Administración de usuarios en Windows NT

Septiembre 2017

El concepto de usuario

Windows NT es un sistema operativo que administra sesiones. Esto significa que cuando se inicia un sistema, es necesario registrarse con un nombre de usuario y una contraseña.

Cuando se instala Windows NT, la cuenta de administrador se crea de forma predeterminada, así como también una cuenta denominada invitado. Es posible (y se recomienda) modificar los permisos de los usuarios (qué acciones pueden realizar) y también agregar usuarios mediante el Administrador de usuarios. Una cuenta de usuario es una identificación asignada de manera única al usuario para permitirle:

  • iniciar sesión en un dominio para acceder a los recursos de red
  • iniciar sesión en un equipo local para acceder a los recursos locales
Por lo tanto, todos los usuarios que utilizan habitualmente la red deben tener una cuenta.

Administración de usuarios

El Administrador de usuarios es la utilidad estándar que ofrece Windows NT. Como su nombre indica, se encarga de la administración de los usuarios. Se encuentra en el Menú Inicio (Programas/Herramientas de administración).

El Administrador de usuarios

Para crear una cuenta nueva, haga clic en Nuevo usuario en el menú de usuarios. Aparecerá un cuadro de diálogo para especificar la información acerca del nuevo usuario:

  • Usuario: Nombre de inicio de sesión del usuario
  • Nombre completo: Información opcional del usuario
  • Descripción: Campo opcional
  • Los campos para la Contraseña son opcionales. Aún así, se recomienda rellenarlos y marcar la casilla con la etiqueta "El usuario debe cambiar la contraseña" por razones de seguridad.

Convenciones para el nombre de usuario

El administrador identifica a los usuarios por medio de convenciones para el nombre del usuario. Debe tener en cuenta la siguiente información:

  • Los nombres de usuario deben ser únicos (dentro de un dominio o en un equipo local)
  • Los nombres de usuario pueden contener cualquier letra mayúscula o minúscula, pero no debe contener los siguientes caracteres: / \ [ ] : . | = , + * ? < >
  • Evite crear nombres de usuario similares.

Cuentas y seguridad de usuario

Hay dos tipos de cuentas en NT. Las cuentas incorporadas son las cuentas que usted crea. Luego de su instalación, Windows NT se configura con cuentas incorporadas (las cuentas predeterminadas de administrador e invitado), que solo brindan una seguridad mínima.

Los diferentes tipos de cuentas son:

  • Las cuentas que usted crea: Cuentas de usuarios para iniciar sesión en una red y acceder a sus recursos. Estas cuentas poseen información acerca del usuario, en particular su nombre y contraseña.
  • Invitado: Permite que, en ocasiones, los usuarios inicien sesión y tengan acceso al equipo local. Esta opción está desactivada de forma predeterminada.
  • Administrador: Se utiliza para administrar la configuración global de equipos y dominios. Esta cuenta puede llevar a cabo cualquier tarea.
Es fundamental:
  • en primer lugar, desactivar la cuenta de invitado, que permitiría que cualquier usuario inicie sesión en el sistema.
  • y en segundo lugar, cambiar el nombre de la cuenta de administrador para reducir el riesgo de intrusión mediante esta cuenta. Debido a que la cuenta de administrador posee todos los permisos, es un objetivo prioritario de los posibles intrusos.

Ubicación de las cuentas de usuarios

Las cuentas de usuarios del dominio se crean en el Administrador de Usuarios. Cuando se crea una cuenta, se graba automáticamente en la memoria de acceso secuencial (SAM) del controlador principal de dominio (PDC) y luego se sincroniza con el resto del dominio. Tan pronto como se crea una cuenta en la SAM del PDC, el usuario puede iniciar sesión en un dominio desde cualquier estación de trabajo del dominio.

A veces, la sincronización del dominio puede llevar varios minutos.
Existen dos métodos: escribir

net accounts /sync
en el símbolo del sistema, o elegir Sincronizar el dominio completo en el Administrador de servidor, que se encuentra en el menú Equipo.

Las cuentas de usuarios locales se crean en un servidor miembro o en un equipo con Windows NT Workstation. La cuenta se crea únicamente en la SAM del equipo local. Por esta razón, el usuario sólo puede iniciar sesión en ese equipo.

Planificación de nuevas cuentas de usuarios

El proceso de creación de cuentas se puede simplificar planificando y organizando la información acerca de las personas que necesitan una cuenta de usuario.

La carpeta particular es la carpeta privada en la que el usuario puede almacenar sus archivos. Se usa como el archivo predeterminado para ejecutar comandos como "Guardar". Puede almacenarse en el equipo local del usuario o en un servidor de red. Para crearlas, se deben tomar en cuenta los siguientes puntos:

  • Es mucho más fácil asegurar las copias de seguridad y la restauración de datos que pertenecen a usuarios distintos si se almacenan las carpetas particulares en un servidor. De lo contrario, se tendrían que hacer copias de seguridad periódicas de los datos en los distintos equipos de red donde se almacenan las carpetas particulares.
  • Preste atención al espacio en disco de los controladores de dominio: Windows NT no tiene utilidades para administrar el espacio en disco (Windows 2000 sí). Debido a esto, si no tiene cuidado en evitar que las carpetas particulares se llenen de archivos de gran tamaño, es posible que el espacio de almacenamiento se agote rápidamente. No obstante, hay herramientas de terceros para esta tarea, por ejemplo, "QUOTA MANAGER".
  • Si un usuario trabaja en un equipo sin disco duro, su carpeta particular debe estar en el servidor de red
  • Si las carpetas particulares se ubican en equipo locales, aumentará el rendimiento de la red, ya que habrá menos tráfico y el servidor no estará atendiendo órdenes constantemente.

Definir las opciones para las estaciones de trabajo y las cuentas

También se pueden configurar las estaciones de trabajo desde las cuales un usuario inicia sesión en la red. Puede permitir al usuario que inicie sesión desde cualquier estación de trabajo, o especificar una o más estaciones de trabajo. Una opción de alta seguridad para la red, es usar una estación exclusiva para cada usuario. De hecho, un usuario que se registre en una estación de trabajo que no sea la suya, lo hará en forma local y, por lo tanto, tendrá acceso a todos los recursos locales del equipo. Además, especificar una o más estaciones de trabajo desde las que el usuario puede iniciar sesión permite al administrador de red supervisar al usuario.

Asimismo, es posible configurar la fecha de vencimiento de una cuenta de usuario. Esta opción puede ser útil para dar una cuenta a un empleado de forma temporal. La fecha de caducidad de la cuenta se establecería en el momento en que su contrato finaliza.

Permisos en conexiones de acceso telefónico

Si se instala RAS (Remote Access Service) se pueden configurar permisos en conexiones de acceso telefónico. Este servicio ofrece a un usuario, con los permisos apropiados, obtener acceso a los recursos de una red remota a través de una conexión por línea telefónica (o X.25). Resulta útil para los usuarios que necesitar tener acceso desde sus hogares o desde cualquier otro lugar. Se pueden configurar muchos permisos de llamada:

  • No contestar: El usuario paga por el coste de la comunicación. El servidor no devuelve la llamada al usuario.
  • Establecido por quien llama: Esta opción permite que el servidor devuelva la llamada al número especificado por el usuario. En este caso, la empresa se hace cargo de los costes de comunicación.
  • Preestablecer a: Permite que el administrador controle la devolución de llamadas. Decidirá desde qué número debe llamar un usuario al servidor. Esta opción se puede utilizar para reducir costes, aunque también para incrementar la seguridad, ya que el usuario se debe ubicar en un número de teléfono específico.
Nota: En los últimos dos casos, el usuario primero debe iniciar sesión en el servidor para que éste le pueda devolver la llamada.

Eliminar y cambiar el nombres a las cuentas de usuario

Cuando una cuenta ya no es necesaria, se puede eliminar o se le puede dar otro nombre para que la pueda usar otro usuario. Tenga en cuenta que al eliminar una cuenta también se elimina la identificación de seguridad (SID, Security IDentification). Aunque NT ofrece hasta 15000 identificaciones de seguridad diferentes, no tiene sentido eliminar una cuenta si se le puede cambiar el nombre para otro empleado.

Administración del entorno de trabajo del usuario

Cuando un usuario inicia sesión por primera vez desde un cliente que ejecuta Windows NT, se crea un perfil de usuario predeterminado para ese usuario. Este perfil configura elementos como, por ejemplo, el entorno de trabajo del usuario, y las conexiones de red y de impresoras. Este perfil se puede personalizar para restringir ciertos elementos en el escritorio o ocultar algunas herramientas del equipo.

Estos perfiles contienen configuraciones que el usuario puede definir para configurar un entorno de trabajo en un equipo que ejecuta Windows NT. Estas configuraciones se guardan automáticamente en la carpeta de perfiles (C:\Winnt\Profiles).

Para los usuarios que inician sesión desde clientes que no ejecutan Windows NT, se puede utilizar un script para iniciar sesión para configurar las conexiones de red y de impresora del usuario, o establecer la configuración del entorno de trabajo o del hardware. En realidad, es un archivo de comandos (.bat o .cmd) o un archivo ejecutable que se ejecuta automáticamente cuando el usuario inicia sesión en la red.

También es posible utilizar perfiles móviles de usuarios. Estos perfiles proporcionan al usuario el mismo entorno de trabajo, independientemente de la estación de trabajo con la que se conecta a la red. Estos perfiles se guardan en el servidor. Existen dos opciones para los perfiles móviles:

  • Perfil móvil obligatorio: Se puede aplicar a uno o varios usuarios y éstos no pueden modificarlo. Solo el administrador decide qué opciones se le dan a los usuarios (herramientas, configuración, etc.). Si el usuario cambia la configuración, estas modificaciones no se guardarán una vez que el usuario se desconecte.
  • Perfil móvil personal: Es posible aplicarlo a un solo usuario y éste lo puede modificar. Cada vez que el usuario se desconecta, se guardan los cambios en la configuración.
Nota: Estas opciones de perfil móvil funcionan correctamente en equipos con Windows NT. Los equipos con Windows 95 u otro sistema operativo pueden tener algunos problemas. A continuación, se debe utilizar el editor de directivas (POLEDIT) para crear perfiles móviles de usuarios.

Una vez que se ha creado la cuenta de usuario y éste ha iniciado sesión por primera vez, se crea automáticamente un perfil de usuario en la carpeta de perfiles.
El usuario o administrador puede editar todas las configuraciones necesarias para asegurarse de que los cambios se guarden después de finalizar la sesión y se almacenen en esta carpeta.

A continuación, el administrador debe crear una carpeta, por ejemplo, \\servernt\Profiles\nombre_usuario.
En el panel de configuración, haga doble clic en el icono Sistema, y luego haga clic en la ficha Perfiles de Usuario. Haga clic en el perfil deseado y presione el botón Copiar a.

En el campo correcto, escriba la ruta UNC (Universal Names Convention) que lleva a la carpeta. En Está permitido usar, haga clic en Cambiar. Elegir usuario.
Nota: En la carpeta en la que se almacenan los diferentes perfiles, debe cambiar el nombre al archivo de usuario ntuser.dat a ntuser.man para que este perfil sea obligatorio.

En el Administrador de usuarios de dominio, haga doble clic en la cuenta de usuario en cuestión y haga clic en Perfiles>. En el área Ruta de acceso del perfil de usuario, escriba la ruta UNC que indica donde se ubica la carpeta del perfil de red.

Definir un entorno de usuario

El cuadro de diálogo Perfil de entorno del usuario se puede utilizar para especificar las rutas de acceso al perfil, un script de inicio de sesión y el directorio principal.
Se pueden configurar varias opciones, en particular las que indican qué rutas conducen a qué elementos:

  • Ruta de acceso del perfil de usuario: Indica la ruta de acceso que lleva a la carpeta del perfil de usuario. Para obtener la ubicación de los perfiles personales del usuario, escriba \\nombre_equipo\share\%username%. Para el perfil obligatorio, reemplace %username% por nombre_perfil
  • Archivo de comandos de inicio de sesión: Es posible usar una ruta que conduzca al equipo local del usuario, o una ruta UNC que lleve a una carpeta compartida en un servidor de red.
  • Directorio particular: Para especificar una ruta de red, seleccione Conectar y la unidad de disco. Luego, escriba la ruta UNC. Antes de especificar la ranura de red, se debe crear una carpeta en el servidor y compartirla a través de la red.
Nota: Use la variable %username% cada vez que cree una carpeta particular o un perfil personal de usuario. Se sustituirá automáticamente por la cuenta del usuario

Administración de grupos

Windows NT también permite que la administración de usuario mediante grupo. Esto significa que puede definir grupos de usuarios con el mismo tipo de permisos, organizándolos en categorías.

Un grupo es un conjunto de cuentas de usuario. Un usuario que se agrega a un grupo obtiene todos los permisos y derechos de ese grupo. Los grupos de usuarios hacen más sencilla la administración, ya que es posible otorgar permisos a varios usuarios a la vez. Hay dos tipos diferentes de grupos:

  • Grupos locales: Otorga a los usuarios permisos para que accedan a un recurso de red. También sirven para conceder a los usuarios privilegios para abrir tareas de sistema (como cambiar la hora, hacer copias de seguridad, recuperar archivos, etc.). Existen grupos locales preconfigurados.
  • Grupos globales: Se usan para organizar las cuentas de usuario de dominio. También se usan en redes de varios dominios, cuando los usuarios de un dominio necesitan tener acceso a recursos de otro dominio.

Cuando se inicia Windows NT por primera vez, se crean seis grupos de forma predeterminada:

  • Administradores
  • Operadores de copia
  • Duplicadores
  • Usuarios Avanzados
  • Usuarios
  • Invitados

Estos grupos predeterminados se pueden eliminar, y se pueden añadir grupos personalizados de usuarios con permisos especiales, de acuerdo con las operaciones que vayan a realizar en el sistema. Para añadir un grupo, haga clic en Grupo local nuevo en el menú de usuario.

Administración de grupos en Windows NT

A continuación, para agregar usuarios a los grupos haga clic en un usuario y luego en Agregar. Al realizar esta acción aparecerá el siguiente cuadro de diálogo:

Agregar usuarios y grupos en Windows NT

Esto permite seleccionar a qué grupos debe pertenecer un usuario.

Implementación de grupos incorporados

Los grupos incorporados son aquellos que tienen privilegios de usuario predeterminados. Los privilegios de usuario determinan qué tareas puede ejecutar un usuario o miembro de un grupo incorporado. Estos son los tres grupos incorporados en Windows NT:

  • Grupos locales incorporados: Otorgan a los usuarios privilegios que les permiten ejecutar tareas de sistema como realizar copias de seguridad y restaurar datos, cambiar la hora y administrar los recursos del sistema. Se encuentran en todas los equipos que ejecutan Windows NT
  • Grupos globales incorporados: Proporcionan a los administradores una forma sencilla de controlar a todos los usuarios del dominio. Los grupos globales se encuentran únicamente en los controladores de dominio.
  • Los grupos de sistema organizan a los usuarios automáticamente en función del uso del sistema. Los administradores no agregan usuarios a estos grupos. Los usuarios pueden ser miembros de estos grupos de forma predeterminada, o pueden convertirse en miembros a través de su actividad en la red. Se encuentran en todos los equipos que ejecutan Windows NT
No se puede cambiar el nombre ni eliminar ninguno de los grupos incorporados.

Los grupos locales incorporados son los siguientes:

  • Usuarios: Pueden ejecutar las tareas para las que tienen privilegios de acceso, y pueden tener acceso a recursos para los que han obtenido permiso.
    El grupo local Usuarios avanzados reside únicamente en servidores miembro y equipos que ejecutan NT Workstation. Los miembros de este grupo pueden crear y modificar cuentas, y también compartir recursos.
  • Administradores: Pueden ejecutar todas las tareas administrativas en el equipo local. Si el equipo es un controlador de dominio, los miembros también pueden administrar el dominio entero.
  • Invitados: Pueden ejecutar cualquier tarea para la que tienen privilegios de acceso, y pueden obtener acceso a recursos por los que han obtenido permiso. Sus miembros no pueden modificar permanentemente sus entornos locales.
  • Operadores de copia: Pueden utilizar el programa de seguridad de Windows NT para hacer copias de seguridad y restaurar los equipos que ejecutan Windows NT²
  • Duplicadores: Utilizados por el servicio Duplicador de directorio. Este grupo no se utiliza para la administración.

Los siguientes grupos solo se definen en controladores de dominio:

  • Operadores de cuentas: Pueden crear, eliminar y modificar usuarios, grupos locales y grupos globales. No pueden modificar Administradores ni Operadores de servidores
  • Operadores de servidores Pueden compartir recursos de disco, hacer copias de seguridad de los datos que están en los servidores y restaurarlos
  • Operadores de impresión: Pueden configurar y administrar impresoras de red

    Cuando se instala Windows NT Server como controlador de dominio, se crean tres grupos globales en la SAM. De forma predeterminada, estos grupos no tienen ningún privilegio inherente. Adquieren privilegios cuando se agregan a grupos locales o cuando se les concede privilegios o permisos de usuario.

    • Usuarios del dominio se agrega automáticamente al grupo local Usuarios. De forma predeterminada, una cuenta de Administrador es miembro de este grupo.
    • Administrador del dominio se agrega automáticamente al grupo local Usuarios. Estos miembros pueden ejecutar tareas administrativas en el equipo local. De forma predeterminada, una cuenta de Administrador es miembro de este grupo.
    • Invitados de dominio se agrega automáticamente al grupo local Usuarios. De forma predeterminada, una cuenta de Invitado es miembro de este grupo.

    Por último, los grupos incorporados del sistema residen en todas los equipos que ejecutan Windows NT. Los usuarios se vuelven miembros de estos grupos de forma predeterminada a medida que la red está en funcionamiento. El estado de los miembros no se puede modificar.

    • Todos incluye a todos los usuarios remotos y locales con acceso al equipo. También contiene todas las cuentas, excepto las que el Administrador del dominio ha creado.
    • Creado por/Propietario incluye al usuario que creado o ha obtenido la propiedad de un recurso. Este grupo se puede utilizar para administrar el acceso a los archivos y las carpetas sólo en volúmenes NTFS.
    • Red incluye a cualquier usuario que esté conectado a un recurso compartido en su equipo desde otro equipo de la red
    • Interactivo incluye automáticamente a cualquier usuario que esté conectado localmente al equipo. Los miembros interactivos pueden acceder a recursos en el equipo al que están conectados.

    Consulta también


User management in Windows NT
User management in Windows NT
Die Benutzerverwaltung unter Windows NT
Die Benutzerverwaltung unter Windows NT
La gestion des utilisateurs sous Windows NT
La gestion des utilisateurs sous Windows NT
La gestione degli utenti su Windows NT
La gestione degli utenti su Windows NT
Última actualización: 16 de octubre de 2008 a las 15:43 por Jeff.
El documento «Administración de usuarios en Windows NT» se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.