearautomticamente una carpeta para cada usuario.

2.

Seleccionamos la carpeta creada y desplegando el men contextual seleccionamos la opcin Compartir, en la ventana que nos aparece desplegamos la lista del campo Agregar, seleccionamos Todos y Agregar.

3.

Para dar permisos pulsamos en la entrada Todos y desplegamos la lista del campo Nivel de permiso, seleccionamos Colaborador (dispondr de permisos de lectura y modificacin).Y hacemos clic en Compartir.

3.

Seguidamente desde Inicio-Herramientas administrativas-Usuarios y equipos de Active Directory, seleccionamos el dominio y pulsamos en la carpeta Users o unidad organizativa donde se encuentre el usuario a modificar. De la lista seleccionamos el usuario y desplegando el men contextual elegimos Propiedades, seguidamente pulsamos en la pestaa Perfil. En el campo Ruta de acceso al perfil escribimos la ruta que hemos creado con el formato \\nombre_del_servidor\nombre_carpeta\variable_nombre_usuario o el nombre_usuario\Ntuser.man. El perfil obligado del usuario se guardar en ese lugar con el nombre del fichero Ntuser.man

Para copiar un perfil local existente de un usuario del dominio podemos seguir los siguientes pasos: 1. Podemos crear un usuario e iniciar sesin, y seguidamente configurar su entorno de trabajo. Salir de la sesin y entrar como administrador.

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

2. Desde Inicio-Panel de control-Configuracin avanzada del sistema, en el apartado Perfiles de usuario pulsamos en el botn de Configuracin, de la lista seleccionamos el perfil que deseamos copiar y pulsamos en el botn Copiar a, indicando el nombre de la carpeta donde deseamos copiar el perfil, por ejemplo:\\infomatica\perfiles\carlos. Tambin podemos buscar el lugar o la ruta con el botn de Examinar. Seguidamente debemos asignar los permisos correspondientes para que el usuario pueda acceder a dicho perfil, para ello debemos pulsar en el botn Cambiar y concedemos los permisos indicando el usuario o grupo de usuarios en el campo Nombre de la ventana de Seleccionar Usuario o Grupo, finalizamos con Aceptar. Para eliminar un perfil local existente, hay que tener en cuenta que no podemos borrar un perfil de un usuario que est con una sesin iniciada, y debemos seguir los siguientes pasos:

1. Desde Inicio-Panel de control-Configuracin avanzada del

sistema, en el apartado Perfiles de usuario pulsamos en el botn de Configuracin, de la lista seleccionamos el perfil que deseamos eliminar y pulsamos en el botn Eliminar, y en la ventana de confirmacin hacemos clic en S.

10

J.C.S.R: USO EDUCATIVO, NO COMERCIAL

Anexo de licencias
Imagen Credenciales
Ttulo: ISO06_AUXR38_R01_pantalla1.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R03_pantalla3.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R05_pantalla5.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R07_pantalla7.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R09_pantalla9.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R11_pantalla11.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008.

Imagen

Credenciales
Ttulo: ISO06_AUXR38_R02_pantalla2.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R04_pantalla4.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R06_pantalla6.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R08_pantalla8.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R10_pantalla10.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R12_pantalla12.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008.

Ttulo: ISO06_AUXR38_R13_pantalla13.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R15_pantalla15.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R17_pantalla17.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008.

Ttulo: ISO06_AUXR38_R14_pantalla14.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R16_pantalla16.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008. Ttulo: ISO06_AUXR38_R18_pantalla18.png Autora: Microsoft. Tipo de licencia: Copyright (Cita). Procedencia: Captura de pantalla S.O. Windows Server 2008.

11

J.C.S.R: USO EDUCATIVO, NO COMERCIAL