Administracin de Usuarios y Grupos

Usuarios Locales en la SAM

El Administrador de cuentas de seguridad (SAM) es una base de datos que est presente en los
equipos que ejecutan sistemas operativos Windows, que almacena los descriptores de seguridad
para los usuarios y cuentas de usuario en el equipo local.
Una SAM permite crear diferentes objetos, entre los que se encuentran:

SAM_ALIAS: Se crea para un grupo local.

SAM_GROUP: Es usada cuando se requiere un grupo que no sea un grupo local.
SAM_USER: Utilizada para crear una cuenta de usuario.
SAM_DOMAIN: Permite crear un dominio.
SAM_SERVER: Sirve para crear una cuenta de equipo.

Usuarios del Dominio en el Directorio Activo

Las cuentas de usuario que son creadas en el directorio activo representan entidades fsicas.
Estas cuentas pueden ser utilizadas tambin como cuentas de servicio dedicadas a algunas
aplicaciones. Por otro lado, se les puede llamar entidades de seguridad, en este caso se les
asigna automticamente un identificador de seguridad (SID) el cual se puede usar para acceder
directamente a los recursos del dominio. Las cuentas de usuario pueden tener dos funciones
principales: Autenticar la identidad de un usuario y autorizar o rechazar el acceso a los recursos
del dominio. 1
El contenedor de usuarios muestra tres cuentas de usuarios integradas, las cuales se crean
automticamente al crear el dominio. Estas cuentas son:

Administrador. - Tiene control total sobre el dominio; Puede asignar derechos de

usuario y permisos de acceso a los dems usuarios del dominio. Esta cuenta no se puede
eliminar, ms si es posible deshabilitarla. Esta es la primera cuenta que se crea cuando
se configura un nuevo dominio.
Invitado. Los usuarios que no posean una cuenta en el dominio pueden usar la cuenta
de invitado, esta cuenta no requiere de ninguna contrasea para acceder a esta. Por
defecto la cuenta invitada se haya deshabilitada en todos los sistemas.
Asistente de ayuda. Es una cuenta que permite la asistencia remota. Esta cuenta se
crea de manera automtica cuando se solicita una sesin de asistencia remota y solo
posee acceso limitado al equipo; adems esta cuenta se elimina si ya no se cuenta con
solicitudes de asistencia remota pendientes.

Grupos Globales y Locales en el Directorio Activo

Un grupo es un conjunto de cuentas de usuario y de equipo que se pueden administrar como una
sola unidad. Los usuarios o equipos que pertenecen a un grupo son llamados miembros del

1
Cfr. Microsoft 2017
grupo. Estos grupos residen en un dominio y en objetos contenedores de unidades
organizativas.2
1. Caractersticas:

Simplifican los procesos de administracin, ya que asignan permisos para usuarios

compartidos en vez de a usuarios individuales. De esta forma si se le da un permiso a un
grupo se les da el mismo permiso a todos sus miembros.
Permite delegar la administracin asignando derechos de usuario a un grupo, al cual se
puede agregar todos los usuarios que requieran usar los permisos compartidos.
Crea listas de distribucin de correo electrnico.

2. Grupos locales: Los miembros de los grupos locales de dominio pueden incluir
otros grupos y cuentas de dominio. A los miembros de estos grupos solo se les
pueden asignar permisos dentro de un dominio. Ayudan a definir y administrar
el acceso a los recursos dentro de un dominio nico. Pueden tener los siguientes
miembros: cuentas de cualquier dominio, grupos globales de cualquier dominio,
grupos universales de cualquier dominio, grupos locales de dominio, pero solo
del mismo dominio que el grupo local de dominio primario y una combinacin
de los anteriores.

3. Grupos globales: Los miembros de los grupos globales pueden incluir cuentas
del mismo dominio que el grupo global primario y los grupos globales del
mismo dominio que el grupo global primario. A los miembros de estos grupos se
les pueden asignar permisos en cualquier dominio del bosque. Se utilizan para
administrar objetos de directorio que requieran un mantenimiento diario, como
las cuentas de usuario y de equipo. Dado que los grupos con mbito global no se
replican fuera de su propio dominio, las cuentas de un grupo con mbito
global se pueden cambiar frecuentemente sin generar trfico de replicacin en el
catlogo global.

4. Grupos universales: Los grupos universales pueden tener los siguientes

miembros:
Cuentas de cualquier dominio del bosque en el que reside este grupo universal

2
Cfr. Microsoft 2017 C
 Grupos globales de cualquier dominio del bosque en el que reside este grupo
universal
Grupos universales de cualquier dominio del bosque en el que reside este grupo
universal

A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio
del bosque o del rbol de dominios. Use los grupos con mbito Universal para
consolidar los grupos que abarquen varios dominios. Para ello, agregue las cuentas a los
grupos con mbito Global y anide estos grupos dentro de los grupos que tengan mbito
Universal. Si usa esta estrategia, los cambios de pertenencias en los grupos que tienen
mbito Global no afectan a los grupos con mbito Universal.

Permisos en el Sistema de Archivos en NTFS y FAT32

NTFS:

Es un sistema de archivos de Windows NT que organiza archivos en directorios de

forma ordenada. Sin embargo, a diferencia de FAT o HPFS, no hay ningn objeto
especial en el disco y no hay ninguna dependencia del hardware subyacente. Adems,
no hay ninguna ubicacin especial en el disco, como las tablas de FAT o los
superbloques de HPFS.

1. Caractersticas:
Confiabilidad: Para garantizar la confiabilidad de NTFS, se han tratado
tres reas importantes: la capacidad de recuperacin, la eliminacin de
errores graves de un nico sector y las revisiones.
Mayor funcionalidad: Uno de los principales objetivos de diseo de
Windows NT en cada nivel es proporcionar una plataforma a la que se
pueda agregar e integrar funciones, y NTFS no es ninguna excepcin.
NTFS proporciona una plataforma enriquecida y flexible que pueden
usar otros sistemas de archivos.
Compatibilidad con POSIX
Eliminacin de limitaciones: En primer lugar, NTFS ha aumentado
considerablemente el tamao de los archivos y los volmenes, de forma
 que ahora pueden tener hasta 2^64 bytes. NTFS tambin ha vuelto al
concepto de clsteres de FAT para evitar el problema de HPFS de un
tamao de sector fijo. Por ltimo, en NTFS todos los nombres de archivo
se basan en Unicode, y los nombres de archivo 8.3 se conservan junto
con los nombres de archivo largos.

2. Permisos:
Control total: Permite al usuario cambiar permisos, tomar la propiedad, y
configurar las acciones permitidas por los dems permisos NTFS.
Modificar: Permite modificar, borrar el archivo y configurar las acciones
permitidas de escritura, lectura y ejecucin.
Escribir: Permite sobrescribir el archivo, cambiar sus atributos, ver el
propietario del archivo y sus permisos.
Leer: Permite leer el archivo y ver sus atributos.

FAT:

FAT es con diferencia el sistema de archivos ms simple de aquellos compatibles con

Windows NT. El sistema de archivos FAT se caracteriza por la tabla de asignacin de
archivos, que es realmente una tabla que reside en la parte ms "superior" del volumen.
Para proteger el volumen, se guardan dos copias de la FAT por si una resultara daada.
Adems, las tablas FAT y el directorio raz deben almacenarse en una ubicacin fija
para que los archivos de arranque del sistema se puedan ubicar correctamente.

Herencia de Permisos NTFS en Directorios y Archivos

Son considerados como permisos heredados los que se propagan a un objeto desde otro objeto
primario. De esta manera se facilita la tarea de administrar permisos y asegurar su coherencia
entre todos los objetos de un contenedor determinado.3 Estos permisos se utilizan para
especificar que usuarios, grupos y equipos pueden acceder a los archivos y carpetas y tambin
que pueden hacer con su contenido.

3
Cfr. Microsoft 2017
Permisos Sharing
Los permisos de recurso compartido se aplican a los usuarios que se conectan a una carpeta
compartida a travs de la red. Estos permisos no afectan a los usuarios que inician sesin
localmente o mediante Escritorio remoto.
Para establecer permisos para los usuarios que se conectan localmente o mediante Escritorio
remoto, utilice las opciones de la ficha Seguridad en lugar de la ficha Permisos de los recursos
compartidos. Se establecern permisos en el nivel del sistema de archivos NTFS. Si se
establecen tanto permisos de recurso compartido como permisos de sistema de archivos para
una carpeta compartida, se aplicarn los permisos ms restrictivos al conectarse a la carpeta
compartida.
Por ejemplo, para conceder a los usuarios de un dominio acceso de lectura a una carpeta
compartida, en la ficha Permisos de los recursos compartidos, establezca permisos a Control
total para el grupo Todos. En la ficha Seguridad, especifique un acceso ms restrictivo
estableciendo permisos de acceso de lectura para el grupo Usuarios del dominio. El resultado es
que un usuario que es miembro del grupo Usuarios del dominio cuenta con acceso de solo
lectura a la carpeta compartida, tanto si el usuario se conecta a travs de un recurso compartido
de red, como si lo hace a travs de Escritorio remoto o si inicia sesin localmente.
Puede establecer permisos de nivel de sistema de archivos en la lnea de comandos utilizando la
herramienta de sistema operativo iCacls.exe o Cacls.exe. Las herramientas solo se ejecutan en
un volumen NTFS.
Glosario:
Funcin Hash: Es un algoritmo que permite transformar cadenas en salidas de un rango
determinado.
FAT: (siglas en ingles File Allocation Table), Tabla de Asignacin de Archivos, es un sistema
de ficheros desarrollado para MS-DOS, as como el sistema de archivos principal de las
ediciones no empresariales de Microsoft Windows hasta Windows Me. SAM.: Security Account
Manager, base de datos que almacena contraseas.
NTFS(siglas en ingls de New Technology File System),Nueva Tecnologia de Sistema de
Archivos, es un sistema de archivos diseado especficamente para Windows NT (utilizado
luego en Windows 2000, Windows XP y Windows Vista), con el objetivo de crear un sistema
de archivos eficiente, robusto y con seguridad incorporada desde su base. Tambin admite
compresin nativa de ficheros y encriptacin (esto ltimo slo a partir de Windows 2000). Est
basado en el sistema de archivos HPFS de IBM/Microsoft usado en el sistema operativo OS/2, y
tambin tiene ciertas influencias del formato de archivos HFS diseado por Apple.
POSIX: Es el acrnimo de Portable Operating System Interface, y X viene de UNIX como sea
de identidad de la API. El trmino fue sugerido por Richard Stallman en la dcada de 1980,
respuesta a la demanda de la IEEE, que buscaba un nombre fcil de recordar.
Bibliografa:

MICROSOFT (2017) (https://support.microsoft.com/es-

pe/help/100108/overview-of-fat--hpfs--and-ntfs-file-systems) Contiene
informacin sobre NTFS y FAT (consulta: 13 de octubre)
MICROSOFT (2017) (https://technet.microsoft.com/es-
es/library/cc754178(v=ws.11).aspx) Contiene informacin sobre NTFS
(consulta: 13 de octubre de 2017)
MICROSOFT (2017) (https://technet.microsoft.com/es-
es/library/cc726071(v=ws.11).aspx) Contiene informacin sobre Permisos
Heredados (consulta: 13 de octubre de 2017)
MICROSOFT (2017) (https://technet.microsoft.com/es-
es/library/cc772501(v=ws.11).aspx) Contiene informacin sobre Permisos de
recursos compartidos (consulta: 13 de octubre de 2017)
MICROSOFT (2017) (https://msdn.microsoft.com/es-
es/library/dn319052(v=ws.11).aspx) Contiene informacin sobre SAM
(consulta: 14 de octubre de 2017)
MICROSOFT (2017) (https://technet.microsoft.com/es-
es/library/dd861330(v=ws.11).aspx) Contiene informacin sobre Grupos locales
y globales (consulta: 14 de octubre de 2017)
MICROSOFT (2017) (https://technet.microsoft.com/es-
es/library/cc755130(v=ws.11).aspx) Contiene informacin sobre Cuentas de
usuario (consulta: 15 de octubre de 2017)