You are on page 1of 38

N

Administración Windows Grupo de Trabajo

Administración de Windows Grupo de Trabajo

SI

1. Concepto de Usuario y de Cuentas de Usuario
Como muchos otros SO, Windows XP permite tener un riguroso control de qué personas pueden entrar en el sistema para trabajar en él, y de qué forma pueden llevar a cabo dicho trabajo. Windows XP denomina usuario a cada persona que puede entrar en el sistema, y para poder controlar su entrada y sus acciones, utiliza básicamente el concepto de cuenta de usuario. Una cuenta de usuario almacena toda la información que el sistema guarda acerca de cada usuario, es decir, es la imagen que el sistema tiene de él. En Windows XP son numerosos los datos que el sistema almacena en cada cuenta de usuario, y entre ellos los más importantes son los siguientes: • • • • • Nombre de usuario: es el nombre mediante el cual el usuario puede entrar en el sistema. Cada usuario debe tener un nombre de usuario distinto. Nombre completo: es el nombre completo del usuario. Contraseña: palabra cifrada que permite autenticar el nombre de usuario. En Windows XP la contraseña distingue entre mayúsculas y minúsculas. Directorio de conexión: es el directorio donde, en principio, residirán los archivos personales del usuario. Horas de conexión: se puede controlar a qué horas un usuario puede conectarse para trabajar en el sistema. Inclusive se puede especificar un horario distinto para cada día de la semana. Cuando en un equipo se instala Windows XP, existen de entrada las cuentas de dos usuarios preinstaladas: el Administrador y el Invitado. • Cuenta de Administrador: el único que en principio posee lo que se denominan derechos administrativos en el sistema. Es decir, tiene la potestad de administrar el sistema en todos aquellos aspectos en que éste es configurable: usuarios, grupos de usuarios, contraseñas, recursos, etc. La cuenta de Administrador no puede ser borrada ni desactivada. Es posible crear cuentas de usuario y darles los mismos derechos que la cuenta Administrador, aunque Administrador sólo puede haber uno.

2

Administración de Windows XP •

SIMR

Cuenta de Invitado: es la que utilizan normalmente aquellas personas que no tienen un usuario propio para acceder al sistema. Habitualmente esta cuenta no tiene contraseña asignada, puesto que se supone que el nivel de privilegios asociado a ella es mínimo. En cualquier caso, el Administrador puede desactivarla si lo considera oportuno. Por defecto, en Windows XP Professional esta cuenta está desactivada y hagamos lo que hagamos no podremos asignarle una contraseña.

1.1. Cuenta de Administrador
Normalmente, la cuenta de Administrador no se muestra en la vista de la pantalla de bienvenida. Sólo aparecerá en dicha pantalla, en las siguientes ocasiones: • • • No existe ninguna otra cuenta con derechos de administración. Se ha iniciado el equipo en el modo a prueba de fallos (Presionando F8 durante el inicio). El Administrador tiene una sesión abierta y hemos usado cambio rápido de usuarios. Para conseguir entrar en el sistema como Administrador, debemos pasar a la pantalla de bienvenida clásica (pulsando CTRL + ALT + SUPR, dos veces, al iniciar el sistema en la pantalla de bienvenida), escribir ADMINISTRADOR como nombre de usuario, e introducir su contraseña. Muchos usuarios maliciosos intentan entrar con este nombre de usuario en cualquier sistema, intentando adivinar la contraseña. Es de vital importancia asegurarse de que la contraseña del Administrador no pueda ser fácilmente adivinada o encontrada por nadie. Como curiosidad, si ejecutamos el comando NET USER ADMINISTRADOR /RANDOM se genera una contraseña totalmente aleatoria. Cambiando el nombre de usuario podemos generar contraseñas aleatorias para otros usuarios. Otra cosa que podemos hacer es cambiar el nombre de la cuenta administrador. Para ello, debemos abrir la consola SECPOL.MSC [MSC = Microsoft Console](Inicio | Ejecutar | SECPOL.MSC), disponible también en Panel de Control | Herramientas administrativas | Directivas de seguridad, y en la opción de Directivas locales | Opciones de seguridad | Cuentas: cambiar el nombre de la cuenta de administrador. No 3

Posteriormente. Si en algún momento. Grupos de usuarios La información de seguridad almacenada en una cuenta de usuario es suficiente para establecer las restricciones que cada usuario debe poseer en el sistema. marketing. en todo sistema XP existen una serie de grupos preinstalados: Administradores. Operadores de copia. etc. Duplicadores. Si embargo. Un usuario puede pertenecer a tantos grupos como sea necesario. 4 . especialmente en sistemas con un elevado número de ellos. recursos humanos. 2. El Administrador. puede hacer que cada una pertenezca al grupo o grupos que estime conveniente. Considérese. Invitados. es mucho más flexible y potente que el establecimiento de permisos en base a usuarios individuales. • Administradores: tienen control total sobre el equipo o dominio. El concepto de grupo de usuarios. modificar y eliminar cuentas. hacer cambios en todo el sistema. El Administrador puede crear un grupo (llamémosle Contables. Puede: crear. bastaría cambiarlo de grupo. instalar programas y tener acceso a todos los archivos no privados. se indica a todas las cuentas de usuario de dicho departamento que pertenezcan al grupo Contables. y establecer permisos y restricciones a todo el grupo de una vez. HelpServicesGroup. Al igual que existen cuentas preinstaladas. al ir creando las cuentas de los usuarios. alguno de los empleados cambia de departamento. resultaría muchas veces tedioso para el administrador determinar dichas restricciones usuario por usuario. Asimismo. Usuarios avanzados. por ejemplo. Usuarios de escritorio remoto. Usuarios. Operadores de configuración de red. por ejemplo) y asignar los permisos y derechos directamente al grupo.Administración de Windows XP SIMR es nada recomendable cambiar de nombre esta cuenta. Esta forma de administrar la seguridad. que en una empresa un sistema es utilizado por empleados de distintos departamentos: contabilidad. permite agrupar de forma lógica a los usuarios de un sistema. poseyendo implícitamente la suma de los permisos de todos ellos. ya que existen muchos programas que esperan una cuenta con dicho nombre.

no funcionen correctamente con cuentas limitadas. • • Operadores de copia: pueden hacer y restaurar una copia de todo el sistema. cambiar su imagen. Usuarios: son los usuarios normales del sistema. • • • Duplicadores: pueden duplicar archivos en un dominio. • • Usuarios de escritorio remoto: los usuarios de este grupo se les concede el derecho de iniciar sesión remotamente. Además es posible que programas diseñados para SO anteriores a Windows XP. HelpServicesGroup: grupo para el Centro de ayuda y soporte técnico. Se les permite cambiar la hora del sistema. conforme a las necesidades particulares de la organización donde se ubique el sistema. crear cuentas de usuario y grupos. 5 . Gestión de cuentas de usuario avanzada. El usuario puede: cambiar o quitar sus contraseñas. 3. compartir ficheros e impresoras. borrar y modificar cuentas de usuario en Windows XP usando varios programas distintos. Gestión de cuentas de usuario estilo dominio. Gestión de Cuentas y Grupos de Usuario Podemos crear. • • • • Asistente para cuentas de usuario. No pueden instalar siempre programas. Invitados: tienen predeterminadamente el mismo acceso que los miembros del grupo Usuarios. algunos usuarios necesitarán privilegios de administrador para instalarlos. Operadores de configuración de red: los miembros de este grupo pueden tener algunos privilegios administrativos para configurar características de la red. etc. ver archivos creados. tema y otras configuraciones del escritorio. • Usuarios avanzados: son usuarios con cierta capacidad administrativa.Administración de Windows XP SIMR puede crear nuevos grupos que refinen esta estructura inicial. ver archivos en la carpeta Documentos compartidos. Dependiendo de los programas. Desde símbolo de comandos. excepto la cuenta Invitado que tiene más restricciones.

Para realizar cambios en una cuenta. hay que seguir los siguientes pasos: 1) Clic en Cambiar una cuenta. 2) Escribir el nombre que deseamos utilizar para la cuenta. 6 .2. 3) Escoger el tipo de cuenta (Administrador de equipo o Limitada = Usuario). Asistente para cuentas de usuario La herramienta Cuentas de usuarios. minúsculas. hay que seguir los siguientes pasos: 1) Clic en Crear una nueva cuenta. 3) Seleccionar el elemento a cambiar: a) Cambiar Nombre: para cambiar el nombre de la cuenta. Recordemos que una contraseña segura es aquella que incluye mayúsculas. 2) Clic en la cuenta a cambiar.Administración de Windows XP SIMR 1. está disponible desde (Panel de Control | Cuentas de Usuario). símbolos y números. Para crear una cuenta nueva. b) Crear o cambiar la contraseña: para crear o cambiar la contraseña del usuario y para crear o cambiar la sugerencia de contraseña.

Los usuarios deben escribir su nombre y contraseña para usar el equipo. Para acceder a dicho gestor. 1. tenemos un control mucho mayor sobre las cuentas de usuario que el que obtenemos con el asistente. nos permite indicar si queremos usar el sistema de usuarios y contraseñas o no. c) Cambiar la imagen: para cambiar la imagen utilizada para representar la cuenta de usuario.3. 7 . hay que ejecutar la siguiente orden desde (Inicio | Ejecutar). Windows no puede guardar los mensajes de correo electrónico. Se puede utilizar cualquier archivo. Si lo desactivamos. usando un programa gestor con estilo más avanzado. La primera opción que vemos en pantalla. sólo puede crear una nueva contraseña. un administrador de equipo no puede recuperar una contraseña olvidada. en una nueva carpeta llamada como el usuario. d) Cambiar el tipo de cuenta: para cambiar el tipo de cuenta (Administrador del equipo o Limitada) con el fin de aumentar o disminuir los permisos del usuario en el equipo. Gestión de cuentas de usuario estilo dominio Podemos también gestionar las cuentas de usuario. los Favoritos de Internet ni otras configuraciones de dicho usuario. tenemos la posibilidad de guardar el contenido del escritorio y la carpeta Mis Documentos. o bien desde una ventana del intérprete de comandos: CONTROL USERPASSWORDS2 Con este gestor de cuentas de usuario. No se puede borrar la cuenta de un usuario que ha iniciado sesión en el equipo actualmente. en el escritorio del equipo.Administración de Windows XP SIMR Si no recordamos la contraseña. podemos solicitar al administrador del equipo que nos cree una nueva contraseña. Por motivos de seguridad. Sin embargo. e) Borrar la cuenta: para borrar la cuenta de usuario del equipo. Cuando se borra una cuenta.

Gestión de cuentas de usuario avanzada La tercera opción que tenemos para gestionar cuentas de usuario. podemos observar como podemos incluir al usuario en algún grupo.MSC (Panel de Control | Herramientas Administrativas | Administración de Equipos | Usuarios locales y grupos). esta opción sólo debería usarse en ambientes domésticos donde sólo un usuario usa el ordenador. Si seleccionamos una cuenta de usuario y pulsamos el botón propiedades. Es el gestor avanzado de cuentas de usuario o consola de usuarios y grupos.4. (Inicio | Ejecutar) LUSRMGR. Obviamente. Para crear cuentas de usuario usamos el botón agregar. donde las opciones son usuarios administradores o usuarios restringidos. bien uno de los dos incluidos en el gestor (usuarios estándar y usuarios restringidos) o bien seleccionando otro grupo como puede ser el de administradores. es la opción más interesante de todas las que nos ofrece XP. Vemos que este control de grupos es mucho más amplio que el que nos ofrece el asistente. pestaña (Opciones avanzadas | Administración avanzada de usuarios). pasamos a la siguiente pantalla. Desde esta pantalla. quitar. Podemos llegar a dicha consola de varias formas: • • • Desde la ventana anterior.Administración de Windows XP SIMR obtendremos un XP que se iniciará automáticamente con la cuenta que indiquemos sin mostrar siquiera la pantalla de bienvenida. Además de que en esta opción la cuenta de Administrador está visible. para eliminar. 8 . 1.

En el valor del mes. 1. como asignar a un grupo varios usuarios. puede usarse números. Del mismo modo podemos crear nuevos grupos y modificar los ya existentes. Si no está activa. es usar las órdenes del intérprete de comandos que se han creado para tal fin. Parámetros: • /active:{yes | no}: habilita o deshabilita la cuenta de usuario. • /expires:{dd/mm/aaaa | never}: provoca que la cuenta de usuario caduque si se especifica fecha. • • • NET USER: lista los usuarios del sistema. cuando se crea un usuario se asocia directamente al grupo usuarios. escribir el nombre o utilizar una abreviatura de tres letras 9 . Podemos modificar un usuario accediendo a sus propiedades. Podemos crear usuarios nuevos accediendo a las propiedades de la carpeta usuarios (botón derecho sobre ella) y seleccionando la opción de Usuario Nuevo.Administración de Windows XP SIMR Lleguemos desde donde lleguemos. Gestión de cuentas de usuario desde símbolo de comandos La última opción que tenemos para gestionar cuentas de usuario. NET USER nombre_de_usuario [contraseña] /ADD [parámetros]: añade una cuenta de usuario con el nombre nombre_de_usuario.5. La opción predeterminada es yes. el usuario no puede tener acceso a los recursos. Por defecto. veremos que tenemos dos carpetas. una para los usuarios y otra para los grupos. Podemos tanto asignar a un usuario varios grupos. NET USER nombre_de_usuario: muestra información variada sobre dicha cuenta.

m.Administración de Windows XP SIMR (ene. use am. Puede usar dos o cuatro números para el valor del año. de lunes a viernes. hora[-hora][. a 5 p. Dicha ruta de acceso debe ser una ya existente. /times:{dia[-dia]. o p. D). mar. pm.m.. abr. /passwordchg:{yes | no}: especifica si los usuarios pueden cambiar su contraseña. el usuario puede iniciar una sesión desde cualquier equipo. feb. V. existen otras para trabajar con grupos. con derechos de inicio de sesión desde las 8 a. • /workstations:{NomEquipo[. Para las horas puede usar la notación de 12 horas o de 24 horas.m. may.. Para los valores de día. nov o dic). /passwordreq:{yes | no}: especifica si una cuenta de usuario debe tener una contraseña.1AM-3PM). sep. jul. Net user enrip enriquep /add /passwordreq:yes /times:L-V. J.] | *}: enumera hasta ocho estaciones de trabajo desde las que un usuario puede iniciar una sesión en la red. La opción predeterminada es yes.m. Ejemplo: crea una cuenta de usuario para Enrique Pérez.. S. 10 .. Si /workstations es igual a un *. • • • • /homedir:{ruta}: establece la ruta de acceso del directorio particular del usuario. ago. Un valor nulo (en blanco) significa que un usuario nunca puede iniciar la sesión. jun. Para el formato de 12 horas. El valor all significa que un usuario puede iniciar una sesión en cualquier momento. La opción predeterminada es yes. Se puede utilizar comas o barras diagonales para separar las partes de la fecha. Ma.8am-5pm Del mismo modo que podemos usar las órdenes del intérprete de comandos para gestionar cuentas de usuario. puede escribir el día o usar abreviaturas (L. • NET USER nombre_de_usuario /DELETE: elimina la cuenta nombre_de_usuario. a.4AM5PM.] | all}: especifica las horas en las que se permite al usuario el uso del equipo... oct. Se debe separar el día y la hora mediante comas y las unidades de día y hora con punto y coma (por ejemplo: L. Dicha cuenta debe disponer de una contraseña obligatoria (enriquep). Mi.M.

creará cuentas con derechos de administrador y no les obligará a usar contraseñas. en la instalación y por defecto. Es obvio. podemos hacerlo ejecutando la consola de seguridad local SECPOL. Si queremos forzar aún más el uso de contraseñas.. y no dejar ninguna cuenta de usuario sin contraseña. • NET GROUP: agrega. (Este tema se abordará con Windows 2003 Server) En la propia ayuda de Windows XP podemos consultar sobre la orden NET USER para obtener una lista de todas sus posibilidades. Debe existir el grupo y los usuarios.]] {/ADD | /DELETE}: enumera uno o varios nombres de usuarios o grupos que se agregarán o quitarán de un grupo local. NET LOCALGROUP nombre_de_grupo [miembro1 [..MSC (Herramientas administrativas | Directivas 11 . muestra o modifica grupos globales en dominios. esta vez sí adecuada. Otra característica. . es que no permite a un usuario acceder a nuestro equipo con una conexión remota si elige un usuario que no tiene contraseña. es asignar correctamente las cuentas de usuario y las contraseñas. como por ejemplo los miembros del mismo. que una de las primeras cosas que debemos hacer. • • NET LOCALGROUP nombre_de_grupo: muestra información variada sobre dicho grupo. Contraseñas en las cuentas de usuario Windows XP tiene una característica ciertamente molesta.Administración de Windows XP • SIMR NET LOCALGROUP: sin parámetros muestra el nombre del servidor y los nombres de los grupos locales del equipo. 4.

Almacena hasta 24 nuevas contraseñas para una cuenta. las contraseñas deben cumplir requerimientos complejidad. obligaremos a que cualquier cuenta de usuario nueva tenga que llevar contraseña. los cumplir los requisitos mínimos siguientes: de • No deben contener parte o todo el nombre de la cuenta del usuario. Se puede contraseña establecer que las contraseñas no caduquen nunca si se configura como 0 días. Vigencia mínima de la Se debe configurar la duración mínima de la contraseña con contraseña un valor mayor que 0 si se desea que Forzar historial de contraseñas entre en vigor. aunque sea de un único carácter. Las contraseñas deben Si está habilitada esta directiva. de Historial de contraseñas modo que se mejore la seguridad. Determina el nº de días que se debe utilizar una contraseña para que el usuario pueda cambiarla. garantizando que las contraseñas antiguas no se vuelven a utilizar continuamente. si modificamos el valor de Longitud mínima de contraseña y ponemos algo mayor que 0. Así. Se puede permitir que se efectúen cambios de forma inmediata si se configura como 0. Sin una duración mínima de la contraseña.Administración de Windows XP SIMR de seguridad local) y desde allí colocar una serie de restricciones a las contraseñas. Determina el nº de días que puede utilizarse una contraseña Vigencia máxima de la para que el sistema exija al usuario que la cambie. 12 . los usuarios pueden probar las distintas contraseñas de forma repetida hasta obtener una contraseña favorita antigua.

$. de la a a la z Dígitos en base 10. !. Estar compuesta por caracteres de tres de las siguientes categorías: o o o o Letras mayúsculas. Si no recordamos la contraseña de nuestra cuenta. estamos en un problema. y no hemos creado un disco de rescate para la contraseña. 13 . como mínimo. podrá asignarnos una nueva contraseña. que nos crea un disco que inicia sesión en la máquina. aún cuando nos olvidemos de nuestra contraseña.Administración de Windows XP • • SIMR Tener seis caracteres de longitud. en dicho disco está la contraseña grabada. %) También es posible crear un disco para restablecer la contraseña. #. la pista no nos vale. Un administrador del sistema. Obviamente. pero perderemos todos los archivos cifrados que tuviéramos en el equipo y todos los mensajes de correo electrónico que tuviéramos asociados a dicha cuenta. y es vital mantenerlo lo más seguro posible. de 0 a 9 Caracteres no alfanuméricos (ej. de la A a la Z Letras minúsculas.

puesto que se lo asignamos a un recurso en concreto. • Permisos: un permiso es el que nos permite acceder a un determinado recurso para realizar una acción en concreto.MSC. 1. como puede ser imprimir en la impresora. Esto es un derecho. Otra diferencia es que. Permisos El propietario de un recurso (o un Administrador) puede asignar permisos para ese recurso. sino que se asigna a todo el sistema.Administración de Windows XP SIMR 5. Anteriormente hemos visto la consola SECPOL. o cambiar la hora del reloj del sistema. etc. debemos desactivar la opción Uso compartido simple de archivos a la que podemos llegar desde cualquier ventana de Mi 14 . Un Administrador establece permisos usando las directivas de seguridad locales. debe establecerse qué puede hacer cada usuario/grupo. Por otra parte. a la que puede accederse mediante las herramientas administrativas. estamos asignando un permiso. • Derechos: un derecho es el que nos permite realizar una acción sobre todo el sistema. tenemos que acceder a las propiedades del recurso. a su vez.6. formatear un disco. Permisos y derechos La seguridad en XP se estructura en dos grandes niveles: por una parte. dos conceptos complementarios: los permisos y los derechos. debe establecerse quién puede trabajar en el sistema. los permisos se asignan a los objetos y los derechos se aplican a las cuentas de usuario. dado que no se asigna a un usuario o a un recurso en concreto. como puede ser iniciar sesión en el sistema. Si en una impresora indicamos que los Administradores pueden imprimir. (Si no vemos la pestaña seguridad en las propiedades del recurso. Para establecer permisos sobre los recursos de nuestro ordenador. mediante propiedades del menú contextual de dicho recurso. borrar un fichero de una carpeta. desde la que podíamos por ejemplo asignar longitudes mínimas a las contraseñas. pestaña Seguridad. y para ello se utilizan los conceptos de cuenta de usuario y grupo de usuario. y a un grupo de usuarios específico. Para esto último existen. Desde esta pestaña podemos asignar los permisos que los usuarios del sistema tienen sobre ese recurso.

debemos tratar un tema importante. pestaña seguridad. Asimismo. veremos como el grupo Administradores tiene control sobre todas ellas. En el cuadro de diálogo anterior. Si vemos los permisos de seguridad de la carpeta raíz de cada volumen. Es decir. este hereda todos los permisos de su directorio superior. de modo que Administradores va heredando el control de todas las nuevas carpetas. Antes de empezar a gestionar los permisos de seguridad de los recursos. Así. ¿Qué permisos tendrá esa carpeta? Si no existiera la herencia. la carpeta NUEVA heredará los permisos de TRABAJO. Como los recursos heredan los permisos.Administración de Windows XP PC. Si entendemos bien la herencia. esta pestaña de Seguridad sólo puede activarse en carpetas que estén grabadas en volúmenes que utilicen el sistema de ficheros NTFS. los permisos que aparecen en gris es que están heredados. por lo que JUAN podrá seguir usando dicha carpeta. todas las carpetas que creemos en el volumen C: van a tener los permisos de C:\. el de la herencia de permisos. veremos como en realidad todas las nuevas carpetas que creemos van a heredar los permisos de la raíz de los volúmenes. dado que FAT no presenta opciones de seguridad para los directorios. 15 . el Administrador debería revisar todos los permisos de todas las carpetas del sistema. menú Herramientas | Opciones de carpeta | Ver y al final de la lista encontramos dicha opción. Si este crea una carpeta NUEVA dentro de TRABAJO. Esto se realiza así para simplificar la vida de los Administradores. Imaginemos que asignamos los permisos de una carpeta TRABAJO del sistema para que pueda ser usada por el usuario JUAN. Todos los recursos que SIMR creemos van a heredar los permisos que tenga establecidos el recurso padre que contiene a dicho recurso. en el caso de que creemos un directorio.

con lo que podremos eliminar y modificar permisos de la carpeta actual. Si desmarcamos esta casilla. aunque ya serán modificables. donde nos preguntará si queremos Copiar los permisos anteriores o Quitarlos. Incluirlas juntos con las entradas indicadas aquí de forma explicita”. Si elegimos copiar. conseguiremos que al modificar los permisos de esta carpeta. Para ello. la de “Heredar del objeto principal…” el sistema nos presentara un formulario de opciones.Administración de Windows XP SIMR ¿Y si alguna vez queremos interrumpir la herencia? Es decir. también se modifiquen automáticamente los permisos de todas las carpetas que están por debajo de la nuestra. La primera de ellas. esta Si activamos casilla. que debe estar marcada indica “Heredar del objeto principal las entradas de permisos relativas a los objetos secundarios. indica “Reemplazar permisos en las todos entradas los de objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios”. se perderán todos los permisos de la carpeta 16 . Una vez en el nuevo formulario veremos que existen dos opciones en la pestaña Permisos referente a la herencia. Cuando deseleccionamos la primera casilla. la carpeta quedará con los mismos permisos que heredó. y una vez creada entrar en las propiedades de la misma. queremos crear una carpeta y que esta no herede los permisos de la carpeta superior. La segunda casilla. que debe estar desmarcada por defecto. Si seleccionamos Quitar. ir a la pestaña Seguridad y pulsar el botón Opciones Avanzadas. debemos crear la carpeta. romperemos la herencia para esta carpeta.

quitar o modificar. con el detalle necesario. en un determinado basta consultar la pestaña de permisos efectivos y buscar al usuario o grupo pertinente. En la mayoría de los casos. Si por el contrario se desea modificar dichos permisos. los permisos convencionales no gestionan correctamente los recursos. se podrá agregar. Atributos de lectura. Al establecer permisos convencionales. Así por ejemplo. este podrá realizar o no determinadas acciones. Para consultar los permisos especiales que tiene asociado un usuario recurso. Los permisos especiales se pueden aplicar a carpetas y a archivos independientemente. es decir. como veremos en la práctica que viene a continuación. en las columnas. La siguiente tabla muestra. Para mejorar dicha gestión existen los permisos especiales o efectivos. los cuales pueden modificarse. Atributos extendidos de lectura. Esta pestaña es de sólo lectura.Administración de Windows XP heredados y empezaremos desde cero. las distintas acciones que se pueden realizar. Leer permisos. 17 . SIMR Dependiendo de los permisos que se le asignen a cada usuario. automáticamente se activan una serie de permisos especiales. habrá que tener activados los siguientes permisos especiales • • • • Listar carpeta/Leer datos. para poder leer una carpeta o archivo. habrá que utilizar la pestaña permisos. y en las filas los permisos especiales que hay que tener activos para poder llevarlas a cabo.

ejecutar archivo El permiso Ejecutar archivo permite o deniega la ejecución de archivos de programa (sólo afecta a archivos). El permiso Escribir datos permite o deniega la realización de cambios en el archivo y la sobrescritura del contenido existente (sólo afecta a los archivos). Mostrar lista de carpetas o leer datos Leer atributos Leer atributos extendidos Crear archivos o escribir datos 18 . El permiso Mostrar lista de carpetas permite o deniega ver nombres de archivos y subcarpetas de la carpeta. Este permiso sólo afecta al contenido de esa carpeta (sólo afecta a carpetas).Administración de Windows XP SIMR Permiso Descripción El permiso Recorrer carpeta permite o deniega el movimiento por las carpetas para llegar a otros archivos o carpetas. Los atributos extendidos se definen mediante programas y pueden variar según el programa. Permite o deniega la vista de atributos extendidos de un archivo o carpeta. Permite o deniega la vista de los atributos de un archivo o carpeta. como sólo lectura y oculto. El permiso Leer datos permite o deniega la vista de datos en archivos (sólo afecta a archivos). incluso si el usuario no tiene permisos para las Recorrer carpeta o carpetas recorridas (sólo afecta a carpetas). El permiso Crear archivos permite o deniega la creación de archivos dentro de la carpeta (sólo afecta a carpetas).

Leer y Escribir. una posibilidad que tenemos es la de compartir nuestros recursos en red. nuestra impresora. sólo incluye el permiso para realizar cambios en los atributos de un archivo o carpeta. como Control Cambiar permisos total. Permite o deniega la lectura de los permisos del archivo o carpeta. Permite o deniega la toma de posesión del archivo o de la carpeta. (afecta a carpetas) Escribir atributos extendidos Eliminar subcarpetas y archivos Eliminar Permite o deniega la supresión del archivo o de la carpeta. Leer y Escribir. El permiso Escribir atributos extendidos no implica la creación o eliminación de archivos o carpetas. incluso si no se ha otorgado el permiso Eliminar en la subcarpeta o archivo. sólo incluye el permiso para realizar cambios en los atributos de un archivo o carpeta. Permite o deniega la eliminación de subcarpetas y archivos. una unidad de CD. eliminación ni sobrescritura de los datos existentes (sólo afecta a los archivos). Si no ha obtenido el permiso Eliminar en un archivo o carpeta. Los grupos o los usuarios que tienen permisos Control total para una carpeta pueden eliminar archivos y subcarpetas (siempre que no tengan contenido) de dicha carpeta. Permite o deniega el cambio de los atributos de un archivo o de una carpeta. como sólo lectura y oculto. Esta posibilidad de compartir recursos conlleva la necesidad de usar un método para poder controlar los usuarios y decidir qué van a poder hacer sobre los mismos. etc. bien sean estos una carpeta o directorio de nuestro sistema. 6.Administración de Windows XP SIMR El permiso Crear carpetas permite o deniega la creación de carpetas dentro de la carpeta (sólo afecta a las carpetas). podrá eliminarlo si se le ha otorgado el permiso Eliminar subcarpetas y archivos en la carpeta principal. como Control Permisos de lectura total. Crear carpetas o agregar datos El permiso Agregar datos permite o deniega la realización de cambios al final del archivo pero no el cambio. Permite o deniega el cambio de los atributos extendidos de un archivo o carpeta. Los atributos extendidos se definen mediante programas y pueden variar según el programa. Compartir recursos Cuando trabajamos en una red local. cualesquiera que sean los permisos que protegen a los archivos y las subcarpetas. 19 . El propietario de un archivo o de una carpeta siempre puede cambiar los permisos que protegen al Tomar posesión archivo o a la carpeta. Escribir atributos El permiso Escribir atributos no implica la creación o eliminación de archivos o carpetas. Permite o deniega el cambio de los permisos del archivo o carpeta.

También debemos gestionar la seguridad para cada recurso local (Permisos locales). pero perdemos la flexibilidad inherente a los permisos y derechos exhaustivos. y limitando las posibilidades de uso de cada uno de ellos. Este asistente es conocido como uso compartido simple de archivos y aunque es muy cómodo de utilizar conjuntamente con el asistente de redes locales. no es válido para gestionar un equipo que no sea doméstico ya que no proporcionamos ningún tipo de seguridad. Por el echo de estar compartidos. En este caso se recomienda lo siguiente: Cuando se comparte un directorio que reside en una partición NTFS. compartir nuestra impresora solo requerirá marcar una casilla). Esto significa que cuando creamos un recurso compartido no indicamos ninguna contraseña.. éstos tendrán unos permisos establecidos. Vemos como la gestión de los permisos en los recursos compartidos es muy parecida a la gestión de los permisos que hemos tratado anteriormente para los recursos locales. activa un asistente automático que oculta al usuario todos los aspectos de seguridad que vimos anteriormente. este asistente del que hablamos y el modo normal.. etc. que permisos quiero asignar a cada usuario. indicando que usuarios o grupos tendrán acceso a dicho recurso. Windows ofrece dos modos totalmente distintos de compartir recursos y gestionar la seguridad. Usando el modo normal. Windows XP al instalarse. debemos asignar los permisos para cada recurso compartido (Permisos en red). al margen de estar compartidos..Administración de Windows XP SIMR Windows XP no utiliza el control de acceso a los recursos mediante contraseña. si nuestros archivos y directorios se encuentran en una partición NTFS. pero entonces sólo los usuarios que puedan pasar ambos filtros (Permisos en red y locales) podrán acceder al directorio compartido. sino que indicamos directamente a qué usuarios quiero dar permisos sobre dicho recurso. Es decir. se recomienda dejar Control Total o Cambiar sobre Todos en los permisos 20 . y también oculta todo el tema de recursos compartidos que estamos viendo. Usando el “Simple File Sharing” Uso Compartido Simple de Archivos se pueden compartir recursos de una forma muy simple (por ejemplo. sino que opta por implementar el control de acceso a los usuarios. es posible establecer un filtro desde la ventana Compartir.

además de poseer los permisos suficientes sobre el recurso. tiene 21 . Además hay que tener en cuenta lo siguiente: Si un usuario ha iniciado una sesión interactiva (local) en un ordenador denominado A. no utilizamos dos grupos de permisos sino uno sólo. SIMR Esta recomendación es muy útil.Administración de Windows XP asociados al recurso compartido. aunque no estén compartidos. independientemente de que el archivo o directorio esté o no compartido. con lo que a la larga resulta más segura y más sencilla. Esta forma de trabajar obliga al administrador a asociar los permisos correctos a cada objeto del sistema. pero por otra parte se unifica la visión de seguridad de los archivos. si tenemos en cuenta que de esta forma. y desea conectarse a un recurso de red que exporta otro ordenador denominado B. sobre el propio directorio y sobre su contenido. para cada archivo y directorio del sistema. y controlar quién y cómo puede acceder al recurso y a su contenido mediante los permisos asociados a dicho directorio y a sus archivos y subdirectorios.

Administración de Windows XP que tener concedido en B el derecho de acceder a este equipo desde la red. convierte un recurso en invisible para el resto del mundo. se comparten por defecto otros recursos para usos del propio sistema y administrativos. etc. al margen de los recursos que el administrador desee compartir. En relación con los nombres de estos recursos. D:. En este caso. Es decir.) se crea un recurso compartido denominado C$. Antes de comenzar a compartir recursos. etc. SIMR Por último. es interesante saber que añadir el carácter $ al final de cualquier nombre de recurso tiene un efecto específico: prohíbe que dicho recurso se visualice dentro de la lista de recursos que una máquina exporta al resto. Aunque no tendrían ningún permiso sobre dichas carpetas. es aconsejable asegurarnos de que la cuenta de usuario “Invitado” está desactivada. ya que podría ser usada por algunos usuarios para entrar en nuestras carpetas compartidas sin necesidad de contraseña. un usuario remoto sólo podrá conectarse al recurso si conoce su nombre de antemano (y tiene suficientes permisos. Para compartir recursos. Los administradores y los operadores de copia pueden conectarse por defecto a estas unidades. obviamente). Si esta opción no está disponible o los 22 . siempre es un riesgo innecesario. Estos recursos no deben modificarse ni prohibirse: • Letra_de_unidad$: por cada partición existente en el sistema (C:. debemos hacer clic en dicho recurso con el Botón derecho | Propiedades | Compartir y seguridad. D$.

y veremos los pasos que hay que dar: Como vemos. podemos darle al recurso compartido un nombre propio. No hay que usar forzosamente el nombre de la carpeta. En nombres de grupos o usuarios deja Todos. No duplicar Direcciones IP. Los equipos que participen deben pertenecer al mismo Grupo de trabajo. Servicio Servidor iniciado. Podemos establecer también aquí el número máximo de usuarios que queremos que usen el recurso. con lo cual todos los usuarios que estén dados de alta en nuestra máquina podrán usar dicho recurso desde la red (si un usuario intenta usar dicho recurso y no tiene una cuenta asociada en nuestro Windows XP con su nombre y contraseña no podrá). También podemos usar un comentario que será visible desde la red. que será el que aparezca en la red. debemos controlar los siguientes aspectos (algunos de ellos ya han sido comentados). Misma Cuenta de usuario con Contraseña en el equipo remoto. para indicar que uso le damos a dicho recurso. Derecho Tener acceso a este equipo desde la red En las propiedades de la conexión de red. los recursos no serán visibles: • • • • • • • • • Desactivar la opción Uso simple de archivos compartidos. Vemos como en este formulario tenemos la opción de establecer permisos especiales para este recurso. Vamos a compartir una carpeta. activar Compartir impresoras y archivos para redes Microsoft. Sistema de archivos NTFS. Vemos aquí las opciones que por defecto deja Windows XP al compartir un recurso. (Si necesitamos que accedan más de 10 usuarios. La opción por defecto (Máximo permitido) va a permitir que hasta 10 usuarios estén conectados a este recurso al mismo tiempo. Misma Subred. • En el Firewall activar Compartir archivos e impresoras. Si alguno de ellos falla.Administración de Windows XP SIMR recursos no son visibles remotamente. debemos usar una versión servidora de Windows). 23 .

La variable %UserName% nos devuelve el nombre de usuario actual.Administración de Windows XP SIMR Ya se ha comentado cómo la forma más adecuada de realizar la asignación de permisos. y en una carpeta con el nombre de la cuenta del usuario. cada usuario que inicia sesión en nuestra máquina cuenta con un perfil de usuario. y con lo que se suelen tener muchos problemas. que contiene la porción de información del registro del sistema inherente a dicho usuario. etc. 7. los favoritos de Internet. 24 . a la forma en que configura el Word. sus carpetas de documentos. Hay que prestar atención a algo que acabamos de comentar. accesos directos a carpetas de red. Por defecto. debe usar un nombre de usuario y una contraseña local de nuestro equipo. Dentro de cada perfil de usuario. desde el aspecto del cursor del ratón. El raíz de dicho perfil (es decir. encontramos una jerarquía de directorios o carpetas. la carpeta dentro de Documents And Settings que tiene como nombre el nombre del usuario) contiene un fichero NTUSER. (Se denomina ANÓNIMO cuando nuestro equipo no reconoce el nombre y la contraseña del usuario que intenta acceder a nuestro equipo). que se crea cuando dicho usuario inicia sesión por primera vez en nuestra máquina. Cualquier usuario que quiera acceder a un recurso nuestro desde la red. con lo que nuestro perfil estará almacenado en %SystemDrive%\Documents And Settings\%UserName%. Podemos usar la variable de entorno %SystemDrive% que indica en que volumen se instaló Windows XP. Windows XP no permite el acceso ANÓNIMO a un recurso. Perfiles de Usuario El perfil de usuario contiene todas las características y ficheros que forman parte del entorno de trabajo de un usuario.DAT. Hablando de otro modo. Esto incluye los parámetros especiales de ese usuario en el registro del sistema para multitud de aspectos. Los perfiles de usuario locales se almacenan bajo la carpeta DOCUMENTS AND SETTINGS. Toda esta ruta esta también almacenada en una variable de entorno que es la de %UserProfile%. que se crea en el mismo volumen donde instalamos Windows XP. las cookies que utiliza.

La información que se almacena en esta carpeta depende de los programas. 25 .Administración de Windows XP Dentro del perfil se incluyen las siguientes carpetas: SIMR • Datos de programa: esta carpeta oculta contiene datos específicos para programas. aquí se encuentran los históricos de Internet Explorer. lo estamos almacenando en la carpeta Mis Documentos del perfil Ana. certificados de Internet Explorer. los ficheros temporales del mismo. Si almacenamos algo en Mis Documentos directamente. pequeños ficheros de textos usados por las páginas Web para proporcionar diversos servicios). como los diccionarios de los procesadores de textos. lo estamos almacenando en la carpeta Mis Documentos del perfil del usuario actual. etc. • Cookies: esta carpeta contiene las cookies del Internet Explorer. bien porque son específicos de la máquina local o porque son excesivamente grandes y no merece la pena ser mantenidos junto con el perfil. cuando en cualquier programa almacenamos algo en la carpeta Mis Documentos. Configuración Local: esta carpeta oculta contiene configuraciones y ficheros que no se mueven con el perfil del usuario. etc. • • Favoritos: los favoritos del Internet Explorer. Por ejemplo. si en un programa almacenamos algo en Documentos de Ana. (Galletas. • Mis Documentos: esta carpeta es la que realmente se usa. por ejemplo. bases de datos de los CDs. Así.

Administración de Windows XP • SIMR Entorno de Red: tenemos aquí los accesos directos que aparecen en Mis sitios de Red. La carpeta Default User está oculta. Documentos Recientes: accesos directos a los últimos documentos con los que hemos trabajado. solo los administradores pueden añadir objetos al escritorio y al menú inicio del perfil All Users. 26 . Por defecto. todos los usuarios pueden añadir objetos en la carpeta de documentos compartidos. • Plantillas: tenemos aquí accesos directos a plantillas de documentos.7. 1. • Escritorio: tenemos en esta carpeta los accesos directos que se muestran en el escritorio del usuario. si ponemos algún acceso directo en All Users\Escritorio. Sin embargo. este acceso les aparecerá a todos nuestros usuarios en sus escritorios. • • Impresoras: tenemos aquí accesos directos a impresoras y faxes. se añade a los contenidos de los perfiles de cada usuario. Estos son All Users (Todos los usuarios) y Default User (Usuario por defecto). Por ejemplo. bajo la opción Enviar a. Estas plantillas son usadas por el comando Nuevo en Windows Explorer. Perfiles comunes En la carpeta de perfiles (%SystemDrive%\Documents And Settings) podemos encontrar dos perfiles que no están asociados a ninguna cuenta de usuario en particular. • SendTo: esta carpeta contiene accesos directos a las carpetas y aplicaciones que aparecen en el menú contextual de un objeto en el explorador de archivos. Perfil All Users. • Menú Inicio: esta carpeta contiene los objetos personales (como accesos directos a aplicaciones y documentos) que vemos aparecer en el Menú Inicio. El contenido de este perfil.

Si un usuario cambia algo en su perfil. Por defecto. ya que pueden simplificar enormemente la vida a los administradores. Windows crea un nuevo perfil local para dicho usuario. podemos configurar los perfiles de nuestros nuevos usuarios. Esto implica que esos perfiles están disponibles para los usuarios sin importar en que máquina abran sesión. Por lo tanto. Sin embargo. este fichero conserva sus permisos propios. Esto hace que si como administrador creamos un fichero y lo movemos a la carpeta Default User (o a cualquier carpeta en realidad) este fichero nos pertenecerá a nosotros. esos cambios sólo se registran en nuestra máquina local. 1. Si el usuario modifica algo del perfil.Administración de Windows XP SIMR Perfil Default User. sino en un servidor de red. y es muy probable que el usuario no tenga permiso ni siquiera para verlo. Es interesante conocer bien el funcionamiento de estos perfiles especiales. si movemos un fichero a la carpeta de perfil para Default User. Hay que tener cuidado con un error que se suele cometer con los permisos de los ficheros al usar estos perfiles. siempre que dichas máquinas tengan acceso a ese servidor. sólo los administradores pueden hacer cambios en esta carpeta. • Perfiles de usuario móviles: estos perfiles no se almacenan en el disco duro local de la máquina. Es el único tipo de perfil usado si no estamos en un dominio. etc. incluir enlaces directos a las páginas Web de la empresa. por ejemplo. El perfil se encuentra almacenado en un servidor. • Perfiles de usuarios locales: son los que se almacenan en %SystemDrive%\Documents And Settings en el disco duro local. a documentos donde se expliquen las características de seguridad que se han de seguir. de modo que al iniciar sesión se copia dicho perfil a la máquina en la que se encuentre el usuario.8. este fichero obtiene los permisos de la carpeta. Tipos de perfiles Windows admite tres tipos distintos de perfiles. Podemos. copiando el contenido de la carpeta Default User a una nueva carpeta con el nombre del usuario. modificando el contenido de la carpeta Default User. Cuando un usuario inicia sesión en nuestro sistema por primera vez (y no tiene un perfil móvil u obligatorio). como es obvio. Si copiamos un fichero a la carpeta de perfil para Default User. dichos cambios son introducidos también en 27 .

28 . Si desde allí escogemos un usuario y hacemos doble clic. podemos configurar lo siguiente: • Ruta de acceso al perfil: para habilitar un perfil de usuario móvil u obligatorio para la cuenta de usuario seleccionada. y tenemos una pestaña para gestionar su perfil. es que pueden ser usados por múltiples usuarios sin que se afecten los unos a los otros. Inicialmente. Desde este formulario. • Perfiles de usuario obligatorios: estos perfiles sólo pueden ser cambiados por los administradores. la próxima vez que inicie otra sesión verá que no se han almacenado ninguno de los cambios que ha introducido. Sin embargo. cuando creamos una nueva cuenta de usuario su perfil se crea automáticamente la primera vez que dicha cuenta de usuario inicia sesión en nuestro sistema. y se crea una copia de dicho perfil en la máquina en la que el usuario inicia sesión. Estos perfiles móviles pueden ser utilizados si contamos con un servidor en la red.Administración de Windows XP SIMR el servidor. Asignación de Perfiles Móviles y Obligatorios Normalmente. el administrador si puede modificar estos perfiles como le parezca. Es decir. Para ello debemos entrar en Herramientas Administrativas | Administración de Equipos o podemos ejecutar LUSRMGR. como Administrador del sistema podemos asignar directamente un perfil a una cuenta de usuario. Por ejemplo. los cambios que el usuario efectúe en su perfil no se copian en el servidor. debe escribir una ruta de acceso de red con el formato \\nombre del servidor\nombre de la carpeta de perfiles\nombre de usuario. es igual que un perfil de usuario móvil. Obviamente. 1.9. Pero a diferencia el perfil móvil. veremos como nos aparecen las propiedades de dicho usuario.MSC directamente desde una instancia del intérprete de comandos. aunque el usuario puede cambiar su perfil una vez abierta sesión. Una ventaja de los perfiles de usuario obligatorios. ya que el perfil se encuentra almacenado en un servidor.

no es recomendable trabajar con perfiles que no sean locales. Aunque la mayoría de los programas usan la carpeta Mis Documentos para almacenar los ficheros del usuario. Por ejemplo. 29 . para iniciar ciertos programas de control. Conectar: desde aquí podemos asignar una letra de unidad a un recurso compartido en red de otro equipo. cuando la cierra. de modo que creamos la carpeta Home del usuario en otro equipo de la red. escribir lo siguiente en Secuencia de comandos de inicio de sesión: FolderName\Startup. El Script de inicio de sesión. etc. para almacenar la secuencia de comandos de inicio de sesión Startup.) puede ser usado como Script de inicio. • Carpeta particular (Home).Administración de Windows XP SIMR \\servidordam\perfiles\juan. • Archivo de comandos de inicio de sesión: aquí podemos colocar el nombre y localización de un fichero de comandos (Script) que se ejecutará cada vez que el usuario inicie sesión. podemos necesitar crear una carpeta alternativa para dicho usuario. Si la secuencia de comandos de inicio de sesión se encuentra en un subdirectorio de la ruta de acceso predeterminada. etc.. a intervalos de tiempo. Hay que tener en cuenta que el usuario que use el perfil debe tener derechos totales sobre dicha carpeta.bat • Carpeta particular (Home). com. cuando se apaga. vbs.bat guardada en \\ComputerName\Netlogon\FolderName. cmd. Ruta de acceso local: la carpeta particular (Home) es una carpeta en la que el usuario puede almacenar sus ficheros y programas. Cualquier fichero ejecutable (bat. en XP tenemos varios lugares más desde donde hacer esto. es un programa que se ejecuta automáticamente cada vez que el usuario inicia sesión en nuestra máquina. Normalmente estos scripts se pueden utilizar para conectarnos a sitios de red. sólo funciona adecuadamente si estamos unidos a un dominio. En un ámbito de grupo de trabajo. Podemos obligar a que se ejecuten programas cuando un usuario inicia sesión. bastará con indicar la ruta de acceso relativa delante del nombre de archivo. exe. a horas programadas. Este es simplemente uno de los sitios donde podemos obligar a las cuentas de usuario a ejecutar un programa. js. cuando se enciende el sistema. Toda esta gestión de perfiles que hemos visto.

las políticas de grupo son una herramienta muy poderosa que permite a los administradores configurar equipos de forma local o remota. El añadido (snap-in) de las consolas de Microsoft (MMC) que se encarga de las directivas de grupo es el GPEDIT. Esta consola es muy configurable. Pero también tienen utilidad las políticas de grupo en entornos pequeños. En estos sistemas. las políticas de grupo de cada máquina. restringiendo los derechos de los usuarios. vamos a trabajar con las opciones que aparecen por defecto.Administración de Windows XP SIMR 8. En caso contrario se muestra un mensaje de error. permitiéndonos añadir y quitar opciones según deseemos. eliminando aplicaciones. Para poder trabajar con el gpedit. Desde las políticas de grupo podemos acceder a estas características y modificarlas. controlan los aspectos únicamente de dicha máquina. 30 . Usando las políticas de grupo en una máquina corriendo Windows XP. se apague. En un ambiente de grupo de trabajo. de una forma mucho más simple que mediante la edición pura del registro. • Especificar opciones especiales de seguridad. un usuario inicie sesión o cierre sesión. y redirigiendo carpetas del sistema a red o viceversa.msc). instalando aplicaciones. • Asignar scripts que se ejecutaran automáticamente cuando el sistema se encienda.MSC (Inicio | Ejecutar | gpedit. Directivas de Grupo Las directivas de grupo forman parte de la estructura de los sistemas Windows a partir de Windows 2000. incluso en una sola máquina.msc necesitamos estar usando una cuenta de usuario que pertenezca al grupo Administradores. instalando y ejecutando scripts. podemos: • Modificar políticas que se encuentran en el registro del sistema: el registro del sistema es una gran base de datos en la que se configuran cientos de comportamientos de Windows XP. Si estamos trabajando bajo un dominio (con un servidor en la red administrando dicho dominio) las políticas de grupo cobran mayor protagonismo. De momento.

la configuración del equipo siempre tiene preferencia. nos vamos a centrar aquí en las directivas locales. afectarán a todos los usuarios del equipo local.Administración de Windows XP SIMR Si nuestro equipo esta unido a un dominio. que afectaran a varias máquinas. Si accedemos desde el Panel de Control | Herramientas Administrativas | Directivas de Seguridad Local. ya que no estamos trabajando en un dominio de momento. sin importar desde que equipos se conecten. Principalmente. independientemente de quién inicie una sesión en ellos. estas son las directivas que se pueden gestionar. Los cambios que realicemos dentro de la Configuración del usuario. En caso de conflicto. 31 . ya que no estamos trabajando con dominios. veremos que dentro las directivas de grupo locales tenemos dos opciones: Los cambios que realicemos dentro de Configuración del equipo se aplicarán al equipo local. Sin embargo. afectarán a usuarios. (De nuevo estamos viendo que aquí nos referimos a un dominio) Algunas directivas aparecen tanto en la configuración del equipo como en la configuración del usuario. y por lo tanto. podemos configurar directivas del dominio completo.

Si nadie ha iniciado una sesión localmente interactiva. un nombre de cuenta nombre de la cuenta diferente. + Alt + Supr para que un usuario interactivo: no requerir pueda iniciar sesión. último nombre de usuario Inicio de sesión Determina si se debe presionar Ctrl. invitado Cuentas: estado de cuenta Administrador Cuentas: estado cuenta Invitado de la Determina si la cuenta de Administrador está habilita o no. la Determina si la cuenta de invitado está habilitada o no. en el equipo local debe estar instalado el controlador de la impresora de red. Inicio de sesión Determina si se muestra en la pantalla de inicio de sesión el nombre del interactivo: no mostrar el último usuario que inició sesión en el equipo. un nombre de cuenta diferente. medios extraíbles Determina si los usuarios locales y remotos tiene acceso a un CD-ROM Dispositivos: restringir el simultáneamente. se puede tener acceso a través de la red. iniciar sesión Cuentas: cambiar el Permite asociar. en el proceso de agregar una impresora en red. Deshabilitarla puede acarrear problemas de mantenimiento. sólo se permite a los usuarios con inicio de sesión interactiva el acceso al CD-ROM.Administración de Windows XP SIMR 1. Dispositivos: impedir que los usuarios instalen controladores de impresora Dispositivos: permitir Determina quién tiene permiso para formatear y expulsar medio formatear y expulsar extraíbles. Ctrl. Esta opción determina a quién se le permite instalar el controlador de impresora. administrador Cuentas: cambiar el nombre de la cuenta Permite asociar. acceso al CD-ROM sólo al usuario con sesión iniciada Si se habilita esta directiva.10. Para que un equipo imprima en una impresora en red. Configuración del equipo (Configuración de Windows | Configuración de seguridad | Directivas locales | Opciones de seguridad) Opciones de seguridad Descripción Apagado: permitir apagar el sistema sin tener que Determina si un equipo puede apagarse sin tener que iniciar sesión. a la cuenta Invitado. a la cuenta Administrador. contraseña antes de que caduque 32 . + Alt + Supr Inicio de sesión interactivo: pedir al Determina con cuántos días de antelación se debe avisar a los usuarios usuario cambiar la de que la contraseña va a caducar.

Hay que tener cuidado en leer muy bien la directiva y su explicación antes de modificarla. Deshabilitado. con lo que se comportará según el criterio por defecto para dicha directiva.Administración de Windows XP SIMR Para modificar el estado o configuración de una directiva. simplemente tenemos que realizar doble clic sobre dicha directiva para que nos aparezca el cuadro de diálogo que nos permite modificar dicha directiva. Por ejemplo. En algunas directivas. existen algunas configuraciones más que podemos realizar aparte de habilitar o deshabilitar la directiva. Si escogemos la pestaña Configuración. con lo que impediremos que se ponga en marcha dicha directiva. 33 . ya que podemos entender justo lo contrario de lo que hace. con lo que la pondremos en marcha en el sistema. veremos como podemos: • No configurado. si habilitamos la directiva que deshabilita el contenido extra en el escritorio. • • Habilitado. estamos deshabilitando dicha opción. como la que se presenta en el ejemplo.

pero no en la unidad de CD-ROM. dependiendo de la configuración. Asimismo. utilizar la configuración Ejecutar sólo aplicaciones permitidas de Windows. aunque lo tengan prohibido desde el Explorador de Windows. No ejecutar aplicaciones de Windows especificadas Desactivar reproducción automática El valor predeterminado es deshabilitado en unidades extraíbles.Administración de Windows XP SIMR 1. Impedir el acceso al símbolo del sistema Es posible impedir el acceso pero no la ejecución de archivos . Impide que Windows ejecute los programas que le especifiquemos. Cada vez que un usuario se conecta a Internet.11. Windows busca actualizaciones y las descarga automáticamente.BAT. NOTA: esta configuración no impide la reproducción automática de CD de música. Si está habilitado se impedirá a Windows que busque actualizaciones. tales como la unidad de disco. cuando los componentes descargados estén listos para instalarse. Desactiva la función de reproducción automática. No impide que ejecuten programas como el Administrador de tareas. Ejecutar sólo aplicaciones permitidas de Windows Esta configuración sólo impide que los usuarios ejecuten programas que se inician desde el Explorador de Windows. Esta directiva debería utilizarse en lugar de la anterior. o antes de la descarga. que se inicia con el proceso del sistema o por otros procesos. Si está deshabilitado o no configurado.EXE. Configuración del usuario (Plantillas administrativas | Sistema) Sistema Descripción Impide que los usuarios ejecuten el símbolo interactivo del sistema CMD. esta configuración no les impedirá que inicien programas desde la ventana de comandos. Windows busca actualizaciones automáticas disponibles para el SW y HW en el equipo y las descarga automáticamente. si los usuarios tienen acceso al símbolo del sistema. editor del Registro de Windows. Esto sucede en segundo plano y se le pedirá al usuario confirmación. los usuarios sólo podrán ejecutar los programas que agreguemos a la lista de aplicaciones permitidas. Impedir el acceso a herramientas de edición del Registro Para impedir que los usuarios utilicen otras herramientas administrativas. Si se habilita esta configuración. Actualizaciones automáticas de Windows 34 .EXE. Si queremos que estos tampoco sean ejecutables hay que responder afirmativamente a la pregunta ¿Desactivar también el procesamiento de secuencias de comandos del símbolo del sistema? Deshabilita el REGEDIT.

podemos establecer que usuarios tendrán que iniciar sesión localmente. lo mejor que podemos hacer es irnos leyendo los distintos derechos para comprender qué podemos hacer desde aquí. En estos derechos si podemos añadir los grupos o usuarios que queramos. y ejecutar SECPOL. en Configuración del equipo | Configuración de Windows | Configuración de seguridad | Directivas locales | Asignación de derechos de usuario. por ejemplo. Para conseguir esto. Podemos asignar estos derechos en las directivas de grupo. pero si estamos en una máquina que usamos normalmente nos interesa buscar un método que nos permita “saltarnos” las directivas. • Cada vez que un usuario inicia sesión en nuestro equipo. y por lo tanto. un derecho no es lo mismo que un permiso. • Todas las directivas que son leídas desde dicha carpeta se aplican al usuario que acaba de entrar en el sistema. incluidos nosotros mismos. Como indicamos anteriormente. como vimos anteriormente. (Denegar el acceso desde la red a este equipo. estas directivas se aplican a Todos los usuarios. el usuario lee automáticamente las directivas que encuentre en dicha carpeta. concretamente en la carpeta %SystemRoot&\System32\GroupPolicy. También podemos tomar un atajo.MSC (como vimos anteriormente) que nos abrirá la consola con la asignación de derechos de usuario cargada por defecto. tanto desde configuración del equipo. Unos derechos especialmente importantes son los derechos conocidos como derechos de inicio de sesión (logon rights). o al contrario. como desde configuración del usuario. (Configuración de Windows | Configuración de seguridad | Directivas locales | DERECHOS) 35 . y cuales deberán hacerlo forzosamente desde la red.). Esto está bien si lo que queremos es proteger una máquina de un ciber. Derechos de usuario Recordemos que. tenemos que tener en cuenta lo siguiente: • Las directivas de grupo se almacenan en una carpeta de nuestro sistema. 9. etc. Denegar el inicio de sesión localmente.Administración de Windows XP SIMR Habremos notado que cuando activamos directivas de grupo.

Cargar y descargar controladores de dispositivo Un usuario que tiene el privilegio Cargar y descargar controladores de dispositivo podría hacer mal uso del mismo al instalar código maligno enmascarado como controlador de dispositivo. Permite al usuario pasar por alto los permisos de archivo y directorio para realizar una copia de seguridad del sistema. Denegar el acceso desde la Prohíbe al usuario o al grupo conectar con el equipo a través de la red. Crear un paginación archivo de Permite al usuario crear y cambiar el tamaño de un archivo de paginación. localmente Generar seguridad auditorías de Permite que un proceso genere entradas en el registro de seguridad. Restaurar directorios archivos y Permite al usuario pasar por alto los permisos de archivo y de directorio al restaurar copias de seguridad de archivos y directorios. mientras se desplaza a la ruta de un objeto en el Omitir la comprobación de sistema de archivos NTFS o en el Registro. El privilegio sólo se Hacer copias de seguridad de selecciona cuando una aplicación intenta tener acceso a través de la archivos y directorios Interfaz de programación de aplicaciones (API) de copia de seguridad de NTFS. Cambiar la hora del sistema Permite establecer la hora del reloj interno del equipo.Administración de Windows XP SIMR Derechos Descripción Permite a un usuario especificar las opciones de auditoría de acceso a objetos. los procesos Inicio de sesión local Permite a un usuario inicial sesión directamente desde teclado. Incrementar la prioridad de Permite que un usuario con este privilegio pueda cambiar la prioridad de un proceso a través del Administrador de tareas. Apagar el sistema Permite a un usuario apagar el equipo local. red a este equipo Denegar el inicio de sesión Prohíbe al usuario o al grupo conectar con el equipo directamente desde teclado. como objetos de Active Directory. se aplican los permisos normales para archivos y directorios. Si no. Éstos sólo puede instalarlos el grupo Administradores. Permite al usuario instalar y desinstalar los controladores de dispositivo. y establecer cualquier principal de seguridad como propietario de un objeto. Administrar los registros de auditoría y seguridad Un usuario con este privilegio también podrá ver y borrar el registro de seguridad del Visor de sucesos. desde la red Tomar posesión de archivos Permite al usuario tomar posesión de cualquier objeto que se pueda y otros objetos asegurar en el sistema. el usuario no tendría acceso. sólo le da el derecho de recorrer sus directorios. de otra forma. Tener acceso a este equipo Permite al usuario conectar con el equipo a través de la red. archivos y 36 . Este privilegio no permite al recorrido usuario mostrar el contenido de una carpeta. Permite al usuario pasar por alto las carpetas a las que.

Administración de Windows XP SIMR carpetas de NTFS. veremos que nos da la opción de CONECTAR CON OTRO EQUIPO. podemos bien acceder a Mi PC | Administrar. es que nos permite conectarnos para administrar otros equipos. Desde esta consola podemos acceder a apartados como el administrador de discos. veréis que indica que se está administrando el equipo local. el administrador de dispositivos. Para ejecutarla. desde donde podemos acceder a la mayor parte de las opciones que hemos ido viendo hasta ahora. impresoras. Si os fijáis en el raíz del árbol de directorios de la izquierda.MSC que nos trae directamente la consola de administrador de equipos. El Administrador de Equipos El Administrador de equipos es una consola principal. o podemos ejecutar la orden COMPMGMT. etc. nos pedirá que introduzcamos el nombre del equipo de nuestra red local que queremos administrar. Una función interesante de esta consola. los usuarios conectados. servicios. 10. el gestor de usuarios y grupos. procesos y subprocesos. Si nuestra cuenta de usuario actual (en el equipo local) es reconocida en el equipo a administrar como una cuenta del grupo Administradores. o si introducimos un nombre de usuario y contraseña reconocidos como del grupo Administradores por el equipo a controlar veremos que 37 . los archivos abiertos. claves del Registro. ver las carpetas compartidas de nuestro sistema. Si pulsamos dicha opción. Si accedemos a las propiedades de este elemento raíz.

Administración de Windows XP SIMR pasamos a administrar el equipo de la red remotamente. Esto nos permite realizar acciones sobre el equipo remoto tales como: • • • • • • Crear cuentas de usuario Crear carpetas compartidas Crear grupos Modificar usuarios Usar el gestor de discos Ver el administrador de dispositivos Así. por tanto. Hemos de darnos cuenta que estamos accediendo remotamente a otro equipo. todas las opciones que debían controlarse a la hora de compartir archivos también deben controlarse aquí. es posible para un Administrador controlar una red completa de equipos siempre que tenga cuentas del grupo de administrador creadas en todos ellos. de lo contrario no podremos conectarnos. 38 .