Download Sistemas operativos en red

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
Document related concepts

Directiva de Grupo wikipedia , lookup

Active Directory wikipedia , lookup

Windows Server 2012 wikipedia , lookup

Samba (programa) wikipedia , lookup

Windows 2000 wikipedia , lookup

Transcript 
Sistemas operativos
en red
Jesús Niño Camazón
Sistemas operativos en red - por.indd 1
20/07/11 8:34
4
Tareas
de administración I
vamos a conocer...
1. Introducción
2. Administración de usuarios y grupos
PRÁCTICA PROFESIONAL
Directivas de grupo
en Windows Server 2008 R2
MUNDO LABORAL
No prestar las contraseñas de acceso
en la empresa
y al finalizar esta unidad...
Conocerás las principales características
de la administración de usuarios y grupos
en sistemas operativos en red.
Sabrás cómo crear, modificar y eliminar
usuarios y grupos en sistemas operativos
en red.
04 Sist. Operativos en red.indd 102
05/09/11 10:32
103
CASO PRÁCTICO INICIAL
situación de partida
Pablo es el encargado de llevar a cabo las tareas de administración en todos los sistemas operativos en red que hay en la
empresa donde trabaja.
Una de las tareas que realiza Pablo es la administración de usuarios y grupos en su empresa, esta tarea implica crear cuentas de
usuarios, perfiles y grupos.
En la empresa hay varios servidores que tienen sistemas operativos en red: Windows Server 2008 R2 y Ubuntu Server 10.04,
esto quiere decir que Pablo tiene que saber crear usuarios en el
Directorio Activo tanto en modo gráfico como en modo comando, y también conocer cómo crear usuarios en modo comando
en Ubuntu Server.
vamos a resolver…
1. ¿Qué es una cuenta de usuario?
5. ¿Qué es el tipo y el ámbito de un grupo?
2. ¿Qué tareas se pueden realizar con una cuenta de
usuario?
6. ¿Cómo se crea un grupo?
7. ¿Qué tareas se pueden realizar con los grupos?
3. ¿Qué es un grupo?
8. ¿Qué es un perfil?
4. ¿Qué grupos de usuarios existen?
04 Sist. Operativos en red.indd 103
05/09/11 10:32
Unidad 4
104
1. Introducción
Al hablar de tareas de administración en los sistemas operativos en red nos referimos a aquellas tareas que son llevadas a cabo por usuarios que poseen conocimientos avanzados. En algunos casos la realización de algunas tareas puede afectar
al trabajo que desarrollan los usuarios en una empresa, instituto, colegio, etc., por
ese motivo las personas que las realizan tiene que tener conocimientos precisos
sobre lo que están realizando.
En el curso pasado vimos cómo administrar los sistemas operativos monopuesto,
recordemos algunas tareas administrativas que vimos: agregar y eliminar software;
actualizar el sistema operativo, las aplicaciones, los controladores; control de
procesos y servicios; crear tareas programadas; control de usuarios; instalación
y desinstalación de hardware; gestión del almacenamiento; copias de seguridad;
recuperación del sistema; rendimiento del sistema. Todas estas tareas que acabamos de enumerar se pueden realizar de forma local, pero también en red, en esta
unidad y en las siguientes veremos las principales tareas de administración que se
pueden realizar a través de una red.
En concreto veremos las siguientes tareas administrativas:
caso práctico inicial
Pablo es el encargado de llevar a
cabo las tareas administración en
todos los sistemas operativos en
red que hay en la empresa donde
trabaja.
• Administración de usuarios y grupos. Los usuarios necesitan utilizar el sistema operativo en red utilizando cuentas personales. Las tareas de control propias de esta administración son: crear, borrar, agrupar, establecer contraseñas,
habilitar acceso, etc.
• Administración remota. A través de la red se puede conectar remotamente
a otros ordenadores, controlarlos y administrarlos. La administración remota
abarca tanto el acceso remoto como la agregación y eliminación de software,
incluyendo la actualización remota de programas.
• Gestión de recursos compartidos. Los recursos son elementos que se comparten entre los usuarios de una red siempre y cuando se tenga permiso para acceder a dichos recursos. Al hablar de recursos nos referimos a discos, archivos,
impresoras, etc.
• Copias de seguridad. Tener a salvo los archivos importantes del sistema
operativo y los datos es fundamental, y mucho más cuando los sistemas operativos están en red. Podría darse el caso de fallo o pérdida de información en
el sistema operativo o en cualquier componente hardware que deje al sistema
inestable, entonces será necesario hacer una recuperación de la información
perdida.
• Rendimiento del sistema. Tarea que sirve para controlar y monitorizar el funcionamiento de un sistema operativo en red.
Para acotar la extensión de la unidad sólo se verán las tareas de administración
en el sistema operativo propietario Windows Server 2008 R2 y Ubuntu Server
10.04 LTS. En el caso de Windows Server 2008 R2 trataremos las dos formas
posibles de trabajar en el sistema (mediante la interfaz gráfica y la interfaz de
texto), en el caso de Ubuntu Server 10.04 LTS sólo veremos la interfaz de texto
debido a que así es como se suele utilizar por los administradores para optimizar
recursos.
A continuación veremos algunos detalles de las tareas de administración en red
en los principales sistemas operativos: Windows y Linux.
04 Sist. Operativos en red.indd 104
05/09/11 10:32
Tareas de administración I
105
Windows
Los sistemas operativos en red de Windows, es decir, las versiones Windows
Server, disponen de multitud de aplicaciones para realizar las tareas que hemos
visto anteriormente, aunque la mayoría de las herramientas utilizan modo gráfico,
también las hay en modo texto (comandos en el símbolo del sistema y cmdlets
en PowerShell).
La mayoría de las tareas de administración en la versión Windows Server se
realizan mediante la instalación y configuración de roles y características, por
ejemplo, la gestión de usuarios y grupos se realiza mediante el rol del Directorio
Activo, otro ejemplo es el rol Windows Server Update Services (WSUS), que
permite a los administradores de red especificar las actualizaciones de Microsoft
que se deben instalar.
saber más
En WSUS se pueden crear distintos grupos de ordenadores para
instalar actualizaciones. También
permite realizar informes sobre
las actualizaciones que necesita
un equipo o que ya se han instalado. En definitiva, esta herramienta
ayuda bastante en la actualización
del sistema operativo y de las aplicaciones.
Linux
Las versiones de servidores para Linux pueden asumir cualquier función, esto permite realizar un gran número de tareas administrativas, por ejemplo, el servicio
OpenSSH (Open Secure Shell), que permite administrar el servidor utilizando el
protocolo SSH, otro ejemplo es el servicio para compartir recursos como archivos
e impresoras mediante Samba.
Los servicios de Linux como OpenSSH, Samba, etc. se pueden instalar en cualquier momento gracias a las herramientas de gestión de paquetes.
recuerda
La descarga e instalación de
paquetes se realiza mediante el
sistema de gestión de paquetes,
con este sistema se puede buscar, descargar, instalar, actualizar,
desinstalar y verificar programas.
2. Administración de usuarios
y grupos
2.1. Introducción
Los sistemas operativos actuales pueden ser utilizados por uno o varios usuarios,
en algunos sistemas el acceso a este uso puede ser simultáneo.
La forma de comunicarse puede ser mediante interfaces de modo texto e interfaces de modo gráfico. Cuando hablamos de interfaces de texto nos referimos a las
líneas de comando, y con interfaces gráficas a herramientas gráficas.
Los usuarios se pueden crear en local o en red, la gestión de usuarios locales sólo
afecta al equipo desde el que se crean, modifican, eliminan, etc. En el caso de la
gestión de usuarios en red, afecta a todos los equipos de la red. En este libro vamos
a tratar únicamente la creación de usuarios en red.
En la mayoría de los sistemas operativos, las personas que los utilizan necesitan
autentificarse mediante una cuenta de usuario y, además, tener autorización para
utilizar recursos.
La cuenta de usuario consiste en un nombre de usuario y una contraseña (password),
en algunos sistemas operativos estos dos elementos forman un conjunto de credenciales y sirven para identificar a una persona. Utilizar contraseñas es un método para
autentificarse, pero no es el único, hay otros métodos como, por ejemplo, el uso de
tarjetas inteligentes que tienen la identidad grabada.
caso práctico inicial
Una de las tareas que realiza Pablo
es la administración de usuarios y
grupos en su empresa, esta tarea
implica crear cuentas de usuarios,
perfiles y grupos.
Los usuarios tienen distintos privilegios y restricciones, el usuario que más privilegios tiene es el administrador en Windows y el root en Linux.
04 Sist. Operativos en red.indd 105
05/09/11 10:32
Unidad 4
106
A continuación vamos a ver algunos matices para las dos principales familias de
sistemas operativos.
Windows
Hay varias características que están relacionadas con la administración de usuarios y grupos en los sistemas operativos Windows:
caso práctico inicial
En la empresa hay varios servidores que tienen sistemas operativos
en red: Windows Server 2008 R2
y Ubuntu Server 10.04, esto quiere decir que Pablo tiene que saber
crear usuarios en el Directorio Activo tanto en modo gráfico como en
modo comando, y también conocer cómo crear usuarios en modo
comando en Ubuntu Server.
• Cuenta de usuario.
• Listas de control de acceso.
• Perfil de usuario.
• Directivas de grupo.
Cuenta de usuario
Las cuentas de usuario se pueden utilizar de forma local o en red, en este caso las
que nos interesan son en red. Las cuentas de usuario se crean en un dominio de
Active Directory, esto permite a un usuario de un dominio poder iniciar sesión
en cualquier ordenador que forme parte del dominio, o bien en algún dominio
de confianza.
recuerda
El Directorio Activo es el elemento
fundamental que agrupa todos
los objetos (por ejemplo equipos y
usuarios) que se administrarán de
forma estructurada y jerárquica.
a Figura
4.1. Dominio red.local en Usuarios y grupos de Active Directory.
Listas de control de acceso
Para utilizar recursos se requiere autorización, cada recurso tiene una lista donde aparecen los usuarios que pueden usar dicho recurso, estas listas se conocen
como ACL (Access Control List, o Lista de Control de Acceso). El funcionamiento es el siguiente: cuando un usuario intenta acceder a un recurso, éste
comprueba en la lista de control de acceso si dicho usuario tiene permiso o no
para utilizarlo.
saber más
Los permisos en Windows se verán
en próximas unidades.
La lista de control de acceso se compone de identificadores de seguridad (SID,
Security IDentifier) y permisos. Los identificadores de seguridad son unos valores únicos de longitud variable que se utilizan para identificar a usuarios y
grupos.
Para conocer el SID de un usuario que ha iniciado sesión se puede utilizar la
utilidad whoami, que está presente en todas las versiones de Windows. Dicha
04 Sist. Operativos en red.indd 106
05/09/11 10:32
Tareas de administración I
107
utilidad permite obtener información del usuario o grupo junto con sus respectivos identificadores de seguridad (SID). Para ejecutar la utilidad se ejecuta sobre
el símbolo del sistema o PowerShell el siguiente comando:
whoami /user
En el caso de tener instalado el Directorio Activo, se puede conocer el SID de
cualquier usuario en Windows Server 2008 R2 mediante un cmdlet en PowerShell,
dicho cmdlet se carga mediante el Módulo de Active Directory para Windows PowerShell, la forma de utilizar el cmdlet es la siguiente:
Get-ADUser usuario
Escribimos el cmdlet junto con un nombre de usuario y se mostrará información
sobre el usuario, en concreto muestra el SID.
a Figura
4.2. SID de usuario utilizando whoami.
a Figura
4.3. SID de usuario utilizando Get-ADUser.
Perfil de usuario
Los perfiles de usuario definen entornos de escritorio personalizados en los que
se incluye la configuración de cada usuario, por ejemplo, la configuración de la
pantalla, las conexiones de red y de impresoras, etc. El usuario o el administrador del sistema pueden definir las características del entorno del escritorio. La
personalización del entorno de escritorio efectuada por un usuario no afecta a la
configuración del resto de los usuarios.
Cuando los usuarios inician de nuevo la sesión en sus estaciones de trabajo, reciben la configuración de escritorio que tenían al terminar la última sesión.
04 Sist. Operativos en red.indd 107
05/09/11 10:32
Unidad 4
108
Los perfiles que vamos a tratar en este apartado están relacionados con la red, hay
varios tipos de perfiles:
• Perfil de usuario móvil. Son perfiles creados por el administrador del sistema,
almacenándose en un servidor. Estos perfiles están disponibles siempre que el
usuario inicia una sesión en cualquier equipo de la red. Los cambios efectuados
se guardan en el servidor.
• Perfil de usuario obligatorio. Son perfiles que se utilizan para especificar configuraciones particulares de usuarios o grupos de usuarios. Sólo los administradores del sistema pueden realizar cambios en los perfiles de usuario obligatorios.
• Perfil de usuario temporal. Se emiten siempre que una condición de error impide la carga del perfil del usuario. Este tipo de perfil se elimina al final de cada
sesión. Los cambios realizados por el usuario en la configuración del escritorio
y de los archivos se pierden cuando se cierra la sesión.
Directivas de grupo
saber más
En la práctica profesional de esta
unidad veremos más en detalle las
directivas de grupo.
Las directivas permiten a los administradores configurar el sistema operativo.
Estas configuraciones se pueden hacer en local o en red, en este apartado sólo
veremos las locales. En general las directivas modifican el Registro de Windows.
Linux
Hay varias características que están relacionadas con la administración de usuarios y grupos en los sistemas operativos Linux:
• Cuenta de usuario.
• Permisos.
• Perfil de usuario.
Cuenta de usuario
Es un sistema multiusuario, es decir, permite que varios usuarios accedan al sistema de forma simultánea. Para que un usuario acceda al sistema es necesario que
se valide mediante un programa denominado login, en él el usuario introduce un
nombre y una contraseña. La forma de hacer login puede ser en local o en red, de
forma local se inicia sesión desde el mismo equipo, mientras que en red se accede
remotamente al servidor.
Permisos
El acceso a los recursos se controla mediante permisos a los usuarios y a los grupos.
Perfil de usuario
Cada usuario tiene una carpeta de trabajo, el perfil de cada usuario es independiente del resto de usuarios.
2.2. Usuarios
Las personas que quieren utilizar un sistema operativo necesitan disponer de un
nombre de usuario y una contraseña.
Los usuarios deberían ser únicos e individuales, aunque a veces no es así, esto
conlleva un importante riesgo de seguridad porque no se identifica correctamente
a los usuarios dentro del sistema.
04 Sist. Operativos en red.indd 108
05/09/11 10:32
Tareas de administración I
109
Algunas recomendaciones sobre la utilización de usuarios:
• Desactivar las cuentas de usuario que no se utilizan.
• Evitar la utilización de cuentas genéricas y que no identifiquen al usuario
como, por ejemplo, alumno, usuario, etc.
• Fijar contraseñas seguras en las cuentas de usuario, estableciendo la vigencia
máxima y mínima de una contraseña, así como una longitud mínima y unos
requisitos de complejidad.
• Cambiar la contraseña al iniciar la sesión en el caso de que haya una contraseña por defecto.
• No utilizar las cuentas de administrador para realizar tareas básicas.
• Crear distintas cuentas de usuarios administradores para cada uno de los administradores que van a iniciar sesión en el ordenador.
• Reducir el número de usuarios que tienen permiso de administrador en el
sistema.
• Cambiar el nombre de la cuenta de administrador.
Para crear un usuario es necesario tener permisos especiales, no todos los usuarios
pueden crear otros usuarios.
Para crear un usuario hay que seguir algunas normas, esto facilita recordar los
nombres y llevar un control adecuado. Algunas pueden ser:
• El nombre de usuario tiene que ser único.
• La longitud del nombre de usuario debería ser similar para todos usuarios, es
decir, del mismo número de caracteres.
• Se pueden incluir letras, dígitos y algunos caracteres para crear el nombre.
• Cuando hay que crear un gran número de usuarios, se puede utilizar la nomenclatura nombre y tres primeras letras del apellido. Por ejemplo, el usuario para
Isabel Martín sería v198isamar2011.
• Al nombre de usuario podemos añadirle algún carácter identificativo, por
ejemplo, los usuarios del departamento de ventas pueden tener el carácter v
delante del nombre. Por ejemplo, v198isamar2011.
Veamos algunas características sobre los usuarios en las dos principales familias
de sistemas operativos.
Windows
En la mayoría de las versiones de Windows hay dos cuentas de usuario predefinidas que se crean en el proceso de instalación, son las siguientes:
• Cuenta de administrador. Tiene control total sobre el sistema operativo y
puede realizar tareas como crear otras cuentas de usuario, asignar permisos,
ejecutar, instalar, borrar, etc. Esta cuenta se tiene que utilizar sólo en momentos puntuales. Una recomendación es mantener la cuenta con una contraseña
segura.
• Cuenta de invitado. Es una cuenta que pueden utilizar los usuarios que no
tienen una cuenta en el sistema operativo. Tiene restringida la instalación de
programas o hardware, así como cambiar cualquier configuración o contraseña. Esta cuenta está desactivada por defecto, es necesario activarla para poder
utilizarla.
04 Sist. Operativos en red.indd 109
05/09/11 10:32
Unidad 4
110
Además de las cuentas que vienen por defecto, se pueden crear nuevas cuentas.
En las versiones de Windows Server la gestión de usuario se realiza desde el Directorio Activo y se puede trabajar utilizando la interfaz de texto y la interfaz gráfica.
Linux
En Linux distintos usuarios pueden iniciar sesión, pueden hacerlo a la vez o no,
esto es lo que denominamos sistema operativo multiusuario. La forma de iniciar
sesión se puede realizar de forma local o en red.
El usuario con más privilegios es el superusuario llamado root, este usuario tiene
acceso total al sistema, pudiendo instalar, modificar y eliminar cualquier archivo
o programa, es la cuenta que primero se crea cuando se instala el sistema operativo. Trabajar con este usuario es potencialmente peligroso, en algunas distribuciones de Linux el usuario root sólo se utiliza para realizar algunas tareas de
administración, es decir, que por defecto no se puede inicia sesión con esa cuenta.
Siempre que sea necesario realizar alguna tarea de administración, el sistema pide
la contraseña.
Para crear usuarios es necesario tener permisos, en general lo suele hacer el usuario root.
recuerda
Campos del fichero
passwd
• Nombre (campo 1).
• Contraseña (campo 2).
Cuando se crea un nuevo usuario, se crea por defecto una nueva carpeta dentro
del directorio /home con el nombre del usuario, en el caso del root la carpeta está
en el directorio raíz /root. Además de la nueva carpeta, se añade una línea en el
fichero etc/passwd con todos los datos del nuevo usuario, dentro de dicho fichero
se encuentran los datos de todos los usuarios, siendo cada fila del mismo un usuario distinto, es un archivo de texto codificado en ASCII. La información de cada
usuario está dividida en 7 campos delimitados cada uno por dos puntos (:). Cada
línea contiene la siguiente información del usuario:
• Id_usuario (campo 3).
• Id_grupo (campo 4).
• Comentario (campo 5).
• Dir_usuario (campo 6).
• Shell (campo 7).
Campos del fichero
shadow
• Nombre (campo 1).
Nombre : contraseña : id_usuario : id_grupo : comentario : dir_usuario : Shell
Un punto muy importante y al que nos hemos referido anteriormente es el de las
contraseñas, el fichero en donde se guardan las contraseña es /etc/shadow, este
fichero sólo puede ser leído por el root, además la contraseña está encriptada.
El archivo /etc/shadow contiene una línea para cada usuario, cada línea está dividida en 9 campos con la siguiente información:
Nombre : contraseña_encriptada: último cambio : mínimo :
máximo : aviso : inactividad : expiración : reservado
• Contraseña_encriptada (campo
2).
• Último cambio de contraseña
(campo 3).
• Mínimo número de días que
deben transcurrir (campo 4).
• Máximo número de días que
deben transcurrir (campo 5).
• Días que quedan para que la
contraseña expire (campo 6).
• Inactividad en número de días
después de que expire la contraseña (campo 7).
• Expiración en número de días de
la cuenta (campo 8).
• Reservado (campo 9).
04 Sist. Operativos en red.indd 110
Operaciones
Las operaciones que se pueden realizar con los usuarios son:
• Crear o modificar.
• Cambiar contraseña.
• Eliminar.
Dependiendo del modo (texto o gráfico) en que se realicen las operaciones, es
necesario utilizar unos programas u otros.
En este apartado veremos cómo hacer operaciones en los dos principales sistema
operativos. En el caso de Windows veremos cómo se realizan sobre el Directorio
Activo tanto en modo texto como en modo gráfico, en concreto se realizarán las
05/09/11 10:32
Tareas de administración I
111
operaciones sobre el Directorio Activo instalado en Windows Server 2008 R2.
En el caso de Linux veremos cómo se realizan las operaciones en modo texto, en
concreto se realizarán las operaciones sobre Ubuntu Server 10.04 LTS, que sólo
tiene versión de texto.
Operaciones en Windows
Las operaciones con usuarios en Windows Server 2008 R2 se realizan en el Directorio Activo tanto en modo texto mediante la línea de comando PowerShell
(es necesario tener cargado el Módulo Active Directory) como en modo gráfico
mediante la herramienta Usuarios y equipos de Active Directory. Las operaciones
se resumen en la siguiente tabla:
Tarea
Modo texto
(PowerShell)
Mostrar
usuarios
Get-ADUser
saber más
En la siguiente dirección se pueden ver más cmdlets para manejar
el Directorio Activo:
http://technet.microsoft.com/enus/library/ee617195.aspx
Modo gráfico
(Usuarios y equipos de Active Directory)
1. Ejecutar Usuarios y equipos de Active Directory.
2. Situarse en el dominio y ver los usuarios, también se puede pulsar en las distintas unidades organizativas y carpetas para ver los usuarios que contienen.
1. Ejecutar Usuarios y equipos de Active Directory.
2. Situarse en el dominio, pulsar botón de la derecha (menú contextual), seleccionar
Nuevo y elegir la opción Usuario.
3. Se muestra una pantalla en la que hay que cumplimentar los siguientes apartados:
a. Nombre. Nombre del usuario, la longitud puede ser de hasta 28 caracteres.
b. Iniciales. Iniciales del usuario, la longitud puede ser de hasta 6 caracteres.
c. Apellidos. Apellidos del usuario, la longitud puede ser de hasta 29 caracteres.
d. Nombre completo. Nombre completo del usuario, la longitud puede ser de hasta
64 caracteres.
e. Nombre de inicio de sesión de usuario. Nombre que se utilizará para iniciar sesión,
la longitud puede ser de hasta 36 caracteres. Es conveniente seguir algún criterio al
crear nombres de inicio de sesión.
f. Nombre de inicio de sesión de usuario (anterior a Windows 2000). La longitud puede
ser de hasta 20 caracteres.
Crear
usuario
New-ADUser –Name
“nombredeusuario”
Los datos fundamentales que hay que rellenar son el nombre de usuario y el nombre
de inicio de sesión, después se pulsa el botón Siguiente.
4. En la siguiente pantalla cumplimentar los siguientes apartados:
a. Contraseña. Escribir la contraseña del usuario. Es conveniente seguir algún criterio
al asignar contraseñas a usuarios.
b. Confirmar contraseña. Volver a escribir la contraseña del usuario.
c. El usuario debe cambiar la contraseña al iniciar una sesión de nuevo. Activar esta
opción indica que el usuario deberá cambiar la contraseña cuando inicie sesión.
d. El usuario no puede cambiar de contraseña. Activar esta opción indica que el usuario
no puede cambiar la contraseña.
e. La contraseña nunca caduca. Activar esta opción indica que la contraseña nunca
caduca.
f. La cuenta está deshabilitada. Activar esta opción indica que la cuenta no está habilitada.
Una vez escrita la contraseña y la confirmación de la contraseña, se puede pulsar el
botón Siguiente.
5. En la última pantalla aparece un resumen de lo que acabamos de confirmar, si todo es
correcto pulsamos el botón Finalizar.
04 Sist. Operativos en red.indd 111
05/09/11 10:32
Unidad 4
112
(continuación)
Tarea
Modo texto
(PowerShell)
Modo gráfico
(Usuarios y equipos de Active Directory)
1. Ejecutar Usuarios y equipos de Active Directory.
Cambiar contraseña
Set-ADAccountPassword
-Identity “nombredeusuario”
2. Situarse en el dominio y ver los usuarios, también se puede pulsar
en las distintas unidades organizativas y carpetas para ver los usuarios que contienen.
3. Una vez tenemos un usuario escogido, pulsar botón de la derecha
(menú contextual), seleccionar Restablecer contraseña.
1. Ejecutar Usuarios y equipos de Active Directory. A partir de aquí va
en el punto 2, como en el resto de casos.
Eliminar usuario
Remove-ADUser
–Name “nombredeusuario”
2. Situarse en el dominio y ver los usuarios, también se puede pulsar
en las distintas unidades organizativas y carpetas para ver los usuarios que contienen.
3. Una vez tenemos un usuario escogido, pulsar botón de la derecha
(menú contextual), seleccionar Eliminar.
1. Ejecutar Usuarios y equipos de Active Directory. Situarse en el dominio y ver los usuarios, también se puede pulsar en las distintas unidades organizativas y carpetas para ver los usuarios que contienen.
Habilitar una cuenta
Enable-ADAccount
-Identity “nombredeusuario”
2. Una vez que tenemos un usuario escogido, pulsar botón de la derecha (menú contextual), seleccionar Propiedades.
3. Dentro del menú Propiedades pulsar la pestaña Cuenta, en opciones de cuenta, marcar la opción La cuenta está deshabilitada.
1. Ejecutar Usuarios y equipos de Active Directory. Situarse en el dominio y ver los usuarios, también se puede pulsar en las distintas unidades organizativas y carpetas para ver los usuarios que contienen.
Deshabilitar una cuenta
Disable-ADAccount
-Identity “nombredeusuario”
2. Una vez tenemos un usuario escogido, pulsar botón de la derecha
(menú contextual), seleccionar Propiedades.
3. Dentro del menú Propiedades pulsar la pestaña Cuenta, en opciones de cuenta, desmarcar la opción La cuenta está deshabilitada.
ejemplo
Crear un usuario llamado usuario1 con la contraseña P@ssword1 en el
dominio red.local que se ha instalado en Windows Server 2008 R2. También será necesario habilitar la cuenta.
Solución
Modo texto (PowerShell)
1. Cargar el en PowerShell el módulo Active Directory, ejecutar el cmdlet:
import-module ActiveDirectory
2. Crear un usuario con el nombre usuario1, ejecutar el cmdlet:
New-ADUser –Name usuario1
Set-ADAccountPassword -Identity usuario1
04 Sist. Operativos en red.indd 112
05/09/11 10:32
Tareas de administración I
113
3. Escribir el nuevo password para el usuario1.
4. Habilitar la cuenta, ejecutar el cmdlet:
Enable-ADAccount -Identity usuario1
Modo gráfico
Pasos:
1. Ejecutar Usuarios y equipos de Active Directory.
2. Para crear un usuario hay que situarse en el dominio, pulsar botón de la
derecha (menú contextual), seleccionar Nuevo y elegir la opción Usuario,
escribir el nombre usuario1. Pulsar el botón Siguiente.
a Figura
4.4.
3. En la siguiente ventana se escribe y se confirma la contraseña, después
pulsar el botón Siguiente.
Además de las operaciones en modo texto con PowerShell y en modo gráfico,
también se pueden crear usuarios con el comando net user, tal y como se resume
en la siguiente tabla:
saber más
El comando net user admite otras
opciones como por ejemplo:
/active:{yes | no}
Tarea
Modo texto (Símbolo del sistema o PowerShell)
Mostrar usuarios
net user
Crear usuario local
net user nombredeusuario [contraseña | *] /add
Cambiar contraseña net user nombredeusuario [contraseña | *]
Eliminar usuario
04 Sist. Operativos en red.indd 113
/coment:”texto”
Para ver más opciones que se pueden aplicar al comando se puede
ejecutar la ayuda:
net help user | more
net user nombredeusuario /del
05/09/11 10:32
Unidad 4
114
Operaciones en Linux
saber más
Para dar de alta un usuario en
Linux se pueden utilizar los commandos adduser o useradd, la diferencia estriba en que si empleamos
useradd, hay que especificar en la
línea de comandos toda la información del usuario (excepto la
contraseña que es necesaria para
crear la cuenta, que requeriría el
comando passwd). En cambio,
si se utiliza adduser, éste pide la
información sobre el usuario mientras se ejecuta el comando.
Las operaciones con usuarios se resumen en la siguiente tabla:
Tarea
Modo texto (Bash)
useradd nombredeusuario
Crear usuario
adduser nombredeusuario
Modificar usuario
usermod nombredeusuario
Cambiar contraseña
passwd nombredeusuario
Eliminar usuario
userdel nombredeusuario
ejemplo
Crear un usuario llamado usuario1 con la contraseña P@ssword1 en
Ubuntu Server 10.04 LTS.
Solución
Modo texto (Bash)
Mediante el comando:
adduser usuario1
El comando va haciendo preguntas para crear el usuario.
2.3. Grupos
Un grupo es un conjunto de usuarios que simplifica la administración y la asignación de permisos, concediéndolos a todo un grupo de usuarios a la vez, en lugar
de concederlos a cuentas de usuarios individuales. Los usuarios pueden pertenecer
a uno o a varios grupos distintos.
Al crear un grupo hay que seguir algunas normas:
• El nombre de los grupos tiene que ser identificativo y representar al conjunto
de usuarios que engloba.
• La longitud del nombre del grupo debería ser similar para todos los grupos.
• Se pueden incluir letras, dígitos y algunos caracteres para crear el nombre.
Windows
Los usuarios se pueden asociar en grupos, de esta forma es más sencillo asignar
permisos para el acceso a determinados recursos, delegar funciones, etc.
Al igual que en el apartado de usuarios, en esta ocasión vamos a tratar los grupos
de los servicios de dominio de Active Directory. Los grupos son objetos de directorio que residen en dominios o unidades organizativas, etc.
Cuando se instala el Directorio Activo, éste crea unos grupos predeterminados
a los que se les asigna automáticamente un conjunto de derechos de usuario que
04 Sist. Operativos en red.indd 114
05/09/11 10:32
Tareas de administración I
115
autorizan a los miembros del grupo a realizar acciones como, por ejemplo, iniciar
sesión, realizar copias de seguridad, etc. Por ejemplo, un miembro del grupo de
operadores de copia puede realizar copias de seguridad en el dominio. Los grupos
predeterminados se encuentran en el contenedor Builtin y en Usuarios. Además
de los grupos predeterminados, también se pueden crear nuevos grupos y añadirlos al dominio o a las unidades organizativas.
ejemplo
Grupos predeterminados en Windows Server 2008 R2:
• Grupos integrados en Builtin:
– Operadores de cuentas. Los miembros de este grupo pueden crear,
modificar y eliminar cuentas de usuarios, grupos y equipos que se
encuentren en los contenedores Usuarios o Equipos y en las unidades
organizativas del dominio, todo excepto la unidad organizativa Controladores de dominio.
– Administradores. Los miembros de este grupo dominan por completo
todos los controladores del dominio. De forma predeterminada los grupos Administradores del dominio y Administradores de organización son
miembros del grupo Administradores.
saber más
Para más información sobre los
grupos predeterminados, podemos acceder al siguiente enlace:
http://technet.microsoft.com/es
-es/library/
cc756898%28WS.10%29.aspx
– Operadores de copia de seguridad. Los miembros de este grupo pueden realizar copias de seguridad y restaurar todos los archivos en los
controladores del dominio, independientemente de sus permisos individuales en esos archivos.
– Invitados. De forma predeterminada, el grupo Invitados del dominio es
un miembro de este grupo.
– Creadores de confianza de bosque de entrada (sólo aparece en el
dominio raíz del bosque). Los miembros de este grupo pueden crear
confianzas de bosque de entrada unidireccionales en el dominio raíz del
bosque.
re
– Operadores de configuración de red. Los miembros de este grupo
pueden modificar la configuración TCP/IP, así como renovar y liberar las
direcciones TCP/IP en los controladores del dominio.
De
da
co
pu
alm
ac
da
de
– Usuarios del monitor de sistema. Los miembros de este grupo pueden supervisar los contadores de rendimiento en los controladores del
dominio.
– Usuarios del registro de rendimiento. Los miembros de este grupo
pueden administrar los contadores de rendimiento, los registros y las
alertas de los controladores del dominio.
– Acceso compatible con versiones anteriores a Windows 2000. Los
miembros de este grupo tienen acceso de lectura en todos los usuarios
y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en los equipos con Windows NT 4.0
y anteriores.
– Operadores de impresión. Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los
controladores del dominio.
04 Sist. Operativos en red.indd 115
05/09/11 10:32
Unidad 4
116
– Usuarios de escritorio remoto. Los miembros de este grupo pueden
iniciar la sesión en los controladores del dominio de forma remota.
– Replicador. Este grupo admite funciones de replicación de directorio y
el servicio de replicación de archivos lo utiliza en los controladores del
dominio.
– Operadores de servidores. En los controladores de dominio los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar
recursos compartidos, iniciar y detener varios servicios, hacer copias
de seguridad y restaurar archivos, formatear el disco duro y apagar el
equipo.
– Usuarios. Los miembros de este grupo pueden realizar las tareas más
habituales, como ejecutar aplicaciones, utilizar impresoras locales y de
red, así como bloquear el servidor.
• Grupos integrados en Usuarios:
– Publicadores de certificados. Los miembros de este grupo tienen permitida la publicación de certificados para usuarios y equipos.
– DnsAdmins (instalado con DNS). Los miembros de este grupo tienen
acceso administrativo al Servidor DNS.
– DnsUpdateProxy (instalado con DNS). Los miembros de este grupo
son clientes DNS que pueden realizar actualizaciones dinámicas en lugar
de otros clientes, como los servidores DHCP.
– Administradores de dominio. Los miembros de este grupo controlan
el dominio por completo.
– Equipos del dominio. Este grupo contiene todas las estaciones de
trabajo y los servidores unidos al dominio.
– Controladores de dominio. Este grupo contiene todos los controladores del dominio.
– Invitados del dominio. Este grupo contiene todos los invitados del
dominio.
– Usuarios del dominio. Este grupo contiene todos los usuarios del
dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros de este grupo automáticamente.
– Administradores de organización (sólo aparece en el dominio
raíz del bosque). Los miembros de este grupo controlan por completo
todos los dominios del bosque.
– Propietarios del creador de directiva de grupo. Los miembros de
este grupo pueden modificar la directiva de grupo en el dominio.
– IIS_WPG. Es el grupo de procesos de trabajo de los servicios de Internet
Information Server (IIS).
– Servidores RAS e IAS. Los servidores de este grupo tienen permitido el
acceso a las propiedades de acceso remoto de los usuarios.
– Administradores de esquema (sólo aparece en el dominio raíz del
bosque). Los miembros de este grupo pueden modificar el esquema
de Active Directory.
04 Sist. Operativos en red.indd 116
05/09/11 10:32
Tareas de administración I
117
Los grupos tienen dos características fundamentales que son el ámbito y el tipo.
El ámbito de un grupo determina el alcance del grupo dentro de un dominio o
bosque, existen tres ámbitos de grupo:
• Local de dominio. Los miembros de los grupos locales de dominio pueden
incluir otros grupos y cuentas de dominios de Windows Server 2003, Windows
2000, Windows NT, Windows Server 2008 y Windows Server 2008 R2. A los
miembros de estos grupos sólo se les pueden asignar permisos dentro de un
dominio.
• Global. Los miembros de los grupos globales pueden incluir sólo otros grupos y
cuentas del dominio en el que se encuentre definido el grupo. A los miembros
de estos grupos se les pueden asignar permisos en cualquier dominio del bosque.
• Universal. Los miembros de los grupos universales pueden incluir otros grupos y cuentas de cualquier dominio del bosque o del árbol de dominios. A los
miembros de estos grupos se les pueden asignar permisos en cualquier dominio
del bosque o del árbol de dominios.
El tipo de grupo determina si se puede usar un grupo para asignar permisos desde
un recurso compartido (para grupos de seguridad) o si se puede usar un grupo sólo
para las listas de distribución de correo electrónico (para grupos de distribución).
Linux
En Linux, por defecto, cuando se crea un usuario también se le añade a un grupo
con el mismo nombre. Gracias a los grupos se pueden dar privilegios a un conjunto de usuarios.
A igual que con los usuarios, también hay un archivo que guarda la relación de
los grupos a los que pertenecen los usuarios del sistema, este fichero se llama /etc/
group.
recuerda
Campos del fichero group
• Nombre (campo 1).
• Contraseña (campo 2).
• Id_grupo (campo 3).
• Miembros_grupo (campo 4).
La información de cada usuario está dividida en distintos campos delimitados
cada uno por dos puntos (:).
Cada línea contiene la siguiente información:
Nombre: contraseña : id_grupo : miembros_grupo
ejemplo
Grupos predeterminados (nombres e identificadores de grupo) en Ubuntu Server 10.04 (algunos grupos):
04 Sist. Operativos en red.indd 117
root:x:0
mail:x:8
src:x:40
daemon:x:1
news:x:9
gnats:x:41
bin:x:2
uucp:x:10
shadow:x:42
sys:x:3
man:x:12
utmp:x:43:
adm:x:4
backup:x:34
video:x:44
tty:x:5
operator:x:37
games:x:60
disk:x:6
list:x:38
nogroup:x:65534
lp:x:7
irc:x:39
crontab:x:101
05/09/11 10:32
Unidad 4
118
Operaciones
Las operaciones que se pueden realizar con los grupos son:
• Crear o modificar.
• Añadir usuarios a un grupo.
• Eliminar.
Dependiendo del modo (texto o gráfico) en que se realicen las operaciones, es
necesario utilizar unos programas u otros.
En este apartado veremos cómo hacerlo en los dos principales sistema operativos.
En el caso de Windows veremos cómo se realizan las operaciones sobre el Directorio Activo tanto en modo texto como en modo gráfico, en concreto se realizarán
las operaciones sobre el Directorio Activo instalado en Windows Server 2008 R2.
En el caso de Linux veremos cómo se realizan las operaciones en modo texto, en
concreto se realizarán las operaciones sobre Ubuntu Server 10.04, que sólo tiene
versión de texto.
Operaciones en Windows
Las operaciones con grupos en Windows Server 2008 R2 se realizan en el Directorio Activo tanto en modo texto mediante la línea de comando PowerShell
(es necesario tener cargado el Módulo Active Directory) como en modo gráfico
mediante la herramienta Usuarios y equipos de Active Directory. Las operaciones
se resumen en la siguiente tabla:
Tarea
Modo texto (PowerShell)
Modo gráfico
1. Ejecutar Usuarios y equipos de
Active Directory.
Mostrar
grupos
Get-ADGroup
2. Situarse en el dominio y ver los
grupos, también se puede pulsar en las distintas unidades
organizativas y carpetas para
ver los grupos que contienen.
1. Ejecutar Usuarios y equipos de
Active Directory.
2. Situarse en el dominio, pulsar
botón de la derecha (menú
contextual), seleccionar Nuevo
y elegir la opción Grupo.
New-ADGroup
Crear
grupo
–Name “nombredegrupo”
-GroupScope “ámbitodegrupo”
-GroupCategory “tipodegrupo”
3. Se muestra una pantalla en la
que hay que cumplimentar los
siguientes apartados:
a. Nombre de grupo. Nombre
que se asigna al grupo, la
longitud puede ser de hasta
64 caracteres.
b. Ámbito de grupo. Tipo de
ámbito de grupo (dominio
local, global, universal).
c. Tipo de grupo. Tipo de grupo
(seguridad o distribución).
Una vez que se ha rellenado
todo pulsamos en el botón
Aceptar.
04 Sist. Operativos en red.indd 118
05/09/11 10:32
Tareas de administración I
Tarea
119
Modo texto (PowerShell)
Modo gráfico
1. Ejecutar Usuarios y equipos
de Active Directory.
2. Situarse en el dominio y ver
los grupos, también se puede
pulsar en las distintas unidades organizativas y carpetas
para ver los grupos que contienen.
Añadir
usuarios
a un grupo
Add-ADGroupMember nombredegrupo
usuariosparaagregar
3. Una vez tenemos un grupo
escogido, pulsar botón de la
derecha (menú contextual),
seleccionar Propiedades.
4. En la ventana que se abre pulsar la pestaña de Miembros,
después pulsar en el botón
Agregar y buscar los nombres
de usuarios que vamos añadir
al grupo, cuando se acabe de
agregar usuarios se pulsa el
botón Aceptar.
1. Ejecutar Usuarios y equipos de
Active Directory.
Eliminar
grupo
Remove-ADGroup -Identity
“nombredeusuario”
2. Situarse en el dominio y ver los
grupos, también se puede pulsar en las distintas unidades
organizativas y carpetas para
ver los grupos que contienen.
3. Una vez tenemos un grupo
escogido, pulsar botón de la
derecha (menú contextual),
seleccionar Eliminar.
ejemplo
Crear un grupo llamado grupo1 en el dominio red.local que se ha instalado en Windows Server 2008 R2. El grupo será de ámbito Global y de tipo
Distribución. Al grupo hay que añadirle el usuario que hemos creado
anteriormente, usuario1.
Solución
Modo texto (PowerShell)
1. Cargar el en PowerShell el Módulo Active Directory, ejecutar el cmdlet:
import-module ActiveDirectory
2. Crear un grupo con el nombre grupo1, ejecutar el cmdlet:
New-ADGroup -Name grupo1
–GroupScope Global –GroupCategory Distribution
04 Sist. Operativos en red.indd 119
05/09/11 10:32
Unidad 4
120
Modo gráfico
Pasos:
1. Ejecutar Usuarios y equipos de Active Directory.
2. Crear un grupo, hay que situarse en el dominio, pulsar botón de la derecha
(menú contextual), seleccionar Nuevo y elegir la opción Grupo, escribir
el nombre grupo1. Marcar el ámbito de grupo Global y el tipo de grupo
Seguridad, después pulsar el botón Aceptar.
a Figura
4.5.
3. Ahora hay que añadir el usuario1 al grupo, buscamos el grupo dentro del
dominio, pulsamos encima de él, en Miembros pulsamos en en el botón
Agregar para añadir usuarios, en este caso buscamos el usuario1, cuando
lo hayamos localizado aparecerá como un nuevo miembro, entonces podemos finalizar pulsando el botón Aplicar y después el botón Aceptar.
a Figura
04 Sist. Operativos en red.indd 120
4.6.
05/09/11 10:32
Tareas de administración I
121
Además de las operaciones en modo texto con PowerShell y en modo gráfico,
también se pueden crear usuarios con el comando net localgroup, tal como se resume en la siguiente tabla:
Tarea
Modo texto (PowerShell)
Mostrar grupos
net localgroup
Crear grupo
net localgroup nombredegrupo /add
Añadir usuario a un grupo
net localgroup nombredegrupo usuariosparaagregar /add
Eliminar grupo
net localgroup nombredegrupo /del
Operaciones en Linux
Las operaciones con grupos se resumen en la siguiente tabla:
Tarea
Crear grupo
Eliminar grupo
Modo texto (Bash)
groupadd nombredelgrupo
addgroup nombredelgrupo
delgroup nombredelgrupo
ejemplo
Crear un grupo llamado grupo1 en Ubuntu Server 10.04 LTS.
Solución
Modo texto (Bash)
Mediante el comando:
addgroup grupo1
Eliminar un grupo llamado grupo2 en Ubuntu Server 10.04 LTS.
Solución
Modo texto (Bash)
Mediante el comando:
delgroup grupo2
actividades
1. Crear un usuario que se llame María (tanto en el Directorio Activo de Windows Server 2008 R2 como en
Ubuntu Sever 10.04). En el caso de Windows Server hay que hacerlo en modo de texto (utilizando cmdlets de
PowerShell) y en modo gráfico. En el caso de Ubuntu, sólamente en modo texto.
2. Crear un grupo llamado Alumnos y añadir el usuario María (tanto en el Directorio Activo de Windows Server
2008 R2 como en Ubuntu Sever 10.04). En el caso de Windows Server hay que hacerlo en modo de texto
(utilizando cmdlets de PowerShell) y en modo gráfico. En el caso de Ubuntu, sólamente en modo texto.
04 Sist. Operativos en red.indd 121
05/09/11 10:32
Unidad 4
122
PRÁCTICA PROFESIONAL
directivas de grupo en Windows server 2008 R2
OBJETIVOS
Explicar cómo configurar las directivas de grupo en Windows Server 2008 R2.
DESARROLLO
En esta práctica se explican los siguientes puntos:
• Introducción a las directivas de grupo.
• Administración de directivas de grupo.
• Instalar la característica de la consola de administración de directivas de grupo (GPMC).
• Configurar directivas de grupo.
• Crear y vincular un objeto de directiva de grupo para bloquear los dispositivos USB.
Introducción a las directivas de grupo
Se entiende por directiva de grupo al conjunto de reglas que sirven para administrar equipos y usuarios, las directivas se
almacenan en un objeto de directiva de grupo (GPO, Group Policy Object). Un GPO puede contener distintas directivas.
Las directivas permiten a los administradores configurar el sistema operativo, estas configuraciones se pueden hacer
en local o en red. Los GPO se pueden aplicar a ordenadores, unidades organizativas, dominios, etc.
Cuando un GPO se aplica en un ordenador y de forma local, se conoce como LGPO (Local Group Policy Object, Políticas de grupo local del equipo) y se configuran desde MMC. Las políticas locales se pueden configurar para usuarios
o equipos. En versiones anteriores de Windows sólo se aplicaban al equipo y a todos los usuarios por igual, no había
posibilidad de configurar para un único usuario, sin embargo desde Windows Vista se pueden configurar usuarios
individualmente.
Hay varios programas y herramientas interesantes que están relacionados con las directivas de grupo locales (se
pueden ejecutar desde el símbolo de sistema o PowerShell):
Programa, comando, fichero
Resultado de la ejecución
gpedit.msc
Abre el editor de directiva de grupo
secpol.msc
Abre la configuración de seguridad local
rsop.msc
Abre el conjunto resultante de directivas
Gpresult
Información de las políticas de grupo aplicadas
a un usuario
Gpupdate
Actualiza las políticas de grupo
Las directivas de grupo locales hay que configurarlas una a una en cada ordenador, mientras que las de red se han
integrado en el Directorio Activo y se configuran desde una herramienta que se denomina consola de administración de directivas de grupo (GPMC, Group Policy Management Console). Esta herramienta está disponible
desde Windows Server 2008.
En la consola de administración de directivas de grupo (GPMC) se editan los objetos de directivas, hay dos grupos
principales:
• Configuración del equipo. Directivas que se aplican a los equipos.
• Configuración del usuario. Directivas que se aplican a los usuarios.
04 Sist. Operativos en red.indd 122
05/09/11 10:32
Tareas de administración I
123
Las directivas de configuración relativas al equipo se aplican cuando se arranca el sistema operativo, y las directivas
relativas a los usuarios se aplican cuando se inicia sesión.
Cuando se crea una directiva se guardan los cambios al momento, esto no quiere decir que se apliquen las directivas en todos los ordenadores del dominio al momento, es necesario esperar unos minutos. Para asegurarse que se
aplican las directivas, cada cierto tiempo se vuelven a aplicar, el periodo oscila entre los 90 y los 120 minutos, esto
quiere decir que si se ha producido algún cambio, se aplicará en ese tiempo.
Administración de directivas de grupo
La directiva de grupo permite configurar el sistema operativo, por ejemplo, para administrar asignaciones de unidades, configuración del registro, usuarios y grupos locales, servicios, archivos y carpetas sin que sea necesario
conocer un lenguaje de scripting, etc.
En la consola de administración de directivas de grupo (GPMC) se editan los objetos de directivas, hay dos grupos principales:
• Configuración del equipo.
• Configuración del usuario.
a Figura
4.7.
El contenido de cada una de las configuraciones depende de los complementos que se hayan instalado por defecto.
Dentro de la configuración del ordenador y de la configuración del usuario existen los siguientes elementos:
• Configuración del software. Contiene los valores de configuración del software.
• Configuración de Windows. Contiene configuración de Windows. Dentro de las directivas de grupo locales está
la configuración de seguridad, que se refiere a configuraciones de seguridad como, por ejemplo, al tamaño y a
la vigencia de las contraseñas.
a Figura
04 Sist. Operativos en red.indd 123
4.8.
05/09/11 10:32
Unidad 4
124
PRÁCTICA PROFESIONAL (cont.)
• Plantillas administrativas. Este concepto es parte fundamental en las políticas de grupo, son archivos responsables de la configuración de los usuarios y los equipos. Las plantillas administrativas tienen extensión .admx, están
basadas en XML y residen en la carpeta C:\Windows\PolicyDefinitions (en otras versiones de Windows anteriores
estaban en C:\Windows\inf y tenían extensión .adm). Las plantillas no son más que un conjunto de ficheros que
vinculan una política determinada de la MMC de políticas de grupo a un cambio en el registro de Windows. Por
ejemplo, el fichero MediaCenter.admx especifica las configuraciones del Windows Media Player.
a Figura
4.9.
• Desde la versión de Windows Sever 2008 existe un nuevo elemento dentro de la configuración, son las preferencias. Se ofrecen más de veinte extensiones de directiva de grupo que amplían el número de opciones de
preferencias configurables de un GPO. Dentro de las preferencias hay dos bloques que son Configuración de
Windows y Configuración del Panel de control.
a Figura
4.10.
Hay muchas configuraciones posibles de objetos de directivas de grupo, existen listas que muestran todas las configuraciones dependiendo del sistema operativo en donde se configuren y del sistema operativo donde se vayan a
implantar. Desde el siguiente enlace se pueden descargar las listas:
04 Sist. Operativos en red.indd 124
05/09/11 10:32
Tareas de administración I
125
http://www.microsoft.com/download/en/details.aspx?id=25250
Las listas disponibles de configuraciones son para:
• Windows Server 2003 SP2.
• Windows Server 2008 y Windows Vista SP1.
• Windows Server2008R2 y Windows 7.
• Windows Vista.
En los siguientes apartados veremos un ejemplo sobre la configuración de objetos de directivas de grupo.
Instalar la característica de la consola de administración
de directivas de grupo (GPMC)
Hay dos formas de instalar la consola:
A. Instalar GPMC mediante la interfaz de usuario del Administrador del servidor:
1. Abrir el Administrador del servidor → Inicio → Herramientas administrativas → Administrador del servidor.
2. En el árbol de consola, pulsar en Características → Agregar características.
3. En el cuadro de diálogo Asistente para agregar características seleccionar Administración de directivas de
grupo en la lista de características disponibles. Seguir los pasos del instalador y terminar con la instalación
de la característica.
4. Cerrar el Administrador del servidor cuando se complete la instalación.
B. Instalar GPMC mediante la línea de comandos:
1. Abrir un símbolo del sistema como administrador.
2. En el símbolo del sistema escribir:
ServerManagerCmd -install gpmc
3. Cerrar el símbolo del sistema cuando se complete la instalación.
Configurar directivas de grupo
Para configurar una directiva es necesario tener permiso para ello, la mejor forma de comprender qué podemos
hacer es leyendo todas las posibles configuraciones, para ver una directiva en concreto hay que pulsar encima y una
vez escogida podemos hacer lo siguiente:
• No configurar la directiva.
• Habilitarla.
• Deshabilitarla.
Crear y vincular un objeto de directiva de grupo
para bloquear los dispositivos USB
Las directivas de grupo se pueden crear y vincular o no a un dominio o a una unidad organizativa, en este caso se va
a crear un objeto de directiva de grupo y después se vinculará a una unidad organizativa.
04 Sist. Operativos en red.indd 125
05/09/11 10:32
Unidad 4
126
PRÁCTICA PROFESIONAL (cont.)
Pasos:
1. Ir a Inicio → Herramientas administrativas → Administración de directivas de grupo.
2. Tener creada una unidad organizativa, en este caso hemos creado una que se llama Aulas.
3. Seleccionar la unidad organizativa y pulsar con el botón de la derecha, seleccionar la opción Crear un GPO en
este dominio y vincularlo aquí….
4. Se abre una ventana con el título Nuevo GPO, en el primer apartado hay que escribir un nombre que identifique
el GPO, en este caso escribiremos Bloquear dispositivos, en el otro apartado seleccionamos ninguno, después
pulsamos el botón Aceptar.
a Figura
4.11.
5. Al pulsar en la unidad organizativa vemos que hay una GPO creada con el nombre Bloquear USB, el siguiente paso
es configurarla, para ello pulsar encima de la directiva con el botón de la derecha y seleccionar la opción Editar.
a Figura
4.12.
6. Una vez abierto el Editor de administración de directivas de grupo podemos configurar las directivas tanto para equipos como para usuarios. En este caso vamos a configurar el Acceso de almacenamiento extraíble, para ello hay que
navegar por el árbol de directivas: Configuración del equipo → Directivas → Plantillas administrativas: definiciones de
directiva (archivos ADMX) recuperadas del equipo local → Sistema → Acceso de almacenamiento extraíble → Todas
las clases de almacenamiento extraíble: denegar acceso a todo, habilitar la configuración y pulsar en el botón Aplicar y
después en el botón Aceptar. Después cerramos el editor.
04 Sist. Operativos en red.indd 126
05/09/11 10:32
Tareas de administración I
a Figura
127
4.13. Editor de administración de directivas de grupo.
a Figura
4.14.
7. Una vez aplicada la configuración, podemos comprobar en el ordenador al que se le ha aplicado la directiva de
grupo que realmente funciona, la prueba se basa en iniciar sesión en el ordenador y abrir Equipo, después pulsar
en alguna unidad de dispositivo USB y comprobar que no funciona.
04 Sist. Operativos en red.indd 127
05/09/11 10:32
Unidad 4
128
MUNDO LABORAL
No prestar las contraseñas de acceso
en la empresa
LosLunesAlSol
http://www.tecnologiapyme.com/productividad/no-prestar
-las-contrasenas-de-acceso-en-la-empresa
Una de las cuestiones con las que frecuentemente me he encontrado en muchas
empresas es el uso de una contraseña que permite ciertos privilegios sobre el resto de las cuentas de usuario que es utilizada por varios usuarios. Es una cuestión
de sentido común no prestar las contraseñas de acceso en la empresa.
Al igual que no prestamos nuestro pin de la tarjeta de crédito, aunque sólo sea
para una consulta, no debemos prestar nuestro usuario y contraseña bajo ningún concepto a otros compañeros en la empresa. Además esto puede generar
problemas a la hora revisar los resultados de auditorías, revisión de accesos a
distintos equipos, etc.
Cuando se concede un acceso de usuario privilegiado, que tiene acceso a determinados recursos de la empresa, se concede a un usuario en concreto para que
esos recursos a los que tenemos limitados el acceso sigan bajo control. El responsable del uso o acceso a determinados recursos será en todo caso el usuario al
que se ha concedido acceso y nunca la persona a la cual hemos prestado nuestra
identidad para que ejecute determinadas tareas.
Pongamos el caso de un usuario que tiene permitido el acceso a la impresora en
color, mientras que el resto no tienen permitido utilizar este recurso. Se ha prestado el usuario y la clave para que otro compañero se identifique un día puntual
que nosotros estábamos fuera de la oficina. Al final todos los empleados acaban
por tener acceso a dicha clave y el recurso limitado deja de estarlo.
Si se produce algún uso indebido y llega el momento de pedir responsabilidades,
el responsable será la persona que tenía acceso a este recurso, y será a él a quién
exijan explicaciones sobre el uso que ha realizado de dichos privilegios.
Muchas veces se ceden estos usuarios y contraseñas porque a nivel operativo es
necesario y ayuda a mejorar la productividad de la empresa, pero bajo mi punto
de vista es un error. Si existe una necesidad de este tipo se deben solicitar tantos
accesos como sean necesarios, pero cada uno de forma única.
actividades
1. En algunas situaciones los usuarios deciden dejar las contraseñas apuntadas en notas cerca el ordenador (pegadas a la pantalla, en un cajón, debajo de la mesa), este tipo de situaciones hay que evitarlas,
propón otras situaciones peligrosas y que habría que evitar en las que un usuario podría suplantar la
identidad de otro usuario de la empresa.
04 Sist. Operativos en red.indd 128
05/09/11 10:32
Tareas de administración I
129
EN RESUMEN
Tareas administrativas
• Administración de usuarios y grupos. Los usuarios
que necesitan utilizar el sistema operativo en red mediante las cuentas personales. Las tareas de control
propias de esta administración son: crear, borrar, agrupar, establecer contraseñas, habilitar acceso, etc.
• Administración remota. A través de la red se puede conectar remotamente a otros ordenadores, controlarlos y administrarlos.
• Gestión de recursos compartidos. Los recursos son
elementos que se pueden utilizar por distintos usua-
rios de una red siempre y cuando exista permiso para
ellos, cuando hablamos de recursos nos referimos a
discos, archivos, impresoras, etc.
• Copias de seguridad. Tener a salvo los archivos importantes del sistema operativo y los datos es fundamental, y mucho más cuando los sistemas operativos
son en red.
• Rendimiento del sistema. Tarea que sirve para controlar y monitorizar el funcionamiento de un sistema
operativo en red.
Operaciones con usuarios y grupos en modo texto y modo gráfico
Modo texto:
Windows Server 2008 R2
con PowerShell
Crear usuario
useradd
New-ADUser
Cambiar contraseña de usuario
Modo
texto:
Bash
adduser
Modo gráfico
Windows Server 2008 R2
Usuarios y equipos de Active Directory
Set-ADAccountPassword
passwd
Usuarios y equipos de Active Directory
Eliminar usuario
Remove-ADUser
userdel
Usuarios y equipos de Active Directory
Crear grupo
New-ADGroup
Eliminar grupo
Remove-ADGroup
groupadd
addgroup
delgroup
EVALÚA TUS CONOCIMIENTOS
1. ¿Cómo
se usuario
llama el permite
superadministrador
en Linux?
¿El modo
ejecutar cualquier
instrucción?:
a) admin.
a)
b) Sí.
b) No.
root.
2. c)
¿Eladministrador.
modo kernel permite ejecutar cualquier instrucción?:
2. ¿Qué módulo es necesario importar en Powera)
No. para poder gestionar
b) Sí. usuarios y grupos?
Shell
3. ¿Un
puede acabar con un proceso?
a) El administrador
Módulo Active Directory.
a)
Sí.
b) No.
El Módulo Directory b)
Active.
4. ¿Cuál
de estos
nodos.
es un sistema de archivos?
c) Ninguno
de los
a) UFS.
04 Sist. Operativos en red.indd 129
b) HFS.
c) NTS.
Usuarios y equipos de Active Directory
Usuarios y equipos de Active Directory
Resuelve en tu cuaderno
o bloc de notas
3.
tipo de perfil
se emite
cuando hay un error
5. ¿Qué significa
procesador
asimétrico?
al cargar un perfil?
a) Se utiliza la potencia de los procesadores por igual
a) Perfil
de usuario
para ejecutar
los móvil.
procesos.
b) Perfil
de usuario
Los procesos
detemporal.
dividen y van a un procesador u
otro.
c) Ninguno de los dos.
6. ¿Qué
¿Qué es
una distribución
Linux?
4.
comando
se utilizade
para
crear usuarios en
Linux?
a) Conjunto de programas que, junto con la última
versión del núcleo,b)
están
preparados parac)ser
a) useradd.
adduser.
los instados.
lados.
5. ¿Qué comando sirve para crear grupos en Linux?
b) Conjunto de programas que están preparados para
a) addgroup.
b) adduser.
c) los dos.
ser instalados.
05/09/11 10:32
Related documents
UD1 SISTEMAS OPERATIVOS EN RED
UD1 SISTEMAS OPERATIVOS EN RED
enlace - Pablo Yela
enlace - Pablo Yela
Diapositiva 1
Diapositiva 1
Diapositiva 1 - Docencia FCA-UNAM
Diapositiva 1 - Docencia FCA-UNAM
ppt - mi web de administración
ppt - mi web de administración
Lab_2.2-Grupos_predefinidos
Lab_2.2-Grupos_predefinidos
Tema 11
Tema 11
PROGRAMACIÓN - RafaelSantos.es
PROGRAMACIÓN - RafaelSantos.es
MANUAL DE USO Servidor de Cálculo KRAMER - Wiki
MANUAL DE USO Servidor de Cálculo KRAMER - Wiki
Tesis previa a la obtención del Título de Ingeniero
Tesis previa a la obtención del Título de Ingeniero
Despliegue de imágenes personalizadas del sistema operativo en
Despliegue de imágenes personalizadas del sistema operativo en
Apunte N°1 "Sistema Operativo de Red"
Apunte N°1 "Sistema Operativo de Red"
98-365 fundamentos de windows server
98-365 fundamentos de windows server
ISO. Tema 1 - Moodle IES Romero Vargas
ISO. Tema 1 - Moodle IES Romero Vargas
Descarga tema de muestra
Descarga tema de muestra
MaX 6.5. Administración de sistemas
MaX 6.5. Administración de sistemas
la figura del administrador del sistema operativo
la figura del administrador del sistema operativo
REUNION APP DOLOR
REUNION APP DOLOR