Servicio de directorio Active Directory. Crear una cuenta de usuario de dominio

Servicio de directorio Active Directory. Crear una cuenta de usuario de dominio

Una cuenta de usuario local permite a un usuario iniciar sesión en una computadora local para acceder a los recursos locales. Sin embargo, en un entorno de red, los usuarios necesitan acceso a recursos ubicados en otras partes de la red. Se requiere una cuenta de usuario de dominio para acceder a estos recursos. Cuando se crea una cuenta de usuario de dominio, se coloca en el servicio de directorio Active Directory y se puede acceder a ella desde cualquier computadora que pertenezca a ese dominio. Por otro lado, en un grupo de trabajo, la cuenta de usuario existe sólo en la computadora local.

a) Cuentas de usuario de dominio definidas por el usuario

Las cuentas de usuario de dominio definidas por el usuario son cuentas que crea un administrador para permitir a los usuarios iniciar sesión en un dominio y acceder a los recursos de la red. Las cuentas de usuario de dominio definidas por el usuario se crean en el controlador de dominio. Este controlador de dominio replica la información de la nueva cuenta de usuario en todos los controladores del dominio. Durante el proceso de inicio de sesión, el usuario proporciona un nombre de usuario y contraseña, así como el dominio en el que existe la cuenta. El primer controlador de dominio disponible utiliza esta información para autenticar la cuenta de usuario.

b) Cuentas de usuario integradas (dominio)

Además de permitir a los administradores definir nuevas cuentas de usuario de dominio, el sistema operativo Win2000 ofrece dos cuentas de usuario de dominio integradas, Administrador e Invitado. Estas cuentas de usuario integradas son similares a las cuentas de usuario integradas que existen en las computadoras locales de los grupos de trabajo. La principal diferencia es que estas cuentas te dan acceso a un dominio completo.

c) Administrador

La cuenta de administrador integrada gestiona toda la configuración de la computadora y el dominio. Con esta cuenta, un administrador puede crear cuentas de usuarios y grupos, administrar la seguridad, administrar impresoras y asignar permisos a cuentas de usuarios. Se puede cambiar el nombre de esta cuenta, pero no se puede eliminar.

La cuenta de Invitado incorporada permite a los usuarios únicos acceder a los recursos de la red. Por ejemplo, en un sistema de baja seguridad, un empleado que necesita acceso a recursos a corto plazo podría utilizar la cuenta de Invitado. De forma predeterminada, esta cuenta está deshabilitada.

e) Utilidad de Usuarios y Computadoras de Active Directory

El sistema operativo Win2000 ofrece una utilidad llamada Active Directory UandC que permite a los administradores administrar cuentas de usuario en el servicio de directorio Active Directory. Esta utilidad se instala en computadoras que están configuradas como controladores de dominio. Para trabajar con la utilidad Active Directory UandC, debe iniciar sesión en el dominio Win2000 (no en la computadora local) y tener derechos suficientes para realizar las tareas relevantes.

Con la utilidad Usuarios y equipos de Active Directory, puede realizar las siguientes tareas en un dominio:

  • agregar o eliminar cuentas de usuario;
  • habilitar y deshabilitar cuentas de usuario;
  • buscar o mover cuentas de usuario;
  • cambiar el nombre de las cuentas de usuario;

restablecer contraseñas de usuario.
12. Grupos. Grupos en la computadora local. Grupos en un controlador de dominio. Grupos integrados y estándar en el dominio. Crear grupos en un dominio. Tipos de grupos y su alcance.

Grupo - este es un conjunto de cuentas de usuario. Los permisos de acceso se pueden configurar para todos los miembros del grupo al mismo tiempo y no es necesario configurarlos individualmente. Una vez que haya asegurado el acceso a un grupo, podrá simplemente agregar los usuarios adecuados a ese grupo. Puede utilizar los grupos predeterminados o integrados proporcionados por el sistema operativo Win2000, o puede crear nuevos grupos que se adapten a las necesidades de su organización. Un grupo puede existir sólo en la computadora local, en computadoras dentro de un dominio o en computadoras dentro de varios dominios.

Grupos en la computadora local:

En las computadoras locales (computadoras que son controladores de dominio), solo puede crear grupos locales en la base de datos de seguridad local. Un grupo ubicado en una computadora que no es un controlador de dominio proporciona seguridad y acceso solo a esa computadora local. Por ejemplo, para otorgarle a un usuario derechos administrativos en una computadora local, simplemente agregue el usuario al grupo de Administradores en esa computadora usando la utilidad Usuarios y grupos locales.

Grupos en el controlador de dominio:

En el controlador de dominio, los grupos se crean en el servicio de directorio Active Directory. Un grupo ubicado en un controlador de dominio puede incluir usuarios de un dominio completo o de varios dominios. Por ejemplo, para otorgar a los usuarios derechos administrativos, se agregan al grupo Administradores en un controlador de dominio mediante la utilidad Usuarios y equipos de Active Directory.

Grupos integrados y estándar en el dominio:

Al igual que ocurre con las computadoras cliente y los servidores miembro, los controladores de dominio tienen grupos predeterminados integrados. Además de los grupos integrados, los controladores de dominio tienen grupos predeterminados estándar. Cuando una computadora se convierte en un controlador de dominio, Windows 2000 Advanced Server crea automáticamente estos grupos en el complemento Usuarios y Computadoras de Active Directory. Al igual que los grupos locales integrados, estos grupos proporcionan derechos predefinidos que determinan qué tareas del sistema puede realizar un usuario o un grupo integrado o estándar.

Los grupos estándar con alcance global se encuentran en la carpeta Usuarios. Los grupos locales de dominio integrados se encuentran en la carpeta integrada. En Windows 2000, los grupos de dominio predeterminados incluyen los siguientes grupos.

  • Grupos locales de dominio integrados. Estos grupos otorgan a los usuarios derechos y permisos predefinidos para realizar tareas en el servicio de directorio Active Directory y en controladores de dominio. Los grupos locales de dominio integrados residen únicamente en controladores de dominio. Estos grupos no se pueden eliminar.
  • Grupos especiales. Estos grupos organizan automáticamente las cuentas de usuario según las necesidades del sistema. Los administradores no asignan usuarios a estos grupos. En cambio, los usuarios son miembros de forma predeterminada o se convierten en miembros a través de sus actividades en línea. Existen grupos especiales en todas las computadoras que ejecutan Windows 2000. Por ejemplo, si los usuarios se conectan a una carpeta compartida en una computadora remota, se convierten en miembros del grupo Sistema de red. Los grupos especiales no se muestran en el complemento Usuarios y equipos de Active Directory.
  • Grupos globales estándar . Estos grupos permiten a un administrador gestionar fácilmente todos los usuarios de un dominio. Los grupos globales estándar solo están disponibles en controladores de dominio. Estos grupos se encuentran en la carpeta Usuario del complemento Usuarios y equipos de Active Directory.

Crear grupos en un dominio:

Siga estas pautas al crear grupos para usar en un dominio.

  • Determine el alcance requerido del grupo en función de cómo se utilizará. Por ejemplo, para agrupar cuentas de usuarios, utilice un grupo global. Por el contrario, utilice un grupo local de dominio para otorgar permisos sobre un recurso.
  • Determine si tiene los permisos necesarios para crear un grupo en el dominio apropiado.

a) De forma predeterminada, los miembros de los grupos de Administradores u Operadores de cuentas tienen los permisos necesarios para crear grupos.

b) El administrador puede otorgar permiso al usuario para crear grupos en el dominio.

  • Defina el nombre del grupo. Elija un nombre intuitivo que refleje el propósito del grupo que está creando. Este enfoque es especialmente útil si los administradores de otros dominios necesitarán buscar este grupo en el servicio de directorio Active Directory.

Los grupos se crean y eliminan en el complemento Usuarios y equipos de Active Directory. Puede crear grupos en la carpeta Usuarios predeterminada o en cualquier carpeta recién creada. Si un grupo ya no es necesario, debe eliminarlo para no otorgarle ningún permiso accidentalmente.

Para crear un grupo, abra el complemento Usuarios y computadoras de Active Directory. Haga clic derecho en la carpeta donde se ubicará el grupo, seleccione Nuevo y haga clic en Grupo. La siguiente tabla describe las opciones en el cuadro de diálogo Nuevo objeto - Grupo.

Tipos de grupos:

El servicio de directorio Active Directory brinda soporte para varios tipos de grupos y ámbitos de grupo en un dominio. Debido a que los grupos se almacenan en Active Directory, se pueden usar en cualquier computadora de la red. El tipo de grupo determina las tareas que se pueden gestionar con él. El alcance de un grupo determina si el grupo abarca varios dominios o está limitado a un solo dominio. Cada tipo de grupo en un dominio tiene un atributo de alcance que determina cómo se aplica el grupo a la red.

Hay dos tipos de grupos en el servicio de directorio Active Directory.

1) Grupos de seguridad. Los grupos de seguridad deben usarse con fines relacionados con la seguridad, como otorgar permisos para acceder a recursos. También puede utilizarlos para enviar mensajes de correo electrónico a varios usuarios. Cuando envía un correo electrónico a un grupo, los mensajes se envían a todos los miembros de ese grupo. Por lo tanto, los grupos de seguridad comparten algunas capacidades con los grupos de distribución.

2) Grupos de distribución. Las aplicaciones utilizan los grupos de seguridad como listas para realizar funciones no relacionadas con la seguridad, como enviar correo electrónico a grupos de usuarios. No puede otorgar permisos utilizando grupos de seguridad. Aunque los grupos de seguridad tienen las capacidades de los grupos de distribución, aún son necesarios porque algunas aplicaciones solo pueden funcionar con grupos de distribución.

Ámbitos de grupo:

El alcance de un grupo determina en qué dominios se utiliza el grupo. El alcance afecta la membresía del grupo y adjunto grupos. Anidar es agregar un grupo a otro grupo como miembro. Windows 2000 tiene tres ámbitos de grupo.

1) El alcance del grupo global. Este ámbito se utiliza para agrupar usuarios que tienen requisitos de acceso a la red similares. Puede utilizar un grupo global para otorgar permisos a recursos ubicados en cualquier dominio.

a) La membresía en grupos globales es limitada. Las cuentas de usuario y los grupos globales se agregan únicamente desde el dominio en el que se crea el grupo global.

b) Los grupos globales se pueden anidar dentro de otros grupos. Esta característica le permite agregar un grupo global a otro grupo global en el mismo dominio, o a grupos universales o locales en otros dominios.

2) Alcance del grupo local de dominio. Este alcance se utiliza para otorgar permisos a recursos de dominio ubicados en el mismo dominio en el que se crea el grupo local de dominio. No es necesario que el recurso esté ubicado en un controlador de dominio.

a) La membresía en grupos locales de un dominio está abierta. Las cuentas de usuario, los grupos universales y los grupos globales se agregan desde cualquier dominio.

b) Los grupos locales de dominio no se pueden anidar dentro de otros grupos; esto significa que un grupo local de dominio no se puede agregar a ningún otro grupo, ni siquiera a aquellos ubicados en el mismo dominio.

3) Alcance del grupo universal. Otorga permisos a recursos asociados en múltiples dominios. Los grupos universales se utilizan para otorgar permisos a recursos ubicados en cualquier dominio.

a) La membresía en grupos universales es abierta. Cualquier cuenta de usuario o grupo puede ser miembro.

b) Los grupos universales se pueden anidar dentro de otros grupos. Esta característica le permite agregar un grupo universal determinado a un grupo universal o a un grupo local de dominio ubicado en cualquier dominio.


13. Derechos generales de los usuarios. Permisos asignados a grupos integrados (predeterminado).

Grupo de trabajo.

Los derechos no se aplican a un recurso específico, sino a todo el sistema, y ​​afectan el funcionamiento de la computadora o del dominio en su conjunto. Todos los usuarios que acceden a los recursos de la red necesitan ciertos derechos generales sobre la computadora en la que trabajan, por ejemplo, el derecho a iniciar sesión en la computadora o cambiar la hora del sistema en ella. Los administradores pueden asignar derechos generales específicos a grupos de usuarios o usuarios individuales. Además, el sistema operativo Windows 2000 otorga ciertos derechos a grupos integrados de forma predeterminada. Los derechos de usuario determinan qué usuarios pueden realizar un trabajo específico en una computadora o dominio.

Derechos generales de usuario:

Los derechos permiten que un usuario que haya iniciado sesión en una computadora o red realice ciertas acciones en ese sistema. Si un usuario no tiene permiso para realizar una operación, se bloqueará el intento de realizar esa operación.

Los derechos de usuario pueden aplicarse tanto a usuarios individuales como a grupos. Sin embargo, es mejor gestionar los derechos de los usuarios trabajando con grupos. Esto garantiza que un usuario que inicie sesión como miembro de un grupo recibirá automáticamente todos los derechos asociados con ese grupo. El sistema operativo Windows 2000 le brinda al administrador la capacidad de asignar derechos a usuarios y grupos de usuarios. Los derechos generales de usuario incluyen el derecho a iniciar sesión localmente, el derecho a cambiar la hora del sistema, el derecho a apagar el sistema y el derecho a acceder a esta computadora desde la red.

  • Inicio de sesión local

Este derecho permite a un usuario iniciar sesión en la computadora o dominio local desde la computadora local.

  • Cambiar la hora del sistema

Este derecho permite al usuario configurar el reloj interno de la computadora.

  • Apagar el sistema

Este derecho permite al usuario apagar la computadora local.

  • Acceder a esta computadora desde la red

Este derecho permite a un usuario acceder a una computadora que ejecuta Windows 2000 desde cualquier otra computadora en la red.

Permisos asignados a grupos integrados (predeterminado):

El sistema operativo Windows 2000 otorga de manera predeterminada ciertos derechos a grupos integrados como Administradores, Usuarios, Usuarios avanzados y Operadores de respaldo.

1) Administradores

Administradores es un grupo integrado que existe tanto en computadoras que son controladores de dominio como en computadoras que no son controladores de dominio. Los miembros de este grupo tienen control total sobre la computadora o el dominio. Administradores. El único grupo integrado al que se le conceden automáticamente todos los derechos integrados en el sistema.

2) usuarios

Usuarios es un grupo integrado que existe tanto en computadoras que son controladores de dominio como en computadoras que no son controladores de dominio. Los miembros de este grupo sólo pueden realizar aquellas tareas para las que tienen derechos específicos, como ejecutar aplicaciones, utilizar impresoras locales y de red, y apagar y bloquear estaciones de trabajo. Los miembros del grupo Usuarios pueden crear grupos locales y modificarlos, pero no pueden compartir carpetas ni crear impresoras locales.

3) Usuarios avanzados

Usuarios avanzados es un grupo integrado que existe en computadoras que no son controladores de dominio. Los miembros del grupo de usuarios avanzados pueden realizar funciones administrativas específicas, pero no tienen derechos que les otorguen control total sobre el sistema. El grupo de usuarios avanzados tiene los siguientes derechos.

  • Cree cuentas de usuario y grupo en la computadora local.
  • Modificar y eliminar cuentas que crearon.
  • Proporcionar acceso compartido a los recursos. Sin embargo, los miembros del grupo Usuarios avanzados no pueden realizar las siguientes acciones:
  • Cambie los grupos de Administradores y Operadores de respaldo.
  • Archive o restaure carpetas desde un archivo.

4) Operadores de archivo

Operadores de respaldo es un grupo integrado que existe tanto en computadoras que son controladores de dominio como en computadoras que no son controladores de dominio. Los miembros del grupo Operadores de respaldo pueden archivar y restaurar archivos desde un archivo, independientemente de los permisos con los que estén protegidos los archivos. Los miembros del grupo Operadores de respaldo pueden iniciar sesión y apagar la computadora, pero no pueden cambiar la configuración de seguridad.

Grupo de trabajo:

Un grupo de trabajo es un pequeño grupo de computadoras en red que trabajan juntas y no requieren administración centralizada.

El grupo de trabajo tiene las siguientes características.

  • La asignación, administración y autenticación de recursos se realizan en cada computadora del grupo de trabajo por separado.
  • Cada computadora tiene instalada su propia base de datos SAM (Administrador de cuentas de seguridad) local. El usuario debe disponer de una cuenta de usuario en cada ordenador en el que pretenda trabajar.
  • El número de ordenadores no supera los diez. Estas computadoras pueden ejecutar productos de servidor Windows 2000, pero cada una tiene su propia base de datos SAM. Si la cantidad de computadoras en un grupo de trabajo excede 10, su administración se vuelve más difícil. El número de conexiones simultáneas para una computadora que ejecuta Windows 2000 Professional no puede exceder de 10.

14. Configuración del protocolo TCP/IP (Protocolo de control de transmisión/Protocolo de Internet). Direccionamiento DHCP. Asignación automática de direcciones IP. Configure TCP/IP para utilizar una dirección IP estática. Verificación y pruebas del protocolo TCP/IP.

Configuración del protocolo TCP/IP. Direccionamiento DHCP:

Si el protocolo TCP/IP se ha configurado para obtener automáticamente una dirección IP, luego de instalar el protocolo TCP/IP, la computadora cliente obtiene una dirección IP de una de dos maneras:

  • desde un servidor DHCP;
  • utilizando la asignación automática de direcciones privadas APIPA (direccionamiento IP privado automático).

El servidor DHCP asigna automáticamente una dirección IP y configuraciones del protocolo TCP/IP, como la dirección IP del servidor DNS, el servidor WINS y la puerta de enlace predeterminada. El siguiente procedimiento se utiliza para asignar automáticamente una dirección IP mediante el servidor DHCP.

1. La computadora cliente solicita una dirección IP del servidor DHCP.

2. El servidor DHCP asigna una dirección IP a la computadora cliente.

Debe asegurarse de que la configuración del protocolo TCP/IP esté configurada para que la computadora cliente pueda obtener automáticamente una dirección IP del servidor DHCP. De forma predeterminada, estas configuraciones se configuran automáticamente en Windows 2000. Si por alguna razón la computadora cliente no está configurada para obtener automáticamente una dirección IP, puede configurar TCP/IP manualmente.

Asignación automática de direcciones IP:

La herramienta de asignación automática de direcciones IP privadas le permite crear una dirección IP en caso de que una computadora cliente no pueda obtener una dirección IP del servidor DHCP. Esta herramienta solo asigna una dirección IP y una máscara de subred, pero no proporciona información adicional sobre configuraciones como la puerta de enlace predeterminada. Como resultado, la capacidad de la computadora cliente para conectarse a la red local es limitada: no puede conectarse a otras redes ni a Internet.

Cuando inicias una computadora que no tiene una dirección IP, sucede lo siguiente:

1. La computadora cliente intenta descubrir el servidor DHCP y obtener información sobre la configuración del protocolo TCP/IP.

2. Si la computadora cliente no detecta un servidor DHCP, configura su dirección IP y máscara de subred seleccionando la dirección de red Clase B 169.254.0.0 del rango de direcciones IP reservadas por Microsoft con una máscara de subred de 255.255.0.0.

Configuración de TCP/IP para utilizar una dirección IP estática:

A veces es necesario configurar manualmente direcciones IP estáticas para computadoras en una red que admita el servicio de servidor DHCP. Por ejemplo, una computadora que admite el servicio de servidor DHCP no se puede configurar para aceptar automáticamente una dirección IP. Además, en ocasiones es necesario mantener la misma dirección IP para el servidor de correo y el servidor web. En tales casos, debe configurar estas computadoras con una dirección IP estática.

Al configurar una dirección IP estática, debe configurar la máscara de subred y la puerta de enlace predeterminada para cada una de las tarjetas de red en su computadora usando el protocolo TCP/IP. A continuación se muestra una tabla que muestra la configuración del protocolo TCP/IP.

Opciones de configuración Descripción
dirección IP Una dirección de 32 bits que identifica un host TCP/IP. Cada tarjeta de red en una computadora que ejecuta TCP/IP requiere una dirección IP única, que generalmente se representa en decimal (por ejemplo, 192.168.0.108). Cada dirección consta de dos partes: un identificador de red, que identifica todos los nodos de una red, y un identificador de nodo, que identifica un nodo específico de esta red. En este ejemplo, el ID de red es 192.168.0 y el ID de host es 108, según la máscara de subred predeterminada.
Máscara de subred Un valor que determina a qué subred está conectada la computadora. Una intranet grande se divide en varias subredes conectadas por enrutadores. El valor de la máscara de subred muestra qué parte de la dirección IP del host es el identificador de red y qué parte es el identificador del host. Cuando los hosts intentan comunicarse entre sí, sus máscaras de subred se utilizan para determinar si el host final es local o remoto.
Puerta de entrada principal Un enrutador al que un host reenviará todos los paquetes IP para redes remotas cuando no tiene una ruta específica para esas redes. La puerta de enlace predeterminada generalmente se configura con información de enrutamiento, lo que le permite reenviar paquetes a la red de destino u otros enrutadores intermedios. Para comunicarse con un host en otra red, debe configurar una dirección IP para la puerta de enlace predeterminada.

Comprobación y prueba del protocolo TCP/IP:

Después de haber configurado TCP/IP, debe usar los comandos ipconfig y ping para probar la configuración de su computadora local y asegurarse de que pueda conectarse a una red TCP/IP.

1) comando ipconfig:

El comando ipconfig le permite mostrar en la pantalla de la computadora bajo prueba información sobre cómo configurar las propiedades del protocolo TCP/IP y determinar si está inicializado en la computadora. Luego se verifica la exactitud de la información mostrada.

2) Comando ping:

El comando ping es una herramienta de diagnóstico que verifica la configuración del protocolo TCP/IP entre dos computadoras e identifica errores de conexión. El comando ping establece la capacidad de comunicarse con otro host utilizando el protocolo TCP/IP.

Comprobación y prueba del protocolo TCP/IP:

Al combinar los comandos ipconfig y ping, puede verificar la configuración del protocolo IP de una computadora local y la conexión IP de dos computadoras en red. El procedimiento para utilizar los comandos ipconfig y ping juntos es seguir estos pasos básicos:

1) Ingrese el comando ipconfig en el símbolo del sistema. Obtendrá el siguiente resultado del comando ipconfig.

  • Si se inicializa TCP/IP, al ejecutar el comando ipconfig se mostrará la dirección IP y la máscara de subred de cada tarjeta de red en su computadora. Además, se mostrarán otras opciones de configuración como la puerta de enlace predeterminada.
  • Si hay una dirección IP duplicada, el comando ipconfig mostrará un mensaje indicando que la dirección IP ha sido configurada; sin embargo, el valor de la máscara de subred es 0.0.0.0., lo que indica que esta dirección ya está en uso en la red. El servicio de Asignación automática de IP privada siempre tiene un ID de red de 169.254.0.0. Si especifica un ID de red que comienza con 169.254.x.x., no obtiene una dirección IP de un servidor DHCP, sino a través del servicio de Asignación automática de direcciones IP privadas.

2) Ejecute ping 127.0.0.1 con la dirección de loopback para verificar que el protocolo TCP/IP esté instalado correctamente. La dirección de loopback es la dirección que utiliza la computadora para identificarse.

El comando ping utiliza la sintaxis ping dirección_IP, donde dirección_IP es la dirección de otro host o computadora que tiene TCP/IP instalado.

3) Haga ping a la dirección IP de la computadora local para asegurarse de que su dirección esté configurada correctamente.

4) Haga ping a la dirección IP de la puerta de enlace predeterminada para asegurarse de que su computadora pueda comunicarse con la red local. Para asegurarse de que una computadora se pueda conectar a una red local, debe enviar una solicitud a cualquier otra computadora en esa red local. Sin embargo, la puerta de enlace predeterminada se utiliza con mayor frecuencia para este propósito, ya que normalmente nunca se desactiva.

5) Haga ping a la dirección IP del host remoto para asegurarse de que la computadora pueda comunicarse con el enrutador.

Por defecto, si los comandos ping tienen éxito, aparecen cuatro mensajes idénticos del siguiente tipo: Respuesta recibida de la dirección IP correspondiente


Información relacionada.


Instrucciones

Al crear una red doméstica, puede organizar el acceso a una impresora de red para todas las computadoras de su grupo de trabajo. Para hacer esto, debe configurarlos en consecuencia, es decir, configurar direcciones IP, especificar nombres de computadoras y agregarlas a un grupo. Todas las configuraciones necesarias, cuyos valores cambiará, se encuentran en la carpeta del sistema "Panel de control".

En primer lugar, debe nombrar las computadoras y definir su grupo de trabajo. Para hacer esto, vaya a su escritorio y haga clic derecho en el ícono "Mi PC". En el menú contextual que se abre, seleccione "Propiedades". Verá el subprograma "Propiedades del sistema", al que se puede acceder rápidamente utilizando la combinación de teclas Win + Pause Break.

En este subprograma, vaya a la pestaña Nombre de la computadora. Es recomendable crear una lista de ordenadores en la que indiques no sólo sus nombres, sino también sus direcciones IP. Usando esta lista, asigne un nombre a cada computadora. Para cambiar el nombre, haga clic en el botón Cambiar en la parte inferior del subprograma. En la ventana que se abre, reemplace el nombre anterior con el que agregó recientemente a la lista.

También en esta pestaña puede configurar el nombre del grupo de trabajo. El valor predeterminado es Grupo de trabajo. Se recomienda sustituirlo por un nombre más sencillo, como Net o Connect. Haga clic en Aceptar para guardar los cambios. Aparecerá una pequeña ventana frente a ti notificándote que te has unido a un nuevo grupo de trabajo. En la parte inferior de la ventana "Propiedades del sistema", aparecerá una notificación pidiéndole que reinicie el sistema, pero aún no vale la pena, así que después de hacer clic en el botón "Aceptar", seleccione "No".

Ahora solo queda asignar a cada ordenador su propia dirección IP para que no se altere el orden en el que se identifican en la red. Haga clic en el menú Inicio, seleccione Panel de control. En la carpeta que se abre, haga doble clic en el icono "Conexiones de red", haga clic derecho en el elemento "Conexión de área local" y seleccione "Propiedades".

Haga clic derecho en la línea "Protocolo (TCP/IP)" y seleccione "Propiedades". Vaya al bloque “Usar la siguiente dirección IP” e ingrese un valor individual para cada computadora con una diferencia de una unidad. Por ejemplo, "Dmitry" - 192.168.1.3; "Pavel" - 192.168.1.4, etc. Vale la pena señalar que en relación con 192.168.1.x, se recomienda comenzar a contar desde el número 3, porque los dos primeros valores los utilizan el enrutador y el módem.

En todas las ventanas, haga clic en el botón "Aceptar" y responda la solicitud de reinicio positiva o negativamente si hay documentos no guardados. Luego reinícielo usando el menú Inicio.

Alexander Emelyanov

Administrar cuentas en un dominio de Active Directory

Una de las tareas más importantes de un administrador es la gestión de cuentas locales y de dominio: auditoría, cuotas y diferenciación de derechos de usuario en función de sus necesidades y política de la empresa. ¿Qué puede ofrecer Active Directory en este sentido?

Continuando con la serie de artículos sobre Active Directory, hoy hablaremos sobre el enlace central en el proceso de administración: administrar las credenciales de los usuarios dentro de un dominio. Consideraremos:

  • crear y gestionar cuentas;
  • tipos de perfiles de usuario y su aplicación;
  • grupos de seguridad en dominios AD y sus combinaciones.

En última instancia, podrá utilizar estos materiales para construir una infraestructura funcional o modificar una existente que satisfaga sus necesidades.

De cara al futuro, diré que el tema está estrechamente relacionado con el uso de políticas de grupo con fines administrativos. Pero debido a la amplitud del material dedicado a ellos, se desvelará en el próximo artículo.

Presentación de Active Directory: usuarios y computadoras

Después de haber instalado su primer controlador en el dominio (por lo tanto, de haber organizado el dominio), aparecen cinco nuevos elementos en la sección "Administración" (consulte la Figura 1).

Para administrar objetos AD, se utiliza Active Directory – Usuarios y computadoras (ADUC – Usuarios y computadoras AD, ver Fig. 2), al que también se puede llamar a través del menú “Ejecutar” usando DSA.MSC.

Con ADUC, puede crear y eliminar usuarios, asignar scripts de inicio de sesión a una cuenta y administrar la membresía y las políticas de grupo.

También existe la opción de administrar objetos AD sin acceder directamente al servidor. Lo proporciona el paquete ADMINPAK.MSI, ubicado en el directorio “%SYSTEM_DRIVE%\Windows\system32”. Al implementarlo en su máquina y otorgarse derechos de administrador de dominio (si no los tenía), podrá administrar el dominio.

Cuando abramos ADUC, veremos la rama de nuestro dominio que contiene cinco contenedores y unidades organizativas.

  • incorporado. Contiene grupos locales integrados que se encuentran en cualquier máquina servidor, incluidos los controladores de dominio.
  • Usuarios y computadoras. Estos son los contenedores en los que se colocan de forma predeterminada los usuarios, grupos y cuentas de computadora cuando se instala sobre Windows NT. Pero para crear y almacenar nuevas cuentas, no es necesario utilizar únicamente estos contenedores; incluso se puede crear un usuario en un contenedor de dominio. Cuando unes una computadora a un dominio, aparece en el contenedor Computadoras.
  • Controladores de dominio. Se trata de una unidad organizativa (OU, Organizational Unit) que contiene controladores de dominio de forma predeterminada. Cuando creas un nuevo controlador, aparece aquí.
  • Directores De Seguridad Extranjera. Este es el contenedor predeterminado para objetos de dominios externos de confianza.

Es importante recordar que los GPO están vinculados únicamente a un dominio, unidad organizativa o sitio. Esto debe tenerse en cuenta al crear la jerarquía administrativa de su dominio.

Ingresando la computadora al dominio.

El procedimiento se realiza directamente en la máquina local que queramos conectar.

Seleccione "Mi PC -> Propiedades -> Nombre de la computadora", haga clic en el botón "Cambiar" y en el menú "Es miembro" seleccione "dominio". Ingresamos el nombre del dominio al que queremos agregar nuestra computadora y luego demostramos que tenemos los derechos para agregar estaciones de trabajo al dominio ingresando los datos de autenticación del administrador del dominio.

Crear un usuario de dominio

Para crear un usuario, debe seleccionar cualquier contenedor en el que se ubicará, hacer clic derecho sobre él y seleccionar "Crear -> Usuario". Se abrirá el asistente para crear usuarios. Aquí puede especificar muchos de sus atributos, desde el nombre de usuario y el período de tiempo para iniciar sesión en el dominio hasta la configuración de servicios de terminal y acceso remoto. Una vez que se complete el asistente, recibirá un nuevo usuario de dominio.

Cabe señalar que durante el proceso de creación de un usuario, el sistema puede "maldecir" por la complejidad insuficiente de la contraseña o su brevedad. Puede relajar los requisitos abriendo "Configuración de seguridad de dominio predeterminada" y luego "Configuración de seguridad -> Políticas de cuenta -> Política de contraseñas".

Creemos el usuario Ivan Ivanov en el contenedor Usuarios (Nombre de inicio de sesión de usuario: [correo electrónico protegido]). Si en los sistemas NT 4 este nombre desempeñaba solo el papel de decoración, en AD es parte del nombre en formato LDAP, que se ve así:

cn="Ivan Ivanov", cn="Usuarios", dc="hq", dc="local"

Aquí cn es el nombre del contenedor, dc es el componente del dominio. Las descripciones de objetos en formato LDAP se utilizan para ejecutar scripts WSH (Windows Script Hosts) o para programas que utilizan el protocolo LDAP para comunicarse con Active Directory.

Para iniciar sesión en el dominio, Ivan Ivanov deberá utilizar un nombre en formato UPN (nombre principal universal): [correo electrónico protegido]. También en dominios AD será claro escribir el nombre en el antiguo formato NT 4 (anterior a Win2000), en nuestro caso HQ\Ivanov.

Cuando se crea una cuenta de usuario, se le asigna automáticamente un identificador de seguridad (SID, Security Identifier), un número único mediante el cual el sistema identifica a los usuarios. Es muy importante entender esto porque cuando eliminas una cuenta, su SID también se elimina y nunca se reutiliza. Y cada cuenta nueva tendrá su propio SID nuevo, por lo que no podrá obtener los derechos y privilegios de la anterior.

La cuenta se puede mover a otro contenedor u unidad organizativa, deshabilitarla o, por el contrario, habilitarla, copiarla o cambiar la contraseña. La copia se utiliza a menudo para crear varios usuarios con la misma configuración.

Entorno de trabajo del usuario

Las credenciales almacenadas centralmente en el servidor permiten a los usuarios identificarse de forma única en el dominio y obtener los derechos y acceso adecuados al entorno de trabajo. Todos los sistemas operativos de la familia Windows NT utilizan un perfil de usuario para crear un entorno de trabajo en la máquina cliente.

perfil local

Veamos los componentes principales de un perfil de usuario:

  • La clave de registro correspondiente a un usuario específico (“hive” o “hive”). De hecho, los datos de esta rama del registro se almacenan en el archivo NTUSER.DAT. Se encuentra en la carpeta %SYSTEMDRIVE%\Documents and Settings\User_name, que contiene el perfil de usuario. Por lo tanto, cuando un usuario específico inicia sesión en el sistema, la clave de registro HKEY_CURRENT_USER se carga con el subárbol NTUSER.DAT de la carpeta que contiene su perfil. Y todos los cambios en la configuración del entorno del usuario durante la sesión se guardarán en esta "colmena". El archivo NTUSER.DAT.LOG es un registro de transacciones que existe para proteger el archivo NTUSER.DAT. Sin embargo, es poco probable que lo encuentre para el usuario predeterminado porque es una plantilla. Más sobre esto más adelante. El administrador tiene la capacidad de editar la colmena de un usuario específico directamente desde su entorno de trabajo. Para hacer esto, usando el editor de registro REGEDIT32, debe cargar la colmena en la sección HKEY_USERS y luego descargarla después de realizar los cambios.
  • Carpetas del sistema de archivos que contienen archivos de configuración del usuario. Están ubicados en un directorio especial %SYSTEMDRIVE%\Documents and Settings\User_name, donde User_name es el nombre del usuario que inició sesión en el sistema. Aquí se almacenan elementos del escritorio, elementos de inicio, documentos, etc.

Cuando un usuario inicia sesión por primera vez, ocurre lo siguiente:

  1. El sistema comprueba si existe un perfil local para este usuario.
  2. Al no encontrarlo, el sistema recurre al controlador de dominio en busca de un perfil de dominio predeterminado, que debe estar ubicado en la carpeta Usuario predeterminado en el recurso compartido NETLOGON; si el sistema ha detectado este perfil, se copia localmente en la máquina en la carpeta %SYSTEMDRIVE%\Documents and Settings con el nombre de usuario; de lo contrario, se copia desde la carpeta local %SYSTEMDRIVE%\Documents and Settings\Default User.
  3. El subárbol de usuarios se carga en la clave de registro HKEY_CURRENT_USER.
  4. Cuando cierra sesión, todos los cambios se guardan localmente.

En última instancia, el entorno de trabajo de un usuario es una combinación de su perfil de trabajo y el perfil Todos los usuarios, que contiene configuraciones comunes para todos los usuarios de una máquina determinada.

Ahora unas palabras sobre la creación de un perfil predeterminado para un dominio. Cree un perfil ficticio en su máquina, configúrelo según sus necesidades o los requisitos de la política corporativa. Luego cierre sesión y vuelva a iniciar sesión como administrador de dominio. Cree una carpeta de usuario predeterminada en el servidor compartido NETLOGON. A continuación, utilizando la pestaña Perfiles de usuario en el subprograma Sistema (consulte la Figura 3), copie su perfil en esta carpeta y otorgue derechos para usarlo al grupo Usuarios del dominio o algún otro grupo de seguridad adecuado. Eso es todo, se ha creado el perfil predeterminado para su dominio.

Perfil itinerante

Active Directory, como tecnología flexible y escalable, le permite trabajar en su entorno empresarial con perfiles móviles, de los que hablaremos a continuación.

Al mismo tiempo, sería apropiado hablar de la redirección de carpetas como una de las capacidades de la tecnología IntelliMirror para garantizar la tolerancia a fallos y el almacenamiento centralizado de los datos del usuario.

Los perfiles móviles se almacenan en el servidor. La ruta a ellos se especifica en la configuración del usuario del dominio (ver Fig. 4).

Si lo desea, puede especificar perfiles móviles para varios usuarios al mismo tiempo seleccionando varios usuarios y en las propiedades de la pestaña "Perfil", especifique %USERNAME% en lugar de la carpeta con el nombre de usuario (ver Fig. 5).

El primer proceso de inicio de sesión para un usuario con un perfil móvil es similar al descrito anteriormente para un usuario local, con algunas excepciones.

En primer lugar, dado que la ruta al perfil se especifica en el objeto de usuario, el sistema verifica la presencia de una copia local almacenada en caché del perfil en la máquina, luego todo es como se describe.

En segundo lugar, al finalizar el trabajo, todos los cambios se copian en el servidor y, si las políticas de grupo no especifican la eliminación de la copia local, se guardan en esta máquina. Si el usuario ya tenía una copia local del perfil, entonces el servidor y las copias locales del perfil se comparan y fusionan.

La tecnología IntelliMirror en las últimas versiones de Windows le permite redirigir ciertas carpetas de usuario, como "Mis documentos", "Mis imágenes", etc., a un recurso de red.

Así, todos los cambios realizados serán absolutamente transparentes para el usuario. Al guardar documentos en la carpeta "Mis documentos", que obviamente serán redirigidos a un recurso de red, ni siquiera sospechará que todo se está guardando en el servidor.

Puede configurar la redirección manualmente para cada usuario o mediante políticas de grupo.

En el primer caso, debe hacer clic derecho en el icono "Mis documentos" en el escritorio o en el menú "Inicio" y seleccionar propiedades. Entonces todo es extremadamente sencillo.

En segundo lugar, debe abrir la política de grupo de la unidad organizativa o dominio para el que queremos aplicar la redirección y expandir la jerarquía "Configuración de usuario -> Configuración de Windows" (ver Fig. 6). A continuación, se configura la redirección para todos los usuarios o para grupos de seguridad específicos de la unidad organizativa o dominio al que se aplicará esta política de grupo.

Al utilizar la redirección de carpetas para trabajar con perfiles de usuarios móviles, puede lograr, por ejemplo, reducir el tiempo de carga del perfil. Esto siempre que el perfil móvil siempre se cargue desde el servidor sin utilizar una copia local.

Ninguna discusión sobre la tecnología de redireccionamiento de carpetas estaría completa sin mencionar los archivos sin conexión. Permiten a los usuarios trabajar con documentos incluso cuando no hay conexión de red. La sincronización con las copias de documentos del servidor se produce la próxima vez que su computadora se conecte a la red. Este esquema de organización será útil, por ejemplo, para los usuarios de portátiles que trabajen tanto en una red local como en casa.

Las desventajas de los perfiles móviles incluyen las siguientes:

  • Puede surgir una situación en la que, por ejemplo, habrá accesos directos a algunos programas en el escritorio del usuario, pero en otra máquina donde el propietario del perfil móvil quiere trabajar, dichos programas no están instalados y, en consecuencia, algunos de los accesos directos no estarán disponibles. trabajar;
  • muchos usuarios tienen la costumbre de almacenar documentos, así como fotografías e incluso videos en el escritorio, como resultado, al descargar un perfil móvil desde el servidor, cada vez se crea tráfico adicional en la red y el perfil en sí toma un tiempo muy mucho tiempo para cargar; para solucionar el problema, utilice permisos NTFS para limitar el almacenamiento de “basura” en el escritorio;
  • cada vez que un usuario inicia sesión en el sistema, se crea un perfil local para él (más precisamente, el perfil se copia del servidor localmente), y si cambia de máquina en funcionamiento, esa "basura" permanece en cada una de ellas; Esto se puede evitar configurando políticas de grupo de cierta manera (política “Configuración de la computadora -> Plantillas administrativas -> Sistema -> Perfiles de usuario”, “Eliminar copias en caché de perfiles móviles”).

Agregar un usuario existente a un dominio

A menudo, al implementar un servicio de directorio en una red existente basada en un grupo de trabajo, surge la cuestión de cómo introducir un usuario en un dominio sin perder la configuración de su entorno de trabajo. Esto se puede lograr utilizando perfiles móviles.

Cree una carpeta con el nombre del usuario en un recurso compartido de red (por ejemplo, Perfiles) en el servidor y otorgue permisos de escritura para el grupo Todos. Llámelo HQUser y la ruta completa se verá así: \\Server\Profiles\HQUser.

Cree un usuario de dominio que coincida con el usuario de su red local y especifique \\Server\Profiles\HQUser como ruta del perfil.

En la computadora que contiene el perfil local de nuestro usuario, debemos iniciar sesión como administrador y usar la pestaña Perfiles de usuario del subprograma Sistema para copiarlo a la carpeta \\Server\Profiles\HQUser.

Es fácil entender que la próxima vez que iniciemos sesión en el sistema con una nueva cuenta de dominio, nuestro usuario descargará su perfil de trabajo del servidor, y el administrador solo tendrá que decidir si deja este perfil como roaming o lo convierte. local.

Cuotas

Muy a menudo, los usuarios cargan unidades de red con información innecesaria. Para evitar solicitudes constantes para limpiar sus carpetas personales de basura innecesaria (por alguna razón siempre resulta necesario), puede utilizar el mecanismo de cuotas. A partir de Windows 2000, esto se puede hacer utilizando herramientas estándar en volúmenes NTFS.

Para habilitar el mecanismo de cuota y configurarlo, debe ir a las propiedades del volumen local y abrir la pestaña "Cuota" (ver Fig. 7).

También puede ver datos sobre el espacio en disco ocupado y establecer cuotas por separado para cada usuario (ver Fig. 8). El sistema calcula el espacio ocupado en disco basándose en datos sobre el propietario de los objetos, sumando el volumen de archivos y carpetas que posee.

Grupos de usuarios en AD

Administrar usuarios dentro de un dominio no es una tarea difícil. Pero cuando es necesario configurar el acceso a determinados recursos para varias docenas (o incluso cientos) de usuarios, distribuir los derechos de acceso puede llevar mucho tiempo.

Y si es necesario delimitar con precisión los derechos de los participantes en varios dominios dentro de un árbol o bosque, el administrador se enfrenta a una tarea similar a los problemas de la teoría de conjuntos. El uso de grupos viene aquí al rescate.

Las principales características de los grupos que se encuentran dentro de un dominio se dieron en el artículo anterior sobre arquitectura de servicios de directorio.

Permítanme recordarles que los grupos locales de dominio pueden incluir usuarios de su dominio y de otros dominios del bosque, pero su alcance se limita al dominio al que pertenecen.

Los grupos globales solo pueden incluir usuarios en su propio dominio, pero pueden usarse para proporcionar acceso a recursos tanto dentro de su propio dominio como en otro dominio en el bosque.

Los grupos universales, como sugiere su nombre, pueden contener usuarios de cualquier dominio y también pueden usarse para brindar acceso a todo el bosque. No importa dentro de qué dominio se creará el grupo universal, lo único que vale la pena considerar es que cuando se mueva, los derechos de acceso se perderán y será necesario reasignarlos.

Para comprender lo anterior y los principios básicos del anidamiento de grupos, veamos un ejemplo. Tengamos un bosque que contenga dos dominios HQ.local y SD.local (cuál es el raíz en este caso no es importante). Cada dominio contiene recursos para compartir y usuarios (ver Figura 9).

De la Fig. La Figura 9 muestra que todos los usuarios del bosque deben poder acceder a los recursos Docs y Distrib (líneas verde y roja), por lo que podemos crear un grupo universal que contenga usuarios de ambos dominios y usarlo al especificar permisos para acceder a ambos recursos. O podemos crear dos grupos globales en cada dominio que contendrán solo usuarios de su dominio e incluirlos en el grupo universal. Cualquiera de estos grupos globales también se puede utilizar para asignar derechos.

Solo los usuarios del dominio HQ.local (líneas azules) deben tener acceso al directorio Base, por lo que los incluiremos en el grupo de dominio local y les otorgaremos acceso a este grupo.

Tanto los miembros del dominio HQ.local como los miembros del dominio SD.local podrán utilizar el directorio Distrib (líneas naranjas en la Figura 9). Por lo tanto, podemos agregar los usuarios Manager y Salary al grupo global del dominio HQ.local y luego agregar este grupo al grupo local del dominio SD.local junto con el usuario de TI. Luego otorgue a este grupo local acceso al recurso Distrib.

Ahora veremos con más detalle el anidamiento de estos grupos y consideraremos otro tipo de grupo: los grupos de dominio local integrados.

La tabla muestra qué grupos se pueden anidar en cuáles. Aquí hay grupos ubicados horizontalmente, en los que se anidan los grupos ubicados verticalmente. Un signo positivo significa que un tipo de grupo puede anidarse dentro de otro, un signo negativo, no.

En algún recurso en Internet dedicado a los exámenes de certificación de Microsoft, vi una mención de una fórmula de este tipo: AGUDLP, que significa: las cuentas se colocan en grupos globales (Global), que se colocan en grupos universales (Universal), que se colocan en grupos locales grupos de dominio (Dominio Local), a los que se aplican permisos (Permisos). Esta fórmula describe completamente la posibilidad de anidamiento. Cabe añadir que todos estos tipos pueden anidarse en grupos locales de una única máquina (grupos de dominio local exclusivamente dentro de su dominio).

Anidamiento de grupos de dominio

Anidación

Grupos locales

Grupos globales

Grupos universales

Cuenta

Grupos locales

+ (excepto para grupos locales integrados y solo dentro de su propio dominio)

Grupos globales

+ (solo dentro de tu propio dominio)

Grupos universales

Los grupos locales de dominio integrados se encuentran en el contenedor integrado y son efectivamente grupos locales de máquinas, pero solo para controladores de dominio. Y a diferencia de los grupos de dominio locales, el contenedor de Usuarios no se puede mover a otras unidades organizativas.

Una comprensión correcta del proceso de administración de cuentas le permitirá crear un entorno de trabajo empresarial claramente configurado, proporcionando flexibilidad de gestión y, lo más importante, resiliencia y seguridad del dominio. En el próximo artículo hablaremos de las políticas de grupo como herramienta para crear un entorno de usuario.

Solicitud

Los matices de la autenticación de dominio.

Cuando se utilizan perfiles locales, puede surgir una situación en la que un usuario de dominio intenta iniciar sesión en una estación de trabajo que tiene su perfil local, pero por alguna razón no tiene acceso al controlador. Sorprendentemente, el usuario pasará con éxito la autenticación y podrá trabajar.

Esta situación se produce debido al almacenamiento en caché de las credenciales del usuario y se puede corregir realizando cambios en el registro. Para hacer esto, en la carpeta HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon, cree (si no hay ninguna) una entrada con el nombre CachedLogonCount, tipo de datos REG_DWORD y establezca su valor en cero. Se puede lograr un resultado similar utilizando políticas de grupo.

  1. Emelyanov A. Principios para la creación de dominios de Active Directory, // “Administrador del sistema”, No. 2, 2007 – págs. 38-43.

Recibo muchos correos electrónicos de lectores que describen los problemas que encuentran al crear o administrar cuentas. Muchos administradores tienen dificultades porque sin darse cuenta omiten elementos importantes durante la configuración o no se adhieren al sistema. Entonces decidí revisar los conceptos básicos de la creación y administración de cuentas y brindar algunos consejos para facilitar el proceso.

Una cuenta de usuario contiene un nombre y una contraseña para iniciar sesión en una computadora o dominio local. En Active Directory (AD), una cuenta de usuario también puede contener información adicional, como el nombre completo, la dirección de correo electrónico, el número de teléfono, el departamento y la dirección física del usuario. Además, la cuenta de usuario sirve como medio para asignar permisos, scripts de inicio de sesión, perfiles y directorios de inicio.

Cuentas locales versus cuentas de dominio

Cuando los usuarios inician sesión en una computadora local en lugar de en un dominio, usan cuentas locales. En un entorno de grupo de trabajo (peer-to-peer - peer-to-peer), las cuentas locales brindan funcionalidad de inicio de sesión para los usuarios de computadoras locales y brindan a los usuarios remotos acceso a los recursos de la computadora. Ciertos usuarios, por ejemplo, pueden tener acceso a datos en un servidor y utilizar una cuenta local para iniciar sesión en dicho sistema.

Sin embargo, la mayoría de las cuentas de usuario en una red corporativa están basadas en dominios y brindan derechos y permisos para todo el dominio. A menos que la cuenta del dominio lo prohíba específicamente, los usuarios pueden iniciar sesión en el dominio con una cuenta de dominio en cualquier estación de trabajo. Una vez registrados, los usuarios reciben permisos específicos para los recursos de red para la cuenta de dominio.

Pero no sólo los usuarios tienen cuentas de dominio. En un dominio, las cuentas representan registros físicos que pueden corresponder a una computadora, un usuario o un grupo. Las cuentas de usuario, las cuentas de computadora y las cuentas de grupo son entidades principales (autorizadores): objetos de servicio de directorio a los que se les asignan automáticamente SID que determinan el acceso a los recursos del dominio.

Los dos usos más importantes de las cuentas de dominio son autenticar usuarios y permitir o denegar el acceso a los recursos del dominio. La autenticación permite a los usuarios registrarse en computadoras y dominios con características autenticadas por los servicios de dominio. Un dominio permite o niega el acceso a los recursos del dominio según los permisos que obtiene un usuario al ser miembro de uno o más grupos de dominio.

Cuentas de dominio integradas

Cuando se crea un dominio, Windows genera automáticamente varias cuentas de usuario. Windows 2000 tiene cuentas de administrador e invitado integradas. Los dominios de Windows Server 2003 tienen una tercera cuenta integrada llamada HelpAssistant que se crea automáticamente la primera vez que ejecuta Asistencia remota. Cada una de estas cuentas integradas tiene un conjunto diferente de permisos.

La cuenta de Administrador tiene un conjunto de permisos de Control total sobre todos los recursos del dominio y puede asignar permisos a los usuarios del dominio. De forma predeterminada, la cuenta de Administrador es miembro de los siguientes grupos:

  • Administradores
  • Administradores de dominio
  • Usuarios de dominio
  • Administradores empresariales
  • Propietarios del creador de políticas de grupo
  • Administradores de esquemas

Algunos administradores cambian el nombre o desactivan la cuenta de administrador para dificultar a los usuarios el acceso al controlador de dominio (DC). En cambio, los administradores podrían registrarse con cuentas que sean miembros de los mismos grupos, lo que les otorgaría derechos suficientes para administrar el dominio. Si la cuenta de Administrador está deshabilitada, puede usar esta cuenta para obtener acceso al DC si es necesario iniciando el DC en Modo seguro (la cuenta de Administrador siempre está disponible en Modo seguro).

La cuenta de Invitado permite a los usuarios que no tienen una cuenta registrarse en el dominio. La cuenta de Invitado no requiere una contraseña, pero puede configurar permisos como lo haría con cualquier cuenta de usuario. La cuenta de Invitado es miembro de los grupos Invitados e Invitados de dominio. Está claro que la posibilidad de que cualquiera que no tenga una cuenta real pueda registrarse en un dominio genera cierto riesgo, razón por la cual la mayoría de los administradores no utilizan esta cuenta. En Windows 2003, la cuenta de Invitado está deshabilitada de forma predeterminada. Para deshabilitar la cuenta de Invitado en Windows 2000, debe hacer clic derecho sobre ella en el complemento Usuarios y computadoras de Active Directory de Microsoft Management Console (MMC) y luego seleccionar Deshabilitar en el menú.

La cuenta HelpAssistant se introdujo sólo en Windows 2003. El servicio Administrador de sesiones de ayuda de Escritorio remoto crea y administra esta cuenta cuando un usuario solicita una sesión de Asistencia remota.

Crear cuentas de usuario de dominio

Las cuentas de usuario de dominio se crean en el DC como una característica de AD. Debe abrir el complemento Usuarios y computadoras de Active Directory y luego expandir el dominio correspondiente (si hay varios). A diferencia de Windows NT 4.0, Windows 2000 y Windows 2003 separan los procesos para crear y configurar cuentas: el administrador primero crea un usuario y una contraseña asociada, luego los configura configurando membresías de grupo.

Para crear un nuevo usuario de dominio, haga clic derecho en el contenedor Usuarios, luego seleccione Nuevo, Usuario para abrir el cuadro de diálogo Nuevo objeto - Usuario, que se muestra en la Figura 1. A continuación, debe ingresar un nombre de usuario y un nombre de inicio de sesión. Windows agrega automáticamente el sufijo del dominio actual al nombre de inicio de sesión, que se denomina sufijo principal del usuario (sufijo UPN). Puede crear sufijos UPN adicionales y seleccionar un sufijo para el nuevo usuario en el cuadro combinado. También puedes ingresar un nombre de usuario diferente para registrarte en el dominio desde computadoras NT 4.0 y Windows 9.x (por defecto se sustituye el nombre anterior).

A continuación, haga clic en Siguiente para configurar la contraseña del usuario, como muestra la Figura 2. De forma predeterminada, Windows obliga a los usuarios a cambiar su contraseña la próxima vez que inician sesión, por lo que para cada nuevo usuario, puede usar la contraseña predeterminada de la empresa y luego proporcionarla a los usuarios. la opción de ingresar una nueva contraseña después del primer registro automático. A continuación, debe seleccionar las opciones de contraseña que desea configurar para este usuario. Finalmente, debe hacer clic en Siguiente para ver una descripción general de la configuración seleccionada, luego hacer clic en Finalizar para crear la cuenta de usuario en AD.

Propiedades de la cuenta de usuario

Para configurar o cambiar las propiedades de una cuenta de usuario de dominio, debe seleccionarla en la lista y hacer doble clic con el botón derecho del mouse. La pantalla 3 muestra las categorías de configuración.

La pestaña Miembro de controla la pertenencia al grupo del usuario (y, por lo tanto, los permisos y derechos del usuario en el dominio). De forma predeterminada, Windows coloca la nueva cuenta de usuario en el grupo Usuarios del dominio. Para algunos usuarios esto es suficiente y no es necesario hacer nada más. A otros usuarios, como gerentes de departamento o personal de TI, se les debe asignar membresías de grupo que les permitan realizar las tareas necesarias. Para configurar la membresía del grupo, haga clic en Agregar, luego seleccione el grupo apropiado para el usuario cuya cuenta está editando. Si los grupos integrados no proporcionan exactamente el conjunto de permisos adecuado para sus necesidades, debe crear sus propios grupos.

Creamos plantillas

Windows le permite copiar cuentas de usuario, lo que hace que el proceso de creación de plantillas sea más rápido y eficiente. La mejor manera de aprovechar esta función es crear varias plantillas de cuentas de usuario y luego convertir esas cuentas en cuentas reales. Debido a que los permisos y derechos son las propiedades más importantes (y potencialmente peligrosas), debes crear plantillas en categorías según la pertenencia al grupo. Debe comenzar con una plantilla para un usuario estándar (es decir, un miembro únicamente del grupo Usuarios de dominio) y luego crear plantillas que tengan combinaciones específicas de membresías de grupos. Por ejemplo, puede crear una plantilla de usuario denominada Power con membresía en el grupo Usuarios avanzados sin restricciones de horas de inicio de sesión, o una plantilla de usuario denominada Acceso telefónico con configuración de acceso telefónico predefinida. Posteriormente, a medida que se crean nuevas cuentas, puede seleccionar una plantilla adecuada y modificarla.

He descubierto algunas técnicas útiles para crear y copiar plantillas:

  • asigne nombres a las plantillas que comiencen con 0 para que todas aparezcan juntas en la parte superior de la lista de archivos de usuario;
  • asignar la misma contraseña a todas las plantillas;
  • deshabilite todas las cuentas de plantilla (haga clic con el botón derecho en el archivo y luego seleccione Deshabilitar).

Para crear una cuenta para un nuevo usuario a partir de una plantilla, haga clic derecho en la lista de plantillas y luego seleccione Copiar. En el cuadro de diálogo Copiar objeto - Usuario, debe ingresar el nombre de usuario y el nombre de inicio de sesión para la entrada recién creada, luego hacer clic en Siguiente para establecer la contraseña del nuevo usuario como se describe a continuación.

  1. Ingrese la contraseña estándar de la empresa y asígnela al nuevo usuario.
  2. Borre las celdas La contraseña nunca caduca y La cuenta está deshabilitada.
  3. Marque la casilla El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
  4. Haga clic en Siguiente y luego en Finalizar.

No hay necesidad de preocuparse por la pestaña Miembro de porque el sistema ya ha copiado las membresías del grupo de la plantilla de usuario. Básicamente, si no es necesario registrar el número de teléfono y la dirección del usuario, no podrá hacer nada en las pestañas restantes. El sistema copia todos los atributos comunes. Sin embargo, puede agregar otros atributos para la copia automática o puede evitar que se copien ciertos atributos modificando el esquema AD.

Katie Ivens- Editor de la Revista Windows 2000. Ha contribuido a más de 40 libros sobre informática, incluido Windows 2000: The Complete Reference (Osborne/McGraw-Hill). Puede ser contactada en:

Todo el mundo sabe que después de instalar el sistema operativo, la computadora se incluye inicialmente en un grupo de trabajo (por defecto en GRUPO DE TRABAJO). En un grupo de trabajo, cada computadora es un sistema autónomo independiente en el que existe una base de datos SAM (Security Accounts Manager). Cuando una persona inicia sesión en una computadora, se verifica si tiene una cuenta en SAM y se le asignan ciertos derechos de acuerdo con esos registros. Una computadora que ingresa al dominio continúa manteniendo su base de datos SAM, pero si el usuario inicia sesión con una cuenta de dominio, se verifica con el controlador de dominio, es decir. La computadora confía en el controlador de dominio para identificar al usuario.

Hay varias formas de agregar una computadora a un dominio, pero antes de hacerlo, debe asegurarse de que la computadora cumpla con los siguientes requisitos:

Tiene derecho a unir una computadora a un dominio (de forma predeterminada, los administradores empresariales, los administradores de dominio, los administradores y los administradores de cuentas tienen este derecho);

El objeto informático se crea en el dominio;

Debe iniciar sesión en la computadora a la que se está uniendo como administrador local.

El segundo punto puede causar indignación a muchos administradores: ¿por qué crear una computadora en AD si aparece en el contenedor Computadoras después de agregar la computadora al dominio? El caso es que no se pueden crear divisiones en el contenedor Computadoras, pero peor aún, no se pueden vincular objetos de política de grupo al contenedor. Es por eso que se recomienda crear un objeto de computadora en la unidad organizativa requerida y no contentarse con la cuenta de computadora creada automáticamente. Por supuesto, puede mover la computadora creada automáticamente al departamento requerido, pero los administradores a menudo olvidan hacer esas cosas.

Ahora veamos formas de crear una computadora (computadoras) en AD:

Crear computadoras usando el complemento Usuarios y Computadoras de Active Directory.

Para este método, necesitaremos iniciar el complemento "Usuarios y computadoras de Active Directory" en nuestra computadora usando Paquete de administración o en un controlador de dominio. Para hacer esto, haga clic en " Inicio - Panel de control - Sistema y Seguridad - Administración -" seleccione el departamento requerido, haga clic derecho sobre él, seleccione " en el menú contextual Crear - Computadora".

Ingrese el nombre de la computadora.

Cree una cuenta de computadora usando el comando DSADD.

Vista general del comando:

dsadd computadora [-desc<описание>] [-loc<расположение>] [-miembro de<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-pag (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Parámetros:

Descripción del valor
Parámetro requerido. Especifica el nombre completo (DN) de la computadora que se agregará.
-desc<описание> Especifica una descripción de la computadora.
-loc<размещение> Especifica la ubicación de la computadora.
-miembro de<группа...> Agrega una computadora a uno o más grupos definidos por una lista de DN separados por espacios<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>especifica una conexión a un controlador de dominio (DC) llamado<сервер>.
-d <домен>especifica una conexión a un DC en un dominio<домен>.
Valor predeterminado: DC en el dominio de inicio de sesión.
-tú<пользователь> Conexión bajo nombre<пользователь>. Predeterminado: nombre de usuario registrado. Opciones posibles: nombre de usuario, dominio\nombre de usuario, nombre principal de usuario (UPN).
-pag (<пароль> | *} Contraseña de usuario<пользователь>. Si ingresa *, se le pedirá una contraseña.
-q Modo silencioso: toda la salida se reemplaza con salida estándar.
(-uc | -uco | -uci)

-uc Especifica el formato de entrada de un canal o salida a un canal en Unicode.
-uco Especifica si la salida a una tubería o archivo tiene formato Unicode.
-uci Especifica el formato de entrada de un canal o archivo en Unicode.

Ejemplo de uso del comando Dsadd:

Dsadd computadora “CN=COMP001,OU=Moscú,OU=Departamentos,DC=pk-help,DC=com” –desc “computadora del departamento de TI”

Creacióncuenta de estación de trabajo o servidor usando el comando Netdom.

Vista general del comando Netdom:

AÑADIR REDDOM<компьютер> ]
<компьютер> este es el nombre de la computadora que se agregará
/Dominio especifica el dominio en el que desea crear una cuenta de computadora
/UsuarioD cuenta de usuario que se utilizará al conectarse al dominio especificado por el argumento /Dominio
/ContraseñaD La contraseña de la cuenta de usuario especificada por el argumento /UserD. El signo * indica una solicitud de contraseña
/Servidor El nombre del controlador de dominio utilizado para la adición. Esta opción no se puede utilizar junto con la opción /OU.
/UNED el departamento en el que desea crear una cuenta de computadora. Se requiere un nombre de dominio completo RFC 1779 para la unidad organizativa. Cuando utiliza este argumento, debe ejecutarlo directamente en el controlador de dominio especificado. Si no se especifica este argumento, la cuenta se creará en la unidad organizativa predeterminada para los objetos informáticos de este dominio.
/CORRIENTE CONTINUA especifica que desea crear una cuenta de computadora controladora de dominio. Esta opción no se puede utilizar junto con la opción /OU.
/Solicitud de contraseña segura Utilice una ventana emergente segura para proporcionar credenciales. Utilice esta opción cuando necesite proporcionar credenciales de tarjeta inteligente. Este parámetro sólo es efectivo si la contraseña se especifica como *.

Creando un objeto Computadora usando Ldifde() y Csvde().

Administrar cuentas de computadora en Active Directory.

Cambiar el nombre de la computadora a AD.

Inicie la línea de comando y use el comando Netdom para cambiar el nombre de la computadora a AD:

Netdom cambiar el nombre de la computadora<Имя компьютера>/Nuevo nombre:<Новое имя>

Ejemplo: Netdom cambiar el nombre de la computadora COMP01 /Nuevo nombre: COMP02

Eliminación de cuentas de computadora.

1 Eliminar una cuenta de computadora usando el complemento Active Directory: usuarios y computadoras". Inicie el complemento " Active Directory: usuarios y computadoras"busque la computadora requerida, haga clic derecho sobre ella y seleccione en el menú contextual" Borrar", confirma la eliminación

2 Puede eliminar una computadora usando el comando DSRM:

DSRM

DSRM CN=COMP001,OU=Moscú,OU=Departamentos,DC=pk-help,DC=com
.

Resolviendo el error "No se pudo establecer una relación de confianza entre esta estación de trabajo y el dominio principal".

A veces, al intentar iniciar sesión en una computadora, el usuario recibe el mensaje " No se pudo establecer una relación de confianza entre esta estación de trabajo y el dominio principal". Este error ocurre cuando falla el canal seguro entre la máquina y el controlador de dominio. Para solucionar este problema, debe restablecer el canal seguro. Puede utilizar uno de los métodos:

1 Vaya al complemento "Usuarios y computadoras de Active Directory", busque la computadora problemática, haga clic derecho sobre ella y seleccione "Restablecer cuenta". Después de esto, la computadora debe volver a unirse al dominio y reiniciarse.

2 Usando el comando reddom:

Reinicio de red<имя машины>/dominio<Имя домена>/Usuario0<Имя пользователя>/Contraseña0<Пароль> sin comillas<>

Ejemplo: Restablecimiento de Netdom COMP01 /sitio web de dominio /Usuario0 Ivanov /Contraseña *****

3 Usando el comando más reciente:

Nltest/servidor:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba