Publicado el 8 de Marzo del 2019
573 visualizaciones desde el 8 de Marzo del 2019
7,1 MB
32 paginas
Creado hace 20a (09/06/2003)
ASO Gestión de usuarios y protección en W2k 1
• Conceptos de usuarios y cuentas de usuarios
– Un usuario se entiende como cada persona que puede
entrar en el sistema
– Para controlar la entrada y sus acciones se utiliza el
concepto de “cuenta de usuario”
Cuenta de usuario:
– Es la credencial de un usuario y permite la entrada al
dominio (u ordenador local) y el acceso a los recursos
– Almacena toda la información que el sistema guarda
de los usuarios:
• Nombre + Nombre completo
• Contraseña
• Directorio de conexión
• Horas de conexión
• Activación de la cuenta
– Internamente, el sistema operativo identifica al
usuario por un número ? Identificador seguro SID
(Secure Identifier)
• Se genera cuando se crea la cuenta
• Permanece aún cuando se renombra la cuenta
ASO Gestión de usuarios y protección en W2k 2
• Tipos de cuentas de usuarios en W2k
Tipo de
cuenta de
usuario
Cuenta de
usuario
local
Cuenta de
usuario del
dominio
Cuenta de
usuario
predefinida
Descripción
•Permite a un usuario entrar a un
ordenador específico y acceder a
los recursos de ese ordenador
•La cuenta reside en la SAM
(Security Accounts Manager) del
ordenador
•Permite a un usuario entrar al
dominio y acceder a los recursos
de cualquier ordenador de la red
•La cuenta reside en el
Directorio Activo
•Permite a un usuario realizar
ciertas tareas administrativas o
acceder temporalmente a ciertos
recursos
•Hay dos cuentas básicas (no
pueden ser borradas):
administrador e invitado (local y
del dominio)
•Se crean automáticamente
ASO Gestión de usuarios y protección en W2k 3
• Planificación de las cuentas de usuarios
Antes de crear la cuentas de usuario:
– Adoptar una convención de nombres que asegure la
unicidad y comodidad de las cuentas
– Política de contraseñas:
• Siempre asignar password al administrador
• Fijar las contraseñas o dejar que los usuarios las controlen
• Fijar la expiración de las cuentas (empleados temporales,
alumnos,...)
Implicar al usuario en esta política:
•
– Evitar nombres obvios
– Fijar passwords largos (pueden ser hasta 128 caracteres)
– Usar mayúsculas, minúsculas, caracteres no alfanuméricos
– Establecer horas válidas para entrar al sistema
– Limitar el acceso al dominio desde determinas estaciones
– Determinar la situación de los directorios de trabajo de los
usuarios:
• En el servidor:
– Centralización de los ficheros para la realización de copias de
seguridad
– Incrementa el tráfico de la red
• En el cliente:
– Mayor complejidad para la realización de las copias de seguridad
– Reduce el tráfico en la red
ASO Gestión de usuarios y protección en W2k 4
•
Implementación de una política de cuentas
Una política de cuentas determina el nivel de seguridad que se
establece en el sistema:
– Caducidad de las contraseñas
– Longitud mínima de las contraseñas
– Unicidad de los passwords (recordar últimos passwords)
– Bloqueo de cuentas
Los cambios que se realizan sobre estas políticas tienen efecto a
partir de:
• La próxima vez que el usuario entre en el sistema
• La próxima vez que el usuario realiza un cambio cubierto por la
política.
Ejemplo: La longitud mínima de las contraseñas no afecta a las ya
existentes, pero cuando un usuario la va a cambiar, se aplicará la
política.
Planificación de una política de cuentas
– No permitir passwords nulos
– Requerir una longitud mínima:
• 6-8 caracteres para una red de media seguridad (RMS)
• 8-14 para una red de alta seguridad (RAS)
• Obligar cambios de passwords con cierta frecuencia
45-90 RMS, 14-45 RAS
• No permitir contraseñas ya usadas (recordar 8)
• Bloquear cuenta después de múltiples intentos fallidos
• Forzar a que el administrador habilite la cuenta después
• Fijar horarios de conexión
ASO Gestión de usuarios y protección en W2k 5
Nombres de usuario en W2k
– En el Directorio Activo, cada cuenta de usuario lleva
asociada un “logon name” y un “logon name pre-
Windows 2000” (que es almacenado en la SAM)
– Un usuario puede entrar al sistema indistintamente
con el “nombre principal de usuario” o con el
“nombre de usuario” (pre- Windows 2000).
– Además, cuando se crean cuentas de usuarios, también
es necesario asegurar unos criterios de unicidad de las
cuentas
• Nombre principal de usuario
– Permite al usuario entrar en cualquier ordenador del
bosque
– Consta de dos partes separadas por “@”:
• El prefijo: suzanf
• El sufijo:contoso.msft. Por defecto, el sufijo es el
nombre del dominio raíz en la red, aunque se pueden
usar los otros dominios como sufijos de los nombres de
usuarios (Ejemplo: para hacerlo coincidir con la
dirección de correo electrónico)
ASO Gestión de usuarios y protección en W2k 6
• Nombre de usuario (pre-Windows 2000)
– Si un usuario entra en el sistema desde un SO previo a
Windows 2000, debe usar un nombre de usuario
compuesto:
• Cuenta de usuario: suzanf
• Dominio en el que se encuentra la cuenta para que el
controlador de dominio sepa dónde encontrar la cuenta.
• Reglas de unicidad en los nombres de usuario
– El nombre completo del usuario debe ser único en el
contenedor donde reside la cuenta. El nombre
completo se utiliza como nombre relativo distinguido
– El nombre principal de usuario debe ser único en el
bosque
– El nombre de usuario (pre-Windows 2000) debe ser
único en el dominio.
ASO Gestión de usuarios y protección en W2k 7
• Gestión del entorno de trabajo de los
usuarios: perfiles
– El entorno de trabajo de los usuarios en W2k viene
fijado por el “perfil de usuario”
– Cada usuario necesita un perfil asociado a su cuenta
para acceder al sistema
– El perfil contiene la configuración que el usuario ha
definido para su entorno de trabajo: escritorio,
conexiones,...
– El perfile se crea cuando un usuario entra a un
ordenador por primera vez. La configuración se
almacena en el directorio: C: :\Documents and
Settings\User name
– Cuando el usuario abandona la sesión, se actualiza el
perfil en ese ordenador
• Tipos de perfiles de usuario
Perfil de usuario por defecto
– Es la base para todos los perfiles de usuario.
Inicialmente, cada usuario realiza una copia del perfil
por defecto
ASO Gestión de usuarios y protección en W2k 8
Perfil de usuario local
– Se crea la primera vez
que el usuario entra en
el ordenador.
Perfil de usuario flotante
– Se crea por el administrador
y se almacena en un
servidor. Este perfil está
disponible al usuario desde
cualquier ordenador de la
red
Perfil de usuario obligatorio
– Se crea por el administrador
para especificar la
configuración particular de
los usuarios.
– Puede ser local o flotante
– No permite a los usuarios
almacenar las
modificaciones
(ntuser.man)
ASO Gestión de usuarios y protección en W2k 9
• Administración de cuentas de usuario
Una vez creadas las cuentas puede ser necesario
realizar tareas administrativas comunes:
– Habilitación/deshabilitación de cuentas
– Modificación de contraseñas
– Borrado/renombrado de cuentas de usuario
– Desbloqueo de cuentas
– Movimiento de cuentas en el dominio
– Puede resultar útil realizar búsquedas de objetos
dentro del directorio activo: usuarios, ordenadores,
impresoras, ...
ASO Gestión de usuarios y protección en W2k 10
• Grupos de usuarios
– Un grupo es una colección de cuentas de usuarios.
– Permiten simplificar la gestión del acceso a los
recursos por múltiples usuarios.
– Puesto que los grupos son una “lista de miembros”,
pueden anidarse.
• Grupos en “trabajo en grupo” y “dominios”
– Grupos en sistemas de “trabajo en grupo”
• Se pueden utilizar sólo para asignar permisos en el
ordenador donde se han creado
• Son grupos locales
ASO Gestión de usuarios y protección en W2k 11
• No es aconsejable crearlos en ordenadores que formen
parte de un dominio
– Grupos predefinidos
– Estrategia de creación de grupos locales
ASO Gestión de usuarios y protección en W2k 12
• Grupos en “dominios”
– Se crean en los controladores de dominio
– Residen en el directorio Activo
– Se le pueden asignar permisos de acceso a todos los
ordenadores del dominio
• Tipos de grupos:
– Grupos de seguridad: Son los grupos
que se usan para todos los asuntos
relacionados con la seguridad (control de
acceso,...)
– Grupos de distribución: Son listas de
usuarios utilizadas para asuntos no
relacionadas con la seguridad (envío de e-
mail a un grupo de usuarios,...).
No pueden ser utilizados para asignar permisos
• Ámbito de los grupos
– El ámbito de un grupo determina dónde se puede
utilizar un determinado grupo en la organización
– Va a marcar cuáles son los posibles miembros que
pueden formar parte así como el anidado (grupos
incluidos en otros grupos).
ASO Gestión de usuarios y protección en W2k 13
• Grupos globales:
Los grupos globales se usan para organizar usuarios que
comparten las mismas tareas y necesitan requerimientos
de acceso a la red similares
– Pueden contener cuentas de
usuarios y grupos globales del
mismo dominio donde están
definidos (sólo modo nativo)
– Pueden ser miembros de grupos
universales y de grupos locales del
dominio de cualquier dominio y
de grupos globales del mismo
dominio
– Se le pueden asignar permisos
en cualquier dominio del bosque
• Grupos locales del dominio
Son usados para asignar permisos de acceso a los recursos
que se encuentran en el mismo dominio donde reside el
grupo
ASO Gestión de usuarios y protección en W2k 14
– Pueden contener cuentas de
usuarios, grupos globales y
grupos universales de cualquier
dominio del bosque, además de
otros grupos locales del mismo
dominio (sólo modo nativo)
– Pueden ser miembros de otros
grupos locales del mismo dominio
(modo n
Comentarios de: Gestión de usuarios y protección en W2k (0)
No hay comentarios