El
administrador hace que cada usuario sea un miembro, y le proporcione derechos
específicos en ciertos directorios. Estos derechos por lo general se
extienden a todos los directorios, a menos que el administrador limite
específicamente el acceso al usuario. A los usuarios se les puede
conceder una combinación de estos derechos en un directorio. Esto permite una
seguridad en el acceso a archivos y directorios, ya que si el usuario no desea
compartir cierta información, lo comunica al administrador y este a su vez
restringe el acceso a la información a los demás usuarios.
El
administrador de la red le asigna a cada usuario un grupo, y luego puede
asignarle derechos encomendados directamente a todo el grupo, ahorrándose
el hacerlo usuario por usuario. Estos derechos también pueden asignarse a
grupos de usuarios en forma indirecta, a través de equivalencias. Un usuario o
grupos de usuario pueden tener hasta 32 equivalencias de seguridad.
Los permisos en tanto para directorios como para archivos se pueden asignar a las
siguientes entidades:
Grupos locales,
grupos globales y usuarios individuales
Grupos globales
y usuarios individuales de dominios en los que se confía.
Grupos
especiales.
Los permisos de recurso compartido se aplican a los usuarios que se conectan a una carpeta compartida a través de la red. Estos permisos no afectan a los usuarios que inician sesión localmente o mediante Escritorio remoto.
Estas son algunas recomendaciones para la
asignación de derechos o atributos a usuarios o grupos de una red LAN:
·
Para los archivos y carpetas:
1.-Recorrer carpetas: Si queremos que el usuario/grupo pueda pasar de una carpeta a otra para llegar
a otra carpeta o archivo.
2.-Ejecutar programas: Si queremos que
pueda(n) ejecutar programas
3.-Listar carpetas: Si queremos o no
mostrar los nombres de los archivos y carpetas.
4.-Leer datos: Si deseamos que se puedan
ver los datos (archivos).
5.-Atributos de los archivos: permite o
impide que el usuario vea los atributos de un archivo o de una carpeta, como
sólo lectura y oculto. Los atributos están definidos por el sistema de archivos
NTFS.
6.-Atributos de lectura extendida: permite
o impide que el usuario vea los atributos extendidos de un archivo o de una
carpeta. Los atributos extendidos están definidos por los programas y pueden
variar de uno a otro.
7.-Crear archivos: permite o impide al
usuario crear archivos en la carpeta (se aplica sólo a carpetas).
8.-Escribir datos: permite o impide que el
usuario haga cambios en el archivo y sobrescriba contenido existente (se aplica
sólo a archivos).
9.-Crear carpetas: permite o impide al
usuario crear carpetas en la carpeta (se aplica sólo a carpetas).
10.-Anexar datos: permite o impide que el
usuario haga cambios en el final del archivo pero que no cambie, elimine ni
sobrescriba datos existentes (se aplica sólo a archivos).
11.-Atributos de escritura: permite o
impide que el usuario cambie los atributos de un archivo o de una carpeta, como
sólo lectura y oculto. Los atributos están definidos por el sistema de archivos
NTFS.
12.-Atributos extendidos de escritura:
permite o impide que el usuario cambie los atributos extendidos de un archivo o
de una carpeta. Los atributos extendidos están definidos por los programas y
pueden variar de uno a otro.
13.-Eliminar subcarpetas y archivos:
permite o impide que el usuario elimine subcarpetas y archivos, incluso aunque
no se haya concedido el permiso Eliminar para la subcarpeta o el archivo. Este
permiso se aplica sólo a las carpetas.
14.-Eliminar: permite o impide que el
usuario elimine el archivo o la carpeta. Si no tiene el permiso Eliminar para
un archivo o una carpeta, puede eliminarlo si se le han concedido los permisos
Eliminar subcarpetas y archivos en la carpeta principal.
15.-Leer permisos: si deseamos que el
usuario lea permisos del archivo o de la carpeta, como: Leer, escribir o ambos.
16.-Cambiar permisos: permite o impide que
el usuario cambie permisos del archivo o de la carpeta, como: Leer, escribir o
ambos.
17.-Tomar posesión: permite o impide que
el usuario cambie permisos del archivo o de la carpeta, como Control total,
Leer y Escribir.
Por otro lado también existen otras consideraciones
pertinentes de acuerdo a las necesidades y límites establecidos para cada grupo
o usuario como por ejemplo:
·
Si queremos que se pueda conectar a internet.
·
Si queremos que pueda usar símbolo del sistema.
·
Si queremos que pueda hacer cambios en los
programas o desinstalarlos.
·
Si deseamos que pueda acceder al administrador de
dispositivos o el control parental.
·
El tiempo de conexión.
·
Que actividades podrá hacer cuando esté conectado.
·
Si podrá hacer uso del escritorio remoto.
·
Cambiar la configuración del firewall o antivirus
propio.
·
Si podrá modificar las entradas del registro.
·
Si podrá actualizar el software.
·
Si deseamos que pueda cambiar la apariencia.
·
Que archivos o documentos podrá copiar, pegar y
cortar.
·
Si podrá acceder a los medios extraíbles.
·
Si podrá
instalar nuevo hardware.
·
Si hará uso de la herramienta Copias de Seguridad.
·
Si tendrá privilegios para modificar la hora.
·
Si queremos que pueda recuperar archivos.
·
Si podrá vaciar la papelera de reciclaje.
·
El uso de impresoras y ciertos periféricos.
A manera de conclusión, los parámetros predefinidos para el control del usuario sirven como filtros de acciones para el acceso y uso de los servicios y recursos de la red. Los directorios de acceso publico también pueden ser controlados por el administrador, el cual delimita los cambios que se pueden hacer a determinados archivos o carpetas. Como punto final cabe mencionar que los cambios aplicados para un grupo también afectan a los usuarios incluidos dentro del mismo grupo. Como punto y aparte se recomienda monitorear las redes, ya que al aplicar cambios específicos en la manera de interactuar con los recursos podemos dejar pequeñas brechas que pueden ser usadas indebidamente, esto claro, visto desde la perspectiva de seguridad de redes.