Capítulo 5: Clientes del dominio en Windows Server 2012 R2



5.5. Asignación de derechos a usuarios y grupos

Como ya comentamos en un capítulo anterior, un derecho le otorga a un usuario la capacidad de llevar a cabo determinadas acciones sobre el sistema. Los derechos se pueden asignar de forma predeterminada a los usuarios cuando se crean, o se pueden asignar con posterioridad. Además, un determinado derecho se puede otorgar de forma particular a un usuario, o se puede puede otorgar a un grupo para que lo obtengan de forma automática todos sus miembros.

Cuando un privilegio entra en contradicción con un permiso, siempre prevalece el privilegio.

Por ejemplo, un usuario con privilegios para hacer copias de seguridad, podrá copiar todos los archivos, aunque no tenga permisos de lectura sobre ellos.

En Windows Server 2012 R2 se puede distinguir entre derechos de conexión (en inglés logon rights) y privilegios. Los derechos de conexión permiten definir el modo en el que iniciará sesión el usuario en el sistema (por ejemplo, si lo hará en modo local o a través de la red). Los privilegios definen lo que el usuario podrá hacer en el sistema una vez iniciada la sesión (por ejemplo, apagar el sistema o hacer copias de seguridad).

En Windows Server 2012 R2, podemos otorgar privilegios a un usuario o a un grupo de dos formas diferentes:

  1. Utilizando los grupos predeterminados que podemos encontrar dentro del contenedor Builtin (Puedes consultar el capítulo anterior para obtener más detalles).
  2. Recurriendo a la herramienta Administración de Directivas de grupo que, además de asignar privilegios individuales a un objeto, permite consultar qué usuarios disponen de un determinado privilegio.

Con una directiva de grupo se puede establecer, en el servidor, una configuración para un usuario o un equipo y éste la aplicará de forma automática. De esta forma, podemos indicar criterios de forma centralizada en el servidor para que sean aplicados a uno o varios usuarios o equipos de la red.

Usando grupos predeterminados

Como recordarás, Builtin contiene todos los grupos de seguridad que incorpora de forma predeterminada Windows Server 2012 R2. Estos grupos ya disponen de una serie de privilegios asociados, de forma que sólo tenemos que agregarle a cualquiera de estos grupos un nuevo miembro para que, automáticamente, dicho miembro herede todos los privilegios del grupo.

Por ejemplo, como hemos apuntado más arriba, a continuación vamos a conseguir que un usuario (en concreto el usuario Walt) se convierta en un Operador de copia de seguridad, es decir, un usuario con privilegios para realizar copias de seguridad.

Como en ocasiones anteriores, comenzaremos por abrir la herramienta Usuarios y equipos de Active Directory.

1

Una vez allí, en el panel izquierdo, elegiremos la entrada Builtin, dentro del árbol de nuestro dominio.

Inmediatamente, en el panel derecho habrán aparecido todos los objetos contenidos por Builtin.

A continuación buscaremos el grupo que nos interesa (en nuestro caso, Operadores de copia de seguridad) y hacemos clic con el botón derecho del ratón sobre él.

2

En el menú de contexto que aparece, elegimos la opción Propiedades.

Veremos que aparece la ventana Propiedades: Operadores de copia de seguridad. En ella, haremos clic sobre la solapa Miembros.

En este caso, la lista está vacía, porque este grupo aún no dispone de ningún miembro, pero según vayamos añadiendo otros usuarios o grupos, irán apareciendo relacionados aquí.

3

Para añadir un nuevo usuario (o grupo), haremos clic en el botón Agregar.

Aunque en apartados anteriores hemos utilizado la ventana Seleccionar Usuarios, Contactos, Equipos, Cuentas de servicio o Grupos de una forma más detallada, Hoy utilizaremos el camino corto para localizar un usuario (lo podemos usar cuando conocemos, al menos, una parte del nombre del objeto)

4

Escribimos parte del nombre del usuario y hacemos clic sobre el botón Comprobar nombres.

Veremos que en el cuadro de texto aparece el nombre completo del usuario (incluido su nombre DNS), con lo que podemos estar seguros de que hemos elegido el usuario correcto.

5

Después de esto, ya podemos hacer clic sobre el botón Aceptar.

Cuando se cierre la ventana de selección, veremos que ya aparece el nuevo usuario en la lista de miembros del grupo.

6

Ya sólo falta hacer clic sobre el botón Aceptar.

Consultar qué usuarios tienen un determinado privilegio.

Para saber qué usuarios pueden realizar una determinada acción, dentro del controlador de dominio, podemos recurrir a la herramienta Administración de directivas de grupo. Además, una vez que hayamos accedido, también podremos utilizar esta misma herramienta para asignar un determinado privilegio a usuarios o grupos concretos.

1

En el menú Herramientas del Administrador del servidor, hacemos clic sobre Administración de directivas de grupo.

Cuando se abra la ventana Administración de directivas de grupo, desplegamos el árbol del panel izquierdo, hasta llegar al elemento Default Domain Controllers Policy (Política predeterminada de los controladores de dominio). En nuestro caso, desplegamos el elemento Bosque:somebooks.local > Dominios > somebooks.local > Objetos de directiva de grupo

2

Finalmente, hacemos clic sobre la entrada Default Domain Controllers Policy.

La configuración de seguridad mejorada de Internet Explorer puede activarse o desactivarse según el criterio del Administrador del sistema.

En el panel derecho, haremos clic sobre la solapa Configuración. Al hacerlo, probablemente suceda algo inesperado: Un mensaje de aviso de Internet Explorer que impide que se muestre el contenido de la solapa.

El motivo es que la Administración de directivas de grupo utiliza el motor de Internet Explorer para mostrar la información relacionada con la configuración de sus políticas. Además, en Windows Server, el navegador incluye una configuración de seguridad mejorada que bloquea, de forma predeterminada, el acceso a Internet (y, en general, a cualquier documento en formato web), para todos los usuarios del sistema, incluido el Administrador.

La solución para esta situación es tan sencilla como añadir la dirección del documento (en este caso about:security_mmc.exe) a la lista de excepciones.

3

Para lograrlo, comenzamos por hacer clic sobre el botón Agregar

Esto hará que se muestre la ventana Sitios de confianza que incluirá en el cuadro de texto Agregar este sitio web a la zona de: el origen del documento que estamos tratando de consultar.

4

Para añadirlo a las excepciones basta con hacer clic sobre el botón Agregar.

Observa que en la lista Sitios web: se encuentran recogidas todas las excepciones registradas hasta el momento.

Si desconfiáramos de un sitio que antes incluimos en la lista, podemos hacer clic sobre él y, después, sobre el botón Quitar.

Para mostrar en cualquier momento la ventana Sitios de confianza, podemos recurrir al menú Herramientas de Internet explorer y elegir Opciones de Internet.

5

Cuando hayamos terminado, hacemos clic sobre el botón Cerrar.

Cuando por fin accedemos a la solapa Configuración, encontraremos de nuevo diferentes categorías ordenadas de forma jerárquica. En su interior, encontraremos los diferentes privilegios que podemos asignar dentro de Windows Server 2012 R2. En nuestro caso, dentro de Directivas, nos dirigimos a Configuración de Windows y, dentro, a Configuración de seguridad.

6

Una vez ahí, desplegamos Directivas locales / Asignación de derechos de usuario.

Cuando aparezcan los detalles, hacemos scroll hacia abajo, hasta localizar el privilegio que estamos buscando (en nuestro caso, Permitir el inicio de sesión local)

7

En la segunda columna encontramos a los usuarios o grupos que disponen de este privilegio.

Asignar privilegios usando las Directivas de grupo

Para asignar un privilegio a un usuario, partiremos de la ventana Administración de directivas de grupo. Como antes, en el panel izquierdo nos desplazaremos hasta la entrada Default Domain Controllers Policy. A continuación, haremos clic con el botón derecho del ratón sobre su nombre.

1

En el menú de contexto que aparece, elegiremos Editar.

Veremos aparecer la ventana Editor de administración de directivas de grupo. En el panel izquierdo desplegaremos el elemento Configuración del equipo, dentro de éste Directivas, a continuación Configuración de Windows, Configuración de seguridad y Directivas locales.

2

Finalmente, hacemos doble clic sobre Asignación de derechos de usuario.

En el panel derecho se mostrarán todas las directivas de seguridad relacionadas con la categoría.

3

Nos desplazamos por la lista hasta encontrar el elemento Permitir el inicio de sesión local y hacemos doble clic sobre él.

El sistema operativo nos mostrará entonces una ventana titulada Propiedades: Permitir el inicio de sesión local, que contiene una lista de todos los usuarios o grupos que tienen habilitado este privilegio.

4

Para incluir en la lista a un nuevo usuario, sólo tenemos que hacer clic sobre el botón Agregar usuario o grupo

Aparecerá una ventana pidiendo que escribamos el nombre del usuario o grupo, aunque lo mejor, para no cometer errores, es buscarlo.

5

Hacemos clic sobre el botón Examinar

En ese momento aparecerá la ventana Seleccionar Usuarios, Equipos, Cuentas de servicio o Grupos que ya conocemos de otras ocasiones. Como antes, nos limitaremos a escribir el principio del nombre del usuario en el que estamos interesados…

6

… Y hacemos clic en el botón Comprobar nombres.

El nombre parcial que hemos escrito será sustituido por el nombre completo del usuario (incluido su nombre DNS), con lo que podemos estar seguros de que hemos elegido el usuario correcto.

7

En este momento, ya podemos hacer clic sobre el botón Aceptar.

De vuelta en la ventana Agregar usuario o grupo, veremos que el nombre del usuario se muestra con su nomenclatura NetBios.

8

Volvemos a hacer clic sobre el botón Aceptar.

Ahora, en la ventana Propiedades: Permitir el inicio de sesión local, en la lista de usuarios que disponen de este privilegio, ya podremos ver el que acabamos de incluir.

9

Terminaremos la tarea haciendo clic sobre el botón Aceptar.

Para comprobar que todo es correcto, vamos a reiniciar el sistema y a tratar de iniciar sesión en el servidor, de forma local, con el usuario al que le hemos otorgado el privilegio.

10

En la pantalla de bienvenida, hacemos clic sobre Otro usuario.

Después, podemos escribir el nombre del usuario que hemos habilitado para el inicio de sesión local y, debajo, su contraseña.

12

Cuando estemos listos, hacemos clic sobre el botón que hay junto a la contraseña.

Veremos que el sistema tarda un poco más de lo habitual en arrancar. El motivo es que está construyendo la información local del perfil del usuario, que aún no existía.

Finalmente, aparecerá el escritorio. Para comprobar que estamos trabajando con el usuario correcto, sólo tenemos que abrir el menú Metro.

13

Y comprobar que el nombre del usuario es correcto.

Debemos tener presente que otorgar privilegios a un usuario para que inicie sesión de forma local en el servidor puede comprometer de forma grave su seguridad. Incluso podríamos llegar a perder por completo el control del mismo.

No obstante, cuando se trata de usuarios de absoluta confianza, podemos utilizar esta práctica para delegar sobre ellos algunas tareas de administración, como veremos en el capítulo próximo.