4: Usuarios y Grupos
Usuarios y Grupos
En una red es imprescindible conseguir que los usuarios tengan todo lo que necesiten y evitar los problemas que impidan su trabajo. Acceso a archivos, carpetas, aplicaciones, impresoras, internet, etc... requeridos para su trabajo. Así que manos a la obra.
Grupos
Por definición, los grupos en Windows Server son objetos del servicio de Active Directory o, del equipo local, que a su vez pueden contener usuarios, contactos, equipos, y otros grupos.
El objetivo es una administración más simple, para que el administrador pueda asignar derechos y permisos por grupo y no a usuarios individuales.
En Windows Server nos encontramos con los grupos de seguridad y los grupos de
distribución, aunque casi todos los grupos utilizados son de seguridad ya que son a los que se pueden asignar permisos.
Cada grupo de seguridad tiene asignado un ámbito de grupo, que definirá como se asignan los permisos a sus miembros.
Los grupos de distribución no tienen seguridad activada y sólo se pueden usar con aplicaciones de correo
electrónico para enviar correos a conjuntos de usuarios.
ámbitos de Grupos
Los ámbitos: Cuando creamos un grupo se le asigna un ámbito de grupo,
encontrándonos con grupos globales, grupos locales de dominio y grupos universales.
ámbito global
Es un grupo global en cuanto los permisos se conceden sobre los recursos de cualquier dominio. Los usuarios de pertenencia provienen del dominio en el que se crea el grupo por lo que en este sentido no parece global. Son adecuados para cuentas de usuario y grupo y a su vez pueden pertenecer a grupos universales o locales de dominio en cualquier dominio y como miembros pueden tener a otros grupos globales en el mismo dominio y cuentas individuales del mismo dominio.
ámbito local de dominio
Es un grupo contrario al anterior, pues sus miembros pueden provenir de cualquier dominio y sus permisos
sólo pueden definirse para recursos del dominio en el que se crea el grupo. Como miembros pueden tener a otros grupos locales de dominio en el mismo dominio, globales de cualquier dominio, universales de cualquier dominio y cuentas individuales de
cualquier dominio.
ámbito universal
Un grupo universal puede tener miembros pertenecientes de cualquier dominio y se le pueden asignar permisos a recursos de cualquier dominio.
Sólo está disponible en dominios en modo nativo. Sus miembros pueden ser otros grupos universales, globales y cuentas individuales. Deben utilizarse comedidamente pues afectan al rendimiento de la red.
Para los anidamientos entre grupos hemos de tener en cuenta que sus reglas se aplican completamente en modo nativo y no en modo mixto.
Es muy importante una correcta planificación pues afectan al rendimiento de la red,
veámoslo:
Cuando un usuario inicia sesión el DC determina los miembros del grupo del usuario y le asigna un testigo de seguridad, que incluye el SID de todos los grupos a los que pertenezca y el ID del propio usuario. Cuantos
más grupos pertenezca el usuario más se tarda en la creación del testigo y por ende en iniciar
sesión. Por otra parte el testigo será enviado a cada equipo al que accede el usuario, donde se comparará todos los SID con los permisos de los recursos compartidos. Un gran
número de usuarios añadidos a un gran número de recursos consume ancho de banda y tiempo de proceso.
En cuanto a los grupos universales tienen un impacto por sí mismos en el rendimiento de la red, pues todos los grupos con sus miembros se muestran en el
catalogo global, cualquier cambio en un grupo con ámbito universal será transmitido a todos los servidores de
catálogo global del árbol de dominios, aumentando el tráfico de réplica. Los grupos globales o locales
también están en el catálogo global pero no así sus miembros individuales, por lo que el consumo es menor.
Un buen artículo sobre grupos: Grupos
Los grupos, al igual que las cuentas de usuario (como veremos) obtienen un identificador exclusivo para monitorizarlos (SID) en el momento de su
creación.
Cuentas de usuario
Definamos dos tipos de cuentas, aquéllas que se circunscriben al Active Directory y que llamaremos cuentas de usuario de dominio y las que se crean para tener acceso al equipo local que llamaremos cuentas de usuario locales.
Aunque Windows Server muestra nombres de usuario para indicar privilegios y permisos, los identificadores clave de las cuentas son los SID(Security Identifiers), exclusivos y generados al crear las cuentas, lo forman un prefijo del identificador de seguridad del dominio y un identificador relativo exclusivo asignado por el maestro de identificadores relativos. Estos identificadores son utilizados para monitorizar las cuentas, aparte del nombre de usuario. De entre las funciones del SID las dos
más importantes son permitir cambiar fácilmente el nombre de usuario y eliminar cuentas sin preocuparse de que alguien pueda obtener acceso a los recursos con
sólo crear una cuenta. Ya que cuando se cambia el nombre a un usuario se
solicita un SID para un nombre nuevo, al eliminar una cuenta se indica que el
SID ya no será válido, así que cuando creamos una nueva aún con el mismo nombre, el SID será diferente.
Creación de usuarios y grupos
Las herramientas presentes en Windows Server para la creación de usuarios y grupos son: Usuarios y equipos de Active Directory y Usuarios y grupos locales; con la primera administraremos las cuentas de un dominio AD y con la segunda administraremos las cuentas de un equipo local.
En el caso de ser un DC la segunda quedará anulada y todas las cuentas locales creadas anteriormente a la
promoción se ajustarán al AD.
Crearemos una cuenta de usuario de dominio desde la herramienta de Usuarios y equipos de AD, pudiendo ser una cuenta nueva o una cuenta nueva que herede las opciones de una existente. El asistente nos solicitará varios datos para la cuenta, entre ellos el nombre de inicio de
sesión, la contraseña (que deberá ajustarse a las directivas de contraseñas) y algunos valores sobre las mismas que elegiremos marcando las casillas correspondientes.
Crearemos una cuenta de usuario local desde la herramienta Administración de equipos del conjunto de Herramientas administrativas del panel de control. En este caso cambiará la forma del nombre de inicio de
sesión, si en el anterior será del estilo nombre@dominio, aquí sólo aparecerá nombre.
Para la creación de grupos se utilizan las mismas herramientas, aunque la segunda
sólo nos servirá para crear grupos locales y añadir miembros.
Tip: limitar inicios de sesión concurrentes
Restricting Concurrent Logons
Cconnect.exe: Con-Current Connection Limiter
Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0
LimitLogin.exe