Consideraciones de seguridad para el área de trabajo

Mientras ejecuta esta tarea, considere los factores necesarios para decidir qué usuarios pueden realizar acciones en el área de trabajo.

Vea si es conveniente realizar una de las siguientes tareas:

  1. ¿Está ejecutando con la compatibilidad de dominio habilitada?
  2. ¿Está ejecutando con la compatibilidad de dominio inhabilitada?
  3. Seguridad del canal entre el área de trabajo y el Gestor de configuración

Asegúrese de que los ID de usuarios que ejecuten el área de trabajo no tengan más de ocho caracteres.

¿Está ejecutando con la compatibilidad de dominio habilitada?

Es aconsejable ejecutar con la compatibilidad de dominio habilitada. Con esta opción, la información del dominio para un usuario del área de trabajo va seguida del ID de usuario para el Gestor de configuración para que la seguridad sea mayor. Presuponga que está ejecutando el área de trabajo en una máquina llamada WKSTN1, que es miembro de un dominio llamado DOMAIN1. Los usuarios de DOMAIN2 también desean usar el área de trabajo. Realice los siguientes pasos:

  1. Cuando esté utilizando el modelo de función de Definición de usuario, añada los ID de usuario del dominio, por ejemplo, DOMAIN1\user1 y DOMAIN2\user2, a los grupos locales: WKSTN1\mqbrasgn, WKSTN1\mqbrdevt, WKSTN1\mqbrops y WKSTN1\mqbrtpic. Puede anidar la pertenencia a grupos. Por ejemplo, añada DOMAIN1\user1 al grupo global DOMAIN1\authusers y después añada DOMAIN1\authusers a WKSTN1\mqbrops.

    Cuando esté utilizando el modelo a nivel de objeto y la seguridad de ACL, añada todos los usuarios/grupos de seguridad a los nombres de grupos locales que vaya a utilizar en sus ACL.

  2. Cuando cree el Gestor de configuración:
    1. No establezca la opción -d. El Gestor de configuración comprobará los grupos locales para saber si el usuario es miembro del grupo.
    2. Establezca la opción -l en 2. Esto indica la compatibilidad de dominio.

Cuando inicie el área de trabajo, ésta enviará automáticamente la información del dominio correspondiente al ID de usuarioGestor de configuración. Habilite la compatibilidad de dominio en el Gestor de configuración para tener acceso a la información del dominio.

¿Está ejecutando con la compatibilidad de dominio inhabilitada?

Puede inhabilitar la compatibilidad de dominio, pero si trabaja con esta opción la información del dominio para el usuario del área de trabajo fluirá con la información correspondiente al ID de usuario y, por lo tanto, la seguridad quedará reducida. Por este motivo es aconsejable funcionar con la compatibilidad de dominio habilitada.

Para inhabilitar la compatibilidad de dominio, conteste a las siguientes preguntas:

  1. ¿Los usuarios del área de trabajo proceden de un dominio local?
    1. No: vaya a la siguiente pregunta.
    2. Sí: puede omitir la opción -d del mandato mqsicreateconfigmgr, o dar a esta opción el nombre de la máquina local. También puede establecer la opción -l en 2.

      Para el modelo de la función Definición de usuario, asegúrese de que los área de trabajo usuarios son miembros de los grupos locales: mqbrasgn, mqbrdevt, mqbrops y mqbrtpic.

      Con el modelo a nivel de objeto, si está utilizando la seguridad mediante ACL, deberá añadir todos los usuarios a los grupos locales que vaya a utilizar en las ACL.

      Vaya al apartado Seguridad del canal entre el área de trabajo y el Gestor de configuración.

  2. ¿Los usuarios del área de trabajo proceden de otro dominio?
    1. Sí: Asegúrese de haber establecido la opción -d en el mandato mqsicreateconfigmgr, para determinar el dominio que el Gestor de configuración utiliza para obtener la pertenencia a grupos de los usuarios. Establezca también la opción -l en 2.
      Con el modelo de la función Definición de usuario, las tareas que puede realizar un usuario dependen de si dicho usuario es miembro de los grupos globales:
      • dominio mqbrasgn
      • dominio mqbrdevt
      • dominio mqbrops
      • dominio mqbrtpic.
      Si desea ver más información sobre las autorizaciones que confiere la pertenencia a dichos grupos, consulte el apartado Requisitos de seguridad para plataformas Windows.

      Con el modelo a nivel de objeto, si está utilizando la seguridad mediante ACL, deberá añadir todos los usuarios y grupos del dominio a los grupos locales que vaya a utilizar en las ACL.

Para más seguridad, ejecute con la compatibilidad de dominio y la seguridad activadas. Si desea ver más información sobre las rutinas de salida de seguridad, consulte Rutinas de salida de seguridad.

Vaya al apartado Seguridad del canal entre el área de trabajo y el Gestor de configuración

Seguridad del canal entre el área de trabajo y el Gestor de configuración

Cree y habilite un par de rutinas de salida de seguridad para ejecutarlas en los extremos de la conexión del área de trabajo y el Gestor de configuración. Utilice esas rutinas de salida para verificar los usuarios del área de trabajo con el Administrador de seguridad de Windows en la máquina del Gestor de configuración.
Si desea ver más información sobre la creación y habilitación de rutinas de salida de seguridad, consulte el apartado Rutinas de salida de seguridad.

Conceptos relacionados
Rutinas de salida de seguridad
Seguridad para recursos de ejecución

Tareas relacionadas
Utilización de rutinas de salida de seguridad

Referencia relacionada
Requisitos de seguridad para plataformas Windows
Permisos de ACL
Mandato mqsicreatebroker
Mandato mqsichangebroker