2. Administración de Sistemas Operativos
2.1 Concepto Usuario
Un usuario es cada persona que puede entrar al sistema.
Cuenta de usuario (user-account) almacena toda la información que el sistema guarda acerca
de cada usuario.
Los datos más importantes que son almacenados son los siguientes:
-Nombre de usuario
-Nombre completo
-Contraseña
-Horas de conexión.
-Activada
-Directorio de conexión
El dato más importante es el que se asocia a cada cuenta que es el SID, es un identificador
interno y es generado automáticamente por el sistema cuando se crea una nueva cuenta.
Para ver si el usuario tiene los permisos suficientes para poder llevar a cabo cualquiera de sus
acciones Windows 2003 Server utiliza siempre el SID y no el nombre del usuario. Al ser un dato
interno ningún usuario puede establecerlo en ningún sitio, por lo tanto nadie puede tener un
mayor grado de privilegio intentando suplantar la identidad de otro usuario.
Existen dos usuarios integrados (built-in users), son los siguientes:
-Administrador es el que administra todo lo siguiente:
-usuarios, grupos de usuario, contraseñas, recursos, derechos,etc…
Esta cuenta no puede ser ni eliminada ni desactivada.
-Invitado: es la que utilizan las personas que no tienen usuario propio para poder
acceder al sistema. Esta cuenta no tiene ni contraseña puesto que el nivel de privilegios que
tiene asociado es mínimo. Esta cuenta la puede desactivar el Administrador.
2.2 Grupos de Usuarios
Grupo de usuarios permite agrupar de forma lógica a los usuarios de un sistema, del mismo
modo establecer permisos y restricciones a todo el grupo de una vez. Este grupo de usuarios,
posee un SID( identificador interno) lo mismo que los usuarios, y un nombre. Se recomienda
aplicar los permisos a los grupos en lugar de a los usuarios.
Existen varios grupos integrados en el sistema, son los siguientes:
-Usuarios
-Operadores de copia
-Usuarios Avanzados
-Administradores.
Autora: Dolores Ruz Jiménez
3. Administración de Sistemas Operativos
Existen también una serie de grupos especiales, estos no se establecen de forma manual, son
determinados de forma dinámica y automática por el sistema, son también llamados
identidades especiales(special identities) son los siguientes:
-Usuarios Interactivos
-Usuarios de Red
-Todos
-Usuarios autentificados
2.3 Modelo de Protección
Es el modelo que sigue el sistema para establecer las acciones que el usuario o grupo está
autorizado a llevar a cabo. Está basado en la definición y contrastación de ciertos atributos de
protección que se asignan a los procesos de usuarios por un lado, y al sistema y sus recursos
por otro lado. Windows 2003 define dos conceptos distintos y complementarios:
-Derecho o privilegio (user right) es un atributo de un usuario (o grupo) que permite
realizar una acción que afecta al sistema en su conjunto y no solo a un objeto o recurso en
concreto. En Windows 2003 existe un conjunto fijo y predefinido de derechos. Para determinar
cuáles son los usuarios que poseen derechos, cada privilegio o derecho posee una lista donde
se especifica cuáles son los usuarios o grupos que tienen concedido estos derechos.
-Permiso (permisssion) es una característica de cada recurso del sistema como por
ejemplo una carpeta, un archivo, etc) que concede o deniega el acceso al mismo a un
usuario/grupo. Cada permiso posee una lista donde se especifica cuáles son los usuarios o
grupos que pueden acceder a dicho recurso y que tipo de acceso puede hacer cada uno.
2.4 Atributos de protección de los procesos
Cuando el usuario es autorizado a conectarse interactivamente a un sistema Windows 2003,
esté construye para él una acreditación denominada SAT.
El SAT almacena los siguientes atributos:
-SID del usuario
-SID de sus grupos
-Derechos del usuario
2.5 Derechos de usuario
Existen dos tipos de derechos de usuario, y son los siguientes:
-Derechos de conexión: son los que establecen las diferentes formas en las que el
usuario puede conectase al sistema.
-Privilegios: son los que hacen referencia a ciertas acciones predefinidas que el usuario
puede realizar una vez conectado al sistema.
Autora: Dolores Ruz Jiménez
4. Administración de Sistemas Operativos
En Windows 2003, los derechos son un tipo de directivas de seguridad.
Dentro de esta herramienta de administración se pueden establecer algunos tipos de reglas de
seguridad para el equipo local, son los siguientes:
-Cuentas
-Directiva local
-Clave pública
2.6 Atributos de protección de los recursos
En un sistema de archivos NTFS de W2003 cada carpeta o archivo posee los siguientes
atributos de protección:
-SID del propietario
-Lista de control de acceso de protección
-Lista de control de acceso de seguridad
La lista de protección se divida en dos listas llamadas:
-DACL(lista de control de acceso discrecional) y cada elemento de una DACL se
denomina ACE(entrada de control de acceso).
Cada entrada liga un SID de usuario o grupo con la concesión o denegación de un permiso
concreto.
2.7 Reglas de protección
Son las que controlan la comprobación de permisos a carpetas y archivos. Existen las
siguientes reglas:
-Los permisos en W2003 son acumulativos.
-La única acción de un proceso puede involucrar varias acciones individuales sober
varios archivos o carpetas.
-La ausencia sobre un objeto supone la imposibilidad de realizar la acción
correspondiente sobre el objeto.
-Si se produce conflicto en la comprobación de los permisos, los permisos negativos
tienen prioridad sobre los positivos y los permisos explícitos tiene prioridad sobre los
heredados.
Bibliografía:
http://moodle.iesgrancapitan.org/file.php/53/w2k3-avanzado.pdf
Autora: Dolores Ruz Jiménez