Definición de Usuarios, Equipos y Grupos
La cuenta de un usuario del dominio registra toda la información necesaria para su definición en "Windows 2003 Server", incluyendo su nombre de usuario y contraseña (necesarios para iniciar sesión), los grupos a los que pertenece el usuario, los derechos y permisos que tiene el usuario para utilizar el equipo y la red, así como para tener acceso a sus recursos. En los controladores de dominio de "Windows 2003 Server", las cuentas de usuario se administran con "Usuarios y equipos de Active Directory".
Los objetos correspondientes a los equipos del dominio quedan incluidos en el dominio Active Directory de nuestro servidor Windows 2003 cuando son registrados en el mismo (proceso visto anteriormente en el capítulo correspondiente al servidor RIS); a partir de su integración en el dominio, pueden ser incluidos en cualquier grupo al igual que haríamos con los usuarios.
Sin duda alguna el tema de los grupos en "Windows 2003 Server", es una de las partes más complejas de dicho S.O., no tanto por alcanzar a comprender su funcionamiento, sino por poder realizar una planificación adecuada de los grupos necesarios y su organización, cara a gestionar eficazmente los recursos existentes en nuestra red y el acceso a los mismos. No podemos dar un configuración común y válida para cualquier entorno de trabajo; debe ser el administrador de la red el que defina los grupos (y las Unidades Organizativas) necesarias para el mejor aprovechamiento y gestión de los recursos de la red del centro. En las siguientes líneas trataremos de explicar de forma simple y somera qué son los grupos y su utilidad.
En primer lugar para poder trabajar con los grupos, lo primero que hemos de hacer es crear usuarios en el dominio que puedan autenticarse desde una estación de trabajo registrada en el dominio gestionado por el servidor Windows 2003; cuando un usuario es creado, será incluido como miembro de un determinado grupo del dominio (administradores, usuarios, etc.); además de crearlos, les asociaremos las propiedades y características que deseemos, definiendo por ejemplo su contraseña, las propiedades de cambio de la misma, la posibilidad de acceso remoto al servidor o acceso al mismo por Terminal Server, entre otras muchas posibilidades.
Un usuario, al igual que una estación de trabajo registrada en el dominio, no deja de ser un objeto en el árbol de Active Directory de nuestro servidor Windows 2003, de modo que puede ser incluido en una Unidad Organizativa o en los grupos de usuarios o equipos del dominio deseados. La inclusión de un objeto Usuario o Equipo en una Unidad Organizativa permitirá aplicarle directivas o políticas de grupo, como veremos en el siguiente capítulo.
La creación pura e individual de un conjunto de usuarios que tengan acceso identificado al dominio desde las estaciones de trabajo, es una labor sencilla, pero la concesión de permisos de acceso a los recursos del sistema se complica enormemente a medida que el número de usuarios crece; como ejemplo de ello supongamos que tenemos quince recursos compartidos a los que sólo queremos dar acceso a los administradores; si damos acceso individual a cada usuario sobre cada recurso, y definimos un nuevo usuario administrador de nombre "pepe", deberíamos acceder a cada uno de los quince recursos indicados y darle explícitamente permisos de acceso a "pepe", lo cual es una labor tediosa y que además puede implicar olvidos en la asignación de permisos sobre alguno de los recursos a los que deberíamos permitirle el acceso; aquí cobran sentido plenamente los grupos de usuarios, pues lo que haremos para lograr una eficaz gestión de nuestro dominio, no será dar permisos individuales sobre cada uno de los quince recursos a cada administrador, sino dar permisos sobre dichos recursos al grupo de usuarios "administradores", y luego incluir a cada administrador ("pepe" entre ellos) en el grupo; de este modo cuando definamos un nuevo administrador, de modo automático tendrá acceso a todos los recursos deseados, al estar incluido en un grupo con derechos de acceso a dichos recursos.
"Windows 2003 Server" tiene predefinidos una serie de grupos de usuarios, entre los que podemos destacar a los "administradores del dominio", "usuarios del dominio", "invitados del dominio" y "equipos del dominio" (pues también pueden ser asociados permisos de acceso a los recursos, a grupos que tengan como miembros estaciones de trabajo en vez de usuarios individuales); a la existencia de los grupos predefinidos por "Windows 2003 Server", nosotros podemos añadir nuestros propios grupos, en función de las necesidades de organización de nuestro centro; por ejemplo, si queremos que a unos determinados recursos sólo tengan acceso los profesores, podemos crear un grupo "profesores" e incluir a los usuarios del dominio que sean profesores de nuestro centro en dicho grupo, de modo que cuando asignemos permisos de acceso a determinados recursos a los usuarios de dicho grupo, cualquier profesor podrá tener acceso al recurso deseado.
Un usuario del dominio (o una estación de trabajo del dominio) puede pertenecer a más de un grupo; a su vez, a un determinado recurso del sistema pueden tener acceso los usuarios y/o equipos de varios grupos. Obviamente no se puede dar una organización estándar de los grupos de usuarios y/o equipos, cada centro en función de sus necesidades deberá planificar y crear los grupos que estime oportuno.
Es importante no confundir las Unidades Organizativas y los grupos de usuarios o equipos, pues se tiende a mezclar dichos conceptos cuando realmente no tienen nada que ver, de hecho podremos tener una Unidad Organizativa de nombre "profesores" y un grupo de usuarios con el mismo nombre, teniendo ambos su finalidad y su razón de ser. Las Unidades Organizativas serán comentadas en el próximo capítulo, cuando abordemos el tema relativo a las políticas o directivas de grupo.
Si definimos una Unidad Organizativa de nombre "profesores", e incluimos en ella a los usuarios del dominio que son profesores, podremos indicar las políticas o directivas de grupo que queremos que le sean asignadas a los profesores (esto lo veremos en el próximo capítulo), pero no podremos definir en ella los permisos de acceso a los recursos del sistema; cada usuario o equipo del dominio podrá estar englobado en una y sólo en una Unidad Organizativa.
Si por contra definimos un grupo de usuarios de nombre "profesores", e incluimos en él a los usuarios de dominio que son profesores, no podremos asociarles políticas o directivas de grupo que deseemos, pero podremos definir en él los permisos de acceso a los recursos del sistema; cada usuario del dominio podrá estar englobado en más de un grupo de usuarios.
También podemos hacer que los miembros de un determinado grupo sean a su vez miembros de otros grupos ya existentes; aparentemente esto complica aun más la estructura de los grupos del centro, pero realmente la simplifica; pensemos por ejemplo en un recurso al que deseamos que tengan acceso todos los profesores y los alumnos de E.S.O, podemos crear un nuevo grupo de nombre "colaboradores" e incluir individualmente a todos los profesores y a los alumnos deseados, pero esa sería una tediosa labor; además cada vez que un nuevo profesor llegara a nuestro centro y quisiéramos que tuviera acceso a los recursos a los que tiene acceso el resto de profesores, deberíamos incluirlo en los grupos "profesores" y en el grupo "colaboradores" (pudiendo de nuevo olvidarnos de darlo de alta como miembro de alguno de los grupos a los que debería pertenecer); si cuando creamos el grupo "colaboradores" indicamos que los miembros de ese grupo son el grupo "profesores" y los alumnos de E.S.O., habremos solucionado nuestro problema de forma rápida y sencilla, de modo que cuando un nuevo profesor llegue al centro, con incluirlo en el grupo "profesores", quedará automáticamente incluido en el grupo "colaboradores", simplificando nuestra labor de gestión de usuarios y grupos.
Todo lo comentado anteriormente para los grupos de usuarios puede ser aplicado a los grupos de estaciones de trabajo, o para grupos mixtos formados por ambos tipos de objetos.
A continuación vamos a definir algunos términos que utilizaremos a continuación con frecuencia:
Grupos de Ámbito Local al Dominio .- Son grupos que permitirán definir y administrar el acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros a los siguientes elelementos: grupos de ámbito global, grupos de ámbito universal, usuarios del dominio, otros grupos de ámbito local de dominio, una mezcla de los anteriores.
Grupos de Ámbito Local .- Estos grupos se utilizan para administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuarios y equipos.
Grupos de Ámbito Universal .- Son grupos utilizados cuando la pertenencia a dicho grupo no cambian frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que todos los datos de pertenencia del grupo se repliquen en todos los catálogos globales del bosque del dominio.
Perfiles de usuarios .- Carpetas propias de un usuario, que incluyen básicamente sus configuraciones personalizadas del entorno de trabajo y los documentos por él creados.
Perfil Móvil .- Perfil de usuario que se descarga desde el servidor en el equipo donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente, los cambios en el perfil se almacenarán en el servidor en el espacio destinado para tal fin para dicho usuario.
Perfil Obligatorio .- Perfil de usuario que se descarga desde el servidor en el equipo donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente, los cambios en el perfil NO se almacenarán en el servidor, de modo que el usuario siempre dispondrá del mismo perfil.
No hay comentarios:
Publicar un comentario