1. Instituto Tecnológico de Sonora
Cuentas de Usuario
y Grupos
José Manuel Acosta Rendón
Febrero 2010
2. Cuenta de usuario
En el contexto de la informática, un usuario es aquel que utiliza un
sistema informático. Para que los usuarios puedan obtener seguridad,
acceso al sistema, administración de recursos, etc, dichos usuarios
deberán identificarse. Para que uno pueda identificarse, el usuario
necesita una cuenta (una cuenta de usuario) y un usuario, en la mayoría
de los casos asociados a una contraseña. Los usuarios utilizan una
interfaz de usuario para acceder a los sistemas, el proceso de
identificación es conocido como identificación de usuario o acceso del
usuario al sistema (del inglés: "log in").
Nombres y contraseñas
A una cuenta se le identifica por un nombre de usuario (comúnmente
conocido como login) y una contraseña (o password).
El nombre de usuario es un nombre único que se identifica a cada usuario
(aunque en ocasiones existen alguna clase de usuarios 'invitado'). Los
nombres de usuario se basan por lo general en cadenas cortas
alfanuméricas. Dependiendo de las políticas o los servicios en particular,
los nombre de usuario son elegidos ya sea por el usuario, o asignados por
el administrador de sistemas.
3. Nombres y contraseñas
Las opciones generalmente utilizadas para los nombres de usuarios
pueden ser el nombre, las iniciales o alguna combinación con el nombre,
apellido, iniciales o algunos números arbitrarios. Algunas veces los
sistemas dictan los aspectos para elegir un nombre de usuario.
Por razones de seguridad, algunos sistemas exigen que el nombre de
usuario contenga dígitos y/o símbolos (en vez de solo consistir de letras),
aunque por lo general este requerimiento es más comúnmente asociado
con las contraseñas.
Los nombre de usuario son ocasionalmente utilizados como el nombre del
buzón en las direcciones de correo electrónico.
4. Usos
Una cuenta de usuario nos permite a los servicios de un sistema. Por lo
general nos autoriza a accesarlo. Aunque, la autenticación no implica
autorización automática.
Una vez que el usuario se ha firmado, el sistema operativo asocia un
identificador por ejemplo un entero para referirse a él, en vez de utilizar
el nombre de usuario. A esto se le conoce como identificador de usuario
(user id) en los sistemas operativos.
Los sistemas de cómputo se dividen en dos grupos basados en el tipo de
usuarios que tienen:
1. Sistemas monousuario los cuales no manejan el concepto de varias
cuentas de usuario
2. Sistemas multiusuario los cuales lo tienen
5. Lección: Crear cuentas de usuario
Como administrador de sistemas, usted dar· a los usuarios acceso a
diferentes recursos de la red. Por tanto, deber· crear cuentas de usuario
para identificar y autenticar a los usuarios, de modo que obtengan
acceso a la red.
Qué es una cuenta de usuario?
Una cuenta de usuario es un objeto que contiene toda la información que
define a un usuario de Windows y puede ser local o de dominio. Incluye el
nombre de usuario y la contraseña con los que el usuario inicia la sesión y
los grupos de los que la cuenta es miembro.
Se puede utilizar una cuenta de usuario para:
1. Permitir que alguien inicie la sesión en un equipo basándose en la
identidad de la cuenta de usuario.
2. Permitir que los procesos y servicios se ejecuten dentro de un contexto
de seguridad específico.
3. Administrar el acceso de un usuario a los recursos, por ejemplo, los
objetos de Active Directory y sus propiedades, carpetas, archivos,
directorios y colas de impresión compartidos.
6. ¿Qué es una cuenta de usuario?
Cuentas de usuario local
(almacenadas en el equipo local)
Cuentas de usuario de dominio
(almacenadas en
Active Directory)
Dominio de Windows Server 2003
Presentación multimedia: Tipos de cuentas de usuario
7. Instrucciones para crear una convención
de nomenclatura de cuentas de usuario
Las convenciones de nomenclatura de cuentas
de usuario deben adaptarse a:
Empleados con nombres que se repitan
Diferentes tipos de empleados, como empleados
temporales o con contrato
Una convención de nomenclatura establece como deben identificarse las
cuentas de usuario de un dominio. Una convención coherente facilita recordar
los nombres de inicio de sesión de usuario y buscarlos en las listas. Por eso,
es bueno acostumbrarse a cumplir la convención de nomenclatura en uso de
una red que admite un gran número de usuarios.
8. Opciones de contraseña
de una cuenta de usuario
Opciones de la cuenta Descripción
El usuario debe Los usuarios tendrán que cambiar las
cambiar la contraseña contraseñas la próxima vez que inicien
al iniciar una sesión una sesión en la red
de nuevo
El usuario no puede El usuario no tiene los permisos
cambiar la contraseña necesarios para cambiar su contraseña
La contraseña nunca Se evita que caduque la contraseña del
caduca usuario
La cuenta está El usuario no puede iniciar la sesión
deshabilitada con la cuenta seleccionada
9. ¿Cómo crear cuentas de usuario?
El instructor mostrará cómo:
Crear una cuenta de usuario de dominio
Crear una cuenta de usuario local
10. Prácticas recomendadas para
crear cuentas de usuario
Prácticas recomendadas para crear cuentas de
usuario locales
No habilite cuentas Invitado
Limite el número de personas que pueden iniciar
la sesión de forma local
Prácticas recomendadas para crear cuentas de
usuario de dominio
Deshabilite cualquier cuenta que no vaya a
utilizarse inmediatamente
Exija que los usuarios cambien la contraseña de
sus cuentas la primera vez que inicien la sesión
11. Prácticas recomendadas para
crear cuentas de usuario
Hay varias cuestiones relativas a la creación de cuentas de usuario que
reducen los riesgos para la seguridad en un entorno de red. A medida que
se vayan modificando los productos de software, consulte las
recomendaciones actuales en la dirección www.microsoft.com/security (en
inglés).
Tenga en cuenta las siguientes recomendaciones a la hora de
crear cuentas de usuario locales:
1. No habilite cuentas de Invitado.
2. Cambie el nombre de la cuenta Administrador.
3. Limite el número de personas que pueden iniciar la sesión de forma
local.
4. Utilice contraseñas seguras.
12. Prácticas recomendadas para
crear cuentas de usuario
Tenga en cuenta las siguientes recomendaciones a la hora de
crear cuentas de usuario de dominio:
1. Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.
2. Exija que los usuarios cambien la contraseña de sus cuentas la primera
vez que inicien sesión.
3. Una medida de seguridad recomendable es que no inicie la sesión en
su equipo con credenciales de administrador.
4. Cuando inicie la sesión en su equipo sin credenciales de administrador,
es recomendable que utilice el comando Ejecutar como para realizar
tareas de administración.
5. Cambie el nombre o deshabilite las cuentas de Invitado y
Administrador en cada dominio para evitar los ataques a la seguridad.
6. De forma predeterminada, el tráfico en las herramientas
administrativas de Active Directory queda firmado y cifrado mientras
se transmite por la red. No deshabilite esta función.
13. ¿Qué son los grupos?
Los grupos simplifican la administración, ya que
permiten asignar permisos para los recursos
Grupo
Los grupos se distinguen por su ámbito y tipo
El ámbito de un grupo determina si el grupo comprende varios dominios o
se limita a uno solo
Los 3 ámbitos de grupo son: global, local de dominio, universal y local
Tipo de grupo Descripción
Se utiliza para asignar derechos y permisos
Seguridad deusuario Se puede usar como una lista
de distribución de correo electrónico
Sólo se puede usar con aplicaciones de
Distribución correo electrónico No se puede utilizar
para asignar permisos
14. ¿Qué son los grupos?
Los grupos:
1. Simplifican la administración al facilitar la concesión de permisos para
recursos a todo un grupo en lugar de a cada una de las cuentas de
usuario individualmente.
2. Pueden estar basados en Active Directory o ser locales, de un equipo
individual.
3. Se distinguen por su ámbito y tipo.
4. Pueden anidarse, es decir, se puede agregar un grupo a otro.
El ámbito de un grupo determina si el grupo comprende varios
dominios o se limita a uno solo. Los ámbitos de grupo permiten
utilizar grupos para la concesión de permisos. El ámbito de grupo
determina:
• Los dominios desde los que puede agregar miembros al grupo.
• Los dominios en los que puede utilizar el grupo para conceder
permisos.
• Los dominios en los que puede anidar el grupo en otros grupos.
El ámbito de un grupo determina cuáles son los miembros del grupo. Las
reglas de pertenencia controlan los miembros que puede contener
un grupo y los grupos de los que puede ser miembro. Los miembros
de un grupo están formados por cuentas de usuario, cuentas de
equipo y otros grupos.
15. ¿Qué son los grupos?
Para asignar los miembros correctos a los grupos y para anidar un grupo,
es importante conocer las características del ámbito de grupo. Existen los
siguientes ámbitos de grupo:
1. Global
2. Local de dominio
3. Universal
4. Local
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo
y otras cuentas de grupo en unidades administrables. Trabajar con
grupos en lugar de con usuarios individuales, ayuda a simplificar la
administración y el mantenimiento de la red. Existen los siguientes
grupos en Active Directory:
• Grupos de seguridad :Puede utilizar los grupos de seguridad para
asignar derechos y permisos de usuario a grupos de usuarios y
equipos. Los derechos especifican las acciones que pueden realizar los
miembros de un grupo de seguridad en un dominio o bosque, y los
permisos especifican los recursos a los que puede obtener acceso un
miembro de un grupo en la red. También puede utilizar grupos de
seguridad para enviar mensajes de correo electrónico a varios
usuarios. Al enviar un mensaje de correo electrónico al grupo, el
mensaje se envía a todos sus miembros. Por lo tanto, los grupos de
seguridad tienen funciones de grupos de distribución.
16. ¿Qué son los grupos?
• Grupos de distribución Puede utilizar los grupos de distribución con
aplicaciones de correo electrónico, como Microsoft Exchange, para
enviar mensajes de correo electrónico a grupos de usuarios. La
finalidad principal de este tipo de grupo es recopilar objetos
relacionados, no conceder permisos.
• Los grupos de distribución no tienen habilitada la seguridad, es decir,
no pueden utilizarse para asignar permisos. Si necesita un grupo para
controlar el acceso a los recursos compartidos, cree un grupo de
seguridad.
• Aunque los grupos de seguridad tienen todas las funciones de los
grupos de distribución, estos últimos todavía son necesarios, porque
algunas aplicaciones sólo pueden utilizar grupos de distribución.
•
• Los grupos de distribución y de seguridad admiten uno de los tres
ámbitos de grupo.
17. Prácticas recomendadas para
la administración de grupos
Crear grupos en función de las necesidades administrativas
Utilizar grupos locales en un equipo que no sea miembro de
ningún dominio
Agregar cuentas de usuario al grupo más restrictivo
Utilizar el grupo integrado cuando sea posible, en lugar de crear
un grupo nuevo
Utilice el grupos Usuarios autenticados en lugar del grupo Todos
para conceder la mayor parte de los derechos y permisos de
usuario
Limite el número de usuarios del grupo Administradores
Confíe en todos los miembros de los grupos Administradores,
Usuarios avanzados, Operadores de impresión, Operadores de
copia de seguridad