Grupos de usuarios de tipo global
Grupos globales son el ámbito principal de los grupos en el que los usuarios se colocan en los dominios de modo mixto. Los grupos globales pueden colocarse únicamente en los descriptores de seguridad de objetos de recursos que residan en el mismo dominio.
Pertenencia a grupo global para un usuario se evalúa cuando dicho usuario inicia sesión en un dominio. En un dominio de modo nativo, los grupos globales se pueden anidar dentro de ellos. Esto es posible que resulta útil cuando los administradores han anidada de unidades organizativas y desea delegar funcionalidad administrativa de unidad organizativa (OU) de forma decreciente correctamente un árbol de la unidad ORGANIZATIVA. En esta situación, un árbol de grupo global puede utilizarse como una construcción paralela, para la asignación de estos privilegios decreciente.
Grupos de usuarios de tipo local
Grupos locales de dominio se pueden utilizar para la asignación directa de directivas de acceso en recursos específicos que no estén directamente almacenados en Active Directory, (como recursos compartidos de servidor de archivos, colas de impresora y así sucesivamente). Como se crean los grupos globales
Administrador de usuarios representa los grupos globales con un gráfico de dos caras impuestas a través de un globo. Los grupos globales contener cuentas de usuario de un dominio agrupadas como un nombre de grupo. Un grupo global no puede contener otro grupo global o un grupo local. Los grupos globales predeterminados en un servidor avanzado son los administradores de dominio y los grupos de usuarios del dominio. Una estación de trabajo de Windows NT no define los grupos globales predeterminados. Sin embargo, dado que un grupo global puede ser un miembro de un grupo local, un grupo local definido en una estación de trabajo de Windows NT puede contener un grupo global del dominio En un modelo de dominio único, esto se aplica a estaciones de trabajo de dominio de Windows NT y LAN Manager servidores que participan en el dominio. Un grupo local y un grupo global que comparten el mismo nombre son dos entidades independientes, cada uno de los cuales tiene su propio identificador de seguridad distintos y características como definida anteriormente. Los permisos asignados a un grupo no se aplican al otro grupo que comparte el mismo nombre.
Configuración de Usuarios
El Administrador de usuarios es la utilidad estándar que ofrece Windows NT. Como su nombre indica, se encarga de la administración de los usuarios. Para crear una cuenta nueva, haga clic en Nuevo usuario en el menú de usuarios. Aparecerá un cuadro de diálogo para especificar la información acerca del nuevo usuario:
· Usuario: Nombre de inicio de sesión del usuario
· Nombre completo: Información opcional del usuario
· Descripción: Campo opcional
Los campos para la Contraseña son opcionales. Aún así, se recomienda rellenarlos y marcar la casilla con la etiqueta
En que consiste el perfil
Grupos globales son el ámbito principal de los grupos en el que los usuarios se colocan en los dominios de modo mixto. Los grupos globales pueden colocarse únicamente en los descriptores de seguridad de objetos de recursos que residan en el mismo dominio.
Pertenencia a grupo global para un usuario se evalúa cuando dicho usuario inicia sesión en un dominio. En un dominio de modo nativo, los grupos globales se pueden anidar dentro de ellos. Esto es posible que resulta útil cuando los administradores han anidada de unidades organizativas y desea delegar funcionalidad administrativa de unidad organizativa (OU) de forma decreciente correctamente un árbol de la unidad ORGANIZATIVA. En esta situación, un árbol de grupo global puede utilizarse como una construcción paralela, para la asignación de estos privilegios decreciente.
Grupos de usuarios de tipo local
Grupos locales de dominio se pueden utilizar para la asignación directa de directivas de acceso en recursos específicos que no estén directamente almacenados en Active Directory, (como recursos compartidos de servidor de archivos, colas de impresora y así sucesivamente). Como se crean los grupos globales
Administrador de usuarios representa los grupos globales con un gráfico de dos caras impuestas a través de un globo. Los grupos globales contener cuentas de usuario de un dominio agrupadas como un nombre de grupo. Un grupo global no puede contener otro grupo global o un grupo local. Los grupos globales predeterminados en un servidor avanzado son los administradores de dominio y los grupos de usuarios del dominio. Una estación de trabajo de Windows NT no define los grupos globales predeterminados. Sin embargo, dado que un grupo global puede ser un miembro de un grupo local, un grupo local definido en una estación de trabajo de Windows NT puede contener un grupo global del dominio En un modelo de dominio único, esto se aplica a estaciones de trabajo de dominio de Windows NT y LAN Manager servidores que participan en el dominio. Un grupo local y un grupo global que comparten el mismo nombre son dos entidades independientes, cada uno de los cuales tiene su propio identificador de seguridad distintos y características como definida anteriormente. Los permisos asignados a un grupo no se aplican al otro grupo que comparte el mismo nombre.
Configuración de Usuarios
El Administrador de usuarios es la utilidad estándar que ofrece Windows NT. Como su nombre indica, se encarga de la administración de los usuarios. Para crear una cuenta nueva, haga clic en Nuevo usuario en el menú de usuarios. Aparecerá un cuadro de diálogo para especificar la información acerca del nuevo usuario:
· Usuario: Nombre de inicio de sesión del usuario
· Nombre completo: Información opcional del usuario
· Descripción: Campo opcional
Los campos para la Contraseña son opcionales. Aún así, se recomienda rellenarlos y marcar la casilla con la etiqueta
En que consiste el perfil
Las cuentas de usuarios del dominio se crean en el Administrador de Usuarios. Cuando se crea una cuenta, se graba automáticamente en la memoria de acceso secuencial (SAM) del controlador principal de dominio (PDC) y luego se sincroniza con el resto del dominio. Tan pronto como se crea una cuenta en la SAM del PDC, el usuario puede iniciar sesión en un dominio desde cualquier estación de trabajo del dominio.
A veces, la sincronización del dominio puede llevar varios minutos. Existen dos métodos: escribir net accounts /sync
en el símbolo del sistema, o elegir Sincronizar el dominio completo en el Administrador de servidor, que se encuentra en el menú Equipo.
Las cuentas de usuarios locales se crean en un servidor miembro o en un equipo con Windows NT Workstation. La cuenta se crea únicamente en la SAM del equipo local. Por esta razón, el usuario sólo puede iniciar sesión en ese equipo.
El proceso de creación de cuentas se puede simplificar planificando y organizando la información acerca de las personas que necesitan una cuenta de usuario.
La carpeta particular es la carpeta privada en la que el usuario puede almacenar sus archivos. Se usa como el archivo predeterminado para ejecutar comandos como "Guardar". Puede almacenarse en el equipo local del usuario o en un servidor de red. Para crearlas, se deben tomar en cuenta los siguientes puntos:
· Es mucho más fácil asegurar las copias de seguridad y la restauración de datos que pertenecen a usuarios distintos si se almacenan las carpetas particulares en un servidor. De lo contrario, se tendrían que hacer copias de seguridad periódicas de los datos en los distintos equipos de red donde se almacenan las carpetas particulares.
· Preste atención al espacio en disco de los controladores de dominio: Windows NT no tiene utilidades para administrar el espacio en disco (Windows 2000 sí). Debido a esto, si no tiene cuidado en evitar que las carpetas particulares se llenen de archivos de gran tamaño, es posible que el espacio de almacenamiento se agote rápidamente. No obstante, hay herramientas de terceros para esta tarea, por ejemplo, "QUOTA MANAGER".
· Si un usuario trabaja en un equipo sin disco duro, su carpeta particular debe estar en el servidor de red
· Si las carpetas particulares se ubican en equipo locales, aumentará el rendimiento de la red, ya que habrá menos tráfico y el servidor no estará atendiendo órdenes constantemente.
Permisos y derechos
Los permisos se pueden aplicar a las carpetas y controlar así el uso de recursos de un usuario específico. En FAT, hay cuatro permisos diferentes:
· Control total (permiso predeterminado) permite a los usuarios cambiar los permisos de los archivos. Los usuarios también pueden ser propietarios de archivos en volúmenes NFTS y llevar a cabo cualquier tarea que sus permisos autoricen.
· Cambiar permite a los usuarios crear carpetas y añadir archivos, y también modificar y añadir los datos de los archivos. También pueden cambiar los atributos de los archivos, eliminar carpetas y archivos, y realizar cualquier tarea que el permiso Lectura autorice.
· Lectura permite a un usuario ver los nombres de las carpetas y los archivos, ver los datos y los atributos de los archivos, ejecutar archivos de programas y examinar el contenido de las carpetas.
· Sin acceso solo permite a un único usuario conectarse a la carpeta compartida. El acceso a la carpeta está prohibido y sus contenidos no se muestran.
Administración de cuentas
Cuando un usuario inicia sesión por primera vez desde un cliente que ejecuta Windows NT, se crea un perfil de usuario predeterminado para ese usuario. Este perfil configura elementos como, por ejemplo, el entorno de trabajo del usuario, y las conexiones de red y de impresoras. Este perfil se puede personalizar para restringir ciertos elementos en el escritorio o ocultar algunas herramientas del equipo.
Estos perfiles contienen configuraciones que el usuario puede definir para configurar un entorno de trabajo en un equipo que ejecuta Windows NT. Estas configuraciones se guardan automáticamente en la carpeta de perfiles (C:\Winnt\Profiles).
Para los usuarios que inician sesión desde clientes que no ejecutan Windows NT, se puede utilizar un script para iniciar sesión para configurar las conexiones de red y de impresora del usuario, o establecer la configuración del entorno de trabajo o del hardware. En realidad, es un archivo de comandos (.bat o .cmd) o un archivo ejecutable que se ejecuta automáticamente cuando el usuario inicia sesión en la red.
También es posible utilizar perfiles móviles de usuarios. Estos perfiles proporcionan al usuario el mismo entorno de trabajo, independientemente de la estación de trabajo con la que se conecta a la red. Estos perfiles se guardan en el servidor. Existen dos opciones para los perfiles móviles:
· Perfil móvil obligatorio: Se puede aplicar a uno o varios usuarios y éstos no pueden modificarlo. Solo el administrador decide qué opciones se le dan a los usuarios (herramientas, configuración, etc.). Si el usuario cambia la configuración, estas modificaciones no se guardarán una vez que el usuario se desconecte.
· Perfil móvil personal: Es posible aplicarlo a un solo usuario y éste lo puede modificar. Cada vez que el usuario se desconecta, se guardan los cambios en la configuración.
Servicios de acceso remoto
Si se instala RAS (Remote Access Service) se pueden configurar permisos en conexiones de acceso telefónico. Este servicio ofrece a un usuario, con los permisos apropiados, obtener acceso a los recursos de una red remota a través de una conexión por línea telefónica (o X.25). Resulta útil para los usuarios que necesitar tener acceso desde sus hogares o desde cualquier otro lugar. Se pueden configurar muchos permisos de llamada:
· No contestar: El usuario paga por el coste de la comunicación. El servidor no devuelve la llamada al usuario.
· Establecido por quien llama: Esta opción permite que el servidor devuelva la llamada al número especificado por el usuario. En este caso, la empresa se hace cargo de los costes de comunicación.
· Preestablecer a: Permite que el administrador controle la devolución de llamadas. Decidirá desde qué número debe llamar un usuario al servidor. Esta opción se puede utilizar para reducir costes, aunque también para incrementar la seguridad, ya que el usuario se debe ubicar en un número de teléfono específico.
