Un usuario en windows 2003 es una persona que entra al sistema.
Dichos usuario cuentan con (un nombre de usuario, contraseña, directorio de conexión, etc.) El más importante de todos ellos es el SID que es el identificador seguro que sirven de identificación exclusiva para cada usuario.
Existen dos usuario iniciales (built-in-users) cuando se instala 2003: el administrador y el invitado. El administrador tiene derechos administrativos sobre el sistema y la cuenta invitado normalmente se usa para aquellas personas que no tienen un usuario.
Los grupos de usuarios permiten agrupar de forma lógica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. También posee un SID propio. En Windows 2003 se recomienda asignar los permisos a los grupos en vez de asignar permisos a usuarios individualmente ya que al asignarlos al grupo automáticamente afecta a todos los usuarios de dicho grupo.
También existen una serie de grupos creados por el sistema (built-in-groups):
-Administradores: Contiene el usuario administrador
-Invitados: Contiene el usuario invitado
-Usuarios: Son usuarios normales que tienen permisos para conectarse al sistema interactivamente.
-Operadores de copia: Son usuario que pueden hacer copias del sistema y restaurarlo.
-Usuarios Avanzados: Son usuarios con ciertas capacidades administrativas.
Un derecho o privilegio de usuario es un atributo de un usuario que le permite realizar una acción que afecta al sistema en su conjunto.
Un permiso es una característica de cada recurso (carpeta,archivo…) del sistema que concede o deniega el acceso al mismo a un usuario/grupo concreto.
A cada usuario de 2003 se le asigna un SAT (security Access token) que contiene la información de protección del usuario.
El SAT contiene los siguientes atributos:
-SID
-SID de sus grupos
-Derechos: Lista los derechos del usuario
Un derecho es un atributo de un usuario o grupo de usuarios que le confiere la posibilidad de realizar una acción concreta sobre el sistema en conjunto. Distinguimos entre 2 tipos de derechos: derechos de conexión y privilegios.
Los derechos de conexión establecen las diferentes formas en que un usuario puede conectarse al sistema y los privilegios hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.
Cuando se crea un nuevo archivo o carpeta, por normal general, adquiere como permisos los permisos heredados y explícitos de su carpeta padre.
Existen una serie de reglas de protección que son las siguientes:
1. Cada permiso involucrado en la acción solicitada está concedido explícitamente al SID del usuario o de algún grupo al que el usuario pertenece. En ese caso, se permite la acción.
2. Alguno de los permisos involucrados está explícitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la acción.
3. La lista (DACL) ha sido explorada completamente y no se ha encontrado una entrada (ni positiva ni negativa) correspondiente a alguno de los permisos involucrados en la acción para el SID del usuario o sus grupos. En este caso, se deniega la acción.
No hay comentarios:
Publicar un comentario