Como sabemos, las directivas de grupo definen distintos componentes del entorno del usuario y del…
Gestión de usuarios y grupos en Windows
Vamos a desarrollar las principales características de los usuarios y grupos de usuarios en Windows.
Principalmente vamos a tener los siguientes tipos:
- Usuarios y grupos locales
- Usuarios y grupos globales
Una cuenta de usuario representa a una persona, y le permite a ésta iniciar sesión en equipos y/o dominios y tener acceso a recursos. Cada usuario debe tener su propia cuenta y su propia contraseña única, que le permitirá:
- Autentificar la identidad del usuario.
- Autorizar o denegar el acceso a los recursos.
- Auditar sus acciones.
En principio, podemos clasificar a los usuarios en dos grandes grupos: usuarios locales y usuarios globales.
- Usuarios locales: estas cuentas se crean en equipos que no actúan como controladores de dominio (no son servidores) y por tanto, no pueden usarse para conectarse a ningún dominio.
- Usuarios globales: estas cuentas se crean en equipos controladores de dominio (son servidores) y pueden usarse para conectarse a los dominios que han sido creadas y en los dominios en quien confía.
Durante este curso nos dedicaremos principalmente a trabajar con usuarios y grupos locales, dejando los usuarios globales o del dominio para el curso siguiente.
Usuarios locales.
Por tanto los usuarios locales se crean en un equipo, que no es servidor, y que por tanto se utilizan solo dentro de ese equipo (de forma local), y en su caso, para acceder a recursos compartidos de otros equipos.
- Acciones: crearlo, modificarlo, eliminarlo, cambiar nombre, cambiar contraseña.
- Perfiles de usuario.
El perfil de usuario me permite configurar el entorno de trabajo de los usuarios de un equipo-dominio. Podemos especificar el aspecto del escritorio, la barra de tareas, el menú inicio, programas, aplicaciones, etc.
Al igual que en los usuarios y grupos, tenemos también dos tipos de perfiles
- Perfil local (lo veremos durante este curso)
- Perfil móvil (el perfil se almacena en el servidor y se carga en los clientes cuando inician sesión. Éstos pueden ser de dos tipos, modificables y “no modificables u obligatorios”.
Cada usuario tiene un perfil que está asociado a su nombre de usuario, y que se guarda en la estación de trabajo de forma local (perfil local).
Cuando hablemos de usuarios que se conectan por la red a un servidor, hablaremos también de los perfiles móviles y perfiles obligatorios.
Dependiendo de la versión de Windows con la que estemos trabajando, los perfiles locales se guardan en una carpeta por defecto, por ejemplo, en Windows XP, en la carpeta “Documents and settings/nombredeusuario”, o en Windows 7 en la carpeta Usuarios,en dichas ubicaciones se encuentran los subdirectorios de los usuarios que se crearon en el momento de la instalación, además de los que se crearon posteriormente.
En cada uno de los perfiles podemos algunas de las siguientes carpetas:
- Configuración local. Se almacenan datos de programas, historial y archivos temporales.
- Información sobre preferencias del usuario.
- Datos de programa. Almacena datos específicos de los programas.
- Entorno de red. Guarda accesos directos a mis sitios de red.
- Elementos que aparecen en el escritorio.
- Acceso a las páginas favoritas de Internet.
- Acceso directo a las impresoras conectadas.
- Menú inicio. Accesos directos a los programas que tenga en el menú inicio.
- Mis documentos. Accesos directos a mis imágenes, mi música…
Además, dependiendo de la versión de Windows, podemos tener hasta 3 archivos: NTUSER.dat, NTUSER.dat.log y NTUSER.man, que contienen datos de configuración de ese usuario para el registro de Windows.
Grupos
Los grupos se utilizan para agregar a los usuarios de forma que se puedan asignar más fácilmente sus privilegios y hacer más sencilla su administración. Es decir, podemos incorporar un usuario a uno o varios grupos, teniendo en cada uno de ellos unos permisos determinados que le permitirán realizar o no distintas funciones.
Podemos distinguir dos tipos principales de grupos:
- Grupos de seguridad. Se utilizan fundamentalmente para asignar derechos y permisos (“grupos normales de usuario”).
- Grupos de distribución. Sólo se utilizan con aplicaciones de correo electrónico y no para asignar derechos ni permisos.
Dentro de los grupos de seguridad veremos específicamente los llamados grupos locales.
- Grupos locales.
Al igual que con los usuarios, este tipo de grupos se crea en equipos que no son controladores de dominio (no son servidores) y normalmente los utilizaremos para agregar usuarios locales.
Automáticamente se crean varios grupos locales, entre ellos encontramos los siguientes:
- Administradores: los miembros de este grupo tienen control local sobre el equipo, y tienen todos los derechos y permisos.
- Invitados: permite a usuarios ocasionales iniciar sesión en el equipo, con menos permisos que el grupo usuarios.
- Usuarios: pueden ejecutar aplicaciones, utilizar impresoras, cerrar y bloquear estaciones de trabajo, pero en principio no pueden compartir carpetas.
- Usuarios avanzados.: pueden crear cuentas de usuarios y grupos locales, pero únicamente pueden modificar o eliminar las que ellos hayan creado. No pueden tomar posesión de archivos, realizar copias de seguridad, cargar o descargar drivers, ni administrar la seguridad y la auditoría.