El control de acceso es el proceso de autorizar a los usuarios, grupos y equipos el acceso a los objetos de la red o el equipo.

Para comprender y administrar el control de acceso, debe comprender la relación entre lo siguiente:

  • Objetos (archivos, impresoras y otros recursos)

  • Tokens de acceso

  • Listas de control de acceso (ACL) y entradas de control de acceso (ACE)

  • Sujetos (usuarios o aplicaciones)

  • El sistema operativo

  • Permisos

  • Derechos y privilegios de usuario

Para que un sujeto pueda tener acceso a un objeto, debe identificarse en el subsistema de seguridad del sistema operativo. Esta identidad está incluida en un token de acceso que se vuelve a crear cada vez que un sujeto inicia una sesión. Antes de permitir que el sujeto tenga acceso a un objeto, el sistema operativo determina si el token de acceso del sujeto está autorizado para tener acceso al objeto y completar la tarea deseada. Para ello, compara la información del token de acceso con las entradas de control de acceso (ACE) del objeto.

Las ACE pueden permitir o denegar distintos comportamientos según el tipo de objeto. Por ejemplo, las opciones de un archivo pueden ser Leer, Escribir y Ejecutar. En una impresora, las ACE disponibles pueden ser Imprimir, Administrar impresoras y Administrar documentos.

Las ACE individuales de un objeto se combinan en una lista de control de acceso (ACL). El subsistema de seguridad comprueba si la ACL del objeto incluye ACE relacionadas con el usuario y los grupos a los que éste pertenece. Revisa cada ACE hasta que encuentra una que permite o deniega el acceso al usuario o uno de sus grupos, o bien hasta que no queda ninguna ACE por comprobar. Si llega al final de la ACL y no ha encontrado ninguna ACE en la que se permita o se deniegue explícitamente el acceso deseado, el subsistema de seguridad deniega el acceso al objeto.

Permisos

Los permisos definen el tipo de acceso concedido al usuario o grupo para un objeto o una propiedad de objeto. Por ejemplo, al grupo Finanzas se le pueden conceder los permisos de lectura y escritura para el archivo denominado Payroll.dat.

La interfaz de usuario de control de acceso permite establecer permisos NTFS para objetos como archivos, objetos de Active Directory, objetos del Registro u objetos de sistema como procesos. Los permisos se pueden conceder a cualquier usuario, grupo o equipo. Es recomendable asignar permisos a grupos, ya que esto mejora el rendimiento del sistema cuando se comprueba el acceso a un objeto.

Puede conceder permisos para cualquier objeto a:

  • Grupos, usuarios y otros objetos con identificadores de seguridad del dominio.

  • Grupos y usuarios del dominio y de cualquier dominio de confianza.

  • Grupos y usuarios locales del equipo en que reside el objeto.

Los permisos adjuntos a un objeto dependerán del tipo de objeto. Por ejemplo, los permisos que se pueden adjuntar a un archivo son diferentes de los que se pueden adjuntar a una clave del Registro. Sin embargo, algunos permisos son comunes a la mayoría de los tipos de objeto. Los permisos comunes son:

  • Leer

  • Modificar

  • Cambiar propietario

  • Eliminar

Cuando se establecen permisos, se especifica el nivel de acceso de los grupos y usuarios. Por ejemplo, puede permitir a un usuario leer el contenido de un archivo, dejar a otro usuario realizar cambios en el archivo y evitar a los demás usuarios el acceso al archivo. Puede establecer permisos similares en impresoras para que determinados usuarios puedan configurarlas y otros usuarios sólo puedan imprimir.

Cuando necesite cambiar los permisos de un archivo, puede ejecutar el Explorador de Windows, hacer clic con el botón secundario en el nombre del archivo y, a continuación, hacer clic en Propiedades. En la ficha Seguridad, puede cambiar los permisos del archivo. Para obtener más información, consulte Administrar permisos.

Nota

Otro tipo de permisos, denominados permisos de recurso compartido, se establecen en la ficha Compartir de la página Propiedades de una carpeta o mediante el Asistente para crear una carpeta compartida. Para obtener más información, vea Permisos de recurso compartido y NTFS en un servidor de archivos.

Propiedad de objetos

Cuando se crea un objeto, se le asigna un propietario. De forma predeterminada, el propietario es el creador del objeto. Sean cuales sean los permisos que se definan en un objeto, el propietario del objeto siempre puede cambiarlos. Para obtener más información, consulte Administrar la propiedad de objetos.

Herencia de permisos

La herencia permite a los administradores asignar y administrar permisos fácilmente. Esta característica hace que los objetos de un contenedor hereden automáticamente todos los permisos heredables de ese contenedor. Por ejemplo, cuando se crean archivos en una carpeta, heredarán los permisos de la carpeta. Sólo se heredarán los permisos marcados para ello.

Derechos y privilegios de usuario

Los derechos de usuario conceden determinados privilegios y derechos de inicio de sesión a los usuarios y grupos del entorno de computación. Los administradores pueden asignar derechos específicos a las cuentas de grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios a realizar acciones específicas, como iniciar una sesión en un sistema de forma interactiva o realizar copias de seguridad de archivos y directorios.

Los derechos de usuario se diferencian de los permisos en que se aplican a las cuentas de usuario, mientras que los permisos se asignan a los objetos. Aunque se pueden aplicar a cuentas de usuario individuales, se administran mejor en una cuenta de grupo. La interfaz de usuario de control de acceso no permite conceder derechos de usuario; sin embargo, la asignación de derechos de usuario se puede administrar mediante el complemento Directiva de seguridad local que se encuentra en Directivas locales\Asignación de derechos de usuario. Para obtener más información, vea Derechos y privilegios de usuario.

Auditoría de objetos

Los derechos de administrador permiten auditar el acceso correcto o incorrecto de los usuarios a los objetos. Puede seleccionar el acceso al objeto que va a auditar con la interfaz de usuario de control de acceso, pero primero debe habilitar la directiva de auditoría seleccionando Auditar el acceso a objetos en Directiva local\Directiva de auditoría\Directivas locales del complemento Directiva de seguridad local. A continuación, podrá ver estos eventos relacionados con la seguridad en el registro de seguridad del visor de eventos.

Referencias adicionales


Tabla de contenido