2.3 LISTAS DE CONTROL DE ACCESO

Un descriptor de seguridad de un recurso contiene el SID del propietario¹⁰ y varias listas de control de acceso. Una ACL (ACL: Access Control List) es una lista de entradas de control (ACEs: Access Control Entries), cada una de las cuales identifica un fiado y unos permisos permitidos o denegados (ver imagen superior).

Las ACLs pueden ser de dos tipos: DACL (Discretionary ACL) o SACL (System ACL). Las DACL especifican permisos de acceso -permitidos o denegados- que el propietario del recurso especifica discrecionalmente¹¹. Las SACL especifican las acciones del fiado que el sistema debe auditar (intentos fallidos o exitosos de acceso según su tipo).

Cada recurso, además de poder incluir sus propias ACLs (ACLs explícitas), puede marcarse para que herede las ACLs de sus recursos antecesores (se indica separadamente para DACL y SACL).

Para determinar si debe concederse un permiso a un fiado el sistema primero ordena las ACEs de las distintas listas. Después las evalúa una a una y cuando encuentra una que se corresponde ya no evalúa el resto.

Si un recurso no tiene DACLs se concede el permiso. Si tiene DACL pero no tiene ACEs se deniega el permiso.

Para ordenar las ACEs el algoritmo tiene en cuenta lo siguiente:

• Dentro de una lista, las ACEs que deniegan tienen prioridad sobre las que permiten.
• Las ACLs explícitas tienen prioridad sobre las heredadas.
• Las ACLs de los padres tienen prioridad sobre las de los abuelos.

Al anular la herencia el sistema nos permite elegir entre quitar todos los permisos heredados o copiarlos como explícitos.

Cuando se crea un nuevo recurso éste hereda todos los permisos (todas las ACLs) de su padre (tanto heredados como explícitos).

Al copiar un recurso (o moverlo a otro volumen) creamos un nuevo recurso.

Al mover un recurso dentro de un volumen se mantienen los permisos.

El comando ``cacls'' permite modificar los permisos estándar de las ACLs. Sus principales modificadores son ``/T'' (aplicar a subdirectorios), ``/E'' modificar en vez de reemplazar y ``/[G|R|P] usuario:[R|W|C|F]'' que respectivamente concede, quita o modifica permisos de lectura, escritura, cambio o control total.

Notas al pie

... propietario¹⁰

El propietario de un recurso es en principio su creador, aunque existe el privilegio de tomar o asignar la posesión de un recurso. Los privilegiados son básicamente los administradores y los restauradores de copias.

... discrecionalmente¹¹

También pueden cambiar las DACLs quienes tengan el permiso ``Cambiar permisos'', como los Administradores.

 
Puede descargar una versión en PDF del documento: Servidores Windows en PDF.

2009-05 Güimi (http://guimi.net)
Está permitido copiar, distribuir y/o modificar los documentos bajo los términos de la licencia
"Reconocimiento-Compartir bajo la misma licencia 3.0 España" de Creative Commons.
Puede ver una copia de esta licencia completa.

administración de windows, modelo de seguridad, directorio activo, active directory, políticas de grupo, sistema de archivos distribuido (DFS)