1. Cuentas de usuario y grupo en sistemas Windows/Linux – Usuarios y grupos predeterminados y especiales del sistema. – Creación de cuentas de usuario. – Modificación de cuentas de usuario. – Creación y gestión de cuentas para equipos. – Gestión de grupos. – Tipos y ámbitos. 2. Gestión avanzada de cuentas de usuarios y grupos en sistemas Windows/Linux – Plantillas. – Tipos de perfiles de usuario. – Perfiles móviles.
– Perfiles obligatorios. – Unidades Organizativas. – Directivas de Grupo (GPO). 1. CUENTA DE USUARIO Y GRUPO EN SISTEMAS WINDOWS/LINUX
– Usuarios y grupos predeterminados y especiales del
sistema. – Creación de cuentas de usuario. – Modificación de cuentas de usuario. – Creación y gestión de cuentas para equipos. – Gestión de grupos. – Tipos y ámbitos. – Propiedades.
• Las cuentas de usuario no siempre representan a personas concretas, sino que también pueden ser utilizadas como mecanismos de acceso para determinados servicios o aplicaciones de la máquina local o, incluso, de un equipo remoto. • Una cuenta de usuario es un objeto que posibilita el acceso a los recursos del dominio de dos modos diferentes: – Permite autenticar la identidad de un usuario, porque sólo podrán iniciar una sesión aquellos usuarios que dispongan de una cuenta en el sistema asociada a una determinada contraseña. – Permite autorizar, o denegar, el acceso a los recursos del dominio, porque, una vez que el usuario haya iniciado su sesión sólo tendrá acceso a los recursos para los que haya recibido los
permisos correspondientes. • Cada cuenta de usuario dispone de un identificador de seguridad (SID, Security IDentifier) que es único en el dominio. 1.1. USUARIOS Y GRUPOS PREDETERMINADOS DEL SISTEMA
predeterminados para proporcionar configuraciones básicas. • Se crean 3 tipos de cuentas: – Integradas: Cuentas de usuario y grupo instaladas con el SO, aplicaciones y servicios. • LocalSystem: Utilizada para ejecutar procesos del sistema y administrar tareas. • LocalService: Para ejecutar servicios que necesitan privilegios y derechos de inicio de sesión adicionales en un
sistema local. • NetworkService: Para ejecutar servicios que necesitan privilegios y derechos de inicio de sesión adicionales en un sistema local y en la red. – Predefinidas: Cuentas de usuario y grupo instaladas con el SO. • Administrador: Acceso total. No se puede eliminar ni deshabilitar. • ASPNET: Permite ejecutar procesos temporales ASP.NET. • Guest: Para usuarios que necesitan acceder de forma ocasional al sistema. • Support: Tiene derecho a iniciar sesión como tarea por lotes. – Implícitas: Los grupos especiales creados
implícitamente al acceder a los recursos de red; también conocidas como identidades especiales. 1.1.2. LINUX • Al instalar Linux, al igual que en Windows, se crean numerosas cuentas de usuario para poder llevar a cabo diferentes tareas en el sistema. • Existen diferentes tipos de grupos y de usuarios predefinidos: – Grupos de usuarios: Los usuarios no suelen tener privilegios de superusuario, por lo que los añadidos a algunos grupos especiales para poder llevar a cabo ciertas operaciones. – Grupos de sistema: Grupos utilizados para llevar a cabo diferentes tareas administrativas del sistema.
– Grupos de software: Utilizados por software no esencial. En la mayoría de los casos son usados de forma interna por el software, por lo que no se suelen añadir usuarios a estos grupos. • Grupos de usuarios: games, rfkill, users, uucp, wheel. • Grupos de sistema: bin, daemon, dbus, ftp, fuse, http, kmem, mail, mem, nobody, polkitd, root, tty. • Grupos de software: adbusers, avahi, cdemu, clamav, gdm, locate, ntp, vboxusers, …
deseamos, podemos hacerlo sobre el grupo que queremos que alberque el usuario), hacemos clic derecho y seleccionamos “New”, añadiendo las siguientes clases al objeto nuevo: – posixAccount – inetOrgPerson – organizationalPerson
• Otra forma para añadir usuarios es utilizando la
aplicación web phpldapadmin. • Para ello, nos situamos en la UO o el grupo dentro del cual deseamos crear el usuario y seleccionamos “Crear un objeto hijo”.
PESTAÑA DESCRIPCIÓN General Datos identificativos del usuario Dirección Dirección física del usuario Cuenta Nombre de inicio de sesión, restricciones de inicio, opciones de contraseña y caducidad, horas de inicio de sesión. Perfil Ruta de acceso al perfil de usuario Teléfonos Teléfonos del usuario Organización Puesto, departamento, etc. Control remoto Grado con el que el administrador puede ver o controlar las sesiones de servicios de terminal del usuario. COM+ Participación del usuario en las particiones de disco.
atributos. Posteriormente, pulsar sobre “Submit”. • Dos tipos de vista: – HTML View: Se muestran los atributos por apartados. – Table Editor: Muestra todos los atributos del objeto. • También podemos (haciendo clic derecho sobre el objeto): – Cut/Copy/Paste: Para replicar el objeto.
se desee y pulsar en “Actualizar Objeto”. • Otras opciones: – Copiar el objeto: Permite crear otro objeto a partir de los datos del actual. – Renombar: Cambia el CN del objeto. – Borrar: Borra el objeto. – Añadir atributo: Añade un nuevo atributo. Útil cuando
seleccionar la clase “Posix Group”. • Debemos rellenar los datos, teniendo en cuenta que “memberUid” contendrá los usuarios del grupo. • Para modificarlo, sólo debemos entrar en él y llevar a cabo los cambios deseados.
– Locales: Son definidos y sólo se utilizan en el equipo local. – Seguridad: Pueden tener asociados descriptores de seguridad. – Distribución: Grupos utilizados como listas de distribución de correo electrónico. No pueden tener asociados descriptores de seguridad.
• Los grupos pueden tener ámbitos diferentes (ser válidos en diferentes áreas): – Grupos locales de dominio: Utilizados para conceder permisos en un único dominio. Sólo puede incluir cuentas de usuario y grupo del dominio. – Grupos globales: Utilizados para conceder permisos a objetos en cualquier dominio del árbol o bosque de dominios. Sólo se pueden incluir cuentas y grupos del dominio en el que están definidos. – Grupos universales: Utilizados para conceder permisos
a gran escala a lo largo de un árbol o bosque de dominios. Se pueden incluir cuentas de usuario, grupos globales y otros grupos universales de cualquier dominio del árbol o bosque de dominios en el que están definidos. 2. GESTIÓN AVANZADA DE CUENTAS DE USUARIOS Y GRUPOS EN SISTEMAS WINDOWS/LINUX
– Plantillas. – Tipos de perfiles de usuario. – Perfiles móviles. – Perfiles obligatorios. – Unidades Organizativas. – Directivas de Grupo (GPO).
propiedades deseadas. 2. Por motivos de seguridad, se recomienda que dicha cuenta esté deshabilitada. 3. Para crear un usuario a partir de la plantilla, hacer clic derecho sobre ésta y seleccionar “Copiar”. 4. Rellenar los datos relativos a la identificación
JXPLORER 1. Crear un usuario normal, que hará las veces de plantillas. Si no se le asigna password, el usuario estará deshabilitado. 2. Para crear un usuario a partir de éste, hacer clic derecho y seleccionar “Copy branch”. 3. Dentro del contenedor seleccionado, hacer clic derecho y seleccionar “Paste branch”. 4. Aceptar la modificación del directorio. 5. El nuevo usuario se copia con el mismo nombre
plantilla. 2. Seleccionar el usuario y pulsar sobre “Copiar este objeto”. 3. Indicar el DN destino. 4. Modificar los datos deseados y los que identifican al usuario.
ajusten a cada tipo de usuario. Incluso pueden crearse perfiles obligatorios que no guarden los cambios efectuados por los usuarios, creando así cuentas con un aspecto y funcionalidad homogénea, que el usuario no puede alterar. • Entre los perfiles de usuario que podemos utilizar, se encuentran los siguientes: – Perfil de usuario local: Se guarda en el disco duro local del equipo cliente, de modo que todas las modificaciones que se realicen serán específicas del ordenador en el que se han establecido. – Perfil de usuario móvil: Los crea el administrador y se almacenan en una carpeta compartida por el servidor. Está asociada a la cuenta del dominio, de modo que estará disponible de forma independiente al ordenador concreto desde el que inicie sesión el usuario. Dado que el perfil se encuentra en el servidor, todos los cambios realizados en éste también se guardan en el servidor. – Perfil de usuario obligatorio: Podríamos decir que son perfiles móviles de sólo lectura, ya que solamente los administradores del dominio pueden realizar cambios en estos perfiles. De esta forma, el administrador podrá definir configuraciones para usuarios o grupos, y éstos no podrán cambiarlos.
– Perfil de usuario temporal: Cuando se produce un error que impide cargar un perfil móvil o un perfil obligatorio, se crea un perfil temporal para facilitar el inicio de sesión del usuario. Cuando el usuario acaba su sesión, el perfil temporal se elimina y se pierden todas las modificaciones realizadas por el usuario en su entorno. 2.3. PERFILES MÓVILES
3. En el servidor, crear la carpeta que contendrá los directorios home de los usuarios. Se recomienda que la carpeta no sea propiedad de nadie. Para ello, cambiamos propietario a nobody:nogroup.
Entre las opciones permitidas están: • ro: Sólo lectura • rw: Lectura y escritura. • wdelay: El servidor NFS no escribe en disco si se espera otra operación de forma inminente. • no_wdelay: Deshabilita la característica anterior. • root_squash: Evita que los usuarios con privilegios administrativos los mantengan, sobre la carpeta compartida, cuando se conectan remotamente. En su lugar, se les trata como a un usuario remoto más. Es la opción predeterminada. • no_root_squash: Deshabilita la característica anterior. • sync: Evita responder peticiones antes de escribir los cambios pendientes en disco. Es la opción predeterminada. • async: Deshabilita la característica anterior. Mejora el rendimiento a cambio de que exista el riesgo de corrupción en los archivos o, incluso, en todo el sistema de archivos, si se produjese una interrupción del fluido eléctrico o un bloqueo del sistema. • subtree_check: Cuando el directorio compartido es un subdirectorio de un sistema de archivos mayor, NFS comprueba los directorios por encima de éste para verificar sus
permisos y características. Es la opción predeterminada. • no_subtree_check: Deshabilita la característica anterior, lo que hace que el envío de la lista de archivos sea más rápido, pero puede reducir la seguridad. • En el caso que nos ocupa, un ejemplo para compartir el directorio sería: /var/compartido *(rw,sync,no_subtree_check) • Ahora debemos reiniciar el servicio nfs-kernel- server.
2.5. UNIDADES ORGANIZATIVAS • Las Unidades Organizativas (en inglés, Organizational Units o, simplemente, OUs) son contenedores del Directorio Activo que pueden contener usuarios, equipos, grupos y otras unidades organizativas. • A una Unidad Organizativa le podemos otorgar valores de configuración de directiva de grupo o podemos delegar sobre ella una parte de la autoridad administrativa. De esta forma, un usuario puede tener autoridad para administrar una determinada unidad organizativa y no tenerla para
Sitios, Dominios o Unidades Organizativas indicadas en el Active Directory del servidor. • Las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos, pues tan sólo son aplicables a Sitios, Dominios o Unidades Organizativas, y el resultado de su aplicación afecta a los usuarios y a los equipos del dominio. • Cuando se habilita una directiva de grupo, el orden en que la misma es aplicada es el siguiente: 1. En primer lugar se aplica el objeto de Directiva de Grupo local único. 2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en el orden especificado administrativamente. 3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en el orden especificado administrativamente. 4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de Unidad Organizativa principal a secundaria, y en el orden especificado administrativamente en el nivel de cada Unidad Organizativa. 5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes, es decir, hay contradicciones entre varias directivas. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas directivas asociadas al objeto en cuestión. • Las Directivas de Grupo tienen prioridad sobre las opciones de configuración del perfil del
organizativa que contiene la computadora o el usuario que se procesan. Si las políticas son múltiples vinculados a una unidad organizativa estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad. • Para bloquear la herencia, hacer clic derecho en el elemento deseado y seleccionar “Bloquear herencia”. • Al bloquear herencia, la UO seleccionada no hereda las GPO de las superiores. • GPOs exigidas, con estas podemos forzar la aplicación aun cuando una OU o Dominio trata de Bloquear la herencia de directivas desde
Usuario, pero la vinculas solamente a la OU que contiene las cuentas de máquina, no aplicará las configuraciones de usuario ELIMINAR DIRECTIVA DE GRUPO