Gestió usuaris i grups
Windows permet dos tipus d'usuaris, usuaris locals i usuaris de domini. En el nostre cas només crearem usuaris locals, ja que es precisa d'un servidor Windows per a poder crear el segon tipus d'usuaris. Windows diferencia tres tipus d'usuaris:
- Usuari administrador: pot realitzar qualsevol tasca dins del sistema.
- Usuari standard: és un usuari "normal" dins del sistema. Té habilitades totes les funcionalitats excepte aquelles que són pròpies a l'usuari administrador.
- Usuari invitat: és un usuari especial que disposa de molts pocs permisos en la màquina. Per defecte, aquest usuari està desactivat. Per accedir
En un sistema el més normal és disposar d'un usuari administrador i de diferents usuaris de tipus estàndard. Podem utilitzar els usuaris per assignar permisos als fitxer i a les carpetes. Per accedir a la configuració dels permissos accedirem a les propietats d'un arxiu o carpeta. Dins d'aquestes propietats, en la pestanya de seguretat, podem veure quins són els permisos associats a la carpeta o fitxer en concret. Amb el botó "editar" i "avançat" podrem canviar els permisos d'un usuari o assignar permissos a un nou usuari.
Per accedir a la configuració dels usuaris creats en el sistema executarem la comanda:lusrmgr.msc (local user manager)
Grups
Els grups estan formats per un conjunt d'usuaris. Els grups ens són molt útils per a gestionar la seguretat per a un conjunt d'usuaris i no haver-ho de fer de forma individual. Windows ja està configurat amb una sèrie de grups predeterminats (Built-in groups). Aquests grups ens faciliten la gestió del sistema sense necessitat de crear els nostres propis grup.
Per accedir a la configuració dels usuaris i grups creats en el sistema executarem la comanda:lusrmgr.msc (local user manager) i accedirem a la carpeta Groups.
Perfils usuaris
El perfil d'usuari determina la configuració del seu entorn. En el perfil d'usuari es guarda la configuració del fons de l'escriptori, accessos directes creats en l'escriptori , variables d'entorn ... La idea és que quan un usuari es connecti a l'ordinador, enlloc de tenir l'entorn estàndard de Windows (entorn ofert en la primera connexió), disposi de l'entorn de l'última vegada que es va connectar.
En Windows hi ha dos tipus de perfils:
Globals: la configuració es guarda en un servidor i tots els equips des d'on es connecta l'usuari disposen de l'entorn personalitzat per l'usuari. Locals: si un usuari vol tenir el mateix entorn en diferents equips haurà de crear aquest entorn de forma individual a cada un dels equips.
PowerShell
Crear un usuari
Per a crear un usuari amb PowerShell utilitzarem la comanda New-LocalUser . La comanda New-LocalUser ens demanarà quin password volem associar a l'usuari. El problema, és que si volem fer un procés autonom o volem fer un script que generi molts usuaris tots amb el mateix password, no és gaire útil que el sistema ens demani informació. El desitjable és que el programa s'executi de forma autònoma sense necessitat de la introducció de la informació. Podem automatitzar l'entrada del password per a cada usuari convertint un text pla a un text segur:
$passwd = "a" | ConvertTo-SecureString -AsPlainText -Force
La comanda anterior emmagatzema en la variable $passwd la lletra "a" com a un text segur. D'aquesta forma podem assignar aquesta variable com a password en la comanda New-LocalUser
New-LocalUser "pere" -Password $passwd -FullName "Pere Pi" -Description "Col·laborador extern"
La comanda New-ĹocalUser permet molts més arguments, com la data en què ha d'expirar la conta, quan haurà de canviar el password l'usuari... amb la comanda man New-LocalUser podeu veure totes les opcions disponibles per a crear un nou usuari.
Obtenir llista d'usuaris
Executem la comanda Get-LocalUser per a obtenir un llistat de tots els usuaris creats en el sistema. De forma opcional podem indicar el nom de l'usuari per a obtenir la informació d'un usuari determinat. Es recomana redirigir la comanda Get-LocalUser a la comanda Format-List per a obtenir una informació més detallada relacionada amb l'usuari
Get-LocalUser # Obtenir informació "resumida" dels usuaris locals del sistema
Get-LocalUser | Format-List # Obtenir informació "detallada" dels usuaris locals del sistema
Get-LocalUser "pere" | Format-List # Obtenir informació "detallada" de l'usuari local pere
Eliminar un usuari
Per a eliminar un usuari utilitzem la comanda Remove-LocalUser. Aquesta comanda precisa indicar el nom de l'usuari que volem eliminar. Per exemple, per eliminar l'usuari "Pere Pi" creat en el punt anterior utilitzarem la comanda
Remove-LocalUser "pere" # Observem com utilitzem el "nom" (pere) i no el nom complet (Pere Pi) per a eliminar l'usuari
Modificar un usuari
Podem utilitzar la comanda "Set-LocalUser" per a modificar la informació associada a un usuari. Així, per exemple, la comanda
Set-LocalUser "pere" -FullName "Pere Pi Pons" # Canvia el nom complet de l'usuari "pere" a "Pere Pi Pons"
Deshabilitar un usuari
Tot i que podem associar una data de caducitat a una conta d'usuari, normalment no sabem quan finalitzarà la relació laboral de l'usuari amb l'organització. PowerShell incorpora una comanda per a deshabilitar una conta d'usuari de forma immediata: disable-LocalUser
Disable-LocalUser "pere" # Per eliminar l'accés al sistema a l'usuari "pere"
L'avantatge de deshabilitar un usuari enlloc d'eliminar-lo és que podem recuperar la seva conta de forma fàcil. En el cas que l'usuari es tornés a incorporar, recuperaria de forma immediata els permissos i accesos que tenia abans de que l'usuari fos deshabilitat. Si eliminem l'usuari, encara que creem un usuari nou amb el mateix nom, tot i ser el mateix usuari, caldrà configurar de forma manual els nous accesos pel nou usuari.
Per a habilitar un usuari utilitzem la comanda : Enable-LocalUser seguida del nom de l'usuari a habilitar.
Enable-LocalUser "pere" # Per habilitar l'accés al sistema a l'usuari "pere"
df