UnitecGestión de sistemas operativos de red

Perfiles de usuario

• Un perfil es un entorno personalizado para un usuario. El perfil contiene la configuración del escritorio y de los programas del usuario. Cada usuario tiene un perfil tanto si el administrador lo configura como si no, porque el perfil se crea automáticamente para cada usuario cuando se inicia sesión en un equipo. Los prefiles ofrecen las siguientes ventajas:

Ventajas

• Los cambios hechos por un usuario no afectan a otro usuario.

• Multiples usuarios pueden utilizar diferentes equipos con la configuración de cada uno recuperada al inicio de cada sesión.

Tipos de perfiles

• Perfiles locales. Perfil creado en un equipo cuando un usuario inicia la sesión. El perfil es específico de un usuario, local al equipo y se almacenan en el disco duro local.

• Perfiles móviles. Perfiles creados por un administrador y almacenados en un servidor. De esta forma un usuario podrá utilizar cualquier equipo de la red con su perfil de usuario.

• Perfiles obligatorios.Perfiles móviles que sólo puede ser modificados por el administrador.

Tipos de perfiles de usuario

Políticas de grupo

Las políticas de grupo son conjuntos de reglas para administrar usuarios y máquinas. Estas reglas solo son efectivas bajo ciertas condiciones: sistemas posteriores a Windows 2000. Las directivas de grupo han sido varias veces revisadas y como consecuencia, algunas de ellas solo son aplicables a una cierta versión de Windows. Por ejemplo, algunas directivas son compatibles con Windows 2000, XP Profesional, Vista, 7, Server 2003 y 2008, y otras solo con XP y Server 2003, o solo con Vista, 7 y 2008.

Las Directivas de Grupo se basan en plantillas administrativas amigables con opciones de configuración del sistema al que se aplicarán. Por ejemplo, una opción llamada "Requerir una configuración específica de Wallpaper" modificará el registro del sistema añadiendo una entrada que mantenga dicho valor.

Objetos aplicables

1.      Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).

• 2.      Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.

• 3.      Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.

• 4.      Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

Tipos de Políticas de grupo

Hay dos tipos de directivas.

El primer tipo es la directiva local . Cada máquina corriendo con Windows tiene una o más directivas: la directiva local (si estamos en un grupo de trabajo)

Active Directory o de grupo (si estamos en un dominio). La directiva de Active Directory se almacena en el volumen Sysvol (elegido durante la instalación), en un contenedor llamado "Objetos de directiva de grupo", desde donde se pueden enlazar con otros objetos de AD, como OUs, Dominios o sitios.

Cuando creamos un dominio, se crean dos directivas de grupo de AD: "Default Domain Controllers Policy" y "Default Domain Policy". La primera es aplicable a todos los controladores de dominio. La segunda es aplicable al dominio de AD. A parte de estas, se pueden crear otras y enlazarlas con ciertos objetos del dominio.

Grupos• Un grupo es una colección de usuarios,

equipos u otros grupos

• Los grupos se usan para simplificar la administración del acceso de usuarios y equipos a los recursos (directorios, ficheros, impresoras, etc.)

• Permiten conceder permisos de acceso a varios usuarios al mismo tiempo, en lugar de conceder los usuario a usuario

• Grupos en un equipo local, llamados grupos locales

• – Se crean en equipos que son estaciones de trabajo independientes o servidores miembro, pero NO en controladores de dominio

• – Residen en SAM (Security Accounts Manager)

• – Se usan para otorgar permisos a recursos y otorgar derechos para las tareas del sistema en el equipo local

• Grupos en un dominio:

• – Se crean únicamente en controladores de dominio

• – Residen en el servicio de directorio Active Directory

• – Se usan para otorgar permisos a recursos y otorgar derechos para tareas del sistema en cualquier equipo del dominio

Tipos y ámbitos de los grupos de dominio

Cuentas

Cuentas de usuarios locales

• Cuentas de usuario definidas en el equipo local, con acceso

solamente al equipo local y, por tanto, a los recursos del mismo

• Los usuarios pueden tener acceso a los recursos de otro equipo

de la red si disponen de una cuenta en dicho equipo

• Para poder acceder a los recursos que un equipo comparte, es

necesario autenticarse en él

• Estas cuentas de usuario residen en el administrador de cuentas

de seguridad (Security Account Manager, SAM) del equipo, que

es la BD de cuentas de seguridad local

• Se pueden crear en estaciones de trabajo o en servidores

miembros pero NO en controladores de dominio

Cuentas de usuario de dominio

• Permiten a un usuario iniciar sesión en el dominio para obtener

acceso a los recursos de la red

• El usuario tendrá acceso en cualquier equipo de la red con una

única cuenta y contraseña

• Estas cuentas de usuario residen en el servicio de directorio AD y

se crean definiéndolas en un controlador de dominio

• En los controladores de dominio sólo puede haber cuentas de este

tipo, no se pueden definir cuentas de usuario local

• Un usuario puede acceder a los recursos del dominio utilizando

un inicio de sesión único

Cuentas de usuario integradas

• Permite a un usuario realizar tareas administrativas u obtener

acceso temporalmente a los recursos de red

• Existen dos cuentas de usuario integradas que no pueden

eliminarse: Administrador e Invitado

• Las cuentas de usuario locales Administrador e Invitado

residen en SAM

• Las cuentas de usuario integradas de dominio residen en AD

• Estas cuentas se crean automáticamente durante la instalación

de Windows o la de un dominio del Active Directory

• Son cuentas instaladas con el sistema operativo y las

aplicaciones o servicios

Cuentas de usuario implícitas

• Creadas de forma implícita por el sistema operativo o

aplicaciones, se usan para asignar permisos en ciertas

situaciones

• SistemaLocal (Localsystem): permite ejecutar procesos

del sistema y administrar las tareas relativas al sistema.

No se puede iniciar una sesión con esta cuenta, pero

algunos procesos se ejecutan con ella:

– Por ejemplo, esta cuenta es la que se usa para ejecutar muchos de

los servicios del sistema (los demonios)

• LocalService: acceso al sistema local

• NetworService: acceso al sistema local y en la red

• Otras cuentas son, por ejemplo, las de Internet

Information Services o los servicios de terminales