Operaciones frecuentes sobre cuentas de usuario en un dominio Windows Server 2012 R2 (Parte II)
En SomeBooks.es ya hemos aprendido a Crear una cuenta de usuario del dominio en la interfaz gráfica de Windows Server 2012 R2. Incluso hemos dedicado una primera parte de este artículo a explicar algunas Operaciones frecuentes sobre cuentas de usuario en un dominio Windows Server 2012 R2, en particular, algunas de las que podemos realizar usando la ventana de propiedades de la cuenta. Hoy, nos dedicaremos a explicar algunas de las acciones que podemos realizar desde el propio menú de contesto de la cuenta. En particular, nos centraremos en las siguientes:
-
Recuperar contraseñas
-
Deshabilitar una cuenta de usuario
-
Hacer que un usuario sea miembro de un grupo
-
Copiar cuentas de usuario
-
Eliminar una cuenta de usuario
Como en el artículo anterior, todos los ajustes se realizan desde la herramienta Usuarios y equipos de Active Directory. Recuerda que hemos aprendido a llegar hasta ella de tres modos diferentes:
-
Desde el menú Herramientas del Administrador del Servidor.
-
Ejecutando la orden dsa.msc desde la ventana Ejecutar (que puedes abrir fácilmente usando la combinación de teclas Windows + R).
-
Recurriendo a la consola que obtubimos en el artículo Crear una consola con las herramientas más usadas en Windows Server 2012 R2.
Así que, si estás listo, comencemos…
Recuperar contraseñas
Los motivos para que un usuario olvide su contraseña pueden ser muy variados:
-
Un simple descuido.
-
Porque la política de seguridad de la empresa obliga a cambiar las contraseñas con frecuencia.
-
Porque el usuario lleva tiempo sin entrar en el sistema.
-
etc.
Por cuestiones de seguridad, Windows Server 2012 R2 no permite que nadie pueda ver la contraseña de un usuario. Ni siquiera el administrador.
Sin embargo, una cosa que sí podemos hacer como administradores es asignar una contraseña nueva. Después, la comunicaremos por un medio seguro al usuario afectado. Y por último, obligaremos a que éste la cambie en su primer inicio de sesión. De esta forma, la contraseña resultante volverá a ser conocida sólo por el usuario implicado.
Para realizar esta tarea, comenzaremos por abrir la ventana Usuarios y equipos de Active Directory. A continuación, haremos clic con el botón derecho del ratón sobre el usuario que queremos modificar…
Veremos aparecer la ventana Restablecer contraseña. Aquí, escribiremos la contraseña por duplicado y seleccionaremos la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
Al hacerlo, el sistema nos muestra una ventana informando de que se ha cambiado la contraseña de usuario de forma satisfactoria.
Deshabilitar una cuenta de usuario
En ocasiones, podemos tener usuarios que se ausenten durante un determinado periodo de tiempo. Según las características que tenga cada usuario, puede ser recomendable deshabilitar su cuenta mientras se encuentre ausente. Así evitaremos que otra persona pueda intentar utilizarla sin autorización.
En otras ocasiones, puede interesarnos disponer de una cuenta de usuario ficticia. Dicha cuenta no estará asociada a ningún usuario, pero tendrá todos los parámetros necesarios preconfigurados. De este modo, podemos utilizarla como molde (como plantilla) para crear, de forma rápida, nuevas cuentas en el futuro. Veremos cómo hacer esto más abajo.
En este segundo caso, también es recomendable, por razones de seguridad, que la cuenta ficticia se encuentre deshabilitada.
Para deshabilitar una cuenta, haremos clic con el botón derecho del ratón sobre el usuario que queremos modificar…
Aparecerá una ventana informando de que la cuenta ha sido deshabilitada. Observa que el icono de una cuenta de usuario deshabilitada contiene a su derecha una flecha negra que apunta hacia abajo ().
Cuando necesitemos volver a habilitarla, sólo tenemos que volver a hacer clic con el botón derecho del ratón sobre el nombre de la cuenta.
De nuevo, cuando hagamos clic sobre la opción, aparecerá una ventana informando de que la cuenta ha sido habilitada.
Hacer que un usuario sea miembro de un grupo
Una de las cosas que haremos con casi todos nuestros usuarios es convertirlos en miembros de uno o varios grupos. Al hacerlo, podremos administrarlos o compartir los recursos de manera conjunta con todos los miembros del grupo.
Podremos resolver esta tarea desde la propia cuenta de usuario o desde el grupo al que queremos asignarle miembros. De momento veremos esta primera opción y, más adelante, veremos cómo hacer lo mismo desde un grupo.
Como en los apartados anteriores, comenzaremos abriendo la herramienta Usuarios y equipos de Active Directory (siguiendo alguno de los métodos comentados al principio del artículo).
Una vez ahí, hacemos clic con el botón derecho del ratón sobre el nombre de la cuenta del usuario.
Aparecerá la ventana Seleccionar grupos. Esta ventana ofrece diferentes posibilidades para localizar el grupo que queremos. Sin embargo, nosotros nos centraremos en la dos opciones más frecuentes.
La primera forma consiste en escribir el comienzo del nombre del grupo en el cuadro Escriba los nombres de objeto que desea seleccionar.
Si conocemos el nombre completo, podemos escribirlo directamente y hacer clic sobre Aceptar. No obstante, si hemos utilizado el botón Comprobar nombres, aparecerá la ventana Nombres múltiples encontrados, mostrando todos los nombres de grupo que comiencen por nuestra selección.
Buscaremos entre ellos el que nos interesa, lo seleccionaremos haciendo clic sobre él y, a continuación, haremos clic en el botón Aceptar.
Cuando volvamos a la ventana Seleccionar grupos, podremos repetir la operación para conseguir que la cuenta de usuario sea miembro de varios grupos al mismo tiempo (por supuesto, también podremos volver aquí en el futuro para ampliar la lista de grupos a los que pertenece el usuario).
Si en el paso 2 no hubiésemos sabido cómo empezaba el nombre del grupo que estamos buscando, siempre podremos recurrir a las opciones avanzadas.
La ventana Seleccionar Grupos crecerá para dar cabida a nuevas opciones.
En la parte inferior de la ventana aparecerán, relacionados por orden alfabético, todos los grupos definidos en el sistema.
Buscaremos en la lista el grupo que nos interesa, haremos clic sobre él, y a continuación en el botón Aceptar.
Obtendremos un resultado similar al que teníamos en el paso 4. De nuevo, podemos repetir la operación para que la cuenta de usuario pertenezca a varios grupos a la vez.
Al cerrar la ventana, aparecerá un mensaje indicando que la operación se ha completado de forma satisfactoria.
Para obtener los mismos resultados, también podemos recurrir a la ventana de propiedades de la cuenta y realizar el trabajo desde la solapa Miembro de que, además de convertir al usuario en miembro de un grupo, también permite consultar de qué grupos es ya miembro (lo veremos en el siguiente apartado).
El proceso para hacer al usuario miembro de un nuevo grupo será prácticamente idéntico al descrito más arriba.
Copiar cuentas de usuario
Por razones de seguridad, una cuenta ficticia, que vamos a utilizar como plantilla para crear otras, debería estar siempre deshabilitada.
Ya hemos hecho referencia a esta posibilidad más arriba. La idea es que podemos crear una cuenta ficticia (aunque vale cualquiera) y utilizarla, a modo de plantilla, para crear otras.
Si el número de cuentas que debemos crear es elevado, estaremos ahorrando un montón de tiempo y esfuerzo.
Para este ejemplo, vamos a partir de la cuenta que creamos en la primera parte del artículo y que hemos hecho miembro del grupo Operadores de copia de seguridad un poco más arriba.
Como de costumbre, deberemos encontrarnos en la herramienta Usuarios y equipos de Active Directory. A continuación, buscaremos la cuenta que pensamos utilizar como plantilla y hacemos clic con el botón derecho del ratón sobre ella.
Aparece el asistente Copiar objeto: Usuario.
En el primer paso, deberemos escribir el nombre, los apellidos, el nombre de inicio de sesión, etc., de la nueva cuenta (al fin y al cabo, estos datos son particulares de la cuenta nueva y no pueden tomarse de la que estemos usando como plantilla).
Debes rellenar el campo Nombre de inicio de sesión de usuario (anterior a Windows 2000) para que puedan conectarse al dominio clientes que ejecuten Windows 95, Windows 98 o Windows NT .
En el siguiente paso, deberemos escribir una contraseña que cumpla con las políticas de seguridad del sistema (ya hemos hablado de esta cuestión con anterioridad). También podremos obligar al usuario a que cambie la contraseña en su primer inicio de sesión.
Por último, recuerda que la cuenta que utilizamos como plantilla está deshabilitada, por lo que la cuenta que estamos creando a partir de ella también lo estará. Por lo tanto, debes recordar desmarcar la opción La cuenta está deshabilitada, o habilitarla más tarde, para que el usuario pueda utilizarla.
Con esto, prácticamente habremos terminado. Sólo nos quedará comprobar el cuadro resumen que nos ofrece el asistente, para asegurarnos de que no hemos cometido ningún error. Si lo hubiese, utilizaremos el botón Atrás para solucionarlo.
Al cerrarse el asistente, volvemos a la ventana Usuarios y equipos de Active Directory.
Ahora sólo tenemos que consultar las propiedades de la nueva cuenta y constatar, por ejemplo, que forma parte del grupo Operadores de copia de seguridad tal y como ocurría con la cuenta plantilla01.
Eliminar una cuenta de usuario
Aunque no sea la operación más frecuente, en algunas ocasiones, es necesario eliminar algunas de las cuentas que hayamos creado en el sistema.
Como hasta ahora, partiremos de la herramienta Usuarios y equipos de Active Directory. A continuación, buscaremos la cuenta que pretendemos eliminar y hacemos clic con el botón derecho del ratón sobre ella.
Inmediatamente, veremos un cuadro de diálogo que nos avisa de que estamos a punto de eliminar la cuenta de usuario.
Al volver a la ventana Usuarios y equipos de Active Directory, comprobaremos que la cuenta ha desaparecido.
Y hasta aquí el artículo de hoy. Espero que su contenido te resulte útil.