Derechos de usuario vs permisos
Los administradores pueden asignar derechos de usuario específicos a grupos y/o usuarios. Estos derechos autorizan a los usuarios a llevar a cabo acciones específicas, como iniciar sesión interactiva en un sistema o realizar copias de seguridad de archivos y directorios. Los derechos de usuario son distintos a los permisos, ya que los primeros se asocian a usuarios mientras que los segundos lo hacen a los objetos.
Los derechos de usuario determinan qué usuarios pueden llevar a cabo tareas específicas en un equipo o en un dominio. Aunque podemos asignar los derechos a cuentas individuales estos serán más fáciles de administrar si se asignan a grupos. Un usuario inicia sesión como miembro de un grupo y automáticamente hereda los derechos asignados a ese grupo. La asignación a grupos más que a usuarios individuales simplificará la tarea de administración de usuarios. Cuando los usuarios de un grupo requieren los mismos derechos de usuario, podemos establecerlos para el grupo de una vez sin necesidad de hacerlo repetidamente usuario a usuario.
Los derechos de usuario asignados a un grupo se aplican a todos sus miembros. Si un usuario es miembro de varios grupos los derechos son acumulativos, lo que significa que el usuario tiene establecidos más de un paquete de derechos de usuario. El único caso en que los derechos asignados a un grupo pueden causar conflicto con los establecidos para otro grupo es el caso de ciertos derechos de inicio de sesión. En general, los derechos asignados a un grupo no entrarán en conflicto con los asignados a otro. Para quitar derechos a un usuario, el administrador sólo tiene que quitar al usuario del grupo. El usuario no dispondrá ya de los derechos de ese grupo.
Los derechos se aplican al sistema completo más que a un recurso específico, y afecta al conjunto de operaciones del equipo o dominio. Todos los usuarios que acceden a los recursos de red deben disponer de ciertos derechos comunes en los equipos que utilizan, como el derecho de iniciar sesión o de cambiar la hora. Los administradores cuidarán de asignar estos permisos a los grupos y/o usuarios individuales que lo requieran. Windows Server 2003 asigna ciertos derechos a los grupos built-in de manera predeterminada.
Los permisos definen el tipo de acceso concedido a un usuario o grupo para un objeto o propiedad de objeto. Como el permiso de leer y escribir al grupo administración para el archivo nomina.dat.
Podemos conceder permisos sobre cualquier objeto, como archivos, objetos de AD u objetos de registro. Y concederselos a cualquier usuario, grupo o equipo. Una buena metodología es conceder permisos a los grupos.
Los permisos para objetos se conceden:
- Grupos, usuarios, y identidades especiales en el dominio.
- Grupos y usuarios en el dominio y cualesquiera dominios de confianza.
- Grupos y usuarios locales en el equipo donde residen los objetos.
Cuando proporcionamos acceso a los recursos en un equipo con Windows Server 2003, podemos controlar quien tiene acceso y la naturaleza de dicho acceso mediante la concesión de los permisos apropiados. Estos permisos definen el tipo de acceso para un grupo o usuario a cualquier recurso.
Para la concesión de permisos de archivos y carpetas individuales, Windows Server 2003 utiliza el sistema de archivos NTFS. Al mismo tiempo también podemos controlar los permisos para acceder a los recursos compartidos e impresoras en la red.