N

Administracin Windows Grupo de Trabajo

Administracin de Windows Grupo de Trabajo

SI

1. Concepto de Usuario y de Cuentas de Usuario

Como muchos otros SO, Windows XP permite tener un riguroso control de qu personas pueden entrar en el sistema para trabajar en l, y de qu forma pueden llevar a cabo dicho trabajo. Windows XP denomina usuario a cada persona que puede entrar en el sistema, y para poder controlar su entrada y sus acciones, utiliza bsicamente el concepto de cuenta de usuario. Una cuenta de usuario almacena toda la informacin que el sistema guarda acerca de cada usuario, es decir, es la imagen que el sistema tiene de l. En Windows XP son numerosos los datos que el sistema almacena en cada cuenta de usuario, y entre ellos los ms importantes son los siguientes: Nombre de usuario: es el nombre mediante el cual el usuario puede entrar en el sistema. Cada usuario debe tener un nombre de usuario distinto. Nombre completo: es el nombre completo del usuario. Contrasea: palabra cifrada que permite autenticar el nombre de usuario. En Windows XP la contrasea distingue entre maysculas y minsculas. Directorio de conexin: es el directorio donde, en principio, residirn los archivos personales del usuario. Horas de conexin: se puede controlar a qu horas un usuario puede conectarse para trabajar en el sistema. Inclusive se puede especificar un horario distinto para cada da de la semana. Cuando en un equipo se instala Windows XP, existen de entrada las cuentas de dos usuarios preinstaladas: el Administrador y el Invitado. Cuenta de Administrador: el nico que en principio posee lo que se denominan derechos administrativos en el sistema. Es decir, tiene la potestad de administrar el sistema en todos aquellos aspectos en que ste es configurable: usuarios, grupos de usuarios, contraseas, recursos, etc. La cuenta de Administrador no puede ser borrada ni desactivada. Es posible crear cuentas de usuario y darles los mismos derechos que la cuenta Administrador, aunque Administrador slo puede haber uno.

Administracin de Windows XP

SIMR

Cuenta de Invitado: es la que utilizan normalmente aquellas personas que no tienen un usuario propio para acceder al sistema. Habitualmente esta cuenta no tiene contrasea asignada, puesto que se supone que el nivel de privilegios asociado a ella es mnimo. En cualquier caso, el Administrador puede desactivarla si lo considera oportuno. Por defecto, en Windows XP Professional esta cuenta est desactivada y hagamos lo que hagamos no podremos asignarle una contrasea.

1.1. Cuenta de Administrador

Normalmente, la cuenta de Administrador no se muestra en la vista de la pantalla de bienvenida. Slo aparecer en dicha pantalla, en las siguientes ocasiones: No existe ninguna otra cuenta con derechos de administracin. Se ha iniciado el equipo en el modo a prueba de fallos (Presionando F8 durante el inicio). El Administrador tiene una sesin abierta y hemos usado cambio rpido de usuarios. Para conseguir entrar en el sistema como Administrador, debemos pasar a la pantalla de bienvenida clsica (pulsando CTRL + ALT + SUPR, dos veces, al iniciar el sistema en la pantalla de bienvenida), escribir ADMINISTRADOR como nombre de usuario, e introducir su contrasea. Muchos usuarios maliciosos intentan entrar con este nombre de usuario en cualquier sistema, intentando adivinar la contrasea. Es de vital importancia asegurarse de que la contrasea del Administrador no pueda ser fcilmente adivinada o encontrada por nadie. Como curiosidad, si ejecutamos el comando NET USER ADMINISTRADOR /RANDOM se genera una contrasea totalmente aleatoria. Cambiando el nombre de usuario podemos generar contraseas aleatorias para otros usuarios. Otra cosa que podemos hacer es cambiar el nombre de la cuenta administrador. Para ello, debemos abrir la consola SECPOL.MSC [MSC = Microsoft Console](Inicio | Ejecutar | SECPOL.MSC), disponible tambin en Panel de Control | Herramientas administrativas | Directivas de seguridad, y en la opcin de Directivas locales | Opciones de seguridad | Cuentas: cambiar el nombre de la cuenta de administrador. No 3

Administracin de Windows XP

SIMR

es nada recomendable cambiar de nombre esta cuenta, ya que existen muchos programas que esperan una cuenta con dicho nombre.

2. Grupos de usuarios
La informacin de seguridad almacenada en una cuenta de usuario es suficiente para establecer las restricciones que cada usuario debe poseer en el sistema. Si embargo, resultara muchas veces tedioso para el administrador determinar dichas restricciones usuario por usuario, especialmente en sistemas con un elevado nmero de ellos. El concepto de grupo de usuarios, permite agrupar de forma lgica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. Un usuario puede pertenecer a tantos grupos como sea necesario, poseyendo implcitamente la suma de los permisos de todos ellos. Esta forma de administrar la seguridad, es mucho ms flexible y potente que el establecimiento de permisos en base a usuarios individuales. Considrese, por ejemplo, que en una empresa un sistema es utilizado por empleados de distintos departamentos: contabilidad, marketing, recursos humanos, etc. El Administrador puede crear un grupo (llammosle Contables, por ejemplo) y asignar los permisos y derechos directamente al grupo. Posteriormente, se indica a todas las cuentas de usuario de dicho departamento que pertenezcan al grupo Contables. Si en algn momento, alguno de los empleados cambia de departamento, bastara cambiarlo de grupo. Al igual que existen cuentas preinstaladas, en todo sistema XP existen una serie de grupos preinstalados: Administradores, Duplicadores, Invitados, Operadores de configuracin de red, Operadores de copia, Usuarios avanzados, Usuarios, Usuarios de escritorio remoto, HelpServicesGroup. Administradores: tienen control total sobre el equipo o dominio. Puede: crear, modificar y eliminar cuentas; hacer cambios en todo el sistema; instalar programas y tener acceso a todos los archivos no privados. El Administrador, al ir creando las cuentas de los usuarios, puede hacer que cada una pertenezca al grupo o grupos que estime conveniente. Asimismo,

Administracin de Windows XP

SIMR

puede crear nuevos grupos que refinen esta estructura inicial, conforme a las necesidades particulares de la organizacin donde se ubique el sistema. Duplicadores: pueden duplicar archivos en un dominio. Invitados: tienen predeterminadamente el mismo acceso que los miembros del grupo Usuarios, excepto la cuenta Invitado que tiene ms restricciones. Operadores de configuracin de red: los miembros de este grupo pueden tener algunos privilegios administrativos para configurar caractersticas de la red. Operadores de copia: pueden hacer y restaurar una copia de todo el sistema. Usuarios: son los usuarios normales del sistema. No pueden instalar siempre programas. Dependiendo de los programas, algunos usuarios necesitarn privilegios de administrador para instalarlos. Adems es posible que programas diseados para SO anteriores a Windows XP, no funcionen correctamente con cuentas limitadas. El usuario puede: cambiar o quitar sus contraseas; cambiar su imagen, tema y otras configuraciones del escritorio; ver archivos creados; ver archivos en la carpeta Documentos compartidos. Usuarios avanzados: son usuarios con cierta capacidad administrativa. Se les permite cambiar la hora del sistema, crear cuentas de usuario y grupos, compartir ficheros e impresoras, etc. Usuarios de escritorio remoto: los usuarios de este grupo se les concede el derecho de iniciar sesin remotamente. HelpServicesGroup: grupo para el Centro de ayuda y soporte tcnico.

3. Gestin de Cuentas y Grupos de Usuario

Podemos crear, borrar y modificar cuentas de usuario en Windows XP usando varios programas distintos. Asistente para cuentas de usuario. Gestin de cuentas de usuario estilo dominio. Gestin de cuentas de usuario avanzada. Desde smbolo de comandos.

Administracin de Windows XP

SIMR

1.2. Asistente para cuentas de usuario

La herramienta Cuentas de usuarios, est disponible desde (Panel de Control | Cuentas de Usuario).

Para crear una cuenta nueva, hay que seguir los siguientes pasos: 1) Clic en Crear una nueva cuenta. 2) Escribir el nombre que deseamos utilizar para la cuenta. 3) Escoger el tipo de cuenta (Administrador de equipo o Limitada = Usuario). Para realizar cambios en una cuenta, hay que seguir los siguientes pasos: 1) Clic en Cambiar una cuenta. 2) Clic en la cuenta a cambiar. 3) Seleccionar el elemento a cambiar: a) Cambiar Nombre: para cambiar el nombre de la cuenta. b) Crear o cambiar la contrasea: para crear o cambiar la contrasea del usuario y para crear o cambiar la sugerencia de contrasea. Recordemos que una contrasea segura es aquella que incluye maysculas, minsculas, smbolos y nmeros.

Administracin de Windows XP

SIMR

Si no recordamos la contrasea, podemos solicitar al administrador del equipo que nos cree una nueva contrasea. Por motivos de seguridad, un administrador de equipo no puede recuperar una contrasea olvidada, slo puede crear una nueva contrasea. c) Cambiar la imagen: para cambiar la imagen utilizada para representar la cuenta de usuario. Se puede utilizar cualquier archivo. d) Cambiar el tipo de cuenta: para cambiar el tipo de cuenta (Administrador del equipo o Limitada) con el fin de aumentar o disminuir los permisos del usuario en el equipo. e) Borrar la cuenta: para borrar la cuenta de usuario del equipo. Cuando se borra una cuenta, tenemos la posibilidad de guardar el contenido del escritorio y la carpeta Mis Documentos, en una nueva carpeta llamada como el usuario, en el escritorio del equipo. Sin embargo, Windows no puede guardar los mensajes de correo electrnico, los Favoritos de Internet ni otras configuraciones de dicho usuario. No se puede borrar la cuenta de un usuario que ha iniciado sesin en el equipo actualmente.

1.3. Gestin de cuentas de usuario estilo dominio

Podemos tambin gestionar las cuentas de usuario, usando un programa gestor con estilo ms avanzado. Para acceder a dicho gestor, hay que ejecutar la siguiente orden desde (Inicio | Ejecutar), o bien desde una ventana del intrprete de comandos: CONTROL USERPASSWORDS2 Con este gestor de cuentas de usuario, tenemos un control mucho mayor sobre las cuentas de usuario que el que obtenemos con el asistente. La primera opcin que vemos en pantalla, Los usuarios deben escribir su nombre y contrasea para usar el equipo, nos permite indicar si queremos usar el sistema de usuarios y contraseas o no. Si lo desactivamos,

Administracin de Windows XP

SIMR

obtendremos un XP que se iniciar automticamente con la cuenta que indiquemos sin mostrar siquiera la pantalla de bienvenida. Obviamente, esta opcin slo debera usarse en ambientes domsticos donde slo un usuario usa el ordenador. Para crear cuentas de usuario usamos el botn agregar, para eliminar, quitar. Si seleccionamos una cuenta de usuario y pulsamos el botn propiedades, pasamos a la siguiente pantalla. Desde esta pantalla, podemos observar como podemos incluir al usuario en algn grupo, bien uno de los dos incluidos en el gestor (usuarios estndar y usuarios

restringidos) o bien seleccionando otro grupo como puede ser el de administradores. Vemos que este control de grupos es mucho ms amplio que el que nos ofrece el asistente, donde las opciones son usuarios administradores o usuarios restringidos.

Adems de que en esta opcin la cuenta de Administrador est visible.

1.4. Gestin de cuentas de usuario avanzada

La tercera opcin que tenemos para gestionar cuentas de usuario, es la opcin ms interesante de todas las que nos ofrece XP. Es el gestor avanzado de cuentas de usuario o consola de usuarios y grupos. Podemos llegar a dicha consola de varias formas: Desde la ventana anterior, pestaa (Opciones avanzadas | Administracin avanzada de usuarios). (Inicio | Ejecutar) LUSRMGR.MSC (Panel de Control | Herramientas Administrativas | Administracin de Equipos | Usuarios locales y grupos). 8

Administracin de Windows XP

SIMR

Lleguemos desde donde lleguemos, veremos que tenemos dos carpetas, una para los usuarios y otra para los grupos. Podemos crear usuarios nuevos accediendo a las propiedades de la carpeta usuarios (botn derecho sobre ella) y seleccionando la opcin de Usuario Nuevo. Podemos modificar un usuario accediendo a sus propiedades. Del mismo modo podemos crear nuevos grupos y modificar los ya existentes. Podemos tanto asignar a un usuario varios grupos, como asignar a un grupo varios usuarios. Por defecto, cuando se crea un usuario se asocia directamente al grupo usuarios.

1.5. Gestin de cuentas de usuario desde smbolo de comandos

La ltima opcin que tenemos para gestionar cuentas de usuario, es usar las rdenes del intrprete de comandos que se han creado para tal fin. NET USER: lista los usuarios del sistema. NET USER nombre_de_usuario: muestra informacin variada sobre dicha cuenta. NET USER nombre_de_usuario [contrasea] /ADD [parmetros]: aade una cuenta de usuario con el nombre nombre_de_usuario. Parmetros: /active:{yes | no}: habilita o deshabilita la cuenta de usuario. Si no est activa, el usuario no puede tener acceso a los recursos. La opcin predeterminada es yes. /expires:{dd/mm/aaaa | never}: provoca que la cuenta de usuario caduque si se especifica fecha. En el valor del mes, puede usarse nmeros, escribir el nombre o utilizar una abreviatura de tres letras 9

Administracin de Windows XP

SIMR

(ene, feb, mar, abr, may, jun, jul, ago, sep, oct, nov o dic). Puede usar dos o cuatro nmeros para el valor del ao. Se puede utilizar comas o barras diagonales para separar las partes de la fecha. /homedir:{ruta}: establece la ruta de acceso del directorio particular del usuario. Dicha ruta de acceso debe ser una ya existente. /passwordchg:{yes | no}: especifica si los usuarios pueden cambiar su contrasea. La opcin predeterminada es yes. /passwordreq:{yes | no}: especifica si una cuenta de usuario debe tener una contrasea. La opcin predeterminada es yes. /times:{dia[-dia], hora[-hora][;...] | all}: especifica las horas en las que se permite al usuario el uso del equipo. Para los valores de da, puede escribir el da o usar abreviaturas (L, Ma, Mi, J, V, S, D). Para las horas puede usar la notacin de 12 horas o de 24 horas. Para el formato de 12 horas, use am, pm, a.m. o p.m. El valor all significa que un usuario puede iniciar una sesin en cualquier momento. Un valor nulo (en blanco) significa que un usuario nunca puede iniciar la sesin. Se debe separar el da y la hora mediante comas y las unidades de da y hora con punto y coma (por ejemplo: L,4AM5PM;M,1AM-3PM). /workstations:{NomEquipo[,...] | *}: enumera hasta ocho estaciones de trabajo desde las que un usuario puede iniciar una sesin en la red. Si /workstations es igual a un *, el usuario puede iniciar una sesin desde cualquier equipo. NET USER nombre_de_usuario /DELETE: elimina la cuenta

nombre_de_usuario. Ejemplo: crea una cuenta de usuario para Enrique Prez, con derechos de inicio de sesin desde las 8 a.m. a 5 p.m. de lunes a viernes. Dicha cuenta debe disponer de una contrasea obligatoria (enriquep). Net user enrip enriquep /add /passwordreq:yes /times:L-V,8am-5pm Del mismo modo que podemos usar las rdenes del intrprete de comandos para gestionar cuentas de usuario, existen otras para trabajar con grupos.

10

Administracin de Windows XP

SIMR

NET LOCALGROUP: sin parmetros muestra el nombre del servidor y los nombres de los grupos locales del equipo.

NET LOCALGROUP nombre_de_grupo: muestra informacin variada sobre dicho grupo, como por ejemplo los miembros del mismo. NET LOCALGROUP nombre_de_grupo [miembro1 [, ...]] {/ADD | /DELETE}: enumera uno o varios nombres de usuarios o grupos que se agregarn o quitarn de un grupo local. Debe existir el grupo y los usuarios.

NET GROUP: agrega, muestra o modifica grupos globales en dominios. (Este tema se abordar con Windows 2003 Server)

En la propia ayuda de Windows XP podemos consultar sobre la orden NET USER para obtener una lista de todas sus posibilidades.

4. Contraseas en las cuentas de usuario

Windows XP tiene una caracterstica ciertamente molesta, en la instalacin y por defecto, crear cuentas con derechos de administrador y no les obligar a usar contraseas. Otra caracterstica, esta vez s adecuada, es que no permite a un usuario acceder a nuestro equipo con una conexin remota si elige un usuario que no tiene contrasea. Es obvio, que una de las primeras cosas que debemos hacer, es asignar correctamente las cuentas de usuario y las contraseas, y no dejar ninguna cuenta de usuario sin contrasea. Si queremos forzar an ms el uso de contraseas, podemos hacerlo ejecutando la consola de seguridad local SECPOL.MSC (Herramientas administrativas | Directivas 11

Administracin de Windows XP

SIMR

de seguridad local) y desde all colocar una serie de restricciones a las contraseas. As, si modificamos el valor de Longitud mnima de contrasea y ponemos algo mayor que 0, obligaremos a que cualquier cuenta de usuario nueva tenga que llevar contrasea, aunque sea de un nico carcter.

Almacena hasta 24 nuevas contraseas para una cuenta, de Historial de contraseas modo que se mejore la seguridad, garantizando que las contraseas antiguas no se vuelven a utilizar continuamente. Determina el n de das que puede utilizarse una contrasea Vigencia mxima de la para que el sistema exija al usuario que la cambie. Se puede contrasea establecer que las contraseas no caduquen nunca si se configura como 0 das. Determina el n de das que se debe utilizar una contrasea para que el usuario pueda cambiarla. Se puede permitir que se efecten cambios de forma inmediata si se configura como 0. Vigencia mnima de la Se debe configurar la duracin mnima de la contrasea con contrasea un valor mayor que 0 si se desea que Forzar historial de contraseas entre en vigor. Sin una duracin mnima de la contrasea, los usuarios pueden probar las distintas contraseas de forma repetida hasta obtener una contrasea favorita antigua. Las contraseas deben Si est habilitada esta directiva, las contraseas deben cumplir requerimientos complejidad. los cumplir los requisitos mnimos siguientes: de

No deben contener parte o todo el nombre de la cuenta del usuario.

12

Administracin de Windows XP

SIMR Tener seis caracteres de longitud, como mnimo. Estar compuesta por caracteres de tres de las siguientes categoras:
o o o o

Letras maysculas, de la A a la Z Letras minsculas, de la a a la z Dgitos en base 10, de 0 a 9 Caracteres no alfanumricos (ej. !, $, #, %)

Tambin es posible crear un disco para restablecer la contrasea, que nos crea un disco que inicia sesin en la mquina, an cuando nos olvidemos de nuestra contrasea. Obviamente, en dicho disco est la contrasea grabada, y es vital mantenerlo lo ms seguro posible.

Si no recordamos la contrasea de nuestra cuenta, la pista no nos vale, y no hemos creado un disco de rescate para la contrasea, estamos en un problema. Un administrador del sistema, podr asignarnos una nueva contrasea, pero perderemos todos los archivos cifrados que tuviramos en el equipo y todos los mensajes de correo electrnico que tuviramos asociados a dicha cuenta.

13

Administracin de Windows XP

SIMR

5. Permisos y derechos
La seguridad en XP se estructura en dos grandes niveles: por una parte, debe establecerse quin puede trabajar en el sistema, y para ello se utilizan los conceptos de cuenta de usuario y grupo de usuario. Por otra parte, debe establecerse qu puede hacer cada usuario/grupo. Para esto ltimo existen, a su vez, dos conceptos complementarios: los permisos y los derechos. Permisos: un permiso es el que nos permite acceder a un determinado recurso para realizar una accin en concreto, como puede ser imprimir en la impresora, borrar un fichero de una carpeta, formatear un disco, etc. Derechos: un derecho es el que nos permite realizar una accin sobre todo el sistema, como puede ser iniciar sesin en el sistema, o cambiar la hora del reloj del sistema. Otra diferencia es que, los permisos se asignan a los objetos y los derechos se aplican a las cuentas de usuario.

1.6. Permisos
El propietario de un recurso (o un Administrador) puede asignar permisos para ese recurso, mediante propiedades del men contextual de dicho recurso. Un Administrador establece permisos usando las directivas de seguridad locales, a la que puede accederse mediante las herramientas administrativas. Anteriormente hemos visto la consola SECPOL.MSC, desde la que podamos por ejemplo asignar longitudes mnimas a las contraseas. Esto es un derecho, dado que no se asigna a un usuario o a un recurso en concreto, sino que se asigna a todo el sistema. Si en una impresora indicamos que los Administradores pueden imprimir, estamos asignando un permiso, puesto que se lo asignamos a un recurso en concreto, y a un grupo de usuarios especfico. Para establecer permisos sobre los recursos de nuestro ordenador, tenemos que acceder a las propiedades del recurso, pestaa Seguridad. Desde esta pestaa podemos asignar los permisos que los usuarios del sistema tienen sobre ese recurso. (Si no vemos la pestaa seguridad en las propiedades del recurso, debemos desactivar la opcin Uso compartido simple de archivos a la que podemos llegar desde cualquier ventana de Mi 14

Administracin de Windows XP PC, men Herramientas | Opciones de carpeta | Ver y al final de la lista encontramos dicha opcin. Asimismo, esta pestaa de Seguridad slo puede activarse en carpetas que estn grabadas en volmenes que utilicen el sistema de ficheros NTFS, dado que FAT no presenta opciones de seguridad para los directorios. Antes de empezar a gestionar los permisos de seguridad de los recursos, debemos tratar un tema importante, el de la herencia de permisos. Todos los recursos que

SIMR

creemos van a heredar los permisos que tenga establecidos el recurso padre que contiene a dicho recurso. As, en el caso de que creemos un directorio, este hereda todos los permisos de su directorio superior. Esto se realiza as para simplificar la vida de los Administradores. Imaginemos que asignamos los permisos de una carpeta TRABAJO del sistema para que pueda ser usada por el usuario JUAN. Si este crea una carpeta NUEVA dentro de TRABAJO, Qu permisos tendr esa carpeta? Si no existiera la herencia, el Administrador debera revisar todos los permisos de todas las carpetas del sistema. Como los recursos heredan los permisos, la carpeta NUEVA heredar los permisos de TRABAJO, por lo que JUAN podr seguir usando dicha carpeta. Si entendemos bien la herencia, veremos como en realidad todas las nuevas carpetas que creemos van a heredar los permisos de la raz de los volmenes. Es decir, todas las carpetas que creemos en el volumen C: van a tener los permisos de C:\. Si vemos los permisos de seguridad de la carpeta raz de cada volumen, veremos como el grupo Administradores tiene control sobre todas ellas, de modo que Administradores va heredando el control de todas las nuevas carpetas. En el cuadro de dilogo anterior, pestaa seguridad, los permisos que aparecen en gris es que estn heredados.

15

Administracin de Windows XP

SIMR

Y si alguna vez queremos interrumpir la herencia? Es decir, queremos crear una carpeta y que esta no herede los permisos de la carpeta superior. Para ello, debemos crear la carpeta, y una vez creada entrar en las propiedades de la misma, ir a la pestaa Seguridad y pulsar el botn Opciones Avanzadas. Una vez en el nuevo formulario veremos que existen dos opciones en la pestaa Permisos referente a la herencia. La primera de ellas, que debe estar marcada indica Heredar del objeto principal las entradas de permisos relativas a los objetos secundarios. Incluirlas juntos con las entradas indicadas aqu de forma explicita. Si desmarcamos esta casilla, romperemos la herencia para esta carpeta, con lo que podremos eliminar y modificar permisos de la carpeta actual. La segunda casilla, que debe estar desmarcada por defecto, indica Reemplazar permisos en las todos entradas los de

objetos

secundarios con aquellas entradas incluidas aqu y que sean relativas a los objetos secundarios. esta Si

activamos

casilla,

conseguiremos que al modificar los permisos de esta carpeta, tambin se modifiquen automticamente los

permisos de todas las carpetas que estn por debajo de la nuestra. Cuando deseleccionamos la primera casilla, la de Heredar del objeto principal el sistema nos presentara un formulario de opciones, donde nos preguntar si queremos Copiar los permisos anteriores o Quitarlos. Si elegimos copiar, la carpeta quedar con los mismos permisos que hered,

aunque ya sern modificables. Si seleccionamos Quitar, se perdern todos los permisos de la carpeta

16

Administracin de Windows XP heredados y empezaremos desde cero.

SIMR

Dependiendo de los permisos que se le asignen a cada usuario, este podr realizar o no determinadas acciones. En la mayora de los casos, los permisos convencionales no gestionan correctamente los recursos, es decir, con el detalle necesario. Para mejorar dicha gestin existen los permisos especiales o efectivos. Al establecer permisos convencionales, automticamente se activan una serie de permisos especiales, los cuales pueden modificarse. Para consultar los

permisos especiales que tiene asociado un usuario recurso, en un

determinado

basta

consultar la pestaa de permisos efectivos y buscar al usuario o grupo pertinente. Esta pestaa es de slo lectura. Si por el contrario se desea modificar dichos permisos, habr que utilizar la pestaa permisos, se podr agregar, quitar o modificar. Los permisos especiales se pueden aplicar a carpetas y a archivos independientemente, como veremos en la prctica que viene a continuacin. La siguiente tabla muestra, en las columnas, las distintas acciones que se pueden realizar, y en las filas los permisos especiales que hay que tener activos para poder llevarlas a cabo. As por ejemplo, para poder leer una carpeta o archivo, habr que tener activados los siguientes permisos especiales Listar carpeta/Leer datos. Atributos de lectura. Atributos extendidos de lectura. Leer permisos.

17

Administracin de Windows XP

SIMR

Permiso

Descripcin

El permiso Recorrer carpeta permite o deniega el movimiento por las carpetas para llegar a otros archivos o carpetas, incluso si el usuario no tiene permisos para las Recorrer carpeta o carpetas recorridas (slo afecta a carpetas). ejecutar archivo El permiso Ejecutar archivo permite o deniega la ejecucin de archivos de programa (slo afecta a archivos). El permiso Mostrar lista de carpetas permite o deniega ver nombres de archivos y subcarpetas de la carpeta. Este permiso slo afecta al contenido de esa carpeta (slo afecta a carpetas). El permiso Leer datos permite o deniega la vista de datos en archivos (slo afecta a archivos). Permite o deniega la vista de los atributos de un archivo o carpeta, como slo lectura y oculto. Permite o deniega la vista de atributos extendidos de un archivo o carpeta. Los atributos extendidos se definen mediante programas y pueden variar segn el programa. El permiso Crear archivos permite o deniega la creacin de archivos dentro de la carpeta (slo afecta a carpetas). El permiso Escribir datos permite o deniega la realizacin de cambios en el archivo y la sobrescritura del contenido existente (slo afecta a los archivos).

Mostrar lista de carpetas o leer datos

Leer atributos Leer atributos extendidos

Crear archivos o escribir datos

18

Administracin de Windows XP

SIMR

El permiso Crear carpetas permite o deniega la creacin de carpetas dentro de la carpeta (slo afecta a las carpetas). Crear carpetas o agregar datos El permiso Agregar datos permite o deniega la realizacin de cambios al final del archivo pero no el cambio, eliminacin ni sobrescritura de los datos existentes (slo afecta a los archivos). Permite o deniega el cambio de los atributos de un archivo o de una carpeta, como slo lectura y oculto. Escribir atributos El permiso Escribir atributos no implica la creacin o eliminacin de archivos o carpetas, slo incluye el permiso para realizar cambios en los atributos de un archivo o carpeta. Permite o deniega el cambio de los atributos extendidos de un archivo o carpeta. Los atributos extendidos se definen mediante programas y pueden variar segn el programa. El permiso Escribir atributos extendidos no implica la creacin o eliminacin de archivos o carpetas, slo incluye el permiso para realizar cambios en los atributos de un archivo o carpeta. Permite o deniega la eliminacin de subcarpetas y archivos, incluso si no se ha otorgado el permiso Eliminar en la subcarpeta o archivo. (afecta a carpetas)

Escribir atributos extendidos

Eliminar subcarpetas y archivos Eliminar

Permite o deniega la supresin del archivo o de la carpeta. Si no ha obtenido el permiso Eliminar en un archivo o carpeta, podr eliminarlo si se le ha otorgado el permiso Eliminar subcarpetas y archivos en la carpeta principal. Permite o deniega la lectura de los permisos del archivo o carpeta, como Control Permisos de lectura total, Leer y Escribir. Permite o deniega el cambio de los permisos del archivo o carpeta, como Control Cambiar permisos total, Leer y Escribir. Permite o deniega la toma de posesin del archivo o de la carpeta. El propietario de un archivo o de una carpeta siempre puede cambiar los permisos que protegen al Tomar posesin archivo o a la carpeta.

Los grupos o los usuarios que tienen permisos Control total para una carpeta pueden eliminar archivos y subcarpetas (siempre que no tengan contenido) de dicha carpeta, cualesquiera que sean los permisos que protegen a los archivos y las subcarpetas.

6. Compartir recursos
Cuando trabajamos en una red local, una posibilidad que tenemos es la de compartir nuestros recursos en red, bien sean estos una carpeta o directorio de nuestro sistema, nuestra impresora, una unidad de CD, etc. Esta posibilidad de compartir recursos conlleva la necesidad de usar un mtodo para poder controlar los usuarios y decidir qu van a poder hacer sobre los mismos.

19

Administracin de Windows XP

SIMR

Windows XP no utiliza el control de acceso a los recursos mediante contrasea, sino que opta por implementar el control de acceso a los usuarios. Esto significa que cuando creamos un recurso compartido no indicamos ninguna contrasea, sino que indicamos directamente a qu usuarios quiero dar permisos sobre dicho recurso, que permisos quiero asignar a cada usuario, etc. Vemos como la gestin de los permisos en los recursos compartidos es muy parecida a la gestin de los permisos que hemos tratado anteriormente para los recursos locales. Windows XP al instalarse, activa un asistente automtico que oculta al usuario todos los aspectos de seguridad que vimos anteriormente, y tambin oculta todo el tema de recursos compartidos que estamos viendo. Este asistente es conocido como uso compartido simple de archivos y aunque es muy cmodo de utilizar conjuntamente con el asistente de redes locales, no es vlido para gestionar un equipo que no sea domstico ya que no proporcionamos ningn tipo de seguridad. Windows ofrece dos modos totalmente distintos de compartir recursos y gestionar la seguridad, este asistente del que hablamos y el modo normal. Usando el Simple File Sharing Uso Compartido Simple de Archivos se pueden compartir recursos de una forma muy simple (por ejemplo, compartir nuestra impresora solo requerir marcar una casilla), pero perdemos la flexibilidad inherente a los permisos y derechos exhaustivos. Usando el modo normal, debemos asignar los permisos para cada recurso compartido (Permisos en red), indicando que usuarios o grupos tendrn acceso a dicho recurso, y limitando las posibilidades de uso de cada uno de ellos. Tambin debemos gestionar la seguridad para cada recurso local (Permisos locales). Es decir, si nuestros archivos y directorios se encuentran en una particin NTFS, stos tendrn unos permisos establecidos, al margen de estar compartidos. Por el echo de estar compartidos, es posible establecer un filtro desde la ventana Compartir..., pero entonces slo los usuarios que puedan pasar ambos filtros (Permisos en red y locales) podrn acceder al directorio compartido. En este caso se recomienda lo siguiente: Cuando se comparte un directorio que reside en una particin NTFS, se recomienda dejar Control Total o Cambiar sobre Todos en los permisos 20

Administracin de Windows XP asociados al recurso compartido, y controlar quin y cmo puede acceder al recurso y a su contenido mediante los permisos asociados a dicho directorio y a sus archivos y subdirectorios.

SIMR

Esta recomendacin es muy til, si tenemos en cuenta que de esta forma, para cada archivo y directorio del sistema, no utilizamos dos grupos de permisos sino uno slo, independientemente de que el archivo o directorio est o no compartido. Esta forma de trabajar obliga al administrador a asociar los permisos correctos a cada objeto del sistema, aunque no estn compartidos, pero por otra parte se unifica la visin de seguridad de los archivos, con lo que a la larga resulta ms segura y ms sencilla. Adems hay que tener en cuenta lo siguiente: Si un usuario ha iniciado una sesin interactiva (local) en un ordenador denominado A, y desea conectarse a un recurso de red que exporta otro ordenador denominado B, adems de poseer los permisos suficientes sobre el recurso, sobre el propio directorio y sobre su contenido, tiene

21

Administracin de Windows XP que tener concedido en B el derecho de acceder a este equipo desde la red.

SIMR

Por ltimo, al margen de los recursos que el administrador desee compartir, se comparten por defecto otros recursos para usos del propio sistema y administrativos. Estos recursos no deben modificarse ni prohibirse:

Letra_de_unidad$: por cada particin existente en el sistema (C:, D:, etc.) se crea un recurso compartido denominado C$, D$, etc. Los administradores y los operadores de copia pueden conectarse por defecto a estas unidades.

En relacin con los nombres de estos recursos, es interesante saber que aadir el carcter $ al final de cualquier nombre de recurso tiene un efecto especfico: prohbe que dicho recurso se visualice dentro de la lista de recursos que una mquina exporta al resto. Es decir, convierte un recurso en invisible para el resto del mundo. En este caso, un usuario remoto slo podr conectarse al recurso si conoce su nombre de antemano (y tiene suficientes permisos, obviamente). Antes de comenzar a compartir recursos, es aconsejable asegurarnos de que la cuenta de usuario Invitado est desactivada, ya que podra ser usada por algunos usuarios para entrar en nuestras carpetas compartidas sin necesidad de contrasea. Aunque no tendran ningn permiso sobre dichas carpetas, siempre es un riesgo innecesario. Para compartir recursos, debemos hacer clic en dicho recurso con el Botn derecho | Propiedades | Compartir y seguridad. Si esta opcin no est disponible o los 22

Administracin de Windows XP

SIMR

recursos no son visibles remotamente, debemos controlar los siguientes aspectos (algunos de ellos ya han sido comentados). Si alguno de ellos falla, los recursos no sern visibles: Desactivar la opcin Uso simple de archivos compartidos. Los equipos que participen deben pertenecer al mismo Grupo de trabajo. Misma Subred. No duplicar Direcciones IP. Servicio Servidor iniciado. Sistema de archivos NTFS. Misma Cuenta de usuario con Contrasea en el equipo remoto. Derecho Tener acceso a este equipo desde la red En las propiedades de la conexin de red, activar Compartir impresoras y archivos para redes Microsoft. En el Firewall activar Compartir archivos e impresoras.

Vamos a compartir una carpeta, y veremos los pasos que hay que dar: Como vemos, podemos darle al recurso compartido un nombre propio, que ser el que aparezca en la red. No hay que usar forzosamente el nombre de la carpeta. Tambin podemos usar un comentario que ser visible desde la red, para indicar que uso le damos a dicho recurso. Podemos establecer tambin aqu el nmero mximo de usuarios que queremos que usen el recurso. La opcin por defecto (Mximo permitido) va a permitir que hasta 10 usuarios estn conectados a este recurso al mismo tiempo. (Si necesitamos que accedan ms de 10 usuarios, debemos usar una versin servidora de Windows). Vemos como en este formulario tenemos la opcin de establecer permisos especiales para este recurso. Vemos aqu las opciones que por defecto deja Windows XP al compartir un recurso. En nombres de grupos o usuarios deja Todos, con lo cual todos los usuarios que estn dados de alta en nuestra mquina podrn usar dicho recurso desde la red (si un usuario intenta usar dicho recurso y no tiene una cuenta asociada en nuestro Windows XP con su nombre y contrasea no podr). 23

Administracin de Windows XP

SIMR

Ya se ha comentado cmo la forma ms adecuada de realizar la asignacin de permisos. Hay que prestar atencin a algo que acabamos de comentar, y con lo que se suelen tener muchos problemas. Cualquier usuario que quiera acceder a un recurso nuestro desde la red, debe usar un nombre de usuario y una contrasea local de nuestro equipo. Hablando de otro modo, Windows XP no permite el acceso ANNIMO a un recurso. (Se denomina ANNIMO cuando nuestro equipo no reconoce el nombre y la contrasea del usuario que intenta acceder a nuestro equipo).

7. Perfiles de Usuario
El perfil de usuario contiene todas las caractersticas y ficheros que forman parte del entorno de trabajo de un usuario. Esto incluye los parmetros especiales de ese usuario en el registro del sistema para multitud de aspectos, desde el aspecto del cursor del ratn, a la forma en que configura el Word, las cookies que utiliza, los favoritos de Internet, sus carpetas de documentos, accesos directos a carpetas de red, etc. Por defecto, cada usuario que inicia sesin en nuestra mquina cuenta con un perfil de usuario, que se crea cuando dicho usuario inicia sesin por primera vez en nuestra mquina. Los perfiles de usuario locales se almacenan bajo la carpeta DOCUMENTS AND SETTINGS, que se crea en el mismo volumen donde instalamos Windows XP, y en una carpeta con el nombre de la cuenta del usuario. Podemos usar la variable de entorno %SystemDrive% que indica en que volumen se instal Windows XP. La variable %UserName% nos devuelve el nombre de usuario actual, con lo que nuestro perfil estar almacenado en %SystemDrive%\Documents And

Settings\%UserName%. Toda esta ruta esta tambin almacenada en una variable de entorno que es la de %UserProfile%. Dentro de cada perfil de usuario, encontramos una jerarqua de directorios o carpetas. El raz de dicho perfil (es decir, la carpeta dentro de Documents And Settings que tiene como nombre el nombre del usuario) contiene un fichero NTUSER.DAT, que contiene la porcin de informacin del registro del sistema inherente a dicho usuario.

24

Administracin de Windows XP Dentro del perfil se incluyen las siguientes carpetas:

SIMR

Datos de programa: esta carpeta oculta contiene datos especficos para programas, como los diccionarios de los procesadores de textos, bases de datos de los CDs, certificados de Internet Explorer, etc. La informacin que se almacena en esta carpeta depende de los programas.

Cookies: esta carpeta contiene las cookies del Internet Explorer. (Galletas, pequeos ficheros de textos usados por las pginas Web para proporcionar diversos servicios).

Favoritos: los favoritos del Internet Explorer. Configuracin Local: esta carpeta oculta contiene configuraciones y ficheros que no se mueven con el perfil del usuario, bien porque son especficos de la mquina local o porque son excesivamente grandes y no merece la pena ser mantenidos junto con el perfil. Por ejemplo, aqu se encuentran los histricos de Internet Explorer, los ficheros temporales del mismo, etc.

Mis Documentos: esta carpeta es la que realmente se usa, cuando en cualquier programa almacenamos algo en la carpeta Mis Documentos. As, si en un programa almacenamos algo en Documentos de Ana, por ejemplo, lo estamos almacenando en la carpeta Mis Documentos del perfil Ana. Si almacenamos algo en Mis Documentos directamente, lo estamos almacenando en la carpeta Mis Documentos del perfil del usuario actual.

25

Administracin de Windows XP

SIMR

Entorno de Red: tenemos aqu los accesos directos que aparecen en Mis sitios de Red.

Impresoras: tenemos aqu accesos directos a impresoras y faxes. Documentos Recientes: accesos directos a los ltimos documentos con los que hemos trabajado.

SendTo: esta carpeta contiene accesos directos a las carpetas y aplicaciones que aparecen en el men contextual de un objeto en el explorador de archivos, bajo la opcin Enviar a.

Men Inicio: esta carpeta contiene los objetos personales (como accesos directos a aplicaciones y documentos) que vemos aparecer en el Men Inicio.

Plantillas: tenemos aqu accesos directos a plantillas de documentos. Estas plantillas son usadas por el comando Nuevo en Windows Explorer.

Escritorio: tenemos en esta carpeta los accesos directos que se muestran en el escritorio del usuario.

1.7. Perfiles comunes

En la carpeta de perfiles (%SystemDrive%\Documents And Settings) podemos encontrar dos perfiles que no estn asociados a ninguna cuenta de usuario en particular. Estos son All Users (Todos los usuarios) y Default User (Usuario por defecto). La carpeta Default User est oculta.

Perfil All Users. El contenido de este perfil, se aade a los contenidos de los perfiles de cada usuario. Por ejemplo, si ponemos algn acceso directo en All Users\Escritorio, este acceso les aparecer a todos nuestros usuarios en sus escritorios. Por defecto, solo los administradores pueden aadir objetos al escritorio y al men inicio del perfil All Users. Sin embargo, todos los usuarios pueden aadir objetos en la carpeta de documentos compartidos. 26

Administracin de Windows XP

SIMR

Perfil Default User. Cuando un usuario inicia sesin en nuestro sistema por primera vez (y no tiene un perfil mvil u obligatorio), Windows crea un nuevo perfil local para dicho usuario, copiando el contenido de la carpeta Default User a una nueva carpeta con el nombre del usuario. Por lo tanto, podemos configurar los perfiles de nuestros nuevos usuarios, modificando el contenido de la carpeta Default User. Por defecto, slo los administradores pueden hacer cambios en esta carpeta. Es interesante conocer bien el funcionamiento de estos perfiles especiales, ya que pueden simplificar enormemente la vida a los administradores. Podemos, por ejemplo, incluir enlaces directos a las pginas Web de la empresa, a documentos donde se expliquen las caractersticas de seguridad que se han de seguir, etc. Hay que tener cuidado con un error que se suele cometer con los permisos de los ficheros al usar estos perfiles. Si copiamos un fichero a la carpeta de perfil para Default User, este fichero obtiene los permisos de la carpeta. Sin embargo, si movemos un fichero a la carpeta de perfil para Default User, este fichero conserva sus permisos propios. Esto hace que si como administrador creamos un fichero y lo movemos a la carpeta Default User (o a cualquier carpeta en realidad) este fichero nos pertenecer a nosotros, y es muy probable que el usuario no tenga permiso ni siquiera para verlo.

1.8. Tipos de perfiles

Windows admite tres tipos distintos de perfiles. Perfiles de usuarios locales: son los que se almacenan en

%SystemDrive%\Documents And Settings en el disco duro local. Si un usuario cambia algo en su perfil, esos cambios slo se registran en nuestra mquina local, como es obvio. Es el nico tipo de perfil usado si no estamos en un dominio. Perfiles de usuario mviles: estos perfiles no se almacenan en el disco duro local de la mquina, sino en un servidor de red. Esto implica que esos perfiles estn disponibles para los usuarios sin importar en que mquina abran sesin, siempre que dichas mquinas tengan acceso a ese servidor. El perfil se encuentra almacenado en un servidor, de modo que al iniciar sesin se copia dicho perfil a la mquina en la que se encuentre el usuario. Si el usuario modifica algo del perfil, dichos cambios son introducidos tambin en

27

Administracin de Windows XP

SIMR

el servidor. Estos perfiles mviles pueden ser utilizados si contamos con un servidor en la red. Perfiles de usuario obligatorios: estos perfiles slo pueden ser cambiados por los administradores. Inicialmente, es igual que un perfil de usuario mvil, ya que el perfil se encuentra almacenado en un servidor, y se crea una copia de dicho perfil en la mquina en la que el usuario inicia sesin. Pero a diferencia el perfil mvil, los cambios que el usuario efecte en su perfil no se copian en el servidor. Es decir, aunque el usuario puede cambiar su perfil una vez abierta sesin, la prxima vez que inicie otra sesin ver que no se han almacenado ninguno de los cambios que ha introducido. Una ventaja de los perfiles de usuario obligatorios, es que pueden ser usados por mltiples usuarios sin que se afecten los unos a los otros. Obviamente, el administrador si puede modificar estos perfiles como le parezca.

1.9. Asignacin de Perfiles Mviles y Obligatorios

Normalmente, cuando creamos una nueva cuenta de usuario su perfil se crea automticamente la primera vez que dicha cuenta de usuario inicia sesin en nuestro sistema. Sin embargo, como Administrador del sistema podemos asignar directamente un perfil a una cuenta de usuario. Para ello debemos entrar en Herramientas Administrativas | Administracin de Equipos o podemos ejecutar LUSRMGR.MSC directamente desde una instancia del intrprete de comandos. Si desde all escogemos un usuario y hacemos doble clic, veremos como nos aparecen las propiedades de dicho usuario, y tenemos una pestaa para gestionar su perfil. Desde este formulario, podemos configurar lo siguiente: Ruta de acceso al perfil: para habilitar un perfil de usuario mvil u obligatorio para la cuenta de usuario seleccionada, debe escribir una ruta de acceso de red con el formato \\nombre del servidor\nombre de la

carpeta de perfiles\nombre de usuario. Por ejemplo,

28

Administracin de Windows XP

SIMR

\\servidordam\perfiles\juan. Hay que tener en cuenta que el usuario que use el perfil debe tener derechos totales sobre dicha carpeta. Archivo de comandos de inicio de sesin: aqu podemos colocar el nombre y localizacin de un fichero de comandos (Script) que se ejecutar cada vez que el usuario inicie sesin. Si la secuencia de comandos de inicio de sesin se encuentra en un subdirectorio de la ruta de acceso predeterminada, bastar con indicar la ruta de acceso relativa delante del nombre de archivo. Por ejemplo, para almacenar la secuencia de comandos de inicio de sesin Startup.bat guardada en \\ComputerName\Netlogon\FolderName, escribir lo siguiente en Secuencia de comandos de inicio de sesin:

FolderName\Startup.bat Carpeta particular (Home). Ruta de acceso local: la carpeta particular (Home) es una carpeta en la que el usuario puede almacenar sus ficheros y programas. Aunque la mayora de los programas usan la carpeta Mis Documentos para almacenar los ficheros del usuario, podemos necesitar crear una carpeta alternativa para dicho usuario. Carpeta particular (Home). Conectar: desde aqu podemos asignar una letra de unidad a un recurso compartido en red de otro equipo, de modo que creamos la carpeta Home del usuario en otro equipo de la red. El Script de inicio de sesin, es un programa que se ejecuta automticamente cada vez que el usuario inicia sesin en nuestra mquina. Cualquier fichero ejecutable (bat, cmd, vbs, js, exe, com..) puede ser usado como Script de inicio. Normalmente estos scripts se pueden utilizar para conectarnos a sitios de red, para iniciar ciertos programas de control, etc. Este es simplemente uno de los sitios donde podemos obligar a las cuentas de usuario a ejecutar un programa, en XP tenemos varios lugares ms desde donde hacer esto. Podemos obligar a que se ejecuten programas cuando un usuario inicia sesin, cuando la cierra, cuando se enciende el sistema, cuando se apaga, a intervalos de tiempo, a horas programadas, etc. Toda esta gestin de perfiles que hemos visto, slo funciona adecuadamente si estamos unidos a un dominio. En un mbito de grupo de trabajo, no es recomendable trabajar con perfiles que no sean locales. 29

Administracin de Windows XP

SIMR

8. Directivas de Grupo
Las directivas de grupo forman parte de la estructura de los sistemas Windows a partir de Windows 2000. En estos sistemas, las polticas de grupo son una herramienta muy poderosa que permite a los administradores configurar equipos de forma local o remota, instalando aplicaciones, restringiendo los derechos de los usuarios, eliminando aplicaciones, instalando y ejecutando scripts, y redirigiendo carpetas del sistema a red o viceversa. Pero tambin tienen utilidad las polticas de grupo en entornos pequeos, incluso en una sola mquina. Usando las polticas de grupo en una mquina corriendo Windows XP, podemos: Modificar polticas que se encuentran en el registro del sistema: el registro del sistema es una gran base de datos en la que se configuran cientos de comportamientos de Windows XP. Desde las polticas de grupo podemos acceder a estas caractersticas y modificarlas, de una forma mucho ms simple que mediante la edicin pura del registro. Asignar scripts que se ejecutaran automticamente cuando el sistema se encienda, se apague, un usuario inicie sesin o cierre sesin. Especificar opciones especiales de seguridad.

Si estamos trabajando bajo un dominio (con un servidor en la red administrando dicho dominio) las polticas de grupo cobran mayor protagonismo. En un ambiente de grupo de trabajo, las polticas de grupo de cada mquina, controlan los aspectos nicamente de dicha mquina. El aadido (snap-in) de las consolas de Microsoft (MMC) que se encarga de las directivas de grupo es el GPEDIT.MSC (Inicio | Ejecutar | gpedit.msc). Para poder trabajar con el gpedit.msc necesitamos estar usando una cuenta de usuario que pertenezca al grupo Administradores. En caso contrario se muestra un mensaje de error. Esta consola es muy configurable, permitindonos aadir y quitar opciones segn deseemos. De momento, vamos a trabajar con las opciones que aparecen por defecto.

30

Administracin de Windows XP

SIMR

Si nuestro equipo esta unido a un dominio, podemos configurar directivas del dominio completo, que afectaran a varias mquinas. Sin embargo, nos vamos a centrar aqu en las directivas locales, ya que no estamos trabajando en un dominio de momento. Principalmente, veremos que dentro las directivas de grupo locales tenemos dos opciones:

Los cambios que realicemos dentro de Configuracin del equipo se aplicarn al equipo local, y por lo tanto, afectarn a todos los usuarios del equipo local, independientemente de quin inicie una sesin en ellos. Si accedemos desde el Panel de Control | Herramientas Administrativas | Directivas de Seguridad Local, estas son las directivas que se pueden gestionar, ya que no estamos trabajando con dominios. Los cambios que realicemos dentro de la Configuracin del usuario, afectarn a usuarios, sin importar desde que equipos se conecten. (De nuevo estamos viendo que aqu nos referimos a un dominio) Algunas directivas aparecen tanto en la configuracin del equipo como en la configuracin del usuario. En caso de conflicto, la configuracin del equipo siempre tiene preferencia.

31

Administracin de Windows XP

SIMR

1.10. Configuracin del equipo

(Configuracin de Windows | Configuracin de seguridad | Directivas locales | Opciones de seguridad) Opciones de seguridad Descripcin

Apagado: permitir apagar el sistema sin tener que Determina si un equipo puede apagarse sin tener que iniciar sesin. iniciar sesin Cuentas: cambiar el Permite asociar, a la cuenta Administrador, un nombre de cuenta nombre de la cuenta diferente. administrador Cuentas: cambiar el nombre de la cuenta Permite asociar, a la cuenta Invitado, un nombre de cuenta diferente. invitado Cuentas: estado de cuenta Administrador Cuentas: estado cuenta Invitado de la Determina si la cuenta de Administrador est habilita o no. Deshabilitarla puede acarrear problemas de mantenimiento. la Determina si la cuenta de invitado est habilitada o no. Para que un equipo imprima en una impresora en red, en el equipo local debe estar instalado el controlador de la impresora de red. Esta opcin determina a quin se le permite instalar el controlador de impresora, en el proceso de agregar una impresora en red.

Dispositivos: impedir que los usuarios instalen controladores de impresora

Dispositivos: permitir Determina quin tiene permiso para formatear y expulsar medio formatear y expulsar extrables. medios extrables Determina si los usuarios locales y remotos tiene acceso a un CD-ROM Dispositivos: restringir el simultneamente. acceso al CD-ROM slo al usuario con sesin iniciada Si se habilita esta directiva, slo se permite a los usuarios con inicio de sesin interactiva el acceso al CD-ROM. Si nadie ha iniciado una sesin localmente interactiva, se puede tener acceso a travs de la red. Inicio de sesin Determina si se muestra en la pantalla de inicio de sesin el nombre del interactivo: no mostrar el ltimo usuario que inici sesin en el equipo. ltimo nombre de usuario Inicio de sesin Determina si se debe presionar Ctrl. + Alt + Supr para que un usuario interactivo: no requerir pueda iniciar sesin. Ctrl. + Alt + Supr Inicio de sesin interactivo: pedir al Determina con cuntos das de antelacin se debe avisar a los usuarios usuario cambiar la de que la contrasea va a caducar. contrasea antes de que caduque

32

Administracin de Windows XP

SIMR

Para modificar el estado o configuracin de una directiva, simplemente tenemos que realizar doble clic sobre dicha directiva para que nos aparezca el cuadro de dilogo que nos permite modificar dicha directiva.

Si escogemos la pestaa Configuracin, veremos como podemos: No configurado, con lo que se comportar segn el criterio por defecto para dicha directiva. Habilitado, con lo que la pondremos en marcha en el sistema. Deshabilitado, con lo que impediremos que se ponga en marcha dicha directiva. En algunas directivas, como la que se presenta en el ejemplo, existen algunas configuraciones ms que podemos realizar aparte de habilitar o deshabilitar la directiva. Hay que tener cuidado en leer muy bien la directiva y su explicacin antes de modificarla, ya que podemos entender justo lo contrario de lo que hace. Por ejemplo, si habilitamos la directiva que deshabilita el contenido extra en el escritorio, estamos deshabilitando dicha opcin.

33

Administracin de Windows XP

SIMR

1.11. Configuracin del usuario

(Plantillas administrativas | Sistema) Sistema Descripcin
Impide que los usuarios ejecuten el smbolo interactivo del sistema CMD.EXE. Impedir el acceso al smbolo del sistema Es posible impedir el acceso pero no la ejecucin de archivos .BAT. Si queremos que estos tampoco sean ejecutables hay que responder afirmativamente a la pregunta Desactivar tambin el procesamiento de secuencias de comandos del smbolo del sistema? Deshabilita el REGEDIT.EXE. editor del Registro de Windows,

Impedir el acceso a herramientas de edicin del Registro

Para impedir que los usuarios utilicen otras herramientas administrativas, utilizar la configuracin Ejecutar slo aplicaciones permitidas de Windows. Si se habilita esta configuracin, los usuarios slo podrn ejecutar los programas que agreguemos a la lista de aplicaciones permitidas.

Ejecutar slo aplicaciones permitidas de Windows

Esta configuracin slo impide que los usuarios ejecuten programas que se inician desde el Explorador de Windows. No impide que ejecuten programas como el Administrador de tareas, que se inicia con el proceso del sistema o por otros procesos. Asimismo, si los usuarios tienen acceso al smbolo del sistema, esta configuracin no les impedir que inicien programas desde la ventana de comandos, aunque lo tengan prohibido desde el Explorador de Windows. Impide que Windows ejecute los programas que le especifiquemos. Esta directiva debera utilizarse en lugar de la anterior. Desactiva la funcin de reproduccin automtica.

No ejecutar aplicaciones de Windows especificadas

Desactivar reproduccin automtica

El valor predeterminado es deshabilitado en unidades extrables, tales como la unidad de disco, pero no en la unidad de CD-ROM. NOTA: esta configuracin no impide la reproduccin automtica de CD de msica. Cada vez que un usuario se conecta a Internet, Windows busca actualizaciones automticas disponibles para el SW y HW en el equipo y las descarga automticamente. Esto sucede en segundo plano y se le pedir al usuario confirmacin, cuando los componentes descargados estn listos para instalarse, o antes de la descarga, dependiendo de la configuracin. Si est habilitado se impedir a Windows que busque actualizaciones. Si est deshabilitado o no configurado, Windows busca actualizaciones y las descarga automticamente.

Actualizaciones automticas de Windows

34

Administracin de Windows XP

SIMR

Habremos notado que cuando activamos directivas de grupo, tanto desde configuracin del equipo, como desde configuracin del usuario, estas directivas se aplican a Todos los usuarios, incluidos nosotros mismos. Esto est bien si lo que queremos es proteger una mquina de un ciber, por ejemplo, pero si estamos en una mquina que usamos normalmente nos interesa buscar un mtodo que nos permita saltarnos las directivas. Para conseguir esto, tenemos que tener en cuenta lo siguiente: Las directivas de grupo se almacenan en una carpeta de nuestro sistema, concretamente en la carpeta %SystemRoot&\System32\GroupPolicy. Cada vez que un usuario inicia sesin en nuestro equipo, el usuario lee automticamente las directivas que encuentre en dicha carpeta. Todas las directivas que son ledas desde dicha carpeta se aplican al usuario que acaba de entrar en el sistema.

9. Derechos de usuario
Recordemos que, como vimos anteriormente, un derecho no es lo mismo que un permiso. Podemos asignar estos derechos en las directivas de grupo, en Configuracin del equipo | Configuracin de Windows | Configuracin de seguridad | Directivas locales | Asignacin de derechos de usuario. Tambin podemos tomar un atajo, y ejecutar SECPOL.MSC (como vimos anteriormente) que nos abrir la consola con la asignacin de derechos de usuario cargada por defecto. Unos derechos especialmente importantes son los derechos conocidos como derechos de inicio de sesin (logon rights). (Denegar el acceso desde la red a este equipo, Denegar el inicio de sesin localmente, etc.). En estos derechos si podemos aadir los grupos o usuarios que queramos, y por lo tanto, podemos establecer que usuarios tendrn que iniciar sesin localmente, y cuales debern hacerlo forzosamente desde la red, o al contrario. Como indicamos anteriormente, lo mejor que podemos hacer es irnos leyendo los distintos derechos para comprender qu podemos hacer desde aqu. (Configuracin de Windows | Configuracin de seguridad | Directivas locales | DERECHOS) 35

Administracin de Windows XP

SIMR

Derechos

Descripcin

Permite a un usuario especificar las opciones de auditora de acceso a objetos. Administrar los registros de auditora y seguridad Un usuario con este privilegio tambin podr ver y borrar el registro de seguridad del Visor de sucesos. Apagar el sistema Permite a un usuario apagar el equipo local.

Cambiar la hora del sistema Permite establecer la hora del reloj interno del equipo. Permite al usuario instalar y desinstalar los controladores de dispositivo. stos slo puede instalarlos el grupo Administradores. Cargar y descargar controladores de dispositivo Un usuario que tiene el privilegio Cargar y descargar controladores de dispositivo podra hacer mal uso del mismo al instalar cdigo maligno enmascarado como controlador de dispositivo. Crear un paginacin archivo de Permite al usuario crear y cambiar el tamao de un archivo de paginacin.

Denegar el acceso desde la Prohbe al usuario o al grupo conectar con el equipo a travs de la red. red a este equipo Denegar el inicio de sesin Prohbe al usuario o al grupo conectar con el equipo directamente desde teclado. localmente Generar seguridad auditoras de Permite que un proceso genere entradas en el registro de seguridad.

Permite al usuario pasar por alto los permisos de archivo y directorio para realizar una copia de seguridad del sistema. El privilegio slo se Hacer copias de seguridad de selecciona cuando una aplicacin intenta tener acceso a travs de la archivos y directorios Interfaz de programacin de aplicaciones (API) de copia de seguridad de NTFS. Si no, se aplican los permisos normales para archivos y directorios. Incrementar la prioridad de Permite que un usuario con este privilegio pueda cambiar la prioridad de un proceso a travs del Administrador de tareas. los procesos Inicio de sesin local Permite a un usuario inicial sesin directamente desde teclado.

Permite al usuario pasar por alto las carpetas a las que, de otra forma, el usuario no tendra acceso, mientras se desplaza a la ruta de un objeto en el Omitir la comprobacin de sistema de archivos NTFS o en el Registro. Este privilegio no permite al recorrido usuario mostrar el contenido de una carpeta, slo le da el derecho de recorrer sus directorios. Restaurar directorios archivos y Permite al usuario pasar por alto los permisos de archivo y de directorio al restaurar copias de seguridad de archivos y directorios, y establecer cualquier principal de seguridad como propietario de un objeto.

Tener acceso a este equipo Permite al usuario conectar con el equipo a travs de la red. desde la red Tomar posesin de archivos Permite al usuario tomar posesin de cualquier objeto que se pueda y otros objetos asegurar en el sistema, como objetos de Active Directory, archivos y

36

Administracin de Windows XP

SIMR

carpetas de NTFS, impresoras, claves del Registro, servicios, procesos y subprocesos.

10. El Administrador de Equipos

El Administrador de equipos es una consola principal, desde donde podemos acceder a la mayor parte de las opciones que hemos ido viendo hasta ahora. Para ejecutarla, podemos bien acceder a Mi PC | Administrar, o podemos ejecutar la orden COMPMGMT.MSC que nos trae directamente la consola de administrador de equipos.

Desde esta consola podemos acceder a apartados como el administrador de discos, ver las carpetas compartidas de nuestro sistema, los usuarios conectados, los archivos abiertos, el gestor de usuarios y grupos, el administrador de dispositivos, etc. Una funcin interesante de esta consola, es que nos permite conectarnos para administrar otros equipos. Si os fijis en el raz del rbol de directorios de la izquierda, veris que indica que se est administrando el equipo local. Si accedemos a las propiedades de este elemento raz, veremos que nos da la opcin de CONECTAR CON OTRO EQUIPO. Si pulsamos dicha opcin, nos pedir que introduzcamos el nombre del equipo de nuestra red local que queremos administrar. Si nuestra cuenta de usuario actual (en el equipo local) es reconocida en el equipo a administrar como una cuenta del grupo Administradores, o si introducimos un nombre de usuario y contrasea reconocidos como del grupo Administradores por el equipo a controlar veremos que

37

Administracin de Windows XP

SIMR

pasamos a administrar el equipo de la red remotamente. Hemos de darnos cuenta que estamos accediendo remotamente a otro equipo, por tanto, todas las opciones que deban controlarse a la hora de compartir archivos tambin deben controlarse aqu, de lo contrario no podremos conectarnos. Esto nos permite realizar acciones sobre el equipo remoto tales como: Crear cuentas de usuario Crear carpetas compartidas Crear grupos Modificar usuarios Usar el gestor de discos Ver el administrador de dispositivos

As, es posible para un Administrador controlar una red completa de equipos siempre que tenga cuentas del grupo de administrador creadas en todos ellos.

38