15.3 Directiva de usuario local dinámico (paquete de usuarios)

Un usuario local dinámico (DLU) es un objeto Usuario que se crea de forma temporal o permanente en la base de datos del Gestor de acceso de seguridad (SAM) de la estación de trabajo.

Las cuentas o usuarios temporales se denominan usuarios volátiles y su duración la determina el administrador. Con este tipo de cuenta se evita que el tamaño del SAM aumente excesivamente.

Si en su entorno hay varios usuarios que inician su sesión en una estación de trabajo compartida o Terminal Server, puede optar por configurar y habilitar la directiva de usuario local dinámico (DLU). Después de configurar y habilitar esta directiva, Desktop Management creará dinámicamente las cuentas de usuario en la estación de trabajo local o en Terminal Server mientras el usuario entra en el sistema.

En estaciones de trabajo Windows NT/2000/XP y servidores Windows 2000/2003 Terminal Server, la directiva de usuario local dinámico permite configurar usuarios creados en estaciones de trabajo de Windows NT/2000/XP y servidores Windows 2000/2003 Terminal Server después de que se hayan autenticado en el directorio. Tras asociar un usuario a un objeto Configuración, la autenticación e identificación gráfica de NetWare® (NWGINA) puede recuperar información del objeto Configuración para crear una cuenta de usuario en la estación de trabajo.

Si un usuario no está definido como DLU y no dispone de una cuenta en la estación de trabajo, no se puede crear una cuenta para él. Por tanto, el usuario no podrá entrar en la estación de trabajo, a menos que tenga una cuenta anterior o que el administrador cree manualmente una cuenta de usuario en la estación de trabajo. Si el usuario no está definido como DLU, se utilizan las credenciales de usuario de la pestaña Windows NT/2000/XP del recuadro de diálogo de entrada para autenticarse en la estación de trabajo.

Si el usuario está definido como DLU, se utilizan las credenciales de usuario del directorio o del paquete de usuarios, según la configuración que defina el administrador.

Si configura un DLU en un paquete de directivas de usuario para administrar el acceso a las estaciones de trabajo NT/2000/XP o servidores Windows 2000/2003 Terminal Server y utiliza un conjunto de credenciales que no sean de NetWare, las cuentas de usuario de la estación de trabajo creadas tendrán una contraseña aleatoria y desconocida y se crearán como cuentas de usuario volátil. Si, además, habilita el caché de usuarios volátiles, las cuentas de usuario permanecerán en la estación de trabajo el tiempo que dure el caché. Sin embargo, estas cuentas son inaccesibles debido a que tienen una contraseña desconocida.

Si utiliza el caché de usuarios volátiles para usuarios con conjuntos de credenciales que no sean de NetWare, las cuentas de usuario no serán accesibles a menos que los usuarios entren en el directorio al mismo tiempo y habiliten la opción Gestionar la cuenta de usuario existente.

Puede permitir o restringir el acceso de entrada DLU a algunas estaciones de trabajo mediante la página Restricciones de entrada. Las estaciones de trabajo y los contenedores enumerados en la lista Estaciones de trabajo excluidas no pueden utilizar el acceso DLU; las estaciones de trabajo de los contenedores enumerados en la lista Estaciones de trabajo incluidas sí pueden utilizarlo.

Para gestionar adecuadamente las prioridades de grupos, no permita que los usuarios asociados a DLU pertenezcan a varios grupos.

Para configurar la directiva de usuario local dinámico:

  1. En ConsoleOne, haga clic con el botón derecho en Paquete de usuarios, después haga clic en Propiedades y, a continuación, en la página de la plataforma adecuada.

    Para obtener más información sobre la compatibilidad de Desktop Management con la plataforma Windows NT, consulte Interoperabilidad con estaciones de trabajo con Windows NT 4 en la Guía de instalación de ZENworks 7 Desktop Management de Novell.

  2. Marque la casilla de verificación situada bajo la columna Habilitado de la directiva de usuario local dinámico.

    De este modo se selecciona y habilita la directiva.

  3. Haga clic en Propiedades.

    La página Usuario local dinámico.

  4. Rellene los campos siguientes:

    Habilitar el usuario local dinámico: permite crear un objeto Usuario que reside temporal o permanentemente en la base de datos del Gestor de acceso de seguridad (SAM) de la estación de trabajo.

    NWGINA requiere que se especifique si va a crearse un usuario local.

    Si no se marca esta casilla de verificación, NWGINA no crea un usuario en el SAM local. En lugar de eso, NWGINA intenta encontrar un usuario existente con las credenciales indicadas en la interfaz de entrada de NWGINA.

    Si se marca la casilla de verificación Habilitar el usuario local dinámico, NWGINA obtiene el nombre de usuario del objeto Configuración y consulta al SAM local para ver si ya existe el nombre de usuario. Si existe, NWGINA autentica el usuario en la estación de trabajo o en el servidor Terminal y se concede el acceso. Si no existe el nombre de usuario, NWGINA crea el usuario en el SAM local de Terminal Server o de la estación de trabajo.

    Si se definen las directivas de restricción de contraseñas en la estación de trabajo local o en el servidor Terminal, no se utiliza el usuario local dinámico. La contraseña que el usuario local dinámico utiliza para la cuenta local deberá cumplir con las restricciones de contraseña de la estación de trabajo local.

    Gestionar la cuenta de usuario existente (si la hay): permite realizar las tareas de gestión mediante la cuenta de usuario existente. Marque esta opción si ya existe el objeto Usuario que desea gestionar. Se aplican las asignaciones del grupo Estación de trabajo que especifica Gestión de estaciones de trabajo, así como el cambio de cuenta de no volátil a volátil cuando el usuario entra en la cuenta. Asimismo, se elimina la cuenta de la estación de trabajo una vez que el usuario salga.

    Si se marcan ésta y la casilla Usuario volátil y el usuario posee una cuenta local permanente que emplea las mismas credenciales que se indican en eDirectory™, la cuenta permanente se convierte en una cuenta volátil (temporal). La cuenta se gestiona pero se elimina cuando se alcanza la antigüedad del caché de usuario volátil o el usuario sale de la sesión.

    Todas las opciones que modifique aquí sobreescriben los ajustes actuales de la cuenta en la estación de trabajo o en el servidor Terminal. Si no se activa esta opción, la Gestión de estaciones de trabajo no podrá gestionar el objeto Usuario existente.

    Usar las credenciales de eDirectory: permite entrar en sesión mediante las credenciales de eDirectory del usuario en lugar de las de NT/2000/XP. Cuando se crea la cuenta de usuario, NWGINA puede utilizar el mismo conjunto de credenciales utilizadas para la autenticación de eDirectory o un conjunto de credenciales predeterminadas especificadas en el objeto Configuración. Cuando utiliza credenciales de eDirectory para crear la cuenta de usuario de la estación de trabajo, NWGINA solicita a la cuenta eDirectory del usuario el nombre de entrada, el nombre completo y la descripción. La contraseña para la cuenta de usuario de NT/2000/XP es la misma que para la cuenta de usuario de eDirectory.

    Si no se utilizan credenciales de eDirectory, la cuenta es siempre volátil y no es accesible. También se puede indicar un valor en Nombre completo y Descripción para proporcionar una descripción completa del usuario.

    Si no utiliza credenciales de eDirectory y no existe todavía la cuenta del usuario (tal como se indica en la casilla de verificación Gestionar la cuenta de usuario existente), se crea la cuenta de usuario como una cuenta de usuario volátil, lo que significa que se suprime automáticamente la cuenta de usuario al salir del sistema. Esto puede verse porque la casilla de verificación Usuario volátil aparece marcada automáticamente si no se marca la casilla de verificación Utilizar las credenciales de eDirectory.

    Usuario volátil (eliminar al usuario tras la salida del sistema): especifica que se utilizará una cuenta de usuario volátil para la entrada. La cuenta del usuario que NWGINA crea en la estación de trabajo local puede ser una cuenta volátil o no volátil.

    Tenga en cuenta que si marca las casillas de verificación Usuario volátil (eliminar al usuario tras la salida del sistema) y Gestionar la cuenta de usuario existente (si la hay), se eliminará la cuenta de usuario volátil cuando el usuario salga, incluso aunque la cuenta existiera antes de que el usuario entrara mediante el DLU.

    Usuario: el nombre de usuario de NT/2000/XP. El nombre de usuario (sin incluir el contexto) debe tener menos de 20 caracteres para que un usuario local dinámico pueda entrar en sesión.

    Los usuarios creados manualmente con el Administrador de usuarios no pueden tener un nombre más largo.

    Nombre completo: el nombre completo del usuario.

    Descripción: introduzca cualquier otra información que facilite la identificación de esta cuenta de usuario.

    Miembro de: muestra los grupos a los que pertenece el usuario. Cuando NWGINA crea el usuario de estación de trabajo, puede hacer miembro a cualquier grupo de usuarios. Los grupos a los que se añade el usuario aparecen en la lista Miembro de. La configuración por defecto es para el usuario que se va a añadir al grupo Usuarios. Se pueden agregar más grupos seleccionándolos y haciendo clic en Añadir. Se pueden eliminar grupos seleccionándolos y haciendo clic en Eliminar.

    No miembro de: lista de grupos disponibles a los que el usuario no ha sido asignado como miembro.

    Personalizado: abre la página Grupos personalizados donde podrá añadir un grupo nuevo, eliminar uno existente y ver o modificar las propiedades de los grupos personalizados. Para obtener más información sobre las posibles opciones, haga clic en el botón Ayuda del recuadro de diálogo Propiedades del grupo personalizado.

  5. (Opcional) Para restringir el acceso de DLU a determinadas estaciones de trabajo, haga clic en la flecha hacia abajo de la pestaña Usuario local dinámico y luego haga clic en Restricciones de entrada.

    La página Restricciones de entrada de la directiva de usuario local dinámico.

    1. Marque la casilla Habilitar restricciones de entrada para restringir el acceso del DLU a determinadas estaciones de trabajo.

      Cuando se marca la casilla de verificación Habilitar restricciones de entrada, los botones Añadir y Suprimir aparecen disponibles.

    2. Marque la casilla Restringir el acceso a las estaciones de trabajo no registradas para restringir el acceso del DLU a las estaciones de trabajo no registradas.

      En versiones anteriores de ZENworks for Desktops, no se podía dar acceso al DLU a las estaciones de trabajo que no estaban registradas en eDirectory porque no estaban en la lista Estaciones de trabajo incluidas. Si habilita esta opción, no se podrá otorgar acceso del DLU a todas las estaciones de trabajo no registradas (como en versiones anteriores de ZENworks for Desktops). Si no marca la casilla de verificación Restringir el acceso a las estaciones de trabajo no registradas, se les puede otorgar acceso del DLU a todas las estaciones de trabajo no registradas, aunque no estén en la lista Estaciones de trabajo incluidas.

    3. Utilice los botones Añadir y Suprimir situados bajo el recuadro de lista Estaciones de trabajo excluidas según estime oportuno.

      El recuadro Estaciones de trabajo excluidas muestra las estaciones de trabajo y los contenedores de los que desea excluir el acceso de DLU. Las estaciones de trabajo de la lista o las estaciones de trabajo que forman parte de contenedores que aparecen en la lista no pueden utilizar el acceso de DLU. Puede hacer excepciones con estaciones de trabajo individuales pasándolas a la lista Estaciones de trabajo incluidas. Esto permitirá el acceso DLU sólo a esas estaciones de trabajo y excluirá el acceso de este tipo al resto de las estaciones de trabajo del contenedor.

    4. Utilice los botones Añadir y Suprimir situados bajo el recuadro de lista Estaciones de trabajo incluidas según estime oportuno.

      El recuadro Estaciones de trabajo incluidas muestra en una lista las estaciones de trabajo y los contenedores a los que desea permitir acceso de DLU. Las estaciones de trabajo de la lista o las estaciones de trabajo que forman parte de contenedores que aparecen en la lista pueden utilizar el acceso de DLU. Puede hacer excepciones en estaciones de trabajo individuales mostrándolas en la lista Estaciones de trabajo excluidas. Esto excluye el acceso de DLU únicamente a dichas estaciones de trabajo y lo permite al resto de las estaciones de trabajo del contenedor.

  6. (Opcional) Haga clic en la flecha abajo de la pestaña Usuario local dinámico y después haga clic en Derechos de archivo si desea gestionar el acceso al sistema de archivos de DLU en estaciones de trabajo Windows NT/2000/XP y servidores Terminal.

    La página Derechos de archivo de la directiva de usuario local dinámico.

    Puede controlar el acceso a directorios completos o a archivos individuales. Por ejemplo, si la directiva de Usuario local dinámico crea al usuario como miembro de un grupo que no proporciona acceso a un directorio necesario para ejecutar una aplicación, utilice esta página para otorgar de manera explícita los derechos de directorio necesarios. O bien, si el usuario tiene derechos de control total para un directorio, utilice esta página para limitar derechos a cualquiera de los archivos del directorio.

    1. El botón Añadir se utiliza para modificar los directorios y archivos a los que el usuario ha asignado explícitamente derechos al sistema de archivos.

      Se le pide que introduzca o seleccione el directorio o el archivo. La vía del directorio o del archivo debe definirse desde la perspectiva de la estación de trabajo o servidor Terminal en que se asignarán los derechos. Después de añadir un directorio o un archivo a la lista, selecciónelo y, a continuación, utilice el recuadro Derechos de archivo para asignar los derechos de archivo adecuados (Control total, Lectura, Escritura, Ejecución, Otorgar permisos y Tomar en propiedad).

      La lista Derechos de archivo muestra los directorios y los archivos para los que se han asignado explícitamente derechos de sistema de archivos al usuario. Cuando seleccione un directorio o un archivo de la lista, se mostrarán los derechos asignados en el recuadro Derechos de archivo que se encuentra bajo la lista. Para obtener una explicación acerca de cada uno de estos derechos (Control total, Lectura, Escritura, Ejecución, Otorgar permisos y Tomar en propiedad), consulte la documentación del sistema operativo de Microsoft Windows.

    2. Utilice los botones de flecha del lado derecho del recuadro Derechos de archivo para colocar los valores en el orden adecuado.

      Se asignan los derechos del directorio en el orden en el que se enumeran en la lista, de arriba a abajo. Debido a la herencia de derechos de directorio, si se enumera en la lista un directorio y su subdirectorio, el subdirectorio deberá aparecer detrás de su directorio padre. Con esto nos aseguramos de que los derechos asignados explícitamente al subdirectorio no se anulan con los derechos heredados de su directorio padre.

      Los derechos de archivos siempre tienen prioridad sobre los derechos de directorios, independientemente de su posición en la lista. Por ejemplo, si asigna derechos de Control total al directorio c:\Archivos de programa y derechos de Lectura y Ejecución al archivo c:\Archivos de programa\sample.txt, se le asignan al usuario derechos de Lectura y Ejecución para el archivo, con independencia de que aparezca en la lista antes o después que el directorio.

      Es posible bloquear la herencia de derechos en el sistema de archivos NTFS y, en Windows XP, por defecto, el directorio Windows no admite derechos para ser heredado.

  7. Haga clic en Aceptar para guardar la directiva.

  8. Repita el procedimiento del Paso 1 al Paso 7 para cada plataforma cuya directiva de usuario local dinámico desee definir.

  9. Cuando haya terminado de configurar todas las directivas de este paquete, continúe con los pasos de Sección 15.13, Asociación del paquete de usuarios o de estaciones de trabajo para asociar el paquete de directivas.