2.1 EQUIPOS, USUARIOS Y GRUPOS (Security Principals)

Los equipos, usuarios y grupos de un dominio disponen de un SID (Secure IDenti[FB01?]er), un dato interno del sistema compuesto por la unión del ID del dominio y un RID que actúa de identificador estadísticamente único⁷.

Estos elementos se conocen como ``security principals'' ya que los permisos y derechos se asignan a los SID.

Las cuentas de equipo se corresponden con equipos físicos o virtuales del dominio. Las cuentas de usuarios globales⁸ se corresponde con accesos al sistema. Cada cuenta suele identificar a una persona pero una misma persona puede usar distintos usuarios según la función que vaya a realizar y existen usuarios utilizados únicamente por el sistema.

Los grupos son agrupaciones lógicas de usuarios que permiten establecer de forma cómoda permisos y restricciones. El sistema crea inicialmente una serie de grupos llamados ``built-in groups'', entre ellos: Administradores, Operadores de copia, Usuarios Avanzados, Usuarios, Invitados...

Además el sistema reconoce grupos dinámicos de usuarios conocidos como identidades especiales (special identities) que se basan en el estado de los usuarios: Usuarios interactivos, Usuarios de Red, Usuarios autenticados, Todos...

Cada usuario puede incluirse en múltiples grupos de seguridad⁹, ya sean grupos creados por los administradores o del sistema (built-in groups: grupos de seguridad locales) y además el sistema lo considerará en una o varias identidades según su contexto.

Los grupos pertenecen a distintos ámbitos que se diferencian por las cuentas y grupos que pueden incluir y los dominios donde se les pueden aplicar permisos. Existen tres ámbitos de grupo:

	Pueden incluir	De aplicación en
Grupos Locales de Dominio	Cuentas, grupos globales y grupos universales() de cualquier dominio, así como grupos locales() del mismo dominio.	El mismo dominio.
Grupos Globales	Grupos globales(*) y cuentas del mismo dominio del grupo.	Cualquier dominio del bosque.
*Grupos Universales ()**	Cuentas, grupos globales y grupos universales de cualquier dominio del bosque.	Cualquier dominio del bosque.

(*) Solo en dominios de nivel funcional W2000 nativo o W2003.

Habitualmente se crean cuentas de usuario, que se incluyen en grupos globales, que después forman parte de los grupos locales del dominio. Sobre estos grupos locales se aplican los permisos (no sobre usuarios).

Notas al pie

...'unico ⁷: Los SID de equipos, usuarios y grupos están compuestos de un identificador de dominio y un RID. Algunos RID están predeterminados, como el del Administrador (500) o algunos grupos: Administradores del dominio (512), Usuarios del dominio (513), Invitados del dominio (514)...
... globales ⁸: Usuario ``global'' del dominio, por contraposición a usuario local en un único equipo.
... seguridad ⁹: Además de los grupos de seguridad existen los grupos de distribución (locales, globales o universales) que son objetos de grupo habilitados únicamente para correo utilizando Exchange. En este documento solo hablaremos de grupos de seguridad.

2009-05 http://guimi.net

Puede descargar una versión en PDF del documento: PDF

Servidores Windows en PDF.

2009-05 Güimi (http://guimi.net)
Está permitido copiar, distribuir y/o modificar los documentos bajo los términos de la licencia
"Reconocimiento-Compartir bajo la misma licencia 3.0 España" de Creative Commons.
Puede ver una copia de esta licencia completa.

administración de windows, modelo de seguridad, directorio activo, active directory, políticas de grupo, sistema de archivos distribuido (DFS)