Contenidos
En este caso práctico vamos a utilizar las herramientas avanzadas de gestión de usuarios y grupos locales en un sistema Windows 10 Profesional.
Para ello, vamos a realizar un pequeño caso práctico. En nuestro sistema contamos con los siguientes usuarios y departamentos:
Usuario | Departamento |
Marina Pérez Gómez | Contabilidad, Almacen |
Alfredo Flores Fuentes | Contabilidad |
Ramón Andrade Marín | Almacen |
Todos estos usuarios utilizan un mismo sistema con Windows 10 Profesional. Queremos configurarlo de forma que, más adelante, cada tipo de usuario tenga distintos permisos o privilegios en función del departamento al que pertenezca.
Es decir, se crearán una serie de directorios dentro del sistema de ficheros del equipo al que solo podrán acceder ciertos usuarios en función del departamento al que pertenezcan. Por ejemplo, un directorio Contabilidad al que solo podrán acceder los usuarios del departamento de Contabilidad.
Entendiendo y creando usuarios y grupos locales
Una cuenta de usuario en un sistema operativo es la información que almacena el sistema para identificar a un usuario del mismo. Jusnto con la información de identificación de ese usuario, se suele guardar más información, como por ejemplo su contraseña que servirá para autentificar al usuario cuando inicie sesión en el sistema. Por supuesto, la contraseña no se guarda en «texto claro», es decir tal cual es, sino que se suele guardar cifrada para que un atacante no pudea descubrir la contraseña de un usuario.
De esta forma, cuando el usuario inserta una contraseña, el sistema la cifra y comprueba si la cotnraseña cifrada que ha insertado el usuario que quiere iniciar sesión coincide con la contraseña que tiene guardada.
Además como ya sabemos en sistemas operativos multiusuario como Windows, GNU/Linux o MacOS, cada usuario tiene un directorio propio o directorio personal. En Windows se denomina a esta directorio perfil de usuario y por defecto se guarda dentro del directorio Users, que estará posiblemente en el raíz de la unidad C:, con el nombre del usuario.
Con una cuenta de usuario, un usuario puede iniciar sesión, si tiene permiso para ello. Una vez inicia sesión, el sistema operativo conoce qué usuario está trabajando en el sistema en todo momento. Si intenta realizar cualquier operación, podrá darle permiso para hacerlo o no en función de los permisos que se hayan configurado.
El problema de las cuentas de usuario surge en sistema con muchos usuarios que comparten muchos permisos. La solución pasa por agruparlos utilizando grupos de usuarios. De hecho, en el mundo real, estamos acostumbrados a trabajar con agrupaciones de empleados, clientes, usuarios, etc.
Por ejemplo, todos los alumnos del curso de Sistemas Operativos comparten ciertos permisos. Podriamos establecer un permiso de acceso al aula de Sistemas operativos diciendo que: «Todos los alumnos del módulo de Sistemas Operativos pueden entrar en el aula 01». Ahora bastará con tener una hoja donde figuren qué alumnos pertenecen al módulo de Sistemas Operativos para controlar el acceso.
La otra opción hubiera pasado por nombrar uno a uno cada alumno matriculado en el módulo de Sistemas Operativos.
Al final, los grupos nos facilitan la administración de permisos en un sistema operativo multiusuarios. De esta forma, tan solo tenemos que gestionar qué usuarios pertenecen a cada grupo y después aplicar permisos sobre grupos en lugar de usuarios individuales. Recalco, los grupos se utilizan para gestionar permisos, no para organizar usuarios por que sí o porque sea más mono…
Creando usuarios y grupos
Para crear usuarios y grupos locales utilizamos la herramienta de administración de equipos.
Si nos fijamos en el panel izquierdo de la herramienta tenemos la opción de Usuarios y grupos locales. Vemos a trabajar con usuarios y grupos locales de este sistema. Es decir, todos los usuarios y grupos que creemos en este sistema serán propios de este sistema de forma local. Si tuviéramos dos sistemas con Windows 10 y quisiéramos contar en los dos con los mismos usuarios y grupos, tendríamos que crearlos en ambos sistemas.
Primero vamos a crear los tres usuarios.
Primero creamos el usuario de Marina Pérez Gómez. Como nombre de usuario utilizaremos el nombre de pila del usuario y la primera letra de cada uno de sus dos apellidos. De esta forma, el nombre de usuario será marinapg.
Además marcamos la opción de» El usuario debe cambiar la contraseña en el siguiente inicio de sesión» Esto lo hacemos así para que marinapg tenga que poner una contraseña propia que nosotros, los administradores, no conozcamos.
Ahora vamos a crear los grupos de usuarios locales propios de este sistema. En este caso, los grupos de usuario coincidirán con las agrupaciones presentes en la empresa real. Esto es muy habitual, puesto que si ya existen agrupaciones en la empresa es probable que los permisos tengan mucho que ver con estas agrupaciones.
Seleccionamos la opción Grupos en el árbol de Usuarios y grupos locales.
En los sistemas Windows hay una serie de grupos predeterminados que se crean automáticamente en la instalación del sistema. Estos grupos son utilizados por el propio sistema operativo.
En el cuadro de dialogo para crear grupos nos pide el nombre del grupo, que será su identificador y por tanto debe ser único; una descripción que es opcional y los miembros del grupo. Podemos aprovechar, en el momento de crear el grupo, para añadir los miembros que tenga dicho grupo.
Comencemos por el grupo Contabilidad.
En este cuadro de dialogo seleccionamos los usuarios que queremos agregar al grupo de Contabilidad. Si conocemos los nombres de usuario y son pocos, como en este caso, podemos escribirlos directamente en una lista separados por «;».
Al pulsar aceptar – Podemos pulsar Enter porque Aceptar esta preseleccionado – aparecerán los usuarios agregados.
Para crear el grupo tan solo tendremos que hacer clic en el botón Crear.
Si tenemos una lista de usuarios grande o no recordamos bien el nombre de los usuarios, podemos utilizar la opción de opciones avanzadas para seleccionar los usuarios a agregar en un grupo.
Podemos seleccionar varios usuarios utilizando la tecla Control para selecciones disjuntas, como es en este caso.
De esta forma ya hemos creado los grupos.
Vamos a ver que miembros tiene cada grupo.
Tambien podemos comprobar a qué grupo pertenece un usuario concreto e incluso agregarlo a uno o varios grupos desde propiedades de usuario. Vamos a comprobar las propiedades del usuario alfredoff
Si nos fijamos, est eusuario es miembro de Contabilidad y del grupo Usuarios. Sin embargo, nosotros no hemos añadido este usuario al grupo Usuarios. El sistema operativo es el que ha añadido este usuario de forma automática al grupo Usuarios. El grupo Usuarios es el grupo al que pertenecen, por defecto, los usuarios del sistema.
Si nos fijamos, todavía no se han creado perfiles de usuario para los usuarios recién creados.
Esto es así porque todavía no han iniciado sesión en el sistema. Windows crea el perfil de un usuario nuevo solo cuando inicia sesión en el sistema por primera vez.
Configurando permisos sobre directorios
Ya tenemos creadas las cuentas de los usuarios y los grupos. Ahora vamos a utilizar esta información administrativa para gestionar permisos de acceso sobre unos directorios dentro del sistema de ficheros.
Vamos a crear un directorio llamado educatica dentro del raíz de la unidad C:. Dentro de este directorio, vamos a crear un directorio llamado Contabilidad y otro llamado Almacen.
Debemos configurar los permisos de ambos directorios para que solo puedan acceder a dichos directorios los miembros de cada departamento pudiendo realizar solo operaciones de lectura. Además, los Administradores y el Sistema podrán acceder para realizar cualquier tipo de operación.
Primero creamos el directorio base: educatica
Dentro de C:\educatica, crearemos los dos directorios Contabilidad y Almacen.
Vamos a configurar los permisos de acceso a través de Listas de Control de Acceso de los directorios en el sistema de ficheros NTFS.
Ahora vamos a la pestaña seguridad.
La configuración de seguridad de estos directorios es la que han heredado de su objeto padre, en este caso del directorio C:\educatica que a su vez los ha heredado del directorio raíz de la unidad C:.
Queremos cambiarlos, así que tenemos que acceder a Opciones Avanzadas..
Si queremos alterar los permisos heredados de su directorio padre, tenemos que deshabilitar la herencia de permisos. Cuando hagamos esto el sistema nos preguntará que queremos hacer con la configuración de permisos actual, limpiarla por completo o copiarla para que la podamos modificar. En nuestro caso, lo más sencillo será copiarla y eliminar los elementos no deseados.
La ventaja de copiar los permisos heredados es que no partimos de cero. Por ejemplo, los permisos de los Administradores y de System no los vamos a tocar. Tan solo tenemos que quitar de la Lista de Control de Acceso las entrada de Usuarios auntentificados y de Usuarios.
Si algún usuario o grupo no está en la lista de control de acceso no tiene ningún permiso de acceso. Según la confuiguración actual tan solo podrán acceder los Administradores y System.
Ahora deberíamos agregar al grupo Almacen y configurar qué permisos queremos que tenga. Pulsamos Agregar.
Seleccionamos una entidad de seguridad
Ahora configuramos los permisos
No hace falta que iniciemos sesión con un usuario de almacen para comprobar que los permisos están bien, podemos utilizar la pestaña acceso efectivo.
Juan Jose
Excelente artículo, muy claro y conciso. Una clara introducción a los usuario, grupos y permisos.
José Botello
¡Pedazo de post te has currado! Muy bueno.