Sistemas Operativos II

Integrantes:
Patricio Arrobo Mariela Balczar Juan Caspi Cristian Contreras Paola Cueva

Fecha:

11 de Abril de 2014

Tema:

CONSULTA 3

fecha:

14/04/2014

Tema: Como administrar en windows server 2008 y Ubuntu server los usuarios, grupos y directivas. Objetivos Los objetivos principales de esta prctica, sern familiarizarnos con la gestin de usuarios y grupos, aprender a implementar polticas o directivas de grupo locales en los dos sistemas operativos que sern servidores. Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema operativo que est haciendo ejecutado establece una configuracin del objeto al que afecta. Hay que tener cuidado al aplicar las directivas de grupo locales ya que se aplicarn a todos los usuarios locales, incluyendo el administrador del sistema operativo. Pasos para la creacin de un usuario en Windows Server Lo primero que haremos ser crear los siguientes usuarios y grupos en el servidor:

ATHLETIC:

Iraola Gurpegi Ilarramendi Zurutuza

ERREALA:

En usuarios y equipos de Active Directory, en Users, crear un nuevo grupo en el contenedor actual ( hay que poner mbito de grupo dominio local). Crear los usuarios, que ya explique esto en la entrada de Instalacin y configuracin de una red con dominio (Directorio Activo) y despus aadir los usuarios a los grupos creados. Despus, pondremos las siguientes directivas a las configuraciones de equipo. Lo primero, crear una unidad organizativa, despus, meter los equipos y los usuarios a esa unidad. - La vigencia mxima de la contrasea para todos los usuarios de la mquina ser de15 das.

Para ello, en el editor de administracin de directivas de grupo, configuracin de equipo, directivas, configuracin de windows, configuracin de seguridad, directivas locales, opciones de seguridad, propiedades de miembro de dominio, duracin mxima de contrasea y aqu ponemos 15 das.

- Las contraseas deben cumplir con los requisitos de complejidad por defecto de Windows server Cules son estos requerimientos? Estos requisitos vienen activados por defecto son: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en ms de dos caracteres consecutivos. Tener una longitud mnima de seis caracteres. Incluir caracteres de tres de las siguientes categoras: o Maysculas (de la A a la Z) o Minsculas (de la a a la z) o Dgitos de base 10 (del 0 al 9) o Caracteres no alfanumricos ( por ejemplo ! $ # %) Estos requisitos de complejidad se exigen al cambiar o crear contraseas. - Los usuarios que requieran cambiar su contrasea no podrn usar un password que se haya usado antes por lo menos desde los 2 ltimos cambios. Esto se configura en configuracin de equipo, configuracin de windows, configuracin de seguridad, configuracin de cuenta, directivas de contraseas en exigir historial de contraseas.

- Los usuarios del grupo ATHLETIC pueden apagar la mquina una vez hayan iniciado sesin, pero los usuarios del grupo ERREALA no podrn apagar el equipo (Desde el sistema operativo) Esto se configura en configuracin del equipo, directivas, configuracin de windows, directivas locales, asignacin de derechos de usuarios, apagar el sistema.

- Los usuarios del grupo ATHLETIC podrn cambiar la hora de la mquina local. En configuracin del equipo, directivas, configuracin de windows, configuracin de seguridad, directivas locales, asignacin de derechos de usuarios, cambiar la hora del sistema. Entonces, a los del grupo ERREALA no les va a dejar.

Despus, nos pondremos a configurar unas cosas en el navegador Internet Explorer: -No podrn eliminar el historial de navegacin Esto se puede poner si entramos en configuracin de equipo, plantillas administrativas, componentes de windows, internet explorer, deshabilitar la configuracin del historial, doble clic para abrir y aplicar y aceptar.

-Configuracin del historial deshabiltada. Se configura desde la ruta configuracin del equipo, plantillas administrativas, componentes de windows, internet explorer, panel de control de internet, y deshabilitar la pgina general.

-No permitir el cambio de las directivas de seguridad del navegador. Iremos a configuracin del equipo, plantillas administrativas, componentes de windows, internet explorer, panel de control internet, deshabilitar la pgina de seguridad.

-Desactivar la ventana emergente de reproduccin automtica.

Se configura desde la ruta Configuracin del equipo, Componentes de Windows, Directivas de Reproduccin automtica.

Plantillas Administrativas, Desactivar

reproduccin automtica,

-No permitir el apagado remoto de la mquina Se configura desde Configuracin del equipo, plantillas administrativas, componentes de Windows, opciones de apagado, desactivar interfaz de apagado remoto.

- Aplicar cuotas de 50 MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para los fines de esta prctica).

Se configura en: Configuracin del equipo, Plantillas administrativas, Sistema, Cuotas de disco. En esta pestaa se pueden configurar las diferentes opciones para la cuota de disco.

- Implementa las siguientes directivas de configuracin de usuario.

La pgina principal que se cargar para cada usuario cuando abra su navegador ser: http://www.txorierri.net

Se configura en: Configuracin de usuario, Configuracin de Windows, Mantenimiento de Internet Explorer, Direcciones URL, Personalizar URL de la pgina principal.

Restringir

desde

el

navegador

el

acceso

los

siguientes

sitios:www.facebook.com ywww.youtube.com por URL, para todos los usuarios. El administrador ser el nico con la contrasea de supervisor para el Asesor de Contenidos. Se configura en: Configuracin de usuario, Configuracin de Windows, Mantenimiento de Internet Explorer, Seguridad, Clasificacin de contenidos (Importar la configuracin actual de restricciones de contenido), General (cambiamos la contrasea del supervisor) Sitios aprobados (ingresamos el sitio WEB a denegar) clic en NUNCA. Ocultar la unidad C:\ (NOTA: Esto no restringir el acceso a dicha unidad) Se configura en: Configuracin de usuario, Plantillas Administrativas, Componentes de Windows, Explorador de Windows, Impedir acceso a las unidades desde Mi PC.

Ocultar el men opciones de carpeta del men de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

Se configura en: Configuracin de usuario, Plantillas Administrativas, Componentes de Windows, Explorador de Windows, Quita el men opciones de carpeta del men Herramientas.

Limitar el tamao de la papelera de reciclaje a 100MB

Se configura en: Configuracin de usuario, Plantillas Administrativas, Componentes de Windows, Explorador de Windows, Tamao de la papelera de reciclaje.

No permitir que se ejecute el solitario y el buscaminas

Se configura en: Configuracin de usuario, Plantillas Administrativas, Sistema, No ejecutar aplicaciones de Windows especificadas, solitario y buscaminas.

Ocultar todos los elementos del escritorio para todos los usuarios.

Configuracin del equipo, directivas, escritorio, ocultar y deshabilitar todos los elementos del escritorio.

Bloquear la barra de tareas

Desde configuracin del equipo, directivas, men de inicio y barra de tareas, bloquear las barras de tareas habilitado.

Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extrable.

Configuracin del equipo, directivas, Sistema, Acceso de almacenamiento extrable, discos extrables denegar acceso de escritura y lectura (deshabilitar), todas las clases de almacenamiento extrable: deshabilitado.

Pasos para la creacin de un usuario en Ubuntu Server Modo Grafico Si queremos ms, hay que instalar el paquete "gnome-system-tools" en el centro de software o: sudo apt-get install gnome-system-tools Este paquete contiene las siguientes aplicaciones: Users and groups > Esta es la anterior "usuarios y grupos" que nos da las opciones perdidas. Date and time Network options Services Shares (NFS and Samba) Ya podemos abrir "usuarios y grupos" desde el Dash (tecla Super o pulsando en el primer lanzador "Inicio" de la barra de Unity) Usuarios y Grupos 1. Para aadir un usuario nuevo: Pulsa el botn "Pulse para realizar los cambios" e introduce la contrasea de root o superusuario. Presiona + Aadir Usuario y se abre el Editor de Cuentas de Usuario. En la pestaa "CUENTA" como mnimo debes de rellenar: El Nombre de usuario. No uses espacios ni caracteres ASCII El Nombre real. Esto es opcional El perfil: eliges entre Administrador, Usuario de Escritorio y Usuario sin Privilegios (esto genera los privilegios de usuario predeterminados, aunque posteriormente los puedes modificar). La contrasea: la puedes poner a mano (2 veces) o eliges que Ubuntu la genere automticamente.

En la pestaa "INFORMACION DE CONTACTO" Puedes poner la ubicacin de la oficina y telfonos. Esto es opcional.

En la pestaa "PRIVILEGIOS DEL USUARIO": Puedes aadir o quitar los privilegios a los que el nuevo usuario tendr acceso, como por ejemplo usar dispositivos de audio.

En la pestaa "AVANZADO": El directorio personal, el intrprete de comandos, el grupo principal y el ID del usuario se adivina automticamente dependiendo del perfil seleccionado, por lo que no debes de modificarlos.

2. Para modificar un usuario existente Selecciona el usuario que quieres modificar y pulsa el botn Propiedades. Aparecer una ventana similar a la usada para aadir usuarios nuevos, permitindote modificarlos. 3. Para borrar un usuario existente Selecciona el usuario o usuarios que quieres borrar y pulsa el botn Borrar en la pestaa Usuarios, debido a la importancia de estos datos, se te pedir confirmacin para cada usuario que quieras borrar. Por razones de seguridad, el directorio personal de los usuarios borrados no se borrar. 4. Para aadir un grupo nuevo Pulsa el botn "Gestionar Grupos" y pulsa "Aadir grupo", aparecer una ventana nueva pidiendo los datos del grupo nuevo: Nombre del grupo. ID del grupo. Opcionalmente puedes especificar los usuarios que pertenecern a este grupo.

5. Para modificar un grupo existente Pulsa el botn "Gestionar Usuarios", seleccionas el grupo y pulsa el botn Propiedades. A continuacin aparecer una ventana similar a la de aadir grupo, donde podrs modificar los datos. 6. Para borrar un grupo existente Pulsa el botn "Gestionar Usuarios", seleccionas el grupo y pulsa el botn Borrar, debido a la importancia de estos datos, se te pedir confirmacin para cada grupo que quieras borrar. Modo texto con terminal Para gestionar los usuario debes usar el comando sudo. Estos son los comandos: 1. Aadir usuarios y grupos Para aadir un usuario: sudo adduser nombreusuario

El sistema pedir alguna informacin adicional sobre el usuario y un password o clave. Por defecto, se crea un grupo con el nombre del usuario y ste ser el grupo por defecto. Este comportamiento se configura en /etc/adduser.conf. Para aadir un usuario al sistema estableciendo users como su grupo principal: sudo adduser --ingroup users nombreusuario Para ver las opciones de aadir usuarios utiliza el comando man. sudo man adduser Para aadir nuevos grupos, cuando el nmero de usuarios es numeroso y heterogneo y as simplificamos el tema. Esto se hace con el comando addgroup. Por ejemplo: sudo addgroup nombregrupo Para aadir un nuevo usuario a un grupo existente puedes hacer lo siguiente: sudo adduser nombreusuario nombregrupo Para aadir un usuario existente a un grupo existente puedes usar el mismo comando: sudo adduser nombreusuario nombregrupo 2. Eliminar usuarios y grupos Para eliminar usuarios y grupos se emplean userdel y groupdel respectivamente. Por ejemplo: Para eliminar el usuario juan: sudo userdel juan Si adems se indica la opcin -r, tambin se borrar el directorio personal del usuario con todo su contenido: sudo userdel -r juan Para eliminar el grupo profesores: sudo groupdel profesores 3. Modificar usuarios y grupos Para modificar las caractersticas de los usuarios y grupos se emplean los comandos usermod y sudo groupmod. Algunos ejemplos: Para cambiar el directorio de inicio del usuario juan para que sea /home/profesores/juan. La opcin -m hace que mueva el contenido del antiguo directorio al nuevo emplazamiento. sudo usermod -d /home/profes/juan -m

Para cambiar el grupo inicial del usuario juan para que sea profesores. sudo usermod -g profesores juan Para cambiar el nombre del usuario juan. El nuevo nombre es Jorge. sudo usermod -l jorge juan Para cambiar el nombre del grupo profesores a alumnos. sudo groupmod -n alumnos profesores 4. Ficheros relacionados con la gestin de usuarios y grupos Algunos ficheros relacionados con las cuentas de usuario son: /etc/passwd: contiene informacin sobre cada usuario: ID, grupo principal, descripcin, directorio de inicio, shell, etc. Tambin contiene el password encriptado, salvo que se usen shadow passwords. /etc/shadow: contiene los passwords encriptados de los usuarios cuando se emplean shadow passwords. /etc/group: contiene los miembros de cada grupo, excepto para el grupo principal, que aparece en /etc/passwd. /etc/skel: directorio que contiene el contenido del directorio de los nuevos usuarios.

5. Algunos grupos especiales En el sistema existen algunos grupos especiales que sirven para controlar el acceso de los usuarios a distintos dispositivos. El control se consigue mediante los permisos adecuados a ficheros de dispositivo situados en /dev. Algunos de estos grupos son: cdrom: dispositivos de CDROM. El dispositivo concreto afectado depende de donde estn conectadas las unidades de CDROM. Por ejemplo, /dev/hdc. floppy: unidades de diskette, por ejemplo, /dev/fd0 dialout: puertos serie. Afecta, por ejemplo, a los modems externos conectados al sistema. Por ejemplo, /dev/ttyS1 audio: controla el acceso a dispositivos relacionados con la tarjeta de sonido. Por ejemplo, /dev/dsp, /dev/mixer y /dev/sndstat.

Para dar acceso a un usuario a uno de estos servicios, basta con aadirlo al grupo adecuado. Por ejemplo, para dar acceso al usuario juan a la disquetera haramos: sudo adduser juan floppy Alternativamente, para sistemas pequeos suele ser mejor "desproteger" los dispositivos adecuados para que todos los usuarios puedan usarlos, evitando tener que recordar aadir usuarios a los grupos adecuados. Por ejemplo, para dar acceso de lectura al CD

ROM (suponiendo que est en /dev/hdc) y de lectura/escritura a la disquetera a todos los usuarios, haramos: sudo chmod a+r /dev/hdc sudo chmod a+rw /dev/fd0*

6. Lmites a los usuarios En los sistemas UNIX/LINUX existe la posibilidad de limitar recursos a los usuarios o grupos, por ejemplo, el mximo nmero de logins que puede realizar simultneamente un usuario, el mximo tiempo de CPU, el mximo numero de procesos etc. Estos lmites se controlan en LINUX a travs del fichero /etc/security/limits.conf. Tambin es posible limitar los tiempos de acceso a los usuarios. Una de las formas de hacerlo es con el servicio timeoutd. Este servicio se instala a travs de la distribucin y, una vez instalado aparece un fichero de configuracin /etc/timeouts. En este fichero de configuracin las lneas en blanco o que comienzan por # no son interpretadas. El resto de las lneas debe tener alguna de las dos siguientes sintaxis: TIMES:TTYS:USERS:GROUPS:MAXIDLE:MAXSESS:MAXDAY:WARN o bien TIMES:TTYS:USERS:GROUPS:LOGINSTATUS Ejemplos de lmites horarios: El usuario curso no puede hacer login durante el fin de semana: SaSu:*:curso:*:NOLOGIN Slo el usuario root puede acceder desde las consolas tty1 a tty6: Al:tty1,tty2,tty3,tty4,tty5,tty6:root:*:LOGIN Al:tty1,tty2,tty3,tty4,tty5,tty6:*:*:NOLOGIN Slo el usuario root puede acceder entre las 15:00 y las 16:00h de cada da: Al1500-1600:*:root:*:LOGIN Al1500-1600:*:*:*:NOLOGIN Una vez que se ha preparado el fichero /etc/timeouts es necesario reiniciar el servidor timeoutd: /etc/init.d/timeoutd restart Stopped /usr/sbin/timeoutd (pid 2412). Starting /usr/sbin/timeoutd... Es importante destacar que este proceso no acta durante el proceso de login lo que da lugar a que, aunque un usuario tenga prohibido el acceso a una mquina en un momento determinado, inicialmente puede entrar y slo, una vez que se ejecute el proceso

timeoutd, ser expulsado del sistema. Para conseguir que durante el proceso de login se revisen las condiciones de timeouts se debe incluir las siguientes lneas en el fichero /etc/profile: Comprueba restricciones de timeoutd (ver timeoutd, timeouts(5)) /usr/sbin/timeoutd whoami basename \tty\ || exit Con esta lnea incluso aunque el servicio timeoutd este parado si en el fichero /etc/timeouts se prohbe el acceso a un usuario ste no podr entrar en el sistema. 7. Lmites de cuotas El sistema de cuotas provee un mecanismo de control y uso del espacio de disco duro disponible en un sistema. Se pueden establecer lmites en la cantidad de espacio y el nmero de ficheros de que puede disponer un usuario o grupo. En las cuotas hay cuatro nmeros para cada lmite: la cantidad actual ocupada; el lmite soft (quota propiamente dicha); el lmite hard (espacio sobre cuota), y el tiempo que resta antes de eliminar el exceso entre soft y hard. Mientras que el lmite soft puede ser superado temporalmente, el lmite hard nunca puede rebasarse. Administrando el sistema de cuotas: Para implementar el sistema de cuotas es necesario instalar algn paquete de control de dicho sistema. En Ubuntu hay un paquete denominado cuota que instala todo lo necesario para implementar todo el sistema. Una vez instalado tenemos que realizar una serie de pasos para activar el mecanismo de cuotas. Estos pasos son: 7.1. Configuracin del kernel Antes de instalar el sistema de cuotas debe disponerse de un kernel con la opcin de quotasystem habilitada. Esto se consigue en el proceso de compilacin de un nuevo kernel respondiendo yes a la pregunta de Disk QUOTA support Los kernels precompilados que se distribuyen con Deban (paquetes kernel-image.ya tienen esta opcin habilitada. 7.2. Eleccin del sistema de ficheros sobre el que se aplican las cuotas Una vez dispuesto el kernel, hay que seleccionar que sistema de ficheros necesitan tener aplicadas las cuotas. Lo normal es que solo el sistema donde estn las cuentas de usuarios tenga cuotas, aunque es recomendable que tenga cuotas todo sistema de ficheros donde los usuarios puedan escribir. Para habilitar las cuotas en un sistema de ficheros hay que editar el fichero /etc/fstab e incluir las opciones usrquota y grpquota: # /etc/fstab: static file system information. # file system mount point type options dump pas /dev/hda5 / ext2 defaults,errors=remount-ro,usrquota,grpquota 0

7.3. Habilitar las cuotas Para instalar los ficheros de cuotas se debe ejecutar el comando: quotacheck -avug Scanning /dev/hda5 [/] done Checked 4943 directories and 57624 files Using quotafile /quota.user Updating in-core user quotas Using quotafile /quota.group Updating in-core group quotas La primera vez que se ejecuta este comando sirve para crear los ficheros de quotas: quota.user y quota.group 7.4. Especificar cuotas para usuarios o grupos Para editar la cuota de un usuario o grupo se usa el programa edquota con la opcin -u para editar las cuotas de usuarios y con la opcion -g para editar las opciones de grupo. Slo hay que editar los nmeros que estn detrs de soft y hard. El perodo de gracia que hay entre el lmite soft y el hard puede cambiarse con: edquota -t La mayora de las veces los usuarios tienen la misma cuota. Una forma rpida de editar la cuota de todos los usuarios es colocarse en el directorio donde tienen sus directorios raz cada usuario. Editar la cuota de uno de estos usuarios con los valores apropiados y, posteriormente, ejecutar: edquota -p usuarioprototipo * Para verificar las cuotas que tiene un usuario se utiliza el comando: quota -v El sper usuario puede ver las cuotas de todos los usuarios con el comando: repquota filesystem 7.5. Deshabilitar cuotas para usuarios y grupos Para deshabilitar las cuotas de un usuario o grupo solo hay que editarlas cuotas y poner los lmites a 0. As un usuario puede usar tantos bloques y nodos como quiera. BIBLIOGRAFIA http://www.ubuntu-guia.com/2009/09/gestion-de-usuarios-y-grupos-en-ubuntu.html http://aitorbarcina.wordpress.com/2013/05/30/windows-server-2008administracion-de-usuarios-grupos-y-directivas/