CUALES SON LOS GRUPOS LOCALES DE DOMINIO PREDEFINIDOS
Los servidores miembro, los servidores independientes y los equipos que ejecutan Windows 2000 Profesional tienen grupos locales predefinidos que otorgan derechos para realizar tareas en una única maquina.
Si se desea que los miembros del grupo Usuarios del dominio no tengan acceso a una estación de trabajo o servidor miembro en particular, hay que eliminar Usuarios del dominio del grupo local Usuarios de ese equipo. De forma similar, si no se desea que los miembros de Admins. Del dominio administren una estación de trabajo o un servidor miembro en particular, hay que eliminar Admins. del dominio del grupo local Administradores.
Grupos locales predefinidos:
Administradores: Sus miembros pueden realizar todas las tareas administrativas en el equipo. La cuenta predefinida Administrador que se crea cuando se instala el sistema operativo es un miembro del grupo. Cuando un servidor independiente o un equipo que ejecuta Windows 2000 Profesional se une a un dominio, el grupo Admins. del dominio se hace parte de este grupo.
Duplicadores: No se deben añadir cuentas de usuario de usuarios reales a este grupo. Si es necesario, se puede añadir una cuenta de usuario "ficticia" a este grupo para permitir iniciar sesión en los servicios Replicador de un controlador de dominio para administrar la réplica de archivos y directorios.
Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos específicamente.
Operadores de copia: Sus miembros pueden iniciar sesión en el equipo, hacer copia de seguridad y recuperar la información del equipo y apagar el equipo. Los miembros no pueden cambiar la configuración de seguridad. No hay miembros predeterminados en el grupo.
Usuarios: Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un servidor miembro o una maquina Windows 2000 Profesional se une a un dominio, el grupo Usuarios del dominio se añade a este grupo.
Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar programas en el equipo local pero no pueden ver los archivos de otros usuarios.
Grupos locales de dominio predefinidos
Los grupos locales de dominio predefinidos de Windows 2000 proporcionan a los usuarios derechos y permisos para realizar tareas en controladores de dominio y en el Active Directory. Los grupos locales de dominio tienen derechos y permisos predefinidos que están concedidos a los usuarios y a los grupos globales que se añaden como miembros.
Grupos locales de dominio predefinidos usados más frecuentemente
Administradores: Sus miembros tienen concedido automáticamente cualquier derecho o permiso de todos los controladores de dominio y del propio dominio. La cuenta Administrador, el grupo Administración de empresas y el grupo Admins. del dominio son miembros.
Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos específicamente. Los grupos Usuarios invitados a Invitados de dominio son miembros de forma predeterminada.
Operadores de copia: Sus miembros pueden hacer copia de seguridad y recuperar información en todos los controladores de dominio utilizando Copia de seguridad de Windows 2000.
Operadores de cuentas: Sus miembros pueden crear, eliminar y gestionar cuentas y grupo de usuarios. Los miembros no pueden modificar el grupo Administradores o cualquiera de los grupos Operadores.
Operadores de impresión: Sus miembros pueden gestionar todos los aspectos de la operación y configuración de impresoras en el dominio.
Operadores de servidores: Sus miembros pueden realizar la mayoría de las tareas administrativas en los controladores de dominio, excepto la manipulación de las opciones de seguridad.
Usuarios: Sus miembros pueden iniciar sesión en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. El grupo Usuarios del dominio es miembro de este grupo de forma predeterminada.
En Windows NT todos los usuarios del dominio son miembros del grupo Todos. Este grupo esta controlado por el sistema operativo y aparece en cualquier red con servidores Windows NT. En Windows 2000, el grupo equivalente se llama Usuarios autentificados. A diferencia de Todos, Usuarios autentificados no contiene usuarios o invitados anónimos. El grupo Todos sobrevive como una identidad especial. No se puede ver cuando se administran los grupos y no se puede situar en un grupo. Cuando un usuario inicia sesión en la red es añadido automáticamente a Todos. No se puede ver o cambiar la pertenencia de las identidades especiales, que también incluyen el grupo Red y el Grupo interactivo
Grupos globales predefinidos
Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma predeterminada, estos grupos no tiene derechos heredados; un administrador debe asignar todos los derechos del grupo. Sin embargo, algunos miembros se añaden automáticamente a estos grupos, y se pueden añadir como miembros basándose en los derechos y permisos asignados a los grupos. Los derechos se pueden asignar directamente a los grupos o añadiendo los grupos globales predefinidos a grupos locales de dominio.
Grupos globales predefinidos usados más frecuentemente
Administración de empresas: Este grupo es para usuarios que tengan derechos administrativos en toda la red. Administración de empresas es automáticamente un miembro del grupo local de dominio Administradores en el dominio en el que se creo. Será necesario añadirlo al grupo local de dominio Administradores de otros dominios.
Admins. del dominio: Este grupo es automáticamente un miembro del grupo local de dominio Administradores, por lo que los miembros de Admins. del dominio pueden realizar tareas administrativas en cualquier equipo del dominio. La cuenta Administrador es un miembro de este grupo de forma predeterminada.
Controladores del dominio: Todos los controladores de dominio del dominio con miembros.
Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio.
Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo es automáticamente un miembro del grupo local de dominio Invitados.
Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la directiva de grupo del dominio.
Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros. El grupo Usuarios del dominio es automáticamente un miembro del grupo local de dominio usuarios.
Si se tienen usuarios que deberían tener menos derechos y/o permisos que los de un usuario típico, hay que añadir esos usuarios a Invitados de dominio y eliminarlos de Usuarios del dominio.
DERECHOS DE USUARIOS
Derechos son aquellas acciones que los usuarios pueden o no realizar. Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de seguridad de archivos o de iniciar sesión en un servidor, por ejemplo, es un derecho que el administrador concede o retira. Los derechos se pueden asignar de forma individual, pero la mayoría de las veces son características de los grupos y un usuario se asigna a un grupo particular en base a los derechos que necesita.
Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos como archivos, directorios a impresoras.
Los derechos a su vez, están divididos en dos tipos: privilegios y derechos de inicio de sesión. Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o forzar el apagado desde un sistema remoto; obviamente cosas que no hacen la mayoría de los usuarios. Los derechos de inicio de sesión implican la capacidad de conectarse a un equipo de forma específica. Los derechos se asignan automáticamente a usuarios individuales además de a grupos. Es preferible la asignación a grupos, por lo que en la medida de lo posible se deberían asignar los derechos por pertenencia a un grupo para simplificar la administración. Cuando la pertenencia de los grupos define derechos, se pueden eliminar los derechos de un usuario eliminando simplemente al usuario del grupo.
Como ya he dicho las acciones que una cuenta puede llevar a cabo y el nivel con que un usuario podrá acceder a la información son determinados por los derechos de usuario y los permisos.
Los administradores podemos asignar derechos específicos a cuentas de grupos o de usuario. Estos derechos autorizan a llevar a cabo acciones específicas, por ejemplo iniciar sesión, crear copias de seguridad, etc. Se diferencian de los permisos de forma clara e inequívoca, los derechos se aplican a cuentas, los permisos se adjuntan a los objetos.
Privilegios
Un derecho es asignado a una cuenta y especifica las acciones permitidas en la red.
Tener acceso a este equipo desde la red
Permite a un usuario conectar con el equipo desde la red.
Denegar el acceso desde la red a este equipo
Deniega la conexión con el equipo desde la red. Predeterminadamente no está asignado a nadie, a excepción de la cuenta integrada de soporte. El mal uso puede llevar al bloqueo de uno mismo o del sistema.
Derechos de inicio de sesión
Derecho asignado a una cuenta y que especifica la forma en que la misma iniciará sesión en el sistema. Por ejemplo: iniciar sesión local.
Iniciar sesión como proceso por lotes
Permite a un usuario iniciar sesión usando un archivo por lotes. De forma predeterminada está concedido sólo a los administradores. Cuando uno de ellos usa el asistente de añadir una tarea programada para programar una tarea y ejecutarse bajo un usuario y contraseña particulares, este usuario es asignado automáticamente al inicio de sesión como un derecho de proceso por lotes. Cuando llega el momento de ejecutarse, el programador de tareas inicia la sesión del usuario como un proceso por lotes más que un usuario interactivo, y la tarea se ejecuta en el contexto de seguridad del usuario.
Denegar el inicio de sesión como trabajo por lotes
Deniega al usuario la posibilidad del inicio de sesión usando un proceso por lotes. De forma predeterminada no está concedido a nadie.
Iniciar Sesión Como Servicio
Permite a un objeto principal iniciar sesión como servicio y establecer un contexto de seguridad. Las cuentas de Sistema Local, Servidor de red y Servicio Local siempre retienen el derecho de iniciar sesión como servicio. Cualquier servicio que se ejecute con una cuenta distinta debe serle concedido el derecho.
Denegar el inicio de sesión como servicio
Deniega a un objeto principal la posibilidad de iniciar sesión como servicios y establecer un contexto de seguridad.
Permitir el inicio de sesión local
Permite a un usuario iniciar sesión en el equipo mediante sea con la consola o una sesión de servicios de terminal y con IIS. La configuración de este derecho debe realizarse con precaución puesto que podríamos incluso impedirnos a nosotros mismos acceder al sistema si nos lo quitamos. En Windows Server 2003 es posible que un usuario establezca una conexión mediante una sesión de servicios de terminal contra un equipo específico sin este derecho, debido a la existencia del derecho de 'permitir inicio de sesión a través de Servicios de Terminal Server'.
Denegar el inicio de sesión localmente
Deniega al usuario el inicio de sesión a la consola del equipo. Predeterminado a nadie. También ha de aplicarse con precaución ya que podríamos impedirnos a nosotros mismos acceder al sistema.
Permitir inicio de sesión a través de Servicios de Terminal Server
Permite a un usuario el inicio de sesión usando servicios de terminal en XP y Windows Server 2003. Si concedemos este derecho no es necesario ya añadir al usuario al derecho de inicio de sesión local como lo era en Windows 2000.
Denegar inicio de sesión a través de Servicios de Terminal Server
Deniega el inicio de sesión al usuario usando servicios de terminal. Si tiene el derecho de inicio de sesión local, podrá hacerlo a la consola del equipo.
Podemos ver los privilegios y derechos de inicio de sesión asignados a equipos y usuarios con showpriv.exe del resource kit, esta herramienta en línea de comandos nos permite, indicándole el nombre del privilegio, conocer las cuentas y grupos que lo tienen asignado. Aunque no lista los servicios que tienen los derechos o privilegios inherentes como LocalSystem.
Con la herramienta whoami y el parámetro /all también obtenemos información sobre los privilegios y derechos.
PRIVILEGIOS ASIGNADOS DE FORMA PREDETERMINADA A LOS GRUPOS
Derechos de inicio de sesión asignados de forma predeterminada a los grupos
Nombre
Descripción
Grupos con el derecho asignado de forma predeterminada
Iniciar sesión como servicio
Permite iniciar sesión como un servicio utilizando una cuenta de usuario y un contexto de seguridad específicos.
Ninguno
Iniciar sesión como trabajo de procesamiento por lotes
Permite iniciar sesión utilizando una cola de procesamiento por lotes.
Administradores
Iniciar sesión local
Permite iniciar sesión desde el teclado del equipo.
Administradores, Operadores de copia; Operadores de cuentas, Operadores de impresión, Operadores de servidores
Tener acceso a este equipo desde la red
Permite la conexión al equipo a través de la red.
Administradores, Todos, Usuarios avanzados.
Privilegios asignados de forma predeterminada a los grupos
Privilegio
Descripción
Grupos con el privilegio asignado de forma predeterminada
Actuar como parte del sistema operativo
Permite a un proceso autenticarse como cualquier usuario. Un proceso que requiere este privilegio debería utilizar la cuenta LocalSystem, que ya incluye este privilegio.
Ninguno
Administrar registros de auditoria y de seguridad
Permite a un usuario especificar opciones de auditoria y ver y borrar el registro de seguridad del Visor de sucesos. Se debe activar Auditar el acceso del servicio de directorio para que se pueda realizar la auditoria de acceso a objetos. Los administradores siempre pueden ver y borrar el registro de seguridad.
Administradores
Agregar estaciones de trabajo a un dominio
Permite a un usuario añadir nuevas estaciones de trabajo a un dominio existente.
Administradores
Apagar el sistema
Apaga Windows 2000.
Administradores, Operadores de copia, Todos, Usuarios, Usuarios avanzados
Aumentar la prioridad de programación
Permite el uso del Administrador de tareas de programación para cambiar la prioridad de un proceso.
Administradores, Usuarios avanzados
Aumentar las cuotas
Permite a un proceso con permiso de escritura acceder a otro proceso para aumentar la cuota de procesador asignada a ese proceso.
Ninguno
Bloquear paginas en la memoria
Permite a un proceso mantener información en la memoria física. Este es un privilegio obsoleto que puede tener un serio efecto negativo en el rendimiento del sistema. No se debe utilizar.
Ninguno
Cambiar la hora del sistema
Permite establecer la hora del reloj interno del equipo.
Administradores, Usuarios avanzados.
Cargar y descargar controladores de dispositivo
Instalar y desinstalar controladores de dispositivo.
Administradores
Crear objetos compartidos permanentes
Permite a un proceso crear un objeto de directorio. Lo utilizan componentes de modo de núcleo para ampliar el espacio de nombres de objetos de Windows 2000. Los componentes que se ejecutan en modo de núcleo ya tienen este privilegio.
Ninguno
Crear un archivo de paginación
Permite la creación y modificación de un archivo de paginación
Administradores
Crear un objeto identificador (token)
Permite a un proceso crear un identificador (token) que se puede utilizar para acceder a cualquier recurso local. Un proceso que requiere este privilegio debería utilizar la cuenta LocalSystem, que ya incluye este privilegio.
Ninguno
Depurar programas
Permite al usuario asignar un depurador a un proceso.
Administradores
Desacoplar un equipo portátil
Permite desacoplar un portátil de una estación de acoplamiento utilizando la interfaz de Windows 2000.
Administradores, Usuarios
Forzar el apagado desde un sistema remoto
Permite apagar un equipo desde una ubicación remota de la red.
Administradores
Generar auditorias de seguridad
Permite a un proceso crear entradas en el registro de seguridad.
Ninguno
Habilitar la opción de confianza para la delegación en las cuentas de usuario y de equipo
Permite a un usuario establecer la configuración Confianza para la delegación en un objeto.
Administradores
Modificar valores del entorno del firmware
Permite la configuración de la RAM no volátil en equipos que soportan tal función.
Administradores
Omitir la comprobación de recorrido
Permite a un usuario recorrer los árboles del directorio (estructuras de carpetas) incluso si el usuario no tiene permiso para acceder a los directorios por los que pasa.
Todos
Perfilar el rendimiento del sistema
Permite observar el rendimiento del sistema.
Administradores
Perfilar un único proceso
Permite observar el rendimiento de un proceso.
Administradores, Usuarios avanzados
Realizar copias de seguridad de archivos y directorios
Permite hacer copias de seguridad del sistema, ignorando los permisos específicos de archivos y carpetas.
Administradores, Operadores de copia
Reemplazar un identificador (Token) de nivel de proceso
Permite reemplazar el identificador (Token) predeterminado asociado con un subproceso.
Ninguno
Restaurar archivos y directorios
Permite restaurar archivos y carpetas en un sistema; invalida los permisos específicos de archivos y carpetas.
Administradores, Operadores de copia
Sincronizar información del servicio de directorio
Permite a un usuario iniciar una sincronización del Active Directory.
Administradores
Tomar posesión de archivos y otros objetos
Permite a un usuario tomar posesión de cualquier objeto de seguridad incluyendo archivos y carpetas, impresoras, claves de registro y procesos. Invalida los permisos específicos.
Administradores
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario