Definición de Usuarios, Equipos y Grupos
Las cuentas de usuario del dominio registran toda la información necesaria para la definición de los datos propios de un usuario en el Directorio Activo del servidor "Windows 2003 Server", incluyendo su nombre de usuario y contraseña (datos necesarios para iniciar sesión), los grupos a los que pertenece dicho usuario, los derechos y permisos que tiene para utilizar el equipo y la red, así como los permisos de acceso a sus recursos. En los controladores de dominio de "Windows 2003 Server", las cuentas de usuario se administran con "Usuarios y equipos de Active Directory".
Los objetos correspondientes a los equipos del dominio también quedan incluidos en el Directorio Activo del servidor "Windows 2003 Server" cuando son registrados en el mismo, proceso visto anteriormente en el capítulo correspondiente al servidor RIS; a partir de la integración de un equipo en el dominio gestionado por el servidor "Windows 2003 Server", dichos equipos pueden ser incluidos en cualquier grupo al igual que haríamos con los usuarios del dominio.
Sin duda alguna el tema de los grupos en "Windows 2003 Server", es una de las partes más complejas de dicho sistema operativo, no tanto por alcanzar a comprender su funcionamiento, sino por poder realizar una planificación adecuada de los grupos necesarios y su organización, cara a gestionar eficazmente los recursos existentes en nuestra red, así como el acceso a los mismos. No es posible indicar una configuración común y válida para cualquier entorno de trabajo, ya que debe ser el administrador de cada red quien defina los grupos necesarios para un mejor aprovechamiento de los recursos de la red de su centro, pese a lo cual en las siguientes líneas trataremos de explicar de forma simple y somera qué son los grupos y su utilidad.
En primer lugar para poder trabajar con los grupos, lo primero que hemos de hacer es disponer de usuarios en el dominio que puedan autenticarse desde una estación de trabajo registrada en el dominio gestionado por el servidor "Windows 2003 Server"; cuando se crea un usuario se le asocian las propiedades y características que deseemos, definiendo por ejemplo su contraseña, las propiedades de cambio de la misma, la posibilidad de acceso remoto al servidor, etc., quedando incluido además de modo automático como miembro de un determinado grupo del dominio ("Administradores", "Usuarios", etc.).
La creación de un conjunto de usuarios que dispongan de acceso autenticado al dominio desde las estaciones de trabajo del dominio es una labor sencilla, pero la concesión de permisos de acceso a los recursos del sistema se complica enormemente a medida que el número de usuarios crece; por ejemplo supongamos que disponemos de quince recursos compartidos a los que sólo deseamos permitir acceso a los usuarios del grupo "Administradores", si damos acceso individual a cada usuario administrador sobre cada recurso, y definimos un nuevo usuario administrador de nombre "Pepe", deberíamos acceder a cada uno de los quince recursos indicados y darle explícitamente permisos de acceso al administrador "Pepe", lo cual es una labor tediosa y que además puede implicar olvidos en la asignación de permisos sobre alguno de los recursos a los que deberíamos permitirle el acceso; en este escenario cobran sentido plenamente los grupos de usuarios, pues lo que haremos para lograr una eficaz gestión de nuestra red, no será dar permisos individuales sobre cada uno de los quince recursos a cada usuario administrador, sino dar permisos sobre dichos recursos al grupo de usuarios "Administradores", y luego incluir a cada administrador ("Pepe" entre ellos) en el grupo "Administradores"; de este modo cuando incluyamos a un nuevo usuario en el grupo "Administradores", dicho usuario de modo automático dispondrá de acceso a los quince recursos indicados anteriormente, al estar incluido en un grupo con derechos de acceso a dichos recursos.
"Windows 2003 Server" tiene predefinidos una serie de grupos de usuarios, entre los que podemos destacar al grupo "Administradores del dominio", "Usuarios del dominio", "Invitados del dominio" y "Equipos del dominio", entre otros; a la existencia de los grupos predefinidos por "Windows 2003 Server", nosotros podemos añadir nuestros propios grupos, en función de las necesidades de organización de nuestro centro; por ejemplo, si queremos que a unos determinados recursos sólo tengan acceso los profesores, podríamos crear un grupo "Profesores" e incluir en el mismo a los usuarios del dominio que sean profesores de nuestro centro, de modo que cuando asignemos permisos de acceso sobre cierto recurso al grupo "Profesores", cualquier profesor dispondrá de acceso al recurso correspondiente.
También debemos reseñar que un usuario del dominio, o una estación de trabajo del dominio, puede pertenecer a más de un grupo, y que a su vez a un determinado recurso del sistema pueden tener acceso los usuarios y equipos de diferentes grupos.
Así mismo los miembros de un determinado grupo pueden a su vez ser miembros de otros grupos ya existentes, lo cual aparentemente complica aun más la estructura de los grupos del nuestra red, pero realmente la simplifica; pensemos por ejemplo en un recurso al que deseamos que tengan acceso todos los profesores y los alumnos de E.S.O. de nuestro centro, podríamos crear un nuevo grupo de nombre "Colaboradores" e incluir el el mismo individualmente a todos los profesores y a los alumnos deseados, pero esa implicaría que cada vez que un nuevo profesor llegara a nuestro centro y quisiéramos que tuviera acceso a los recursos a los que tiene acceso el resto de profesores, deberíamos incluirlo en los grupos "Profesores" y "Colaboradores", pudiendo de nuevo olvidarnos de darlo de alta como miembro de alguno de los grupos a los que debería pertenecer; sin embargo, si cuando creamos el grupo "Colaboradores" hubiéramos indicado que los miembros de ese grupo son el grupo "Profesores" y los alumnos de E.S.O., solucionaríamos nuestro problema de forma elegante y sencilla, de modo que cuando un nuevo profesor llegara a nuestro centro, con incluirlo en el grupo "Profesores" quedaría automáticamente incluido en el grupo "Colaboradores", simplificando nuestra labor de gestión de usuarios y grupos.
Todo lo comentado anteriormente para los grupos de usuarios puede ser aplicado a los grupos de estaciones de trabajo, o para grupos mixtos formados por ambos tipos de objetos.
NOTA: Es importante no confundir las Unidades Organizativas y los grupos de usuarios o equipos, pues se tiende a mezclar dichos conceptos cuando realmente no tienen nada que ver, de hecho podremos tener una Unidad Organizativa de nombre "Profesores" y un grupo de usuarios con el mismo nombre, teniendo ambos su finalidad y su razón de ser. Las Unidades Organizativas serán comentadas en el próximo capítulo, cuando abordemos el tema relativo a las políticas o directivas de grupo.
A continuación vamos a definir algunos términos que utilizaremos a continuación con frecuencia.
- Grupos de Ámbito Local al Dominio .- Son grupos que permitirán definir y administrar el acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros a los siguientes elementos: grupos de ámbito global, grupos de ámbito universal, usuarios del dominio, otros grupos de ámbito local de dominio, una mezcla de los anteriores.
- Grupos de Ámbito Local .- Estos grupos se utilizan para administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuarios y equipos.
- Grupos de Ámbito Universal .- Son grupos utilizados cuando la pertenencia a dicho grupo no cambian frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que todos los datos de pertenencia del grupo se repliquen en todos los catálogos globales del bosque del dominio.
- Perfiles de usuarios .- Carpetas propias de un usuario, que incluyen básicamente sus configuraciones personalizadas del entorno de trabajo y los documentos por él creados.
- Perfil Móvil .- Perfil de usuario que se descarga desde el servidor en el equipo cliente donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente, los cambios en el perfil se almacenarán en el servidor en el espacio destinado para tal fin para dicho usuario.
- Perfil Obligatorio .- Perfil de usuario que se descarga desde el servidor en el equipo cliente donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente, los cambios en el perfil NO se almacenarán en el servidor, de modo que el usuario siempre dispondrá del mismo perfil.
Creación de Usuarios
En este apartado nos centraremos en la creación de las cuentas de los usuarios del dominio, concretamente para la gestión de nuestro centro educativo crearemos múltiples usuarios profesores y alumnos.
Las cuentas de alumno tendrán un nombre genérico para ser aprovechadas de un año a otro, pues si su nombre fuera personalizado en función del nombre de cada alumno, presumiblemente NO podrían ser reutilizadas de un año para otro; concretamente en nuestro caso crearemos cuatro cuentas de alumnos "1ESOA01", "1ESOA02", "2ESOD07" y "3ESOC14", de modo que el nombre de cada usuario alumno esté compuesto por el curso, nivel de enseñanza, grupo y número de alumno, así por ejemplo el alumno "3ESOC14", será un alumno de 3º de E.S.O. "C", concretamente el alumno número 14.
NOTA: Evidentemente el número de cuentas de alumnos que deberíamos crear para nuestro centro será mayor que el indicado anteriormente para seguir esta formación.
Para los profesores crearemos también varias cuentas, concretamente crearemos 3 cuentas de usuario "Javier", "Joaquin" y "Miguel" para los profesores de nuestro centro; en el caso de los profesores, dado su carácter más estático asociaremos a las cuentas de usuario a los nombres de cada profesor, y NO a nombres genéricos de profesor.
NOTA: Igualmente el número de cuentas de profesores que deberíamos crear para nuestro centro será mayor que el indicado anteriormente.
Los usuarios alumnos que serán creados dispondrán de un perfil obligatorio móvil, frente a los profesores que dispondrán unperfil móvil modificable; los perfiles de usuario serán abordados más adelante en este mismo capítulo, y por tanto NO vamos a incidir más en ellos en este instante.
NOTA: Aunque en nuestro caso NO ejecutaremos esta opción, si deseáramos crear usuarios que NO dispusieran de contraseña, hemos de modificar las directivas de seguridad del sistema, para lo cual accederíamos a la opción "Directivas de Seguridad de dominio" de las "Herramientas Administrativas" en el equipo "SERVIDOR", y en la ventana mostrada nos situaríamos sobre la entrada "Directivas de contraseñas" en las "Directivas de Cuenta" dentro de las "Configuración de Seguridad", tal y como vemos en la siguiente imagen, y tras ello haríamos doble clic sobre las directivas "Las contraseñas deben cumplir los requisitos de complejidad", "Longitud mínima de la contraseña", "Forzar el historial de contraseñas", "Vigencia máxima de la contraseña" y "Vigencia mínima de la contraseña" haciendo secuencialmente doble clic sobre cada una de ellas y asociando a la primera el valor "Desactivada" y al resto el valor 0.
Así pues vamos pues a proceder a crear los usuarios indicados anteriormente, para lo cual en primer lugar accederemos a "Usuarios y equipos de Active Directory" de las "Herramientas administrativas" del equipo "SERVIDOR", pasando a ser mostrada la siguiente ventana en la cual nos situaremos sobre la carpeta "Users", pulsando sobre la misma con el botón derecho del ratón para seleccionar la opción "Nuevo", y posteriormente "Usuario" en el desplegable correspondiente.
En la ventana mostrada como resultado de la acción anterior indicaremos los datos correspondientes al nuevo usuario que vamos a crear, en este caso el alumno "1ESOA01", así pues rellenaremos las cajas de texto correspondientes tal y como se muestra en la imagen inferior, y tras ello pulsaremos sobre el botón "Siguiente".
Tras ello en la siguiente ventana mostrada por el asistente de creación de usuarios, especificaremos la contraseña que deseemos para el nuevo usuario, en nuestro caso hemos especificado la contraseña "Micentro2009", que cumple los requisitos de complejidad, longitud, etc. exigidos por "Windows 2003 Server", activando a continuación la casilla "La contraseña nunca caduca" y desactivando la casilla "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo".
Finalmente se muestra una ventana resumen de las opciones seleccionadas para la creación de la nueva cuenta de usuario, en la cual pulsaremos directamente sobre el botón "Finalizar" para completar el proceso.
Una vez que hayamos pulsado sobre el botón "Finalizar", en la carpeta "Users" tendremos un nuevo objeto correspondiente al nuevo usuario "1ESOA01" creado con anterioridad.
A continuación repetiremos el proceso para crear a los usuarios alumnos "1ESOA02", "2ESOD07" y "3ESOC14", así como de los profesores "Javier", "Joaquin" y "Miguel", siguiendo rigurosamente los pasos indicados anteriormente, asociando a todos ellos la contraseña "Micentro2009", de modo que el resultado final deberá ser el que vemos en la siguiente imagen.
Una vez completada la creación de los usuarios, deberemos recordar a los alumnos y profesores de nuestro centro que deben cambiar su contraseña cuando accedan por primera vez al sistema, para evitar otro usuario pueda suplantar su identidad; este proceso que será realizado por cada usuario de modo individual pulsando la combinación de teclado "CTRL+ALT+SUP" ("CTRL+ALT+INS" en una máquina virtual) sobre la máquina en la cual se han validado (en la ventana de la imagen inferior sobre un equipo cliente "Windows XP Professional" del dominio "MiCentro.edu"), para hacer clic posteriormente el botón "Cambiar contraseña".
Como resultado de la acción anterior pasa a ser mostrada la siguiente ventana, en la que el usuario indicará su actual contraseña en la caja de texto "Contraseña anterior", y posteriormente tecleará por duplicado la nueva contraseña en las cajas de texto "Nueva contraseña" y "Confirmar nueva contraseña", tras lo cual pulsará sobre el botón "Aceptar" para proceder al cambio de su contraseña.
NOTA: La nueva contraseña, al igual que la anterior, debe cumplir los requisitos de seguridad de "Windows 2003 Server", es decir debe tener un mínimo de 6 caracteres que incluyan 3 de las 4 siguientes características: mayúsculas, minúsculas, números y caracteres especiales (subrayados, guiones, etc).
