Cuentas de Usuarioy Grupos

Instituto Tecnológico de Sonora

José Manuel Acosta RendónFebrero 2010

Cuenta de usuario

En el contexto de la informática, un usuario es aquel que utiliza unsistema informático. Para que los usuarios puedan obtener seguridad,acceso al sistema, administración de recursos, etc, dichos usuariosdeberán identificarse. Para que uno pueda identificarse, el usuarionecesita una cuenta (una cuenta de usuario) y un usuario, en la mayoríade los casos asociados a una contraseña. Los usuarios utilizan unainterfaz de usuario para acceder a los sistemas, el proceso deidentificación es conocido como identificación de usuario o acceso delusuario al sistema (del inglés: "log in").

Nombres y contraseñas

A una cuenta se le identifica por un nombre de usuario (comúnmenteconocido como login) y una contraseña (o password).El nombre de usuario es un nombre único que se identifica a cada usuario(aunque en ocasiones existen alguna clase de usuarios 'invitado'). Losnombres de usuario se basan por lo general en cadenas cortasalfanuméricas. Dependiendo de las políticas o los servicios en particular,los nombre de usuario son elegidos ya sea por el usuario, o asignados porel administrador de sistemas.

Nombres y contraseñas

Las opciones generalmente utilizadas para los nombres de usuariospueden ser el nombre, las iniciales o alguna combinación con el nombre,apellido, iniciales o algunos números arbitrarios. Algunas veces lossistemas dictan los aspectos para elegir un nombre de usuario.Por razones de seguridad, algunos sistemas exigen que el nombre deusuario contenga dígitos y/o símbolos (en vez de solo consistir de letras),aunque por lo general este requerimiento es más comúnmente asociadocon las contraseñas.

Los nombre de usuario son ocasionalmente utilizados como el nombre delbuzón en las direcciones de correo electrónico.

Usos

Una cuenta de usuario nos permite a los servicios de un sistema. Por logeneral nos autoriza a accesarlo. Aunque, la autenticación no implicaautorización automática.

Una vez que el usuario se ha firmado, el sistema operativo asocia unidentificador por ejemplo un entero para referirse a él, en vez de utilizarel nombre de usuario. A esto se le conoce como identificador de usuario(user id) en los sistemas operativos.

Los sistemas de cómputo se dividen en dos grupos basados en el tipo deusuarios que tienen:

1. Sistemas monousuario los cuales no manejan el concepto de variascuentas de usuario

2. Sistemas multiusuario los cuales lo tienen

Lección: Crear cuentas de usuario

Como administrador de sistemas, usted dar· a los usuarios acceso adiferentes recursos de la red. Por tanto, deber· crear cuentas de usuariopara identificar y autenticar a los usuarios, de modo que obtenganacceso a la red.

Qué es una cuenta de usuario?

Una cuenta de usuario es un objeto que contiene toda la información quedefine a un usuario de Windows y puede ser local o de dominio. Incluye elnombre de usuario y la contraseña con los que el usuario inicia la sesión ylos grupos de los que la cuenta es miembro.

Se puede utilizar una cuenta de usuario para:

1. Permitir que alguien inicie la sesión en un equipo basándose en laidentidad de la cuenta de usuario.

2. Permitir que los procesos y servicios se ejecuten dentro de un contextode seguridad específico.

3. Administrar el acceso de un usuario a los recursos, por ejemplo, losobjetos de Active Directory y sus propiedades, carpetas, archivos,directorios y colas de impresión compartidos.

Presentación multimedia: Tipos de cuentas de usuario

Cuentas de usuario de dominio (almacenadas en Active Directory)

Cuentas de usuario local (almacenadas en el equipo local)

Dominio de Windows Server 2003

¿Qué es una cuenta de usuario?

Instrucciones para crear una convención de nomenclatura de cuentas de usuario

Las convenciones de nomenclatura de cuentas de usuario deben adaptarse a:

Empleados con nombres que se repitan

Diferentes tipos de empleados, como empleados temporales o con contrato

Una convención de nomenclatura establece como deben identificarse lascuentas de usuario de un dominio. Una convención coherente facilita recordarlos nombres de inicio de sesión de usuario y buscarlos en las listas. Por eso,es bueno acostumbrarse a cumplir la convención de nomenclatura en uso deuna red que admite un gran número de usuarios.

Opciones de contraseña de una cuenta de usuario

Opciones de la cuenta Descripción

El usuario debe cambiar la contraseña al iniciar una sesiónde nuevo

Los usuarios tendrán que cambiar las contraseñas la próxima vez que inicien una sesión en la red

El usuario no puede cambiar la contraseña

El usuario no tiene los permisos necesarios para cambiar su contraseña

La contraseña nunca caduca

Se evita que caduque la contraseña del usuario

La cuenta está deshabilitada

El usuario no puede iniciar la sesión con la cuenta seleccionada

¿Cómo crear cuentas de usuario?

El instructor mostrará cómo:

Crear una cuenta de usuario de dominio

Crear una cuenta de usuario local

Prácticas recomendadas para crear cuentas de usuario

Prácticas recomendadas para crear cuentas de usuario locales

No habilite cuentas Invitado

Limite el número de personas que pueden iniciarla sesión de forma local

Prácticas recomendadas para crear cuentas de usuario de dominio

Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente

Exija que los usuarios cambien la contraseña de

sus cuentas la primera vez que inicien la sesión

Hay varias cuestiones relativas a la creación de cuentas de usuario quereducen los riesgos para la seguridad en un entorno de red. A medida quese vayan modificando los productos de software, consulte lasrecomendaciones actuales en la dirección www.microsoft.com/security (eninglés).

Tenga en cuenta las siguientes recomendaciones a la hora decrear cuentas de usuario locales:

1. No habilite cuentas de Invitado.2. Cambie el nombre de la cuenta Administrador.3. Limite el número de personas que pueden iniciar la sesión de forma

local.4. Utilice contraseñas seguras.

Prácticas recomendadas para crear cuentas de usuario

Tenga en cuenta las siguientes recomendaciones a la hora decrear cuentas de usuario de dominio:

1. Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.2. Exija que los usuarios cambien la contraseña de sus cuentas la primera

vez que inicien sesión.3. Una medida de seguridad recomendable es que no inicie la sesión en

su equipo con credenciales de administrador.4. Cuando inicie la sesión en su equipo sin credenciales de administrador,

es recomendable que utilice el comando Ejecutar como para realizartareas de administración.

5. Cambie el nombre o deshabilite las cuentas de Invitado yAdministrador en cada dominio para evitar los ataques a la seguridad.

6. De forma predeterminada, el tráfico en las herramientasadministrativas de Active Directory queda firmado y cifrado mientrasse transmite por la red. No deshabilite esta función.

Prácticas recomendadas para crear cuentas de usuario

¿Qué son los grupos?

Los grupos simplifican la administración, ya que permiten asignar permisos para los recursos

Los grupos se distinguen por su ámbito y tipo

Tipo de grupo Descripción

SeguridadSe utiliza para asignar derechos y permisos deusuario Se puede usar como una lista de distribución de correo electrónico

DistribuciónSólo se puede usar con aplicaciones decorreo electrónico No se puede utilizar para asignar permisos

El ámbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo

Los 3 ámbitos de grupo son: global, local de dominio, universal y local

Grupo

Los grupos:

1. Simplifican la administración al facilitar la concesión de permisos pararecursos a todo un grupo en lugar de a cada una de las cuentas deusuario individualmente.

2. Pueden estar basados en Active Directory o ser locales, de un equipoindividual.

3. Se distinguen por su ámbito y tipo.4. Pueden anidarse, es decir, se puede agregar un grupo a otro.

El ámbito de un grupo determina si el grupo comprende variosdominios o se limita a uno solo. Los ámbitos de grupo permitenutilizar grupos para la concesión de permisos. El ámbito de grupodetermina:

• Los dominios desde los que puede agregar miembros al grupo.• Los dominios en los que puede utilizar el grupo para conceder

permisos.• Los dominios en los que puede anidar el grupo en otros grupos.

El ámbito de un grupo determina cuáles son los miembros del grupo. Lasreglas de pertenencia controlan los miembros que puede contenerun grupo y los grupos de los que puede ser miembro. Los miembrosde un grupo están formados por cuentas de usuario, cuentas deequipo y otros grupos.

¿Qué son los grupos?

Para asignar los miembros correctos a los grupos y para anidar un grupo,es importante conocer las características del ámbito de grupo. Existen lossiguientes ámbitos de grupo:

1. Global2. Local de dominio3. Universal4. Local

Puede utilizar los grupos para organizar las cuentas de usuario, de equipoy otras cuentas de grupo en unidades administrables. Trabajar congrupos en lugar de con usuarios individuales, ayuda a simplificar laadministración y el mantenimiento de la red. Existen los siguientesgrupos en Active Directory:

• Grupos de seguridad :Puede utilizar los grupos de seguridad paraasignar derechos y permisos de usuario a grupos de usuarios yequipos. Los derechos especifican las acciones que pueden realizar losmiembros de un grupo de seguridad en un dominio o bosque, y lospermisos especifican los recursos a los que puede obtener acceso unmiembro de un grupo en la red. También puede utilizar grupos deseguridad para enviar mensajes de correo electrónico a variosusuarios. Al enviar un mensaje de correo electrónico al grupo, elmensaje se envía a todos sus miembros. Por lo tanto, los grupos deseguridad tienen funciones de grupos de distribución.

¿Qué son los grupos?

• Grupos de distribución Puede utilizar los grupos de distribución conaplicaciones de correo electrónico, como Microsoft Exchange, paraenviar mensajes de correo electrónico a grupos de usuarios. Lafinalidad principal de este tipo de grupo es recopilar objetosrelacionados, no conceder permisos.

• Los grupos de distribución no tienen habilitada la seguridad, es decir,no pueden utilizarse para asignar permisos. Si necesita un grupo paracontrolar el acceso a los recursos compartidos, cree un grupo deseguridad.

• Aunque los grupos de seguridad tienen todas las funciones de losgrupos de distribución, estos últimos todavía son necesarios, porquealgunas aplicaciones sólo pueden utilizar grupos de distribución.

•• Los grupos de distribución y de seguridad admiten uno de los tres

ámbitos de grupo.

¿Qué son los grupos?

Prácticas recomendadas para la administración de grupos

Crear grupos en función de las necesidades administrativas

Utilizar grupos locales en un equipo que no sea miembro de ningún dominio

Agregar cuentas de usuario al grupo más restrictivo

Utilice el grupos Usuarios autenticados en lugar del grupo Todos para conceder la mayor parte de los derechos y permisos de usuario

Limite el número de usuarios del grupo Administradores

Utilizar el grupo integrado cuando sea posible, en lugar de crear un grupo nuevo

Confíe en todos los miembros de los grupos Administradores, Usuarios avanzados, Operadores de impresión, Operadores de copia de seguridad

¿ Dudas ?

¡¡ Gracias ¡¡

José Manuel Acosta R.Enero 2011