Ejercicio de creación de usuarios y asignación de permisos y carpetas

Ya vimos como crear usuarios y carpetas en el directorio activo, aquí analizaremos un problema práctico que nos servirá de ejemplo. Primero se realizará de forma gráfica y después con comandos.

Se desea crear la estructura de control de accesos a los recursos del sistema de información de una organización. En la organización trabajan 6 personas en 3 departamentos distintos. Se desea crear un usuario por cada persona y un grupo por cada departamento. A continuación se indican los nombres de las personas y el departamento al que pertenecen.

Persona                         Departamento

Alfredo García               Producción

Olga Pérez                    Ventas

Hernesto López             Ventas 

Jesús Palacios               Producción

María Martínez               Producción 

Raquel Loureiro             Calidad

Se debe crear cada usuario con la inicial del nombre y el primer apellido, sin espacios en blanco entre ellos y sin usar vocales acentuadas. Se utilizará el nombre y apellidos para la propiedad Nombre Completo. Los usuarios deben cambiar su contraseña en el primer inicio de sesión. La contraseña hasta ese momento debe ser su primer apellido.

Los grupos se denominarán igual que el departamento al que representan.

En el equipo ya tenemos creado el directorio activo. Para hacerlo gráficamente desde herramientas administrativas -> Usuarios y equipos de Active Directory.

Sobre Usuarios y equipos vamos al directorio activo y pulsamos botón derecho del ratón -> nuevo -> grupo.

Ponemos el nombre del grupo en el ámbito global y tipo seguridad.

Repetimos para los otros dos grupos. Ahora creamos los usuarios, nos colocamos sobre la carpeta usuarios y pulsamos botón derecho del ratón -> nuevo -> usuario.

Rellenamos los datos del usuario tal y como se especifica en el formulario.

Le ponemos el apellido de contraseña y marcamos que la cambie al iniciar la sesión.

Nos sale una pantalla de confirmación.

Una vez creado el usuario, lo vemos en la consola del directorio activo ahora sobre el usuario, botón derecho del ratón -> agregar a un grupo.

Nos pide en que grupo queremos añadirlo, podemos escribir parcialmente el nombre del grupo y pulsar el botón comprobar nombres.

Y nos sale un mensaje final de confirmación.

Si ahora vamos a grupos y sobre el grupo pulsamos botón derecho del ratón -> propiedades nos abre un cuadro de diálogo y en la pestaña miembros podemos que nuestro usuario está agregado.

Repetimos estas operaciones con el resto de usuarios.

Con comandos

Net User es una herramienta en línea de comandos que permite a los administradores de sistemas poder administrar cuentas de usuario en PCs con Windows. 

Se puede utilizar el comando para mostrar información de las cuentas de usuario o hacer cambios en las mismas. Es necesario realizar las operaciones con una cuenta con privilegios de administración. 

Creamos los grupos.

Net group produccion /add /comment:”grupo de dominio de producción” /domain

Net group ventas /add /comment:”grupo de dominio de ventas” /domain

Net group calidad /add /comment:”grupo de dominio de calidad” /domain

Creamos los usuarios.

Net User agarcia Garcia@@@@ /add /fullname:”Alfredo García” /logonpasswordchg:yes /domain

Net User operez Perez@@@@ /add /fullname:”Olga Pérez” /logonpasswordchg:yes /domain

Net User hlopez Lopez@@@@ /add /fullname:”Hernesto López” /logonpasswordchg:yes /domain

Net User jpalacios Palacio@@@@ /add /fullname:”Jesús Palacios” /logonpasswordchg:yes /domain

Net User mmartinez Martinez@@@@ /add /fullname:”María Martínez” /logonpasswordchg:yes /domain

Net User rloureiro loureir@@@@ /add /fullname:”Raquel Loureiro” /logonpasswordchg:yes /domain

Asignamos los grupos a los usuarios.

Net group produccion agarcia jpalacios mmartinez /add

Net group ventas operez hlopez /add

Net group calidad rloureiro /add

Carpetas y permisos

En el sistema de archivos se deben crear las siguientes carpetas y asignarles los permisos  locales indicados. Ningún grupo predeterminado tiene que tener permisos sobre ellas, excepto Administradores y SYSTEM, que tienen Control total.

Los permisos locales son los que se dan a la carpeta en propiedades -> seguridad.

Carpeta D:\Datos Producción

Control total para el grupo Producción. Lectura y ejecución para el grupo Calidad. 

Creamos la carpeta con el botón derecho del ratón sobre el volumen de datos elegimos Nuevo -> Carpeta y le damos el nombre pedido.

Una vez creada la carpeta, sobre ella pulsamos el botón derecho del ratón-> propiedades.

Y en propiedades vamos a la pestaña seguridad. Pulsamos el botón editar. 

Esto nos abre un nuevo cuadro de diálogo y pulsamos agregar.

Si escribimos las primeras letras y pulsamos comprobar nombres.

Nos abre otro cuadro donde podemos elegir el nombre del usuario o grupo deseado y aceptar.

Aceptamos de nuevo hasta llegar al cuadro de seguridad, donde elegimos el grupo deseado y le asignamos los permisos correspondientes y pulsamos al botón aplicar.

Ahora agregamos el grupo Calidad y le asignamos permisos de lectura y ejecución.

Ahora le quitamos los permisos a CREATOR OWNER.

Repetimos la operación anterior a los usuarios. Para el resto de carpetas repetimos el proceso con los parámetros pedidos a continuación.

Carpeta D:\Ventas  Control total para el grupo Ventas. 

Carpeta D:\Calidad  Control total para el grupo Calidad. Lectura y ejecución para el grupo Producción. 

Carpeta D:\Valoración Servicio Lectura y ejecución para los grupos Producción y Ventas. Control total para el grupo Calidad. 

Carpeta D:\Plantillas  Lectura para todos los usuarios del sistema. 

Del mismo modo que antes elegimos los usuarios y les damos permisos de sólo lectura.

Carpeta D:\Datos Comunes  Control total para los grupos Producción, Ventas y Calidad. Se debe denegar el permiso de Escritura al usuario Jesús Palacios. Elegido el usuario jpalacios, En la columna denegar chequeamos en escritura.

Crear una carpeta personal para cada usuario y concederle Control total solo a él. Por ejemplo para hlopez sería:

Y luego se los quitamos al resto de usuarios

Por comandos

Creamos las carpetas

mkdir “D:\Datos Produccion”

mkdir D:\Ventas

mkdir D:\calidad

mkdir “D:\Valoracion Servicio”

mkdir D:\Calidad

mkdir D:\Plantillas

mkdir “D:\Datos comunes”

mkdir D:\usuarios\agarcia

mkdir D:\usuarios\operez

mkdir D:\usuarios\hlopez

mkdir D:\usuarios\mmartinez

mkdir D:\usuarios\jpalacios

mkdir D:\usuarios\rloureiro

Damos los permisos correspondientes a las carpetas.

Icacls “D:\Datos Produccion” /inheritance:d /T

Icacls “D:\Datos Produccion” /remove:g usuarios

ICACLS “D:\Datos Produccion” /remove:g “CREATOR OWNER”

ICACLS “D:\Datos Produccion” /grant:r produccion:(OI)(CI)F /T

ICACLS “D:\Datos Produccion” /grant:r calidad:(OI)(CI)RX /T

Ahora damos permisos al resto de carpetas

Icacls D:\Ventas /inheritance:d /T

Icacls D:\Ventas /remove:g usuarios

ICACLS D:\Ventas /grant:r ventas:(OI)(CI)F /T

Icacls D:\Calidad /inheritance:d /T

Icacls D:\Calidad /remove:g usuarios

ICACLS D:\Calidad /grant:r calidad:(OI)(CI)F /T

ICACLS D:\Calidad /grant:r produccion:(OI)(CI)RX /T

Icacls “D:\Valoracion Servicio” /inheritance:d /T

Icacls “D:\Valoracion Servicio” /remove:g usuarios

ICACLS “D:\Valoracion Servicio” /grant:r calidad:(OI)(CI)F /T

ICACLS “D:\Valoracion Servicio” /grant:r produccion:(OI)(CI)RX /T

ICACLS “D:\Valoracion Servicio” /grant:r ventas:(OI)(CI)RX /T

Carpeta D:\Plantillas  lectura para todos los usuarios del sistema. 

Icacls D:\Plantillas /inheritance:d /T

Icacls D:\Plantillas /remove:g usuarios

ICACLS D:\Plantillas /grant:r usuarios:(OI)(CI)R /T

Carpeta D:\Datos Comunes  Control total para los grupos Producción, Ventas y Calidad

Icacls “D:\Datos Comunes” /inheritance:d /T

Icacls “D:\Datos Comunes” /remove:g usuarios

Icacls “D:\Datos Comunes” /grant:r calidad:(OI)(CI)F /T

Icacls “D:\Datos Comunes” /grant:r produccion:(OI)(CI)F /T

Icacls “D:\Datos Comunes” /grant:r ventas:(OI)(CI)F /T

Se debe denegar el permiso de Escritura al usuario Jesús Palacios

Icacls “D:\Datos Comunes” /deny jpalacios:(OI)(CI)F /T

Concedemos control total a cada usuario en su carpeta y denegamos al resto.

icacls "D:\Usuarios\agarcia" /inheritance:d /T

icacls "D:\Usuarios\agarcia" /remove:g usuarios

icacls "D:\Usuarios\agarcia" /grant:r agarcia:(CI)(OI)F /T

icacls "D:\Usuarios\hlopez" /inheritance:d /T

icacls "D:\Usuarios\hlopez" /remove:g usuarios

icacls "D:\Usuarios\hlopez" /grant:r hlopez:(CI)(OI)F /T

icacls "D:\Usuarios\mmartinez" /inheritance:d /T

icacls "D:\Usuarios\mmartinez" /remove:g usuarios

icacls "D:\Usuarios\mmartinez" /grant:r mmartinez:(CI)(OI)F /T

icacls "D:\Usuarios\operez" /inheritance:d /T

icacls "D:\Usuarios\operez" /remove:g usuarios

icacls "D:\Usuarios\operez" /grant:r operez:(CI)(OI)F /T

icacls "D:\Usuarios\jpalacios" /inheritance:d /T

icacls "D:\Usuarios\jpalacios" /remove:g usuarios

icacls "D:\Usuarios\jpalacios" /grant:r jpalacios:(CI)(OI)F /T

icacls "D:\Usuarios\rloureiro" /inheritance:d /T

icacls "D:\Usuarios\rloureiro" /remove:g usuarios

icacls "D:\Usuarios\rloureiro" /grant:r rloureiro:(CI)(OI)F /T

Permisos de Red

Se deben compartir en red las carpetas del ejercicio anterior. Asignarles el nombre indicado y los permisos de red indicados a continuación. 

Los permisos de red son los que se dan al compartir la carpeta.

Carpeta D:\Datos Producción 

Nombre de red: Dpto Producción. 

Control total para el grupo Administradores. 

Cambiar para el grupo Producción. Leer para el grupo Calidad. 

Carpeta D:\Ventas 

Nombre de red: Dpto Ventas. 

Control total para el grupo Administradores. 

Cambiar para el grupo Ventas. 

Carpeta D:\Calidad 

Nombre de red: Dpto Calidad. 

Control total para el grupo Administradores. 

Cambiar para el grupo Calidad. Leer para el grupo Produccion. 

Carpeta D:\Valoración Servicio 

Nombre de red: Valoración Servicio. 

Control total para el grupo Administradores. 

Leer para los grupos Produccion y Ventas. Cambiar para el grupo Calidad. 

Carpeta D:\Plantillas 

Nombre de red: Plantillas Documentos. 

Control total para el grupo Administradores. 

Leer para todos los usuarios. 

Carpeta D:\Datos Comunes 

Nombre de red: Datos Comunes. 

Control total para el grupo Administradores. 

Cambiar para los grupos Produccion, Ventas y Calidad. 

Carpetas Personales 

Nombre de red: El nombre completo de cada usuario. 

Control total para el grupo Administradores. 

Cambiar para cada usuario.

Vamos a la carpeta Datos Producción y pulsamos el botón derecho del ratón y elegimos compartir.

Compartimos la carpeta.

Una vez compartida nos posicionamos sobre ella y con el botón derecho del ratón -> propiedades. En la pestaña General se pone Dpto. Producción.

Y en la pestaña seguridad comprobamos que los permisos dados sean correctos, si no es así los modificamos.

Para el resto de carpetas procedemos de forma similar a la anterior.

Por comandos

net share "Dpto Produccion"="D:\Datos Produccion" /grant:Administradores,full /grant:Produccion,change /grant:Calidad,read

net share "Dpto Ventas"=D:\Ventas /grant:Administradores,full /grant:Ventas,change

net share "Dpto Calidad"=D:\Calidad /grant:Administradores,full /grant:Calidad,change /grant:Produccion,read

net share "Valoracion Servicio"="D:\Valoracion Servicio" /grant:Administradores,full /grant:Calidad,change /grant:Produccion,read /grant:Ventas,read

net share "Plantillas Documentos"=D:\Plantillas /grant:Administradores,full /grant:Todos,read

net share "Datos Comunes"="D:\Datos Comunes" /grant:Produccion,change /grant:Ventas,change /grant:Calidad,change

Conectar a unidades de red 

Iniciar sesión con cada uno de los usuarios del ejercicio 3 y crear una conexión de red por cada una de las carpetas de red a las que tiene acceso el usuario.

Se deben mapear las siguientes unidades.

Esto se hace en los equipos cliente que se conectan al servidor.

Dpto Producción Unidad U

Dpto Ventas Unidad V

Dpto Calidad Unidad W

Valoración Servicio Unidad X

Plantillas Documentos Unidad Y

Datos Comunes Unidad Z

Carpeta Personal Unidad P

Todas las conexiones deben ser permanentes, esto es, se deben conectar con cada inicio de sesión automáticamente. El usuario no debe intentar mapear carpetas de red a las cuales no tiene permisos de al menos lectura, pues producirá un error de denegación de permiso.

Gráficamente

Pulsamos en equipo y conectar a unidad de red.

Y elegimos la carpeta del equipo externo de la red que mapearemos. Marcamos  conectar de nueva al iniciar sesión para que sea persistente.

Si no tenemos credenciales nos pedirá el usuario y la contraseña, finalmente nos mostrará en el equipo la nueva unidad mapeada.

Por comandos 

net use U: "\\servidor\Dpto Produccion" /persistent:yes

net use V: "\\servidor\Dpto Ventas" /persistent:yes

net use W: "\\servidor\Dpto Calidad" /persistent:yes

net use X: "\\servidor\Valoracion Servicio" /persistent:yes

net use Y: "\\servidor\Plantillas Documentos" /persistent:yes

net use Z: "\\servidor\Datos Comunes" /persistent:yes

net use P: "\\servidor\Datos Alfredo Garcia" /persistent:yes

REM net use P: "\\servidor\Datos Hernesto Lopez" /persistent:yes

REM net use P: "\\servidor\Datos Maria Martinez" /persistent:yes

REM net use P: "\\servidor\Datos Olga Perez" /persistent:yes

REM net use P: "\\servidor\Datos Jesus Palacios" /persistent:yes

REM net use P: "\\servidor\Datos Raquel Loureiro" /persistent:yes