sábado, 5 de enero de 2019

Usuarios y Equipos del Directorio Activo (Active Directory)

Una vez hemos creado el directorio activo en un servidor y lo hemos promocionado a controlador de dominio, nos desaparecen los usuarios, ahora los podemos ver en Usuarios y Equipos de Active Directory. En el botón inicio elegimos Herramientas administrativas -> Usuarios y equipos de ActiveDirectory.

Usuarios y Equipos del Directorio Activo (Active Directory)

 Ahora vemos aquí los usuarios.

Usuarios y equipos de Active Directory

Como es una base de datos podemos hacer búsquedas y separar por tipos, posicionados en usuarios con el botón derecho del ratón -> buscar vemos la siguiente pantalla.

Buscar usuarios contactos y grupos

En el combo superior podemos elegir que busque usuarios, equipos, impresoras, etc.

Buscar usuarios contactos y grupos


Si queremos delegar la creación de nuevos usuarios de un grupo en otra persona podemos indicar que usuario los administrará en la pestaña Administrado por.

delegar la creación de nuevos usuarios de un grupo

Si nos posicionamos sobre un usuario y pulsamos el botón derecho del ratón -> propiedades, podemos ver esta pantalla con las características de cada usuario.

Propiedades de un usuario

En la pestaña perfil tenemos la opción de poner un script que se ejecute cada vez que se conecta el usuario en un equipo (por ejemplo para mapear sus discos).

Propiedades de un usuario, perfil

Para dar acceso a un usuario al dominio hay que ir a Herramientas -> administrador de directivas de grupo.

Herramientas,  administrador de directivas de grupo.

Si hacemos algo en Default Domain Controller Policy lo hacemos sólo en el servidor, pero si lo hacemos en Default Domain Policy lo hacemos en todo el dominio.

Default Domain Controller Policy

Editor de administración de directivas de grupo

Para cada usuario es posible definir en qué equipos y a qué horas puede iniciar sesión. En la pestaña cuenta pulsando los botones Horas de sesión y/o Iniciar sesión en.

Propiedades de un usuario, cuenta.

Consideraciones a tener en cuenta sobre los permisos de los usuarios del Directorio Activo

Los equipos que utilice un usuario en la red, deberá regirse por a los permisos de la red, pero lo que el usuario haga en el equipo, se gestiona con permisos locales. El administrador siempre entra donde quiere, aunque no tenga permisos, siempre tiene una forma de entrar aunque sea mediante comandos.

En Administración de equipos-> Herramientas del sistema -> carpetas compartidas -> Recursos compartidos, Podemos ver quien hay conectado, y avisarle para que se desconecte.  (Tenemos que fijarnos en la columna  Número de conexiones).

Administración de equipos, Recursos compartidos

Se pueden asignar cuotas de disco a los usuarios. Situados encima de una unidad local del servidor, con botón derecho del ratón  -> propiedades en la pestaña Cuota, podemos definir el espacio de disco que corresponde a cada usuario y a partir de que espacio se le avisará que está llegando al límite.

propiedades de disco local. Cuota de disco por usuario.


En la pestaña seguridad veremos los permisos de cada grupo de usuarios.

propiedades de disco local. Seguridad y permisos

En la carpeta de administradores podemos quitar los usuarios para evitar que entren en todo. Las carpetas heredan los permisos de la carpeta maestra, si queremos quitar permisos tendremos que ir a la carpeta raíz. 

Si en una carpeta vemos los permisos en gris y no los podemos quitar, eso significa que son permisos heredados de la raíz, para modificarlos tendremos que ir hasta la carpeta raíz.

Para quitar la herencia delos permisos de las carpetas, debemos entrar por opciones avanzadas, quitar la herencia y luego vamos dando permisos a cada usuario.

Dar permisos a una carpeta

Si tenemos un usuario administrador llamado IISAdmin y queremos crear una carpeta propia para él. Con el botón derecho del ratón sobre el usuario -> propiedades -> Opciones avanzadas -> permisos y pulsamos el botón editar.

Configuración de seguridad avanzada.

Marcamos la casilla de Incluir todos los permisos heredables del objeto primario , pues si  las desmarcamos, sale un mensaje porque quitará todos los permisos heredados.

Seguridad de usuarios de Windows

Si pulsamos en copiar, mantiene los permisos por donde vaya avanzando y permite modificarlos manualmente.

Entradas de permiso

En los permisos si marcamos tomar Posesión, sólo lo podrá modificar el usuario que tenga la posesión pero los demás sólo pueden verlo.

Permisos de Windows, tomar posesión

Concepto denegar: Prohíbe con prioridad sobre las concesiones. Es posible denegar algo sin necesidad de modificar toda la estructura de permisos.

Por ejemplo, se pueden dar todos los permisos a un grupo de usuarios y luego denegar a usuarios determinados algunas características, como por ejemplo tomar posesión. Denegar tiene prioridad sobre los permisos dados.

Trabajar con grupos es mucho más sencillo que con usuarios, pues se asignan los usuarios a los grupos.

Compartir una carpeta

Para compartir una carpeta, nos posicionamos sobre la carpeta y con el botón derecho del ratón pulsamos propiedades y nos aparece esta pantalla.

Compartir una carpeta en Windows

Marcamos para compartir la carpeta, el nombre con el que se compartirá y otras opciones como el número de usuarios.

Uso compartido avanzado Windows.

Si pulsamos el botón permisos, accedemos a otra pantalla en la que podemos establecer los permisos de cada usuario.

Permisos de usuario Windows


Para evitar problemas compartimos siempre a los administradores, aunque las deneguemos el acceso, el administrador siempre podrá entrar con \Nombre_carpeta$ (si está en en red, en el equipo local siempre puede entrar directamente).

Permisos en windows.



No hay comentarios:

Publicar un comentario