Академический Документы
Профессиональный Документы
Культура Документы
1) Definiciones y conceptos.
o 1.A) Acceso a los archivos y directorios.
o 1.B) Tipos de cuentas de usuarios y grupos por defecto en Windows 7 y
sus SID.
En primer lugar:
http://support.microsoft.com/kb/981949/es
http://support.microsoft.com/kb/308419/es
http://support.microsoft.com/kb/983628/es
(El ltimo enlace al que hago referencia, est muy completo ya que nos dice como
modificar permisos de archivos o carpetas a usuarios, y es algo muy parecido a lo que
voy comentar posterirormente en este artculo).
1) Definiciones y conceptos.
1.A)
Acceso
los
archivos
directorios.
Todo el tema de permisos que aqu muestro y explico se dan gracias al sistema de
ficheros: NTFS (New Technology File System), uno de los sistemas de ficheros de
Microsoft Windows, que permite un gran avance de seguridad en cuanto a las
concesiones
de
permisos
o
privilegios
de usuarios
en Windows.
Herencia: La herencia permite la propagacin de ACL posicionadas en objetos
contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al
objeto, slo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en s
y
a
sus
hijos.
Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse
mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o
un objeto de sistema, como una canalizacin con nombre, un socket, un proceso, un
subproceso,
etc.
ACL (Access Control List): Es una lista de control de acceso que regula los permisos de
acceso a los objetos del sistem. Est compuesta por entradas de controles de acceso
ACE
ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una
ACL. Una ACE est compuesta por un SID, una mscara de acceso que define los
permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que
determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos
permisos.
Hay tres tipos de ACE: Acceso concedido, acceso denegado y Audit (para auditar la
seguridad
del
sistema).
SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo
objeto al que se le puede aplicar seguridad que contiene el SID del propietario del
objeto, su grupo primario y las dos listas de ACL: DACL y SACL.
DACL (Discretionary Access Control List): Una lista de control de acceso discrecional
es la que est controlada por el propietario del objeto. Especifica quin tiene permiso y
quin
no
para
acceder
a
dicho
objeto.
SACL (System Access Control List): Una lista de control de acceso de sistema es la que
controla la generacin de mensajes de auditora durante los intentos de acceder a un
objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar
una
SACL).
SDDL (Security Descriptor Definition Language): Un lenguaje de definicin descriptor
de seguridad que permite definir y transportar datos almacenados en un descriptor de
seguridad
en
formato
de
texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al
servicio
en
formato
SDDL.
El orden de interpretacin de los permisos es o debera ser el siguiente:
Accesos
denegados
explcitos
(DENY
ONLY).
Accesos
autorizados
explcitos
(ALLOW
ONLY).
Accesos
denegados
heredados.
- Accesos autorizados heredados.
diferencia entre Local Service y System Local reside en que System Local posee
permisos sobre la red (los mismos que Network Service), mientras que Local Service se
autentifica
annimamente
en
la
red.
Network Service y System Local se autentifican en Kerberos utilizando la cuenta
mquina del equipo definida en el servicio de Active Directory. Muchos servicios de
Windows 7 que no necesitan acceder a la red se ejecutan bajo la identidad de Local
Service. Este funcionamiento es el que siempre ha existido en los sistemas Microsoft.
Con Windows y 2008, nuevas directivas de grupos permiten a la cuenta Local System
autentificarse en NTLM en la red, y no de forma annima. Este comportamiento no est
activo de forma predeterminada, sino que es necesario activarlo.
- System (SID: S-1-5-18): Representa el sistema operativo. Permite asignar permisos
especficos al sistema. Se llama tambin Sistema Local (Local System). Es la cuenta
que
tiene
ms
derechos
y
privilegios
en
la
mquina.
- Batch (SID: S-1-5-3): Son las cuentas utilizadas para ejecutar tareas programadas
(Control
Schedtasks).
- Terminal Server User (SID: S-1-5-13): Son los usuario que abren una sesin de
terminal
server
en
la
mquina.
- Remote Interactive Logon (SID: S-1-5-14): Son los usuarios conectados mediante un
inicio
de
sesin
de
escritorio
remoto.
Otros
usuarios
del
sistema
para
realizar
otras
funciones
determinadas:
- Usuarios de Operadores de cifrado: Como sera lgico, los miembros de este grupo
tienen
permisos
para
realizar
operaciones
de
cifrado.
- Usuarios de Operadores de copia de seguridad: Encargados de realizar las copias de
seguridad del equipo programadas o automticas de Windows o lo que se le hubiese
establecido.
- Usuarios del monitor de rendimiento: Los miembros de este grupo pueden acceder a
los datos del Monitor de rendimiento (perfmon.exe) localmente y en remoto.
- Usuarios del registro de rendimiento: Los miembros de este grupo pueden
programar el registro de los monitores de rendimiento, activar los proveedores de
seguimiento y recoger el seguimiento de eventos simultneamente de forma local y a
travs de un acceso a este equipo.
Aado
una
nota
sobre
los
SID
de
los
usuarios:
Administrador:
SID:
S-1-5-500
- Invitado: SID: S-1-5-501
- El resto de usuarios locales, empezarn ordenadamente a partir del siguiente SID: S1-5-1000, S-1-5-1002 , S-1-5-1003, etc. y as sucesivamente por cada usuario local
creado.
Existen muchos ms grupos de usuarios predeterminados en Windows, aqu menciono
los que para mi son los ms usados y relevantes.
Ms
informacin
sobre
los
SID
seguridad): http://support.microsoft.com/kb/243330/es
(Identificadores
de
Intentar explicar de manera clara y sencilla, para que sea entendible por cualquier tipo
de usuario: Como modificar ya sea, para conceder o denegar permisos en Windows
7, y como configurar cuentas de usuarios y adminsitradores de Windows 7.
Existen muchas formas de realizar esto, ya sea por la shell (consola de comandos CMD)
de Windows, como de manera grfica en el sistema. Mencionar las dos formas de
hacerlo,
para
cada
uno
de
los
casos.
Nota: El nombre de usuario que utilizar para estes tutoriales sern: Administrador (por
defecto del sistema) y loiswin7, que corrern bajo una mquina virtual con Windows 7
Ultimate x86. Ya que la arquitectura del SO sea x86 o x64 bits, no influir sobre la
configuracin o modificacin de permisos en Windows 7.
En
algunos
casos,
puede
dar
errores.
Uno
muy
frecuente
es:
Error
de
Sistema
5
(System
error
5):
Se
refiere
a
que
no
tenemos
los
permisos
adecuados.
Soluciones:
Comprobar
los
permisos
de
la
cuenta.
- Realizar un logueo en la maquina remota, para que las credencias queden el cache (un
error
muy
tpico).
Comprobar
que
el
servicio
netlogon
este
corriendo.
Estas dos maneras que mencion, tanto grficamente como mediante comandos con
la
Shell
de
Windows,
son
vlidas.
Aclaro: Esto solamente es para activar o desactivar la cuenta Administrador del
sistema.
Una
vez
iniciada
la
sesin
como
Administrador:
[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble click en Equipo.
[2] - Hacemos click derecho sobre el disco local C: (que por defecto en la mayora de
los casos suele ser la asignacin de letra de unidad C:) > Propiedades.
de
nuestra
sesin
de
usuario
normal:
[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble click en Equipo.
[2] - Hacemos click derecho sobre el disco local C: (que por defecto en la mayora de
los casos suele ser la asignacin de letra de unidad C:) > Propiedades.
[3] - En ventana de "Propiedades: Disco local (C:)" nos vamos a:
Seguridad
>
Opciones
avanzadas.
[4] - Se nos mostrar la ventana: "Configuracin de seguridad avanzada para Disco
local
(C:)".
Nos
vamos
a:
Propietario
>
Editar....
La ficha PROPIETARIO, (aqu el usuario tendra que estar en el "Grupo de
Administradores" locales para poder realizar algunas de estas funciones):
Importante: Cuando un fichero o carpeta tiene a un administrador local como
propietario en este fichero y/o carpeta NO podremos eliminar, modificar, mover,
cambiar permisos, etc., es debido a que quizs ese administrador NO est como
propietario del fichero o carpeta, ya que puede que ni siquiera est en el grupo
administradores,
y
sea
simplemente
un
usuario
normal-raso.
Si conseguimos aadir el usuario que queramos en la ficha de Propietario de un
fichero/carpeta y remplazamos el que ya est (que esto nos lo permite si el que
actualmente est es administrador pero pese a eso no nos permite borrar el fichero por
decirlo de algn modo) aadiendo otro user con privilegios y reemplazando la
propiedad del fichero conseguiremos realizar TODO tipo de acciones sobre dicho
fichero/carpeta como por ejemplo borrar esos ficheros o carpetas que Windows en
ocasiones
bloquea.
ES MUY IMPORTANTE que despus de seleccionarlo y APLICAR nos fijemos de
que donde aparece "Propietario actual", en la casilla de texto de abajo est asignado o
establecido el correspondiente usuario que queremos hacer propietario. (Ya que "en
ocasiones" pasa que seleccionas y los cambios parece que surgen efecto y en realidad no
es
as).
Tendremos tambin que marcar los checkbox para "incluir todos los permisos
heredables del objeto primario de este objeto".
Se
nos
abrir
otra
ventana
en
la
que:
[5] - Seleccionamos el usuario del sistema con el que tenemos iniciada sesin (es decir,
el
usuario
normal).
[6] - Marcamos el checkbox que dice: "Reemplazar propietarios en subcontenedores y
objetos".
Aplicamos
y
Aceptamos.
Cuando apliquemos se nos mostrar una ventana en la que realizar las operaciones
necesarias,
esperamos
a
que
acaben
de
realizarse.
Que
me
ofrece
ser
propietario
de
un
objeto?
Cuando acabe el proceso, volveremos a la ventana anterior. Pero esta vez nos vamos a:
[7] - A la ficha de "Permisos" > seleccionamos nuestro usuario > Cambiar
permisos... > (se nos abrir otra ventana) seleccionamos nuestro usuario nuevamente
>
Editar...
Se nos abrir una la ventana: "Entrada de permiso para Disco local (C:)".
[8] - En el men desplegable (Aplicar a:) Seleccionamos la opcin: "Esta carpeta,
subcarpetas y archivos" (Esta opcin est marcada por defecto, pero nos aseguramos de
que
est
seleccionada).
[9] - Despus simplemente nos queda Permitir o Denegar privilegios o permisos al
usuario, en este caso permitimos y concedemos los privilegios al usuario seleccionado
anteriormente. Marcamos el checkbox Control total en permitir, para directamente
seleccionar todos los campos. (Sera lo mismo para la denegacin, pero lgicamente
marcando el checkbox contrario (en la columna de "Denegar")).
[10] - Pulsamos Aceptar, se nos mostrar una ventana realizando las operaciones
necesarias para efectuar los cambios en el sistema, esperamos y Aceptamos una ventana
que
se
mostrar
al
terminar
dicho
proceso.
Aceptamos tambin todas las ventanas abiertas. Reiniciamos. Y listo!
Microsoft
dice
lo
siguiente:
"Incluir todos los permisos heredables del objeto primario de este objeto":
Si se selecciona, cada objeto secundario tendr permisos heredados de su objeto
primario.
Si se anula la seleccin, los permisos aplicados al objeto primario no se aplicarn a su
objeto
u
objetos
secundarios.
"Reemplazar todos los permisos heredables existentes en todos los descendientes con
permisos
heredables
de
este
objeto":
Si se selecciona, los permisos de este objeto primario reemplazarn los de los objetos
descendientes.
Si se anula la seleccin, los permisos de cada objeto (tanto de los primarios como de sus
descendientes)
pueden
ser
nicos.
Ahora, a modo de comentario detallo un poco para completar la informacin sobre
las dos fichas que quedan restantes: Permisos efectivos y Auditora.
En la ficha o pestaa "Auditora", pues creo que est claro que es para poder auditar
los objetos y el acceso a ellos para un usuario especfico o un grupo de usuarios.
Lo cual para poder hacer esto y poder examinar o ver el Visor de eventos
(eventvwr.msc) de Windows Vista/7, tendremos que tener habilitada una directiva en el
"Editor de directivas de grupo local" (gpedit.msc). La cual nos permite auditar el
acceso
correcto
o
errneo
a
objetos,
esta
se
encuentra
en:
Configuracin de equipo > Configuracin de Windows > Configuracin de seguridad
> Directivas locales > Directiva de auditora.
De este modo la cuenta seleccionada pasar a ser parte del "Grupo Administradores" y
ya seremos Administrador del sistema, con lo cual tendremos los privilegios para
conceder o denegar permisos a otros usuarios. Como ya mendion anteriormente: en el
apartado de este post "3.A) - Modificar permisos desde la sesin Administrador"
veremos como modificar los permisos, pero sin necesidad de entrar en la sesin de
Administrador, ya que lo haremos todo desde la sesin de la cuenta de usuario que
estemos
usuando
en
Windows
7.
Esto anterior es la manera elegante que nos proporciona Windows 7 de hacer de la
manera tradicional y que personalmente siempre uso ya es exactamente los mismo.
Se trata de administrar y gestionar esto desde una consola de Microsft "MSC"
(MicroSoft Console). Como es el caso del fichero de consola: Inicio >
Ejecutar: lusrmgr.msc
(Editor
de
usuarios
y
grupos
locales).
Aqu podemos realizar lo mismo e incluso ms funciones ya que podremos ver todos
los usuarios y grupos creados en nuestro sistema, modificar as como crearlos y
borrar otros (aunque tener cuidado cuales se borran ya que algunos hace uso Windows
de ellos). Esta consola nos permite visualizarlo las cuentas y grupos de usuario de
un modo digamos ordenado y claro, a mi parecer, ms detallado, completo, igual de
eficaz y a la vez hacerlo de forma rpida y sencilla.
Se
nos
abrir
la
Shell
de
Windows
(CMD).
[2] - Aqu tipearmos o escribirmos la siguiente linea de comandos:
takeown /F "%SYSTEMDRIVE%\*" /R /D S
Pulsamos Enter. y esperaremos a que el sistema realize todo el proceso necesario
(tendra que terminar con una lista extensa, poniendo en todas las lineas que fue
procesando:
"CORRECTO").
[3] - A continuacin, escribimos esta otra linea de comandos:
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
Pulsamos Enter, y esperamos a que el sistema termine el proceso.
[4] - Si todo lo procesado sali correctamente, salimos de la consola, escribiendo exit o
simplemente
cerrando
la
ventana.
Y
reiniciamos
el
PC.
Como algunos le pueden quedar dudas de las linea de comandos mencionadas
arriba,
pasar
a
explicarlas
breve
y
rpidamente:
El
comando
Takeown:
es
para
indicar
el
propietario.
El comando Icacls: es para indicar los permisos del propietario que pusimos en el
primer
comando
(Takeown).
Ahora el anlisis de las propiedades o atributos de las dos lineas de comandos:
takeown
/F
"%SYSTEMDRIVE%\*"
/R
/D
S
/F > Indica el archivo/carpeta al que queremos cambiar el propietario (en este caso es
%SYSTEMDRIVE%).
%SYSTEMDRIVE% > Es la variable de entorno del disco duro principal desde donde
se ejecuta windows, es decir: "C:\" (por defecto, lo ms comn).
* > Con el smbolo asterisco, indicamos todos los archivos de esa carpeta (Archivos, no
carpetas, pero combinado con /R es igual a: Todos los archivos de todas las carpetas del
disco
duro
(en
este
caso)).
/R > Realiza el cambio de propietario en los subdirectorios (En este caso sera en todo
el
disco
duro).
/D S > En algunas carpetas puede surgir una pregunta al intentar indicar el propietario
donde dice que si quieres darle permisos, pues "/D S" lo nico que hacen en este caso es
contestar "Si" automaticamente a esa pregunta, para no tener que hacerlo manualmente.
icacls
"%SYSTEMDRIVE%\*"
/grant
Administradores:(D,WDAC)
/T
algunos
>
permisos
acceso
>
de
escribir
importantes:
eliminacin
DAC
F
M
RX
>
>
>
acceso
acceso
de
lectura
acceso
de
total
modificacin
ejecucin
podremos
encontrar
para
su
configuracin
en:
Inicio > Panel de Control > Cuentas de Usuario > Cambiar configuracin de Control
de
cuentas
de
usuario
Y por ltimo. Recomiendo este hilo del foro oficial de soporte de Microsoft
(social.technet.microsoft.com), en el que Jose Manuel Tella Llop da respuesta a algunos
problemas
de
los
usuarios:
http://social.technet.microsoft.com/Forums/es-ES/wcvistaes/thread/95da492a-13bd405d-a782-e2daffa4b893