jueves, 17 de abril de 2008

Usuarios en active directory


Informático para un usuario: Dicese del tipo que viene de vez en cuando donde trabaja el usuario en cuestión. Lo normal es que cuando el informático se vaya, nada funcionara correctamente. Además de ser un tío borde, y friki.

Usuarios para un informático: Habitantes de los escenarios informáticos, que se encargaran de hacer la vida imposible al informático, pidiéndole imposibles, software pirata, y siendo una incubadora real de virus.

Pero como todo en este mundo, usuarios e informáticos, informáticos y usuarios, están destinados a convivir. Es decir,¿ hay cárceles por que hay delincuentes o existen los delincuentes por que hay cárceles?
No se, posiblemente no venga a cuento, pero el día que falte alguno de estos elementos seguro que se acaba el orden espacio tiempo universal

Escenario
Tenemos montado un directorio activo, en el cual esta al cargo un DC con el sistema windows 2003 server. Este va a realizar las funciones de servidor de ficheros, dns y dhcp
También vamos a tener una serie de usuarios en el escenario que van a acceder a los recursos.

Problema
No sabemos que procedimiento hay que hacer para dar de alta a los usuarios en el active directory, y que puedan funcionar correctamente en sus maquinas locales.

Solución
- Lo primero de todo sera situarnos delante de nuestro DC, y loguearnos como administrador.
- Una vez realizado esto, iniciaremos la consola de administración de usuarios de directorio activo. (inicio- herramientas administrativas - usuarios y equipos active directory)

- Abriremos la consola de administración de usuarios. Tenemos dos formas de crear al usuario:
- 1.- Dando al icono de la cara que esta marcada con un circulo pequeño rojo en la figura
- 2- Presionando al botón secundario sobre la consola de administración y seleccionando en el menú contextual (Nuevo- Usuario)


- Lo siguiente sera rellenar los datos del formulario. Podemos introducir información relativa al nombre, apellidos,iniciales y nombre de cuenta.
- Sera obligatorio darle un nombre al usuario y también un nombre de cuenta.
- No pueden existir dos usuarios con el mismo nombre, ni mismo nombre de cuenta.

- Dando al botón siguiente, el asistente nos pedirá que introduzcamos la contraseña.
-Si no tenemos aplicada ninguna directiva de seguridad de contraseña, se podrá dejar la contraseña en blanco, si no, deberemos cumplir la directiva de complejidad.

Otras opciones:
- El usuario debe cambiar la contraseña al iniciar la sesión de nuevo
Esta es una buena opción para dejar al usuario que introduzca su contraseña cuando inicie sesión, y así garantizarla privacidad del usuario
- El usuario no puede cambiar la contraseña
Cuando el administrador quiere tener un control de las contraseñas e impedir que los usuarios puedan cambiar la contraseña a destajo.
- La contraseña nunca caduca
Buena opción, cuando queremos que nuestras contraseñas no caduquen, y algún usuario que se loguea de muy en mucho, se encuentre con algún servicio deshabilitado por no loguearse (correo)
- La cuenta esta deshabilitada
Para deshabilitar el uso de la cuenta. También se puede deshabilitar a través de alguna directiva, del tipo de protección de inicios de sesión.



Desde aquí, toda la parte que tenemos en el DC, ya esta realizada, lo demás que hagamos en el DC, sera adicional. ahora vamos a ver que tenemos que hacer en el puesto del cliente.

- Lo primero a realizar, sera unir el equipo al directorio
- Botón derecho sobre mi pc- nombre de equipo- Miembro de Dominio- Introducir nombre del dominio
nota: Para hacer este paso, sera necesario configurar como DNS primaria del puesto la DNS del DC.


- Si hacemos las cosas bien, encontraremos un bonito mensaje de bienvenida, acompañado con el mítico sound tiri de windows.


- Cuando reiniciemos ya podremos loguearnos en el equipo con el usuario creado en el active directory. Este usuario podrá acceder a los servicios de nuestro escenario, y podrá funcionar en el sistema.
Este usuario no podrá instalar programas en el ordenador que use. Si queremos que use el sistema con los derechos de administrador sobre el sistema, que no sobre el directorio activo, deberemos seguir con el siguiente proceso.

- Iniciar sesión en el sistema cliente, como administrador de maquina o con el administrador del directorio activo
-Desde ejecutar escribiremos "control userpasswords2"
nota: No se por que, pero este comando siempre viene documentado así, pero si quitamos el 2 también funciona correctamente.


- Se abría la consola de administración de usuarios locales del sistema.
- Daremos al botón agregar nuevo usuario.
- Indicaremos el nombre de usuario, y diremos que pertenece a nuestro dominio.



-Dando a siguiente podremos seleccionar en que grupo queremos añadir a este usuario sobre el sistema cliente:

Usuario standar. no pueden instalar programas que afecten directamente a windows
Usuario restringido: Pueden usar los programas, pero no pueden cambiar ninguna configuración del sistema, ni instalar nada.
Otros: Administradores: Control total sobre la maquina


En el listado de cuentas de usuario, ya nos aparecerá nuestro usuario del directorio activo añadido. Prestar atención que el icono de usuario difiere de los usuarios locales.


Y después de todo esto, que contado parece mucho, pero que cuando se hace, se hace en un periquete, ya podemos usar los usuarios del directorio activo en los sistemas de nuestro escenario.


Apéndice:
Una web que me encanta es http://aprendemas.educaleft.com/ y aquí podéis encontrar información sumamente interesante. Para este tema de usuarios de active directory recomiendo este vídeo tutorial, ya que viene todo muy bien explicado y creo que puede esclarecer mucho:
Videotutorial usuarios de active directory en aprendemas.educaleft.com

Saludos

10 comentarios:

Anónimo dijo...

EXELENTE INFORMACIÓN....

SOLO UNA COSA, CHEQUEA TUS LINKS QUE ESTÁN ERRADOS...

Miguel Angel dijo...

Gracias por Tu articulo me sirvio mucho, con respecto a lo que dices:

"Desde ejecutar escribiremos "control userpasswords2"
nota: No se por que, pero este comando siempre viene documentado así, pero si quitamos el 2 también funciona correctamente"

userpasswords sin el 2 te abre lo mismo que abre el panel de control en la administracion de usuarios, derepente cambia cuando ya estas dentro de un dominio, prueba en una xp en workgroup.

Saludos y nuevamente gracias

Diego Rojas (Costa Rica) dijo...

Oye muchas gracias, muy bueno el post, de verdad te lo agradezco.

Belen dijo...

Hola, tengo que configurar un servidor para un colegio, y ando muy liada con los perfiles de usuario, permisos, etc. Soy nueva en el cole y me encargo de la administracion de la red. Ahora es un caos, tiene una maquina que hace de "Servidor", pero tiene instalado Windows Xp Prof, con lo cual cuando estan trabajando (o intentando trabajar) no admite apenas conexiones y me da muchisimos problemas. He cambiado cables de red, Swtich, equipos, etc. todo es del siglo pasado y me queda configurar un sevidor con server 2003. Necesito ayuda. Entiendo que lo primero que debo conocer es el verdadero funcionamiento interno del cole para saber a que documetos accede cada profesor y hasta que nivel debe poder leer, modificar, etc.
¿Que os parece por donde empiezo?
¿Que debo preguntar? ¿Que informacion necesito?
GRacias, cualquier ayuda será bienvenida.

David dijo...

Hola Belen:

Esta situación que planteas la he visto muchas veces por escenario parecidos al tuyo.
Creo que es mucho mas sencillo de lo que parece lograr una instalación muy sencilla y bien puesta para dar servicio a lo que planteas.

Si te parece voy a pasar este escenario a una entrada del blog, para explicar como hacer esta instalación.

Trabajando en ello.... Publicare cuando este lista en este mismo enlace o te puedes subscribir al blog para ver las publicaciones en tu mail.
Saludos

DHA dijo...

Muchas Gracias por la info, compa yo tengo una pregunta para ver si alguien sabe que es. Me paso que de un dia para otro me aparecieron todos los usuario del Active directory estaban deshabilitados. Y el modo seguro de Windows estaba deshabilitado. Tengo Windows Server 2003 y nose si fue un virus o un ataque Hacker.
Agradezco la ayuda que me puedan brindar

Anónimo dijo...

I've been exploring for a little bit for any high quality articles or weblog posts on this sort of house . Exploring in Yahoo I at last stumbled upon this site. Reading this information So i am glad to show that I have a very excellent uncanny feeling I came upon exactly what I needed. I most no doubt will make sure to do not put out of your mind this web site and give it a glance regularly.

my page; video reviews

Anónimo dijo...

I like the valuable info you provide in your articles.
I'll bookmark your weblog and check again here frequently. I am quite certain I will learn plenty of new stuff right here! Best of luck for the next!

Stop by my homepage special compilation

Francisco Garrido dijo...

Hola que tal necesito ayuda con mi un problema que tengo en Active Directory, al tratar de entrar al servidor me aparece una leyenda que dice que la cuenta de usuario a sido des habilitada no se como habilitarla nuevamente, es la cuenta de usuario Administrador

David dijo...

Hola Francisco, puede intentar dos cosas:

- entrar en modo seguro con F8 en el inicio de sesion y accediendo con la cuenta administrador (no debiera de estar deshabilitada en este modo) y volverla a activar

- seguir este procedimiento para habilitar la cuenta de administrador http://daviddelprado.blogspot.com.es/2007/05/recuperar-contrasea-del-administrador.html

Espero que lo puedas solucionar

Gracias