5.5. Asignación de derechos a usuarios y grupos
Como ya comentamos en un capítulo anterior, un derecho le otorga a un usuario la capacidad de llevar a cabo determinadas acciones sobre el sistema. Los derechos se pueden asignar de forma predeterminada a los usuarios cuando se crean, o se pueden asignar con posterioridad. Además, un determinado derecho se puede otorgar de forma particular a un usuario, o se puede puede otorgar a un grupo para que lo obtengan de forma automática todos sus miembros.
Cuando un privilegio entra en contradicción con un permiso, siempre prevalece el privilegio.
Por ejemplo, un usuario con privilegios para hacer copias de seguridad, podrá copiar todos los archivos, aunque no tenga permisos de lectura sobre ellos.
En Windows Server 2008 se puede distinguir entre derechos de conexión (en inglés logon rights) y privilegios. Los derechos de conexión permiten definir el modo en el que iniciará sesión el usuario en el sistema (por ejemplo, si lo hará en modo local o a través de la red). Los privilegios definen lo que el usuario podrá hacer en el sistema una vez iniciada la sesión (por ejemplo, apagar el sistema o hacer copias de seguridad).
En Windows Server 2008, podemos otorgar privilegios a un usuario o a un grupo de dos formas diferentes:
- Utilizando los grupos predeterminados que podemos encontrar dentro del contenedor Builtin (Puedes consultar el capítulo anterior para obtener más detalles).
- Recurriendo a la herramienta Administración de Directivas de grupo, que además de asignar privilegios individuales a un objeto, permite consultar qué usuarios disponen de un determinado privilegio.
Una directiva de grupo permite establecer, en el servidor, una configuración para un usuario o un equipo y éste la aplicará de forma automática. De esta forma, podemos establecer criterios de forma centralizada en el servidor para que sean aplicados a uno o varios usuarios o equipos de la red.
Usando grupos predeterminados
Como recordarás, Builtin contiene todos los grupos de seguridad que incorpora de forma predeterminada Windows Server 2008. Estos grupos ya disponen de una serie de privilegios asociados, de forma que sólo tenemos que agregarle a cualquiera de estos grupos un nuevo miembro para que, automáticamente, dicho miembro herede todos los privilegios del grupo.
Por ejemplo, como hemos apuntado más arriba, a continuación vamos a conseguir que un usuario (en concreto el usuario fulanito) se convierta en un Operador de copia de seguridad, es decir, un usuario con privilegios para realizar copias de seguridad.
Como en ocasiones anteriores, comenzaremos por abrir la herramienta Usuarios y equipos de Active Directory.
1
Una vez allí, en el panel izquierdo, elegiremos la entrada Builtin, dentro del árbol de nuestro dominio
Inmediatamente, en el panel derecho habrán aparecido todos los objetos contenidos por Builtin.
A continuación buscaremos el grupo que nos interesa ( en nuestro caso, Operadores de copia de seguridad) y hacemos clic con el botón derecho del ratón sobre él.
Veremos que aparece la ventana Propiedades de Operadores de copia de seguridad. En ella, haremos clic sobre la solapa Miembros.
En este caso, la lista está vacía, porque este grupo aún no dispone de ningún miembro, pero según vayamos añadiendo otros usuarios o grupos, irán apareciendo relacionados aquí.
Aunque en apartados anteriores hemos utilizado la ventana Seleccionar Usuarios, Contactos, Equipos o Grupos de una forma más detallada, Hoy utilizaremos el camino corto para localizar un usuario (lo podemos usar cuando conocemos, al menos, una parte del nombre del objeto)
Veremos que en el cuadro de texto aparece el nombre completo del usuario (incluido su nombre DNS), con lo que podemos estar seguros de que hemos elegido el usuario correcto.
Cuando se cierre la ventana de selección, veremos que ya aparece el nuevo usuario en la lista de miembros del grupo.
Consultar qué usuarios tienen un determinado privilegio.
Para saber qué usuarios pueden realizar una determinada acción, dentro del controlador de dominio, podemos recurrir a la herramienta Administración de directivas de grupo. Además, una vez que hayamos accedido, también podremos utilizar esta misma herramienta para asignar un determinado privilegio a determinados usuarios o grupos.
1
Comenzamos por hacer clic en el botón Inicio. A continuación elegimos Herramientas Administrativas y, finalmente, Administración de directivas de grupo.
Cuando se abra la ventana Administración de directivas de grupo, desplegamos el árbol del panel izquierdo, hasta llegar al elemento Default Domain Controllers Policy (Política predeterminada de los controladores de dominio). En nuestro caso, desplegamos El elemento Bosque:somebooks.local > Dominios > somegooks.local > Objetos de directiva de grupo
En el panel derecho, haremos clic sobre la solapa Configuración. En su interior, encontraremos de nuevo diferentes categoría ordenadas de forma jerárquica. Dentro de ellas encontraremos los diferentes privilegios que podemos asignar dentro de Windows Server 2008. En nuestro caso, dentro de Directivas, nos dirigimos a Configuración de Windows y, dentro, a Configuración de seguridad.
Cuando aparezcan los detalles, hacemos scroll hacia abajo, hasta localizar el privilegio que estamos buscando (en nuestro caso, Permitir el inicio de sesión local)
Asignar privilegios usando las Directivas de grupo
Para asignar un privilegio a un usuario, partiremos de la ventana Administración de directivas de grupo. Como antes, en el panel izquierdo nos desplazaremos hasta la entrada Default Domain Controllers Policy. A continuación, haremos clic con el botón derecho del ratón sobre su nombre.
Veremos aparecer la ventana Editor de administración de directivas de grupo. En el panel izquierdo desplegaremos el elemento Configuración del equipo, dentro de éste Directivas, a continuación Configuración de Windows, Configuración de seguridad y Directivas locales.
En el panel derecho se mostrarán todas las directivas de seguridad relacionadas con la categoría.
3
Nos desplazamos por la lista hasta encontrar el elemento Permitir el inicio de sesión local y hacemos doble clic sobre él.
El sistema operativo nos mostrará entonces una ventana titulada Propiedades de Permitir el inicio de sesión local, que contiene una lista de todos los usuarios o grupos que tienen habilitado este privilegio.
4
Para incluir en la lista a un nuevo usuario, sólo tenemos que hacer clic sobre el botón Agregar usuario o grupo …
Aparecerá una ventana pidiendo que escribamos el nombre del usuario o grupo, aunque lo mejor, para no cometer errores, es buscarlo.
En ese momento aparecerá la ventana Seleccionar Usuarios, Equipos o Grupos que ya conocemos de otras ocasiones. Como antes, nos limitaremos a escribir el principio del nombre del usuario en el que estamos interesados…
El nombre parcial que hemos escrito será sustituido por el nombre completo del usuario (incluido su nombre DNS), con lo que podemos estar seguros de que hemos elegido el usuario correcto.
De vuelta en la ventana Agregar usuario o grupo, veremos que el nombre del usuario se muestra con su nomenclatura NetBios.
Ahora, en la ventana Propiedades de Permitir el inicio de sesión local, en la lista de usuarios que disponen de este privilegio, ya podremos ver a nuestro usuario.
Para comprobar que todo es correcto, vamos a reiniciar el sistema y a tratar de iniciar sesión en el servidor, de forma local, con el usuario al que le hemos otorgado el privilegio.
Ahora ya podemos escribir el nombre de usuario que hemos habilitado para iniciar sesión y debajo su contraseña.
Veremos que el sistema tarda un poco más de lo habitual en arrancar. El motivo es que está construyendo la información local del perfil del usuario, que aún no existía
Finalmente, aparecerá el escritorio. Para comprobar que estamos trabajando con el usuario correcto, sólo tenemos que abrir el menú Inicio.
Debemos tener presente que otorgar privilegios a un usuario para que inicie sesión de forma local en el servidor puede comprometer de forma grave su seguridad. Incluso podríamos llegar a perder por completo el control del mismo.
No obstante, cuando se trata de usuarios de absoluta confianza, podemos utilizar esta práctica para delegar sobre ellos algunas tareas de administración, como veremos en el capítulo próximo.