Kit de recursos para las Extensiones de servidor de Microsoft FrontPage 2000

Seguridad en Windows NT

En Microsoft® Windows NT®, un administrador o un programa pueden conceder a los usuarios y grupos varios niveles de acceso a los recursos del sistema. Los usuarios con cuentas en Windows NT deberán presentar sus credenciales de identificación (nombre de usuario y contraseña) antes de poder tener acceso a un recurso de Windows NT. Las cuentas de grupo también se encuentran disponibles en Windows NT. Éstas no tienen contraseñas, pero son una manera útil de conceder privilegios a varias cuentas de usuario a la vez.

Windows NT ejecuta aplicaciones especiales denominadas servicios. Los servicios son programas que se inician junto con el sistema operativo y se ejecutan en un segundo plano, sin ninguna interfaz de usuario. (El servidor Web IIS es un servicio.) Los servicios, junto con todas las aplicaciones que se ejecutan en Windows NT, deben ejecutarse en el contexto de una cuenta de usuario, representada por un testigo.

Testigos e identificadores de seguridad

Un testigo identifica a un usuario y a los grupos de Windows NT a los que pertenezca dicho usuario. También contiene el identificador de seguridad del usuario (SID) y los SID de todos los grupos a los que pertenece el usuario. Un SID solamente identifica a cada usuario y grupo de Windows NT. Los programas de Windows NT se ejecutan en el contexto de un testigo. Cuando un programa inicia otro programa, pasa su testigo al nuevo programa.

Listas de control de acceso

Una lista de control de acceso (ACL) es una lista de entradas asociadas a un archivo o carpeta que especifica qué usuarios y grupos tienen acceso a esa carpeta o archivo. Cada entrada de una ACL asigna a un usuario o grupo uno o varios de los siguientes niveles de acceso a archivos:

• Ninguno no permite al usuario tener acceso a ningún archivo.
• Lectura (Lectura de datos en Windows 2000) permite que un usuario vea los datos de un archivo.
• Escritura (Escritura de datos en Windows 2000) permite al usuario modificar los datos de un archivo.
• Ejecución (Ejecución de archivo en Windows 2000) permite que un usuario ejecute el archivo de un programa.
• Eliminación permite a un usuario eliminar un archivo.
• Cambio de permisos permite a un usuario cambiar los permisos de un archivo.
• Toma de posesión permite a un usuario tomar posesión de un archivo.

Se establece un conjunto de privilegios similares en las carpetas:

• Ninguno no permite al usuario tener acceso a las carpetas.
• Lectura (Enumerar carpetas en Windows 2000) permite a un usuario ver nombres de archivo y de subcarpetas.
• Escritura (Crear archivos en Windows 2000) permite al usuario agregar archivos y subcarpetas.
• Ejecución (Cambiar nivel de carpeta en Windows 2000) permite al usuario cambiar a subcarpetas.
• Eliminación (Eliminar subcarpetas y archivos en Windows 2000) permite a un usuario eliminar una subcarpeta.
• Cambio de permisos permite a un usuario cambiar permisos en una carpeta.
• Toma de posesión permite a los usuarios tomar posesión de una carpeta.

Representación del usuario

Cuando se ejecuta una aplicación, ésta "representa" al usuario que se haya autenticado para utilizar la aplicación. A continuación, cuando la aplicación intente llamar a otra aplicación o utilice un recurso del sistema como el sistema de archivos, el acceso a la nueva aplicación o a recursos del sistema se obtiene o no en función de los permisos del usuario representado. Al hacer que las aplicaciones se ejecuten como usuario, Windows NT garantiza que dichas aplicaciones únicamente tendrán acceso a los recursos del sistema a los que pueda tener acceso el usuario que está ejecutando esas aplicaciones. Además, la representación reduce el número de veces que es necesario que el usuario escriba una contraseña, ya que puede invocarse una gran variedad de aplicaciones y servicios del sistema una vez haya autenticado el usuario.

La representación también funciona de forma remota. Si un usuario dispone de los privilegios adecuados en un equipo remoto, una aplicación que se encuentra en dicho equipo representará al usuario que la haya llamado de manera remota. Por ejemplo, cuando un usuario con privilegios de edición sobre un servidor remoto de Windows NT intente crear contenido en un servidor, la DLL de edición de FrontPage se ejecutará como el usuario representado, lo que garantizará que el usuario únicamente tendrá acceso a archivos que se encuentren disponibles para esa cuenta de usuario.