Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Imagine que es un administrador de empresa responsable de la administración de la directiva de seguridad para una serie de estaciones de trabajo. En un dominio de empresa normal, el administrador de la red tiene privilegios administrativos en todos los servidores y clientes. Sin embargo, no es raro que cada uno de los usuarios tenga privilegios administrativos en una sola estación de trabajo. Como consecuencia, el administrador de la red tiene privilegios administrativos en el nivel de la directiva de empresa y el administrador de la estación de trabajo los tiene en el nivel de la directiva de equipo. En esta situación, el administrador de la red parece tener un mayor control sobre la directiva, por que la directiva de empresa se evalúa antes y la directiva de equipo no puede hacer menos restrictivas las decisiones de seguridad que toma el administrador del nivel de empresa. Con todo, el administrador del nivel de equipo puede endurecer la seguridad, con la posibilidad de interrumpir aplicaciones de confianza que, de otra manera, se hubieran podido ejecutar. Por ello, los niveles de directiva superiores pueden decidir que no se evalúen las decisiones de directiva de niveles inferiores.
Esto se puede hacer aplicando los atributos LevelFinal o Exclusive a un grupo de código mediante una de las herramientas de directiva de seguridad.
Atributo LevelFinal
Cuando se aplica a un grupo de código, el atributo LevelFinal impide que se evalúen todos los niveles de directiva por debajo del actual. Por ejemplo, si se aplica el atributo LevelFinal al grupo de código de la intranet local en el nivel de empresa, todos los grupos de código en el nivel de equipo no se evaluarán incluso si ha realizado cambios un administrador del nivel de equipo. Si se aplica el atributo LevelFinal se garantiza que un ensamblado asociado a un grupo de código marcado con este atributo no recibirá nunca menos permisos como consecuencia de las decisiones tomadas por un administrador de un nivel de directiva inferior. Para obtener información sobre el establecimiento del atributo LevelFinal en un grupo de código predeterminado o personalizado, vea la herramienta Configuración de .NET Framework (Mscorcfg.msc) o la herramienta Directiva de seguridad de acceso a código (Caspol.exe).
Atributo Exclusive
Cuando se aplica a un grupo de código, el atributo Exclusive impide que otros grupos de código del mismo nivel de directiva se tenga en cuenta cuando el motor en tiempo de ejecución calcula los permisos de los ensamblados del grupo de código exclusivo. Sin embargo, los niveles de directiva por encima y por debajo del actual se pueden seguir evaluando. Este atributo permite que un grupo de código específico tome la decisión para el nivel de directiva actual en lo que se refiere a qué permisos se conceden a los ensamblados que coincidan con dicho grupo. Esto resulta útil cuando se desea conceder un conjunto de permisos concreto a ensamblados específicos, sin permitir los permisos de otros grupos de código coincidentes del mismo nivel de directiva.
Tenga en cuenta que un ensamblado no se puede ejecutar si pertenece a más de un grupo de código marcado como exclusivo. Por ello, el atributo Exclusive se debe utilizar con precaución al administrar directivas de seguridad personalizadas. Para obtener información sobre el establecimiento del atributo Exclusive en un grupo de código integrado o personalizado, vea la herramienta Configuración de .NET Framework (Mscorcfg.msc) o la herramienta Directiva de seguridad de acceso a código (Caspol.exe).
Vea también
Conceptos
Atributos de grupo de código
Grupos de código
Otros recursos
Administración general de directivas de seguridad
Procedimientos recomendados para directivas de seguridad