Gestión de unidades organizativas y usuarios.

Para crear una unidad organizativa mediante la interfaz de Windows1.- Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.

2.- En el árbol de consola, haga clic con el botón secundario en el nombre de dominio.

3.- Seleccione Nuevo y haga clic en Unidad organizativa.

4.- Escriba el nombre de la unidad organizativa (OU).

Usuarios

Nos posicionamos dentro de “Active Directory Users and Computers” y lo expandimos.

Nos posicionamos en la UO “gente” dentro del dominio. Boton derecho –> New –> User

En el cuado de dialogo “New Object – User”, rellenamos los campos 

Al pulsar en el boton “Next” pasamos a introducir la contraseña para este usuario y activamos la casilla “User must change password at next logon” para que el usuario establezca su contraseña la primera vez que se identifique en el dominio.

Una vez creado el usuario, lo seleccionamos. Pulsamos el boton derecho del raton y seleccionamos “Propiedades”.

En este cuadro de dialogo podemos modificar y/o añadir otras propiedades de la cuenta de usuario.

Examinamos un poco las mismas y pulsamos en “Ok”.

Y asi es como quedan agregados los usuarios en el Active Directory.

Creación de Usuarios

Damos clic en incicio y luego en herramientas administrativas. Y de ahí en usuarios y equipos de active directory.

Luego damos clic derecho en users, luego nuevo.

Ahí vamos a llenar la informacion para crear un nuevo usuario.

Creamos una contraseña para el nuevo usuario y listo asi podemos crear los usuarios que necesitemos.

Eliminacion de Usuarios

Abriremos el símbolo de sistema en la maquina virtual.

Luego pondremos el siguiente comando: dsrm cn=¨el nombre del usuario que queremos eliminar¨,(con las comillas), ou=¨el grupo en el que esta¨, y por último dc=¨dominio en el que esta el usuario¨.

Aquí nos aparecerá que si estamos seguro que queremos borrar al usuario, le pondremos S para confirmar.

Luego actualizaremos y veremos que el usuario ha sido eliminado.

Establecer los servicios de seguridad

Un aspecto importante de la protección de la red es la administración de los usuarios y los grupos que tienen acceso administrativo al servicio de directorio de Active Directory. Si particulares con fines maliciosos obtuvieran acceso administrativo a los controladores de dominio de Active Directory, podrían poner en riesgo la seguridad de la red. Estas personas podrían ser usuarios no autorizados que hubieran obtenido contraseñas administrativas o bien administradores legítimos que se encuentren coaccionados o descontentos. Además, no todos los problemas se deben a propósitos maliciosos. Un usuario con acceso administrativo también podría causar problemas sin darse cuenta si no comprende las implicaciones de los cambios de configuración. Por estos motivos, es importante administrar con cuidado los usuarios y grupos que tienen control administrativo sobre los controladores de dominio.

En esta guía se ofrecen instrucciones detalladas que explican cómo:

• Crear una nueva cuenta de usuario con credenciales de administradores del dominio

• Proteger la cuenta de administrador predeterminada

• Hacer una copia de seguridad

• Aumentar la seguridad de los grupos y las cuentas de administración de servicios

• Establecer las prácticas más recomendadas para utilizar cuentas y grupos administrativos.

Un ejemplo de un servicio de seguridad sería una copia de seguridad

Aquí los pasos para crearla:

ESTABLECER DERECHOS DE TRABAJO DE USUARIOS SOBRE LOS RECURSOS DE LA RED

Los derechos de usuario son tareas que un usuario puede llevar a cabo en un sistema o dominio del equipo, porque tiene permiso para ello. Existen dos tipos de derechos de usuario: derechos de inicio de sesión y privilegios. Con los derechos de inicio de sesión se controla quién tiene autorización para iniciar sesión en un equipo y el modo en que puede hacerlo, mientras que con los privilegios se supervisa el acceso a recursos de todo el sistema de un equipo y se anulan grupos de permisos en objetos determinados. Un ejemplo de derecho de inicio de sesión es el derecho a iniciar sesión en un equipo de forma local. Un ejemplo de privilegio consistiría en el derecho a apagar el sistema. Estos derechos de usuario los asigna el administrador a usuarios individuales o a grupos como parte de la configuración de seguridad del equipo.

Tener acceso a este equipo desde la red

El derecho Tener acceso a este equipo desde la red permite a un usuario conectarse al equipo desde la red. Este derecho es necesario para una serie de protocolos de red, entre los que se encuentran protocolos basados en bloques de mensajes de servidor (SMB), el servicio básico de entrada y salida de red (NetBIOS), el sistema de archivos común de Internet (CIFS) y el modelo de objetos componentes Plus (COM+).

VulnerabilidadLos usuarios que se conectan a la red desde su equipo pueden tener acceso a recursos en el equipo para el cual tienen permiso. Por ejemplo, este derecho es necesario para que el usuario se conecte a impresoras y carpetas compartidas.

ContramedidaLimite el derecho de usuario Tener acceso a este equipo desde la red sólo a aquellos usuarios que necesiten tener acceso al servidor. Por ejemplo, si lo establece para los grupos Administradores y Usuarios, el usuario que haya iniciado sesión en el dominio podrá tener acceso a los servidores del dominio.

Impacto potencialSi quita este derecho de los controladores de dominio a todos los usuarios, evitará que cualquiera pueda iniciar sesión en el dominio o utilice los recursos de la red. Si elimina este derecho en los servidores miembro, se evitará que los usuarios se conecten a esos servidores a través de la red. Permitir el inicio de sesión localEl derecho de usuario Permitir inicio de sesión local permite al usuario iniciar una sesión interactiva en el equipo. Los usuarios que no disfruten de este derecho

aún pueden iniciar una sesión interactiva remota en el equipo si disponen del derecho Permitir inicio de sesión a través de Servicios de Terminal ServerPermitir inicio de sesión a través de Servicios de Terminal ServerEl derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server permite que el usuario inicie una sesión en el equipo mediante una conexión a Escritorio remoto. No debe asignar este derecho a otros usuarios o grupos, sino que resulta más eficaz controlar quién puede abrir una conexión de Escritorio remoto al agregar o quitar usuarios del grupo Usuarios de escritorio remoto.

ESTABLECER LOS ATRIBUTOS DE LOS RECURSOS DE LA RED

Se pueden asignar derechos ampliados para grupos de usuarios y usuarios individuales. En este punto puede distinguirse entre directorios y archivos ejecutables y no ejecutables

Pueden conceder los derechos para archivos y directorios de las particiones NTFS, además de estas configuraciones, con las opciones Acceso restringido a archivo y Acceso restringido a directorio, se accede a un cuadro de diálogo más amplio en el que se pueden asignar individualmente todos los atributos.

En la  siguiente tabla se muestran todos los atributos disponibles para archivos y directorios de las particiones NTFS.

En las redes cliente-servidors modernos  se pueden compartir como recursos los datos y periféricos. Al compartir estos recursos, se producen lagunas de seguridad que hacen estas redes vulnerables al acceso de terceros.

 

Posesión de un recurso

    Los propietarios de un archivo tienen derecho de acceso exclusivo al mismo y sólo ellos pueden ver, modificar, borrar o imprimir ese archivo (o cualquier otro recurso que posean). Incluso los administradores del sistema deben permanecer al margen.