4.4. Otras operaciones frecuentes con cuentas de usuario

A continuación, vamos a incluir algunas de las operaciones que se realizan más a menudo sobre las cuentas de usuario, como parte de las tareas comunes de administración.

Recuperar contraseñas

En ocasiones, un usuario olvida su contraseña (por un simple descuido, por que la política de seguridad de la empresa obliga a cambiar las contraseñas con frecuencia, porque el usuario lleva tiempo sin entrar en el sistema, etc.). Por cuestiones de seguridad, Windows Server 2008 no permite que nadie, ni siquiera el administrador, pueda ver la contraseña de un usuario. Sin embargo, una operación que sí podemos hacer como administradores es asignar una contraseña nueva, comunicarla por un medio seguro al usuario, y obligar a que éste la cambie en su primer inicio de sesión. De esta forma, la contraseña resultante volverá a ser conocida sólo por el usuario en cuestión.

Como en los apartados anteriores, usaremos el botón Inicio, elegiremos Herramientas administrativas y después Usuarios y equipos de Active Directory (o bien, utilizaremos la consola Herramientas comunes que creamos en el capítulo anterior).

Una vez abierta la ventana, hacemos clic con el botón derecho del ratón sobre el usuario que queremos modificar…

1

… Y en el menú de contexto que aparece elegimos Restablecer contraseña

Veremos aparecer la ventana Restablecer contraseña. Aquí, escribiremos la contraseña por duplicado y seleccionaremos la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión.

2

Cuando terminemos, haremos clic sobre el botón Aceptar.

Establecer horas de inicio de sesión

Una de las precauciones más básicas que podemos considerar respecto de la seguridad de una red es la de impedir que los usuarios inicien sesión en el sistema fuera del horario que hayamos establecido para ello (por ejemplo, fuera de su jornada laboral).

Para conseguirlo, comenzaremos por abrir la ventana Usuarios y equipos de Active Directory (tal y como hemos visto en apartados anteriores) y buscar la cuenta de usuario que queremos configurar.

Una vez localizada la cuenta, hacemos clic con el botón derecho del ratón sobre ella…

1

En el menú de contexto que aparece elegimos Propiedades.

Aparecerá la ventana titulada Propiedades de, seguido del nombre de la cuenta de usuario que hemos elegido. En ella, haremos clic sobre la solapa Cuenta.

2

A continuación, haremos clic en el botón Horas de inicio de sesión

Cuando aparezca la ventana Horas de inicio de sesión para, seguido del nombre de la cuenta, dispondremos de una matriz azul que representa las 24 horas del día de cada uno de los días de la semana.

3

Ventana Horas de inicio de sesión para la cuenta

El uso de esta ventana es muy sencillo: Cada hora que el usuario pueda iniciar sesión en el sistema, estará representada por una celda azul. Por el contrario, las horas en las que el usuario no pueda iniciar sesión, se identificarán con una celda de color blanco. Por lo tanto, al principio, el usuario puede acceder al sistema en todo momento de cualquier día.

Para cambiar los valores de la matriz, podemos ir combinando cualesquiera de las siguientes acciones:

  • Cuando seleccionamos celdas de la matriz de horas, justo debajo de ella aparecerá un mensaje que nos informa de forma textual de la selección que hemos hecho.

    Prestando atención a su contenido, evitaremos errores.

    Para seleccionar una hora en particular, sólo habrá que hacer clic sobre la celda que la representa.

  • Si lo que queremos seleccionar es una franja horaria, bastará con hacer clic en una de las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón, arrastrar hasta la esquina opuesta (en diagonal).
  • Para seleccionar todas las horas de un determinado día, podemos hacer clic sobre el botón que contiene el nombre del día (por ejemplo, domingo).
  • Para seleccionar todas las horas de varios días consecutivos (por ejemplo sábado y domingo), procederemos como en el punto anterior, seleccionando el primero (o el último) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos pulsado mientras arrastramos el puntero hasta el botón que representa el otro extremo del intervalo.
  • Para seleccionar toda la matriz a la vez, podemos hacer clic sobre el botón Todo.
  • Para seleccionar una determinada hora, pero en todos los días de la semana, hacemos clic en el pequeño botón sin título que hay bajo el número que identifica la hora, si esta es par o el punto correspondiente, si es impar, ya que, como puedes ver, sólo están numeradas las horas pares.
  • Si queremos elegir un grupo de horas consecutivas para todos los días, procederemos como en el punto anterior, seleccionando la hora que indique el principio o el final del intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos pulsado mientras arrastramos el puntero hasta el botón que representa el otro extremo del intervalo.

Cuando tengamos una o varias celdas seleccionadas, haremos clic sobre la opción Inicio de sesión denegado.

Lógicamente, si queremos volver a permitir el inicio de sesión en un intervalo que denegamos con antelación, sólo hay que volver a seleccionarlo y, después, elegir Inicio de sesión permitido.

4

Cuando terminemos, haremos clic sobre el botón Aceptar.

Limitar los equipos desde los que un usuario puede iniciar sesión

En el apartado anterior hemos aprendido cómo limitar las horas en las que un usuario puede iniciar sesión en el equipo. Esto ofrece un grado de seguridad considerable a nuestra red, porque nos aseguramos de que un usuario no puede utilizar el sistema en momentos no autorizados. Sin embargo, aún podemos complementar la medida anterior si fijamos también los lugares desde los que el usuario puede iniciar sesión, impidiendo que pueda acceder al sistema desde un punto de la red diferente al que utiliza habitualmente para realizar su trabajo.

Para conseguirlo, comenzaremos por abrir la ventana Usuarios y equipos de Active Directory (tal y como hemos visto en apartados anteriores) y buscar la cuenta de usuario que queremos configurar.

Una vez localizada la cuenta, hacemos clic con el botón derecho del ratón sobre ella…

1

En el menú de contexto que aparece elegimos Propiedades.

Aparecerá la ventana titulada Propiedades de, seguido del nombre de la cuenta de usuario que hemos elegido. En ella, haremos clic sobre la solapa Cuenta.

2

A continuación, haremos clic en el botón Iniciar sesión en

De forma predeterminada, aparecerá que el usuario puede iniciar sesión en todos los equipos de la red. Sin embargo, nosotros seleccionaremos la opción Los siguientes equipos. Después, en el cuadro de texto Nombre del equipo, escribimos el nombre de la cuenta del primer equipo desde el que el usuario podrá iniciar sesión en el dominio.

3

Para añadirlo, hacemos clic sobre el botón Agregar.

Veremos que el nombre del equipo se traslada al cuadro que hay más abajo (estos son los equipos que ya están habilitados. Si queremos añadir más equipos autorizados para esta cuenta de cliente, podemos repetir el paso anterior tantas veces como sean precisas.

4

Cuando terminemos, haremos clic sobre el botón Aceptar.

En definitiva, lo que hemos conseguido es que el usuario no pueda iniciar sesión en el dominio desde otro equipo que no sea CLIENTE-W7-01.

Deshabilitar una cuenta de usuario

Imagina que tienes un usuario que estará ausente durante un determinado periodo de tiempo. Según las características de este usuario, puede ser recomendable deshabilitar su cuenta mientras él esté ausente.

En otras ocasiones, puede resultar interesante disponer de una cuenta de usuario ficticia, con todos los parámetros necesarios preconfigurados y utilizarla como molde para crear, de forma rápida, nuevas cuentas en el futuro (veremos cómo hacer esto más abajo). Es este caso, también es recomendable, por razones de seguridad, que esta cuenta ficticia se encuentre deshabilitada.

Para deshabilitar una cuenta, tendremos que recurrir de nuevo a la herramienta Usuarios y equipos de Active Directory (ya hemos visto en apartados anteriores cómo abrirla).

Una vez abierta la ventana, hacemos clic con el botón derecho del ratón sobre el usuario que queremos modificar…

1

En el menú de contexto que aparece, elegimos la opción Deshabilitar cuenta.

Aparecerá una ventana informando de que la cuenta ha sido deshabilitada. Observa que el icono de una cuenta de usuario deshabilitada contiene a su derecha una flecha negra que apunta hacia abajo.

2

Sólo tenemos que hacer clic sobre Aceptar.

Cuando necesitemos volver a habilitarla, sólo tenemos que volver a hacer clic con el botón derecho del ratón sobre el nombre de la cuenta.

1

Ahora, en el menú de contexto, aparecerá la opción Habilitar cuenta.

De nuevo, cuando hagamos clic sobre la opción, aparecerá una ventana informando de que la cuenta ha sido habilitada.

2

Ahora sólo queda hacer clic sobre Aceptar.

Hacer que un usuario sea miembro de un grupo

Una de las cosas que haremos con casi todos nuestros usuarios es hacerlos miembros de uno o varios grupos. Esta operación la podemos hacer desde la propia cuenta de usuario o desde el grupo al que queremos asignarle miembros. De momento veremos esta primera opción y, más adelante, veremos cómo hacer lo mismo desde un grupo.

Como de costumbre, debemos comenzar abriendo la herramienta Usuarios y equipos de Active Directory (tal y como hemos visto en apartados anteriores).

Una vez ahí, hacemos clic con el botón derecho del ratón sobre el nombre de la cuenta del cliente.

1

En el menú de contexto que aparece, elegimos Agregar a un grupo.

Aparecerá la ventana Seleccionar grupos. Esta ventana ofrece diferentes posibilidades para localizar el grupo que queremos. Sin embargo, nosotros nos centraremos en la dos opciones más frecuentes.

La primera forma consiste en escribir el comienzo del nombre del grupo en el cuadro Escriba los nombres de objeto que desea seleccionar.

2

A continuación, haremos clic en el botón Comprobar nombres.

Si conocemos el nombre completo, podemos escribirlo directamente y hacer clic sobre Aceptar. No obstante, si hemos utilizado el botón Comprobar nombres, aparecerá la ventana Nombres múltiples encontrados, mostrando todos los nombres de grupo que comiencen por nuestra selección.

3

Buscaremos entre ellos el que nos interesa, lo seleccionaremos haciendo clic sobre él y, a continuación, haremos clic en el botón Aceptar.

Cuando volvamos a la ventana Seleccionar grupos, podremos repetir la operación para conseguir que la cuenta de usuario sea miembro de varios grupos al mismo tiempo (por supuesto, también podremos volver aquí en el futuro para ampliar la lista de grupos a los que pertenece el usuario).

4

Cuando hayamos terminado, haremos clic en el botón Aceptar.

Si en el paso 2 no hubiésemos sabido cómo empezaba el nombre del grupo que estamos buscando, siempre podremos recurrir a las opciones avanzadas.

5

Hacemos clic sobre el botón Avanzadas

La ventana Seleccionar Grupos crecerá para dar cabida a nuevas opciones.

6

Nosotros nos limitaremos a hacer clic sobre el botón Buscar ahora.

En la parte inferior de la ventana aparecerán, relacionados por orden alfabético, todos los grupos definidos en el sistema.

7

Buscaremos en la lista el grupo que nos interesa, haremos clic sobre él, y a continuación en el botón Aceptar.

Obtendremos un resultado similar al que teníamos en el paso 4. De nuevo, podemos repetir la operación para que la cuenta de usuario pertenezca a varios grupos a la vez.

8

Si hemos terminado, hacemos clic sobre Aceptar.

Al cerrar la ventana, aparecerá un mensaje indicando que la operación se ha completado de forma satisfactoria

9

Sólo tenemos que volver a hacer clic sobre Aceptar.

Para obtener los mismos resultados, también podemos recurrir a la ventana de propiedades de la cuenta y realizar el trabajo desde la solapa Miembro de que, además de convertir al usuario en miembro de un grupo, también permite consultar de qué grupos es ya miembro (lo veremos en el siguiente apartado).

El proceso para hacer al usuario miembro de un nuevo grupo será prácticamente idéntico al descrito más arriba.

Averiguar de qué grupos es miembro un usuario

En ocasiones, necesitamos comprobar a qué grupo o grupos pertenece un determinado usuario. Para averiguarlo, sólo tenemos que abrir la herramienta Usuarios y equipos de Active Directory (tal y como hemos visto en apartados anteriores). A continuación, buscaremos la cuenta que queremos consultar y haremos clic con el botón derecho del ratón sobre ella.

1

En la ventana que aparece, elegimos Propiedades.

En el cuadro Miembro de, podemos ver los grupos a los que pertenece la cuenta de usuario.

2

Después, podemos cerrar la ventana.

Copiar cuentas de usuario

Por razones de seguridad, una cuenta ficticia, que vamos a utilizar como plantilla para crear otras, debería estar siempre deshabilitada.

Ya hemos hecho referencia a esta posibilidad en otros momentos del libro. La idea es que podemos crear una cuenta ficticia (aunque vale cualquiera) y utilizarla, a modo de plantilla, para crear otras.

Si el número de cuentas que debemos crear es elevado, estaremos ahorrando un montón de tiempo y esfuerzo.

Para este ejemplo, vamos a partir de una cuenta llamada plantilla01, que ya es miembro del grupo Operadores de copia de seguridad.

Lógicamente, para crear una nueva cuenta de usuario a partir de plantilla01, lo primero será abrir la herramienta Usuarios y equipos de Active Directory (tal y como hemos visto en apartados anteriores). A continuación, buscaremos la cuenta que pensamos utilizar como plantilla y hacemos clic con el botón derecho del ratón sobre ella.

1

En el menú de contexto que aparece, elegimos Copiar…

Debes rellenar el campo Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que puedan conectarse al dominio clientes que ejecuten Windows 95, Windows 98 o Windows NT .

Aparece el asistente Copiar objeto – Usuario. En el primer paso, deberemos escribir el nombre, los apellidos, el nombre de inicio de sesión, etc., de la nueva cuenta (al fin y al cabo, estos datos son particulares de la cuenta nueva y no pueden tomarse de la que estemos usando como plantilla.

 

2

Cuando hayamos terminado, haremos clic sobre el botón Siguiente.

En el siguiente paso, deberemos escribir una contraseña que cumpla con las políticas de seguridad del sistema (ya hemos hablado de esta cuestión con anterioridad). También podremos obligar al usuario a que cambie la contraseña en su primer inicio de sesión.

Por último, recuerda que la cuenta que utilizamos como plantilla está deshabilitada, por lo que la cuenta que estamos creando a partir de ella también lo estará. Por lo tanto, debes recordar desmarcar la opción La cuenta está deshabilitada, o habilitarla más tarde, para que el usuario pueda utilizarla.

3

Para continuar, haremos clic de nuevo en Siguiente.

Con esto, prácticamente habremos terminado. Sólo nos quedará comprobar el cuadro resumen que nos ofrece el asistente, para asegurarnos de que no hemos cometido ningún error. Si lo hubiese, utilizaremos el botón Atrás para solucionarlo.

4

Si todo es correcto, sólo nos queda hacer clic en Finalizar.

Al cerrarse el asistente, volvemos a la ventana Usuarios y equipos de Active Directory.

5

Aquí podemos comprobar que ya aparece el nuevo usuario.

Ahora sólo tenemos que consultar las propiedades de la nueva cuenta y constatar, por ejemplo, que forma parte del grupo Operadores de copia de seguridad tal y como ocurría con la cuenta plantilla01.

6

Después de esto, ya podemos cerrar la ventana.

Eliminar una cuenta de usuario

Aunque no sea la operación más frecuente, en algunas ocasiones, es necesario eliminar algunas de las cuentas que hayamos creado en el sistema.

Como de costumbre, lo primero será abrir la herramienta Usuarios y equipos de Active Directory (igual que hicimos en apartados anteriores). A continuación, buscaremos la cuenta que pretendemos eliminar y hacemos clic con el botón derecho del ratón sobre ella.

1

En el menú de contexto que aparece, hacemos clic sobre Eliminar.

Inmediatamente, veremos un cuadro de diálogo que nos avisa de que estamos a punto de eliminar la cuenta de usuario.

2

Después de verificar que, efectivamente, no nos hemos confundido de cuenta, hacemos clic sobre .


Anterior

Contenido

Siguiente