La tarea central de una red es asegurar que los clientes (los usuarios)
tengan todo lo que necesitan y nada que no necesitan. Lo que necesitan incluye
acceso a los archivos, carpetas, aplicaciones, impresoras y conexiones de
Internet que requieren para hacer su trabajo. Lo que no necesitan es problemas
para acceder a lo que si necesitan.
El administrador de la red tiene necesidades adicionales, como material que
requiere conocimientos para protegerse de aquellos que no tienen por que tener
conocimientos y proteger a los usuarios de ellos mismos. La clave de todas estas
necesidades es la configuración de grupos, usuarios y directivas de grupo.
Introducción a los Grupos
Por definición, los grupos en Microsoft Windows 2000 son objetos del servicio
de directorio Active Directory o del equipo local que pueden contener usuarios,
contactos, equipos a otros grupos. Sin embargo, en general, un grupo es
normalmente una colección de cuentas de usuario. El objetivo de los grupos es
simplificar la administración permitiendo al administrador de la red asignar
derechos y permisos por grupo en lugar de a usuarios individuales.
Windows 2000 permite dos tipos de grupos: de seguridad y de distribución. Los
grupos de seguridad son esencialmente los únicos grupos utilizados en Windows
2000 porque son los únicos grupos por medio de los que se pueden asignar
permisos. A cada grupo de seguridad se asigna también un ámbito de grupo, el
cual define cómo se asignan los permisos a los miembros del grupo y los grupos
de distribución que no tienen seguridad activada y a los que no se pueden
asignar permisos.
Asignación de ámbitos de grupo
Cuando se crea un grupo, se le asigna un ámbito de grupo que define cómo se
asignaran los permisos. Las tres posibilidades de ámbitos de grupo son: global,
local de dominio y universal.
Ámbito global
A un grupo con ámbito global los permisos se pueden conceder para recursos
ubicados en cualquier dominio. Sin embargo, los miembros sólo pueden proceder
del dominio en el que se crea el grupo, y en ese sentido no es global. Los
grupos globales son adecuados para objetos de directorio que requieren
mantenimiento frecuente, como cuentas de usuario y grupo.
Pueden ser miembros de:
- Grupos universales o locales de dominio en cualquier dominio.
Pueden contener los siguientes miembros:
- Otros grupos globales en el mismo dominio.
- Cuentas individuales del mismo dominio.
Ámbito local de dominio
Un grupo local de dominio puede contener miembros de cualquier dominio, pero
sus permisos solo pueden ser para recursos del dominio en el que se crea el
grupo. Los miembros de un grupo local de dominio tienen una necesidad común de
acceder a ciertos recursos en un dominio particular.
Pueden tener uno o más de los siguientes miembros:
- Otros grupos locales de dominio en el mismo dominio.
- Grupos globales de cualquier dominio.
- Grupos universales de cualquier dominio.
- Cuentas individuales de cualquier dominio.
Las reglas de anidamiento se aplican completamente sólo en modo nativo,
es decir, cuando todos los controladores del dominio son servidores Windows
2000. En dominios en modo mixto, los grupos de seguridad con ámbitos globales
solo pueden contener cuentas individuales, no otros grupos. Los grupos de
seguridad con ámbito local de dominio pueden contener tantos grupos globales
como cuentas.
Ámbito universal
Un grupo de seguridad universal puede tener miembros procedentes de cualquier
dominio y se le pueden asignar permisos para recursos de cualquier dominio. El
ámbito universal sólo esta disponible en dominios que se ejecuten en modo
nativo. Los grupos universales pueden tener los siguientes miembros:
- Otros grupos universales.
- Grupos globales.
- Cuentas individuales.
Incluso en modo nativo, los grupos universales se deben utilizar con
prudencia a causa del impacto negativo que pueden tener en el rendimiento de la
red.
La importancia de planificar los grupos se hace más aparente cuando se
considera el efecto negativo que la organización de grupos puede tener en el
rendimiento de la red. Cuando un usuario inicia sesión en la red, el
controlador de dominio determina los miembros del grupo del usuario y asigna
un testigo de seguridad al usuario. El testigo incluye los ID de seguridad de
todos los grupos a los que pertenece el usuario, además del ID de la cuenta
del usuario. A cuantos más grupos de seguridad pertenezca el usuario, más se
tardará en crear el testigo y más tardará el usuario en iniciar
sesión.
Además, el testigo de seguridad, una vez creado, se envía a cada
equipo al que accede el usuario. El equipo destino compara todos los ID de
seguridad del testigo con los permisos para todos los recursos compartidos
disponibles en ese equipo. Un gran numero de usuarios añadidos a un gran
numero de recursos compartidos (incluyendo carpetas individuales) puede
consumir bastante ancho de banda y tiempo de proceso. Una solución es limitar
la pertenencia a los grupos de seguridad. Conviene utilizar los grupos de
distribución para categorías de usuarios que no requieren permisos o derechos
específicos.
Los grupos con ámbito universal tendrán por si mismos un
impacto en el rendimiento a causa de todos los grupos, junto con sus miembros,
que se muestran en el Catálogo Global. Cuando hay un cambio en la pertenencia
a un grupo con ámbito universal, este hecho debe ser transmitido a todos los
servidores de Catálogo Global del árbol de dominios, añadiéndose al tráfico de
réplica de la red. Los grupos con ámbito global o local de dominio también se
muestran en el Catalogo global, pero sus miembros individuales no, por lo que
la solución es limitar la pertenencia a los grupos universales antes que a los
grupos globales.
Planificación de estrategias de grupo
Como en muchos otros aspectos de la administración de red, la planificación
es el paso esencial. El modo del dominio determina los tipos de grupos
disponibles. Un dominio en modo mixto no puede soportar grupos con ámbito
universal. De este modo, mientras haya controladores de dominio de reserva con
Microsoft Windows NT, se esta limitando a grupos con ámbito global y local de
dominio.
Determinación de los nombres de grupo
A la hora de planificar los grupos, se debería determinar un esquema de
denominación que sea apropiado para la organización. Se deberían considerar dos
factores:
- Los nombres de los grupos deberían reconocerse instantáneamente: Si
es así, los administradores que busquen en el Active Directory no tendrán que
adivinar su significado.
- Los grupos comparables deberían tener nombres similares: En otras
palabras, si hay un grupo para ingenieros en cada dominio, hay que dar a todos
los grupos nombres paralelos, como Ingenieros América, Ingenieros Europa o
Ingenieros Asia.
Grupos globales y locales de dominio
Será necesario desarrollar una estrategia para utilizar los diferentes grupos
y hacer que los usuarios con responsabilidades laborales similares pertenezcan a
un grupo global. De este modo, se añadirían cuentas de usuario para todos los
artistas gráficos a un grupo global llamado Artistas gráficos. Otros usuarios
con necesidades comunes deberían asignarse a otros grupos globales. Después, se
deben identificar los recursos a los cuales necesitan acceder los usuarios y
crear un grupo local de dominio para cada recurso. Si, por ejemplo, hay varias
impresoras y trazadores de color que se utilizan en departamentos específicos,
se podría crear un grupo local de dominio llamado ImpresorasDeColor.
Lo siguiente que se debería decidir es qué grupos globales necesitan acceder
a los recursos identificados. Continuando con el ejemplo, se debería añadir el
grupo global Artistas gráficos al grupo local de dominio ImpresorasDeColor,
junto con el resto de grupos globales que necesiten acceder a las impresoras y
los trazadores. El permiso para utilizar los recursos de ImpresorasDeColor
debería asignarse al grupo local de dominio ImpresorasDeColor.
No se debe olvidar que los grupos globales pueden complicar la administración
en situaciones de múltiples dominios. Los grupos globales de diferentes dominios
han de tener sus permisos establecidos individualmente. Además, la asignación de
usuarios a grupos locales de dominio y la concesión de permisos al grupo no dará
a los miembros acceso a los recursos fuera del dominio.
Hay que recordar que las reglas de anidamiento solo se aplican en modo
nativo. En dominios en modo mixto, los grupos de seguridad con ámbito global
solo pueden contener cuentas individuales, no otros grupos. Los grupos de
seguridad con ámbito local de dominio pueden contener grupos globales y
cuentas.
Grupos universales
Los Grupos Universales sólo se pueden utilizar cuando el dominio se ejecuta
en modo nativo y hay que tener en cuenta las siguientes directrices:
- Evitar la adición de cuentas individuales a los grupos universales, para
mantener el tráfico de réplica bajo.
- Añadir grupos globales de múltiples dominios a grupos universales para
proporcionar acceso a recursos a los miembros en más de un dominio.
- Los grupos universales pueden ser miembros de grupos locales de dominio y
otros grupos universales, pero no pueden ser miembros de grupos globales.
Implementación de la estrategia de grupo
Una vez que se haya planificado la estrategia y comprobado utilizando
variedad de escenarios, se estará preparado para comenzar a poner en práctica la
estructura.
Creación de grupos
Se puede utilizar Usuarios y equipos de Active Directory para crear y
eliminar grupos. Los grupos deberían crearse en el contenedor Users o en una
unidad organizativa (OU, Organizational Unit) que se haya creado con el
propósito de contener grupos.
Para crear un grupo:
- Abrir Usuarios y equipos de Active Directory desde Herramientas
Administrativas.
- En el árbol de consola, pulsar una OU.
- Pulsar el menú Acción, ir a Nuevo , y entonces pulsar
Grupo. Aparece el cuadro de dialogo Nuevo objeto - grupo.
- Nombre del grupo: introducir un nombre representativo de la función
del grupo a crear.
- Nombre de grupo (anterior a Windows 2000): De forma predeterminada,
el nombre que escriba en el campo anterior se usará también para el grupo
nuevo en versiones anteriores a Windows 2000.
- Ámbito de Grupo:
- Dominio Local: Un grupo local de dominio se utiliza para asignar
permisos para acceder a los diferentes recursos de la red. Debido a que se
utiliza el grupo para asignar permisos, se hace un grupo local de dominio.
- Global: Se les pueden conceder permisos en cualquier dominio del
bosque.
- Universal: El ámbito del grupo universal estará disponible cuando
se estén ejecutando los servicios de Active Directory en modo Nativo. Se les
pueden conceder permisos en cualquier dominio del árbol o el bosque de
dominios
- Tipo de Grupo:
- Seguridad: Se utilizan para recopilar usuarios, equipos y otros
grupos en unidades más fáciles de administrar. Los administradores deben
asignar los permisos para recursos (archivos compartidos, impresoras, etc.)
a un grupo de seguridad, no a usuarios individuales. Así los permisos se
asignan una vez al grupo en lugar de varias veces a cada usuario individual.
Cada cuenta que se agrega al grupo recibe automáticamente los permisos y
derechos definidos para ese grupo. Al trabajar con grupos en lugar de
usuarios individuales se simplifica el mantenimiento y la administración de
la red. Seleccionaremos el botón de radio Seguridad.
- Distribución: Los grupos de distribución sólo se pueden utilizar
como listas de distribución de correo electrónico. No pueden utilizarse para
filtrar configuraciones de Directiva de grupo. Los grupos de distribución no
tienen ninguna función relacionada con la seguridad.
Eliminación de grupos
Cuando ya no se necesita más un grupo
hay que asegurarse de eliminarlo del sistema cuanto antes. Los grupos
innecesarios son un riesgo para la seguridad porque es muy fácil garantizar
permisos de forma no intencionada.
Cada grupo, como cada usuario, tiene un identificador de seguridad (SID)
único. El SID se utiliza para identificar al grupo y los permisos asignados al
grupo. Cuando el grupo se elimina, el SID se borra y no se utiliza de nuevo. Si
se elimina un grupo y más tarde se decide volver a crearlo, habrá que configurar
los usuarios y los permisos al igual que para un nuevo grupo.
Para eliminar un grupo, simplemente hay que pulsar con el botón derecho del
ratón en su nombre en Usuarios y equipos de Active Directory y escoger Eliminar
en el menú contextual. La eliminación de un grupo solo elimina el grupo y los
permisos asociados al grupo. El único efecto en las cuentas de los usuarios es
que pierden los derechos inherentes al grupo eliminado.
Cambio del ámbito de un grupo
Con el tiempo se puede descubrir que es necesario cambiar el ámbito de un
grupo particular. Por ejemplo, podría ser necesario cambiar un grupo global a
universal de forma que los usuarios de otro dominio puedan ser parte del grupo.
Sin embargo, los tipos de cambios que se pueden hacer al ámbito de un grupo
están realmente limitados, y puede ser necesario eliminar el grupo y crear uno
nuevo para obtener la configuración que se necesita.
Para cambiar el ámbito de un grupo, hay
que pulsar con el botón derecho del ratón en el nombre del grupo en Usuarios y
equipos de Active Directory y escoger Propiedades en el menú contextual. Hay que
realizar los cambios necesarios en la pestaña General y pulsar Aceptar cuando se
haya terminado. Las reglas para cambiar un ámbito de un grupo son las
siguientes:
- En modo mixto, un grupo de seguridad no puede tener ámbito universal.
- Un grupo global se puede cambiar a universal si no es aun miembro de otro
grupo global.
- Un grupo local de dominio se puede cambiar a universal si no contiene aun
otro grupo local de dominio.
- Un grupo universal no se puede cambiar.
Creación de grupos locales
Un grupo local es una colección de cuentas de usuario en un único equipo. Las
cuentas de usuarios han de ser locales al equipo, y los miembros de grupos
locales solo pueden tener asignados permisos para recursos del equipo donde se
creó el grupo local.
Los grupos locales se pueden crear en cualquier equipo Windows 2000 excepto
en controladores de dominio. En general, no es conveniente utilizar grupos
locales en un equipo que es parte de un dominio o, al menos, es mejor hacerlo
con moderación. Los grupos locales no aparecen en el Active Directory, por lo
hay que administrarlos independientemente en cada equipo individual. Para crear
un grupo local, hay que seguir estos pasos:
- Pulsar con el botón derecho del ratón en el icono Mi PC del
escritorio y escoger Administrar en el menú contextual.
- En el árbol de la consola hay que expandir Herramientas del sistema
y después Usuarios locales y grupos.
- Pulsar con el botón derecho en la carpeta Grupos y
seleccionar Grupo nuevo en el menú contextual.
- En el cuadro de dialogo Grupo nuevo hay que introducir el nombre del
grupo. Se puede incluir una descripción si se desea.
- Pulsar el botón Agregar, si se desean añadir miembros al grupo se
puede hacer ahora, sino, pulsar Crear y el nuevo grupo se añadirá a la
lista de grupos del panel de detalles.
Gestión de grupos predefinidos y de los derechos de los usuarios
Windows 2000 crea cuatro tipos de grupos predefinidos: locales, locales de
dominio, globales y de sistema. Cada tipo de grupo predefinido tiene un conjunto
predeterminado de derechos de usuario. Todo el que es asignado al grupo posee
automáticamente esos derechos.
Grupos locales predefinidos
Los servidores miembro, los servidores independientes y los equipos que
ejecutan Windows 2000 Profesional tienen grupos locales predefinidos que otorgan
derechos para realizar tareas en una única maquina.
Si se desea que los miembros del grupo Usuarios del dominio no tengan
acceso a una estación de trabajo o servidor miembro en particular, hay que
eliminar Usuarios del dominio del grupo local Usuarios de ese equipo. De forma
similar, si no se desea que los miembros de Admins. del dominio administren
una estación de trabajo o un servidor miembro en particular, hay que eliminar
Admins. del dominio del grupo local Administradores.
Grupos locales predefinidos:
- Administradores: Sus miembros pueden realizar todas las tareas
administrativas en el equipo. La cuenta predefinida Administrador que se crea
cuando se instala el sistema operativo es un miembro del grupo. Cuando un
servidor independiente o un equipo que ejecuta Windows 2000 Profesional se une
a un dominio, el grupo Admins. del dominio se hace parte de este grupo.
- Duplicadores: No se deben añadir cuentas de usuario de usuarios
reales a este grupo. Si es necesario, se puede añadir una cuenta de usuario
"ficticia" a este grupo para permitir iniciar sesión en los servicios
Replicador de un controlador de dominio para administrar la réplica de
archivos y directorios.
- Invitados: Sus miembros solo pueden realizar tareas para las cuales
el administrador haya concedido permisos. Los miembros solo pueden utilizar
aquellos recursos para los que un administrador haya concedido permisos
específicamente.
- Operadores de copia: Sus miembros pueden iniciar sesión en el
equipo, hacer copia de seguridad y recuperar la información del equipo y
apagar el equipo. Los miembros no pueden cambiar la configuración de
seguridad. No hay miembros predeterminados en el grupo.
- Usuarios: Los miembros de este grupo pueden iniciar sesión en el
equipo, acceder a la red, almacenar documentos y apagar el equipo. Los
miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un
servidor miembro o una maquina Windows 2000 Profesional se une a un dominio,
el grupo Usuarios del dominio se añade a este grupo.
- Usuarios avanzados: Sus miembros pueden crear y modificar cuentas
de usuario e instalar programas en el equipo local pero no pueden ver los
archivos de otros usuarios.
Grupos locales de dominio predefinidos
Los grupos locales de dominio predefinidos de Windows 2000 proporcionan a los
usuarios derechos y permisos para realizar tareas en controladores de dominio y
en el Active Directory. Los grupos locales de dominio tienen derechos y permisos
predefinidos que están concedidos a los usuarios y a los grupos globales que se
añaden como miembros.
Grupos locales de dominio predefinidos usados más frecuentemente
- Administradores: Sus miembros tienen concedido automáticamente
cualquier derecho o permiso de todos los controladores de dominio y del propio
dominio. La cuenta Administrador, el grupo Administración de empresas y el
grupo Admins. del dominio son miembros.
- Invitados: Sus miembros solo pueden realizar tareas para las cuales
el administrador haya concedido permisos. Los miembros solo pueden utilizar
aquellos recursos para los que un administrador haya concedido permisos
específicamente. Los grupos Usuarios invitados a Invitados de dominio son
miembros de forma predeterminada.
- Operadores de copia: Sus miembros pueden hacer copia de seguridad y
recuperar información en todos los controladores de dominio utilizando Copia
de seguridad de Windows 2000.
- Operadores de cuentas: Sus miembros pueden crear, eliminar y
gestionar cuentas y grupo de usuarios. Los miembros no pueden modificar el
grupo Administradores o cualquiera de los grupos Operadores.
- Operadores de impresión: Sus miembros pueden gestionar todos los
aspectos de la operación y configuración de impresoras en el dominio.
- Operadores de servidores: Sus miembros pueden realizar la mayoría
de las tareas administrativas en los controladores de dominio, excepto la
manipulación de las opciones de seguridad.
- Usuarios: Sus miembros pueden iniciar sesión en el equipo, acceder
a la red, almacenar documentos y apagar el equipo. Los miembros no pueden
instalar programas o hacer cambios en el sistema. El grupo Usuarios del
dominio es miembro de este grupo de forma predeterminada.
En Windows NT todos los usuarios del dominio son miembros del grupo
Todos. Este grupo esta controlado por el sistema operativo y aparece en
cualquier red con servidores Windows NT. En Windows 2000, el grupo equivalente
se llama Usuarios autentificados. A diferencia de Todos, Usuarios
autentificados no contiene usuarios o invitados anónimos. El grupo Todos
sobrevive como una identidad especial. No se puede ver cuando se administran
los grupos y no se puede situar en un grupo. Cuando un usuario inicia sesión
en la red es añadido automáticamente a Todos. No se puede ver o cambiar la
pertenencia de las identidades especiales, que también incluyen el grupo Red y
el Grupo interactivo.
Grupos globales predefinidos
Los grupos globales predefinidos se crean para englobar tipos de cuentas
comunes. De forma predeterminada, estos grupos no tiene derechos heredados; un
administrador debe asignar todos los derechos del grupo. Sin embargo, algunos
miembros se añaden automáticamente a estos grupos, y se pueden añadir como
miembros basándose en los derechos y permisos asignados a los grupos. Los
derechos se pueden asignar directamente a los grupos o añadiendo los grupos
globales predefinidos a grupos locales de dominio.
Grupos globales predefinidos usados más frecuentemente
- Administración de empresas: Este grupo es para usuarios que tengan
derechos administrativos en toda la red. Administración de empresas es
automáticamente un miembro del grupo local de dominio Administradores en el
dominio en el que se creo. Será necesario añadirlo al grupo local de dominio
Administradores de otros dominios.
- Admins. del dominio: Este grupo es automáticamente un miembro del
grupo local de dominio Administradores, por lo que los miembros de Admins. del
dominio pueden realizar tareas administrativas en cualquier equipo del
dominio. La cuenta Administrador es un miembro de este grupo de forma
predeterminada.
- Controladores del dominio: Todos los controladores de dominio del
dominio con miembros.
- Equipos del dominio: Son miembros todos los controladores y
estaciones de trabajo del dominio.
- Invitados del dominio: La cuenta Invitado es un miembro de forma
predeterminada. Este grupo es automáticamente un miembro del grupo local de
dominio Invitados.
- Propietarios del creador de directivas de grupo: Sus miembros
pueden crear y modificar la directiva de grupo del dominio.
- Usuarios del dominio: Todos los usuarios del dominio y la cuenta
Administrador son miembros. El grupo Usuarios del dominio es automáticamente
un miembro del grupo local de dominio usuarios.
Si se tienen usuarios que deberían tener menos derechos y/o permisos que
los de un usuario típico, hay que añadir esos usuarios a Invitados de dominio
y eliminarlos de Usuarios del dominio.
Derechos de usuario
Derechos son aquellas acciones que los usuarios pueden o no realizar. Los
derechos se aplican generalmente al sistema entero. La capacidad de hacer copia
de seguridad de archivos o de iniciar sesión en un servidor, por ejemplo, es un
derecho que el administrador concede o retira. Los derechos se pueden asignar de
forma individual, pero la mayoría de las veces son característicos de los
grupos, y un usuario se asigna a un grupo particular en base a los derechos que
necesita.
Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos
específicos como archivos, directorios a impresoras.
Los derechos, a su vez, están divididos en dos tipos: privilegios y derechos
de inicio de sesión. Los privilegios incluyen cosas como la capacidad de
ejecutar auditorias de seguridad o forzar el apagado desde un sistema remoto;
obviamente cosas que no hacen la mayoría de los usuarios. Los derechos de inicio
de sesión implican la capacidad de conectarse a un equipo de forma especifica.
Los derechos se asignan automáticamente a usuarios individuales además de a
grupos. Es preferible la asignación a grupos, por lo que, en la medida de lo
posible, se deberían asignar los derechos por pertenencia a un grupo para
simplificar la administración. Cuando la pertenencia de los grupos define
derechos, se pueden eliminar los derechos de un usuario eliminando simplemente
al usuario del grupo.
|
Derechos de inicio de sesión
asignados de forma predeterminada a los grupos |
| Nombre |
Descripción |
Grupos con el derecho asignado de forma
predeterminada |
| Iniciar sesión como servicio |
Permite iniciar sesión como un servicio utilizando una
cuenta de usuario y un contexto de seguridad específicos. |
Ninguno |
| Iniciar sesión como trabajo de procesamiento por
lotes |
Permite iniciar sesión utilizando una cola de procesamiento por
lotes. |
Administradores |
| Iniciar sesión local |
Permite iniciar sesión desde el teclado del equipo. |
Administradores, Operadores de copia; Operadores de
cuentas, Operadores de impresión, Operadores de servidores |
| Tener acceso a este equipo desde la red |
Permite la conexión al equipo a través de la red. |
Administradores, Todos, Usuarios
avanzados. |
| Privilegios asignados de forma predeterminada a los
grupos |
| Privilegio |
Descripción |
Grupos con el privilegio asignado de forma
predeterminada |
| Actuar como parte del sistema operativo |
Permite a un proceso autenticarse como cualquier usuario.
Un proceso que requiere este privilegio debería utilizar la cuenta
LocalSystem, que ya incluye este privilegio. |
Ninguno |
| Administrar registros de auditoria y de seguridad |
Permite a un usuario especificar opciones de auditoria y
ver y borrar el registro de seguridad del Visor de sucesos. Se debe
activar Auditar el acceso del servicio de directorio para que se pueda
realizar la auditoria de acceso a objetos. Los administradores siempre
pueden ver y borrar el registro de seguridad. |
Administradores |
| Agregar estaciones de trabajo a un dominio |
Permite a un usuario añadir nuevas estaciones de trabajo a
un dominio existente. |
Administradores |
| Apagar el sistema |
Apaga Windows 2000. |
Administradores, Operadores de copia, Todos, Usuarios,
Usuarios avanzados |
| Aumentar la prioridad de programación |
Permite el uso del Administrador de tareas de programación para cambiar
la prioridad de un proceso. |
Administradores, Usuarios avanzados |
| Aumentar las cuotas |
Permite a un proceso con permiso de escritura acceder a
otro proceso para aumentar la cuota de procesador asignada a ese
proceso. |
Ninguno |
| Bloquear paginas en la memoria |
Permite a un proceso mantener información en la memoria
física. Este es un privilegio obsoleto que puede tener un serio efecto
negativo en el rendimiento del sistema. No se debe utilizar. |
Ninguno |
| Cambiar la hora del sistema |
Permite establecer la hora del reloj interno del equipo. |
Administradores, Usuarios avanzados. |
| Cargar y descargar controladores de dispositivo |
Instalar y desinstalar controladores de dispositivo. |
Administradores |
| Crear objetos compartidos permanentes |
Permite a un proceso crear un objeto de directorio. Lo
utilizan componentes de modo de núcleo para ampliar el espacio de nombres
de objetos de Windows 2000. Los componentes que se ejecutan en modo de
núcleo ya tienen este privilegio. |
Ninguno |
| Crear un archivo de paginación |
Permite la creación y modificación de un archivo de
paginación |
Administradores |
| Crear un objeto identificador (token) |
Permite a un proceso crear un identificador (token) que se
puede utilizar para acceder a cualquier recurso local. Un proceso que
requiere este privilegio debería utilizar la cuenta LocalSystem, que ya
incluye este privilegio. |
Ninguno |
| Depurar programas |
Permite al usuario asignar un depurador a un proceso. |
Administradores |
| Desacoplar un equipo portátil |
Permite desacoplar un portátil de una estación de
acoplamiento utilizando la interfaz de Windows 2000. |
Administradores, Usuarios |
| Forzar el apagado desde un sistema remoto |
Permite apagar un equipo desde una ubicación remota de la
red. |
Administradores |
| Generar auditorias de seguridad |
Permite a un proceso crear entradas en el registro de
seguridad. |
Ninguno |
| Habilitar la opción de confianza para la delegación en las
cuentas de usuario y de equipo |
Permite a un usuario establecer la configuración Confianza
para la delegación en un objeto. |
Administradores |
| Modificar valores del entorno del firmware |
Permite la configuración de la RAM no volátil en equipos
que soportan tal función. |
Administradores |
| Omitir la comprobación de recorrido |
Permite a un usuario recorrer los árboles del directorio
(estructuras de carpetas) incluso si el usuario no tiene permiso para
acceder a los directorios por los que pasa. |
Todos |
| Perfilar el rendimiento del sistema |
Permite observar el rendimiento del sistema. |
Administradores |
| Perfilar un único proceso |
Permite observar el rendimiento de un proceso. |
Administradores, Usuarios avanzados |
| Realizar copias de seguridad de archivos y directorios |
Permite hacer copias de seguridad del sistema, ignorando
los permisos específicos de archivos y carpetas. |
Administradores, Operadores de copia |
| Reemplazar un identificador (Token) de nivel de proceso |
Permite reemplazar el identificador (Token) predeterminado
asociado con un subproceso. |
Ninguno |
| Restaurar archivos y directorios |
Permite restaurar archivos y carpetas en un sistema;
invalida los permisos específicos de archivos y carpetas. |
Administradores, Operadores de copia |
| Sincronizar información del servicio de directorio |
Permite a un usuario iniciar una sincronización del Active
Directory. |
Administradores |
| Tomar posesión de archivos y otros objetos |
Permite a un usuario tomar posesión de cualquier objeto de
seguridad incluyendo archivos y carpetas, impresoras, claves de registro y
procesos. Invalida los permisos específicos. |
Administradores |