PDF de programación - Gestión de usuarios y protección en W2k

ASO Gestión de usuarios y protección en W2k 1

• Conceptos de usuarios y cuentas de usuarios
– Un usuario se entiende como cada persona que puede

entrar en el sistema

– Para controlar la entrada y sus acciones se utiliza el

concepto de “cuenta de usuario”

Cuenta de usuario:
– Es la credencial de un usuario y permite la entrada al
dominio (u ordenador local) y el acceso a los recursos
– Almacena toda la información que el sistema guarda

de los usuarios:

• Nombre + Nombre completo
• Contraseña
• Directorio de conexión
• Horas de conexión
• Activación de la cuenta

– Internamente, el sistema operativo identifica al

usuario por un número ? Identificador seguro SID
(Secure Identifier)

• Se genera cuando se crea la cuenta
• Permanece aún cuando se renombra la cuenta

ASO Gestión de usuarios y protección en W2k 2

• Tipos de cuentas de usuarios en W2k

Tipo de
cuenta de
usuario
Cuenta de
usuario
local

Cuenta de
usuario del
dominio

Cuenta de
usuario
predefinida

Descripción

•Permite a un usuario entrar a un
ordenador específico y acceder a
los recursos de ese ordenador
•La cuenta reside en la SAM
(Security Accounts Manager) del
ordenador

•Permite a un usuario entrar al
dominio y acceder a los recursos
de cualquier ordenador de la red
•La cuenta reside en el
Directorio Activo

•Permite a un usuario realizar
ciertas tareas administrativas o
acceder temporalmente a ciertos
recursos
•Hay dos cuentas básicas (no
pueden ser borradas):
administrador e invitado (local y
del dominio)
•Se crean automáticamente

ASO Gestión de usuarios y protección en W2k 3

• Planificación de las cuentas de usuarios

Antes de crear la cuentas de usuario:
– Adoptar una convención de nombres que asegure la

unicidad y comodidad de las cuentas

– Política de contraseñas:

• Siempre asignar password al administrador
• Fijar las contraseñas o dejar que los usuarios las controlen
• Fijar la expiración de las cuentas (empleados temporales,

alumnos,...)
Implicar al usuario en esta política:

•

– Evitar nombres obvios
– Fijar passwords largos (pueden ser hasta 128 caracteres)
– Usar mayúsculas, minúsculas, caracteres no alfanuméricos

– Establecer horas válidas para entrar al sistema
– Limitar el acceso al dominio desde determinas estaciones
– Determinar la situación de los directorios de trabajo de los

usuarios:

• En el servidor:

– Centralización de los ficheros para la realización de copias de

seguridad

– Incrementa el tráfico de la red

• En el cliente:

– Mayor complejidad para la realización de las copias de seguridad
– Reduce el tráfico en la red

ASO Gestión de usuarios y protección en W2k 4

•

Implementación de una política de cuentas
Una política de cuentas determina el nivel de seguridad que se
establece en el sistema:
– Caducidad de las contraseñas
– Longitud mínima de las contraseñas
– Unicidad de los passwords (recordar últimos passwords)
– Bloqueo de cuentas

Los cambios que se realizan sobre estas políticas tienen efecto a
partir de:

• La próxima vez que el usuario entre en el sistema
• La próxima vez que el usuario realiza un cambio cubierto por la

política.

Ejemplo: La longitud mínima de las contraseñas no afecta a las ya

existentes, pero cuando un usuario la va a cambiar, se aplicará la
política.

Planificación de una política de cuentas
– No permitir passwords nulos
– Requerir una longitud mínima:

• 6-8 caracteres para una red de media seguridad (RMS)
• 8-14 para una red de alta seguridad (RAS)
• Obligar cambios de passwords con cierta frecuencia

45-90 RMS, 14-45 RAS

• No permitir contraseñas ya usadas (recordar 8)
• Bloquear cuenta después de múltiples intentos fallidos
• Forzar a que el administrador habilite la cuenta después
• Fijar horarios de conexión

ASO Gestión de usuarios y protección en W2k 5

Nombres de usuario en W2k

– En el Directorio Activo, cada cuenta de usuario lleva

asociada un “logon name” y un “logon name pre-
Windows 2000” (que es almacenado en la SAM)

– Un usuario puede entrar al sistema indistintamente

con el “nombre principal de usuario” o con el
“nombre de usuario” (pre- Windows 2000).

– Además, cuando se crean cuentas de usuarios, también
es necesario asegurar unos criterios de unicidad de las
cuentas

• Nombre principal de usuario

– Permite al usuario entrar en cualquier ordenador del

bosque

– Consta de dos partes separadas por “@”:

• El prefijo: suzanf
• El sufijo:contoso.msft. Por defecto, el sufijo es el

nombre del dominio raíz en la red, aunque se pueden
usar los otros dominios como sufijos de los nombres de
usuarios (Ejemplo: para hacerlo coincidir con la
dirección de correo electrónico)

ASO Gestión de usuarios y protección en W2k 6

• Nombre de usuario (pre-Windows 2000)

– Si un usuario entra en el sistema desde un SO previo a

Windows 2000, debe usar un nombre de usuario
compuesto:

• Cuenta de usuario: suzanf
• Dominio en el que se encuentra la cuenta para que el

controlador de dominio sepa dónde encontrar la cuenta.
• Reglas de unicidad en los nombres de usuario
– El nombre completo del usuario debe ser único en el

contenedor donde reside la cuenta. El nombre
completo se utiliza como nombre relativo distinguido
– El nombre principal de usuario debe ser único en el

bosque

– El nombre de usuario (pre-Windows 2000) debe ser

único en el dominio.

ASO Gestión de usuarios y protección en W2k 7

• Gestión del entorno de trabajo de los

usuarios: perfiles
– El entorno de trabajo de los usuarios en W2k viene

fijado por el “perfil de usuario”

– Cada usuario necesita un perfil asociado a su cuenta

para acceder al sistema

– El perfil contiene la configuración que el usuario ha

definido para su entorno de trabajo: escritorio,
conexiones,...

– El perfile se crea cuando un usuario entra a un
ordenador por primera vez. La configuración se
almacena en el directorio: C: :\Documents and
Settings\User name

– Cuando el usuario abandona la sesión, se actualiza el

perfil en ese ordenador

• Tipos de perfiles de usuario

Perfil de usuario por defecto
– Es la base para todos los perfiles de usuario.

Inicialmente, cada usuario realiza una copia del perfil
por defecto

ASO Gestión de usuarios y protección en W2k 8

Perfil de usuario local
– Se crea la primera vez
que el usuario entra en
el ordenador.

Perfil de usuario flotante
– Se crea por el administrador

y se almacena en un
servidor. Este perfil está
disponible al usuario desde
cualquier ordenador de la
red

Perfil de usuario obligatorio
– Se crea por el administrador

para especificar la
configuración particular de
los usuarios.

– Puede ser local o flotante
– No permite a los usuarios

almacenar las
modificaciones
(ntuser.man)

ASO Gestión de usuarios y protección en W2k 9

• Administración de cuentas de usuario

Una vez creadas las cuentas puede ser necesario
realizar tareas administrativas comunes:
– Habilitación/deshabilitación de cuentas
– Modificación de contraseñas
– Borrado/renombrado de cuentas de usuario
– Desbloqueo de cuentas
– Movimiento de cuentas en el dominio

– Puede resultar útil realizar búsquedas de objetos

dentro del directorio activo: usuarios, ordenadores,
impresoras, ...

ASO Gestión de usuarios y protección en W2k 10

• Grupos de usuarios

– Un grupo es una colección de cuentas de usuarios.
– Permiten simplificar la gestión del acceso a los

recursos por múltiples usuarios.

– Puesto que los grupos son una “lista de miembros”,

pueden anidarse.

• Grupos en “trabajo en grupo” y “dominios”

– Grupos en sistemas de “trabajo en grupo”

• Se pueden utilizar sólo para asignar permisos en el

ordenador donde se han creado

• Son grupos locales

ASO Gestión de usuarios y protección en W2k 11

• No es aconsejable crearlos en ordenadores que formen

parte de un dominio
– Grupos predefinidos

– Estrategia de creación de grupos locales

ASO Gestión de usuarios y protección en W2k 12

• Grupos en “dominios”

– Se crean en los controladores de dominio
– Residen en el directorio Activo
– Se le pueden asignar permisos de acceso a todos los

ordenadores del dominio

• Tipos de grupos:

– Grupos de seguridad: Son los grupos
que se usan para todos los asuntos
relacionados con la seguridad (control de
acceso,...)
– Grupos de distribución: Son listas de
usuarios utilizadas para asuntos no
relacionadas con la seguridad (envío de e-
mail a un grupo de usuarios,...).

No pueden ser utilizados para asignar permisos

• Ámbito de los grupos

– El ámbito de un grupo determina dónde se puede
utilizar un determinado grupo en la organización

– Va a marcar cuáles son los posibles miembros que
pueden formar parte así como el anidado (grupos
incluidos en otros grupos).

ASO Gestión de usuarios y protección en W2k 13

• Grupos globales:

Los grupos globales se usan para organizar usuarios que
comparten las mismas tareas y necesitan requerimientos
de acceso a la red similares

– Pueden contener cuentas de
usuarios y grupos globales del
mismo dominio donde están
definidos (sólo modo nativo)
– Pueden ser miembros de grupos
universales y de grupos locales del
dominio de cualquier dominio y
de grupos globales del mismo
dominio
– Se le pueden asignar permisos
en cualquier dominio del bosque

• Grupos locales del dominio

Son usados para asignar permisos de acceso a los recursos
que se encuentran en el mismo dominio donde reside el
grupo

ASO Gestión de usuarios y protección en W2k 14

– Pueden contener cuentas de
usuarios, grupos globales y
grupos universales de cualquier
dominio del bosque, además de
otros grupos locales del mismo
dominio (sólo modo nativo)
– Pueden ser miembros de otros
grupos locales del mismo dominio
(modo n