sistemas operativos en red

Sistemas operativos en redJess Nio Camazn

Sistemas operativos en red - por.indd 1 20/07/11 8:34

Tareas de administracin I4

vamos a conocer...

1. Introduccin

2. Administracin de usuarios y grupos

PRCTICA PROFESIONAL

Directivas de grupo en Windows Server 2008 R2

MUNDO LABORAL

No prestar las contraseas de acceso

en la empresa

y al finalizar esta unidad...

Conocers las principales caractersticas de la administracin de usuarios y grupos en sistemas operativos en red.

Sabrs cmo crear, modificar y eliminar usuarios y grupos en sistemas operativos en red.

04 Sist. Operativos en red.indd 102 05/09/11 10:32

103

situacin de partida

Pablo es el encargado de llevar a cabo las tareas de adminis-

tracin en todos los sistemas operativos en red que hay en la

empresa donde trabaja.

Una de las tareas que realiza Pablo es la administracin de usua-

rios y grupos en su empresa, esta tarea implica crear cuentas de

usuarios, perfiles y grupos.

En la empresa hay varios servidores que tienen sistemas opera-

tivos en red: Windows Server 2008 R2 y Ubuntu Server 10.04,

esto quiere decir que Pablo tiene que saber crear usuarios en el

Directorio Activo tanto en modo grfico como en modo coman-do, y tambin conocer cmo crear usuarios en modo comando

en Ubuntu Server.

1. Qu es una cuenta de usuario?

2. Qu tareas se pueden realizar con una cuenta de usuario?

3. Qu es un grupo?

4. Qu grupos de usuarios existen?

5. Qu es el tipo y el mbito de un grupo?

6. Cmo se crea un grupo?

7. Qu tareas se pueden realizar con los grupos?

8. Qu es un perfil?

CASO PRCTICO INICIAL

vamos a resolver


104 Unidad 4

1. IntroduccinAl hablar de tareas de administracin en los sistemas operativos en red nos refe-rimos a aquellas tareas que son llevadas a cabo por usuarios que poseen conoci-mientos avanzados. En algunos casos la realizacin de algunas tareas puede afectar al trabajo que desarrollan los usuarios en una empresa, instituto, colegio, etc., por ese motivo las personas que las realizan tiene que tener conocimientos precisos sobre lo que estn realizando.

En el curso pasado vimos cmo administrar los sistemas operativos monopuesto, recordemos algunas tareas administrativas que vimos: agregar y eliminar software; actualizar el sistema operativo, las aplicaciones, los controladores; control de procesos y servicios; crear tareas programadas; control de usuarios; instalacin y desinstalacin de hardware; gestin del almacenamiento; copias de seguridad; recuperacin del sistema; rendimiento del sistema. Todas estas tareas que acaba-mos de enumerar se pueden realizar de forma local, pero tambin en red, en esta unidad y en las siguientes veremos las principales tareas de administracin que se pueden realizar a travs de una red.

En concreto veremos las siguientes tareas administrativas:

Administracin de usuarios y grupos. Los usuarios necesitan utilizar el siste-ma operativo en red utilizando cuentas personales. Las tareas de control pro-pias de esta administracin son: crear, borrar, agrupar, establecer contraseas, habilitar acceso, etc.

Administracin remota. A travs de la red se puede conectar remotamente a otros ordenadores, controlarlos y administrarlos. La administracin remota abarca tanto el acceso remoto como la agregacin y eliminacin de software, incluyendo la actualizacin remota de programas.

Gestin de recursos compartidos. Los recursos son elementos que se compar-ten entre los usuarios de una red siempre y cuando se tenga permiso para ac-ceder a dichos recursos. Al hablar de recursos nos referimos a discos, archivos, impresoras, etc.

Copias de seguridad. Tener a salvo los archivos importantes del sistema operativo y los datos es fundamental, y mucho ms cuando los sistemas ope-rativos estn en red. Podra darse el caso de fallo o prdida de informacin en el sistema operativo o en cualquier componente hardware que deje al sistema inestable, entonces ser necesario hacer una recuperacin de la informacin perdida.

Rendimiento del sistema. Tarea que sirve para controlar y monitorizar el fun-cionamiento de un sistema operativo en red.

Para acotar la extensin de la unidad slo se vern las tareas de administracin en el sistema operativo propietario Windows Server 2008 R2 y Ubuntu Server 10.04 LTS. En el caso de Windows Server 2008 R2 trataremos las dos formas posibles de trabajar en el sistema (mediante la interfaz grfica y la interfaz de texto), en el caso de Ubuntu Server 10.04 LTS slo veremos la interfaz de texto debido a que as es como se suele utilizar por los administradores para optimizar recursos.

A continuacin veremos algunos detalles de las tareas de administracin en red en los principales sistemas operativos: Windows y Linux.

Pablo es el encargado de llevar a cabo las tareas administracin en todos los sistemas operativos en red que hay en la empresa donde trabaja.

caso prctico inicial


Tareas de administracin I 105

Windows

Los sistemas operativos en red de Windows, es decir, las versiones Windows Server, disponen de multitud de aplicaciones para realizar las tareas que hemos visto anteriormente, aunque la mayora de las herramientas utilizan modo grfico, tambin las hay en modo texto (comandos en el smbolo del sistema y cmdlets en PowerShell).

La mayora de las tareas de administracin en la versin Windows Server se realizan mediante la instalacin y configuracin de roles y caractersticas, por ejemplo, la gestin de usuarios y grupos se realiza mediante el rol del Directorio Activo, otro ejemplo es el rol Windows Server Update Services (WSUS), que permite a los administradores de red especificar las actualizaciones de Microsoft que se deben instalar.

Linux

Las versiones de servidores para Linux pueden asumir cualquier funcin, esto per-mite realizar un gran nmero de tareas administrativas, por ejemplo, el servicio OpenSSH (Open Secure Shell), que permite administrar el servidor utilizando el protocolo SSH, otro ejemplo es el servicio para compartir recursos como archivos e impresoras mediante Samba.

Los servicios de Linux como OpenSSH, Samba, etc. se pueden instalar en cual-quier momento gracias a las herramientas de gestin de paquetes.

2. Administracin de usuarios y grupos

2.1. Introduccin

Los sistemas operativos actuales pueden ser utilizados por uno o varios usuarios, en algunos sistemas el acceso a este uso puede ser simultneo.

La forma de comunicarse puede ser mediante interfaces de modo texto e interfa-ces de modo grfico. Cuando hablamos de interfaces de texto nos referimos a las lneas de comando, y con interfaces grficas a herramientas grficas.

Los usuarios se pueden crear en local o en red, la gestin de usuarios locales slo afecta al equipo desde el que se crean, modifican, eliminan, etc. En el caso de la gestin de usuarios en red, afecta a todos los equipos de la red. En este libro vamos a tratar nicamente la creacin de usuarios en red.

En la mayora de los sistemas operativos, las personas que los utilizan necesitan autentificarse mediante una cuenta de usuario y, adems, tener autorizacin para utilizar recursos.

La cuenta de usuario consiste en un nombre de usuario y una contrasea (password), en algunos sistemas operativos estos dos elementos forman un conjunto de creden-ciales y sirven para identificar a una persona. Utilizar contraseas es un mtodo para autentificarse, pero no es el nico, hay otros mtodos como, por ejemplo, el uso de tarjetas inteligentes que tienen la identidad grabada.

Los usuarios tienen distintos privilegios y restricciones, el usuario que ms privi-legios tiene es el administrador en Windows y el root en Linux.

En WSUS se pueden crear distin-tos grupos de ordenadores para instalar actualizaciones. Tambin permite realizar informes sobre las actualizaciones que necesita un equipo o que ya se han instala-do. En definitiva, esta herramienta ayuda bastante en la actualizacin del sistema operativo y de las apli-caciones.

saber ms

La descarga e instalacin de paquetes se realiza mediante el sistema de gestin de paquetes, con este sistema se puede bus-car, descargar, instalar, actualizar, desinstalar y verificar programas.

recuerda

Una de las tareas que realiza Pablo es la administracin de usuarios y grupos en su empresa, esta tarea implica crear cuentas de usuarios, perfiles y grupos.



106 Unidad 4

A continuacin vamos a ver algunos matices para las dos principales familias de sistemas operativos.

Windows

Hay varias caractersticas que estn relacionadas con la administracin de usua-rios y grupos en los sistemas operativos Windows:

Cuenta de usuario.

Listas de control de acceso.

Perfil de usuario.

Directivas de grupo.

Cuenta de usuario

Las cuentas de usuario se pueden utilizar de forma local o en red, en este caso las que nos interesan son en red. Las cuentas de usuario se crean en un dominio de Active Directory, esto permite a un usuario de un dominio poder iniciar sesin en cualquier ordenador que forme parte del dominio, o bien en algn dominio de confianza.

a Figura 4.1. Dominio red.local en Usuarios y grupos de Active Directory.

Listas de control de acceso

Para utilizar recursos se requiere autorizacin, cada recurso tiene una lista don-de aparecen los usuarios que pueden usar dicho recurso, estas listas se conocen como ACL (Access Control List, o Lista de Control de Acceso). El funciona-miento es el siguiente: cuando un usuario intenta acceder a un recurso, ste comprueba en la lista de control de acceso si dicho usuario tiene permiso o no para utilizarlo.

La lista de control de acceso se compone de identificadores de seguridad (SID, Security IDentifier) y permisos. Los identificadores de seguridad son unos va-lores nicos de longitud variable que se utilizan para identificar a usuarios y grupos.

Para conocer el SID de un usuario que ha iniciado sesin se puede utilizar la utilidad whoami, que est presente en todas las versiones de Windows. Dicha

El Directorio Activo es el elemento fundamental que agrupa todos los objetos (por ejemplo equipos y usuarios) que se administrarn de forma estructurada y jerrquica.

recuerda

En la empresa hay varios servido-res que tienen sistemas operativos en red: Windows Server 2008 R2 y Ubuntu Server 10.04, esto quie-re decir que Pablo tiene que saber crear usuarios en el Directorio Acti-vo tanto en modo grfico como en modo comando, y tambin cono-cer cmo crear usuarios en modo comando en Ubuntu Server.


Los permisos en Windows se vern en prximas unidades.

saber ms



utilidad permite obtener informacin del usuario o grupo junto con sus respecti-vos identificadores de seguridad (SID). Para ejecutar la utilidad se ejecuta sobre el smbolo del sistema o PowerShell el siguiente comando:

whoami /user

En el caso de tener instalado el Directorio Activo, se puede conocer el SID de cualquier usuario en Windows Server 2008 R2 mediante un cmdlet en PowerShell, dicho cmdlet se carga mediante el Mdulo de Active Directory para Windows Power-Shell, la forma de utilizar el cmdlet es la siguiente:

Get-ADUser usuario

Escribimos el cmdlet junto con un nombre de usuario y se mostrar informacin sobre el usuario, en concreto muestra el SID.

a Figura 4.2. SID de usuario utilizando whoami.

a Figura 4.3. SID de usuario utilizando Get-ADUser.

Perfil de usuario

Los perfiles de usuario definen entornos de escritorio personalizados en los que se incluye la configuracin de cada usuario, por ejemplo, la configuracin de la pantalla, las conexiones de red y de impresoras, etc. El usuario o el administra-dor del sistema pueden definir las caractersticas del entorno del escritorio. La personalizacin del entorno de escritorio efectuada por un usuario no afecta a la configuracin del resto de los usuarios.

Cuando los usuarios inician de nuevo la sesin en sus estaciones de trabajo, reci-ben la configuracin de escritorio que tenan al terminar la ltima sesin.


108 Unidad 4

Los perfiles que vamos a tratar en este apartado estn relacionados con la red, hay varios tipos de perfiles:

Perfil de usuario mvil. Son perfiles creados por el administrador del sistema, almacenndose en un servidor. Estos perfiles estn disponibles siempre que el usuario inicia una sesin en cualquier equipo de la red. Los cambios efectuados se guardan en el servidor.

Perfil de usuario obligatorio. Son perfiles que se utilizan para especificar confi-guraciones particulares de usuarios o grupos de usuarios. Slo los administrado-res del sistema pueden realizar cambios en los perfiles de usuario obligatorios.

Perfil de usuario temporal. Se emiten siempre que una condicin de error im-pide la carga del perfil del usuario. Este tipo de perfil se elimina al final de cada sesin. Los cambios realizados por el usuario en la configuracin del escritorio y de los archivos se pierden cuando se cierra la sesin.

Directivas de grupo

Las directivas permiten a los administradores configurar el sistema operativo. Estas configuraciones se pueden hacer en local o en red, en este apartado slo veremos las locales. En general las directivas modifican el Registro de Windows.

Linux

Hay varias caractersticas que estn relacionadas con la administracin de usua-rios y grupos en los sistemas operativos Linux:

Cuenta de usuario.

Permisos.

Perfil de usuario.

Cuenta de usuario

Es un sistema multiusuario, es decir, permite que varios usuarios accedan al siste-ma de forma simultnea. Para que un usuario acceda al sistema es necesario que se valide mediante un programa denominado login, en l el usuario introduce un nombre y una contrasea. La forma de hacer login puede ser en local o en red, de forma local se inicia sesin desde el mismo equipo, mientras que en red se accede remotamente al servidor.

Permisos

El acceso a los recursos se controla mediante permisos a los usuarios y a los grupos.

Perfil de usuario

Cada usuario tiene una carpeta de trabajo, el perfil de cada usuario es indepen-diente del resto de usuarios.

2.2. Usuarios

Las personas que quieren utilizar un sistema operativo necesitan disponer de un nombre de usuario y una contrasea.

Los usuarios deberan ser nicos e individuales, aunque a veces no es as, esto conlleva un importante riesgo de seguridad porque no se identifica correctamente a los usuarios dentro del sistema.

En la prctica profesional de esta unidad veremos ms en detalle las directivas de grupo.

saber ms



Algunas recomendaciones sobre la utilizacin de usuarios:

Desactivar las cuentas de usuario que no se utilizan.

Evitar la utilizacin de cuentas genricas y que no identifiquen al usuario como, por ejemplo, alumno, usuario, etc.

Fijar contraseas seguras en las cuentas de usuario, estableciendo la vigencia mxima y mnima de una contrasea, as como una longitud mnima y unos requisitos de complejidad.

Cambiar la contrasea al iniciar la sesin en el caso de que haya una contra-sea por defecto.

No utilizar las cuentas de administrador para realizar tareas bsicas.

Crear distintas cuentas de usuarios administradores para cada uno de los admi-nistradores que van a iniciar sesin en el ordenador.

Reducir el nmero de usuarios que tienen permiso de administrador en el sistema.

Cambiar el nombre de la cuenta de administrador.

Para crear un usuario es necesario tener permisos especiales, no todos los usuarios pueden crear otros usuarios.

Para crear un usuario hay que seguir algunas normas, esto facilita recordar los nombres y llevar un control adecuado. Algunas pueden ser:

El nombre de usuario tiene que ser nico.

La longitud del nombre de usuario debera ser similar para todos usuarios, es decir, del mismo nmero de caracteres.

Se pueden incluir letras, dgitos y algunos caracteres para crear el nombre.

Cuando hay que crear un gran nmero de usuarios, se puede utilizar la nomen-clatura nombre y tres primeras letras del apellido. Por ejemplo, el usuario para Isabel Martn sera v198isamar2011.

Al nombre de usuario podemos aadirle algn carcter identificativo, por ejemplo, los usuarios del departamento de ventas pueden tener el carcter v delante del nombre. Por ejemplo, v198isamar2011.

Veamos algunas caractersticas sobre los usuarios en las dos principales familias de sistemas operativos.

Windows

En la mayora de las versiones de Windows hay dos cuentas de usuario predefini-das que se crean en el proceso de instalacin, son las siguientes:

Cuenta de administrador. Tiene control total sobre el sistema operativo y puede realizar tareas como crear otras cuentas de usuario, asignar permisos, ejecutar, instalar, borrar, etc. Esta cuenta se tiene que utilizar slo en momen-tos puntuales. Una recomendacin es mantener la cuenta con una contrasea segura.

Cuenta de invitado. Es una cuenta que pueden utilizar los usuarios que no tienen una cuenta en el sistema operativo. Tiene restringida la instalacin de programas o hardware, as como cambiar cualquier configuracin o contrase-a. Esta cuenta est desactivada por defecto, es necesario activarla para poder utilizarla.


110 Unidad 4

Adems de las cuentas que vienen por defecto, se pueden crear nuevas cuentas.

En las versiones de Windows Server la gestin de usuario se realiza desde el Direc-torio Activo y se puede trabajar utilizando la interfaz de texto y la interfaz grfica.

Linux

En Linux distintos usuarios pueden iniciar sesin, pueden hacerlo a la vez o no, esto es lo que denominamos sistema operativo multiusuario. La forma de iniciar sesin se puede realizar de forma local o en red.

El usuario con ms privilegios es el superusuario llamado root, este usuario tiene acceso total al sistema, pudiendo instalar, modificar y eliminar cualquier archivo o programa, es la cuenta que primero se crea cuando se instala el sistema ope-rativo. Trabajar con este usuario es potencialmente peligroso, en algunas distri-buciones de Linux el usuario root slo se utiliza para realizar algunas tareas de administracin, es decir, que por defecto no se puede inicia sesin con esa cuenta. Siempre que sea necesario realizar alguna tarea de administracin, el sistema pide la contrasea.

Para crear usuarios es necesario tener permisos, en general lo suele hacer el usua-rio root.

Cuando se crea un nuevo usuario, se crea por defecto una nueva carpeta dentro del directorio /home con el nombre del usuario, en el caso del root la carpeta est en el directorio raz /root. Adems de la nueva carpeta, se aade una lnea en el fichero etc/passwd con todos los datos del nuevo usuario, dentro de dicho fichero se encuentran los datos de todos los usuarios, siendo cada fila del mismo un usua-rio distinto, es un archivo de texto codificado en ASCII. La informacin de cada usuario est dividida en 7 campos delimitados cada uno por dos puntos (:). Cada lnea contiene la siguiente informacin del usuario:

Nombre : contrasea : id_usuario : id_grupo : comentario : dir_usuario : Shell

Un punto muy importante y al que nos hemos referido anteriormente es el de las contraseas, el fichero en donde se guardan las contrasea es /etc/shadow, este fichero slo puede ser ledo por el root, adems la contrasea est encriptada.

El archivo /etc/shadow contiene una lnea para cada usuario, cada lnea est divi-dida en 9 campos con la siguiente informacin:

Nombre : contrasea_encriptada: ltimo cambio : mnimo : mximo : aviso : inactividad : expiracin : reservado

Operaciones

Las operaciones que se pueden realizar con los usuarios son:

Crear o modificar.

Cambiar contrasea.

Eliminar.

Dependiendo del modo (texto o grfico) en que se realicen las operaciones, es necesario utilizar unos programas u otros.

En este apartado veremos cmo hacer operaciones en los dos principales sistema operativos. En el caso de Windows veremos cmo se realizan sobre el Directorio Activo tanto en modo texto como en modo grfico, en concreto se realizarn las

Campos del fichero passwdNombre (campo 1).

Contrasea (campo 2).

Id_usuario (campo 3).

Id_grupo (campo 4).

Comentario (campo 5).

Dir_usuario (campo 6).

Shell (campo 7).

Campos del fichero shadowNombre (campo 1).

Contrasea_encriptada (campo 2).

ltimo cambio de contrasea (campo 3).

Mnimo nmero de das que deben transcurrir (campo 4).

Mximo nmero de das que deben transcurrir (campo 5).

Das que quedan para que la contrasea expire (campo 6).

Inactividad en nmero de das despus de que expire la con-trasea (campo 7).

Expiracin en nmero de das de la cuenta (campo 8).

Reservado (campo 9).

recuerda



operaciones sobre el Directorio Activo instalado en Windows Server 2008 R2. En el caso de Linux veremos cmo se realizan las operaciones en modo texto, en concreto se realizarn las operaciones sobre Ubuntu Server 10.04 LTS, que slo tiene versin de texto.

Operaciones en WindowsLas operaciones con usuarios en Windows Server 2008 R2 se realizan en el Di-rectorio Activo tanto en modo texto mediante la lnea de comando PowerShell (es necesario tener cargado el Mdulo Active Directory) como en modo grfico mediante la herramienta Usuarios y equipos de Active Directory. Las operaciones se resumen en la siguiente tabla:

En la siguiente direccin se pue-den ver ms cmdlets para manejar el Directorio Activo:

http://technet.microsoft.com/en-us/library/ee617195.aspx

saber ms

TareaModo texto (PowerShell)

Modo grfico (Usuarios y equipos de Active Directory)

Mostrar usuarios

Get-ADUser1. Ejecutar Usuarios y equipos de Active Directory.2. Situarse en el dominio y ver los usuarios, tambin se puede pulsar en las distintas uni-

dades organizativas y carpetas para ver los usuarios que contienen.

Crear usuario

New-ADUser Name nombredeusuario

1. Ejecutar Usuarios y equipos de Active Directory.

2. Situarse en el dominio, pulsar botn de la derecha (men contextual), seleccionar Nuevo y elegir la opcin Usuario.

3. Se muestra una pantalla en la que hay que cumplimentar los siguientes apartados:a. Nombre. Nombre del usuario, la longitud puede ser de hasta 28 caracteres.b. Iniciales. Iniciales del usuario, la longitud puede ser de hasta 6 caracteres.c. Apellidos. Apellidos del usuario, la longitud puede ser de hasta 29 caracteres.d. Nombre completo. Nombre completo del usuario, la longitud puede ser de hasta

64 caracteres.e. Nombre de inicio de sesin de usuario. Nombre que se utilizar para iniciar sesin,

la longitud puede ser de hasta 36 caracteres. Es conveniente seguir algn criterio al crear nombres de inicio de sesin.

f. Nombre de inicio de sesin de usuario (anterior a Windows 2000). La longitud puede ser de hasta 20 caracteres.

Los datos fundamentales que hay que rellenar son el nombre de usuario y el nombre de inicio de sesin, despus se pulsa el botn Siguiente.

4. En la siguiente pantalla cumplimentar los siguientes apartados:a. Contrasea. Escribir la contrasea del usuario. Es conveniente seguir algn criterio

al asignar contraseas a usuarios.

b. Confirmar contrasea. Volver a escribir la contrasea del usuario.c. El usuario debe cambiar la contrasea al iniciar una sesin de nuevo. Activar esta

opcin indica que el usuario deber cambiar la contrasea cuando inicie sesin.

d. El usuario no puede cambiar de contrasea. Activar esta opcin indica que el usuario no puede cambiar la contrasea.

e. La contrasea nunca caduca. Activar esta opcin indica que la contrasea nunca caduca.

f. La cuenta est deshabilitada. Activar esta opcin indica que la cuenta no est habili-tada.

Una vez escrita la contrasea y la confirmacin de la contrasea, se puede pulsar el botn Siguiente.

5. En la ltima pantalla aparece un resumen de lo que acabamos de confirmar, si todo es correcto pulsamos el botn Finalizar.


112 Unidad 4

(continuacin)

ejemplo

Crear un usuario llamado usuario1 con la contrasea P@ssword1 en el dominio red.local que se ha instalado en Windows Server 2008 R2. Tam-bin ser necesario habilitar la cuenta.

Solucin

Modo texto (PowerShell)

1. Cargar el en PowerShell el mdulo Active Directory, ejecutar el cmdlet:

import-module ActiveDirectory

2. Crear un usuario con el nombre usuario1, ejecutar el cmdlet:

New-ADUser Name usuario1

Set-ADAccountPassword -Identity usuario1

TareaModo texto (PowerShell)

Modo grfico (Usuarios y equipos de Active Directory)

Cambiar contraseaSet-ADAccountPassword

-Identity nombredeusuario


2. Situarse en el dominio y ver los usuarios, tambin se puede pulsar en las distintas unidades organizativas y carpetas para ver los usua-rios que contienen.

3. Una vez tenemos un usuario escogido, pulsar botn de la derecha (men contextual), seleccionar Restablecer contrasea.

Eliminar usuarioRemove-ADUser

Name nombredeusuario

1. Ejecutar Usuarios y equipos de Active Directory. A partir de aqu va en el punto 2, como en el resto de casos.

2. Situarse en el dominio y ver los usuarios, tambin se puede pulsar en las distintas unidades organizativas y carpetas para ver los usua-rios que contienen.

3. Una vez tenemos un usuario escogido, pulsar botn de la derecha (men contextual), seleccionar Eliminar.

Habilitar una cuentaEnable-ADAccount


1. Ejecutar Usuarios y equipos de Active Directory. Situarse en el domi-nio y ver los usuarios, tambin se puede pulsar en las distintas uni-dades organizativas y carpetas para ver los usuarios que contienen.

2. Una vez que tenemos un usuario escogido, pulsar botn de la dere-cha (men contextual), seleccionar Propiedades.

3. Dentro del men Propiedades pulsar la pestaa Cuenta, en opcio-nes de cuenta, marcar la opcin La cuenta est deshabilitada.

Deshabilitar una cuentaDisable-ADAccount


1. Ejecutar Usuarios y equipos de Active Directory. Situarse en el domi-nio y ver los usuarios, tambin se puede pulsar en las distintas uni-dades organizativas y carpetas para ver los usuarios que contienen.

2. Una vez tenemos un usuario escogido, pulsar botn de la derecha (men contextual), seleccionar Propiedades.

3. Dentro del men Propiedades pulsar la pestaa Cuenta, en opcio-nes de cuenta, desmarcar la opcin La cuenta est deshabilitada.



Adems de las operaciones en modo texto con PowerShell y en modo grfico, tambin se pueden crear usuarios con el comando net user, tal y como se resume en la siguiente tabla:

Tarea Modo texto (Smbolo del sistema o PowerShell)

Mostrar usuarios net user

Crear usuario local net user nombredeusuario [contrasea | *] /add

Cambiar contrasea net user nombredeusuario [contrasea | *]

Eliminar usuario net user nombredeusuario /del

3. Escribir el nuevo password para el usuario1.

4. Habilitar la cuenta, ejecutar el cmdlet:

Enable-ADAccount -Identity usuario1

Modo grfico

Pasos:


2. Para crear un usuario hay que situarse en el dominio, pulsar botn de la derecha (men contextual), seleccionar Nuevo y elegir la opcin Usuario, escribir el nombre usuario1. Pulsar el botn Siguiente.

a Figura 4.4.

3. En la siguiente ventana se escribe y se confirma la contrasea, despus pulsar el botn Siguiente.

El comando net user admite otras opciones como por ejemplo:

/active:{yes | no}

/coment:texto

Para ver ms opciones que se pue-den aplicar al comando se puede ejecutar la ayuda:

net help user | more

saber ms


114 Unidad 4

Operaciones en Linux

Las operaciones con usuarios se resumen en la siguiente tabla:

Tarea Modo texto (Bash)

Crear usuariouseradd nombredeusuario

adduser nombredeusuario

Modificar usuario usermod nombredeusuario

Cambiar contrasea passwd nombredeusuario

Eliminar usuario userdel nombredeusuario

2.3. Grupos

Un grupo es un conjunto de usuarios que simplifica la administracin y la asigna-cin de permisos, concedindolos a todo un grupo de usuarios a la vez, en lugar de concederlos a cuentas de usuarios individuales. Los usuarios pueden pertenecer a uno o a varios grupos distintos.

Al crear un grupo hay que seguir algunas normas:

El nombre de los grupos tiene que ser identificativo y representar al conjunto de usuarios que engloba.

La longitud del nombre del grupo debera ser similar para todos los grupos.

Se pueden incluir letras, dgitos y algunos caracteres para crear el nombre.

Windows

Los usuarios se pueden asociar en grupos, de esta forma es ms sencillo asignar permisos para el acceso a determinados recursos, delegar funciones, etc.

Al igual que en el apartado de usuarios, en esta ocasin vamos a tratar los grupos de los servicios de dominio de Active Directory. Los grupos son objetos de di-rectorio que residen en dominios o unidades organizativas, etc.

Cuando se instala el Directorio Activo, ste crea unos grupos predeterminados a los que se les asigna automticamente un conjunto de derechos de usuario que

Para dar de alta un usuario en Linux se pueden utilizar los com-mandos adduser o useradd, la dife-rencia estriba en que si empleamos useradd, hay que especificar en la lnea de comandos toda la infor-macin del usuario (excepto la contrasea que es necesaria para crear la cuenta, que requerira el comando passwd). En cambio, si se utiliza adduser, ste pide la informacin sobre el usuario mien-tras se ejecuta el comando.

saber ms

ejemplo

Crear un usuario llamado usuario1 con la contrasea P@ssword1 en Ubuntu Server 10.04 LTS.

Solucin

Modo texto (Bash)

Mediante el comando:

adduser usuario1

El comando va haciendo preguntas para crear el usuario.



autorizan a los miembros del grupo a realizar acciones como, por ejemplo, iniciar sesin, realizar copias de seguridad, etc. Por ejemplo, un miembro del grupo de operadores de copia puede realizar copias de seguridad en el dominio. Los grupos predeterminados se encuentran en el contenedor Builtin y en Usuarios. Adems de los grupos predeterminados, tambin se pueden crear nuevos grupos y aadir-los al dominio o a las unidades organizativas.

Dentro de un dominio es fun-damental que haya al menos un controlador de dominio, aunque puede haber varios. Su funcin es almacenar objetos del directorio activo como, por ejemplo, las uni-dades organizativas o las cuentas de usuario.

recuerda

Para ms informacin sobre los grupos predeterminados, pode-mos acceder al siguiente enlace:

http://technet.microsoft.com/es -es/library/cc756898%28WS.10%29.aspx

saber ms

ejemplo

Grupos predeterminados en Windows Server 2008 R2:

Grupos integrados en Builtin:

Operadores de cuentas. Los miembros de este grupo pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentren en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, todo excepto la unidad organizativa Contro-ladores de dominio.

Administradores. Los miembros de este grupo dominan por completo todos los controladores del dominio. De forma predeterminada los gru-pos Administradores del dominio y Administradores de organizacin son miembros del grupo Administradores.

Operadores de copia de seguridad. Los miembros de este grupo pue-den realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos indivi-duales en esos archivos.

Invitados. De forma predeterminada, el grupo Invitados del dominio es un miembro de este grupo.

Creadores de confianza de bosque de entrada (slo aparece en el dominio raz del bosque). Los miembros de este grupo pueden crear confianzas de bosque de entrada unidireccionales en el dominio raz del bosque.

Operadores de configuracin de red. Los miembros de este grupo pueden modificar la configuracin TCP/IP, as como renovar y liberar las direcciones TCP/IP en los controladores del dominio.

Usuarios del monitor de sistema. Los miembros de este grupo pue-den supervisar los contadores de rendimiento en los controladores del dominio.

Usuarios del registro de rendimiento. Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio.

Acceso compatible con versiones anteriores a Windows 2000. Los miembros de este grupo tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la com-patibilidad con versiones anteriores en los equipos con Windows NT 4.0 y anteriores.

Operadores de impresin. Los miembros de este grupo pueden admi-nistrar, crear, compartir y eliminar impresoras que estn conectadas a los controladores del dominio.


116 Unidad 4

Usuarios de escritorio remoto. Los miembros de este grupo pueden iniciar la sesin en los controladores del dominio de forma remota.

Replicador. Este grupo admite funciones de replicacin de directorio y el servicio de replicacin de archivos lo utiliza en los controladores del dominio.

Operadores de servidores. En los controladores de dominio los miem-bros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo.

Usuarios. Los miembros de este grupo pueden realizar las tareas ms habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, as como bloquear el servidor.

Grupos integrados en Usuarios:

Publicadores de certificados. Los miembros de este grupo tienen per-mitida la publicacin de certificados para usuarios y equipos.

DnsAdmins (instalado con DNS). Los miembros de este grupo tienen acceso administrativo al Servidor DNS.

DnsUpdateProxy (instalado con DNS). Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinmicas en lugar de otros clientes, como los servidores DHCP.

Administradores de dominio. Los miembros de este grupo controlan el dominio por completo.

Equipos del dominio. Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio.

Controladores de dominio. Este grupo contiene todos los controla-dores del dominio.

Invitados del dominio. Este grupo contiene todos los invitados del dominio.

Usuarios del dominio. Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario crea-das en el dominio pasan a ser miembros de este grupo automtica-mente.

Administradores de organizacin (slo aparece en el dominio raz del bosque). Los miembros de este grupo controlan por completo todos los dominios del bosque.

Propietarios del creador de directiva de grupo. Los miembros de este grupo pueden modificar la directiva de grupo en el dominio.

IIS_WPG. Es el grupo de procesos de trabajo de los servicios de Internet Information Server (IIS).

Servidores RAS e IAS. Los servidores de este grupo tienen permitido el acceso a las propiedades de acceso remoto de los usuarios.

Administradores de esquema (slo aparece en el dominio raz del bosque). Los miembros de este grupo pueden modificar el esquema de Active Directory.



Los grupos tienen dos caractersticas fundamentales que son el mbito y el tipo.

El mbito de un grupo determina el alcance del grupo dentro de un dominio o bosque, existen tres mbitos de grupo:

Local de dominio. Los miembros de los grupos locales de dominio pueden incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 y Windows Server 2008 R2. A los miembros de estos grupos slo se les pueden asignar permisos dentro de un dominio.

Global. Los miembros de los grupos globales pueden incluir slo otros grupos y cuentas del dominio en el que se encuentre definido el grupo. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.

Universal. Los miembros de los grupos universales pueden incluir otros gru-pos y cuentas de cualquier dominio del bosque o del rbol de dominios. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque o del rbol de dominios.

El tipo de grupo determina si se puede usar un grupo para asignar permisos desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo slo para las listas de distribucin de correo electrnico (para grupos de distribucin).

Linux

En Linux, por defecto, cuando se crea un usuario tambin se le aade a un grupo con el mismo nombre. Gracias a los grupos se pueden dar privilegios a un con-junto de usuarios.

A igual que con los usuarios, tambin hay un archivo que guarda la relacin de los grupos a los que pertenecen los usuarios del sistema, este fichero se llama /etc/group.

La informacin de cada usuario est dividida en distintos campos delimitados cada uno por dos puntos (:).

Cada lnea contiene la siguiente informacin:

Nombre: contrasea : id_grupo : miembros_grupo

Campos del fichero groupNombre (campo 1).

Contrasea (campo 2).

Id_grupo (campo 3).

Miembros_grupo (campo 4).

recuerda

ejemplo

Grupos predeterminados (nombres e identificadores de grupo) en Ubun-tu Server 10.04 (algunos grupos):

root:x:0 mail:x:8 src:x:40

daemon:x:1 news:x:9 gnats:x:41

bin:x:2 uucp:x:10 shadow:x:42

sys:x:3 man:x:12 utmp:x:43:

adm:x:4 backup:x:34 video:x:44

tty:x:5 operator:x:37 games:x:60

disk:x:6 list:x:38 nogroup:x:65534

lp:x:7 irc:x:39 crontab:x:101


118 Unidad 4

Operaciones

Las operaciones que se pueden realizar con los grupos son:

Crear o modificar.

Aadir usuarios a un grupo.

Eliminar.

Dependiendo del modo (texto o grfico) en que se realicen las operaciones, es necesario utilizar unos programas u otros.

En este apartado veremos cmo hacerlo en los dos principales sistema operativos. En el caso de Windows veremos cmo se realizan las operaciones sobre el Directo-rio Activo tanto en modo texto como en modo grfico, en concreto se realizarn las operaciones sobre el Directorio Activo instalado en Windows Server 2008 R2. En el caso de Linux veremos cmo se realizan las operaciones en modo texto, en concreto se realizarn las operaciones sobre Ubuntu Server 10.04, que slo tiene versin de texto.

Operaciones en Windows

Las operaciones con grupos en Windows Server 2008 R2 se realizan en el Di-rectorio Activo tanto en modo texto mediante la lnea de comando PowerShell (es necesario tener cargado el Mdulo Active Directory) como en modo grfico mediante la herramienta Usuarios y equipos de Active Directory. Las operaciones se resumen en la siguiente tabla:

Tarea Modo texto (PowerShell) Modo grfico

Mostrar grupos

Get-ADGroup


2. Situarse en el dominio y ver los grupos, tambin se puede pul-sar en las distintas unidades organizativas y carpetas para ver los grupos que contienen.

Crear grupo

New-ADGroup

Name nombredegrupo

-GroupScope mbitodegrupo

-GroupCategory tipodegrupo


2. Situarse en el dominio, pulsar botn de la derecha (men contextual), seleccionar Nuevo y elegir la opcin Grupo.

3. Se muestra una pantalla en la que hay que cumplimentar los siguientes apartados:

a. Nombre de grupo. Nombre que se asigna al grupo, la longitud puede ser de hasta 64 caracteres.

b. mbito de grupo. Tipo de mbito de grupo (dominio local, global, universal).

c. Tipo de grupo. Tipo de grupo (seguridad o distribucin).

Una vez que se ha rellenado todo pulsamos en el botn Aceptar.



Tarea Modo texto (PowerShell) Modo grfico

Aadir usuarios

a un grupo

Add-ADGroupMember nombredegrupo usuariosparaagregar


2. Situarse en el dominio y ver los grupos, tambin se puede pulsar en las distintas unida-des organizativas y carpetas para ver los grupos que con-tienen.

3. Una vez tenemos un grupo escogido, pulsar botn de la derecha (men contextual), seleccionar Propiedades.

4. En la ventana que se abre pul-sar la pestaa de Miembros, despus pulsar en el botn Agregar y buscar los nombres de usuarios que vamos aadir al grupo, cuando se acabe de agregar usuarios se pulsa el botn Aceptar.

Eliminar grupo

Remove-ADGroup -Identity nombredeusuario


2. Situarse en el dominio y ver los grupos, tambin se puede pul-sar en las distintas unidades organizativas y carpetas para ver los grupos que contienen.

3. Una vez tenemos un grupo escogido, pulsar botn de la derecha (men contextual), seleccionar Eliminar.

ejemplo

Crear un grupo llamado grupo1 en el dominio red.local que se ha instala-do en Windows Server 2008 R2. El grupo ser de mbito Global y de tipo Distribucin. Al grupo hay que aadirle el usuario que hemos creado anteriormente, usuario1.

Solucin

Modo texto (PowerShell)

1. Cargar el en PowerShell el Mdulo Active Directory, ejecutar el cmdlet:

import-module ActiveDirectory

2. Crear un grupo con el nombre grupo1, ejecutar el cmdlet:

New-ADGroup -Name grupo1 GroupScope Global GroupCategory Distribution


120 Unidad 4

Modo grfico

Pasos:


2. Crear un grupo, hay que situarse en el dominio, pulsar botn de la derecha (men contextual), seleccionar Nuevo y elegir la opcin Grupo, escribir el nombre grupo1. Marcar el mbito de grupo Global y el tipo de grupo Seguridad, despus pulsar el botn Aceptar.

a Figura 4.5.

3. Ahora hay que aadir el usuario1 al grupo, buscamos el grupo dentro del dominio, pulsamos encima de l, en Miembros pulsamos en en el botn Agregar para aadir usuarios, en este caso buscamos el usuario1, cuando lo hayamos localizado aparecer como un nuevo miembro, entonces pode-mos finalizar pulsando el botn Aplicar y despus el botn Aceptar.

a Figura 4.6.



Adems de las operaciones en modo texto con PowerShell y en modo grfico, tambin se pueden crear usuarios con el comando net localgroup, tal como se re-sume en la siguiente tabla:

Tarea Modo texto (PowerShell)

Mostrar grupos net localgroup

Crear grupo net localgroup nombredegrupo /add

Aadir usuario a un grupo net localgroup nombredegrupo usuariosparaagregar /add

Eliminar grupo net localgroup nombredegrupo /del

Operaciones en Linux

Las operaciones con grupos se resumen en la siguiente tabla:

Tarea Modo texto (Bash)

Crear grupogroupadd nombredelgrupo

addgroup nombredelgrupo

Eliminar grupo delgroup nombredelgrupo

ejemplo

Crear un grupo llamado grupo1 en Ubuntu Server 10.04 LTS.

Solucin

Modo texto (Bash)


addgroup grupo1

Eliminar un grupo llamado grupo2 en Ubuntu Server 10.04 LTS.

Solucin

Modo texto (Bash)


delgroup grupo2

actividades

1. Crear un usuario que se llame Mara (tanto en el Directorio Activo de Windows Server 2008 R2 como en Ubuntu Sever 10.04). En el caso de Windows Server hay que hacerlo en modo de texto (utilizando cmdlets de PowerShell) y en modo grfico. En el caso de Ubuntu, slamente en modo texto.

2. Crear un grupo llamado Alumnos y aadir el usuario Mara (tanto en el Directorio Activo de Windows Server 2008 R2 como en Ubuntu Sever 10.04). En el caso de Windows Server hay que hacerlo en modo de texto (utilizando cmdlets de PowerShell) y en modo grfico. En el caso de Ubuntu, slamente en modo texto.


122 Unidad 4

PRCTICA PROFESIONAL

directivas de grupo en Windows server 2008 R2

OBJETIVOS

Explicar cmo configurar las directivas de grupo en Windows Server 2008 R2.

DESARROLLO

En esta prctica se explican los siguientes puntos:

Introduccin a las directivas de grupo. Administracin de directivas de grupo. Instalar la caracterstica de la consola de administracin de directivas de grupo (GPMC). Configurar directivas de grupo. Crear y vincular un objeto de directiva de grupo para bloquear los dispositivos USB.

Introduccin a las directivas de grupo

Se entiende por directiva de grupo al conjunto de reglas que sirven para administrar equipos y usuarios, las directivas se almacenan en un objeto de directiva de grupo (GPO, Group Policy Object). Un GPO puede contener distintas directivas.

Las directivas permiten a los administradores configurar el sistema operativo, estas configuraciones se pueden hacer en local o en red. Los GPO se pueden aplicar a ordenadores, unidades organizativas, dominios, etc.

Cuando un GPO se aplica en un ordenador y de forma local, se conoce como LGPO (Local Group Policy Object, Pol-ticas de grupo local del equipo) y se configuran desde MMC. Las polticas locales se pueden configurar para usuarios o equipos. En versiones anteriores de Windows slo se aplicaban al equipo y a todos los usuarios por igual, no haba posibilidad de configurar para un nico usuario, sin embargo desde Windows Vista se pueden configurar usuarios individualmente.

Hay varios programas y herramientas interesantes que estn relacionados con las directivas de grupo locales (se pueden ejecutar desde el smbolo de sistema o PowerShell):

Programa, comando, fichero Resultado de la ejecucin

gpedit.msc Abre el editor de directiva de grupo

secpol.msc Abre la configuracin de seguridad local

rsop.msc Abre el conjunto resultante de directivas

GpresultInformacin de las polticas de grupo aplicadas

a un usuario

Gpupdate Actualiza las polticas de grupo

Las directivas de grupo locales hay que configurarlas una a una en cada ordenador, mientras que las de red se han integrado en el Directorio Activo y se configuran desde una herramienta que se denomina consola de adminis-tracin de directivas de grupo (GPMC, Group Policy Management Console). Esta herramienta est disponible desde Windows Server 2008.

En la consola de administracin de directivas de grupo (GPMC) se editan los objetos de directivas, hay dos grupos principales:

Configuracin del equipo. Directivas que se aplican a los equipos. Configuracin del usuario. Directivas que se aplican a los usuarios.



Las directivas de configuracin relativas al equipo se aplican cuando se arranca el sistema operativo, y las directivas relativas a los usuarios se aplican cuando se inicia sesin.

Cuando se crea una directiva se guardan los cambios al momento, esto no quiere decir que se apliquen las directi-vas en todos los ordenadores del dominio al momento, es necesario esperar unos minutos. Para asegurarse que se aplican las directivas, cada cierto tiempo se vuelven a aplicar, el periodo oscila entre los 90 y los 120 minutos, esto quiere decir que si se ha producido algn cambio, se aplicar en ese tiempo.

Administracin de directivas de grupo

La directiva de grupo permite configurar el sistema operativo, por ejemplo, para administrar asignaciones de uni-dades, configuracin del registro, usuarios y grupos locales, servicios, archivos y carpetas sin que sea necesario conocer un lenguaje de scripting, etc.

En la consola de administracin de directivas de grupo (GPMC) se editan los objetos de directivas, hay dos grupos principales:

Configuracin del equipo. Configuracin del usuario.

a Figura 4.7.

El contenido de cada una de las configuraciones depende de los complementos que se hayan instalado por defecto. Dentro de la configuracin del ordenador y de la configuracin del usuario existen los siguientes elementos:

Configuracin del software. Contiene los valores de configuracin del software.

Configuracin de Windows. Contiene configuracin de Windows. Dentro de las directivas de grupo locales est la configuracin de seguridad, que se refiere a configuraciones de seguridad como, por ejemplo, al tamao y a la vigencia de las contraseas.

a Figura 4.8.


124 Unidad 4

PRCTICA PROFESIONAL (cont.)

Plantillas administrativas. Este concepto es parte fundamental en las polticas de grupo, son archivos responsa-bles de la configuracin de los usuarios y los equipos. Las plantillas administrativas tienen extensin .admx, estn basadas en XML y residen en la carpeta C:\Windows\PolicyDefinitions (en otras versiones de Windows anteriores estaban en C:\Windows\inf y tenan extensin .adm). Las plantillas no son ms que un conjunto de ficheros que vinculan una poltica determinada de la MMC de polticas de grupo a un cambio en el registro de Windows. Por ejemplo, el fichero MediaCenter.admx especifica las configuraciones del Windows Media Player.

a Figura 4.9.

Desde la versin de Windows Sever 2008 existe un nuevo elemento dentro de la configuracin, son las pre-ferencias. Se ofrecen ms de veinte extensiones de directiva de grupo que amplan el nmero de opciones de preferencias configurables de un GPO. Dentro de las preferencias hay dos bloques que son Configuracin de Windows y Configuracin del Panel de control.

a Figura 4.10.

Hay muchas configuraciones posibles de objetos de directivas de grupo, existen listas que muestran todas las con-figuraciones dependiendo del sistema operativo en donde se configuren y del sistema operativo donde se vayan a implantar. Desde el siguiente enlace se pueden descargar las listas:



http://www.microsoft.com/download/en/details.aspx?id=25250

Las listas disponibles de configuraciones son para:

Windows Server 2003 SP2.

Windows Server 2008 y Windows Vista SP1.

Windows Server2008R2 y Windows 7.

Windows Vista.

En los siguientes apartados veremos un ejemplo sobre la configuracin de objetos de directivas de grupo.

Instalar la caracterstica de la consola de administracin de directivas de grupo (GPMC)

Hay dos formas de instalar la consola:

A. Instalar GPMC mediante la interfaz de usuario del Administrador del servidor:

1. Abrir el Administrador del servidor Inicio Herramientas administrativas Administrador del servidor.

2. En el rbol de consola, pulsar en Caractersticas Agregar caractersticas.

3. En el cuadro de dilogo Asistente para agregar caractersticas seleccionar Administracin de directivas de grupo en la lista de caractersticas disponibles. Seguir los pasos del instalador y terminar con la instalacin de la caracterstica.

4. Cerrar el Administrador del servidor cuando se complete la instalacin.

B. Instalar GPMC mediante la lnea de comandos:

1. Abrir un smbolo del sistema como administrador.

2. En el smbolo del sistema escribir:

ServerManagerCmd -install gpmc

3. Cerrar el smbolo del sistema cuando se complete la instalacin.

Configurar directivas de grupo

Para configurar una directiva es necesario tener permiso para ello, la mejor forma de comprender qu podemos hacer es leyendo todas las posibles configuraciones, para ver una directiva en concreto hay que pulsar encima y una vez escogida podemos hacer lo siguiente:

No configurar la directiva. Habilitarla. Deshabilitarla.

Crear y vincular un objeto de directiva de grupo para bloquear los dispositivos USB

Las directivas de grupo se pueden crear y vincular o no a un dominio o a una unidad organizativa, en este caso se va a crear un objeto de directiva de grupo y despus se vincular a una unidad organizativa.


126 Unidad 4

PRCTICA PROFESIONAL (cont.)

Pasos:

1. Ir a Inicio Herramientas administrativas Administracin de directivas de grupo.

2. Tener creada una unidad organizativa, en este caso hemos creado una que se llama Aulas.

3. Seleccionar la unidad organizativa y pulsar con el botn de la derecha, seleccionar la opcin Crear un GPO en este dominio y vincularlo aqu.

4. Se abre una ventana con el ttulo Nuevo GPO, en el primer apartado hay que escribir un nombre que identifique el GPO, en este caso escribiremos Bloquear dispositivos, en el otro apartado seleccionamos ninguno, despus pulsamos el botn Aceptar.

a Figura 4.11.

5. Al pulsar en la unidad organizativa vemos que hay una GPO creada con el nombre Bloquear USB, el siguiente paso es configurarla, para ello pulsar encima de la directiva con el botn de la derecha y seleccionar la opcin Editar.

6. Una vez abierto el Editor de administracin de directivas de grupo podemos configurar las directivas tanto para equi-pos como para usuarios. En este caso vamos a configurar el Acceso de almacenamiento extrable, para ello hay que navegar por el rbol de directivas: Configuracin del equipo Directivas Plantillas administrativas: definiciones de directiva (archivos ADMX) recuperadas del equipo local Sistema Acceso de almacenamiento extrable Todas las clases de almacenamiento extrable: denegar acceso a todo, habilitar la configuracin y pulsar en el botn Aplicar y despus en el botn Aceptar. Despus cerramos el editor.

a Figura 4.12.



a Figura 4.14.

7. Una vez aplicada la configuracin, podemos comprobar en el ordenador al que se le ha aplicado la directiva de grupo que realmente funciona, la prueba se basa en iniciar sesin en el ordenador y abrir Equipo, despus pulsar en alguna unidad de dispositivo USB y comprobar que no funciona.

a Figura 4.13. Editor de administracin de directivas de grupo.


128 Unidad 4

MUNDO LABORALMUNDO LABORAL

No prestar las contraseas de acceso en la empresaLosLunesAlSol

http://www.tecnologiapyme.com/productividad/no-prestar -las-contrasenas-de-acceso-en-la-empresa

Una de las cuestiones con las que frecuentemente me he encontrado en muchas empresas es el uso de una contrasea que permite ciertos privilegios sobre el res-to de las cuentas de usuario que es utilizada por varios usuarios. Es una cuestin de sentido comn no prestar las contraseas de acceso en la empresa.

Al igual que no prestamos nuestro pin de la tarjeta de crdito, aunque slo sea para una consulta, no debemos prestar nuestro usuario y contrasea bajo nin-gn concepto a otros compaeros en la empresa. Adems esto puede generar problemas a la hora revisar los resultados de auditoras, revisin de accesos a distintos equipos, etc.

Cuando se concede un acceso de usuario privilegiado, que tiene acceso a deter-minados recursos de la empresa, se concede a un usuario en concreto para que esos recursos a los que tenemos limitados el acceso sigan bajo control. El respon-sable del uso o acceso a determinados recursos ser en todo caso el usuario al que se ha concedido acceso y nunca la persona a la cual hemos prestado nuestra identidad para que ejecute determinadas tareas.

Pongamos el caso de un usuario que tiene permitido el acceso a la impresora en color, mientras que el resto no tienen permitido utilizar este recurso. Se ha pres-tado el usuario y la clave para que otro compaero se identifique un da puntual que nosotros estbamos fuera de la oficina. Al final todos los empleados acaban por tener acceso a dicha clave y el recurso limitado deja de estarlo.

Si se produce algn uso indebido y llega el momento de pedir responsabilidades, el responsable ser la persona que tena acceso a este recurso, y ser a l a quin exijan explicaciones sobre el uso que ha realizado de dichos privilegios.

Muchas veces se ceden estos usuarios y contraseas porque a nivel operativo es necesario y ayuda a mejorar la productividad de la empresa, pero bajo mi punto de vista es un error. Si existe una necesidad de este tipo se deben solicitar tantos accesos como sean necesarios, pero cada uno de forma nica.

actividades

1. En algunas situaciones los usuarios deciden dejar las contraseas apuntadas en notas cerca el ordena-dor (pegadas a la pantalla, en un cajn, debajo de la mesa), este tipo de situaciones hay que evitarlas, propn otras situaciones peligrosas y que habra que evitar en las que un usuario podra suplantar la identidad de otro usuario de la empresa.


EN RESUMEN

1. El modo usuario permite ejecutar cualquier ins-truccin?:

a) No. b) S.

2. El modo kernel permite ejecutar cualquier ins-truccin?:

a) No. b) S.

3. Un administrador puede acabar con un proceso?

a) No. b) S.

4. Cul de estos no es un sistema de archivos?

a) UFS. b) HFS. c) NTS.

5. Qu significa procesador asimtrico?

a) Se utiliza la potencia de los procesadores por igual para ejecutar los procesos.

b) Los procesos de dividen y van a un procesador u otro.

6. Qu es una distribucin de Linux?

a) Conjunto de programas que, junto con la ltima versin del ncleo, estn preparados para ser insta-lados.

b) Conjunto de programas que estn preparados para ser instalados.


EN RESUMEN

EVALA TUS CONOCIMIENTOS

1. Cmo se llama el superadministrador en Linux?

a) admin.

b) root.

c) administrador.

2. Qu mdulo es necesario importar en Power-Shell para poder gestionar usuarios y grupos?

a) El Mdulo Active Directory.

b) El Mdulo Directory Active.

c) Ninguno de los dos.

3. Qu tipo de perfil se emite cuando hay un error al cargar un perfil?

a) Perfil de usuario mvil.

b) Perfil de usuario temporal.

c) Ninguno de los dos.

4. Qu comando se utiliza para crear usuarios en Linux?

a) useradd. b) adduser. c) los dos.

5. Qu comando sirve para crear grupos en Linux?

a) addgroup. b) adduser. c) los dos.

Tareas administrativas

Operaciones con usuarios y grupos en modo texto y modo grfico

Modo texto:Windows Server 2008 R2

con PowerShell

Modo texto:Bash

Modo grficoWindows Server 2008 R2

Crear usuario New-ADUseruseradd

adduserUsuarios y equipos de Active Directory

Cambiar contrasea de usuario Set-ADAccountPassword passwd Usuarios y equipos de Active Directory

Eliminar usuario Remove-ADUser userdel Usuarios y equipos de Active Directory

Crear grupo New-ADGroupgroupadd

addgroupUsuarios y equipos de Active Directory

Eliminar grupo Remove-ADGroup delgroup Usuarios y equipos de Active Directory

Administracin de usuarios y grupos. Los usuarios que necesitan utilizar el sistema operativo en red me-diante las cuentas personales. Las tareas de control propias de esta administracin son: crear, borrar, agru-par, establecer contraseas, habilitar acceso, etc.

Administracin remota. A travs de la red se pue-de conectar remotamente a otros ordenadores, con-trolarlos y administrarlos.

Gestin de recursos compartidos. Los recursos son elementos que se pueden utilizar por distintos usua-

rios de una red siempre y cuando exista permiso para ellos, cuando hablamos de recursos nos referimos a discos, archivos, impresoras, etc.

Copias de seguridad. Tener a salvo los archivos im-portantes del sistema operativo y los datos es funda-mental, y mucho ms cuando los sistemas operativos son en red.

Rendimiento del sistema. Tarea que sirve para con-trolar y monitorizar el funcionamiento de un sistema operativo en red.

Resuelve en tu cuaderno o bloc de notas


sistemas operativos en red

Documents