Compartir a través de

Cómo se usan los grupos de seguridad en Access Control

  • Artículo

El identificador de seguridad (SID) es el identificador de objeto del usuario o grupo de seguridad cuando se usa el usuario o grupo con fines de seguridad. El nombre del usuario o grupo no se usa como identificador único dentro del sistema. El SID se almacena en el atributo objectSid de objetos de usuario y objetos de grupo de seguridad. El servidor de Active Directory genera el objectSid cuando se crea el usuario o grupo. El sistema garantiza que los SID son únicos en un bosque. Tenga en cuenta que objectGuid es el identificador único de un usuario, grupo o cualquier otro objeto de directorio. El SID cambia si un usuario o grupo se mueve a otro dominio; objectGuid sigue siendo el mismo.

Cuando se concede permiso a un usuario o grupo para acceder a un recurso, como una impresora o un recurso compartido de archivos, el SID del usuario o grupo se agrega a la entrada de control de acceso (ACE) que define el permiso concedido en la lista de control de acceso discrecional (DACL) del recurso. En Servicios de dominio de Active Directory, cada objeto tiene un atributo nTSecurityDescriptor que almacena una DACL que define el acceso a ese objeto o atributos concretos en ese objeto. Para obtener más información sobre cómo establecer el control de acceso en objetos en Servicios de dominio de Active Directory, vea Controlar el acceso a objetos en Servicios de dominio de Active Directory.

Cuando un usuario inicia sesión en un dominio de Windows 2000, el sistema operativo genera un token de acceso. Este token de acceso se usa para determinar a qué recursos puede acceder el usuario. El token de acceso de usuario incluye los siguientes datos:

  • SID de usuario.
  • SID de todos los grupos de seguridad globales y universales de los que el usuario es miembro.
  • SID de todos los grupos de seguridad globales y universales anidados.

Cada proceso ejecutado en nombre de este usuario tiene una copia de este token de acceso.

Cuando el usuario intenta acceder a los recursos de un equipo, el servicio a través del cual el usuario accede al recurso suplantará al usuario mediante la creación de un nuevo token de acceso basado en el token de acceso creado en el momento de inicio de sesión del usuario. Este nuevo token de acceso también contendrá los siguientes SID:

  • SID para todos los grupos locales de dominio del dominio de destino de los que es miembro el usuario.
  • SID para todos los grupos locales de la máquina en el equipo de destino del que es miembro el usuario.

El servicio usa este nuevo token de acceso para evaluar el acceso al recurso. Si un SID en el token de acceso aparece en las ACA de la DACL, el servicio proporciona al usuario los permisos especificados en esos ACA.