Administración de cuentas de grupo y usuario

Para crear usuarios en Windows Server 2008 se pueden crear plantillas y por medio de esa plantilla crear varios usuarios con los mismos permisos. Para crear una plantilla creamos un usuario Inicio/Herramientas administrativas/Usuarios y equipos de Active Directory y definimos sus características, una vez hecho el usuario click derecho y Copiar.

Las propiedades que se mantienen en los usuarios creados por medio de una plantilla son:

- Descripción
- Cambiar la clave la próxima vez que conecte
- No puede cambiar la clave
- Clave no expira
- Grupos
- Perfil
- Horario
- Equipos

La contraseña que asignamos a las cuentas de usuarios viene definida por:

- Duración máxima y mínima
- Longitud mínima
- Bloqueo de cuentas

 Y los cambios tendrán efecto la siguiente vez que el usuario entre o la próxima vez que al usuario le afecte la política por ejemplo la longitud mínima de clave.

Las contraseñas deberían tener una longitud mínima de 6-8 caracteres, hay que cambiarla de vez en cuando, se debería bloquear la cuenta después de varios intentos de inicio de sesión incorrectos, no se deberían poder repetir las claves en los cambios.

El servidor o PDC debe llevar un mantenimiento:

Se debe promover el Controlador de dominio de backup BDC. Se copia el BDC a un nuevo PDC.
Mantener en línea el Controlador de Dominio Primario y el Controlador de dominio de Backup.

Sincronizar controladores de dominio

La sincronización o replicación de controladores de dominio sirve para que  todos los grupos y cuentas de usuarios estén actualizados en cada controlador de dominio.

Apuntes Cuentas de grupo

Un grupo es un conjunto de usuarios y equipos y se usa para simplificar la administración, delegar la administración y crear listas de distribución de correo electrónico.

Los grupos predeterminados se crean al instalar el dominio y se les asignan los derechos automáticamente. Al agregar a un usuario a un grupo recibe todos los derechos del grupo y todos los permisos.

Grupos locales: Estos grupos son los que podemos crear en cualquier instalación, salvo que sea Controlador de Dominio. Se pueden usar para asignar privilegios únicamente en la máquina local. Si la máquina está en grupo de trabajo, es la única posibilidad.

Grupos de Dominio: Estos grupos los creamos y los administramos en los Controladores de Dominio del dominio a través de la consola de administración del dominio.

Ámbito de los grupos: 

Grupos locales: Única alternativa en ambiente de grupo de trabajo. En ambiente de dominio solo en caso de que se necesiten asignar privilegios específicos locales. Ejemplos: que un grupo del dominio sea administrador local de la máquina, o que un grupo de dominio pueda ejecutar copias de seguridad o recuperación en un equipo en particular.

Grupos Globales: Se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo un sector, un cargo, etc.

Grupos locales de dominio: Se recomienda utilizar para asignar privilegios (permisos y derechos).

Grupos universales: Se recomienda la utilización cuando se requiere agrupar grupos globales de diferentes dominios.

Agrupar por función: cuentas > Globales

Agrupar por permisos; grupos locales de dominio < Permisos

Fuente: http://windowserver.wordpress.com/2012/12/14/uso-recomendado-de-grupos-en-dominios-windows-server/

Apuntes Cuentas de usuario en Windows Server

Tipos de cuentas de usuario:

- Usuarios
- Invitados
- Administradores
- Asistente remoto

Las cuentas de usuarios poseen permisos. Los grupos poseen permisos.

Dominios y cuentas de usuarios.

Se puede dar de alta a usuarios en un dominio. Pasan unos minutos cuando se da de alta a un usuario en un dominio y pasa al backup.

Plantillas genéricas.

Crear una plantilla genérica sirve para definir los permisos que deben tener los usuarios. Para crear un usuario voy a esa plantilla y le cambio. A partir de esa plantilla creo los nuevos usuarios. Solo asigno los permisos una vez.

Convención de nombres.

- Nombres de usuarios únicos.
- Nombre de usuario relacionado con el nombre real.

Claves de acceso.

- El administrador siempre debe tener clave.
- Al hacer un dcpromo en Windows Server 2008 la configuración por defecto no permite dejar la clave vacía.
- Formación en seguridad de claves.

Restricciones de horarios y estaciones.

Directorio predeterminado.

- Realizar la copia de seguridad en local es correcto cuando son 5 o 6 usuarios.
- Lo lógico es que cada usuario tenga su directorio de trabajo.

Creación de cuentas de usuario:

- Nombre de usuario
- Nombre completo (256 caracteres)
- Descripción
- Contraseña
- Confirmación de contraseña
- El usuario debe cambiar la contraseña en el primer inicio
- El usuario no puede cambiar la contraseña
- La contraseña no expira
- Cuenta deshabilitada

Otras opciones sobre cuentas de usuarios:

Copiar cuentas, añadir cuenta a un grupo, deshabilitarla, impedirle a un usuario que acceda a un dominio, resetear contraseña, mover a un usuario de grupo...

Copias de seguridad

La característica Copias de seguridad de Windows Server 2008 nos permite crear copias de seguridad y restaurarlas. Las copias de seguridad deben ser almacenadas en un dispositivo de almacenamiento externo como un usb o disco duro extraíble o en una partición aparte de la del sistema operativo. Lo ideal es almacenar la copia de seguridad en un lugar distinto donde se encuentra el servidor y hacer 2 copias de la copia original.

Se pueden realizar copias de seguridad completas, incrementales y personalizadas para seleccionar únicamente los archivos y carpetas a copiar.

Para acceder a copias de seguridad Inicio/Herramientas administrativas/Copias de seguridad o Propiedades de unidad de disco/ Herramientas/Copia de seguridad:

En el menú de la derecha tenemos la opciones:

Hacer copia de seguridad de programación: Desde aquí podemos programar copias de seguridad para que se realicen semanalmente por ejemplo.

Hacer copia de seguridad una vez: Para programar una única copia de seguridad en un momento puntual.

Recuperar: Para restaurar una copia de seguridad ya realizada.

Visor de eventos

El visor de eventos mantiene registros para aplicaciones, seguridad y sistema en el equipo. Los sucesos se dividen en dos categorías: Registros de Windows y Registros de aplicaciones y servicios.

Nos ofrece acceso a todos los registros (LOGS). Estos son algunos de los registros que nos mostrará:

Application log: Todos los sucesos registrados por aplicaciones.

Security log: Registros de seguridad, como intentos de inicio de sesión, eliminación de archivos. 

System log: Errores, controladores, fallos en el inicio...

Para abrir el visor de eventos Inicio/Herramientas administrativas/Visor de eventos:

Monitor de rendimiento

Monitor de confiabilidad y rendimiento:

- Muestra la carga de trabajo y el efecto que produce en los recursos del sistema.
- Comprueba cambios de configuración.
- Diagnostica problemas.
- Se pueden planificar futuras actualizaciones según las tendencias de trabajo.

Monitor de rendimiento:

- Muestra en tiempo real el uso de los recursos del sistema.

Monitor de confiabilidad:

- Muestra la estabilidad del sistema y tiene 5 categorías: Instalaciones y desinstalaciones de software, Errores de aplicación, Errores de hardware, Errores de Windows y Errores varios.

Conjunto de recopiladores de datos e informes:

- Almacena información de registros y permite crear alertas.