Usuarios

Usuarios, administradores y grupos, ¡Oh, Dios!
Hola de nuevo. Ahora que aprendimos

a navegar por los sistemas operativos Windows y Linux,
comencemos a configurar nuestra computadora para que la usen otras personas.
Como especialista en soporte de TI,
serás responsable de las máquinas de otras personas.
La gente dependerá de ti para que los ayudes a configurar sus máquinas,
solucionar sus problemas, etc.
En esta lección, aprenderás a administrar varias cuentas en una máquina.
También aprenderás sobre los diferentes permisos y tipos de acceso,
cómo agregar y eliminar usuarios,
y recomendaciones al administrar múltiples usuarios.
Es común que una computadora tenga múltiples usuarios.
En la computadora de tu casa, tus padres,
tus hermanos o tus hijos podrían estar usando la misma computadora.
La biblioteca de tu pueblo, la escuela
y otros lugares públicos también pueden tener computadoras con múltiples usuarios.
A pesar de que estas máquinas tienen múltiples cuentas de usuario en ellas,
todos los usuarios en una computadora están aislados de los demás.
Esto significa que Kevin no puede ver los archivos y las carpetas de Víctor, y viceversa.
Hay dos tipos diferentes de usuarios,
los usuarios estándar y los administradores.
Un usuario estándar es aquel que tiene acceso a una máquina,
pero tiene acceso restringido para cosas como instalar software o modificar ciertas
configuraciones.
Un administrador o admin es un usuario que tiene control completo sobre una máquina.
Puede ver la cuenta de cualquier persona,
modificar y eliminar usuarios en la computadora,
y ver cada archivo individual.
También puede haber varios administradores en una máquina.
En tu máquina personal,
eres el administrador predeterminado
porque esto te da el control completo sobre tu sistema.
Después de todo, es tu máquina.
Pero en una computadora pública,
el administrador es quien realmente hace funcionar y mantiene la máquina,
como un especialista en soporte de TI.
Puede otorgar acceso a otros usuarios,
instalar software, modificar configuraciones restringidas del sistema
y realizar otras acciones que estime adecuadas.
Qué terrible sería si alguien que está usando
una computadora pública pudiera instalar software.
Las computadoras se volverían lentas,
las cosas estarían fuera de lugar,
y lo peor de todo, podrían estar infectadas con software malicioso.
Los usuarios se agrupan de acuerdo a los niveles de acceso
y permisos para realizar determinadas tareas.
Estas tareas dependen de lo que el administrador de la computadora considere apropiado.
Un administrador podría otorgar diferentes accesos
y configuraciones basadas en el tipo de grupo en el que se encuentra un usuario.
Supongamos que eres administrador de la computadora de tu hogar,
la que todos en la casa usan.
Pones a tus padres en un grupo llamado Padres,
y a tus hijos en un grupo llamado Niños.
No quieres que ninguno de ellos pueda instalar software,
pero también deseas agregar restricciones de seguridad para niños en su grupo.
Como administrador, puedes especificar
permisos diferentes para ambos grupos.
Entonces, ¿cómo diferencias qué tipo de usuario eres
y en qué grupos estás en Windows y Linux?
Con suerte, sabrías esto si fueras un administrador de una computadora.
Pero si no lo eres, las computadoras te lo cuentan.
En las próximas lecciones,
veremos cómo podemos visualizar la información de usuarios y grupos en Windows y Linux.
Windows: Ver información de usuarios y grupos
Para ver información de usuarios y grupos en Windows,

vamos a utilizar la herramienta Administración de equipos.
Si buscamos Computer management (Administración de equipos) en nuestra búsqueda de
aplicaciones y la abrimos.
veremos una ventana que nos brinda mucha información.
Play video starting at 29 seconds and follow transcript0:29
Usaremos muchísimo esta aplicación a lo largo de este curso,
así que tomémonos un tiempo para repasarla.
En la parte superior de la barra lateral,
verás que dice Computer management (local) (Administración del equipo [local]).
Esto significa que estamos administrando una sola máquina localmente.
En un entorno empresarial,
puedes administrar múltiples máquinas en algo llamado un dominio.
Un dominio de Windows es una red de computadoras,
usuarios, archivos, etc.,
que se agregan a una base de datos central.
Si eres un administrador de ese dominio,
puedes ver esas cuentas y computadoras desde cualquier máquina en el dominio.
Aprenderemos más acerca de los dominios y cómo administrarlos en nuestro próximo curso
sobre administración de sistemas y servicios de infraestructura de TI.
Debajo de este menú, está System Tools (Herramientas del sistema).
Vamos a hacer un resumen de cada uno de estos submenús.
Task Scheduler (Programador de tareas): te permite programar la ejecución de programas y
tareas en ciertos momentos,
como apagar automáticamente la computadora a las 11:00 p.m. todas las noches.
Play video starting at 1 minute 27 seconds and follow transcript1:27
Event Viewer (Visor de eventos): aquí es donde nuestro sistema almacena sus registros del
sistema.
Estudiaremos esta herramienta en profundidad en una próxima lección.
Shared folders (Carpetas compartidas): Esto muestra las carpetas.
que diferentes usuarios en la máquina comparten entre sí.
¿Recuerdas que dijimos que los demás usuarios no pueden ver los archivos de otra persona?
Eso no es exactamente cierto.
Si los usuarios almacenan archivos en una carpeta compartida,
cualquier persona que tenga acceso a esa carpeta puede verla.
Local Users and Groups (Usuarios y grupos locales): aquí es donde administraremos nuestros
usuarios y grupos.
Performance (Rendimiento): Esto muestra el monitoreo de los recursos de nuestra máquina,
como CPU y RAM.
Play video starting at 2 minutes 19 seconds and follow transcript2:19
Device Manager (Administrador de dispositivos): aquí es donde vamos a gestionar
los dispositivos de nuestra computadora, como nuestras tarjetas de red,
tarjetas de sonido, monitores y más.
En el menú Storage (Almacenamiento),
tenemos un submenú para la administración de discos.
Lo usaremos cuando hablemos de discos en una lección posterior.
Por último, el menú Services and Applications (Servicios y aplicaciones)
nos muestra los programas y servicios que tenemos disponibles en el sistema.
Podemos elegir habilitar o deshabilitar servicios como DNS aquí.
Todas las configuraciones esenciales que nosotros, como administradores,
debemos modificar, se encuentran en la herramienta de administración de computadoras.
Si eres un power user, es más eficaz usar esto
que ir a través de la aplicación de configuración predeterminada.
Bien, volvamos a la tarea en cuestión.
Veamos qué tipo de cuenta de usuario tenemos y de qué grupos somos parte.
Volvamos a Local Users and Groups (Usuarios y grupos locales).
En Users (Usuarios), podemos ver algunas cuentas integradas de Windows como invitado y
administrador.
La cuenta del administrador local te permite iniciar sesión
usando el nombre de usuario del administrador y la contraseña del administrador en la
computadora.
Esta cuenta está deshabilitada por defecto.
Como esta cuenta tiene acceso sin restricciones sobre la computadora,
puede ser peligroso acceder a ella en todo momento.
Por ahora, veamos la cuenta en la que estoy.
Cindy, hagamos doble clic en esto para ver más información.
Bien, vamos a hacer un resumen aquí.
En la pestaña General,
podemos ver información básica sobre el usuario junto con algunas opciones.
User must change password at next logon (El usuario debe cambiar la contraseña en el
siguiente inicio de sesión).
Como soy administradora, puedo forzar a otros usuarios a cambiar su contraseña.
Esto es útil si estoy administrando la cuenta de alguien y su contraseña se vio comprometida.
No queremos arriesgarnos a que otra persona acceda a su cuenta,
así que lo obligamos a cambiar su contraseña.
User cannot change password (El usuario no puede cambiar la contraseña).
Password never expires (La contraseña nunca expira).
Account is disabled (La cuenta está deshabilitada).
Habilitar o deshabilitar una cuenta significa activarla o desactivarla.
Account is locked out (La cuenta está bloqueada).
Esto significa que una cuenta de usuario no podrá acceder.
Tal vez un empleado descontento esté buscando hacer cosas maliciosas.
Podemos hacer que no pueda acceder a su computadora.
En la pestaña Member of (Miembro de),
podemos ver de qué grupos somos parte.
Puedo ver que estoy en el grupo de administradores.
Aviso: en lugar de acceder a una cuenta de administrador local todo el tiempo,
puedes acceder a tu propia cuenta y usar los poderes administrativos cuando los necesites.
Esto es gracias a la ayuda de UAC, o control de acceso de usuarios.
Esta es una función de Windows que impide cambios no autorizados en un sistema.
Estos cambios tienen que ser aprobados por el administrador en su lugar.
Ya que soy administradora,
lo que haría es ingresar mi contraseña para confirmar que deseo hacer un cambio.
Por fin, en la última pestaña,
Profile (Perfil), puedes cambiar la configuración de tu perfil de usuario,
como dónde quieres que esté tu carpeta particular.
Esto no es terriblemente importante en una cuenta local,
pero resulta útil cuando administras muchos usuarios en un dominio.
Ahora, si vamos al menú de grupos en la barra lateral,
debe parecernos familiar.
Play video starting at 6 minutes 1 second and follow transcript6:01
Al igual que en la pestaña de miembros,
podemos ver los grupos disponibles y quiénes son sus miembros.
Así es como se ve la información de usuarios y grupos mediante la GUI de Windows.
A continuación, veamos cómo hacer exactamente lo mismo usando la CLI de Windows.
Windows: Ver información de usuarios y grupos mediante CLI
Hablamos sobre el uso de la CLI en profundidad en el último módulo.

Vimos cómo puede hacer que nuestras pruebas sean más rápidas al modificar archivos y
carpetas.
Ahora, vamos a comenzar a usar comandos para que nos ayuden con otras tareas en nuestro
sistema.
Imagina que estás trabajando
como especialista de soporte de TI en una empresa y tu jefe te pide
que verifiques toda la información de usuario en diez máquinas
para asegurarse de que la cuenta de administrador local no esté habilitada.
Claro, puedes buscar Administración de equipos en la barra de búsqueda,
hacer clic en Administración del equipo (local),
mirar debajo de Herramientas del sistema,
hacer clic en los Usuarios y grupos locales,
luego hacer doble clic en el nombre de usuario de la computadora
para asegurarte de que su cuenta de administrador local no esté habilitada.
Ahora, tan solo tienes que hacer eso nueve veces más.
Hay una manera mucho más rápida.
Puedes utilizar la CLI para ver rápidamente la lista de usuarios
en la computadora usando el comando Get-LocalUser.
Como puedes ver, indica mi cuenta de usuario,
algunos otros usuarios y un par de otras cuentas predeterminadas que forman parte de
Windows.
Aquí puedes ver que mi cuenta de administrador local no está habilitada.
Eso es mucho más fácil.
¿Qué ocurre con los grupos?
Apuesto a que lo adivinas.
Get-LocalGroup listará los grupos en la máquina local.
Hay un montón de grupos, pero no te preocupes,
todos estos son grupos integrados.
Cada uno de ellos es importante,
pero es probable que no hagamos cambios en la mayoría de ellos.
Uno de los grupos en el que haremos cambios es el grupo de administradores.
Recuerda, este grupo controla quién tiene acceso administrativo a la máquina.
Es importante saber quién está en este grupo,
ya que cualquiera en este grupo puede hacer cualquier cambio que desee a la máquina.
Acabamos de ver en la GUI que estamos en este grupo,
pero me pregunto quién más está.
Veamos quién está en este grupo con Get-LocalGroupMember,
y quiero revisar el grupo de administradores.
Podemos ver que el usuario Administrator y mi usuario
están en el grupo de administradores, pero nadie más. Me parece bien.
Una última nota: estos comandos de PowerShell para usuarios locales y grupos
requieren que ejecutes PowerShell 5.1 o una versión más reciente.
Tal vez notaste que sigo diciendo cuentas locales y usuarios locales.
Si tu organización tiene muchas máquinas con Windows,
Es muy común usar Active Directory para administrar
cuentas de usuario en un servicio de directorio central.
Aprenderemos más sobre las cuentas de Active Directory
en nuestro próximo curso sobre administración de sistemas
y servicios de infraestructura de TI.
Concentrémonos en las cuentas locales por ahora.
Linux: Usuarios, superusuario y más allá
En Linux, el acceso a la administración de usuarios funciona igual que en Windows.

Diferentes tipos de usuarios tienen diferentes privilegios
y se los puede agrupar en varios niveles de acceso.
Sin embargo, hay algunas diferencias en cómo Linux hace el etiquetado.
Hay usuarios estándar,
y también hay administradores en Linux.
También hay un usuario especial llamado usuario root.
No confundas esto con el directorio raíz o barra (/).
El usuario root es el primer usuario
que se crea automáticamente cuando instalamos un SO Linux.
Este usuario tiene todos los privilegios en el SO,
es el superusuario
Técnicamente, solo hay un superusuario o cuenta root,
pero a quien se le otorgue acceso para usar sus poderes también se lo puede llamar
superusuario.
Ahora, vamos a intentar ver el contenido de un archivo de ruta restringida.
La ruta del archivo es etc/sudoers.
Tenemos un error: cat: etc/sudoers Permission denied (Permiso denegado).
El archivo sudoers es un archivo protegido que solo puede ser leído por un root.
Podemos acceder a este root y luego ejecutar este comando, no hay problema.
Pero, puede ser realmente peligroso estar siempre en root,
ya que root, como nuestra cuenta de administrador local en Windows,
tiene acceso sin restricciones a la máquina.
Con un solo error que cometamos,
podríamos eliminar o modificar algo importante, y eso no es bueno.
Así que en lugar de iniciar sesión como root,
podemos decirle a la shell que queremos ejecutar este comando como root.
¿Suena similar a la función UAC de Windows? Es que lo es.
En Linux, podemos hacer esto con el comando sudo o "superuser do".
Entonces: sudo cat /etc/sudoers, y ahora podemos ver el contenido de este archivo.
Si no quieres ejecutar sudo cada vez que necesites
ejecutar un comando que requiere privilegios de root,
puedes usar el comando su, o usuario sustituto.
Esto te permitirá cambiar a un usuario diferente.
Si no especificas el usuario, la opción predeterminada es root.
Ahora puedes ver que en mi aviso dice: root@cindy-nyc.
Una vez más, en general no se recomienda permanecer conectado como root todo el tiempo.
Hay muchos servicios y archivos críticos que pueden modificarse por error.
Si necesitas iniciar sesión como root, está bien,
pero ten cuidado.
Voy a salir de root por ahora y volver a mi usuario normal.
Puedes ver quién tiene acceso para ejecutar sudo si ejecutas /etc/groupfile.
Esta es también la forma en que ves los miembros de todos los grupos.
Esto se ve un poco diferente de la GUI de Windows,
pero puedes ver que hay algunas similitudes con la CLI de Windows.
En realidad, es bastante sencillo leer este archivo, incluso si aún no eres un experto en bash.
Cada línea representa un grupo diferente.
Veamos la línea "sudo".
Hay cuatro campos aquí separados por dos puntos.
El primer campo es el nombre del grupo. En este caso, es "sudo".
El segundo campo es la contraseña del grupo.
No es necesario que especifiquemos una, por lo que la contraseña del root queda como
predeterminada.
La X aquí significa que la contraseña fue encriptada
y guardada en un archivo separado del que hablaremos en una lección posterior.
El tercer campo es el ID del grupo.
Cuando nuestro sistema operativo ejecuta una tarea que involucra a un grupo,
utiliza un ID de grupo en lugar de un nombre de grupo.
El último campo es la lista de usuarios del grupo.
¿Y si quisiéramos ver a los usuarios en nuestra máquina?
¿Cuál crees que sería el archivo que almacena esa información?
Desafortunadamente, no es /etc/user.
El archivo que contiene información del usuario es /etc/password.
¡Guau, hay mucha más información aquí y muchos más usuarios!
La mayoría de estas cuentas no son en realidad seres humanos que usan la computadora.
Hay un montón de procesos que se ejecutan constantemente
en nuestra computadora y que necesitamos asociar con el usuario.
Nuestro sistema tiene muchos usuarios
con diferentes permisos que son necesarios para ejecutar estos procesos.
Veamos esta primera línea aquí, que es un usuario real al que podemos acceder: root.
No hablaremos de todos los campos ya que no son importantes,
pero los tres primeros sí lo son.
El primer campo es el nombre de usuario,
y el segundo campo es la contraseña del usuario.
La contraseña no se guarda realmente en este archivo.
Está encriptada y almacenada en un archivo diferente, al igual que nuestra contraseña de ID
de grupo.
El tercer campo aquí es el ID de usuario, o UID.
De manera similar a los ID de grupo,
los ID de usuario son la forma en que nuestro sistema identifica a un usuario, no por el
nombre de usuario.
Root tiene un UID igual a cero.
Y así es básicamente cómo se ven los usuarios y grupos en Linux.
Windows: Contraseñas
En este video, vamos a hablar sobre una parte importante de tener usuarios en una máquina,
y eso es trabajar con contraseñas.
Las contraseñas agregan seguridad a nuestras cuentas de usuario y máquinas.
Lo hacen para que solo Marti conozca
el secreto mágico para acceder a su cuenta y a la de nadie más,
ni siquiera el administrador de la computadora.
Al configurar una contraseña,
quieres asegurarte de ser la única persona que conoce esa contraseña.
Recuerda, si estás administrando las cuentas de otras personas en una máquina,
no deberías saber cuál es su contraseña.
En cambio, quieres que sea el usuario quien ingrese su propia contraseña.
Para restablecer una contraseña en la GUI,
volvamos a nuestra herramienta de administración de equipos.
En Local Users and Groups (Usuarios y grupos locales),
vamos a hacer clic derecho en un nombre de usuario, como esta cuenta, Sarah.
Vamos a hacer clic en Properties (Propiedades).
Luego, desde aquí, vamos a marcar esta casilla que dice
"User must change password at next logon" (El usuario debe cambiar la contraseña en el
siguiente inicio de sesión),
luego Apply (Aplicar) y OK (Aceptar).
Entonces, cuando el usuario acceda a la cuenta,
se verá obligado a cambiar su contraseña.
Si olvidó su contraseña,
tienes la opción de establecerle una contraseña manualmente
haciendo clic derecho y seleccionando Set Password... (Establecer contraseña...).
Esto tiene algunas advertencias, sin embargo,
como perder el acceso a ciertas credenciales.
Puedes aprender más sobre esta opción en la lectura complementaria, justo después de este
video.
Para cambiar una contraseña local en PowerShell,
vamos a usar el comando net, de estilo DOS.
Hay un comando nativo de PowerShell que se puede usar para establecer la contraseña,
pero es un poco más complicado.
Su uso requiere un poco de escritura simple de secuencia de comandos.
Por ahora, nos limitaremos a lo más simple,
el menos poderoso comando net.
"net" hace muchas cosas diferentes;
cambiar las contraseñas de los usuarios locales es solo una de ellas.
Si deseas obtener más información sobre lo que puede hacer el comando net,
mira la documentación en la lectura complementaria para el comando.
Dado que este es un antiguo comando de estilo DOS,
también puedes usar
el parámetro /? para obtener ayuda sobre el comando desde la CLI.
Para cambiar una contraseña para un usuario,
el comando es net user, luego el nombre de usuario y la contraseña.
Play video starting at 3 minutes 1 second and follow transcript3:01
La mejor manera de usar este comando
es poner un asterisco en lugar de escribir tu contraseña en la línea de comandos.
Si usas un asterisco,
net hará una pausa y te pedirá que ingreses tu contraseña como tal.
¿Por qué es mejor este enfoque?
Imagina que estás cambiando tu contraseña
y justo en ese momento alguien pasa detrás de ti y mira por encima de tu hombro.
Tu contraseña deja de ser un secreto.
También debes saber que en muchos entornos,
es común que los comandos que las personas ejecutan en las máquinas que utilizan
se graben en un archivo de registro que se envía a un servicio de registro central.
Por eso, es mejor que ningún tipo de contraseña se registre de esta manera.
¿Te das cuenta de un problema con el enfoque del asterisco, sin embargo? Correcto.
Si cambio las contraseñas para alguien más con este comando,
conocería su contraseña, y eso no es bueno.
En su lugar, vamos a hacer lo que hicimos en la GUI
y forzar al usuario a cambiar la contraseña predeterminada
la próxima vez que acceda, usando el parámetro /logonpasswordchg:yes.
Voy a obligar a Víctor a que cambie su contraseña la próxima vez que acceda a su máquina.
Entonces, net user victor /logonpasswordchge:yes.
El parámetro /logonpasswordchge:yes
significa que la próxima vez que Víctor acceda a esta computadora,
tendrá que cambiar su contraseña. Lo siento, Víctor.
Linux: Contraseñas
Para cambiar tu contraseña en Linux, todo lo que debes hacer es ejecutar el comando
passwd
o contraseña.
Intentemos cambiar mi contraseña.
Cuando estableces una contraseña, se la codifica con seguridad,
luego se la guarda en un archivo especial con privilegios llamado /etc/shadow.
Solo un root puede leer este archivo, para alejar ojos curiosos.
Aun si tuvieras acceso,
no podrías decodificar las contraseñas encontradas aquí.
Si estás administrando una computadora y quieres forzar a un usuario estándar
a que cambie su contraseña, como hicimos en Windows, puedes usar -e
o "marca de expiración", con passwd, así.
Esto inmediatamente hace expirar una contraseña de usuario
y luego hace que establezca una nueva contraseña la próxima vez que acceda.
Windows: Agregar y eliminar usuarios
Muy bien. Ahora que sabes ver la información

sobre los usuarios y conoces la jerarquía de permisos de usuario,
aprendamos cómo agregar y eliminar usuarios en una máquina.
Para agregar un usuario, volveremos a nuestra herramienta de administración de equipos.
En Local Users and Groups (Usuarios y grupos locales),
vamos a hacer clic derecho y seleccionar New User... (Usuario nuevo...).
Desde aquí, nos pide que configuremos un nombre de usuario,
un nombre completo y una contraseña.
Recuerda que para usar buenas prácticas de configuración de contraseñas,
establecemos una contraseña predeterminada y luego hacemos que el usuario la cambie
cuando acceda a su máquina.
Vamos a seguir adelante y a establecer una contraseña predeterminada,
y a asegurarnos de que la casilla de verificación "User must change password at next logon"
(El usuario debe cambiar la contraseña en el siguiente inicio de sesión) esté marcada. Luego,
haz clic en Create (Crear).
Voy a crear una nueva cuenta de usuario para Elizabeth y pondré una contraseña,
luego me aseguro de que esto esté marcado, y toco Create (Crear).
Y así es como se crea un nuevo usuario local.
Para eliminar un usuario,
simplemente hacemos clic derecho y seleccionamos Delete (Eliminar).
Esto nos envía un mensaje de advertencia que dice
que los nombres de usuario son únicos,
y que aun cuando elimines el usuario y lo vuelvas a crear con exactamente el mismo nombre
de usuario,
no podrá acceder a sus antiguos recursos.
Una vez que confirmes que deseas hacer eso,
sólo sigue adelante y haz clic para eliminarlo.
Y así es como se elimina una cuenta de usuario local.
Para agregar y eliminar cuentas de usuarios locales desde la CLI
vas a usar el mismo comando net que usamos para cambiar las contraseñas,
sólo que con diferentes parámetros.
Como antes, hay un comando nativo de PowerShell,
New-LocalUser,
que requiere un poco de escritura de secuencia de comandos para usarlo.
Si quieres usar New-LocalUser,
consulta la lectura complementaria.
Ahora, volvamos a net.
Para agregar un nuevo usuario local,
simplemente usamos el parámetro /add.
Si agregamos el parámetro /add al mismo comando que usamos antes,
le da instrucciones a net para que cree la cuenta.
Todavía podemos usar el asterisco para la contraseña, para que se solicite ingresar una.
Vamos a probar esto y a crear una nueva cuenta para Andrea.
Entonces: net user andrea * /add.
Ahora, listemos las cuentas de usuario para asegurarnos de que funcionó.
Get-LocalUser.
¡Excelente! Ahí está.
Ahora, hay un pequeño problema que viste en la lección anterior sobre contraseñas.
Esta cuenta es para Andrea,
pero sabemos cuál es la contraseña.
No queremos saber cuál es la contraseña porque eso significa que podemos acceder como
Andrea.
Queremos asegurarnos de que Andrea cambie su contraseña por algo que no sepamos.
Por lo tanto, vamos a marcar su cuenta como que requiere un cambio de contraseña
usando el parámetro /logonpasswordchg:yes.
Entonces, net user andrea /logonpasswordchge:yes.
Ahora no sabrás cuál es su contraseña.
Puedes combinar estos dos comandos que ejecutamos
para crear una nueva cuenta que solicite un cambio de contraseña en el primer acceso.
Vamos a crear una cuenta para César.
Entonces: net user cesar pa5swOrd
/add /logonpasswordchg:yes.
Ahora, cuando ejecutemos Get-LocalUser,
deberíamos ver nuestras dos nuevas cuentas.
¡Excelente! Y ahí está.
La nueva cuenta de César tiene una contraseña que conoces y le puedes proporcionar,
pero él tendrá que cambiar la contraseña la primera vez que acceda. Muy bien.
Ahora vamos a eliminar estas cuentas que acabamos de crear.
Voy a mostrarte cómo hacerlo usando net y usando Remove-LocalUser.
Ambos comandos harán exactamente lo mismo.
Vamos a eliminar la cuenta de Andrea.
net user andrea /del.
Esto borrará la cuenta de Andrea.
Y con Remove-LocalUser cesar,
podemos eliminar la cuenta de César.
Excelente, ya no está. Mira cómo cada una de estas opciones sigue un patrón.
El ejemplo de net user
parece como que crea una nueva cuenta de usuario,
excepto que en lugar de agregar una cuenta,
la eliminamos.
En el segundo ejemplo, en lugar de obtener,
configurar o crear un New-LocalUser,
eliminamos la cuenta.
A medida que sigas aprendiendo nuevos comandos de la CLI,
comenzarás a notar este tipo de patrones.
Ser capaz de identificar estos patrones te ayudará a descubrir nuevas cosas que puedes
hacer,
y a recordar cómo realizar cosas que no has hecho en mucho tiempo.
Linux: Agregar y eliminar usuarios
Para agregar un nuevo usuario en Linux,

puedes usar el comando useradd.
Sudo useradd juan.
Esto establecerá configuraciones básicas para el usuario
junto con un directorio principal.
Podemos verificar que se creó uno, ahí está.
Puedes combinar esto
con el comando passwd para hacer que el usuario cambie su contraseña y acceda.
Para eliminar al usuario, puedes usar sudo userdel juan.
Ya no está en la lista.
Buen trabajo. A continuación, nos sumergiremos en el maravilloso mundo de los permisos.
Nos vemos.
Ben Life como CIO
Soy Ben Fried, director de TI de Google

y vicepresidente de la empresa.
[MÚSICA]
Dirijo un equipo que es responsable
de la tecnología que los Googlers usan para hacer su trabajo.
Podrían ser cosas como la laptop y el teléfono que uses,
o la videoconferencia que usas en una sala de conferencias o el teléfono en tu escritorio, tal
vez.
Pero también es todo el software que los Googlers usan todos los días en su trabajo.
Dedico mucho tiempo a reuniones, principalmente con mis equipos,
tratando de entender lo que están haciendo
y lo que yo, como líder, puedo hacer para ayudarlos.
También pasó mucho tiempo hablando con nuestros clientes, personas dentro de la empresa,
así puedo entender lo que mis equipos deben hacer y cómo podemos realizar mejor nuestro
trabajo.
Cuando vine y me uní a Google, el equipo que lideraba necesitaba mucha ayuda.
Y fue un gran reto para mí
descubrir lo que debía hacer como líder para ayudarlos.
Recuerdo en un momento darme cuenta de que si seguía viniendo
y esforzándome todos los días, íbamos a lograrlo,
a pesar de lo difícil que fue
y de que salía del trabajo pensando
que no tenía idea de cómo resolver este problema
o aquel problema o lo que fuera.
Con el tiempo, venir al trabajo dio resultado. Ser demasiado terco
y demasiado estúpido para saber cuándo darse por vencido
fue, en realidad, lo que me llevó a tener éxito en una situación increíblemente complicada.
Windows: Permisos de archivo
Los permisos de archivos son un concepto importante en seguridad informática.

Solo queremos dar acceso a ciertos archivos y directorios a quienes lo necesitan.
Mientras pensamos en cómo queremos que los usuarios accedan a archivos y carpetas,
también debemos pensar en cómo el concepto
de permisos se transfiere a otras áreas de tu vida.
Tal vez bloqueaste tu publicación en redes sociales solo para las personas en las que confías
o le diste una copia de la llave de tu casa a un familiar en caso de una emergencia.
Conocerás más sobre los principios de seguridad en el último curso de este programa.
Por ahora, nos enfocaremos en un fundamento pequeño, los permisos de archivos.
En Windows, los permisos de archivos y directorios
se asignan mediante listas de control de acceso, o ACL.
Específicamente, vamos a trabajar con listas de control de acceso discrecionales, o DACL.
A los archivos y carpetas de Windows también se les pueden asignar
listas de control de acceso del sistema, o SACL.
Las SACL se usan para indicarle a Windows que debe usar un registro de eventos
para que tome nota de cada vez que alguien accede a un archivo o carpeta.
Este es un tema más avanzado que puedes leer en la próxima lectura complementaria.
Puedes pensar en una DACL como una nota
sobre quién puede usar un archivo y qué se le permite hacer con él.
Cada archivo o carpeta tendrá un propietario y una o más DACL.
Veamos un ejemplo.
En Windows Explorer, abrí mi directorio principal.
Si hacemos clic derecho sobre el escritorio y seleccionamos Properties (Propiedades),
podemos ver el cuadro de diálogo de propiedades de nuestro directorio Desktop (Escritorio).
Y si vamos a la pestaña Security (Seguridad),
podemos ver la ventana de permisos aquí.
El cuadro superior contiene una lista de usuarios y grupos.
Y el cuadro inferior tiene una lista de los permisos asignados a cada grupo de usuarios.
¿Qué hace cada uno de estos permisos?
Cambia un poco dependiendo de si el permiso
se asigna a un archivo o a un directorio.
No te preocupes, todo tendrá sentido pronto.
Vamos a hacer un resumen de estos permisos.
Read (Lectura): el permiso de lectura te permite ver que un archivo existe
y te permite leer su contenido.
También te permite leer los archivos y directorios contenidos en un directorio.
Read & Execute (Lectura y ejecución): esto te permite leer archivos,
y si el archivo es un ejecutable,
puedes ejecutar ese archivo.
Read & Execute (Lectura y ejecución) incluye Read (Lectura),
entonces, si seleccionas Read & Execute (Lectura y ejecución),
Read (Lectura) se seleccionará automáticamente.
List Folder Contents (Mostrar el contenido de la carpeta):
es un alias para Read & Execute (Lectura y ejecución) en un directorio.
Al marcar uno, se marcará el otro.
Esto significa que puedes leer y ejecutar archivos en ese directorio.
Write (Escritura): esto te permite hacer cambios en un archivo.
Puede que te resulte sorprendente,
pero puedes tener acceso de escritura a un archivo sin tener permiso de lectura para ese
mismo archivo.
El permiso de escritura también te permite
crear subdirectorios y escribir en archivos en el directorio.
Modify (Modificar): el permiso de modificación
es un permiso global que incluye lectura, ejecución y escritura.
Full control (Control total): un usuario o grupo con control total puede hacer lo que quiera con
el archivo.
Incluye todos los permisos de Modify (Modificar)
y agrega la capacidad de tomar posesión de un archivo y cambiar sus ACL.
Ahora, al hacer clic en mi nombre de usuario,
podemos ver los permisos para Cindy,
lo que muestra que se me otorgan todos estos permisos de acceso.
Si queremos ver qué ACL están asignadas a un archivo,
podemos usar una utilidad diseñada para ver y cambiar las ACL
llamada ICACLs o ACL de cambio mejorado.
Primero vamos a ver mi escritorio.
icacls, Desktop.
Bueno, eso parece útil.
Pero ¿qué significa?
Puedo ver las cuentas de usuario que tienen acceso a mi escritorio
y puedo ver que mi cuenta es una de ellas.
Pero ¿qué pasa con el resto de todo esto?
Estas letras representan cada uno de los permisos que mencionamos antes.
Veamos la Ayuda para ICACLs,
apuesto que eso explicará las cosas.
Entonces: icacls /?.
Muy bien. Hay una descripción de lo que significa cada una de estas letras.
La "F" muestra que tengo control total de mi carpeta Desktop.
ICACLs provoca acceso completo,
y vimos esto en la GUI anteriormente como control total.
Estos son los mismos permisos.
¿Qué significan estas otras letras?
Los permisos de NTFS se pueden heredar como vimos en la ayuda de ICACLs.
"OI" significa "herencia de objeto"
y "CI" significa "herencia de contenedor".
Si creo nuevos archivos u objetos dentro de mi carpeta Escritorio,
heredarán esta DACL.
Si creo nuevos directorios o contenedores en mi escritorio,
también heredarán esta DACL.
Si deseas obtener más información sobre la herencia de ACL y NTFS,
puedes consultar la siguiente lectura complementaria.
Como ahora sabemos, hay archivos y carpetas

que tienen diferentes permisos establecidos en ellos,
para que los ojos curiosos no puedan verlos ni modificarlos.
Hay 3 permisos diferentes que puedes tener en Linux.
Read (Lectura): esto le permite a alguien leer el contenido de un archivo o carpeta.
Write (Escritura): esto le permite a alguien escribir información en un archivo o carpeta.
Y Execute (Ejecutar): esto le permite a alguien ejecutar un programa.
Veamos esto con el comando ls.
Usaremos los indicadores largos para poder ver los permisos en el archivo.
Muy bien. Lo primero que vemos en esta columna es "-rwxrw-r--". Aquí hay 10 bits.
El primero es el tipo de archivo.
En este ejemplo, el guión significa que el archivo que estamos viendo es solo un archivo
normal.
A veces es posible que veas una "d", que significa "directorio".
Los siguientes nueve bits son nuestros permisos reales,
agrupados en tríos o conjuntos de tres.
El primer trío se refiere al permiso del propietario del archivo.
El segundo trío se refiere al permiso del grupo al que pertenece este archivo.
El último trío se refiere al permiso de todos los demás usuarios.
La "r" significa "que puede leer",
"w" significa "que puede escribir" y "x" es "ejecutable".
Al igual que en el sistema binario, si se establece un bit, entonces decimos que está
habilitado.
Para nuestros permisos,
si un bit es un guion, está deshabilitado.
Si tiene algo más que un guión, está habilitado.
Los permisos en Linux son súper flexibles y potentes
porque nos permiten establecer permisos específicos basados en nuestro rol,
como un propietario, en un grupo o cualquier otra cosa.
Veamos esto en detalle.
El primer conjunto de permisos, rwx,
se refiere al permiso del usuario que posee ese archivo.
En este caso, es "cindy".
Lo podemos ver en el campo del propietario de ls-l.
Entonces, aquí dice que el propietario del archivo puede leer,
escribir y ejecutar este archivo.
El siguiente conjunto de permisos son permisos de grupo.
Podemos ver que el grupo al que pertenece este archivo es cool_group.
Tiene permisos de lectura y escritura pero no permisos de ejecución.
Y por último, los permisos
para todos los demás usuarios y grupos, a quienes solo se les permite leer este archivo.
Eso fue un resumen de los permisos de Linux.
Puede llevar cierto tiempo acostumbrarse a leer los permisos.
No te preocupes, con el tiempo lo dominarás.
Como siempre, siéntete libre de volver a revisar esta lección si necesitas un repaso.
Windows: Modificar permisos
Ahora que podemos leer los permisos,

vamos a dar un paso más y aprender a modificar permisos en Windows.
Supongamos que queremos darle acceso a otra persona de mi familia
para que vea una carpeta con fotos familiares en la computadora. ¿Cómo puedo hacer eso?
En mi disco local C, tengo una carpeta llamada
Vacation Pictures que quiero compartir con otro usuario en mi máquina, Devan.
Para ello, voy a hacer clic derecho sobre esta carpeta,
luego voy a Properties (Propiedades), luego a la pestaña Security (Seguridad).
Ahora puedo ver una opción para editar permisos de archivos. Voy a hacer clic ahí.
Desde aquí, puedo ver que puedo agregar un grupo o nombres de usuario a esta ACL.
Voy a seguir adelante y hacer clic en Add (Agregar).
Aquí, me pidió ingresar el nombre de usuario de la persona que quiero agregar en esta ACL.
Voy a ingresar devan y luego hacer clic en Check Names (Comprobar nombres) para verificar
si lo escribí bien.
Una vez verificado,
voy a hacer clic en OK (Aceptar). Una vez que Devan se agrega a la ACL,
puedo hacer clic en su nombre de usuario,
luego marcar las casillas Allow (Permitir) para los permisos que quiero otorgarle.
Vamos a otorgarle a Devan acceso de modificación
para que pueda agregar imágenes a esta carpeta también.
Eso es. Hemos pasado por alto esta otra casilla de verificación aquí, Deny (Denegar).
Tal vez ya adivinaste que Deny (Denegar) no te permite tener un permiso determinado.
Pero es especial porque generalmente tiene prioridad sobre los permisos otorgados.
Digamos que Devan está en un grupo que tiene acceso a esta carpeta.
Si marcamos explícitamente la casilla de denegación para el nombre de usuario Devan,
aun cuando el grupo tenga acceso a la carpeta, Devan no lo tendrá.
Lo siento, Devan.
Si quieres aprender más sobre la precedencia de permisos,
puedes consultar la lectura complementaria.
Para modificar un permiso en la CLI,
vamos a volver al comando ICACLs.
En los ejemplos que voy a mostrarte,
ejecutaré ICACLs desde PowerShell.
El comando ICACLs fue diseñado para el símbolo del sistema antes de PowerShell
y sus parámetros usan caracteres especiales que confunden a PowerShell.
Al rodear los parámetros ICACLs con comillas simples,
le digo a PowerShell que no intente interpretar el parámetro como código.
Si ejecutas estos comandos en command.exe,
tendrás que eliminar las comillas simples para que funcionen.
Vamos a ver PowerShell.exe y command.exe uno junto al otro.
En PowerShell, el comando sería icacls
'C:\'Vacation Pictures\' /grant, y con comillas simples,
'Everyone:(OI)(CI)(R)'.
En el símbolo del sistema, el comando sería icacls, con comillas dobles
"C\Vacation Pictures" /grant Everyone:(OI)(CI)(R).
Vamos a ver lo que hace este comando en un momento.
Por ahora, prestemos atención a la diferencia en las comillas.
En el ejemplo de PowerShell,
agregamos comillas simples para hacer que PowerShell ignore
los paréntesis y porque hay un espacio en la ruta de acceso.
En el ejemplo de command.exe,
tenemos que usar comillas dobles para la ruta de acceso
y ya no necesitamos las comillas simples para ocultar los paréntesis.
¿Lo entendiste? Genial.
Ahora, vamos a ver los permisos que le otorgamos a Devan con ICACLs.
Interesante.
Veo que hay una nueva etiqueta adjunta al directorio Vacation Pictures para Devan
que le otorga acceso de modificación.
Podemos ver que los nuevos archivos o carpetas
que se creen en Vacation Pictures heredarán estos permisos.
Supongamos que queremos que cualquier persona con permiso
para usar esta computadora pueda ver estas imágenes.
Sin embargo, no queremos que agreguen o eliminen fotos.
¿Qué permisos queremos otorgarles? Correcto.
Queremos darles permiso de lectura a la carpeta Vacation Pictures.
Usemos el grupo especial Everyone para otorgar permisos de lectura al directorio.
Entonces: icacls 'C:\Vacation Pictures' /grant Everyone:(OI)(CI)(R).
Perfecto.
El grupo Everyone (Todos) incluye,
bueno, a todos, incluso a cuentas de usuarios locales como Cindy y Devan.
Guest users (Usuarios invitados): Este es un tipo especial
de usuario al que se le permite usar la computadora sin contraseña.
Los usuarios invitados están deshabilitados de manera predeterminada.
Puedes habilitarlos en situaciones muy específicas.
Ahora, cualquiera que pueda usar esta computadora
puede mirar las fotos que Devan y yo pusimos aquí.
En realidad, tal vez no quería que todos vieran las fotos de mis vacaciones.
Tal vez solo quiero que las personas que tienen contraseñas en la computadora puedan
verlas.
En ese caso, quiero usar el grupo Authenticated users (Usuarios autenticados).
Ese grupo no incluye usuarios invitados.
Primero, vamos a agregar una nueva DACL.
icacls 'C:\Vacation Pictures' /grant' Authenticated Users:(OI)(CI)(R).
Perfecto. Ahora, eliminemos los permisos para el grupo Everyone.
icacls 'C:\Vaction Pictures' /remove Everyone.
Perfecto.
Ahora, vamos a usar ICACLs para verificar que los permisos están configurados como
pretendíamos.
icacls 'C:\Vacation Pictures'.
¡Excelente! Podemos ver que se agregó Authenticated Users y se eliminó Everyone.
A continuación, veremos cómo modificar permisos en Linux.
Linux: Modificar permisos
En Linux, cambiamos los permisos usando el comando chmod, o "cambio de modo".

Primero, elige el conjunto de permisos que quieres cambiar.
El propietario, marcado por una "u", el grupo al que pertenece el archivo,
marcado por una "g", o los demás usuarios, marcado por una "o".
Para agregar o eliminar permisos, solo usa los símbolos + o -
que indican a quién afecta el permiso.
Veamos algunos ejemplos
Entonces: chmod u+x my_cool_file.
Este comando indica que queremos cambiar el permiso
de my_cool_file otorgándole acceso ejecutable ("x") al propietario ("u").
Puedes hacer lo mismo si quisieras eliminar un permiso.
Entonces: chmod u-x my_cool_file.
En lugar de +, ponemos -
Bastante fácil, ¿verdad?
Si quisieras agregar múltiples permisos a un archivo,
podrías hacer algo como esto.
Esto indica que queremos agregar permisos de lectura y escritura
para el propietario de my_cool_file.
Y puedes hacer lo mismo para múltiples conjuntos de permisos.
Haces: chmod ugo+r my_cool_file.
Ahora, esto dice que queremos agregar permisos de lectura para nuestro propietario,
para el grupo al que pertenece el archivo y para todos los demás usuarios y grupos.
Este formato de uso de rwx y ugo para indicar permisos
y usuarios en chmod se conoce como formato simbólico.
También podemos cambiar los permisos numéricamente, lo que es mucho más rápido
y más simple, y nos permite cambiar todos los permisos a la vez.
El equivalente numérico de rwx es 4 para lectura o "r",
2 para escritura o "w" y 1 para ejecución o "x".
Para establecer permisos, agregamos estos números
a cada conjunto de permisos que queremos afectar.
Veamos un ejemplo.
El primer número 7, es el permiso de nuestro propietario.
El segundo número, 5, corresponde a los permisos de nuestro grupo, y el tercer número, 4,
es el permiso para todos los demás usuarios.
Espera un minuto, ¿de dónde salieron 5 y 7?
Recuerda, tienes que agregar los permisos juntos.
Si sumas 4, 2 y 1, obtienes rwx, que es igual a 7.
Así que nuestro permiso de propietario puede leer, escribir y ejecutar este archivo.
¿Puedes adivinar qué significaría 5?
Correcto.
4 + 1 = lectura y ejecución.
Ahora, puedes ver cómo el formato numérico es más rápido que el formato simbólico.
En lugar de ejecutar
algo como esto,
podemos ejecutar chmod 754 my_cool_file para actualizarlos a todos.
De cualquier manera, puedes modificar los permisos usando el formato simbólico o el
numérico.
Solo elige lo que te resulte más fácil.
También puedes modificar el propietario y el grupo de un archivo.
El comando chown o "modificar propietario" te permite cambiar el propietario de un archivo.
Sigamos adelante y cambiemos el propietario a Devan.
Increíble.
Y Devan es el propietario de este archivo.
Para cambiar el grupo al que el archivo pertenece, puedes usar el comando chgrp
o "modificar grupo".
Increíble.
Ahora, best_group_ever es el propietario del grupo para este archivo.
Te puede llevar un tiempo dominar la lectura y modificación de permisos.
Puedes practicar cambiando los permisos en algunos archivos hasta que lo logres.
Los permisos son un fundamento esencial de la seguridad informática
y los usarás durante tu carrera como especialista en soporte de TI.
al vez te diste cuenta de que, cuando estuvimos mirando los permisos en la GUI antes,
hay una casilla de verificación en la lista de permisos para permisos especiales.
Los permisos que estuvimos mirando y estableciendo hasta aquí
se llaman permisos simples.
Los permisos simples son, en realidad, conjuntos de permisos especiales o específicos.
Por ejemplo, cuando estableces el permiso de lectura en un archivo,
en realidad estás estableciendo múltiples permisos especiales.
Veamos la lista de permisos especiales disponibles.
Voy a hacer clic en la pestaña Advanced (Opciones avanzadas) debajo de mi configuración de
permisos.
Cuando hago clic en un nombre de usuario y luego voy a los permisos avanzados,
puedo ver una lista de todos los permisos especiales habilitados en ese archivo.
Cuando seleccionamos un permiso básico, como el de lectura,
en realidad estamos habilitando los permisos especiales List folder / read data (Mostrar
carpeta/leer datos),
Read attributes (Leer atributos), Read extended attributes (Leer atributos extendidos), Read
permissions (Leer permisos)
y Synchronize (Sincronizar), que son solo permisos optimizados.
Puedes modificar estos permisos como lo harías con cualquier otro permiso básico.
Siéntete libre de leer más sobre los diferentes tipos de permisos especiales
en las lecturas suplementarias que incluí después de este video.
En la mayoría de los casos, los permisos simples serán todo lo que necesites.
Pero a veces, necesitas crear un archivo
o una carpeta que no sigue un patrón simple.
Veamos un ejemplo en esta CLI.
Para ver los permisos especiales de un archivo en la CLI,
tan solo usaremos el comando ICACLs como antes.
Veamos un ejemplo más interesante que mi carpeta Escritorio:
icacls C:/windows/Temp.
Este directorio se usa para conservar archivos temporales para todos los usuarios del sistema.
Nos gustaría que todos en el sistema puedan crear archivos
y carpetas aquí.
Tal vez pienses que deberíamos usar modificar o control total para esto,
pero no queremos que los usuarios puedan eliminar los archivos de los demás.
Vamos a ver algunos de los DACL asignados a esta carpeta
y a entender cómo hacer esto.
En primer lugar, las cuentas de administradores locales y de sistemas operativos de la
computadora
tienen permisos completos sobre esta carpeta y todos los archivos y carpetas dentro de ella.
Vemos un nuevo descriptor, IO, que indica que esta DACL es "solo heredar".
Eso significa que será heredada,
pero que no se aplica a este contenedor C:\Windows\Temp.
El grupo de usuarios incluye todas las cuentas de usuarios en la máquina local.
Vamos a permitir a los usuarios WD, o "crear archivos/escribir datos",
AD, o "crear carpetas y anexar datos" y S para "sincronizar".
Puedes ver en la próxima lectura suplementaria que estos permisos especiales
se incluyen en el permiso simple modificado.
A diferencia de la modificación de un permiso simple,
no estamos otorgando a los usuarios la capacidad para borrar archivos o carpetas.
Sin embargo, queremos que los usuarios puedan eliminar sus propios archivos y carpetas.
¿Cómo podemos hacer eso?
Si ves "creator owner" (propietario creador) es un usuario especial
que representa al propietario de cualquier archivo al que se aplique la DACL.
En este directorio, y en todos los subdirectorios, quien sea propietario de un archivo
o carpeta tiene el control total de ellos.
Bien, voy a crear una carpeta y un archivo
en C:\Windows\Temp
y ver qué DACL se les aplican.
Usemos lo que aprendimos sobre redireccionamiento de salida
para registrar la salida de ICACLs en este archivo.
Entonces: icacls, ejemplo para C:\Windows\Temp\example.
Luego vamos a utilizar nuestro operador de redireccionamiento de salida para que nos dé
icacls.txt.
Bien, ahora veamos el archivo que creamos para ver la salida de ICACLs.
Genial, creé los archivos, así que tengo el control total de ellos.
Y todas las demás DACL que vimos en C: \Windows\Temp se heredaron.
Puedes ver que usar los especiales. permisos en las DACL de NTFS puede ser complicado,
pero también puede permitirte crear conjuntos de permisos realmente poderosos
y personalizados de acuerdo con tus necesidades exactas.
Linux: SetUID, SetGID, Sticky Bit
En Linux, también tenemos permisos especiales.

¿Qué sucede si deseo que un usuario pueda hacer algo que requiera privilegios de root,
pero no quiero otorgarle estos privilegios?
¿Cuál es el caso de uso para esto?
Me alegra que lo preguntes.
Hay ciertos comandos que necesitamos para cambiar archivos cuyo propietario es el root.
En general, si necesitas cambiar un archivo cuyo propietario es el root,
tendrías que usar sudo.
Pero queremos que los usuarios normales puedan
modificar los archivos sin darles acceso root.
Vamos a ver un ejemplo.
Supongamos que quiero cambiar mi contraseña.
Usaría el comando passwd, como aprendimos.
Bastante fácil, ¿verdad? Ahora acabo de ingresar mi nueva contraseña y mi contraseña se
modificó.
Sabemos que el comando passwd codifica secretamente
nuestras contraseñas y luego las agrega a este archivo /etc/shadow.
Vamos a ver este archivo un poco más en profundidad.
Oh, dice que el propietario de este archivo es root.
¿Cómo podemos escribir o codificar contraseñas en este archivo si es propiedad de root?
Bueno, gracias a un bit de permiso especial conocido como setuid,
podemos permitir que los archivos se ejecuten con el permiso del propietario del archivo.
En este caso, cuando ejecutes el comando passwd,
se estará ejecutando como root.
Vamos a verificarlo.
Vemos que los permisos en este archivo tienen un aspecto un poco extraño.
Hay una "s" aquí donde debería estar la "x".
La "s" significa "setuid".
Cuando la "s" se sustituye donde estaría el bit irregular,
nos permite ejecutar el archivo con los permisos del propietario del archivo.
Para habilitar el bit setuid,
puedes hacerlo simbólica o numéricamente.
El formato simbólico usa una "s" mientras que el formato numérico usa un 4,
que debes anteponer al resto de los permisos, así.
De manera similar a setuid, puedes ejecutar un archivo
usando permisos de grupo con setgid o "establecer ID de grupo".
Esto te permite ejecutar un archivo como miembro del grupo de archivos.
En virtud de nuestros permisos de grupo,
podemos ver que el bit setgid estaba habilitado,
lo que significa que cuando se ejecuta este programa,
se ejecuta como grupo tty.
Para habilitar el bit setgid,
puedes hacer algo similar a setuid.
La única diferencia es que el formato numérico utiliza un 2.
Entonces, puedo hacer algo como esto, o algo como esto.
Hay un último bit de permiso especial que deberíamos ver, el sticky bit.
Este bit marca un archivo o carpeta.
Lo hace para que cualquiera pueda escribir en ellos,
pero no puedan borrar nada.
Solo el propietario de root puede borrar algo.
Veamos los permisos para el directorio /tmp
en donde muchos programas escriben archivos temporales, y verás lo que quiero decir.
Agregué el indicador "d" para mostrar información solo para el directorio y no para su
contenido.
Pero, como puedes ver, hay un bit de permiso especial aquí al final, "t".
Esto significa que todos pueden agregar y modificar archivos en el directorio /tmp,
pero solo el root o el propietario pueden eliminar el directorio /tmp.
También puedes habilitar el sticky bit mediante un formato numérico o simbólico.
El bit simbólico es una "t" y el bit numérico es un 1.
Entonces: sudo chmod +t my_folder/
o: sudo chmod 1755 my_folder/.
Funciona. Vamos a verificar.
Eso fue mucha información sobre bits especiales.
En general, no tendrás que lidiar con estos bits de permiso
en forma práctica diariamente, pero es importante que sepas
que existen en caso de que alguna vez quieras permitir que los usuarios
compartan carpetas o bien ejecuten comandos con privilegios escalados.
Acceso de usuario, acceso de grupo, contraseñas
y permisos son conceptos básicos en seguridad.
En este momento, solo estás trabajando con permisos y accesos en una sola computadora.
Al final, aprenderás sobre acceso a nivel multiusuario en diferentes redes
y mucho más en el próximo curso sobre administración de sistemas y servicios de
infraestructura de TI.
Por ahora, felicitaciones. Acabas de dar
tu primer paso para desarrollar un conocimiento básico de seguridad informática.
En el próximo módulo, vamos a cambiar de marcha y a hablar
sobre nuestro SO y cómo gestiona el software.
A continuación, tenemos dos evaluaciones para ti que abarcan los permisos de Windows y de
bash.
Cuando hayas terminado, tendrás permiso
para tomar un descanso antes de que empecemos el siguiente módulo.

Usuarios

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Usuarios

Cargado por

Copyright:

Formatos disponibles

Usuarios, administradores y grupos, ¡Oh, Dios!

Hola de nuevo. Ahora que aprendimos

Windows: Ver información de usuarios y grupos

Para ver información de usuarios y grupos en Windows,

Windows: Ver información de usuarios y grupos mediante CLI

Hablamos sobre el uso de la CLI en profundidad en el último módulo.

Linux: Usuarios, superusuario y más allá

En Linux, el acceso a la administración de usuarios funciona igual que en Windows.

Windows: Agregar y eliminar usuarios

Muy bien. Ahora que sabes ver la información

Linux: Agregar y eliminar usuarios

Para agregar un nuevo usuario en Linux,

Ben Life como CIO

Soy Ben Fried, director de TI de Google

Windows: Permisos de archivo

Los permisos de archivos son un concepto importante en seguridad informática.

Windows: Permisos de archivo

Como ahora sabemos, hay archivos y carpetas

Windows: Modificar permisos

Ahora que podemos leer los permisos,

Linux: Modificar permisos

En Linux, cambiamos los permisos usando el comando chmod, o "cambio de modo".

Windows: Permisos de archivo

Linux: SetUID, SetGID, Sticky Bit

En Linux, también tenemos permisos especiales.

También podría gustarte