ADMINISTRACIN DE CUENTAS

USUARIO

GRUPOS

ADMINISTRACIN DE CUENTAS DE USUARIOS

Una cuenta de usuario es un objeto, que consiste en toda la informacin que define al usuario en Windows. Consta de un nombre de cuenta (username) y de la contrasea (password) necesarios para iniciar sesin, de los grupos a los que pertenece dicho usuario y de los derechos, privilegios y permisos que tiene para acceder al equipo, la red y los recursos.
Autorizar o denegar el acceso a los recursos del dominio. Administrar otros principales de seguridad.

Autenticar la identidad de un usuario que se conecta a la red.

Una cuenta

Auditar las acciones realizadas con la cuenta de usuario o de equipo.

Tipos Cuentas locales Cuentas dominios

ADMINISTRACIN DE CUENTAS DE USUARIOS

Cuentas de Usuario Local
USUARIO LOCALES

Las cuentas de usuario locales permiten a los usuarios iniciar una sesin y acceder a los recursos solamente en la computadora donde se crea la cuenta de usuario local.

Admin. Invitado

Usuario

USUARIO DEL DOMINIO Admin.

Cuentas de Usuario del Dominio

Las cuentas de usuario de dominio permiten a los usuarios iniciar una sesin en el dominio y acceder a los recursos en cualquier parte de la red. El usuario proporciona su contrasea y nombre de usuario durante el proceso de inicio y Active Directory dichos datos, una vez comprobado los datos ingresados se le concede el acceso a la red.

Invitado
Asist de ayuda Usuario A Usuario B

DOMINIO DE WINDOWS SERVER 2003

ADMINISTRACIN DE CUENTAS DE GRUPOS

Opciones de cuentas
Cada cuenta de usuario de Active Directory tiene varias opciones de cuenta que determinan cmo se autentica en la red a un usuario que ha iniciado una sesin con esa cuenta de usuario en particular.
Los usuarios tendrn que cambiar las contraseas la prxima vez que inicien una sesin en la red El usuario no tiene los permisos necesarios para cambiar su contrasea Se evita que caduque la contrasea del usuario El usuario no puede iniciar la sesin con la cuenta seleccionada

El usuario debe cambiar la contrasea en el siguiente inicio de sesin El usuario no puede cambiar la contrasea La contrasea nunca caduca La cuenta est deshabilitada

ADMINISTRACIN DE CUENTAS DE USUARIOS

Creacin de cuentas de usuarios de domino

1) Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. Resaltar el nombre del dominio y, en el men Accin, apuntar a Nuevo y escoger despus Usuario.

2) Podemos introducir informacin relativa al nombre, apellidos , iniciales y nombre de cuenta

3)Es donde el asistente nos peedira que introdusca la contraseas

4) Se abre una pantalla de confirmacin, mostrando los detalles de la cuenta que se va a crear. Si los detalles son correctos, hay que pulsar Finalizar. En otro caso, se puede utilizar el botn Atrs para realizar correcciones.

ADMINISTRACIN DE CUENTAS DE USUARIOS

Creacin de cuentas de usuarios local

Una cuenta local no puede acceder al dominio y, por lo tanto, solo tiene acceso a los recursos del equipo donde se crea y utiliza. Para crear una cuenta de usuario local hay que seguir estos pasos: Pulsar con el botn derecho del ratn en Mi PC y escoger administrar en el men contextual. En el rbol de la consola, hay que pulsar Usuarios locales y grupos. Pulsar con el botn derecho del ratn en Usuarios y escoger Usuario nuevo en el men contextual. En el cuadro de dilogo Usuario nuevo hay que suministrar el nombre de usuario, el nombre completo y la descripcin. Proporcionar una contrasea y definir las directivas de contraseas. Pulsar Crear. Las cuentas locales pueden pertenecer a grupos creados localmente (en el equipo nico).

Recomendaciones para crear cuentas de usuarios

Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas de usuario locales: 1. No habilite cuentas de Invitado. 2.Cambie el nombre de la cuenta Administrador. 3.Limite el nmero de personas que pueden iniciar la sesin de forma local. 4 .Utilice contraseas seguras. Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas de usuario de dominio: 1.Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente. 2.Exija que los usuarios cambien la contrasea de sus cuentas la primera vez que inicien sesin. 3.Una medida de seguridad recomendable es que no inicie la sesin en su equipo con credenciales de administrador. 4.Cuando inicie la sesin en su equipo sin credenciales de administrador, es recomendable que utilice el comando Ejecutar como para realizar tareas de administracin. 5.Cambie el nombre o deshabilite las cuentas de Invitado y Administrador en cada dominio para evitar los ataques a la seguridad. 6.De forma predeterminada , el trfico en las herramientas administrativas de Active Directory queda firmado y cifrado mientras se transmite por la red. No deshabilite esta funcin.

ADMINISTRACIN DE CUENTAS DE GRUPOS

Los grupos simplifican la administracin, ya que permiten asignar permisos para los recursos

Qu son los grupos?

Los grupos se distinguen por su mbito y tipo El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. El mbito de grupo determina: Los dominios desde los que puede agregar miembros al grupo. Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos

ADMINISTRACIN DE CUENTAS DE GRUPOS

Los 3 mbitos de grupo son: global, local de dominio, universal y local

Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y otras cuentas de grupo en unidades administrables. Trabajar con grupos en lugar de con usuarios individuales , ayuda a simplificar la administracin y el mantenimiento de la red. Existen los siguientes grupos en Active Directory:

Tipos

Grupos de distribucin.- Slo se puede usar con aplicaciones de correo electrnico No se puede utilizar para asignar permisos Grupos de seguridad Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a grupos de usuarios y equipos.

ADMINISTRACIN DE CUENTAS DE GRUPOS

GRUPOS

GRUPO GLOBAL

Grupo Global Pueden contener, adems, otros grupos globales del mismo dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse para clasificar a los usuarios en funcin de las labores que realizan.
Reglas de grupos globales Miembros Cuentas de usuarios, cuentas de equipos, grupos globales del mismo dominio. Universal y grupos locales de dominio en todo los grupos de dominio y globales del mismo dominio.

GRUPO UNIVERSAL

Pueden ser miembros de

G. LOCAL DOMINIO

Permisos

Todos los dominios del bosque y dominios de confianza.

ADMINISTRACIN DE CUENTAS DE GRUPOS

GRUPOS

GRUPO GLOBAL

Grupo Universal Pueden contener cuentas de usuario y grupos globales, as como otros grupos universales, de cualquier dominio del bosque. Son visibles en todo el bosque.
Reglas de grupo universal
Miembros Cuentas de usuarios, cuentas de equipos, grupos globales y otros grupos universales de cualquier dominio del bosque. Grupos locales de dominio y universales de cualquier dominio. Todos los dominios de un bosque.

GRUPO UNIVERSAL

Pueden ser miembros de

G. LOCAL DOMINIO

Permisos

ADMINISTRACIN DE CUENTAS DE GRUPOS

GRUPOS

GRUPO GLOBAL

Grupo Local Dominio Pueden contener, adems, grupos universales y otros grupos locales del dominio. Slo son visibles en el dominio en que se crean, y suelen utilizarse para conceder permisos y derechos en cualquiera de los ordenadores del dominio.
Reglas de grupos locales del dominio
Miembros Cuentas de usuarios, cuentas de equipos, grupos globales y grupos universales de cualquier domino del bosque y grupos locales de dominio del mismo dominio.

GRUPO UNIVERSAL

Pueden ser miembros de

G. LOCAL DOMINIO

Grupos locales de dominio del mismo dominio. Dominio al que pertenece el grupo local de dominio

Permisos

ADMINISTRACIN DE CUENTAS DE GRUPOS

Recomendadas para la administracin de grupos

Crear grupos en funcin de las necesidades administrativas Utilizar grupos locales en un equipo que no sea miembro de ningn dominio Utilizar el grupo integrado cuando sea posible, en lugar de crear un grupo nuevo

Agregar cuentas de usuario al grupo ms restrictivo

Utilice el grupos Usuarios autenticados en lugar del grupo Todos para conceder la mayor parte de los derechos y permisos de usuario Limite el nmero de usuarios del grupo Administradores Confe en todos los miembros de los grupos Administradores, Usuarios avanzados, Operadores de impresin, Operadores de copia de seguridad