lunes, 17 de octubre de 2011

Script para desactivar el touchPad en ubuntu

Hoy navegando por la red he encontrado una utilidad a la que muchos de nosotros le encontraremos bastante utilidad.
Todos los que tengamos portátil sabemos lo fastidioso que llega a ser escribir en ubuntu y que no nos moleste el touchpap (click en lugares que no desesamos, el ratón se "disloca", abre ventanas que estaban en segundo plano), bien pues aquí les traigo un scripts que puede solucionar este problemilla, tan fácil cómo un "Copy/Paste" en un archivo de texto y ejecutarlo, para desactivar/activar el touchpap tan solo hay que pulsar "ALT+T".

#!/bin/bash
#El script MANUAL se encarga de desactivar y activar el touchpad cuando se presiona la combinacion seleccionada
#El script AUTO se encarga de revisar si hay algun raton conectado, y si es asi, desactiva el touchpad
gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_auto-disable true
echo "Generando los scripts"
MANUAL=touchpad-manual
AUTO=touchpad-auto
zenity --question --text="¿Desea activar las notificaciones?\nSe instalara el paquete libnotify-bin\npara lanzar notificaciones a traves de Notify-OSD"
if [ $? = 0 ];then
    gksu echo Instalando
    sudo apt-get install libnotify-bin
    gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_notify true
else
    gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_notify false
fi
echo '#!/bin/bash
gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_auto-disable false
#Si el estado actual es activado, lo desactiva, si no, lo activa
if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_enabled) = true ]; then
    gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_enabled false
    #synclient TouchpadOff=1
    if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_notify) = true ]; then
        notify-send --icon=mouse "Touchpad Deshabilitado"
    fi
else
    gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_enabled true
    #synclient TouchpadOff=0
    if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_notify) = true ]; then
        notify-send --icon=mouse "Touchpad Habilitado"
    fi

fi' | tee $MANUAL

 

echo '#! /bin/bash

# Depende de libnotify-bin

notify=0    # Deshabilita la notificacion en el arranque

# Sincroniza synclient con gconf

#if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_enabled) = true ]; then

#   synclient TouchpadOff=0

#elif [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_enabled) = false ]; then

#   synclient TouchpadOff=1

#fi

while [ 1 ]

do

    if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_auto-disable) = true ]; then

        if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_enabled) = true ] && [ -e /dev/input/by-id/*event-mouse ]; then # Se enchufa un Ratón

            gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_enabled false

            #synclient TouchpadOff=1

            if [ $notify = 1 ]; then

                notify-send --icon=mouse "Touchpad Deshabilitado" "Se ha detectado un Ratón externo"

            fi

 

        elif [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_enabled) = false ] && [ ! -e /dev/input/by-id/*event-mouse ]; then # Se desenchufa un Ratón

            gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_enabled true

            #synclient TouchpadOff=0

            if [ $notify = 1 ]; then

                notify-send --icon=mouse "Touchpad Habilitado" "Se ha desconectado el Ratón externo"

            fi

        fi

    fi

    if [ $(gconftool-2 --get /desktop/gnome/peripherals/touchpad/touchpad_notify) = true ]; then

        notify=1

    fi

    sleep # Periodo de refresco en segundos

done' | tee $AUTO

 

echo "Instalando los script"

gksu cp $MANUAL /usr/bin/

rm $MANUAL

sudo cp $AUTO /usr/bin/

rm $AUTO

cd /usr/bin/

sudo chmod +rx $MANUAL

sudo chmod +rx $AUTO

 

echo "Asociando combinacion de teclas Alt+t"

gconftool-2 -t str --set /apps/metacity/global_keybindings/run_command_8 "<Alt>t"

gconftool-2 -t str --set /apps/metacity/keybinding_commands/command_8 "$MANUAL"

echo "Asociando combinacion de teclas Alt+a para el modo automático"

gconftool-2 -t str --set /apps/metacity/global_keybindings/run_command_7 "<Alt>a"

gconftool-2 -t str --set /apps/metacity/keybinding_commands/command_7 "gconftool-2 --type boolean --set /desktop/gnome/peripherals/touchpad/touchpad_auto-disable true"

 

echo "Creando autoarranque"

cd /usr/share/gnome/autostart/

echo '[Desktop Entry]' | sudo tee $AUTO.desktop

echo 'Type=Application' | sudo tee -a $AUTO.desktop

echo 'Name=AutoDeshabilitar Touchpad' | sudo tee -a $AUTO.desktop

echo "Exec=$AUTO" | sudo tee -a $AUTO.desktop

echo 'Icon=mouse' | sudo tee -a $AUTO.desktop

echo 'Comment=Detecta si exixte un raton, y si es asi, deshabilita el touchpad' | sudo tee -a $AUTO.desktop

echo "Listo"
Publicado por en No hay comentarios:

jueves, 13 de octubre de 2011

DHCP

DHCP (Dynamic Host Configuration Protocol) es un estándar TCP/IP diseñado para  facilitar la administración  de la configuración IP de los equipos de una red.
Este estándar permite la utilización de servidores DHCP para la asignación dinámica de IPs que permite además de asignar direcciones IP a equipos, configurar la puerta de enlace y los servidores DNS .

*Nota:  Debemos de recordar que no es lo mismo un servidor de DNS que un servidor DHCP, mientras que DNS es un sistema de nombres de dominio que se encargar de asignar nombres a equipos y servicios de red y se encarga de su traducción,  un servidor DHCP se encarga de asignar IP a host.

El servidor DHCP asigna una IP a un host durante un tiempo determinado denominado concesión que es el tiempo en el que una IP va a estar asignada a ese host.
Para que un host se convierta en un cliente DHCP no hay mas que indicar quién es el servidor DHCP , de esta manera el host buscará en la red el servidor DHCP y este le asignará una dirección IP y le suministrará la puerta de enlace y el servidor DNS ( si lo hubiera) también el DHCP puede asignar direcciones IPs a equipos concretos mediante la MAC de la tarjeta de red del host. Debemos de tener en cuenta que si un equipo está configurado para que tenga una IP estática (dentro del rango del servidor DHCP) podría producir un conflicto de IP ya que esa dirección IP puede haber sido asignada a otro host por el servidor DHCP.

Podemos encontrar dos casos, el cliente nunca ha obtenido una concesión al servidor DHCP o el cliente ha obtenido una concesión anteriormente:
  • El cliente nunca ha obtenido una concesión al servidor DHCP:
    1.  El cliente intenta localizar un servidor DHCP y obtener una configuración.
    2. El host no encuentra un servidor DHCP por lo que este se configura con el rango APIPA (169.254.0.0/16) y cada cinco minutos comprobará si se encuentra disponible algún servidor DHCP.
  • El cliente ha obtenido una concesión anteriormente:
    1.  Si la concesión ha caducado el cliente solicitará una nueva ( que podría coincidir con la anterior).
    2. Si la concesión no ha caducado el cliente intentará renovarla.
    3. Si durante la renovación el cliente no localiza al servidor DHCP este realizará un ping a la puerta de enlace, si el ping es satisfastorio el cliente supondrá que se encuentra en la misma red y utilizará la concesión actual, si no es así se asignará automáticamente el rango APIPA y buscará cada cinco minutos un servidor DHCP.
Terminos:
  • Ámbito DHCP: agrupamiento de equipos que utilizan el servidor DHCP.
  • Rango DHCP: grupo de direcciones IP en una subred determinada.
  • Concesión: periodo de tiempo establecido por el servidor DHCP para el que un cliente tiene asignada una dirección IP.
  • Servidor WINS: permite registrar nombres de recursos NetBIOS ( Interface utilizado para nombrar recursos de red, en sistemas Windows anteriores a Windows 2000) y resolver sus direcciones IP.
Publicado por en No hay comentarios:
Etiquetas:

lunes, 10 de octubre de 2011

Administración de dominios de windows 2003

En el siguiente artículo se explicará los conceptos fundamentales que soprta Active Directory, su administración, la compartición de objetos y la delegación de tareas administrativas.

Directorio activo

El directorio activo de una red de windows 2003 almacena información acerca de los recursos de la red y permite que los usuarios y las distintas aplicaciones puedan acceder a esos recursos. De esta forma toda la administración, organización y control se lleva a cabo de forma centralizada.

Cuando instalamos windows 2003 en un sistema, este pasa a conventirse en un controlador de dominio "DCs". Una de las ventajas que podemos encontrar en Active Directory es que separa la extructura lógica (dominios) de la estructura física (topología en red).
Active directory soporta una serie de estándares existentes a diferencia de windows NT 4.0:
  • DHCP
  • DNS
  • SNTP
  • LDAP
  • Kerberos V5
  • Certificados X.509.
 Debemos de resaltar que el administrador debe de conocer en detalle la relación entre DNS y Active Directory.
Active directory  y DNS son espacios de nombre. DNS (servicio de nombres de dominio) es el mecanismo que asigna ip a nombres de dominio y almacena zonas y registros de recursos , mientras que Active directory guarda dominios y objetos de dominio.
Activie directory DNS para tres funciones principalmente:
  • Resolución de nombres.
  • Defenición del espacio de nombres.
  • Búsqueda de los componentes de AD.
Estructura lógica

La estructura lógica se centra en la administración de los recursos y es independiente de la ubicación de los recursos y de la topología de las redes. Seguún la estructura lógica Active directory se basa en el concepto de dominio que contiene información de los recursos que forman parte del dominio. Dentro del dominio es posible subdividir el directorio mediante el empleo de las unidades oganizativas, estas unidades permiten una administración sin la necesidad de crear varios dominios aunque si nuestro deseo es emplear varios dominios AD utiliza los conceptos de árbol y bosque que son jerarquías de dominios a distintos niveles.
A continuación se detallan todos los conceptos que utiliza Active directory:

Dominios 
Es la unidad central de la estructura lógica de Active directory y es un conjunto de equipos que comparten una base de datos de directorio en común, cada dominio se identifica por un nombre único de DNS, este nombre debe de ser común  tanto a los controladores de dominio como a los clientes (ej: gcap.net) gracias al uso de dominos coseguimos los siguiente objetivos:
  • Delimitar la seguridad: ya que la administración, las directivas de seguridad y las listas de control de acceso no se comparten entre dominios.
  • Replicar información:
  • Aplicar Políticas (directivas) de grupo: al aplicar un objeto de política de grupo esta se aplica dentro del dominio y no a través del dominio.
  • Delegar permisos administrativos: con esto se reduce el número de usuarios administrativos con amplios permisos ya que el dominio representa un límite de seguridad porque los permisos se límitan al dominio.
 Múltiples dominios en la misma organización

 Según los estándares de nombres DNS , los dominios de AD se crean dentro de una estructura de árbol invertida, con la raíz en la parte superior, esta jerarquía se basa en relaciones de confianza, es decir los dominios se vinculan por relaciones de confianza entre dominios.


Árbol: conjunto de uno o más dominios que comparten un espacio de nombres contiguo. En el caso en el que exista más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol exixtente este pasa a ser un dominio secundario.
Los dominios que forman un árbol se enlazan mediante relaciones de confianza bidireccionales y transitivas.

Bosque: grupo de árboles que no comparten un espacio de nombre contiguo, estos se conectan a través de relaciones de confianza bidireccionales y transitivas. 
Los árboles de un bosque aunque no forman un espacio de nombres común, es decir, se basan en diferentes nombres de dominio raíz de DNS, comparten una configuración, un esquema de directorio común y el denominado catálogo global.

*Nota: es importante destacar que, aunque los diferentes árboles de un bosque no comparten un espacio de nombres contiguo, el bosque tiene siempre un único dominio raíz, llamado precisamente dominio raíz del bosque.
Las limitaciones a la hora de  añadir nuevos registros a un bosque son las siguientes:
  • No se pueden mover dominios de AD entre bosques.
  • Si un dominio de un bosque tiene algun hijo no se podrá eliminar. 
  • Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
  • No se puede crear un dominio padre de un dominio exixtente.
 Dcpromo nos permite crear dominios, este asistente nos permite elegir entre las siguientes opciones:
  • DC adicional de un dominio exixtente o DC para un dominio nuevo.
  • El dominio puede ser un dominio secundario de otro dominio o el dominio principal de un nuevo árbol de dominios.
  • El dominio raiz puede ser un bosque existente o un  nuevo bosque.
Niveles funcionales 
 Windows 2000 mixto: nivel funcional por defecto cuando se crea un  nuevo dominio, los DC de Windows 2003 son compatibles con Windows NT 4 y Windows 2000, pero hay varias opciones de configuración no estarán disponibles.

Windows 2000 nativo: los  DC de windows 2003 son compatibles con los de Windows 200 pero no con los de NT 4, en este caso se tiene una funcionalidad completa de AD pero se excluyen las nuevas opciones de Ad de windows 2003.

Windows Server 2003 provisional: este nivel está dedicado exclusivamente a la migración directa de NT4 y windows 2003 y por lo tanto es transitorio, los DCs de windows 2003 son compatibles con los de Windows NT 4 pero no con de Windows 2000.

 Windows Server 2003: en este nivel los DCs de windows 2003 son compatibles solamente  entre sí, la ventaja de este nivel es que ofrece la funcionalidad completa de dominios.


Un bosque de dominios de  windows 2003 puede estar en 3 niveles distintos:
  • Windows 2000.
  • Windows Server 2003 provisional.
  • Windows Server 2003.
Debemos de resaltar que la transición entre niveles funcionales tan sólo es posible elevando el nivel actual (a excepción de los niveles provisionales) por lo que esto es irreversible y ha de hacerse cuando el administrador está completamente seguro de la compatibilidad con otros DCs.


Relaciones de confianza.
 Es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio.
Los diferentes tipos de relaciones se diferencian mediante los tre rasgos siguientes:
  • Método de creación: hay relaciones que se crean de forma automática y otros de forma manual.
  • Dirección: algunas relaciones pueden ser unidireccionales ( en una sola dirección) o dibireccionales ( en ambas direcciones).
  • Transitividad:  quiere decir que si un dominio A confia de B y B confia de C , A automáticamente confiará de C. Si esta relación no fuese transitiva se debería de añadir manualmente.
 Tipos de relaciones de confianza 
  • Confianza raiz de árbol: Esta relación se  establece automáticamente entre los dominios del mismo bosque , es bidireccional y transitiva.
  • Confianza principal-secundario: Se establece de forma automática, es bidireccional y transitiva.
  • Confianza de acceso directo: se establece de forma manual y su objetivo es la mejora de la eficiencia en los incios de sesión remotos. Es unidireccional y transitiva.
  • Confianza externa: se crea manualmente , permite a usuarios de un dominio de Windows 2003 acceder a recursos de otro bosque o de Windows NT4 , es unidireccional e intransitiva.
  • Confianza bosque: se crea de manual entre los dominios raíz de dos bosques distintos, es unidireccional y transitiva (entre dos bosques). Requisito --> Nivel funcional de Windows Server 2003.
  • Confianza de territorio: se crea de forma manual entre un dominio Windows 2003 y un territorio(no Windows), es unidireccional y puede ser transitiva o no.
Unidades organizativas.
 Es un contenedor de otros objetos, en ellas pueden crearse usuarios, grupos, impresoras compartidas,etc.. e incluso otras unidades organizativas,su objetivo es organizar. Los objetos pueden moverse de una OU a otra pero no puede copiarse ya que cada objeto es único y su existencia es independiente de la OU a la que pertenezca.
 Las unidades organizativas permiten:
  • Delegar la administración.
  • Establecer de forma centralizada comportamientos distintos a usuarios y equipos.

Estructura física

Sitios

Sitio: combinación de una o varias subredes IP conectadas por algún vínculo. Las dos razones por la que se crean principalmente son, la optimización de el tráfico de replicación y para permitir que los usuarios se conecten mediante una conexión confiable de alta velocidad.
Controladores de dominio.
La información almacenada en cada controlador de dominio se divide en :
  • Partición del directorio de esquema: contiene los tipos de objetos y atributos que pueden se creados en AD.
  • Partición de directorio de configuración: contiene la estructura de los dominios y su topología de replicación.
  • Partición de directorio de dominio: contiene los objetos del directorio para este dominio.
  • Partición de directorio de aplicaciones: contiene datos de aplicaciones, estos datos pueden ser de cualquier tipo excepto principales de seguridad (usuarios, grupos y equipos).
  • Catálogo global: almacena las paticiones de directorio de escritura, así como copias parciales de sólo lectura de todas las demás particiones de directorio de dominio del bosque.
Funciones de los controladores de dominio.

Gracias al esquema de Windows 2003 los controladores de dominio admiten cambios y estos cambios se replican a todos los controladores, pero debido a los posibles conflictos se asigna sólo a determinados controladores de dominio.

Servidor de catálogo global
 Es un depósito de información que contiene un subconjunto de atributos para todo los objetos de AD, estos atributos son los que se consultan con mas frecuencia.
El catálogo global cumple dos funciones:
  • Permite que un usuario inicie una sesión en la red mediante el suministro de la
    información de pertenencia a grupos universales a un controlador de dominio
    cuando inicia un proceso de sesión.
  • Permite que un usuario busque información de directorio en todo el bosque, independiente
    de la ubicación de los datos.
Operaciones de maestro único.
Es un controlador de dominio al que se le ha asignado una o varias funciones de mastro único en un dominio o bosque de AD. No pueden realizar operaciones simultáneamente. Los bosques de AD deben de cumpir con 2 de las 5 funciones de operaciones de maestro único que son:
  • Maestro de esquema.
  • Maestro de nombes de dominio.
Todos los dominios de AD deben de cumplir 3 de las 5 funciones de operaciones de maestro único:
  • Maestro de identificadores relativos (RID).
  • Emulador de controlador de dominio principal (PDC).
  • Maestro de infraestructuras.
 Objetos que administra un dominio.

Los principales objetos que pueden crearse en AD son:

Usuarios Globales
Que sirven para identificar  y autenticar a los usuarios que pueden acceder al sistema y administrar los permisos y derechos.


Grupos.
Se pueden crear dos tipos de grupos, los grupos de distribuición ( para crear listas de distribuición de correo) y y grupos de seguridad ( con fines administrativos).
En Windows 2003 se pueden distuinguir tres clases de grupos de seguridad:
  • Grupos locales del dominio (solo son visibles en el dominio en el que se crean).
  • Grupos globales.
  • Grupos universales: disponibles tan solo en el nivel funcional Windows 200 nativo o Windows Server 2003 nativo)
La recomendación de Windows 2003 es la siguiente:
  • Asignar usuarios globales a grupos globales.
  • Incluir usuarios y/o grupos globales en grupos locales
  • Asignar permisos y derechos a los grupos locales del equipo o dominio.

Equipos
Cuenta de equipo: guarda información de cada un de los ordenadores miembro de un dominio, en ella se alamcena un identificador único y privado, es independiente de los SID de usuario y sólo es conocido por los DCs y el propio ordenador.



 Compartición de recursos.
Al participar en una red se pueden compartir recursos(carpetas o directorios) con el resto de ordenadores descartando los recursos de impresora compartida.




Compartición dentro de un dominio.
A la hora de compartir recursos entre equipos de un dominio Windows 2003 se debe de conocer:
  • Una vez compartido físicamente una carpeta , el administrador puede publicar este recurso en el directorio.
  • Cuando un sistema Windows 2003 se agraga a un dominio de forma automática se comparten los siguientes recursos:
    • Letra de unidad.
    • ADMIN.
    • IPC$.
    • NETLOGON.
    • SYSVOL.
Mandatos Windows 2003 para compartir recursos
Puede realizarse mediante comandos utilizando los mandatos net share y net use.

Delegación de la administración

Para delegar , total o parcialmente la administración de zona de una unidad organizativa existe un asistente para llevar a cabo esta operación. Básicamente pregunta los dos aspectos de la delegación "a quién se delega" y " qué se delega".
Esta puede hacerse de forma completa (ofreciendo control total) o de forma parcial ( permitiendo lectura, modificación o borrado).

Bibliografía


Para aprender más

    Publicado por en No hay comentarios:
    Etiquetas:

    Protección local en Windows 2003 server


    • Concepto de Usuario

    Usuario: persona que puede entrar en el sistema.
    Windows para poder controlar las entradas de los usuarios se basa en el concepto de cuenta de usuario (user account) que almacena toda la información que el sistema guarda de cada usuario.
    Windows dispone de cuentas de usuarios integrados (built-in users) que son el administrador y el invitado.

    • Grupos de usuarios.

    Grupo de usuarios: permite agrupar de forma lógica a los usuarios de un sistema, dispone de un nombre y un SID y su correspondiente lista de usuarios que pertenecen al grupo.
    Al igual que ocurre con las cuentas de usuarios, hay una serie de grupos integrados (built-in group), estos son Administradores, Operadores de copia, Usuarios avanzados, Usuarios e Invitados.
    Por otro lado Windows dispone de grupos especiales:
    Usuarios Interactivos: tienen derecho a iniciar sesión local en el sistema.
    Usuarios de Red: usuarios que tienen el derecho a acceder al sistema desde la red.
    Todos: que agrupa a todos los usuarios que el sistema conoce.

    • Modelo de protección

    Derecho o privilegio de usuario(user right): atributo de usuario que permite realizar acciones que afectan al sistema en su conjunto (y no a un objeto o recurso).
    Permiso (permission): característica de cada recurso (carpeta,archivo,etc) del sistema que concede o deniega el acceso al mismo a un usuario o grupo de usuarios concreto.

    • Atributos de protección de los procesos.

    Cuando un usuario es autorizado a conectarse a un sistema Windows el sistema construye una acreditación llamada Security Access Token (SAT), este contiene:
    SID del usuario.
    SIDs de sus grupos
    Derechos. Lista construida mediante todo los derechos del usuario y del grupo al que pernetece.

    • Derechos de usuario.

    En Windows 2003 se distinguen dos tipos de derecho: los derechos de conexión ( logon rights) que establecen la forma en la que el usuario puede conectarse y los privilegios (privileges) que hace referencia a las acciones predefinidas que el usuario puede realizar una vez conectado.
    *Nota: Debemos recordar que si hay un conflicto de permisos siempre prevalecen los mas restrictivos.

      • Otras directivas de seguridad.

    Windows ha agrupado sus herramientas administrativas en una única denominada directivas de seguridad local:
    Cuentas: Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema, entre ellas (Contraseñas, Bloqueo, Kerberos)
    Directiva local: por un lado tenemos Auditoria del equipo que registra los eventos que son interesantes   y por otro los derechos y privilegios explicados en el punto anterior.
    Claves públicas: Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.

    • Atributos de protección de los recursos.
    Un sistema NTFS de Windows 2003 posee los siguientes atributos:

    SID del propietario.
    Lista de control de acceso de protección: que incluye los permisos que los usuarios tienen sobre el archivo o carpeta.
    Esta lista se divide en dos cada una denominada Discretionary Access Control list o DACL (lista de control de acceso discrecional) y sus elementos Acces Control Entry (entrada de control de acceso).
    Lista de control de acceso de seguridad se emplea para definir qué acciones Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.

    *Nota: la razón por la que Windows establezca dos DACL es la de la herencia de permisos, ya que un archivo puede contener una DACL heredada y una explícita.

      • Asociación de permisos a recursos.
    Se siguen las siguientes reglas:
    Al crearse una carpeta o archivo este no tiene ningún permiso explícito y adquiere permisos heredados del padre.
    Si se añaden permisos siempre se añaden a la lista de permisos explícitos.
    El control sobre la herencia se realiza a dos niveles:
    Si la carpeta o archivo decide heredar o no los permisos del padre (herencia desde arriba)
    Cada permiso lleva asociada una regla que indica recursos van a poder heredarlos (herencia hacia abajo).
    Copiar se considera una creación.
    Mover. Se distinguen dos casos , si se mueve dentro del mismo volumen se desactiva la herencia y se mantienen los permisos explícitos. Si el volumen destino es distinto entonces se actúa como una copia.

      • Modificación de atributos de protección.
    Las reglas que Windows dicta para indicar quién puede modificar los diferentes atributos de protección de los recursos son:
    Propietario.
    Lista de control de acceso de protección.
    Lista de control de acceso de seguridad.



    • Reglas de protección
    Una única acción de un proceso puede involucrar varias acciones  sobre varios archivos y/o carpetas. En ese caso, el sistema verifica si el proceso tiene o no permisos para todas ellas. Si le falta algún permiso, la acción se rechaza con un mensaje de error.
    Los procesos son acumulativos, un usuario posee implícitamente todos los permisos correspondiente a los SIDs de su acreditación.
    La ausencia un cierto permiso sobre un objeto supone implícitamente la imposibilidad de realizar la acción correspondiente sobre el objeto.
    Al producirse un conflicto de permisos prevalecen los mas restrictivos.

    Las condiciones que se deben de cumplir cuando Windows chequea las entradas DACL son:

    Cada permiso involucrado en la acción solicitada está concedido explícitamente al SID del usuario o de algún grupo al que el usuario pertenece. En ese caso, se permite la acción.
    Alguno de los permisos involucrados está explícitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la acción.

    Si la lista ha sido explorada completamente y Windows no encontró ninguna entrada en este caso se deniega la acción

    Bibliografía

    Para saber más


    Publicado por en No hay comentarios:
    Etiquetas:
    Suscribirse a: Entradas (Atom)