En este apartado nos vamos a centrar en la creación de las cuentas de los usuarios del dominio.
Iniciar sin contraseña
1. Inicio → Herramientas administrativas → Administración de directivas de grupo, 2. Botón derecho del ratón, Editar, Configuración de equipo → Directivas →Configuración de Windows → Configuración de seguridad → Directiva de cuenta → Directiva de contraseña, y doble clic sobre la directiva, 3. Seleccionamos la opción deshabilitada, a continuación modificamos las directivas Exigir historial de contraseñas, Longitud mínima de la contraseña, Vigencia máxima de la contraseña y Vigencia mínima de la contraseña, 4. Doble clic sobre cada una de ellas y dándoles a las cuatro el valor 0. 5. Para finalizar, Configuración de Seguridad, botón derecho y seleccionar la opción Volver a cargar.
Ya podremos crear un nuevo usuario del dominio sin necesidad de asignarle contraseña.
Ya podremos crear un nuevo usuario del dominio sin necesidad de asignarle contraseña.
Creación de usuarios
1. Inicio → Herramientas administrativas →Usuarios y equipos de Active Directory. 2. Botón derecho del ratón sobre la carpeta Users, y seleccionaremos la opción Usuario del menú Nuevo. 3. Introduciremos los datos del usuario que vamos a crear.
Especificaremos la contraseña, 4. Activamos La contraseña nunca caduca y desactivamos El usuario debe cambiar la contraseña al iniciar una sesión de nuevo. 5. Finalizar para completar el proceso.
Deberemos recordar cambiar la contraseña cuando se acceda por primera vez al sistema, pulsando la combinación de teclado "CTRL+ALT+SUP". La nueva contraseña deberá cumplir los requisitos de seguridad.
Ya podemos dar por concluida la creación de los usuarios.
Especificaremos la contraseña, 4. Activamos La contraseña nunca caduca y desactivamos El usuario debe cambiar la contraseña al iniciar una sesión de nuevo. 5. Finalizar para completar el proceso.
Deberemos recordar cambiar la contraseña cuando se acceda por primera vez al sistema, pulsando la combinación de teclado "CTRL+ALT+SUP". La nueva contraseña deberá cumplir los requisitos de seguridad.
Ya podemos dar por concluida la creación de los usuarios.
Perfiles de Usuario
Los perfiles de usuario se crean automáticamente la primera vez que un usuario inicia una sesión en el sistema.
1. Crearemos en la unidad E: una carpeta de nombre Perfiles, 2. botón derecho, propiedades, compartir y activar Uso compartido avanzado.
3. En Nombre del recurso compartido indicamos el nombre Perfiles$ ("$" configura dicha carpeta para que no sea mostrada a los usuarios cuando éstos intentan obtener la lista de carpetas compartidas) y pulsamos Permisos. 4. Asignaremos al grupo los permisos Control Total, Cambiar y Leer.
1. Crearemos en la unidad E: una carpeta de nombre Perfiles, 2. botón derecho, propiedades, compartir y activar Uso compartido avanzado.
3. En Nombre del recurso compartido indicamos el nombre Perfiles$ ("$" configura dicha carpeta para que no sea mostrada a los usuarios cuando éstos intentan obtener la lista de carpetas compartidas) y pulsamos Permisos. 4. Asignaremos al grupo los permisos Control Total, Cambiar y Leer.
Crear Perfil Obligatorio en W7
Botón derecho sobre alguno de los usuarios, Propiedades, pestaña Perfil, la caja de texto Ruta de acceso al perfil debe estar vacía, Inicio → Panel de Control→ Sistema y Seguridad → Sistema --> Configuración avanzada del sistema -->Opciones avanzadas, Configuración del apartado Perfiles de Usuario, seleccionaremos el perfil.
(En Windows 7, el botón Copiar a sólo se activa para el Perfil predeterminado, para solucionar este problema utilizaremos la herramienta Enabler, que nos permitirá activar aquellos botones que hayan sido desactivados por el sistema.)
Situados sobre dicho perfil de usuario, botón Copiar a, e indicaremos como ruta de destino\SERVIDOR\Perfiles$\XXXX. Cerramos sesión. En la carpeta E:\Perfiles del equipo "SERVIDOR" dispondremos de la carpeta de nombre XXXX que contiene el perfil obligatorio para Windows 7.
-Para evitar que un usuario pueda realizar una conexión de red y eliminar el contenido del perfil obligatorio debemos hacer lo siguiente:
1. Situarnos sobre la carpeta E:\Perfiles\XXXX, botón derecho, Propiedades, Seguridad, grupo Todos, Editar, dejaremos los permisos de Lectura y ejecución, 2. Mostrar el contenido de la carpeta y Lectura, y Aceptar. Estos cambios se propagan a las subcarpetas de XXXX.
-Para forzar a que el perfil de los usuarios sea obligatorio, tenemos que acceder a la carpeta E:\Perfiles\XXXX y renombrar el fichero oculto NTUSER.DAT a NTUSER.MAN. Pasos:
1. Permitir la visualización de los ficheros ocultos situándonos sobre la carpeta XXXX, Opciones de carpeta del menú Herramientas, pestaña Ver, 2. desmarcamos la casilla Ocultar archivos protegidos del sistema operativo.
Ahora se visualizara el fichero ntuser.dat, así que le cambiamos la extensión, a ntuser.man.
-Asociar a los usuarios creados la ruta correspondiente de acceso a su perfil.
1.Nos vamos a Usuarios y equipos de Active Directory, usuario que se encuentra ubicado en la carpeta Users, 2.botón derecho, Propiedades, pestaña Perfil, 3. especificar como Ruta de acceso al perfil la ruta \SERVIDOR\Perfiles$\usuario.man y Aceptar.
-Para incluir un nuevo acceso directo en el Escritorio, podemos hacerlo directamente sobre la carpeta del perfil usuario.man del servidor, copiando dicho acceso directo en la carpeta deseada de dicho perfil. Para el resto de usuarios del dominio, especificaremos como ruta de acceso al perfil la ruta \SERVIDOR\Perfiles$\%username%.
(La variable %username% está asociada al nombre del usuario sobre el que estemos trabajando, de modo que al usuario correspondiente se le asociará automáticamente una carpeta de perfil con su nombre en la ruta E:\Perfiles en el "SERVIDOR".)
-El almacenamiento del perfil de los usuarios en el "SERVIDOR" genera dos problemas:
1. Sólo afecta a los usuarios cuyo perfil puede llegar a crecer hasta límites que hacen que su descarga por red se haga lentísima.
2. Los usuarios pueden iniciar sesión desde equipos con diferentes sistemas operativos, por dicho motivo los documentos que un usuario haya almacenado en Mis Documentos cuando haya iniciado sesión en un equipo, no estarán accesibles en el perfil del usuario cuando este inicie sesión desde una estación de trabajo.
Para resolver estos problemas:
1. Utilizaremos la redirección de carpetas, la cual sitúa las carpetas deseadas del perfil del usuario en una ubicación de red concreta, en vez de incluirlas en el propio perfil del usuario.2. Crearemos en la unidad E: de nuestro equipo "SERVIDOR" una carpeta de nombre Red donde almacenaremos las carpetas de documentos de nuestros usuarios,3. sobre la carpeta Red, botón derecho, Propiedades, pestaña Compartir, pulsar sobre Uso compartido avanzado, Compartir esta carpeta y en la caja de texto "Nombre del recurso compartido" indicamos el nombre Red$( "$" hace que dicha carpeta se oculte a los usuarios cuando éstos intentan obtener la lista de carpetas compartidas del servidor), 4. pulsaremos sobre el botón Permisos y asignaremos al grupo Todos los permisos Control Total, Cambiar y Leer.
5. Definir una directiva de grupo que cree de modo automático bajo la carpeta Red una carpeta donde almacenar los documentos de cada usuario.6. Vamos a Administración de directivas de grupo de las Herramientas administrativas, nos situamos sobre la directiva Default Domain Policy del dominio, botón derecho y opción Editar.
6. Vamos a redireccionar la carpeta Documentos, Configuración de usuario → Directivas → Configuración de Windows → Redirección de carpetas → Documentos, Propiedades.
7. En Configuración seleccionaremos la opción Básico: redirigir la carpeta de todos a la misma dirección, en "Ubicación de la carpeta de destino"8. seleccionaremos la opción Crear una carpeta para cada usuario en la ruta raíz, 9. y finalmente en la caja de texto "Ruta de acceso raíz" teclearemos la cadena de texto \SERVIDOR\Red$.
Ya hemos conseguido configurar la redirección de la carpetas Mis documentos de todos los usuarios del dominio.
-Ahora vamos a ver la autenticación de los usuarios del dominio en determinados equipos, limitando el acceso a determinados equipos a ciertos usuarios. 1. Usuarios y equipos de Active Directory botón derecho, Propiedades, pestaña Cuenta, botón Iniciar sesión en.
2. Indicaremos aquellas máquinas del dominio donde deseamos que únicamente pueda iniciar sesión el usuario al cual estamos aplicando la limitación, activando el radio botón Los siguientes equipos, y tras ello especificando el nombre de equipo deseado en el apartado Nombre de equipo y Agregar.
-Si lo que queremos es limitar el acceso a las máquinas en determinados días y ciertas franjas horarias, en la misma ventana donde limitamos las máquinas donde se puede iniciar sesión, 1. pulsaremos sobre el botón Horas de inicio de sesión, pudiendo indicar las horas a las que habilitaremos a nuestros usuarios para el acceso a las máquinas.
(En Windows 7, el botón Copiar a sólo se activa para el Perfil predeterminado, para solucionar este problema utilizaremos la herramienta Enabler, que nos permitirá activar aquellos botones que hayan sido desactivados por el sistema.)
Situados sobre dicho perfil de usuario, botón Copiar a, e indicaremos como ruta de destino\SERVIDOR\Perfiles$\XXXX. Cerramos sesión. En la carpeta E:\Perfiles del equipo "SERVIDOR" dispondremos de la carpeta de nombre XXXX que contiene el perfil obligatorio para Windows 7.
-Para evitar que un usuario pueda realizar una conexión de red y eliminar el contenido del perfil obligatorio debemos hacer lo siguiente:
1. Situarnos sobre la carpeta E:\Perfiles\XXXX, botón derecho, Propiedades, Seguridad, grupo Todos, Editar, dejaremos los permisos de Lectura y ejecución, 2. Mostrar el contenido de la carpeta y Lectura, y Aceptar. Estos cambios se propagan a las subcarpetas de XXXX.
-Para forzar a que el perfil de los usuarios sea obligatorio, tenemos que acceder a la carpeta E:\Perfiles\XXXX y renombrar el fichero oculto NTUSER.DAT a NTUSER.MAN. Pasos:
1. Permitir la visualización de los ficheros ocultos situándonos sobre la carpeta XXXX, Opciones de carpeta del menú Herramientas, pestaña Ver, 2. desmarcamos la casilla Ocultar archivos protegidos del sistema operativo.
Ahora se visualizara el fichero ntuser.dat, así que le cambiamos la extensión, a ntuser.man.
-Asociar a los usuarios creados la ruta correspondiente de acceso a su perfil.
1.Nos vamos a Usuarios y equipos de Active Directory, usuario que se encuentra ubicado en la carpeta Users, 2.botón derecho, Propiedades, pestaña Perfil, 3. especificar como Ruta de acceso al perfil la ruta \SERVIDOR\Perfiles$\usuario.man y Aceptar.
-Para incluir un nuevo acceso directo en el Escritorio, podemos hacerlo directamente sobre la carpeta del perfil usuario.man del servidor, copiando dicho acceso directo en la carpeta deseada de dicho perfil. Para el resto de usuarios del dominio, especificaremos como ruta de acceso al perfil la ruta \SERVIDOR\Perfiles$\%username%.
(La variable %username% está asociada al nombre del usuario sobre el que estemos trabajando, de modo que al usuario correspondiente se le asociará automáticamente una carpeta de perfil con su nombre en la ruta E:\Perfiles en el "SERVIDOR".)
-El almacenamiento del perfil de los usuarios en el "SERVIDOR" genera dos problemas:
1. Sólo afecta a los usuarios cuyo perfil puede llegar a crecer hasta límites que hacen que su descarga por red se haga lentísima.
2. Los usuarios pueden iniciar sesión desde equipos con diferentes sistemas operativos, por dicho motivo los documentos que un usuario haya almacenado en Mis Documentos cuando haya iniciado sesión en un equipo, no estarán accesibles en el perfil del usuario cuando este inicie sesión desde una estación de trabajo.
Para resolver estos problemas:
1. Utilizaremos la redirección de carpetas, la cual sitúa las carpetas deseadas del perfil del usuario en una ubicación de red concreta, en vez de incluirlas en el propio perfil del usuario.2. Crearemos en la unidad E: de nuestro equipo "SERVIDOR" una carpeta de nombre Red donde almacenaremos las carpetas de documentos de nuestros usuarios,3. sobre la carpeta Red, botón derecho, Propiedades, pestaña Compartir, pulsar sobre Uso compartido avanzado, Compartir esta carpeta y en la caja de texto "Nombre del recurso compartido" indicamos el nombre Red$( "$" hace que dicha carpeta se oculte a los usuarios cuando éstos intentan obtener la lista de carpetas compartidas del servidor), 4. pulsaremos sobre el botón Permisos y asignaremos al grupo Todos los permisos Control Total, Cambiar y Leer.
5. Definir una directiva de grupo que cree de modo automático bajo la carpeta Red una carpeta donde almacenar los documentos de cada usuario.6. Vamos a Administración de directivas de grupo de las Herramientas administrativas, nos situamos sobre la directiva Default Domain Policy del dominio, botón derecho y opción Editar.
6. Vamos a redireccionar la carpeta Documentos, Configuración de usuario → Directivas → Configuración de Windows → Redirección de carpetas → Documentos, Propiedades.
7. En Configuración seleccionaremos la opción Básico: redirigir la carpeta de todos a la misma dirección, en "Ubicación de la carpeta de destino"8. seleccionaremos la opción Crear una carpeta para cada usuario en la ruta raíz, 9. y finalmente en la caja de texto "Ruta de acceso raíz" teclearemos la cadena de texto \SERVIDOR\Red$.
Ya hemos conseguido configurar la redirección de la carpetas Mis documentos de todos los usuarios del dominio.
-Ahora vamos a ver la autenticación de los usuarios del dominio en determinados equipos, limitando el acceso a determinados equipos a ciertos usuarios. 1. Usuarios y equipos de Active Directory botón derecho, Propiedades, pestaña Cuenta, botón Iniciar sesión en.
2. Indicaremos aquellas máquinas del dominio donde deseamos que únicamente pueda iniciar sesión el usuario al cual estamos aplicando la limitación, activando el radio botón Los siguientes equipos, y tras ello especificando el nombre de equipo deseado en el apartado Nombre de equipo y Agregar.
-Si lo que queremos es limitar el acceso a las máquinas en determinados días y ciertas franjas horarias, en la misma ventana donde limitamos las máquinas donde se puede iniciar sesión, 1. pulsaremos sobre el botón Horas de inicio de sesión, pudiendo indicar las horas a las que habilitaremos a nuestros usuarios para el acceso a las máquinas.
Grupos de Usuario
Lo primero es incluir a los usuarios en un grupo global del dominio dicho grupo tendrá como miembros a los usuarios introducidos. Para ello lanzaremos Usuarios y equipos de Active Directory, y carpeta Users, botón derecho, seleccionando en el desplegable correspondiente la opción Nuevo, y posteriormente la opción Grupo, indicaremos el nombre de grupo, especificando que el grupo es un grupo global de seguridad, Aceptar.
Una vez creado el grupo, botón derecho, Propiedades, pestaña Miembros, y botón Agregar para incluir a nuestros usuarios en dicho grupo.
Una vez creado el grupo, botón derecho, Propiedades, pestaña Miembros, y botón Agregar para incluir a nuestros usuarios en dicho grupo.
No hay comentarios:
Publicar un comentario