Derechos de los usuarios sobre los recursos de la red

§  Tener acceso a este equipo desde la red: El derecho Tener acceso a este equipo desde la red permite a un usuario conectarse al equipo desde la red. Este derecho es necesario para una serie de protocolos de red, entre los que se encuentran protocolos basados en bloques de mensajes de servidor (SMB), el servicio básico de entrada y salida de red (NetBIOS), el sistema de archivos común de Internet (CIFS) y el modelo de objetos componentes.

§  Actuar como parte del sistema operativo: El derecho de usuario Actuar como parte del sistema operativo permite que un proceso asuma la identidad de un usuario para obtener acceso a los recursos a los que dicho usuario tiene autorización de acceso. Generalmente, sólo los servicios de autenticación de bajo nivel requieren este privilegio. Observe que el acceso potencial no se limita a los elementos asociados de forma predeterminada al usuario, ya que el proceso que realiza la llamada puede requerir que se agreguen otros privilegios arbitrarios al token de acceso. Puede que el proceso que realiza la llamada cree un token de acceso que no ofrezca una identidad primaria para los sucesos de seguimiento del registro de auditoría.

§  Agregar estaciones de trabajo al dominio: El derecho de usuario permite al usuario agregar equipos a un dominio específico. Para que este privilegio tenga efecto, se debe asignar al usuario como parte de la directiva predeterminada de controladores del dominio específico. Un usuario que disfrute de este privilegio puede agregar hasta 10 estaciones de trabajo.

§  Ajustar las cuotas de memoria para un proceso: Permite a un usuario ajustar la memoria máxima disponible para un proceso. Este privilegio resulta útil para el ajuste del sistema, si bien se puede llegar a abusar de él.

§  Permitir el inicio de sesión local: El derecho de usuario permite al usuario iniciar una sesión interactiva en el equipo. Los usuarios que no disfruten de este derecho aún pueden iniciar una sesión interactiva remota en el equipo sí disponen del derecho Permitir inicio de sesión a través de Servicios de Terminal Server.

§  Permitir inicio de sesión a través de Servicios de Terminal Server: El derecho de usuario Permitir inicio de sesión a través de Servicios de Terminal Server permite que el usuario inicie una sesión en el equipo mediante una conexión a Escritorio remoto. 

§  Realizar copias de seguridad de archivos y directorios: El derecho Realizar copias de seguridad de archivos y directorios permite a los usuarios eludir los permisos de archivo y directorio para hacer una copia de seguridad del sistema.

§  Omitir la comprobación de recorrido: El privilegio de usuario Omitir la comprobación de recorrido permite al usuario pasar por alto las carpetas sin comprobar el permiso de acceso especial "Recorrer la carpeta", mientras se desplaza a una ruta de acceso de un objeto en el sistema de archivos NTGS o en el Registro. Este privilegio no permite al usuario mostrar el contenido de una carpeta, sólo recorrer sus directorios.

§  Cambiar la hora del sistema: El privilegio Cambiar la hora del sistema permite al usuario ajustar la hora del reloj interno del equipo. Este privilegio no es necesario para cambiar la zona horaria ni otras características de la hora del sistema.

§  Crear un archivo de paginación: El privilegio de usuario Crear un archivo de paginación permite al usuario crear un archivo de paginación y cambiar su tamaño. Para ello, es preciso especificar el tamaño de archivo de paginación para una unidad concreta en el cuadro Opciones de rendimiento situado en la ficha Avanzadas del cuadro de diálogo Propiedades del sistema.

§  Crear un objeto Token: El derecho Crear un objeto Token permite a un proceso crear un token, que podrá utilizarse para conseguir acceso a cualquier recurso local cuando el proceso utilice NtCreateToken() u otra API de creación de token.

§  Crear objetos globales: El derecho de usuario Crear objetos globales se necesita para que una cuenta de usuario pueda crear objetos globales que estén disponibles para todas las sesiones. Los usuarios pueden seguir creando objetos específicos para su propia sesión sin que tengan asignado este derecho de usuario.

§  Crear objetos compartidos permanentes: El derecho de usuario Crear objetos compartidos permanentes permite al usuario crear un objeto de directorio en el administrador de objetos. Esto significa que el usuario con este privilegio puede crear carpetas, impresoras y otros objetos compartidos. Este privilegio resulta útil para componentes de modo de núcleo que amplían el espacio de nombres de objetos y es intrínseco a los componentes que se ejecutan en este modo. 

§  Depurar programas: El derecho de usuario Depurar programas permite al usuario adjuntar un depurador a cualquier proceso. Este privilegio proporciona acceso a componentes críticos y confidenciales del sistema operativo.

§  Denegar el acceso desde la red a este equipo: El derecho de inicio de sesión Denegar el acceso desde la red a este equipo prohíbe al usuario conectarse al equipo desde la red.

§  Denegar el inicio de sesión como trabajo por lotes: El derecho de usuario Denegar el inicio de sesión como trabajo por lotes prohíbe a un usuario iniciar sesión mediante un servicio de cola por lotes. La cola por lotes es una característica de Windows Server 2003 que se usa para programar tareas con el fin de que se inicien una o más veces en el futuro.

§  Denegar el inicio de sesión como servicio: El derecho de inicio de sesión Denegar el inicio de sesión como servicio prohíbe a un usuario que inicie sesión como servicio.

§  Denegar el inicio de sesión localmente: El derecho de inicio de sesión Denegar el inicio de sesión localmente prohíbe al usuario iniciar sesión directamente desde el teclado del equipo.

§  Denegar inicio de sesión a través de Servicios de Terminal Server: El derecho de inicio de sesión Denegar inicio de sesión a través de Servicios de Terminal Server prohíbe al usuario iniciar sesión en el equipo mediante una conexión a Escritorio remoto.

§  Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo: El privilegio Habilitar la opción De confianza para la delegación en las cuentas de usuario y de equipo permite que el usuario cambie el valor De confianza para la delegación en un usuario u objeto del equipo en Active Directory. El usuario o equipo con este privilegio también debe disponer de acceso de escritura a los indicadores de control de cuenta en el objeto.

§  Forzar el apagado de un sistema remoto: El privilegio de usuario Forzar el apagado de un sistema remoto permite al usuario apagar un equipo desde una ubicación remota en la red.

§  Generar auditorías de seguridad: El privilegio de usuario Generar auditorías de seguridad permite que un proceso genere registros de auditoría en el registro de seguridad. El registro de seguridad se utiliza para rastrear instancias de acceso no autorizado al sistema.

§  Suplantar a un cliente después de la autenticación: Al asignar el privilegio Suplantar a un cliente después de la autenticación a un usuario, los programas que se ejecutan por parte de ese usuario pueden suplantar a un cliente. Si se requiere este derecho de usuario para este tipo de suplantación, se evita que un usuario no autorizado convenza a un cliente para que se conecte a un servicio creado por éste.

§  Aumentar la prioridad de programación: El privilegio Aumentar la prioridad de programación permite aumentar la clase de prioridad base de un proceso. El aumento en la prioridad relativa dentro de una clase de prioridad no es una operación de privilegio. Las herramientas administrativas incluidas en el sistema operativo no necesitan de este privilegio, pero podría requerirse por parte de las herramientas de desarrollo de software.

Establece los atributos de los recursos de la red

Atributo: es una especificación que define una propiedad de un Objeto, elemento o archivo. También puede referirse o establecer el valor específico para una instancia determinada de los mismos. Se considera como si fuera una propiedad.

Permisos estándar de directorios

La administración de seguridad se usa para asignar derechos a directorios y grupos que les permitan trabajar dentro de los directorios y archivos o bien que les permitan administrar objetos y propiedades.

Cuando se establecen permisos sobre un directorio estamos definiendo el acceso de los usuarios y grupos a dicho directorio y estos permisos solo puede cambiarlos el propietario o el usuario que tenga permiso del usuario.

Los permisos estándar que se pueden conceder o denegar son:

•Permisos especiales: Podemos establecer permisos especiales para directorios como para archivos; Estos permisos solo puede cambiarlos y establecerlos el propio usuario o aquel usuario que tenga permiso del propietario.

Solo podemos establecer permisos para archivos que estén formateados con el sistema NTFS