180 likes | 303 Views
El modelo de Windows 2000. Un dominio es una agrupación de cuentas y recursos de red bajo un mismo nombre de dominio y límite de seguridad.
E N D
El modelo de Windows 2000 • Un dominio es una agrupación de cuentas y recursos de red bajo un mismo nombre de dominio y límite de seguridad. • Un grupo de trabajo es un tipo de agrupación más básico, diseñado únicamente para ayudar a los usuarios a encontrar objetos como impresoras y carpetas compartidas en ese grupo. Los dominios son la opción recomendada para todas las redes excepto para las muy pequeñas con pocos usuarios.
En un grupo de trabajo, los usuarios tendrán que recordar muchas contraseñas, una para cada recurso de la red. (Además, los diferentes usuarios pueden utilizar diferentes contraseñas para cada recurso). • En un dominio, es más sencillo efectuar el seguimiento de las contraseñas y los permisos, ya que un dominio es una base de datos sencilla y centralizada de cuentas de usuario, permisos y otros detalles de la red. La información de esta base de datos se replica automáticamente entre los controladores de dominio
La incorporación a un dominio requiere: • Un nombre de dominio • Una cuenta de equipo • Un controlador de dominio y un servidor DNS • La incorporación a un grupo de trabajo sólo requiere: • Un nombre de grupo de trabajo nuevo o existente Dominio Grupo de trabajo nwtraders.msft Determinación de la pertenencia a un dominio o un grupo de trabajo
Seguridad de los sistemas de archivos • Carpetas compartidas • Introducción • Permite compartir recursos en una red • Operación válida para FAT, FAT32 y NTFS • Al acceder, se comprueban los permisos • Permisos de carpeta compartida • Una carpeta compartida puede contener aplicaciones, datos o información personal del usuario • Características de los permisos de carpeta compartida: • Se aplican sólo a carpetas (no a archivos) • No validan el acceso local • Es el único modo de proteger el acceso en FAT • Control Total al grupo Todos
Permisos de carpeta compartida: • Permiten controlar el acceso a un recurso compartido • Lista de permisos enumerados de mas restrictivos a menos: • Lectura: los usuarios pueden ver el contenido de la carpeta, ver los archivos, ejecutar aplicaciones y modificar carpeta dentro de la carpeta compartida • Cambio: crear carpetas o archivos, eliminarlos, cambiar atributos carpetas • Control total: los usuarios pueden cambiar los permisos de la carpeta, tomar la propiedad del recurso y otras tareas asociadas a este permiso. • Se pueden asignar permisos a grupos o usuarios individuales • Es preferible asociar permisos a grupos • Se puede denegar acceso a un usuario particular
Precedencia de los permisos: • Denegar un permiso tiene precedencia sobre los permisos que se conceden • Permisos múltiples • Un usuario puede ser miembro de diferentes grupos con diferentes niveles de acceso a un recurso compartido • Regla general: los permisos se combinan • Denegar un permiso sobrescribe cualquier otro permiso • Denegar el acceso a un usuario y permitir el acceso a un grupo al que pertenece el usuario • Permisos NTFS: • En volúmenes NTFS es preferible utilizar permisos NTFS y no permisos de recurso compartido • En caso de conflicto se aplica la combinación más restrictiva entre todos los permisos • Esto aumenta la complejidad de la resolución del acceso a recursos compartidos
Copiar o mover archivos: • Cuando se copia una carpeta compartida, la carpeta original sigue compartida pero no la copia • Guía para los permisos de carpeta compartida • Determinar los grupos que tienen que acceder al recurso y el nivel de acceso • Asignar permisos a grupos • Asignar el permiso más restrictivo que permite realizar la tarea • Organizar los recursos compartidos que tengan los mismos requisitos de seguridad en una sola carpeta • Utilizar nombres intuitivos para que los usuarios localicen rápidamente los recursos
Recursos administrativos: • Ciertos recursos se comparten automáticamente a efectos de administración • El directorio raíz de cada volumen, el del sistema y la ubicación de las impresoras • Nombre de los recursos administrativos: C$, D$, etc. El carácter $ oculta el recurso al explorar • Recursos: • C$, D$, etc: el grupo Administradores tiene acceso mediante Control Total a todas las unidades de forma remota gracias a este recurso • Admin$: carpeta del sistema (C:\winnt). Solo para Administradores con el permiso Control Total • Print$: %systemroot%\system32\spool\drivers permite el acceso a los clientes al manejador de la impresora compartida. Permiso de Control Total a Operadores de Servidor, Administradores y Operadores de Impresión • Se pueden compartir otros recursos ocultos
Compartir una carpeta: • Seleccionar la carpeta | menú contextual | propiedades
Asignar permisos: • Botón Permisos: seleccionar los grupos y el tipo de acceso al recurso que se les concede • Modificar el recurso compartido: • Modificar el nombre, el número de conexiones, dejar de compartir, los permisos, compartir un recurso varias veces • Permisos NTFS • Conjunto de permisos que permiten o deniegan el acceso a un recurso a un grupo o a un usuario • Se aplican localmente o en red • Permisos para archivos y permisos para carpetas • Existe un conjunto de reglas que se aplican en la creación de archivos y carpetas (prioridades, herencia y combinación)
Permiso Control Total de NTFS • Permite el acceso total al recurso • Se asigna de forma predeterminada: • Cuando un usuario crea un archivo o carpeta, se asigna al usuario • Al formatear un volumen NTFS se asigna el permiso Control Total a Todos • Al convertir de FAT o FAT32 a NTFS, se asigna a Todos • Resolución de conflictos • Se asignan distintos permisos a un usuario y al grupo al que pertenece el usuario se asume la combinación de ambos • Los permisos de archivos tienen precedencia sobre los de carpeta • No tener acceso a una carpeta pero si al archivo que hay dentro el usuario puede acceder directamente (UNC) • Denegar un permiso tiene precedencia sobre cualquier otro permiso
Guía para asignar permisos NTFS • Agrupar los recursos en aplicaciones, datos y directorios personales, con las siguientes ventajas: • Los permisos se asocian a las carpetas y no a archivos • Las copias de seguridad se simplifican (se evitan copiar las aplicaciones) • los directorios personales están juntos • Utilice permisos NTFS para controlar el acceso a carpetas y archivos • Aplique permisos a grupos en vez de a usuarios agrupar a los usuarios con las mismas necesidades • Asigne permisos a directorios personales ubicados en un volumen separado de las aplicaciones y el SO • Al asignar permisos a las carpetas de aplicaciones y datos elimine el permiso Control Total del grupo Todos, asigne control total a Administradores y Leer y Ejecutar a Usuarios • En carpetas públicas asigne Modificar y Leer & Ejecutar al grupo Usuarios y Control Total al creador • En general es mejor no asignar permisos antes que denegar
Configurar los permisos NTFS • Los propietarios de archivos y carpetas pueden asignar permisos a usuarios y grupos • Seleccione un archivo o carpeta | menú contextual | propiedades | seguridad
Asignar permisos especiales • Seleccionar el botón Avanzada... • Para circunstancias especiales en las que los permisos estándar no son suficientemente descriptivos • Existen 13 permisos especiales que, al combinarlos, forman los permisos estándar: • Leer: leer datos + atributos + atributos extendidos • Modificar • Leer y ejecutar • Control total • Escribir • Leer el contenido de la carpeta • Tres tareas: • Configurar el tipo de permiso especial • Transferir la propiedad • Auditar el acceso
Modificar los permisos: • Los propietarios de archivos y carpetas y los usuarios con Control Total pueden modificar los permisos • Se puede asignar el permiso especial Modificar Permisos sin necesidad de asignar el permiso Control Total • Para administradores de la red • Modificar la propiedad de un recurso • El usuario propietario puede conceder el permiso Control Total o el permiso especial Tomar la Propiedad, a otros usuarios • El Administrador puede tomar la propiedad de cualquier recurso • Se puede limitar la aplicación del permiso en carpetas o volúmenes mediante la lista Aplicar A • Establecer permisos especiales • En el diálogo propiedades de la carpeta o archivo | seguridad | avanzada | permisos | seleccionar un elemento | ver o modificar
Copiar y mover archivos o carpetas: • Para poder copiar archivos o carpetas, un usuario necesita el permiso Agregar • El usuario que hace la copia se convierte en el propietario • Los permisos se heredarán o perderán, dependiendo de: • En un volumen NTFS, conservará los permisos • Entre volúmenes NTFS, se heredan los de la carpeta destino • Al copiar en FAT o FAT32 se pierden los permisos NTFS • Para poder mover, además del permiso Agregar de la carpeta destino, se necesita el permiso Eliminar en la carpeta origen • En el mismo volumen: permanecen los permisos • Entre volúmenes: hereda los de la carpeta destino • Al mover a FAT o FAT32 se pierden
Resolución de problemas de acceso • Un usuario no tiene acceso a una carpeta o archivo: • comprobar que no se le deniega el acceso • Recordar que siempre se aplica la combinación más restrictiva • Se agrega un usuario a un grupo para que pueda acceder a un recurso y no lo consigue • Para que los token de acceso se actualicen, el usuario debe cerrar la sesión • Un usuario ha eliminado un archivo cuando se suponía que no podía hacerlo • Cambiar el permiso Control Total por el conjunto de permisos Leer, Escribir, Leer y Ejecutar, Listar contenido, Modificar. • Se recomienda asignar permisos a carpetas y no a archivos