" Windows Server 2008 "
¡ TODO SOBRE WINDOWS SERVER !
¿Que es un usuario?
La cuenta de un usuario del dominio registra toda la información necesaria para su definición en "Windows 2003 Server", incluyendo su nombre de usuario y contraseña (necesarios para iniciar sesión), los grupos a los que pertenece el usuario, los derechos y permisos que tiene el usuario para utilizar el equipo y la red, así como para tener acceso a sus recursos. En los controladores de dominio de "Windows 2003 Server", las cuentas de usuario se administran con "Usuarios y equipos de Active Directory".
Trabajando con grupos
En primer lugar para poder trabajar con los grupos, lo primero que hemos de hacer es crear usuarios en el dominio que puedan autenticarse desde una estación de trabajo registrada en el dominio gestionado por el servidor Windows 2003; cuando un usuario es creado, será incluido como miembro de un determinado grupo del dominio (administradores, usuarios, etc.); además de crearlos, les asociaremos las propiedades y características que deseemos, definiendo por ejemplo su contraseña, las propiedades de cambio de la misma, la posibilidad de acceso remoto al servidor o acceso al mismo por Terminal Server, entre otras muchas posibilidades.
Un usuario del dominio (o una estación de trabajo del dominio) puede pertenecer a más de un grupo; a su vez, a un determinado recurso del sistema pueden tener acceso los usuarios y/o equipos de varios grupos. Obviamente no se puede dar una organización estándar de los grupos de usuarios y/o equipos, cada centro en función de sus necesidades deberá planificar y crear los grupos que estime oportuno.
Es importante no confundir las Unidades Organizativas y los grupos de usuarios o equipos, pues se tiende a mezclar dichos conceptos cuando realmente no tienen nada que ver, de hecho podremos tener una Unidad Organizativa de nombre "profesores" y un grupo de usuarios con el mismo nombre, teniendo ambos su finalidad y su razón de ser. Las Unidades Organizativas serán comentadas en el próximo capítulo, cuando abordemos el tema relativo a las políticas o directivas de grupo.
COMO CREAR UN USUARIO
-
Para crear un usuario del dominio, accederemos a "Usuarios y equipos de Active Directory" en las "Herramientas administrativas" del "Panel de Control".
2. Una vez allí, pulsaremos con el botón derecho del ratón sobre la carpeta "Users" y seleccionaremos la opción "Nuevo" y dentro de ella "Usuario".
3. En la pantalla que se muestra a continuación indicaremos los datos correspondientes al nuevo usuario; en nuestro caso vamos a crear un usuario denominado "ESO", que utilizaremos posteriormente para cualquier alumno de ESO que quiera autenticarse en el dominio; rellenamos los datos correspondientes tal y como se muestra en la siguiente ventana, y pulsaremos sobre el botón "Siguiente".
4. En la nueva pantalla mostrada, especificaremos la contraseña que deseemos para el nuevo usuario (en nuestro caso la dejaremos vacía), así como diversas propiedades relacionadas con esta cuenta de usuario; concretamente activaremos las casillas "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca"; posteriormente pulsaremos sobre el botón "Siguiente".
5. Finalmente se muestra una pantalla resumen de la nueva cuenta de usuario que será creada; pulsaremos sobre el botón "Finalizar" para completar el proceso.
6. Una vez que hayamos pulsado sobre el botón "Finalizar", en la carpeta "Users" tendremos un nuevo objeto correspondiente al nuevo usuario "ESO" creado.
PERFIL DE USUARIO
Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesión. Incluye todos los valores de configuración de usuario específicas del entorno Windows 2000, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc. Dichos perfiles de usuario se crean automáticamente la primera vez que un usuario inicia una sesión.
Si en las propiedades del usuario en cuestión se le ha asociado una unidad de red del servidor como ruta de acceso a su perfil, estamos definiendo un perfil denominado "perfil móvil", y que se caracteriza porque el perfil de usuario de servidor se descarga en el equipo local cuando un usuario inicia una sesión, y se actualiza tanto localmente como en el servidor cuando el usuario cierra la sesión. Los perfiles de usuarios móviles están disponibles en el servidor cuando se inicie una sesión en cualquier equipo del dominio.
Los perfiles móviles, a no ser que se indique lo contrario, almacenarán los cambios en la configuración del perfil indicados por el usuario (este tipo de perfil será el utilizado por los profesores de nuestro centro), tales como los archivos almacenados en "Mis Documentos" o los iconos existentes en el "Escritorio".
Para poder definir perfiles móviles lo primero que hemos de hacer es crear una carpeta compartida donde almacenemos la totalidad de los perfiles de los usuarios del centro. Para ello crearemos en la unidad "D:" de nuestro servidor Windows 2000 una carpeta de nombre "Perfiles" y compartirla con el nombre "Perfiles$"; a continuación pulsaremos sobre el botón "Permisos" y hacremos que el usuario "Todos" tenga los permisos "Control Total", "Cambiar" y "Leer" (el usuario "Todos" debe disponer de todos los permisos para que cada usuario pueda grabar su perfil en su carpeta, de ahí el hecho de incluir el "$" en el nombre asignado al recurso para que no sea visible por los usuarios, porque debemos tener en cuenta que cualquier usuario podría grabar lo que quisiera en la raíz de la carpeta "Perfiles" si sabe de su existencia; esto no genera un grave problema de seguridad, pues NUNCA ningún usuario podrá acceder a visualizar el contenido de otra carpeta de perfiles que no sea la suya propia); para finalmente completar el proceso pulsando sobre el botón "Aceptar".
CREACION DE UN GRUPO DE USUARIO
iNICIO DE SESION
El último apartado que configuraremos para los usuarios del dominio, es la limitación en la autenticación de los usuarios en determinados equipos del dominio, de modo que podamos limitar el acceso a determinados equipos a ciertos usuarios; supongamos por ejemplo que no queremos que los usuarios "ESO" y "Bachiller" puedan iniciar sesión en los equipos de la Sala de Profesores, o en los Equipos del Aula de Bachiller; podemos pues especificar las máquinas concretas donde sí puede dicho usuario autenticarse en el dominio. También podemos limitar el acceso a las máquinas en los días y franjas horarias deseadas.
Para imposibilitar el acceso a determinadas máquinas del dominio a los alumnos del centro, especificaremos explícitamente los ordenadores donde pueden iniciar sesión nuestros alumnos (los usuarios "ESO" y "Bachiller"), del siguiente modo:
1. Nos ubicaremos sobre el usuario deseado ("ESO" en este caso), y pulsaremos sobre él con el botón derecho del ratón, seleccionando la opción "Propiedades", ubicándonos sobre la pestaña "Cuenta"; una vez allí pulsaremos sobre el botón "Iniciar sesión en", tal y como vemos en la siguiente pantalla.
2. En la nueva ventana mostrada, indicaremos aquellas máquinas del dominio donde deseamos que únicamente pueda iniciar sesión el usuario "ESO" (en nuestro caso sólo hemos indicado la máquina "Windows XP Professional" del dominio, pero en nuestro centro especificaremos el conjunto de máquinas donde pueda iniciar sesión dicho usuario).
3. Procederemos de igual manera para limitar el acceso al usuario "Bachiller" a los equipos del dominio de nuestro centro. En principio dejaremos que los profesores puedan iniciar sesión en cualquier equipo de nuestro centro, no especificando limitación alguna para dichos usuarios.
Si lo que queremos es "filtrar" el acceso a las máquinas a nuestros alumnos determinados días en ciertas franjas horarias, en la misma ventana donde limitamos las máquinas donde se puede iniciar sesión, pulsaremos sobre el botón "Horas de inicio de sesión", pudiendo indicar las horas a las que habilitamos a nuestros usuarios para el acceso a las máquinas, tal y como vemos en la siguiente ventana (nosotros no indicaremos ninguna restricción horaria para el acceso a los equipos del centro); esta opción no es incompatible con la anterior (que limitaba el acceso a determinadas máquinas), y en ciertos entornos puede ser un importante complemento a la misma.
