none
¿Gana el acceso mas o menos restrictivo en el Active Directory? RRS feed

  • Pregunta

  • Buenas,

    tengo una duda sobre el funcionamiento de los permisos de acceso de usuario a nivel de active directory. Me explico, supongamos que tengo un grupo  llamado "Oficina", donde se tienen acceso a todos los recursos básicos de la 0ficina, pero tengo un grupo "Gerente" que incluye alguno de estos usuarios. El primer grupo no tiene acceso de escritura, pero al segundo le otorgo acceso completo. Imagino que gana el grupo que le da acceso mas permisivo¿no? Es decir, el usuario que esté en ambos grupos, podrá acceder a todos los documentos con todos los permisos, ya que existe en al menos un grupo que le asigna esos permisos. ¿es correecto este planteamiento?

    Saludos.

    lunes, 11 de agosto de 2014 16:40

Respuestas

  • Claro que tendrá acceso porque el requisito es que el usuario tenga un SID (en este caso el del grupo) que le permita acceso al share.

    Por otro lado, y para que no hagas complicados cálculos de permisos Share vs. NTFS, te recomiendo que en Share siempre des permiso de escritura a todos los usuarios usando el grupo (Authenticated Users), de esta manera solo te concentras en restringir o entregar permisos en NTFS, esto está documentado como una buena práctica.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE


    • Editado Jesus.Penaranda lunes, 11 de agosto de 2014 20:17
    • Marcado como respuesta Pato_so martes, 12 de agosto de 2014 12:48
    lunes, 11 de agosto de 2014 20:14

Todas las respuestas

  • Hola!

    La evaluación de permisos efectivos tiene que considerar:

    1. Para permisos NTFS los permisos se suman, es decir, si el Grupo A me da lectura, el Grupo B me da escritura y yo soy miembro de A y B, pues tengo lectura y escritura.

    2. Si hay permisos SHARE en la ecuación, entonces entre NTFS y SHARE gana el mas restrictivo, en el mismo ejemplo, si SHARE dice lectura, así yo tenga lectura y escritura por NTFS me quedo con lectura porque SHARE es mas restrictivo.

    Espero haberte aclarado un poco el tema!

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Propuesto como respuesta Uriel Almendra lunes, 11 de agosto de 2014 17:30
    • Marcado como respuesta Pato_so lunes, 11 de agosto de 2014 19:42
    • Desmarcado como respuesta Pato_so lunes, 11 de agosto de 2014 19:51
    lunes, 11 de agosto de 2014 16:44
  • Hola Jesús,

    entiendo por lo que me dices, que los permisos NTFS  se aplicacan en local unicamente, y el grupo share, cuando tengo una carpeta compartida en el dominio para todos los usarios.

    Entonces mi problema sería que tengo un grupo con permiso share que me dice que si, otro grupo con permiso share que dice que no, ¿cual prevalece?

    Pongo el mismo ejemplo que antes. El grupo "Oficina" no tiene acceso habilitado para la carpeta "Ventas" pero el grupo "Gerente" sí, ahora tengo el usuario Pepe que pertene a ambos grupos. ¿Podría Pepe ver "Ventas"? Imagino que si, porque sino no veo mucho sentido a la jerarquía.

    Saludos y gracias.

    lunes, 11 de agosto de 2014 19:56
  • Claro que tendrá acceso porque el requisito es que el usuario tenga un SID (en este caso el del grupo) que le permita acceso al share.

    Por otro lado, y para que no hagas complicados cálculos de permisos Share vs. NTFS, te recomiendo que en Share siempre des permiso de escritura a todos los usuarios usando el grupo (Authenticated Users), de esta manera solo te concentras en restringir o entregar permisos en NTFS, esto está documentado como una buena práctica.

    Saludos,


    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE


    • Editado Jesus.Penaranda lunes, 11 de agosto de 2014 20:17
    • Marcado como respuesta Pato_so martes, 12 de agosto de 2014 12:48
    lunes, 11 de agosto de 2014 20:14
  • Vamos, que se podría decir que gana el acceso menos restrictivo en este tipo de permisos.

    ¡Muchas gracias por la aclaración!.

    Con respecto a tu consejo, es lo que hago. Doy permisos de acceso a todo un grupo,  y añado usuarios a este grupo, mi duda era cuando 2 grupos con los mismos usuarios se solapan en una carpeta.

    Gracias!ya fue resuelta!

    martes, 12 de agosto de 2014 12:51