Administración de usuarios y grupos locales

Los sistemas operativos actuales se pueden utilizar por uno o varios usuarios, en algunos sistemas pueden hacerlo simultáneamente y en otros no. Los usuarios se pueden crear localmente o en red, la gestión de usuarios locales sólo afecta al equipo desde el que se crean, modifican, eliminan, etc.

Los usuarios locales sólo sirven para iniciar sesión o acceder a recursos en el propio equipo, en cambio los usuarios en red pueden iniciar sesión en cualquier equipo de la red.

En la mayoría de los sistemas operativos, las personas que los utilizan necesitan autentificarse mediante una cuenta de usuario y, además, tener autorización para utilizar recursos como, por ejemplo, un archivo, una carpeta, un dispositivo, etc. Cuando hablamos de recursos, nos referimos a un elemento del sistema operativo que se puede controlar.

Algunas de las gestiones sobre usuarios y grupos que veremos hacen referencia a configuraciones propias de sistemas operativos en red (Windows Server) con instalaciones de un Directorio Activo (Active Directory).

Usuarios y grupos predeterminados

Usuarios

Las personas que quieren utilizar un sistema operativo necesitan disponer de un nombre de usuario y una contraseña.

Los usuarios deberían ser únicos e individuales aunque a veces no es así, esto conlleva un importante riesgo de seguridad porque no se identifica correctamente a los usuarios dentro del sistema.

Para crear un usuario es necesario tener permisos especiales, no todos los usuarios pueden crear otros usuarios.

A la hora de crear un usuario hay que seguir algunas normas que facilitarán recordar los nombres y llevar un correcto control.

Cuando se instala el sistema operativo Windows se crean cuentas por defecto que van a permitir utilizarlo, son las siguientes:

  • Cuenta de administrador. Tiene control total sobre el sistema operativo y puede realizar tareas como crear otras cuentas de usuarios, asignar permisos, ejecutar, instalar, borrar, etc. Esta cuenta se tiene que utilizar sólo en momentos puntuales. Una recomendación es mantener la cuenta con una contraseña segura, también cambiarle el nombre, pues el nombre que la cuenta utiliza por defecto es demasiado conocido.
  • Cuenta de invitado. Es una cuenta que pueden utilizar los usuarios que no tienen una cuenta en el sistema operativo, esta cuenta tiene restringida la instalación de programas o hardware, así como cambiar cualquier configuración o contraseña. Esta cuenta está desactivada por defecto, es necesario activarla para poder utilizarla.

Como hemos dicho, el usuario administrador puede hacer de todo mientras que el usuario limitado tiene ciertas restricciones, puede, por ejemplo, ejecutar programas que ha instalado el administrador, pero él no puede instalarlos, tampoco tiene acceso a los archivos de otros usuarios.

Además de las cuentas que vienen instaladas por defecto en el sistema operativo, también se pueden crear otras cuentas. Los usuarios pueden ser administradores o usuarios limitados.


Ejemplo

Ver el usuario actual que ha iniciado sesión


Las operaciones con usuarios son tareas de administración que sólo pueden ser realizadas por usuarios administradores.

Grupos

Un grupo es un conjunto de usuarios que simplifica la administración y la asignación de permisos, concediendo permisos sobre recursos a todo un grupo de usuarios a la vez, en lugar de concederlos a cuentas de usuarios individuales. Los usuarios pueden pertenecer o no pertenecer a uno o varios grupos distintos.

En Windows los usuarios se pueden asociar en grupos y de esta forma se pueden asignar permisos para el acceso a determinados recursos. Los grupos locales predeterminados se crean automáticamente al instalar el sistema operativo.

La pertenencia a un grupo local supone para el usuario tener los permisos y la capacidad de realizar diversas tareas en el equipo local. Los grupos que por defecto se crean al instalar el sistema operativo son:

  • Administradores. Los miembros de este grupo tienen control total del equipo, pueden asignar permisos a los usuarios según sea necesario.
    Operadores de copia de seguridad. Los miembros de este grupo pueden hacer copias de seguridad, aunque los permisos de las carpetas que se van a copiar no lo permitan.
  • Operadores criptográficos. Los miembros de este grupo pueden realizar operaciones criptográficas.
  • Usuarios COM distribuido. Los miembros de este grupo pueden iniciar, activar y usar objetos COM distribuidos.
  • Invitados. Los miembros de este grupo disponen de un perfil temporal que se crea al iniciar la sesión y que se elimina cuando el miembro la cierra. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es miembro del grupo de forma predeterminada.
  • Usuarios. Los miembros del grupo Usuarios pueden realizar tareas habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el equipo. Los miembros de este grupo no pueden compartir directorios ni crear impresoras locales.
  • Otros grupos. IIS_IUSRS, Operadores de configuración de red, Usuarios del registro de rendimiento, Usuarios del monitor de sistema, Usuarios avanzados, Usuarios de escritorio remoto, etc.

Las operaciones con usuarios son tareas de administración que sólo pueden ser realizadas por usuarios administradores.

Seguridad de cuentas de usuario

Las principales características que están relacionadas con la gestión de la seguridad de usuario y grupos son (algunas características hacen referencia a sistemas operativos clientes y otras a servidores, aunque la mayoría a ambos):

Cuenta de usuario

La cuenta de usuario consiste en un nombre de usuario y una contraseña (password), en algunos sistemas operativos estos dos elementos forman un conjunto de credenciales y sirven para identificar a una persona.

Utilizar contraseñas es un método para autentificarse, pero no es el único, hay otros métodos como, por ejemplo, el uso de tarjetas inteligentes que tiene la identidad grabada.

Los usuarios tienen distintos privilegios y restricciones, el usuario que más privilegios tiene es el administrador.

Ver cuentas de usuarios en el sistema

Listas de control de acceso

Para utilizar recursos se requiere tener autorización, cada recurso tiene una lista donde aparecen los usuarios que pueden usar dicho recurso, estas listas se conocen como ACL (Access Control List, o Lista de control de acceso).

El funcionamiento es el siguiente: cuando un usuario intenta acceder a un recurso, éste comprueba en la lista de control de acceso si el usuario tiene permiso o no para utilizarlo. La lista de control de acceso se compone de identificadores de seguridad (SID, Security IDentifier) y permisos.

Los identificadores de seguridad son unos valores únicos de longitud variable que se utilizan para identificar a usuarios y grupos.

Ver el SID de un usuario

Control de cuentas de usuario

Esta característica de seguridad informa a los usuarios mediante mensajes sobre los cambios que se realizan en el equipo, las notificaciones se pueden configurar y pueden ser las siguientes:

  • Notificar siempre. Notifica mediante un mensaje cuando un programa intenta instalar algo o realizar cambios en el equipo. También notifica si se realizan cambios en la configuración de Windows. Cuando se produce una notificación, el escritorio se atenúa (el escritorio permanece bloqueado y no se puede realizar ninguna acción).
  • Predeterminado. Notifica cuando un programa intenta realizar cambios en el equipo atenuando el escritorio.
  • Notificar cuando un programa intenta realizar cambios en el escritorio sin atenuar el escritorio.
  • No notificar nunca los cambios que se realizan en el equipo.

Las notificaciones son distintas dependiendo del tipo de usuario que haya iniciado la sesión, en el caso de ser administrador, se solicita aceptar o denegar; si es un usuario normal, se solicitan las credenciales del administrador (usuario y contraseña).

Ejecutar como

Iniciar sesión con credenciales de administrador puede suponer un riesgo para la seguridad del sistema operativo y de la red (en el caso de que el ordenador forme parte). El riesgo se debe a que los usuarios administradores pueden realizar cualquier tipo de cambio en el sistema y puede darse el caso de que el administrador ejecute un programa dañino para el sistema como, por ejemplo, un virus, por este motivo, es recomendable iniciar sesión con usuarios no administradores.

En PowerShell se pueden ejecutar cmdlets como administrador mediante el parámetro -Verb y el valor runAs


Ejemplo

Iniciar Windows PowerShell como administrador


También se pueden ejecutar los cmdlet con los credenciales de otros usuarios con el cmdlet


Ejemplos

Almacenar credenciales en una variable

Utilizar credenciales para ver la versión de la BIOS


Perfil de usuario

Los perfiles de usuario definen entornos de escritorio personalizados, en ellos se incluye la configuración de cada usuario como, por ejemplo, la configuración de la pantalla, las conexiones de red y de impresoras, otras configuraciones especificadas, etc. El usuario o el administrador del sistema pueden definir las características del entorno del escritorio. La personalización del entorno de escritorio efectuada por un usuario no afecta a la configuración del resto de los usuarios.

Cuando los usuarios inician de nuevo la sesión en sus estaciones de trabajo, reciben la configuración de escritorio que tenían al terminar la última sesión.

Los perfiles de usuario se pueden ver utilizando la siguiente llamada WMI


Ejemplo

Ver la ruta de los perfiles de usuario


Ejercicio

Ver la última hora de acceso al perfil de usuario


En PowerShell se puede configurar el perfil que se utiliza cuando se inicia una sesión de consola o cuando se inicia PowerShell_ISE.


Ejemplo

Cargar un mensaje de bienvenida en el perfil de usuario en PowerShell


Directivas de Grupo

Las directivas permiten a los administradores configurar el sistema operativo, estas configuraciones se pueden hacer en local o en red, en este apartado veremos las dos configuraciones. Las configuraciones de Directivas de Grupo se realizan desde los servidores (Windows Server) y se aplican a los equipos clientes.

Las directivas locales se administran desde cualquier equipo abriendo la aplicación «Editar directivas de grupo local».

En general las directivas modifican el registro de Windows.

Algunos ejemplos de configuraciones de directivas de grupo:

  • Ejecución de programas al iniciar sesión
  • Ocultar unidades locales
  • Bloquear el símbolo del sistema
  • Bloquear el acceso al panel de control
  • Bloquear la pantalla pasados unos minutos
  • Cambiar el papel tapiz
  • Restringir el uso de unidades ópticas
  • Ejecución de un script
  • Mapear unidades

Ejercicio

Buscar si hay una GPO configurada en el equipo con PowerShell


Seguridad de contraseñas

Las contraseñas deben satisfacer unos requisitos de complejidad, con los siguientes ejemplos tenemos algunos requisitos que deberían cumplir:

Administración de perfiles locales de usuario

Los perfiles de usuario definen entornos de escritorio personalizados, en ellos se incluye la configuración de cada usuario como, por ejemplo, la configuración de la pantalla, las conexiones de red y de impresoras, otras configuraciones especificadas, etc. El usuario o el administrador del sistema pueden definir las características del entorno del escritorio. La personalización del entorno de escritorio efectuada por un usuario no afecta a la configuración del resto de los usuarios.

Cuando los usuarios inician de nuevo la sesión en sus estaciones de trabajo, reciben la configuración de escritorio que tenían al terminar la última sesión.

Los perfiles de usuario se pueden ver utilizando la siguiente llamada WMI


Ejemplo

Ver la ruta de los perfiles de usuario


Ejercicio

Ver la última hora de acceso al perfil de usuario


En PowerShell se puede configurar el perfil que se utiliza cuando se inicia una sesión de consola o cuando se inicia PowerShell_ISE.


Ejemplo

Cargar un mensaje de bienvenida en el perfil de usuario en PowerShell


Configuración del protocolo TCP/IP en un cliente de red

Cmdlets for TCP/IP Model Layers

Relación de las capas del modelo TCP/IP con PowerShell:

Capa física

La capa de red física especifica las características del hardware que se utilizará para la red. Por ejemplo, la capa de red física especifica las características físicas del medio de comunicaciones. La capa física de TCP/IP describe por ejemplo los estándares de hardware como IEEE 802.3 y la especificación del medio de red Ethernet.

Capa de Internet

La capa de Internet, también conocida como capa de red o capa IP, acepta y transfiere paquetes para la red. Esta capa incluye el potente Protocolo de Internet (IP), el protocolo de resolución de direcciones (ARP) y el protocolo de mensajes de control de Internet (ICMP).

Capa de transporte

La capa de transporte TCP/IP garantiza que los paquetes lleguen en secuencia y sin errores, al intercambiar la confirmación de la recepción de los datos y retransmitir los paquetes perdidos. Los protocolos de capa de transporte de este nivel son el Protocolo de control de transmisión (TCP) y el Protocolo de datagramas de usuario (UDP). El protocolo TCP proporciona un servicio completo y fiable. UDP proporciona un servicio de datagrama poco fiable.

Capa de aplicación

La capa de aplicación define las aplicaciones de red y los servicios de Internet estándar que puede utilizar un usuario. Estos servicios utilizan la capa de transporte para enviar y recibir datos.

Existen varios protocolos de capa de aplicación. En la lista siguiente se incluyen ejemplos de protocolos de capa de aplicación, algunos ejemplos son:

  • Servicios TCP/IP estándar como los comandos ftp, tftp y telnet.
  • Servicios de nombres, como NIS o el sistema de nombre de dominio (DNS).
  • Servicios de directorio (LDAP).

Configuración de la resolución de nombres

El sistema de nombre de dominio (DNS) es el servicio de nombres que proporciona Internet para las redes TCP/IP. DNS proporciona nombres de host al servicio de direcciones IP. También actúa como base de datos para la administración del correo.

Los cmdlets relacionados con DNS

El sistema de nombres de dominio​ (DNS, por sus siglas en inglés, Domain Name System) es un sistema de nomenclatura jerárquico descentralizado para dispositivos conectados a redes IP como Internet o una red privada. Este sistema asocia información variada con nombre de dominio asignado a cada uno de los participantes.

Realizar una consulta DNS

El cmdlet que sirve para realizar una consulta de resolución de nombres

Parámetros y alias de los parámetros para el cmdlet


Ejemplo

Resolver el dominio microsoft.com utilizando los servidores DNS


Ejercicios

Averiguar si una dirección IP es estática

Buscar direcciones IP en la red local mediante la resolución ARP y realizar una consulta DNS


Ver el contenido de la caché del cliente DNS

El cmdlet que sirve para ver el contenido de la caché del cliente DNS

Parámetros y alias de los parámetros para el cmdlet

Borrar el contenido de la caché del cliente DNS

El cmdlet que sirve para borrar el contenido de la caché del cliente DNS

Parámetros y alias de los parámetros para el cmdlet

Información sobre las direcciones IP del servidor DNS

El cmdlet que sirve para ver direcciones servidores DNS

Parámetros y alias de los parámetros para el cmdlet


Ejemplos

Obtener las direcciones IP del servidor DNS se configuran en todas las interfaces de un equipo

Ver las direcciones de los servidores DNS del adaptador Wi-Fi


Cambiar servidores DNS

El cmdlet que sirve para cambiar los servidores DNS

Parámetros y alias de los parámetros para el cmdlet


Ejemplo

Cambiar los servidores DNS


Habilitar DHCP para los servidores DNS

El cmdlet que sirve para habilitar el DHCP en DNS

Ficheros de configuración de red

Los sistemas operativos se pueden conectar a la red de diversas formas, lo primero que hay que tener en cuenta es el dispositivo que permite la conexión a la red y lo segundo cómo se configura dicho dispositivo.

Se pueden utilizar varios dispositivos para realizar una conexión, por ejemplo un modem (puede ser USB o no) con un cable RJ-11, una tarjeta de red con un cable RJ-45, una tarjeta inalámbrica, etc.

Los parámetros de configuración básicos para una red son la dirección IP, la máscara de red, la puerta de enlace (Gateway) y los DNS. Veamos brevemente que es cada parámetro:

  • La dirección IP (Internet Protocol, Protocolo de Internet) es un código que identifica a un interfaz como único, el interfaz es un dispositivo como una tarjeta de red, un punto de acceso, etc. Hay distintas versiones de direcciones IP:
    • La IPv4 está formada por un número binario de 32 bits, que normalmente se representa como 4 números en base decimal del 0 al 255, separados por puntos. Ejemplo: Dirección localhost en IPv4: 127.0.0.1
    • La otra versión es la IPv6 que son un número de 128 bits, representado en hexadecimal con 32 dígitos, separados por dos puntos en grupos de 4 dígitos. Ejemplo: Direccion localhost en IPv6: 0:0:0:0:0:0:0:1
  • La máscara sirve para saber si se deben enviar los datos dentro o fuera de las redes. Por ejemplo, si el sistema operativo tiene la IP 192.168.1.1 y máscara de red 255.255.255.0, entiende que todo lo que se envía a una IP que empiece por 192.168.1 va para la red local y todo lo que va a otras ips, para fuera (internet, otra red local mayor…).
  • Un Gateway (puerta de enlace) es un dispositivo que permite interconectar redes con protocolos y arquitecturas diferentes a todos los niveles de comunicación. Su propósito es traducir la información del protocolo utilizado en una red al protocolo usado en la red de destino. El valor de la puerta de enlace es otro de los valores que se deben indicar a la hora de configurar la conexión de red.
  • Los DNS son dirección IP que sirven para resolver los nombres de dominio FQDN (Fully Qualified Domain Names) y traducirlos a direcciones IPv4.

Los parámetros que acabamos de ver se pueden asignar de las siguientes formas:

  • Manual: La dirección IP se introduce mediante el teclado o cualquier otro dispositivo que lo permita.
  • Automáticamente: El servidor DHCP (Dynamic Host Configuration Protocol), asigna siempre la misma IP a un dispositivo.
  • Dinámicamente: El servidor DHCP asigna una IP del rango de direcciones que tiene disponible, la dirección IP puede coincidir.

Optimización de sistemas para ordenadores portátiles. Archivos de red sin conexión

En este apartado se describe cómo deshabilitar el almacenamiento en caché de Archivos sin conexión en carpetas individuales que se redirigen a recursos compartidos de red mediante Redirección de carpetas. Este proceso permite especificar las carpetas que se excluirán del almacenamiento en caché de forma local, lo que reduce el tamaño de la caché de Archivos sin conexión y el tiempo necesario para sincronizar Archivos sin conexión.