Windows 2003 Server nos permite un control de los usuarios que acceden al sistema bastante amplio, usando un sistema de cuentas de usuario que permiten almacenar multitud de información sobre estos: Nombre del usuario, Contraseña, Directorio de conexión, Horario, Activada (permite saber que la cuenta está activa) y un campo muy importante, el SID (Secure Identifier, Identificador seguro), que lo genera el sistema de forma automática y que es único en todo el mundo, impidiendo ser suplantado por ningún usuario, aunque sea el administrador.
Los usuarios se administran a su vez en grupos, los cuales agilizan la asignación o restricción de permisos. Existen varios grupos por defecto y podemos crear tantos como queramos.
Los usuarios tienen también derechos, los cuales son atributos que permiten la realización de acciones que afectan al sistema en conjunto y no de forma individual.
Hay dos tipos de derechos, los de conexión (logon rights) y los de privilegios (privileges). Los primeros establecen las formas en las que un usuario puede conectarse al sistema y los segundos hacen referencia a las acciones predefinidas que un usuario puede realizar una vez conecta al sistema.
Además, los recursos del sistema tienen permisos, característica que les permite denegar o conceder acceso de lectura, escritura, ejecución, etc a los usuarios.
La asociación de permisos a carpetas y archivos sigue varias reglas:
1- Al crearse un archivo nuevo este no posee ningún permiso explícito y toma los heredados y explícitos de su carpeta padre. Si se necesitan añadir más se añaden a la lista de explícitos.
2- El control de herencia tiene dos niveles de hacerse: Uno en el que se permite herdar los permisos desde su carpeta padre y un segundo que añade una regla que indica qué recursos podrán heredar los permisos, no heredándolos el resto.
3- Copiar un archivo a otra ubicación es considerado por el sistema como una creación nueva por lo que los permisos explícitos estarán vacíos y los heredados serán los activos de la carpeta padre.
4- Mover un archivo, si se encuentra dentro del mismo volumen, hará que se desactive la herencia y se mantengan los permisos explícitos. Si el volumen es distinto actuará como si fuera una copia de archivos.
Los permisos son acumulativos y van ligados a los SID de los usuarios. En caso de faltar un permiso sobre un objeto supondrá la imposibilidad de realizar dicha acción y si se produjera un conflicto de permisos los negativos tendrán prioridad sobre los positivos, además de que los explícitos tendrán prioridad sobre los heredados.
No hay comentarios:
Publicar un comentario