Crear cuentas de usuario y de grupo

Crear cuentas de usuario y de grupo

Las cuentas de usuario se utilizan para autenticar, autorizar o denegar el acceso a recursos a usuarios individuales de una red y para auditar su actividad en la red. Una cuenta de grupo es una coleccin de cuentas de usuario que se puede utilizar para asignar un conjunto de permisos y derechos a varios usuarios al mismo tiempo. Un grupo tambin puede contener contactos, equipos y otros grupos. Puede crear cuentas de usuario y cuentas de grupo en Active Directory para administrar usuarios de dominios. Tambin puede crear cuentas de usuario y cuentas de grupo en un equipo local para administrar usuarios concretos de ese equipo. Cuatro de las tareas ms comunes son crear cuentas de usuario en Active Directory, crear cuentas de grupo en Active Directory, crear cuentas de usuario en un equipo local ycrear grupos en un equipo local. Tambin puede utilizar la lnea de comandos para crear cuentas de usuario y de grupo en Administrar Active Directory desde la lnea de comandoso en un Administrar grupos locales desde la lnea de comandos. Para obtener ms informacin acerca de otras tareas para administrar cuentas de usuario y grupos de Active Directory, vea Administrar usuarios, grupos y equipos. Para obtener ms informacin acerca de otras tareas para administrar cuentas de usuario y grupos en un equipo local, veaUso de grupos y usuarios locales.

Para crear una cuenta de usuario en Active Directory

1. 2. Abra Usuarios y equipos de Active Directory. En el rbol de la consola, haga clic con el botn secundario del <i>mouse</i> (ratn) en la carpeta a la que desee agregar una cuenta de usuario. Dnde?

3. 4. 5. 6. 7.

Usuarios y equipos de Active Directory/nodo del dominio/carpeta.

Seleccione Nuevo y, despus, haga clic en Usuario. Escriba el nombre del usuario en Nombre. En Iniciales, escriba las iniciales del usuario. En Apellidos, escriba los apellidos del usuario. Modifique Nombre para agregar iniciales o invertir el orden del nombre y los apellidos.

8.

En Nombre de inicio de sesin de usuario, escriba el nombre de inicio de sesin del usuario, haga clic en el sufijo UPN en la lista desplegable y, a continuacin, haga clic en Siguiente. Si el usuario va a utilizar un nombre diferente para iniciar una sesin en equipos donde se ejecuta Windows 95, Windows 98 o Windows NT, cambie el nombre de inicio de sesin de usuario que aparece en Nombre de inicio de sesin de usuario (anterior a Windows 2000) por el otro nombre. En Contrasea y Confirmar contrasea, escriba la contrasea del usuario y, a continuacin, seleccione las opciones de contrasea adecuadas.

9.

Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Operadores de cuentas, del grupo Administradores de dominio o del grupo Administradores de organizacin de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como prctica recomendada de seguridad, considere la posibilidad de utilizar la opcin Ejecutar como para llevar a cabo este procedimiento. Para obtener ms informacin, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. Para agregar un usuario, tambin puede hacer clic en en la barra de herramientas. Tambin puede agregar un usuario si copia una cuenta de usuario creada anteriormente. Una nueva cuenta de usuario con el mismo nombre que una cuenta de usuario eliminada anteriormente no adquiere de forma automtica los permisos y la pertenencia a grupos de la cuenta eliminada, ya que el identificador de seguridad (SID) de cada cuenta es nico. Para duplicar una cuenta de usuario eliminada, se deben volver a crear manualmente todos los permisos y pertenencia a grupos. Cuando se crea una cuenta de usuario con el asistente para nuevo usuario desde el panel de detalles, se pueden modificar rpidamente las propiedades del

usuario, para lo que hay que cerrar el asistente, hacer clic en la nueva cuenta y presionar ENTRAR. Para abrir el asistente para nuevo usuario desde el panel de detalles, haga clic con el botn secundario del <i>mouse</i> en el panel de detalles, haga clic en Nuevo y, despus, en Usuario.

Para permitir la interoperabilidad con otros servicios de directorio, puede crear un objeto de usuario InetOrgPerson. Para crear un nuevo objeto inetOrgPerson, en el paso tres, haga clic en InetOrgPerson en lugar de en Usuario. Al crear un nuevo usuario, se crea el atributo nombre completo con el formato predeterminado NombreApellidos. El atributo de nombre completo tambin determina el formato del nombre que se muestra en la lista global de direcciones. Puede cambiar el formato del nombre que se muestra mediante Edicin de ADSI. Si lo hace, tambin cambiar el formato del nombre completo. Para obtener ms informacin, vea el artculo Q250455, "How to Change Display Names of Active Directory Users" de Microsoft Knowledge Base.

Para crear una cuenta de grupo en Active Directory

1. 2. Abra Usuarios y equipos de Active Directory. En el rbol de la consola, haga clic con el botn secundario del <i>mouse</i> (ratn) en la carpeta en la que desea agregar un nuevo grupo. Dnde?

3. 4.

Usuarios y equipos de Active Directory/nodo del dominio/carpeta.

Seleccione Nuevo y, despus, haga clic en Grupo. Escriba el nombre del grupo nuevo. De forma predeterminada, el nombre que escriba se usar tambin para el grupo nuevo en versiones anteriores a Windows 2000. En mbito de grupo, haga clic en una de las siguientes opciones: En Tipo de grupo, haga clic en una de las siguientes opciones:

5. 6. Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Operadores de cuentas, del grupo Administradores de dominio o del grupo Administradores de organizacin de Active Directory, o bien debe tener delegada la autoridad correspondiente. Como prctica recomendada de seguridad, considere la posibilidad de utilizar la opcin Ejecutar como para llevar a cabo este procedimiento. Para obtener ms informacin, vea Grupos locales predeterminados, Grupos predeterminados y Utilizar Ejecutar como. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. Para agregar un grupo tambin puede hacer clic en la carpeta a la que desea agregarlo y, despus, en en la barra de herramientas. Si el dominio en el que crea el grupo est configurado en el nivel funcional de dominio mixto de Windows 2000, slo podr seleccionar grupos de seguridad con mbitos deDominio local o Global. Para obtener ms informacin, vea mbito de grupo. Cuando se crea una cuenta de grupo con el asistente para nuevo grupo desde el panel de detalles, se pueden modificar rpidamente las propiedades de la cuenta de grupo, para lo que hay que cerrar el asistente, hacer clic en la nueva cuenta y presionar ENTRAR. Para abrir el asistente para nuevo grupo desde el panel de detalles, haga clic con el botn secundario del <i>mouse</i> en el panel de detalles, haga clic en Nuevo y, despus, en Grupo.

Para crear una cuenta de usuario en un equipo local

1. 2. Abra Administracin de equipos. En el rbol de la consola, haga clic en Usuarios. Dnde?

3. 4.

Administracin de equipos/Herramientas del sistema/Usuarios y grupos locales/Usuarios

En el men Accin, haga clic en Usuario nuevo. Escriba la informacin correspondiente en el cuadro de dilogo.

5.

Active o desactive las siguientes casillas de verificacin:

El usuario debe cambiar la contrasea en el siguiente inicio de sesin El usuario no puede cambiar la contrasea La contrasea nunca caduca Cuenta deshabilitada

6. Haga clic en Crear y, despus, en Cerrar. Notas

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo est unido a un dominio, los miembros del grupo Administradores de dominio podran llevar a cabo este procedimiento. Como prctica recomendada de seguridad, considere la posibilidad de utilizar la opcin Ejecutar como para llevar a cabo este procedimiento. Para abrir Administracin de equipos, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic enAdministracin de equipos. Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que est administrando. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: "/\[]:;|=,+*?<> Un nombre de usuario no puede estar formado slo por puntos (.) o espacios. En Contrasea y Confirmar contrasea puede escribir una contrasea que contenga hasta 127 caracteres. Sin embargo, si la red est formada nicamente por equipos con Windows 95 o Windows 98, considere la posibilidad de utilizar contraseas que no tengan ms de 14 caracteres. Si su contrasea tiene ms caracteres, es posible que no pueda iniciar una sesin en la red desde esos equipos. No debe agregar un usuario local nuevo al grupo Administradores local a menos que el usuario vaya a realizar nicamente tareas administrativas. Para obtener ms informacin, vea Por qu no debe trabajar en el equipo como administrador.

Para crear un grupo en un equipo local

1. 2.

Abra Administracin de equipos. En el rbol de la consola, haga clic en Grupos. Dnde?

3. 4. 5. 6. 7.

Administracin de equipos/Herramientas del sistema/Usuarios y grupos locales/Grupos

En el men Accin, haga clic en Grupo nuevo. En Nombre de grupo, escriba un nombre para el nuevo grupo. En Descripcin, escriba la descripcin del nuevo grupo. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar. En el cuadro de dilogo Seleccionar usuarios, equipos o grupos realice las acciones siguientes:

Para agregar al grupo una cuenta de usuario o de grupo, escriba su nombre en Escriba los nombres de objeto que desea seleccionar y, despus, haga clic enAceptar. Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de verificacin Equipos y, a continuacin, haga clic en Aceptar. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregar y, despus, haga clic en Aceptar.

8. Notas

En el cuadro de dilogo Grupo nuevo, haga clic en Crear y, a continuacin, en Cerrar.

Para llevar a cabo este procedimiento, debe ser miembro del grupo Administradores en el equipo local o tener delegada la autoridad correspondiente. Si el equipo est unido a un dominio, los miembros del grupo Administradores de dominio podran llevar a cabo este procedimiento. Como prctica recomendada de seguridad, considere la posibilidad de utilizar la opcin Ejecutar como para llevar a cabo este procedimiento. Para abrir Administracin de equipos, haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, haga doble clic enAdministracin de equipos.

El nombre de un grupo local no puede coincidir con ningn otro nombre de grupo o usuario del equipo local administrado. Puede contener hasta 256 caracteres, en maysculas o minsculas, excepto los siguientes: "/\[]:;|=,+*?<> Un nombre de grupo no puede contener exclusivamente puntos (.) o espacios en blanco.

Permitir que los usuarios se conecten de forma remota al servidor

Permitir que los usuarios se conecten de forma remota al servidor
Para que los usuarios puedan conectarse remotamente al servidor Terminal Server, debe asegurarse de que se cumpla lo siguiente:

Escritorio remoto est habilitado en el servidor. Para obtener instrucciones acerca de cmo habilitar Escritorio remoto, consulte Habilitar o deshabilitar Escritorio remoto..

Los usuarios tienen los derechos y permisos apropiados para iniciar una sesin en el servidor de forma remota. Para realizar estas dos tareas, debe haber iniciado una sesin como miembro del grupo de Administradores. Utilizar el grupo Usuarios de Escritorio remoto para conceder el acceso a un servidor Terminal Server Se pueden administrar fcilmente los permisos y derechos para un servidor Terminal Server en funcin de cada equipo mediante el grupo Usuarios de Escritorio remoto. El grupo Usuarios de Escritorio remoto es uno de los grupos de usuarios integrados que se encuentran disponibles cuando se instala un sistema operativo Windows Server 2003. Los miembros de este grupo pueden iniciar sesin de forma remota en un servidor Terminal Server en el que est habilitado Escritorio remoto.

De manera predeterminada, el grupo Usuarios de escritorio remoto no est rellenado. Por lo tanto, deber decidir qu usuarios y grupos podrn tener acceso para iniciar una sesin remotamente en un servidor Terminal Server y, a continuacin, agregarlos al grupo. Para obtener instrucciones acerca de cmo agregar usuarios al grupo Usuarios de Escritorio remoto, consulte Agregar usuarios al grupo Usuarios de escritorio remoto. Se recomienda utilizar el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso a los servidores Terminal Server en lugar de asignar los permisos necesarios manualmente. Precaucin Si modifica los permisos predeterminados del grupo Usuarios de Escritorio remoto o elimina este grupo, es posible que sus miembros no puedan iniciar una sesin de forma remota en los servidores Terminal Server. Asignar permisos manualmente Puede que en algunos casos sea necesario administrar el acceso a un servidor Terminal Server para cada conexin y personalizar manualmente los derechos y permisos. Tenga en cuenta que si no utiliza el grupo Usuarios de Escritorio remoto para conceder a los usuarios acceso para que puedan iniciar una sesin en un servidor Terminal Server, deber asignarles los mismos derechos y permisos manualmente. A continuacin se indican los derechos y permisos necesarios:

Derecho o permiso Permitir inicio de sesin a travs de Servicios de Terminal Server

Comentarios

Este derecho determina qu usuario Para configurarlo, busque Configur seguridad\Directivas locales\Asi Para obtener instrucciones acerca d grupo.

Acceso de usuario

Este tipo de permiso concede los permisos especiales permiten a Iniciar una sesin en el servidor Consultar informacin referente

Enviar mensajes a otras sesione

Conectar con otra sesin. Realizar la configuracin mediante C Para obtener instrucciones acerca d

conexin Tambin puede denegar de manera explcita a un usuario el acceso a un servidor Terminal Server modificando su perfil de Terminal Server. Esto resulta til si ha concedido a un gran grupo acceso a un servidor Terminal Server pero desea aplicar algunas excepciones individuales. Para obtener instrucciones, vea Denegar a un usuario los permisos para iniciar una sesin en servidores de Terminal Server.

Renombrar un controlador de dominio en Windows NT 4

Este truco es de gran utilidad para los Administradores de red ya que pueden renombrar un controlador de dominio en NT aunque los pasos van a variar dependiendo de si se trata de un PDC o un BDC: Pasos a seguir para renombrar un PDC: -Hacemos clic en botn "Inicio", seleccionamos "Panel de Control", icono de "Red", clic en la pestaa"Identificacin". - Pulsamos sobre el botn "Cambiar" e introducimos el nuevo nombre. Reiniciamos el servidor. - Seleccinamos la opcin Administrador de servidores, Agregar al dominio, introducimos el nuevo nombre como BDC, aunque realmente este ser un PDC. - Seleccianamos de nuevo Administrador de servidores, Quitar del dominio, eliminamos el viejo nombre y cualquier entrada duplicada que se corresponda con el BDC. Pasos a seguir para renombrar un BDC - Seleccionamos Administrador de servidores, en la opcin "Agregar" al dominio, introducimos el nuevo nombre como BDC.

- Hacemos clic en el Botn "Incio", seleccionamos "Panel de Control", icono de "Red", clic en la pestaa "Identificacin". - Pulsamos sobre el botn "Cambiar" e introducimos el nuevo nombre. Reiniciamos el servidor. - En el PDC, dentro de la opcin Administrador de servidores, seleccionamos el nuevo BDC y sincronizamos con el PDC. - Seleccionamos el antiguo nombre del BDC y lo eliminamos.