Windows Server 2008 R2: Comprensión de Usuarios y Grupos Locales (parte 1) – Administración de usuarios y grupos locales

Incluso si está aprovechando Active Directory, aún necesita comprender cómo funcionan los usuarios y grupos locales. Los usuarios y grupos locales desempeñan un papel clave no solo para el mantenimiento, sino también para la administración central.

En esta sección, verá cómo administrar usuarios y grupos locales tanto en instalaciones de servidor completo de Windows Server 2008 R2 como en instalaciones de núcleo de servidor. También aprenderá los usuarios/grupos locales predeterminados y la configuración predeterminada de estos servidores y cómo afectan esa configuración a su infraestructura.

1. Aprender Usuarios y grupos locales predeterminados

Ya sea que trabaje con una instalación completa de Windows Server 2008 R2 o con Server Core, la administración de grupos locales ofrece grandes similitudes. A partir de las instalaciones predeterminadas, ambos sistemas tienen instalados los mismos usuarios y grupos predeterminados.

En el servidor R2 de Windows Server 2008, de forma predeterminada se crean dos cuentas de usuario, Administrador e Invitado.

  • Administrador es la cuenta integrada predeterminada para administrar la máquina local. La cuenta de Administrador es la única cuenta habilitada de forma predeterminada.

  • Invitado es la cuenta integrada predeterminada para el acceso de invitado al sistema; sin embargo, la cuenta está deshabilitada de forma predeterminada.

La Tabla 1 describe varios otros grupos instalados de forma predeterminada que debe conocer.

Cuadro 1 Grupos Locales Predeterminados
Grupo Definición y uso
Administradores Este grupo tiene acceso sin restricciones al equipo local. Esta cuenta es la cuenta principal para realizar cualquier tarea en un servidor. De forma predeterminada, la cuenta de administrador es el único miembro de este grupo.
Operadores de copia de seguridad Este grupo, como su nombre indica, está diseñado para la copia de seguridad y restauración de archivos en el servidor.
Servicio de certificados DCOM Access Este grupo puede conectarse a entidades de certificación para inscribirse en su Infraestructura de Clave Pública preferida.
Operadores criptográficos Este grupo está permitido y autorizado para realizar operaciones de criptografía en su servidor. Estas configuraciones incluyen la configuración de cifrado de la directiva IPsec del firewall de Windows, entre otras configuraciones.
Usuarios de COM distribuidos Este grupo puede activar y ejecutar objetos DCOM en el servidor. Los objetos DCOM se utilizan para las comunicaciones de las aplicaciones.
Lectores de registro de eventos Este grupo puede trabajar con los registros de eventos locales del servidor y leerlos.
Invitados Los usuarios de este grupo tienen de forma predeterminada el mismo acceso que el grupo de Usuarios, excepto para la cuenta de invitado, que está más restringida. De forma predeterminada, la única cuenta de este grupo es la cuenta de invitado deshabilitada.
IIS_IUSRS Esta es la cuenta de grupo predeterminada para usar con Internet Information Services.
Operadores de configuración de red Los usuarios de este grupo tienen algunos privilegios administrativos sobre la administración de la configuración de las funciones de red en el servidor.
Usuarios de registro de rendimiento Este grupo permite a sus usuarios programar el registro de contadores de rendimiento, habilitar proveedores de seguimiento y recopilar seguimientos de eventos para el servidor local. Las tareas se pueden realizar de forma local o remota.
Usuarios de monitores de rendimiento Este grupo puede acceder a los datos del contador de rendimiento local de forma local o a través de la administración remota.
Usuarios avanzados Este grupo tiene capacidades administrativas limitadas en el sistema y se incluye principalmente para la compatibilidad con versiones anteriores de sistemas operativos.
Operadores de impresión Estos usuarios pueden trabajar y administrar impresoras en el sistema de servidor local.
Usuarios de escritorio remoto Los usuarios de este grupo tienen derecho a iniciar sesión de forma remota en el servidor.
Replicador Este grupo está diseñado para la replicación de archivos.
Los usuarios Tienen acceso administrativo limitado al sistema para evitar que los miembros realicen cambios inadvertidos que puedan provocar cambios en todo el sistema; sin embargo, los usuarios de este grupo pueden ejecutar y acceder a la mayoría de las aplicaciones.

Colocar cuentas de usuario en estos grupos locales otorgará a esos usuarios acceso a los permisos y responsabilidades adecuados para los grupos. El concepto básico detrás del uso de grupos le permite asignar permisos una sola vez al grupo, otorgando así permisos a todos los miembros del grupo. Esto le ofrece una manera fácil de delegar la administración para su servidor. Por ejemplo, si desea que un usuario realice una copia de seguridad diaria de su servidor, simplemente tendrá que agregarlo al grupo Operadores de copia de seguridad y se le concederán los derechos necesarios para realizar operaciones de copia de seguridad y restauración.

2. Administrar usuarios y grupos locales

Administrar grupos de usuarios locales en el servidor es solo cuestión de cargar el complemento correcto para Microsoft Management Console (MMC). Puede administrar una instalación de servidor completo de Windows Server 2008 R2 o una instalación de Server Core. Sin embargo, si desea administrar los usuarios y grupos locales en la instalación de Server Core con el MMC, tendrá que hacerlo de forma remota. Hay comandos del sistema que le permiten administrar Server Core localmente, y verá esos comandos más adelante en esta sección. Para acceder a los grupos de usuarios locales, puede ir al Panel de control para administrar las cuentas, o puede preferir una mirada más detallada a los usuarios. Verá las herramientas de administración de grupos y usuarios locales para un servidor completo y una instalación del núcleo del servidor en los siguientes pasos.

  1. Seleccione Inicio = > Ejecutar, escriba MMC y presione Entrar. Esto carga una MMC en blanco, como se muestra en la Figura 1.

    Figura 1. MMC en blanco

  2. Para realizar trabajos en cualquier MMC en blanco, debe cargar el complemento adecuado. Para cargar complementos, seleccione Archivo = > Agregar o quitar complemento. Esto cargará el cuadro de diálogo Agregar o quitar complementos, como se muestra en la Figura 2.

    Figura 2. Adición de complementos

    Para administrar los usuarios y grupos locales, seleccione el complemento Usuarios y grupos locales y haga clic en el botón Agregar. Esto abrirá el cuadro de diálogo Elegir máquina de destino, como se muestra en la Figura 3.

    Figura 3. Máquina de destino

    En el cuadro de diálogo Elegir equipo de destino, puede seleccionar el equipo local para administrar los usuarios en el equipo desde el que ejecuta la consola o seleccionar el botón de opción Otro equipo e introducir la dirección IP o el nombre del equipo que desea administrar. Esta opción le permitirá administrar los usuarios y grupos locales en un servidor remoto, como Server Core, si tiene los permisos adecuados. Después de hacer la selección, haga clic en Finalizar para volver al cuadro de diálogo Agregar o Quitar complementos.

  3. En el cuadro de diálogo Agregar o quitar complementos, haga clic en Aceptar para cargar el complemento en su MMC. La Figura 4 muestra una MMC de usuarios y grupos locales.

    Figura 4. Gestión de usuarios y grupos locales

    Después de cargar los complementos en la MMC, puede guardar la MMC personalizada para usarla en el futuro. Para ello, seleccione Archivo = > Guardar.

Después de cargar el MMC para administrar usuarios y grupos locales, puede trabajar fácilmente con sus usuarios y grupos. Crear ID de usuario y grupos, cambiar contraseñas u otras propiedades se puede hacer fácilmente con la interfaz.

2.1. Crear una cuenta de usuario local

Al crear una cuenta de usuario local, está otorgando acceso a la cuenta al servidor local, lo cual es un proceso sencillo:

  1. Dentro de la MMC de Usuarios y Grupos locales que creó en el procedimiento anterior, haga clic con el botón secundario en el contenedor Usuarios.

  2. Seleccione Nuevo usuario, que mostrará el cuadro de diálogo Nuevo usuario, como se muestra en la Figura 5.

    Figura 5. Cuadro de diálogo nuevo Usuario

  3. Escriba el nombre de usuario, nombre completo y una descripción opcional, así como la contraseña. La contraseña de forma predeterminada debe seguir los requisitos de complejidad de la contraseña enumerados en la barra lateral «Requisitos de contraseña predeterminados». Además, puede marcar la cuenta deshabilitada, si conoces la cuenta no estará en uso durante un período de tiempo. También tiene las siguientes opciones con respecto a la configuración de la contraseña inicial:

    El usuario Debe Cambiar la Contraseña Al siguiente inicio de sesión Esta es la configuración predeterminada, y debe considerar mantener esta casilla habilitada cuando cree una nueva cuenta de usuario. La única vez que debe desactivar esta casilla de verificación es cuando la cuenta que está creando será una cuenta de servicio para una aplicación. Esta configuración permite al usuario establecer su propia contraseña personal cuando inicia sesión en el sistema por primera vez. Todo lo que necesita hacer como administrador es establecer una contraseña temporal inicial para el usuario. Es posible que desee conocer las contraseñas de sus usuarios en caso de que un usuario abandone la empresa o esté de vacaciones. En realidad, siempre que conozca la contraseña de administrador, tiene el derecho administrativo de restablecer una contraseña temporalmente y obtener acceso a una cuenta. Aunque es bueno tener esta habilidad, debe ejercerla con precaución y solo cuando la situación lo amerite.

    El usuario No puede Cambiar la Contraseña De forma predeterminada esta configuración está atenuada y solo estará disponible cuando desactive el Usuario Debe Cambiar la Contraseña En la Siguiente configuración de Inicio de sesión, mencionada anteriormente. Esto le permite asegurarse de que la contraseña de la cuenta no cambia. Esto también es bueno para cuentas de servicio para aplicaciones cargadas en su servidor. Esta configuración también omitirá cualquier directiva de cuenta de contraseña de máquina local.

    La contraseña Nunca caduca De forma predeterminada, esta configuración también está atenuada y, al igual que la configuración anterior, solo está disponible cuando el Usuario debe Cambiar la contraseña En la Siguiente configuración de inicio de sesión. La configuración, como su nombre indica, bloquea la contraseña. Esta configuración también omitirá cualquier directiva de contraseñas de máquina local.

  4. Después de llenar el formulario, haga clic en crear para Crear la cuenta. Si su contraseña no cumple con los requisitos de complejidad de la contraseña, verá la pantalla en la Figura 6.

    Figura 6. Error de complejidad de contraseña

    Requisitos de contraseña predeterminados

    Los requisitos de contraseña predeterminados son los mismos para las cuentas de usuario locales y las cuentas de usuario de Active Directory . Los requisitos de contraseña predeterminados para un servidor Windows Server 2008 R2 son los siguientes:

    • No puede contener el nombre de cuenta del usuario o partes del nombre completo del usuario que excedan dos caracteres consecutivos

    • Tener al menos seis caracteres de longitud

    • Contiene caracteres de tres de las siguientes cuatro categorías:

      Caracteres mayúsculas en inglés (A–Z)

      Caracteres minúsculas en inglés (a-z)

      Base 10 dígitos (0-9)

      Caracteres no alfabéticos (por ejemplo !, $, #, %)

  5. Si no tiene más cuentas de usuarios locales que crear, haga clic en Cerrar. De lo contrario, repita los pasos 3 y 4 para continuar creando cuentas locales en su servidor.

2.2. Crear un Grupo local

Después de crear sus cuentas de usuario, lo más probable es que desee crear grupos a los que agregar usuarios. Los grupos, como sabrá, se utilizan generalmente para conceder permisos a archivos o impresoras ubicados en el servidor R2 de Windows Server 2008. A estos grupos locales se les pueden conceder derechos y permisos a los recursos solo en el servidor local.

  1. Dentro de la MMC de Usuarios locales y Grupos que creó anteriormente, haga clic con el botón secundario en el contenedor de grupos.

  2. Seleccione Nuevo grupo, que mostrará el cuadro de diálogo Nuevo grupo, como se muestra en la Figura 7.

    Figura 7. Cuadro de diálogo nuevo Grupo

    Escriba el nombre del nuevo grupo y una descripción. Para agregar miembros de inmediato a tu grupo, haz clic en el botón Agregar en la parte inferior de la pantalla. Al hacer clic en el botón Agregar, se muestra el cuadro de diálogo Seleccionar usuarios, como se muestra en la Figura 8.

    Figura 8. Cuadro de diálogo seleccionar Usuarios

    Para agregar usuarios, puede escribir en el cuadro de texto nombre. Para verificar la ortografía de los nombres de usuario que desea agregar, puede hacer clic en Comprobar nombres, que verificará los nombres de usuario por usted. También puede hacer clic en el botón Avanzado, que expandirá el cuadro de diálogo para permitirle enumerar todas las cuentas de usuario en el sistema. Este cuadro de diálogo tiene una opción Buscar ahora que le permite enumerar rápidamente todos los usuarios del sistema. Si hace clic en Buscar ahora, verá una pantalla similar a la Figura 9.

    Figura 9. Selección avanzada de usuarios

  3. Después de hacer clic en Buscar ahora, verá una lista de usuarios en el sistema, así como cuentas de usuarios y grupos del sistema local. Seleccione el usuario o los usuarios que desea que formen parte de su grupo. Para seleccionar varios usuarios, puede mantener presionada la tecla Ctrl del teclado mientras hace clic. También puede seleccionar una lista con la tecla Mayús. Si hace clic en el elemento superior de su lista, mantenga pulsada la tecla Mayús y haga clic en el elemento inferior de su lista, seleccionará todos los elementos entre los que se incluyen la selección superior e inferior.

Grupos de identidad especiales

Puede notar que cuando estaba agregando usuarios a su grupo, tenía varias cuentas y grupos más que no creó. Estos son grupos de identidad especiales, y no se puede controlar la membresía de estos grupos. Los usuarios se convierten en miembros de estos grupos a través del curso de las acciones que realizan en sus servidores o la forma en que acceden a los servidores, y la pertenencia a estos grupos es temporal y normalmente cambia según la forma en que el usuario trabajará con el sistema. Los grupos de sistema se pueden usar para ayudar a establecer permisos en función de cómo los usuarios acceden al servidor o interactúan con él. La tabla 2 enumera algunos de los grupos de sistemas que puede encontrar mientras trabaja con el servidor.

Los grupos que no aparecen en la tabla son normalmente grupos de sistema reservados para el uso del sistema operativo y los servicios que se ejecutan en el servidor Windows Server 2008 R2. En particular, debe prestar especial atención a una cuenta de identidad especial, la cuenta del SISTEMA. La cuenta DEL SISTEMA representa el sistema operativo Windows Server 2008 R2. A medida que trabaja con los archivos en su servidor y los derechos de usuario, es posible que encuentre la cuenta del SISTEMA, y debe dejar esta cuenta sin modificar. Si realiza un cambio en los permisos o derechos que tiene la cuenta del SISTEMA en su servidor, puede deshabilitar el servidor, lo que puede provocar la reinstalación del sistema operativo.

Cuadro 2 Grupos de Identidad Especiales
Grupo Descripción
Inicio de sesión anónimo Esto representa cuando los usuarios no utilizan credenciales de ningún tipo para acceder al sistema.
Usuarios autenticados Los usuarios se colocan automáticamente en este grupo cuando inician sesión localmente en el sistema. Aprovechar este grupo es una excelente manera de asegurarse de que solo los usuarios válidos y autenticados puedan obtener acceso a los recursos.
Creator Owner Cuando un usuario crea un objeto, como un archivo o una carpeta en el servidor, se ponen en el Creador, Propietario de grupo para ese objeto. En términos generales, el usuario Propietario Creador tiene control total sobre el objeto creado.
Acceso telefónico Cuando un usuario se conecta al servidor a través de una conexión de acceso telefónico, como una conexión VPN remota, se agrega a este grupo.
Todos Todos son miembros de este grupo independientemente de cómo accedan al servidor.
Interactivo Cuando un usuario inicia sesión localmente en el servidor (en otras palabras, tiene acceso físico al servidor e inicia sesión físicamente en el servidor), los usuarios se colocan en este grupo.
Red Cuando un usuario accede al servidor de forma remota a través de una conexión de red, como cuando se conecta a un recurso compartido de archivos, se coloca en este grupo.
Inicio de sesión interactivo remoto Cuando un usuario accede al servidor de forma remota con un ID de usuario local e inicia sesión activamente en el sistema para realizar tareas remotas, como cuando un administrador inicia sesión en el servidor desde una estación de trabajo remota, se coloca en este grupo.
Sistema Este es el ID de grupo de cuentas utilizado por el sistema operativo Windows Server 2008 R2.
Usuario de Terminal Server Cuando los usuarios acceden al servidor mediante Servicios de escritorio remoto, se colocan automáticamente en este grupo.

2.3. Administrar sus Usuarios y Grupos locales

Una vez que haya terminado de crear sus grupos de usuarios, deberá mantener y administrar las cuentas locales. Para comenzar a administrar grupos locales, simplemente haga clic con el botón derecho en el usuario o grupo que desea administrar. Comparten algunas tareas en común. Al hacer clic con el botón secundario en un usuario o grupo, puede eliminar, cambiar el nombre, abrir la ayuda o ver las propiedades únicas del objeto.

Al hacer clic con el botón secundario en el usuario, puede establecer una nueva contraseña para el usuario. La única vez que debe establecer la contraseña para una cuenta existente es si el usuario ha olvidado o perdido su contraseña. El usuario perderá el acceso a información como archivos cifrados, contraseñas de Internet almacenadas (aunque el usuario puede recrearlas con la nueva contraseña), correo electrónico cifrado con la clave pública del usuario y cualquier certificado almacenado (de nuevo, se pueden emitir nuevos certificados para otorgar acceso). El riesgo potencial aquí es perder datos en archivos que han sido encriptados por el sistema de archivos encriptados (EFS). Si ha realizado una copia de seguridad de sus claves de recuperación, podrá recuperar datos; sin embargo, si no hay una copia de seguridad de las claves, no podrá acceder a los datos.

Cuando hace clic con el botón derecho en una cuenta de usuario, se le presenta la opción de establecer la contraseña. Cuando seleccione la opción, recibirá la advertencia que se muestra en la Figura 10.

Figura 10. Configuración de la advertencia de contraseña

Al hacer clic con el botón derecho en un grupo y seleccionar Agregar al grupo, se iniciará el mismo proceso para agregar miembros al grupo que se utilizó en el procedimiento anterior cuando creó el grupo. Además, cuando selecciona la opción Propiedades después de hacer clic con el botón derecho en el grupo, lo llevará a las propiedades, donde puede usar el cuadro de diálogo Agregar miembros.

Al seleccionar la opción Propiedades después de hacer clic con el botón derecho, se abrirá una lista de propiedades que puede modificar para la cuenta de usuario, como se muestra en la Figura 11.

Las propiedades enumeradas aquí son parte de documentación y parte de configuración de cuenta. Las pestañas listadas le permitirán configurar la información básica de nombre de usuario y descripción y la pertenencia a un grupo. También puede establecer propiedades para la información de conexiones de Servicios de escritorio remoto, los perfiles de usuario, la información del directorio personal y el acceso telefónico.

Figura 11. Propiedades del usuario

2.4. Administrar usuarios y grupos locales en Server Core

Es posible que no tenga acceso a una consola de administración de Microsoft y que deba realizar modificaciones en los usuarios y grupos locales en una instalación de Windows Server 2008 R2 Server Core. Puede agregar, eliminar y modificar todos los aspectos de los usuarios y grupos locales a través del símbolo del sistema. Específicamente, el comando net es la forma de trabajar con usuarios y grupos directamente en Server Core. El comando net también funcionará en una instalación de servidor completo de Windows Server 2008 R2.

El comando net tiene muchas funciones, incluyendo iniciar y detener servicios y configurar la dirección IP en el servidor. En esta sección verá cómo usar el comando net para trabajar con sus usuarios y grupos locales.

Todos los comandos de net comienzan con net; para los usuarios, esto será seguido por user, y para los grupos locales, por localgroup. Por ejemplo, para ver la lista actual de usuarios o grupos locales, escriba uno de los siguientes comandos sencillos y presione Entrar:

  • Utilice usuario de red para ver una lista de usuarios locales.

  • Utilice net localgroup para ver una lista de grupos locales.

Para agregar un usuario o grupo local al sistema, los comandos siguen una sintaxis similar. Los comandos incluirán el interruptor / add. Por ejemplo, para agregar un usuario llamado Harold con una contraseña de a su sistema, usaría el siguiente comando:

net user Harold /add

Para agregar un grupo local llamado Writers a su servidor, debe usar el siguiente comando:

net localgroup Writers /add

Para agregar a Harold al grupo de Escritores, debe usar el siguiente comando:

net localgroup Writers Harold /add

Para ver la membresía actual de los escritores de grupos locales, debe usar el siguiente comando:

net localgroup Writers

Write a Comment

Tu dirección de correo electrónico no será publicada.