Uno de los objetos de dominio vistos en una entrada anterior es el usuario.
En términos generales, en informática, un usuario es aquella persona que utiliza un dispositivo o un ordenador y realiza múltiples operaciones con distintos propósitos.
No obstante, los cambios en el ámbito informático han hecho replantear esta definición del concepto, considerándolo actualmente como un conjunto de permisos y de recursos (o dispositivos) a los cuales se tiene acceso, por lo que un usuario puede ser tanto una persona como una máquina, un programa, etc.
Del mismo modo que otros objetos de dominio, la cuenta de usuario puede crearse mediante el "Centro de Administración de Active Directory" ["Active Directory Administrative Center (ADAC)", en inglés], la herramienta de "Usuarios y Equipos de Active Directory" (más antigua), o utilizando PowerShell.
Los ejemplos utilizados durante la explicación se han probado en el Windows Server 2012 R2 como servidor y Windows 8 como equipo cliente, pero las indicaciones son extrapolables a otros sistemas operativos de servidor y cliente Windows (aunque se deben tener en cuenta las variaciones exclusivas de cada sistema operativo, por supuesto).
CENTRO DE ADMINISTRACIÓN DE ACTIVE DIRECTORY
Desde el "Panel de Administración" se debe abrir el menú "Herramientas" y elegir la opción deseada entre las dos mencionadas anteriormente para el entorno gráfico, aunque Microsoft recomienda el uso de "ADAC" sobre la otra (otro modo de abrir directamente "ADAC" es ejecutando el comando dsac.exe).
El proceso de creación de cuentas de usuario es prácticamente el mismo en ambas herramientas. Desde "ADAC" se pulsa con el botón derecho sobre el dominio con el que se quiera trabajar (en este ejemplo "asia55 (local)"), y se accede por el menú contextual por la ruta "Nuevo > Usuario".
En la nueva ventana que aparecerá, se deberán rellenar los campos obligatorios (marcados con un asterisco rojo), los de “Inicio de sesión UPN”, y los referentes a la contraseña. Además, se marcará la segunda opción de “Otras opciones de contraseña”. Finalmente, se pulsa en el botón "Aceptar" (en este ejemplo, se creará al usuario "m1" para el dominio "asia55").
POWERSHELL
Para crear una cuenta de usuario mediante PowerShell, se empleará el cmdlet New-ADUser. Si este se ejecuta sin emplear parámetros, el programa irá pidiendo al usuario los parámetros obligatorios mediante el teclado; sin embargo, la cuenta creada de este modo no tiene la contraseña imprescindible para poder operar en el dominio, con lo que estará deshabilitada hasta que esta carencia sea subsanada.La mejor opción, aunque conlleva más tiempo, es crear al usuario utilizando, como mínimo, los parámetros obligatorios que necesite para tener toda su funcionalidad en el dominio. El cmdlet apropiado es New-ADUser -Name <nombre de usuario para el dominio> -Path “OU=<OU>,DC=<DC>,DC=<DC>” -Givenname <nombre real del usuario> -Surname “<apellidos del usuario>” -UserPrincipalName
<nombre de usuario de la cuenta@dominio> -AccountPassword (Read-Host –AsSecureString “Contraseña : “) -Enabled 1 -ChangePasswordAtLogon 1. Si no han aparecido mensajes de error, puede verse el resultado desde "ADAC" y/o desde la herramienta "Usuarios y Equipos de Active Directory", donde aparecerá el nombre del recién creado usuario.
Si se desea asignar directamente la contraseña al usuario durante su creación, se debe introducir el cmdlet New-ADUser -Name <nombre de usuario para el dominio> -Path “OU=<OU>,DC=<DC>,DC=<DC>” -Givenname <nombre real del usuario> -Surname “<apellidos del usuario>” -UserPrincipalName
<nombre de usuario de la cuenta@dominio> -AccountPassword (ConvertTo-SecureString <contraseña> –AsPlainText –force) -Enabled 1 -ChangePasswordAtLogon 1, que, como puede verse, es el mismo que el anterior pero con el cambio adecuado en el parámetro "-AccountPassword". Como en el caso anterior, puede verse el resultado desde "ADAC" y/o desde la herramienta "Usuarios y Equipos de Active Directory" si el proceso no ha creado mensaje de error alguno.
PREPARATIVOS FINALES
Una vez creada la cuenta del usuario, lo más recomendable es agregarla a un grupo creado previamente (si no se sabe como crear un grupo en un dominio puede verse el siguiente enlace).
Para hacer esto, en primer lugar se accede al usuario siguiendo la ruta "Panel de administración > Herramientas > ADAC". Se selecciona el usuario (en este ejemplo "m1") pulsando el botón derecho del ratón y, en el menú emergente que aparecerá, se pulsa sobre "Agregar a grupo...".
Para hacer esto, en primer lugar se accede al usuario siguiendo la ruta "Panel de administración > Herramientas > ADAC". Se selecciona el usuario (en este ejemplo "m1") pulsando el botón derecho del ratón y, en el menú emergente que aparecerá, se pulsa sobre "Agregar a grupo...".
A continuación, en la ventana que aparecerá, se escribe el nombre del grupo destinatario en el campo correspondiente (el más grande que hay; "gmoviles", en este ejemplo) y se comprueba pulsando el botón “Comprobar nombres”, luego se pulsa “Aceptar”, finalizando el proceso.
Puede verse el resultado examinando el grupo donde se ha introducido al usuario en el mismo "ADAC".
Tras agregar el usuario a un grupo, es una buena práctica definir si se trata de un usuario con perfil móvil u obligatorio.
Primeramente, se deben crear las carpetas que servirán de enlace para los perfiles de los usuarios móviles y obligatorios que se creen (lo más conveniente es crearlas directamente en la raíz del sistema, que suele ser "C"); en el ejemplo se han creado la carpeta "Perfgmoviles" para los usuarios con perfil móvil, y "Perfgobl" para los usuarios con el perfil obligatorio).
Estas carpetas necesitan cierto tratamiento para que puedan servir convenientemente a su propósito, por lo que habrá que entrar en sus propiedades.
Dentro de la pestaña “Compartir”, hay que ir a “Uso compartido avanzado > Permisos”. En la ventana de permisos se seleccionan todos los permisos que aparecen en la parte inferior de esta.
El proceso con la otra carpeta es, inicialmente, el mismo, pero, además, hay que realizar
los cambios siguientes: En la pestaña “Seguridad” de las propiedades de la carpeta, se
deben cambiar los permisos NTFS de la misma y añadir el grupo de los usuarios
obligatorios.
Luego se selecciona el grupo recién agregado y se le da permiso de lectura, pero
ninguno más.
Por otra parte, de vuelta en la pestaña “Compartir”, se debe seguir la ruta “Uso compartido avanzado...” > Caché” para marcar la segunda opción, aceptar y salir de las propiedades de la carpeta compartida para los usuarios obligatorios.
Para asignar las carpetas a su respectivo usuario móvil (o viceversa) debe abrirse el "ADAC", y, una vez allí, se selecciona al mismo (en este ejemplo es "m1") y se va a sus propiedades.
En la sección “Perfil”, hay que escribir la ruta hacia la carpeta compartida de este grupo de usuarios. Esto se hace en el campo “Ruta ac. del perfil”. La ruta consiste en “\\<nombre del equipo>\<nombre de la carpeta compartida>\%username%”, la última parte es una variable que determina la carpeta propia del usuario móvil.
Para comprobar el resultado, hay que iniciar sesión en el un equipo cliente que esté asociado al dominio en el que el usuario del perfil móvil ha sido creado con dicho usuario.
Dentro de “Panel de control > Cuentas de usuario y protección infantil > Cuentas de usuario” del equipo cliente, puede verse la cuenta del perfil móvil de ejemplo.
Y, si desde el cliente, se accede al servidor, puede verse la carpeta del perfil móvil de este usuario en la carpeta compartida para tal efecto...
... a la que se puede acceder sin problemas.
En el caso del usuario de perfil obligatorio, el proceso es algo más complejo. En primer lugar, hay que ir a la herramienta “Usuarios y equipos de Active Directory”, buscar al usuario y entrar en sus propiedades.
En la pestaña “Miembro de” hay que pulsar “Agregar...” para añadirlo a los administradores.
Después de comprobar el nombre (en este ejemplo "asia55.local"), se selecciona la primera de las opciones que ofrece la nueva ventana.
Puede comprobarse, tras aceptar en las ventanas anteriores, que ahora este usuario es administrador.
A continuación, se cierra la sesión del administrador del servidor y se inicia, continuando en el equipo servidor, la del usuario para el que se va a crear el perfil obligatorio (en este ejemplo es "o1").
Con el fin de reconocer el perfil, se añadirá a la barra de tareas una barra de dirección y un acceso directo al escritorio.
Luego, se cierra la sesión y se vuelve a entrar en el servidor con la cuenta de administrador para continuar con el proceso de creación de los perfiles obligatorios. Se buscan los perfiles de usuario de los usuarios creados (entre los que se encuentra el de el ejemplo, "o1") en “C > Usuarios” y se copian a la carpeta compartida para los perfiles de usuario (en este ejemplo, “Perfgobl”).
Hecho esto, se renombran las carpetas de los usuarios que haya para asociarles perfiles obligatorios añadiéndole la extensión “V2”. Y se deja una de ellas.
Acto seguido, hay que editar el archivo “NTUSER.DAT”, pero debe hacerse en el “Registro”, que se puede abrir escribiendo “Regedit” desde “Ejecutar”.
Dentro del registro se selecciona la carpeta “HKEY_USERS”.
Luego, se va por la ruta “Archivo > Cargar subárbol...” para añadir el archivo a editar al
registro y poder editarlo sin problemas.
Al subirlo, hay que ponerle un nombre de subárbol (mejor si es significativo).
Se abre un menú emergente el el nuevo subárbol y se accede a “Permisos”, donde se selecciona el grupo al que pertenecen los usuarios obligatorios y se le da permisos de control total y de lectura.
Seguidamente, se vuelve al “Archivo” del menú del "Editor de registro" y se devuelve el archivo recién editado a su carpeta original mediante “Descargar subárbol...”.
Una vez de nuevo en su carpeta, se renombra el archivo a “NTUSER.MAN”.
Se regresa al “Centro de administración del Active Directory”, se selecciona el usuario y se va a sus propiedades, donde hay que ir al “Perfil”, donde se escribe la ruta a la carpeta adecuada (sin añadir la extensión “V2”). Esta ruta de perfil debe ser la misma para todos los usuarios del perfil obligatorio.
Con el fin de comprobar el resultado de todas estas gestiones informáticas, se inicia la sesión en el equipo cliente con el usuario asociado al perfil obligatorio (en el ejemplo "o1").
Espero que esta entrada haya sido interesante y/o útil al lector. En caso afirmativo, aguardo que sea comentada y/o compartida, por favor.
Puede verse el resultado examinando el grupo donde se ha introducido al usuario en el mismo "ADAC".
Tras agregar el usuario a un grupo, es una buena práctica definir si se trata de un usuario con perfil móvil u obligatorio.
Primeramente, se deben crear las carpetas que servirán de enlace para los perfiles de los usuarios móviles y obligatorios que se creen (lo más conveniente es crearlas directamente en la raíz del sistema, que suele ser "C"); en el ejemplo se han creado la carpeta "Perfgmoviles" para los usuarios con perfil móvil, y "Perfgobl" para los usuarios con el perfil obligatorio).
Estas carpetas necesitan cierto tratamiento para que puedan servir convenientemente a su propósito, por lo que habrá que entrar en sus propiedades.
Dentro de la pestaña “Compartir”, hay que ir a “Uso compartido avanzado > Permisos”. En la ventana de permisos se seleccionan todos los permisos que aparecen en la parte inferior de esta.
El proceso con la otra carpeta es, inicialmente, el mismo, pero, además, hay que realizar
los cambios siguientes: En la pestaña “Seguridad” de las propiedades de la carpeta, se
deben cambiar los permisos NTFS de la misma y añadir el grupo de los usuarios
obligatorios.
Luego se selecciona el grupo recién agregado y se le da permiso de lectura, pero
ninguno más.
Por otra parte, de vuelta en la pestaña “Compartir”, se debe seguir la ruta “Uso compartido avanzado...” > Caché” para marcar la segunda opción, aceptar y salir de las propiedades de la carpeta compartida para los usuarios obligatorios.
Para asignar las carpetas a su respectivo usuario móvil (o viceversa) debe abrirse el "ADAC", y, una vez allí, se selecciona al mismo (en este ejemplo es "m1") y se va a sus propiedades.
En la sección “Perfil”, hay que escribir la ruta hacia la carpeta compartida de este grupo de usuarios. Esto se hace en el campo “Ruta ac. del perfil”. La ruta consiste en “\\<nombre del equipo>\<nombre de la carpeta compartida>\%username%”, la última parte es una variable que determina la carpeta propia del usuario móvil.
Para comprobar el resultado, hay que iniciar sesión en el un equipo cliente que esté asociado al dominio en el que el usuario del perfil móvil ha sido creado con dicho usuario.
Dentro de “Panel de control > Cuentas de usuario y protección infantil > Cuentas de usuario” del equipo cliente, puede verse la cuenta del perfil móvil de ejemplo.
Y, si desde el cliente, se accede al servidor, puede verse la carpeta del perfil móvil de este usuario en la carpeta compartida para tal efecto...
... a la que se puede acceder sin problemas.
En el caso del usuario de perfil obligatorio, el proceso es algo más complejo. En primer lugar, hay que ir a la herramienta “Usuarios y equipos de Active Directory”, buscar al usuario y entrar en sus propiedades.
En la pestaña “Miembro de” hay que pulsar “Agregar...” para añadirlo a los administradores.
Después de comprobar el nombre (en este ejemplo "asia55.local"), se selecciona la primera de las opciones que ofrece la nueva ventana.
Puede comprobarse, tras aceptar en las ventanas anteriores, que ahora este usuario es administrador.
A continuación, se cierra la sesión del administrador del servidor y se inicia, continuando en el equipo servidor, la del usuario para el que se va a crear el perfil obligatorio (en este ejemplo es "o1").
Con el fin de reconocer el perfil, se añadirá a la barra de tareas una barra de dirección y un acceso directo al escritorio.
Luego, se cierra la sesión y se vuelve a entrar en el servidor con la cuenta de administrador para continuar con el proceso de creación de los perfiles obligatorios. Se buscan los perfiles de usuario de los usuarios creados (entre los que se encuentra el de el ejemplo, "o1") en “C > Usuarios” y se copian a la carpeta compartida para los perfiles de usuario (en este ejemplo, “Perfgobl”).
Hecho esto, se renombran las carpetas de los usuarios que haya para asociarles perfiles obligatorios añadiéndole la extensión “V2”. Y se deja una de ellas.
Acto seguido, hay que editar el archivo “NTUSER.DAT”, pero debe hacerse en el “Registro”, que se puede abrir escribiendo “Regedit” desde “Ejecutar”.
Dentro del registro se selecciona la carpeta “HKEY_USERS”.
Luego, se va por la ruta “Archivo > Cargar subárbol...” para añadir el archivo a editar al
registro y poder editarlo sin problemas.
Al subirlo, hay que ponerle un nombre de subárbol (mejor si es significativo).
Se abre un menú emergente el el nuevo subárbol y se accede a “Permisos”, donde se selecciona el grupo al que pertenecen los usuarios obligatorios y se le da permisos de control total y de lectura.
Seguidamente, se vuelve al “Archivo” del menú del "Editor de registro" y se devuelve el archivo recién editado a su carpeta original mediante “Descargar subárbol...”.
Una vez de nuevo en su carpeta, se renombra el archivo a “NTUSER.MAN”.
Se regresa al “Centro de administración del Active Directory”, se selecciona el usuario y se va a sus propiedades, donde hay que ir al “Perfil”, donde se escribe la ruta a la carpeta adecuada (sin añadir la extensión “V2”). Esta ruta de perfil debe ser la misma para todos los usuarios del perfil obligatorio.
Con el fin de comprobar el resultado de todas estas gestiones informáticas, se inicia la sesión en el equipo cliente con el usuario asociado al perfil obligatorio (en el ejemplo "o1").
Espero que esta entrada haya sido interesante y/o útil al lector. En caso afirmativo, aguardo que sea comentada y/o compartida, por favor.
No hay comentarios:
Publicar un comentario
Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.