Diferència entre revisions de la pàgina «Active Directory»
| Línia 43: | Línia 43: | ||
== Carpetes == | == Carpetes == | ||
AD utilitza el protocol privatiu '''SMB/CIFS''' inicialment establert per IBM però desenvolupat a fons per Microsoft. La versió Linux ha pres el nom de [[Samba]] i ha estat una [[enginyeria inversa]] del protocol privatiu. | AD utilitza el protocol privatiu '''SMB/CIFS''' inicialment establert per IBM però desenvolupat a fons per Microsoft. La versió Linux ha pres el nom de [[Samba]] i ha estat una [[enginyeria inversa]] del protocol privatiu. | ||
| + | |||
Permisos de carpetes: | Permisos de carpetes: | ||
| Línia 50: | Línia 51: | ||
<table cellpadding="10"> | <table cellpadding="10"> | ||
| + | <tr> | ||
| + | <td colspan="2" style="background-color:#0F6FC6;color:white;">Permisos NTFS</td> | ||
| + | </tr> | ||
<tr> | <tr> | ||
<td style="background-color:#0F6FC6;color:white;">Permís per arxiu</td> | <td style="background-color:#0F6FC6;color:white;">Permís per arxiu</td> | ||
| Línia 59: | Línia 63: | ||
</tr> | </tr> | ||
<tr> | <tr> | ||
| − | <td>Lectura i execució<br>Canvi<br></td> | + | <td>Lectura i execució<br>Canvi<br> </td> |
<td>Lectura i execució<br>Canvi<br>Veure continguts</td> | <td>Lectura i execució<br>Canvi<br>Veure continguts</td> | ||
</tr> | </tr> | ||
| Línia 67: | Línia 71: | ||
</tr> | </tr> | ||
</table> | </table> | ||
| + | |||
| + | '''La denegació té prioritat sobre els permisos d'accés.''' | ||
| + | |||
| + | Hi ha uns permisos especials NTFS que permeten un control més granulat. Per exemple, el permís de lectura inclou llistar carpeta, llegir dades, llegir atributs, llegir atributs extensos, llegir permisos, etc. | ||
| + | |||
| + | L''''herència''' permet administrar accés a recursos de forma implícita. Per defecte el fill hereta del pare. L'herència es pot bloquejar i així donar nous permisos als fills. | ||
Revisió del 19:47, 29 nov 2015
Active Directory (AD) és un sistema d'administració integrada dels recursos d'informació i serveis d'una xarxa Microsoft.
AD DS és Active Directory Domain Services
Objectes AD
AD utilitza el standard de directori LDAP per gestionar la informació de:
- Usuaris
- Màquines
- PCs
- Impressores
- Grups
- UO : Unitats Organitzatives
GUIDs vs GIDs
Quan es crea un objecte AD DS:
- GUID: Global Unique IDentifier. Identificador global mundial únic.
- SID: Security IDentifier. Identificador dintre d'un organització. Un objecte pot canviar de SID en cas que es canvii d'ubicació organitzativa (per exemple, un perfil d'usuari que canvia de departament).
- SIDs coneguts (Everyone, Creator, etc.)
Control d'accés
Es distingeixen 2 parts en el procés:
- Autenticació: demostració que l'usuari és qui diu ser.
- Autorització: un cop autenticat, permís d'accés o denegació dels recursos.
Conceptes:
- Security Principal: entitat AD DS que pot ser autenticada (usuaris, grups, equips). Al generar l'objecte se'ls crea un SID.
- Token d'accés: identificador temporal a mode de certificat utilitzat per concedir accés a recursos.
- Permisos: regles per permetre o denegar l'accés a objectes.
- ACL: Access Control List
- DACL: Discretionary ACL
- SACL: System ACL. Utilitzades per enregistrar accessos a un recurs (auditoria).
- ACE: Acces Control Entry. Cadascun dels elements d'una ACL.
- ACL: Access Control List
Carpetes
AD utilitza el protocol privatiu SMB/CIFS inicialment establert per IBM però desenvolupat a fons per Microsoft. La versió Linux ha pres el nom de Samba i ha estat una enginyeria inversa del protocol privatiu.
Permisos de carpetes:
- Lectura: llegir, executar
- Canvi: llegir, generar arxiu/carpeta, modificar arxiu/carpeta, esborrar
- Control total: canvi, canviar permisos NTFS en arxius i carpetes
| Permisos NTFS | |
| Permís per arxiu | Permís per carpeta |
| Lectura Escriptura |
Lectura Escriptura |
| Lectura i execució Canvi |
Lectura i execució Canvi Veure continguts |
| Control total | Control total |
La denegació té prioritat sobre els permisos d'accés.
Hi ha uns permisos especials NTFS que permeten un control més granulat. Per exemple, el permís de lectura inclou llistar carpeta, llegir dades, llegir atributs, llegir atributs extensos, llegir permisos, etc.
L'herència permet administrar accés a recursos de forma implícita. Per defecte el fill hereta del pare. L'herència es pot bloquejar i així donar nous permisos als fills.
