Operaciones frecuentes sobre cuentas de usuario en un dominio Windows Server 2012 R2 (Parte I)

Publicado por P. Ruiz en

Editar cuentas de usuarioHace unos días, publicábamos un artículo sobre cómo Crear una cuenta de usuario del dominio en la interfaz gráfica de Windows Server 2012 R2. Para completar lo que explicábamos allí, en el artículo de hoy, y en el próximo, te vamos a explicar las operaciones más frecuentes que podemos realizar sobre las cuentas de usuario que hayamos creado.

En particular, hoy aprenderemos a llevar a cabo las siguientes acciones:

  • Modificar valores generales de las cuentas.

  • Establecer horas de inicio de sesión.

  • Limitar los equipos desde los que un usuario puede iniciar sesión.

  • Averiguar de qué grupos es miembro un usuario.

Todos los ajustes de este artículo (y también del siguiente) se realizan desde la herramienta Usuarios y equipos de Active Directory. Recuerda que hemos aprendido a llegar hasta ella de tres modos diferentes:

  1. Desde el menú Herramientas del Administrador del Servidor.

  2. Ejecutando la orden dsa.msc desde la ventana Ejecutar (que puedes abrir fácilmente usando la combinación de teclas Windows + R).

  3. Recurriendo a la consola que obtubimos en el artículo Crear una consola con las herramientas más usadas en Windows Server 2012 R2.

Así que, si estás listo, comencemos…

Modificar valores generales de las cuentas

Una vez abierta la ventana, hacemos clic con el botón derecho del ratón sobre el usuario que queremos modificar.

Y, en el menú de contexto que aparece, elegimos Propiedades.

Verás que aparece una ventana titulada Propiedades de, seguido del nombre del usuario que estamos editando.

De forma predeterminada, estaremos situados sobre la solapa General, que contiene los datos que introdujimos en el primer paso de creación de la cuenta y otros complementarios, como una Descripción, un Número de teléfono, etc.

Después de ajustar los datos a nuestro gusto, podemos hacer clic sobre Aceptar, aunque también podemos hacer clic sobre otra solapa…

A pesar de que la ventana Propiedades dispone de hasta 13 solapas diferentes, no es objetivo de este texto explicarlas todas en detalle. Sin embargo, de momento, pienso que sí puede ser interesante reparar en la solapa Cuenta. En ella podremos cambiar los nombres de inicio de sesión del usuario (al fin y al cabo, el único valor imprescindible para que la cuenta mantenga su identidad es su SID).

También podremos cambiar las opciones de cuenta, aunque ahora dispondremos de algunas opciones más, que no teníamos cuando la creamos:

  • Almacenar contraseña utilizando cifrado reversible: Sólo se utiliza cuando la cuenta de usuario utilizará un cliente Apple para iniciar sesión en el Dominio.
  • La tarjeta inteligente es necesaria para un inicio de sesión interactivo: Sólo se utiliza en entornos donde los clientes disponen de un lector de tarjetas y los usuarios disponen de una tarjeta con un Número de Identificación Personal (PIN) asociado. En estos casos, la contraseña se establece automáticamente con un valor aleatorio y complejo.
  • La cuenta es importante y no se puede delegar: Esta opción permite el control sobre una cuenta de usuario (como una cuenta de invitado o una cuenta temporal). Se puede utilizar cuando la cuenta no puede utilizarse por otra cuenta para delegar sobre ella.
  • Usar tipos de cifrado DES de kerberos para esta cuenta: Habilita la compatibilidad con el estándar de cifrado de datos (DES).
  • Esta cuenta admite cifrado AES de Kerberos de 128 y 256 bits: Estas opciones sólo estarán disponibles si el nivel de funcionalidad del dominio es Windows Server 2008 (incluido R2) o Windows Server 2003.
  • No pedir la autenticación Kerberos previa: Ofrece compatibilidad con implementaciones alternativas al protocolo Kerberos. Habilitar esta opción puede suponer una pérdida de seguridad en el sistema.

Otra de las opciones que tenemos a nuestra disposición es la de establecer una caducidad para la cuenta. Lo normal es que el valor asignado sea Nunca. Sin embargo, si necesitamos crear una cuenta para un usuario que utilizará los recursos durante un tiempo limitado (por ejemplo, un trabajador temporal), podemos establecer una fecha para que la cuenta quede deshabilitada de forma automática.

Como puedes ver, esta solapa aún tiene algunas opciones más, pero las veremos más adelante.

De nuevo, ajustaremos los datos a nuestro gusto y haremos clic sobre Aceptar o seguiremos trabajando con otras solapas.

Establecer horas de inicio de sesión

Una de las precauciones más básicas que podemos considerar respecto de la seguridad de una red es la de impedir que los usuarios inicien sesión en el sistema fuera del horario que hayamos establecido para ello (por ejemplo, fuera de su jornada laboral).

Para conseguirlo, debemos encontrarnos en la ventana Propiedades de la cuenta que queremos limitar. Concretamente, en la solapa Cuenta, que es donde nos quedamos al final del apartado anterior.

A continuación, haremos clic en el botón Horas de inicio de sesión

Cuando aparezca la ventana Horas de inicio de sesión para, seguido del nombre de la cuenta, dispondremos de una matriz azul que representa las 24 horas del día de cada uno de los días de la semana.

Ventana Horas de inicio de sesión para la cuenta

El uso de esta ventana es muy sencillo: Cada hora que el usuario pueda iniciar sesión en el sistema, estará representada por una celda azul. Por el contrario, las horas en las que el usuario no pueda iniciar sesión, se identificarán con una celda de color blanco. Por lo tanto, al principio, el usuario puede acceder al sistema en todo momento de cualquier día.

Para cambiar los valores de la matriz, podemos ir combinando cualesquiera de las siguientes acciones:

  • Cuando seleccionamos celdas de la matriz de horas, justo debajo de ella aparecerá un mensaje que nos informa de forma textual de la selección que hemos hecho. Prestando atención a su contenido, evitaremos errores.

    Para seleccionar una hora en particular, sólo habrá que hacer clic sobre la celda que la representa.

  • Si lo que queremos seleccionar es una franja horaria, bastará con hacer clic en una de las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón, arrastrar hasta la esquina opuesta (en diagonal).
  • Para seleccionar todas las horas de un determinado día, podemos hacer clic sobre el botón que contiene el nombre del día (por ejemplo, domingo).
  • Para seleccionar todas las horas de varios días consecutivos (por ejemplo sábado y domingo), procederemos como en el punto anterior, seleccionando el primero (o el último) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos pulsado mientras arrastramos el puntero hasta el botón que representa el otro extremo del intervalo.
  • Para seleccionar toda la matriz a la vez, podemos hacer clic sobre el botón Todo.
  • Para seleccionar una determinada hora, pero en todos los días de la semana, hacemos clic en el pequeño botón sin título que hay bajo el número que identifica la hora, si esta es par o el punto correspondiente, si es impar, ya que, como puedes ver, sólo están numeradas las horas pares.
  • Si queremos elegir un grupo de horas consecutivas para todos los días, procederemos como en el punto anterior, seleccionando la hora que indique el principio o el final del intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos pulsado mientras arrastramos el puntero hasta el botón que representa el otro extremo del intervalo.

Cuando tengamos una o varias celdas seleccionadas, haremos clic sobre la opción Inicio de sesión denegado.

Lógicamente, si queremos volver a permitir el inicio de sesión en un intervalo que denegamos con antelación, sólo hay que volver a seleccionarlo y, después, elegir Inicio de sesión permitido.

Cuando terminemos, haremos clic sobre el botón Aceptar.

Limitar los equipos desde los que un usuario puede iniciar sesión

Para complementar la medida de seguridad anterior, podemos fijar también los lugares desde los que el usuario puede iniciar sesión. Así, impediremos que pueda acceder al sistema desde un punto de la red diferente al que utiliza habitualmente para realizar su trabajo.

Para conseguirlo, debemos encontrarnos, de nuevo, en la ventana Propiedades de la cuenta que queremos limitar. Concretamente, en la solapa Cuenta.

En este caso, comenzaremos haciendo clic en el botón Iniciar sesión en

De forma predeterminada, aparecerá que el usuario puede iniciar sesión en todos los equipos de la red. Sin embargo, nosotros seleccionaremos la opción Los siguientes equipos. Después, en el cuadro de texto Nombre de equipo, escribimos el nombre de la cuenta del primer equipo desde el que el usuario podrá iniciar sesión en el dominio.

No te preocupes, más adelante dedicaremos algún artículo al funcionamiento de las cuentas de equipo.

Para añadirlo, hacemos clic sobre el botón Agregar.

Veremos que el nombre del equipo se traslada al cuadro que hay más abajo (estos son los equipos que ya están habilitados. Si queremos añadir más equipos autorizados para esta cuenta de cliente, podemos repetir el paso anterior tantas veces como sean precisas.

Cuando terminemos, haremos clic sobre el botón Aceptar.

En definitiva, lo que hemos conseguido es que el usuario no pueda iniciar sesión en el dominio desde otro equipo que no sea CLIENTE-W8-01.

Averiguar de qué grupos es miembro un usuario

En ocasiones, necesitamos comprobar a qué grupo o grupos pertenece un determinado usuario.

Para averiguarlo, debemos encontrarnos, de nuevo, en la ventana Propiedades de la cuenta que queremos limitar. Sin embargo, en este caso elegiremos la solapa Miembro de.

En su interior encontraremos una lista con los grupos a los que pertenece la cuenta de usuario.

En el ejemplo comprobamos que la cuenta pertenece a los grupos Usuarios del dominio y Operadores de copia de seguridad.

Conclusión

En el artículo de hoy hemos comprobado algunas de las cosas que podemos realizar con la ventana Propiedades de una cuenta de usuario. Algunas de las cosas que nos dejamos en el tintero se retomarán en futuros artículos.

No obstante, en el próximo artículo nos centraremos en los aspectos que podremos resolver desde el propio menú de contexto de la cuenta… Pero esto será dentro de unos días.

Espero que el artículo de hoy te haya resultado útil.