none
Directiva para permitir copiar carpetas incluyendo permisos NTFS RRS feed

  • Pregunta

  • Buenos días.

    Necesito copiar carpetas incluyendo sus permisos NTFS y os comento a continuación cómo he procedido para realizar las copias y el problema que tengo que no me copia los permisos NTFS.

    Tengo un usuario del dominio con el que quiero copiar carpetas junto con sus permisos NTFS. Al realizar el XCopy con los parámetros /x /o (para copiar los permisos NTFS que necesito) me aparece un mensaje que indica que no tengo suficientes privilegios. También lo he probado con Robocopy vía el parámetro /copyall que viene a ser el equivalente más o menos y tampoco me deja por falta de privilegios.

    El usuario es administrador de la máquina, el XCopy lo ejecuto desde una cónsola (CMD) ejecutada con permisos de Administrador. Lo único que se me ocurre es que sea una política que tenga que agregar en la GPO y he probado con habilitar "Hacer copias de seguridad de archivos y directorios" dentro de las directivas locales en la GPO que tiene asignada, pero reinicio el equipo, pruebo a ver y el problema persiste, me sigue indicando que no tengo el privilegio suficiente.

    Por razones de seguridad no agrego éste usuario al grupo de administradores del dominio ya que si lo hago entonces sí funciona.

    Podéis probarlo creando un usuario normal en Directorio Activo e intentando copiar una carpeta con permisos NTFS.

    Si alguien puede ayudarnos..

    Gracias de antemano y saludos,
    JL
    martes, 28 de junio de 2011 6:16

Respuestas

  • Ya está arreglado, era una tontería. Tenía Full control pero realmente no tenía marcada la opción de "Permisos Especiales".

    En resumen, para que funcione la copia de una estructura de directorios conservando sus permisos NTFS, el procedimiento es el siguiente:

    1. En el directorio padre donde se quiera copiar la carpeta incluyendo sus directivas, el usuario tiene que tener Full Control incluídos los permisos especiales;
    2. Para poder hacer la copia en Windows 7 o Vista hay que abrir una consola CMD con permisos de administrador. Si se utilizan unidades de red asegurarse que se han vuelto a reconectar las unidades porque al abrir como administrador no están generadas.

    Un saludo y gracias Dani.


    Jose Luis
    • Marcado como respuesta Jose Luis C_ viernes, 1 de julio de 2011 9:44
    viernes, 1 de julio de 2011 9:44

Todas las respuestas

  • Hola Jose Luis,

    Primero de todo estamos hablando de Windows 2003 o 2008?

    Por lo que he entendido quieres realizar una migración de datos y preservar sus permisos.

    Las carpetas están compartidas?

    Los ficheros están en uso?

    La cuenta de usuario a parte de ser admin local de la máquina, tiene permisos sobre la totalidad de los directorios?

     

    Péganos la linea de código que usas y lo miramos.


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    martes, 28 de junio de 2011 6:40
  • Gracias Dani. Es una red basada en Windows Server 2003 Standard. Los archivos no están en uso y necesito que un grupo de usuarios tengan permisos para poder copiar una estructura de carpetas con sus permisos NTFS incluidos. Estos usuarios no son administradores de dominio por eso cuando intento realizar copias aparecen mensajes de error diciendo que no tienen suficientes privilegios.

    He estado buscando pero no encuentro la solución. Lo único que sé es que funciona perfectamente si eres un administrador del dominio ya que tienes directivas por defecto aplicadas que ese grupo de usuarios corrientes no tienen. Estoy buscando la forma de determinar qué política debo aplicar pero no hay manera.

    Puedes probar con un usuario corriente logado en dominio, te conectas a una carpeta en el servidor, abres un CMD con permisos de administrador y ejecutas:

    "XCopy <carpeta_origen> <carpeta_destino> /x /o /e"

    Con un administrador de dominio no tendrás problemas.

    Puedes probar también con Robocopy también desde una cónsola con permisos de administrador:

    "Robocopy <carpeta_origen> <carpeta_destino> /zb /sec

    A ese grupo de usuarios he probado habilitarle la directiva "Hacer copias de seguridad de archivos y directorios" pero sigue sin funcionar y sin poder copiar las carpetas conservando NTFS.

    Si no intento copiar los permisos NTFS, es decir, si quiero copiar únicamente las carpetas entonces no hay problema pero no les conservan los permisos y aplica los mismos que si creases una carpeta nueva.

    ¿Sabes qué privilegio tengo que otorgarles para que puedan realizar éste procedimiento?

    El Robocopy lo extraje del Resource Kit Tools: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17657

    Un saludo,

     


    JL
    jueves, 30 de junio de 2011 7:56
  • Creo que tienes que tener control total sobre el directorio de origen y poder escribir en el log de segudirad, además de los permisos que diste de backup y restore.

     

    Y en el destino igual, debes tener full control sobre el directorio.

     

    Ejemplo

     Robocopy "F:\Project1" "H:\Project1" /E /SEC /ZB /LOG:file



    Habilita el log y te mostrará más información.



    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    jueves, 30 de junio de 2011 9:28
  • He probado el comando tal cual me indicas y el resultado del LOG es el siguiente:

    -------------------------------------------------------------------------------
    ROBOCOPY :: Herramienta para copia eficaz de archivos
    -------------------------------------------------------------------------------
    Inicio: Thu Jun 30 11:57:13 2011
    Origen : T:\Jose Luis C_\prueba\
    Destino : T:\Jose Luis C_\prueba_Duplicada\

    Archivos: *.* Opciones: *.* /S /E /COPY:DATS /ZB /R:1000000 /W:30
    ------------------------------------------------------------------------------

    Nuevo dir 1 T:\Jose Luis C_\prueba\ 2011/06/30 11:57:13 ERROR 5 (0x00000005) Copiando seguridad NTFS en el directorio de destino T:\Jose Luis C_\prueba\ Acceso denegado.

    Nuevo arch 90699 logo_202C.png 2011/06/30 11:57:13 ERROR 5 (0x00000005) Copiando seguridad NTFS en el directorio de destino T:\Jose Luis C_\prueba\ Acceso denegado.

    ------------------------------------------------------------------------------
    Total Copiado Omitido No coincidencia ERROR
    Extras Directorios: 1 1 0 0 0 0
    Archivos: 1 0 0 0 1 0
    Bytes: 88.5 k 0 0 0 88.5 k 0
    Veces: 0:00:00 0:00:00 0:00:00 0:00:00
    Finalizado: Thu Jun 30 11:57:13 2011


    A la hora de coger el usuario e intentar hacerme propietario de la carpeta me aparece un error:

    "Seguridad de Windows"
    No se pude establecer un nuevo propietario en prueba

    Acceso denegado.


    JL
    jueves, 30 de junio de 2011 10:09
  • Jose Luis, como lo estás haciendo en forma remota, prueba iniciando el CMD *sin* el Ejecutar como Administrador

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 30 de junio de 2011 21:52
    Moderador
  • Hola Guillermo. Lo he probado pero entonces ni siquiera copia archivos. Adjunto el log de resultados:

    ERROR: no tiene los derechos de usuario de copias de seguridad y restauraci¢n de archivos.
    *****  Los necesita para hacer copias de seguridad (/B o /ZB).

    ERROR: Robocopy se qued¢ sin memoria y se va a cerrar.
    ERROR: par metro no v lido n§%d : "%s"

    ERROR: archivo de trabajo no v lido, l¡nea n§%d :"%s"

    Indica que no tiene derechos pero sí que tiene. Aquí tal vez entre en juego la UAC de Windows 7, que está en modo predeterminado. También destacar que el usuario es un usuario del dominio corriente, con la directiva aplicada para poder permitir copias de seguridad y con permisos de administrador sobre la propia máquina.

    ¿Alguna idea más que pueda probar?


    JL
    viernes, 1 de julio de 2011 6:55
  • Hola Dani.

    ¿Has podido intentar reproducir al menos el problema para ver lo que sucede?


    Jose Luis
    viernes, 1 de julio de 2011 7:00
  • Hola JoseLuis,

     

    Creo que el problema radica en los permisos que tienes en el directorio destino.

    Si creas el directorio destino con Robocopy creo que no te da los permisos de full control necesarios para copiar permisos NTFS.

     

    por ejemplo en el Destino : T:\Jose Luis C_\prueba_Duplicada\     en T:\Jose Luis C_   el usuario con el que realizas dicha migración o copia de datos debe tener FUll control y con herencia hacia abajo. Sino tienes full control sobre el destino no te deja copiar permisos.

    También hay problemas cuando copias carpetas que tienen corte en herencia de permisos.

     

    Hay ocasiones en que primero se crea la estructura raíz de carpetas en el destino mediante script y se asignan permisos en el raíz o carpeta padre para que el grupo o usuario que ace la migracón cuente con Full control. Entonces uan vez hecha esa parte se ejecuta el robocopy y ya no hay problemas.

    Estoy hablando de un script por ejemplo de creación de directorio md T:\jose luis _c  y luego si tienes que compartir usas net share servidor=T:\Jose Luis _c /GRANT:"User",FULL   y para permisos NTFS por ejemplo, puedes usar XCACLS que lo puedes descargar. 

    xcacls.vbs T:\Jose Luis_ C /g "BUILTIN\Administrators" :F /g       (y seguir agregando por ejemplo "DOmain_name\User")


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    viernes, 1 de julio de 2011 7:07
  • Hola Dani.

    He comprobado que el directorio padre tenga asignados permisos Full Control al grupo donde pertenece éste usuario y sigue sin funcionar. He tenido que otorgarle con un usuario administrador el propietario de la carpeta al grupo, a ver si así se arregla pero nada, además con el usuario tampoco puedo obtener la propiedad de la carpeta aunque la carpeta padre indique que tengo Full Control, incluso si creo una nueva carpeta me asigna Full Control siguiendo los permisos heredables pero sigue sin funcionar y me deniega el acceso.

    Voy a probar con el script que me comentas, primero copiaré directorios y luego realizaré la asignación de permisos aunque la idea no era esa sino conservar los permisos que tiene la carpeta ya que el usuario hasta ahora copiaba la carpeta y le cambiaba los permisos sin problemas pero como es una estructura de directorios compleja pues pierde tiempo haciéndola y quería automatizárselo.

    Si se te ocurre algo más coméntamelo por favor.

    Gracias de nuevo.


    Jose Luis
    viernes, 1 de julio de 2011 7:41
  • A mi me funcionó con FUll control sobre origen y destino.
    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Marcado como respuesta Jose Luis C_ viernes, 1 de julio de 2011 9:30
    • Desmarcado como respuesta Jose Luis C_ viernes, 1 de julio de 2011 9:30
    viernes, 1 de julio de 2011 7:49
  • Ya está arreglado, era una tontería. Tenía Full control pero realmente no tenía marcada la opción de "Permisos Especiales".

    En resumen, para que funcione la copia de una estructura de directorios conservando sus permisos NTFS, el procedimiento es el siguiente:

    1. En el directorio padre donde se quiera copiar la carpeta incluyendo sus directivas, el usuario tiene que tener Full Control incluídos los permisos especiales;
    2. Para poder hacer la copia en Windows 7 o Vista hay que abrir una consola CMD con permisos de administrador. Si se utilizan unidades de red asegurarse que se han vuelto a reconectar las unidades porque al abrir como administrador no están generadas.

    Un saludo y gracias Dani.


    Jose Luis
    • Marcado como respuesta Jose Luis C_ viernes, 1 de julio de 2011 9:44
    viernes, 1 de julio de 2011 9:44
  • José Luis, gracias por compartir la respuesta.

    Muevo el hilo al foro de General, porque el tema no tiene relación con GPOs

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 1 de julio de 2011 21:13
    Moderador
  • Muchísimas gracias por la aportación! Tenia el mismo problema! Me estaba volviendo loca por una cosa tan simple...
    martes, 30 de julio de 2013 16:44
  • Aunque el problema que se me plantea a mi es que tengo desmarcada la opción de permisos especiales. Sabéis como puedo solucionarlo? Gracias
    jueves, 1 de agosto de 2013 11:57