educatica!

educación, informática y demás

Sistemas operativos, Windows, Windows 7

Administración de usuarios y grupos

Publicado por javier en octubre 18, 2022 0 Comentarios

Leer la siguiente →

Bash educatica

Clases de informática

Jugando con scripts

GNU/Linux bash

Bash Shell Scripts – Explicación viernes 15/05/2020

GNU/Linux bash

Caso práctico. Administrando un sistema

Como sabemos, Windows 7/8/10 son sistemas operativos multiusuario, más correctamente pseudomultiusuario, puesto que no se puede mantener una sesión interactiva con más de un usuario a la vez.

No obstante, el sistema operativo es capaz de gestionar distintos usuarios en el sistema. Para poder gestionar distintos usuarios, el sistema operativo necesita almacenar información sobre los usuarios en el sistema y proporcionar herramientas para gestionar usuarios.

A lo largo de este caso práctico vamos a trabajar con las herramientas administrativas que nos proporciona Windows para gestionar usuarios en un sistema Windows 7.

Creando cuentas de usuario

Necesitamos configurar nuestro sistema de forma que varios usuarios puedan utilizarlo. Cada usuario podrá tener su propio entorno de trabajo, almacenando información en su directorio personal y pudiendo configurar su entorno (fondo de escritorio, accesos directorios en el escritorio, etc).

Los usuario serán los siguientes:

  • Alfredo Flores Fuentes
  • Marina Pérez Gómez
  • Ramón Andrade Marín

Para ello, necesitamos crear tres cuentas de usuario, una para cada uno de los usuarios que nos han solicitado.

Usamos la herramienta de administración de equipos, una herramienta administrativa.

Administración de equipos

Vamos a crear las tres cuentas de usuario que nos solictan. Para ello hacemos clic con el botón secundario y seleccionamos usuario nuevo.

En un entorno real es buena idea dejar que el usuario cambie la contraseña en el primer inicio de sesión. De esta forma, el administrador del sistema no podrá conocer la contraseña del usuario. No obstante, para facilitarnos el trabajo al estar en un entorno didáctico, vamos a desmarcar esa opción.

Al pulsar crear nos aparece de nuevo el cuadro de dialogo en blanco esperando a que insertemos los datos de un nuevo usuario. Cuando terminemos de insertar usuarios, tan solo tenemos que pulsar en Cerrar.

Insertamos el resto de usuarios.

Vamos a crear tres usuarios más:

  • Ana González Prieto
  • Jesus Román Panduro
  • Eva Benítez Zamora

Vamos a comprobar si están todos los usuarios.

Perfiles de usuario

En los sistemas operativos multisuario cada usuario tiene un directorio personal, un directorio propio, donde tendrá almacenados sus ficheros así como ficheros de configuración del sistema propios de esa cuenta de usuario.

En Windows a estos directorios personales de cada usuario se les denomina perfiles de usuario.

Por defecto estos perfiles están almacenados en el directorio Users que está en el directorio ráiz de la unidad C: (En C:\Users) y tienen como nombre el nombre de la cuenta de usuario.

Vamos a echar un vistazo al directorio C:\Users a ver que perfiles de usuario hay dentro de él.

Podemos escribir la ruta del directorio C:\Users en la barra de direcciones del Explorador de archivos en lugar de navegar
Tan solo está el perfil del usuario alumno

Windows crea los perfiles de los usuarios cuando inician sesión por primera vez en el sistema, no antes. Por eso no existen perfiles de los usuarios que acabamos de crear.

Vamos a iniciar sesión con el usuario marinapg. Podemos cambiar de usuario, sin necesidad de cerar sesión con Alumno. Recuerda, este sistema operativo es multiusuario, podemos tener varias sesiones abiertas aunque no podamos interactuar a la vez con el sistema con varios usuarios.

Vamos a cambiar de usuario usando el acelerador de teclado WND+L.

Ahora seleccionamos el usuario marinapg de la lista de usuarios disponibles.

Se crea el perfil del usuario en el primer inicio de sesión

Si lanzamos una terminal o símbolo del sistema, podremos ver cómo el directorio en el que se encuentra el usuario es C:\Users\marinapg. Esta es la ruta de su directorio personal.

Este directorio actual o de trabajo en el que estamos es el perfil del usuario marinapg.

El perfil de un usuario es un directorio personal de dicho usuario dónde se guardan los ficheros del usuario y configuración tanto del sistema como de las aplicaciones instaladas para ese usuario.

Por defecto se almacena en el directorio C:\Users con el nombre de la cuenta de usuario, aunque esto se puede cambiar.

Vamos a mostrar el contenido del directorio nuestro directorio personal, como usuario marinapg.

Contenido del directorio actual, que es el directorio personal del usuario marinapg

Vamos a mostrar los ficheros y directorios ocultos del perfil del usuario utilizando el comando DIR. Como no sabemos cómo hacerlo, vamos a consultar la ayuda de dir.

Vamos a mostrar primero los archivos y directorios ocultos.

Como podemos ver hay ficheros y directorios ocultos al usuario, porque guardan información y configuración del sistema o de las aplicaciones instaladas.

Si volvemos a la sesión del usuario alumno, podremos ver como ahora aparecerá en C:\Users el directorio marinapg que es el perfil del usuario marinapg.

Vamos a iniciar sesión con el usuario ramonam y alfredoff para que se creen sus perfiles.

Este proceso es un poco pesado, pero es la forma de hacer que Windows cree los perfiles de usuarios. En el fondo, no es mala idea, puesto que solo se creará el perfil de aquellos usuarios que inicien sesión en el sistema, la primera vez que lo hagan.

Directorio personal o perfil del usuario alfredoff C:\Users\alfredoff
Podemos acceder al perfil del usuario haciendo clic en Alfredo Flores Fuentes
El perfil del usuario contiene una serie de directorios predeterminados dónde el usuario podrá organizar los ficheros que quiera almacenar.

El escritorio, por ejemplo, es un directorio llamado Escritorio (en realidad Desktop) que está dentro del perfil del usuario. Vamos a hacer una pequeña prueba para comprobar que esto es así.

Para ello lanzamos un interprete de comandos o símbolo del sistema.

En el símbolo de sistema vamos a ejecutar el comando mkdir, que permite crear uno o varios directorios en el sistema de ficheros. Para ello, mkdir espera que le proporcionemos la ruta de los directorios a crear separados por espacios.

Vamos a crear un directorio llamado apuntes dentro del escritorio del usuario alfredoff. Así que comenzamos a escribir mkdir .\Des y pulsamos tabulador.

El interprete de comandos implementa una función de autocompletado de nombres de ficheros y directorios. Para ello podemos escribir parte del nombre del fichero y pulsar tabulador para que lo autocomplete.
El directorio Desktop ya existe. Queremos crear un directorio llamado apuntes dentro del directorio .\Desktop
Tenemos que usar el separador de directorios

Todo lo que metamos en el directorio Desktop o Escritorio que está dentro del perfil de un usuario aparecerá en el escritorio de dicho usuario. Así funciona el escritorio.

Lo mismo pasa con otros directorios como Documentos o Mis documentos.

Vamos a crear el directorio Apuntes, pero esta vez dentro de Mis documentos del usuario alfredoff.

Creando el directorio Apuntes dentro de Documentos

En esta ocasión vamos a usar una ruta absoluta para crear el directorio Apuntes que estará dentro del directorio Documents que estará dentro del directorio alfredoff (perfil del usuario) que estará dentro del directorio Users (directorio que contiene los perfiles de usuarios por defecto) que está dentro del directorio raíz de la unidad C:.

Vamos a cerrar la sesión de Alfredoff y crearemos el perfil del usuario ramonam.

Como es la primera vez que iniciamos sesión con este usuario, el Sistema Operativo crea un perfil de usuario para el usuario ramonam.

Vamos a ver si los perfiles de los usuarios se han creado, pero con el usuario ramonam. Para ello lanzamos el explorador de archivos.

Escribimos directamente la ruta del directorio C:\Users en la barra de direcciones, por practicar formas diferentes y más rápidas de acceder a directorios cuya ruta es conocida

Vamos a intentar entrar en el perfil del usuario marinapg.

Con este usuario no tenemos permiso de acceso al perfil del usuario marinapg.

Esto es lógico, un usuario no debería poder acceder al directorio personal o perfil de otro usuario, dónde se guardan sus ficheros personales.

Nos da la posibilidad de acceder con las credenciales de un usuario Administrador.

En nuestro sistema solo tenemos habilitado un usuario administrador, que es el que creamos al instalar Windows, en nuestro caso alumno.

Si escribimos la contraseña del usuario Alumno, entonces vamos a ejecutar este programa para acceder a ese directorio como si fueramos el usuario alumno.

Hemos accedido como el usuario alumno, que tiene permisos de administración (pertenece, como veremos más adelante al grupo Administradores).

Hemos creado el directorio Educatica en el escritorio del usuario marinapg

Un administrador, puede hacer cualquier cosa en el sistema. Puede acceder al perfil de un usuario y modificarlo.

Vamos a comprobar a qué usuario pertenece el directorio que acabamos de crear en el perfil del usuario marinapg.

Esto no es algo normal ni habitual, pero el usuario que ha creado el directorio con el beneplácito de un administrador, para eso nos pidieron las credenciales, es ramoam. A este usuario pertenece este directorio.

Permisos del directorio

¿Qué pasa si volvemos a acceder al directorio personal de marinapg? Que podemos hacerlo :O

Vamos a reinciar el equipo para ver si se «limpian» las credenciales del administrador y así no podemos acceder al directorio personal de otro usuario, que es algo peligroso.

Después de haber reiniciado el sistema….

Podemos acceder al directorio personal del usuario marinapg con el usuario ramonam. Esto es un problema de seguridad.

Con la prueba que hemos hecho no tiene pinta de que el S.O. esté guardando las credenciales del usuario Alumno con las que se permitió el acceso de la aplicación Windows Explorer al directorio personal de marinapg.

Entonces ¿cómo habrá hecho el sistema operativo o más concretamente el explorador de archivos para permitir el acceso al directorio personal de marinapg al usuario ramonam?

Posiblemente cambiando los permisos del directorio personal de marinapg. Vamos a echar un vistazo a los permisos de este directorio.

ramonam aparece en la lista de control de acceso (ACL) de los permisos del directorio personal del usuario.

Esto ha sucedido porque cuando nos preguntó si queriamos que la aplicación hiciera cambios en el sistema,contestamos que si con las credenciales del usuario alumno. La aplicación configuró los permisos de este directorio para que el usuario con el que estabamos tratando de accedero, ramonam, tuviera todos los permisos sobre este directorio y todo su contenido.

Esto no es buena idea, así que, como lo hemos detectado, vamos a quitar los permisos del usuario ramonam den directorio personal del usuario marinapg.

Quitamos los permisos del usuario ramonam.

Después de un periplo entre cuadros de Error, ramonam ha salido del perfil del usuario marinapg.

Por todo esto, no es buena idea realizar trabajos de administración con un usuario que no sea el usuario con permisos de administrador (al menos desde el explorador de archivos).

Vamos a aparcar por ahora los perfiles de usuario y vamos a trabajar con grupos de usuario.

Grupos de usuario

Los grupos de usuario nos permiten agrupar varios usuarios e identificarlos con un nombre. De esta forma, podemos hacer mención a un conjunto de usuarios del sistema con un solo nombre.

Esto lo vamos a utilizar mucho a la hora de configurar los perimisos de acceso a recursos del sistema, en concreto directorios en sistemas de ficheros NTFS.

Vamos a crear los grupos educatica, tester y creator.

Vamos a configurar el sistema para que los usuarios pertenezcan a estos grupos como aparece a continuación:

  • educatica: todos los usuarios que hemos creado, menos alumno.
  • tester: alfredoff, marinapg y ramonam
  • creator: anagp, jesusrp y evabz

A continuación vamos a crear el directorio educatica dentro del directorio raíz de la unidad C:.

Dentro del directorio C:\educatica vamos a crear los directorios tester, creator y publico.

Configuramos los permisos del directorio C:\educatica de forma que los únicos usuarios que podrán acceder para realizar operaciones de lectura (todas menos escrituras) serán los miembros del grupo educatica.

Configuramos los permisos del directorio C:\educatica\tester de forma que los únicos usuarios que podrán acceder para realizar operaciones de control total serán los miembros del grupo tester.

Configuramos los permisos del directorio C:\educatica\creator de forma que los únicos usuarios que podrán acceder para realizar operaciones de control total serán los miembros del grupo creator.

Solución

Primero creamos los grupos, después los directorios y por último configuramos los permisos.

1. Creando los grupos de usuario

Tenemos que trabajar con una cuenta que tenga permisos de administración, en nuestro sistema la cuenta alumno.

Ahora lanzamos Administración de equipos. Nos dirigimos a usuarios y grupos locales y vemos que ya hay una serie de grupos en el sistema.

Estos grupos son grupos predetermiinados del sistema. Se crearon durante su instalación y sirven para gestionar permisos de acceso a ciertas operaciones en el sistema. Si un usuario, por ejemplo, pertenece al grupo Usuarios avanzados, podrá realizar más tareas que un usuario normal.

Todos los usuarios que hemos creado tienen permisos limitados y pertencen al grupo Usuarios.

Alumno no está en el grupo Usuarios, porque es un usuario que tiene permisos de administrador. Estos permisos los ha ganado porque pertenece al grupo Administradores.

El grupo Administradores. Los miembros de este grupo tienen permisos de administración del sistema.

Si queremos que otro usuario pueda administrar el sistema, que no es buena idea que haya varioas administradores en un mismo sistema, tan solo tenemos que agregarlo al grupo Administradores.

Una pregunta, ¿por qué no aparece el usuario Administrador en la ventana de bienvenida?. Por que está deshabilitada. Vamos a usuarios y podemos comprobar que el usuario administrador está deshabilitado por motivos de seguridad.

Administrador está deshabilitada

Al dejar la cuenta Administrador deshabilitado dificultamos un poco un posible ataque que quiera obtener acceso a una cuenta con permisos de administración.

Si conocemos los nombres de los usuarios, podemos escribirlos en una lista separados por ;

2. Creamos los directorios

Ahora creamos los directorios. Podemos aprovechar el acelerador de teclado CTRL+SHIFT+N para crear un nuevo directorio o carpeta dentro del directorio actual en el Explorador de archivos.

Ahora establecemos los permisos que nos han solicitado. Los recordamos aquí uno a uno:

Configuramos los permisos del directorio C:\educatica de forma que los únicos usuarios que podrán acceder para realizar operaciones de lectura (todas menos escrituras) serán los miembros del grupo educatica.

Desde este cuadro de dialogo podemos hacer poco, porque los permisos del directorio C:\Educatica están heradados de su padre.

Quitamos la herencia de permisos…

Cuando creamos un directorio el Sistema operativo no sabe qué permisos queremos darle a ese directorio. Sin embargo, necesita establecer unos permisos por defecto, unos permisos iniciales para ese directorio.

Windows configura los permisos de los directorios y ficheros recién creados heredados de su padre. De esta forma, el directorio C:\Educatica partía con los permisos heredados de su directorio padre, que es el ráiz de la unidad C:

En nuestro caso hemos elegido copiar los permisos que estabamos heredando de nuestro directorio padre. De esta forma no partimos de cero. Ahora podemos quitar los usuario y grupos de usuarios de la lista de control de acceso que no queramos que tengan permisos.

Permisos acrtuales del directorio C:\Educatica

La lista de control de acceso contiene los usuarios o grupos de usuarios que tienen permiso de acceso o denegación de permisos sobre un fichero o directorio.

De esta forma, cada objeto con permisos tendrá una ACL compuesta por usuarios y/o grupos (preferiblemente grupos de usuario). Cada entrada de la ACL tendrá asociada una lista de permisos o denegación de permisos.

Si un usuario no está en la ACL de un objeto, fichero o directorio, no tendrá ningún permiso. En este caso, no podrá acceder al directorio C:\Educatica.

Es decir, si queremos configurar este directorio para que solo los usuarios del grupo educatica puedan acceder tan solo tendremos que dejar en la ACL al grupo educatica con permisos de lectura y ejecución.

Además del grupo educatica, que tendrá una serie de usuarios, también es recomendable (muy recomendable para evitar pasos intermedios posteriores) dejar en la ACL al grupo Administradores.

Los administradores, aunque no estén en la ACL pueden tomar posesión del directorio y después, como propietarios, añadirse a la ACL con permisos de Control total.

Para ello, seleccionamos los grupos USuarios y Usuarios autentificados en la ACL y los quitamos, pulsando el botón quitar o pulsando la tecla suprimir.

Permisos una vez quitados los Usuarios. Dejamos el grupo System para permir acceso al sistema, aunque no es estrictamente necesario

Ahora añadimos a la ACL al grupo educatica. Pulsamos añadir y seleccionamos el grupo. Como sabemos el nombre del grupo, lo escribimos directamente.

Ahora nos pide que establezcamos qué permisos concretos le vamos a dar a este grupo que acabamos de añadir a la ACL. Nos dicen que lectura y ejecución en el enunciado, estos permisos son todos los permisos que no seán de escritura. Así que vamos mirando los permisos y marcamos en Permitir solo los permisos que no sean de escritura o modificación.

Lo importante es que marquemos los permisos que queremos que tengan los miembros del grupo educatica. No se marcan en denegar los permisos que no queremos que se len puesto que denegar denegará esos permisos siempre, estén en el grupo que est´én. Solo se usa denegar para asegurarnos que ciertos usuarios nunca tendrán esos permisos. Lo veremos más adelante con un caso práctico.

Configuramos los permisos del directorio C:\educatica\tester de forma que los únicos usuarios que podrán acceder para realizar operaciones de control total serán los miembros del grupo tester.

El proceso es básicamente el mismo. Tenemos que cambiar los permisos para que no los herede y dejar solo en la ACL al grupo tester con Control Total, aparte de Administradores.

Permisos del directorio C:\educatica\tester heredados del directorio padre
Cambiar permisos del directorio
Añadimos el grupo tester

Según los permisos del directorio C:\educatica\tester, que reproducimos a continuación, aparte de administradores y sistema, tan solo los miembros del grupo tester podrán acceder a este directorio pudiendo realizar cualquier operación en él.

Configuramos los permisos del directorio C:\educatica\creator de forma que los únicos usuarios que podrán acceder para realizar operaciones de control total serán los miembros del grupo creator.

Llevamos a cabo el mismo proceso para el directorio C:\educatica\creator. El resultado debería ser el siguiente.

3. Denegar permisos en un directorio

A continuación, vamos a seguir el caso práctico con el que estamos trabando para practicar y entender la denegación de permisos.

Hemos visto como en la ACL de los directorios con los que hemos trabajado podíamos configurar denegación de permisos.

Hemos visto que, si no queremos que un grupo de usuarios pueda acceder a un recurso basta con no meterlo en la ACL. Esta es la forma de no permitir el acceso.

Sin embargo, tenemos la opción de denegar permisos. ¿Para qué vale?. La denegación de permisos sirve para asegurarnos que ciertos usuarios del sistema no podrán realizar nunca ciertas operaciones sobre un recursos sin importar que pertenezcan a grupos que si tengan permiso.

Para comprender esto, lo mejor es con un ejemplo:

En nuestro sistema queremos controlar que ciertos usuarios que estén bloqueados no puedan acceder nunca al directorio C:\educatica y su contenido. El bloqueo vendrá dado por la dirección de la empresa, pero si un usuario del sistema está bloqueado nunca podrá entrar en C:\educatica ni ninguno de sus directorios.

Solución

La idea sería crear un grupo de usuarios en el que podamos añadir y sacar posteriormente los usuarios que queramos que estén bloqueados.

De esta forma, bloquear o desbloquear a un usuario será tan sencillo como añadirlo o quitarlo del grupo, una vez configurados los permisos.

Primero creamos el grupo.

El grupo, inicialmente, estará vacío. Cuando queramos, más adelante y por orden de dirección, bloquear a algún usuario tan solo tendremos que añadirlo al grupo bloqueados, una vez hayamos configurado los permisos.

Por supuesto, solo creando el directorio, no hemos hecho nada. Ahora tenemos que configurar los permnisos del directorio C:\educatica.

Seleccinamos Cambiar permisos en los permisos del directorio C:\educatica.
Agregamos a la ACL el grupo Bloqueados

Una vez seleccionado el nuevo elemento a añadir a la ACL, seleccionamos la denegación de todos los permisos.

Como sabemos la ACL de un recurso es una lista de los elementos sobre los que vamos a establecer o denegar permisos de acceso. En este caso los hemos denegado.

Así quedarían los permisos

Al darle a aceptar para aplicar los cambios el Explorador de archivos nos muestra el siguiente mensaje.

La denegación de permisos tiene prevalencia sobre la concesión de permisos

De esta forma, si un usuario pertenece al grupo educatica y al grupo bloqueados no podrá acceder al directorio C:\educatica.

Vamos a probarlo bloqueando al usuario marinapg. Para ello tan solo tenemos que añadir al usuario marinapg al grupo bloqueados.

Vamos a tratar de acceder al directorio C:\Educatica con el usuario marinapg. Tendremos que cambiar de usuario, inciando sesión con el usuario marinapg.

Al pertenecer al grupo bloqueados el sistema operativo le da más peso a la denegación de permisos que a los permisos establecidos.

Por eso no debemos denegar permisos salvo que sea estrictamente necesario, como en este caso práctico.

Si no queremos que un usuario o grupo de usuarios tenga acceso a un recursos, simplemente no lo metemos en la ACL del recurso. De esta forma no tendrá permisos sobre él. Solo denegamos permisos cuando queramos estar seguros de que un usuario o grupo de usuarios no tiene ciertos permisos nunca sobre dicho recurso.

4. Sistema de ficheros FAT32

A lo largo de esta serie de casos prácticos con Windows 7 hemos creado varias particiones en las que creamos distintos sistemas de ficheros. Una de las particiones tenía sistema de ficheros FAT32.

Vamos a copiar el directorio C:\Educatica y todo su contenido a la unidad E: (con etiqueta prácticas y sistema de ficheros NTFS) y la unidad H: (con sistema de ficheros FAT32 y etiqueta Shared).

¿Qué ha pasado con los permisos?

En los sistemas de ficheros FAT32 los ficheros no tienen seguridad. Las propiedades de seguridad están en el sistema de ficheros NTFS.

Así que, si queremos aplicar permisos sobre directorios y ficheros debemos hacerlo en un sistema de ficheros NTFS.

javier

Leer la siguiente →

Bash educatica

Clases de informática

Jugando con scripts

GNU/Linux bash

Bash Shell Scripts – Explicación viernes 15/05/2020

GNU/Linux bash

Caso práctico. Administrando un sistema

Dejar una respuesta

Categorías

Archivos