Índice

Grupos y SID especiales

En cada equipo, existen cuentas y grupos con funciones o contenidos predefinidos. Estas cuentas poseen siempre el mismo SID en todos los equipos. Como se utilizan para dar permisos localmente a la máquina, no hay posibilidad de conflictos.

08RI28.png
08RI29.png

Trusted Installer

La cuenta Trusted Installer (Instalador de confianza) no es una cuenta de usuario propiamente dicha, sino una cuenta de servicio. Su SID comienza por S-1-5-80, que corresponde a SECURITY_SERVICE_ID_BASE_RID. Sirve para ejecutar el servicio que instala los componentes Windows, los hotfixes y los paquetes MSI. Este SID posee los permisos para todos los archivos de sistema que le permiten actualizar el sistema operativo. Tiene acceso completo a los directorios Windows, System32 y Archivos de Programas (Program Files), lo que le confiere permisos necesarios para reemplazar un archivo del sistema cuando ni siquiera los administradores tienen acceso en escritura. De la misma manera, están accesibles en escritura muchas claves de registro que definen clases y objetos COM únicamente en el servicio Trusted Installer. Cuando se le llama, el servicio de instalación invoca a MsiExec.

CREATOR OWNER

Este SID genérico es reemplazado por el SID del propietario del objeto durante la evaluación de los permisos.

OWNER RIGHTS

Es una nueva cuenta (nuevo SID) de Windows Vista y Windows 7. En Windows XP, pero también en Windows 7, el creador de un objeto posee implícitamente el derecho de modificar las ACL en su objeto, es decir, posee los permisos READ_CONTROL ...