none
Ayuda con permisos urgente RRS feed

  • Pregunta

  • Hola grupo,

    Tengo una carpeta compartida (C:\Compartido) en un servidor (SRV1) con Windows 2003 Server. A esta carpeta tienen acceso todos los usuarios del dominio mediante unidad de red Z: Una vez dentro, cada usuario tiene acceso únicamente a una de las subcarpetas existentes, gracias a haber quitado la herencia de permisos y haber establecido los permisos específicos en cada subcarpeta. Hasta aquí todo correcto, pero ahora viene el problema....

    Estas subcarpetas (Compras, Finanzas, RRHH) son las principales de cada departamento y necesito que solo el administrador del dominio pueda crear nuevas subcarpetas principales (como Ventas, Logistica, etc...). Tal y como lo tengo ahora, cualquier usuario puede crear una carpeta dentro de Compartido y me gustaría evitarlo, ¿existe alguna forma?. He realizado pruebas de permisos y he conseguido que no puedan crear carpetas ni ficheros en el primer nivel de Compartido, pero entonces tampoco pueden hacerlo dentro de la subcarpeta en la que antes SI podían crear, modificar, eliminar, etc... ficheros y carpetas.

    A ver si podéis darme una solución, me urge bastante y ya no sé que más probar, gracias.

    miércoles, 13 de agosto de 2014 9:34

Respuestas

  • Hola, Frank555:

    Personalmente, no suelo recomendar establecer un directorio raíz visible desde donde "cuelguen" el resto de directorios críticos para cada departamento de la organización. Basta con poner la miel en los labios para que cualquier día, un usuario no autorizado encuentre una forma alternativa de acceder a carpetas no debidas gracias a alguna utilidad/truco que haya visto, contado o leído por terceros..

    Para el scenario que nos atañe, toca "jugar" con los parámetros de seguridad NTFS y SHARED de cada directorio crítico. Mi recomendación, por tanto es proceder a la siguiente configuración tomando el siguiente esquema como el scenario actual:

    COMPARTIDO
    |
    | - Carpeta crítica COMPRAS
    | | - subcarpeta COMPRAS-X1
    |
    | - Carpeta crítica FINANZAS
    | | - subcarpeta FINANZAS-X1

    Directorio raíz COMPARTIDO
    PERMISOS NTFS:
    Propietario: Grupo Administradores de dominio (minimo). Al que pertenezca la cuenta "Administrador"
    Impedir la herencia de permisos del directorio padre.
    Reemplazar permisos en carpetas, subcarpetas y arhivos editados desde éste objeto
    PERMISOS:
    Grupos personales de departamentos de usuarios (COMPRAS, FINANZAS.. etc) => Lectura & ejecución, listar contenido y lectura. Escritura: denegado (MUY IMPORTANTE!!)
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    PERMISOS SHARED:
    Grupos personales de departamentos de usuarios => Lectura
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    Subdirectorio crítico (por ejemplo, COMPRAS):
    PERMISOS NTFS:
    Reemplazar permisos en carpetas, subcarpetas y arhivos editados desde éste objeto
    Propietario: Grupo Administradores de dominio (minimo). Al que pertenezca la cuenta "Administrador"
    Grupo personal de departamento de COMPRAS => Acceso completo
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    PERMISOS SHARED:
    Grupo personal de departamento de COMPRAS => Acceso completo
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    En cada subdirectorio, es MUY importante asegurarte que heredan los permisos establecidos en el directorio raíz, de modo que SOLO los grupos que señalas en los permisos NTFS y SHARED tengan acceso. Al definir en el raíz por NTFS que ninguno de los grupos pueda escribir en el mismo, te aseguras que cumpla con la condición que has señalado: el usuario perteneciente al dep. COMPRAS (por ejemplo) podrá navegar y acceder al directorio COMPARTIDO y acceder a su subdirectorio correspondiente (e incluso escribir en él), pero no podrá acceder a ninguno de los otros subdirectorios y tampoco podrá escribir en el directorio raíz COMPARTIDO.

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Desiderio Ondo miércoles, 13 de agosto de 2014 14:16
    • Marcado como respuesta Uriel Almendra jueves, 14 de agosto de 2014 14:24
    miércoles, 13 de agosto de 2014 11:19

Todas las respuestas

  • Hola, Frank555:

    Personalmente, no suelo recomendar establecer un directorio raíz visible desde donde "cuelguen" el resto de directorios críticos para cada departamento de la organización. Basta con poner la miel en los labios para que cualquier día, un usuario no autorizado encuentre una forma alternativa de acceder a carpetas no debidas gracias a alguna utilidad/truco que haya visto, contado o leído por terceros..

    Para el scenario que nos atañe, toca "jugar" con los parámetros de seguridad NTFS y SHARED de cada directorio crítico. Mi recomendación, por tanto es proceder a la siguiente configuración tomando el siguiente esquema como el scenario actual:

    COMPARTIDO
    |
    | - Carpeta crítica COMPRAS
    | | - subcarpeta COMPRAS-X1
    |
    | - Carpeta crítica FINANZAS
    | | - subcarpeta FINANZAS-X1

    Directorio raíz COMPARTIDO
    PERMISOS NTFS:
    Propietario: Grupo Administradores de dominio (minimo). Al que pertenezca la cuenta "Administrador"
    Impedir la herencia de permisos del directorio padre.
    Reemplazar permisos en carpetas, subcarpetas y arhivos editados desde éste objeto
    PERMISOS:
    Grupos personales de departamentos de usuarios (COMPRAS, FINANZAS.. etc) => Lectura & ejecución, listar contenido y lectura. Escritura: denegado (MUY IMPORTANTE!!)
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    PERMISOS SHARED:
    Grupos personales de departamentos de usuarios => Lectura
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    Subdirectorio crítico (por ejemplo, COMPRAS):
    PERMISOS NTFS:
    Reemplazar permisos en carpetas, subcarpetas y arhivos editados desde éste objeto
    Propietario: Grupo Administradores de dominio (minimo). Al que pertenezca la cuenta "Administrador"
    Grupo personal de departamento de COMPRAS => Acceso completo
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    PERMISOS SHARED:
    Grupo personal de departamento de COMPRAS => Acceso completo
    Grupo de Administradores de dominio => Acceso completo
    Cuenta SYSTEM => Acceso completo

    En cada subdirectorio, es MUY importante asegurarte que heredan los permisos establecidos en el directorio raíz, de modo que SOLO los grupos que señalas en los permisos NTFS y SHARED tengan acceso. Al definir en el raíz por NTFS que ninguno de los grupos pueda escribir en el mismo, te aseguras que cumpla con la condición que has señalado: el usuario perteneciente al dep. COMPRAS (por ejemplo) podrá navegar y acceder al directorio COMPARTIDO y acceder a su subdirectorio correspondiente (e incluso escribir en él), pero no podrá acceder a ninguno de los otros subdirectorios y tampoco podrá escribir en el directorio raíz COMPARTIDO.

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Desiderio Ondo miércoles, 13 de agosto de 2014 14:16
    • Marcado como respuesta Uriel Almendra jueves, 14 de agosto de 2014 14:24
    miércoles, 13 de agosto de 2014 11:19
  • Hola!

    Muchas gracias por tu pronta respuesta, voy a seguir tus pasos y mañana te cuento. Gracias de nuevo!

    miércoles, 13 de agosto de 2014 14:10
  • Hola de nuevo

    He realizado pruebas y he conseguido el propósito inicial, haciendo algunos "retoques" sobre tus instrucciones, me explico:

    En los PERMISOS SHARED del directorio raíz COMPARTIDO he tenido que añadir el permiso Cambiar en los grupos personales de departamentos de usuarios.

    En los PERMISOS NTFS de cualquier subcarpeta crítica (COMPRAS, por ejemplo) he deshabilitado la herencia y quitado los grupos personales de departamentos innecesarios. Además, en estas subcarpetas críticas no ha sido necesario dar permisos SHARED.

    Con esto he conseguido que todos los usuarios tengan acceso a COMPARTIDO, que no puedan crear ninguna carpeta de 1er nivel y que tengan acceso únicamente a las subcarpetas necesarias, pudiendo crear ahí dentro carpetas y ficheros.

    Saludos

    jueves, 14 de agosto de 2014 10:31
  • Hola, Frank555:

    El propósito de cada escrito no es ofrecer la respuesta 100% completa (ya que no conocemos la Infraestructura de tu LAN), sino dar unas pautas para que a partir de la misma podais aplicar la solución consultada. Me alegra haber servido de inspiración en éste scenario

    Si te ha sido útil, recuerda marcar la respuesta como válida para que otros usuarios del foro puedan usarla de referencia..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Desiderio Ondo miércoles, 3 de septiembre de 2014 14:55
    jueves, 14 de agosto de 2014 10:48
  • Hecho Desiderio, gracias por todo.
    miércoles, 3 de septiembre de 2014 8:42