none
Permisos NTFS sobre estructura de directorios RRS feed

  • Pregunta

  • Buenos días

    Les planteo mi problema a ver si alguien puede ayudarme. Tengo un servidor con Windows server 2003 y estoy armando la estructura de archivos, la misma consiste en un arbol de 3 directorios que deben estar protegidos para que nadie cambie el nombre de las carpetas o borre el contenido, el arbol es: Clientes - Auditoria - Balances - "Carpetas creadas por el usuario". A nivel Clientes se le dio acceso de solo lectura a "usuarios autenticados", a nivel auditoria igual y a nivel balances se le dieron permisos especiales, estos permisos consisten quitar el tilde de las opciones eliminar y eliminar subcarpetas y archivos (solo en esta carpeta) para que la carpeta no pueda ser modificada ni eliminada. Luego creé otro permiso para usuarios autenticados donde se le de permisos de modificacion solo para subcarpetas y archivos, de esta manera los usuarios pueden crear y borrar carpetas y archivos dentro de la carpeta balances.

    Las Pruebas me dieron que si creo carpetas o archivos debajo de balances los mismos pueden ser borrados sin problemas, pero si yo creo carpetas y archivos dentro de balances, luego intento borrar la carpeta balances simplemente presionando la tecla supprimir, aparece un aviso diciendo que no puede borrar la carpeta balances ya que no tiene permisos para hacerlo pero me borra todo el contenido de balances sin ningun aviso de que lo hara.
    ¿Como puedo proteger la carpeta Balances para que no se borre ni modifique y que el contenido de esa carpeta tampoco se borre al intentar borrar balances? al menos necesitaria que salga un aviso de confirmacion diciendo: ¿esta seguro que desea borrar esta carpeta?

    Aguardo comentarios

    Saludos

    Jack110
    miércoles, 5 de agosto de 2009 12:17

Respuestas

  • Para administrar los permisos en una carpeta o fichero, accedemos a sus propiedades y a la pestaña seguridad, agregamos los grupos y los usuarios a la ACL y administramos sus permisos. Para una mayor granularidad en la aplicación de los permisos, podemos usar los permisos especiales con el botón avanzada.
    Por defecto, cuando se crea un fichero o una carpeta hereda los atributos de seguridad de la carpeta inmediatamente superior. El problema está en que la más alta es el disco y este por defecto se configura con permisos para el grupo todos con control total. Esta configuración debe ser cambiada a otra que incluya usuarios autentificados con permiso de modificar y solo el grupo administradores debe tener control total.

    Archivo
    La ACL de los archivos incluye los siguientes permisos:

    Leer: Se puede leer el archivo y ver sus permisos, atributos y quién es su propietario.
    Escribir: Es posible sobrescribir en el archivo. Ver al propietario y los permisos del archivo. Modificar sus atributos.
    Lectura y Ejecución: Se pueden ejecutar aplicaciones e incluye el permiso Escribir obligatoriamente.
    Modificar: Se puede modificar o eliminar el archivo, e incluye los permisos Escribir, y Lectura y ejecución.
    Control Total: Puedes tomar la propiedad y modificar los permisos, e incluye todos los permisos anteriores.

    Carpeta
    La ACL de las carpetas incluyen los siguientes permisos:

    Leer: Permite ver archivos y subcarpetas dentro de la carpeta, ver los permisos y atributos de carpeta y saber quien es el propietario.
    Escribir: Permite crear archivos y subcarpetas en la carpeta, modificar atributos de carpeta, ver el propietario y los permisos.
    Listar el Contenido de la Carpeta: Ver los nombre de archivos y subcarpetas en la carpeta.
    Lectura y Ejecución: Te puedes mover por las carpetas para llegar a leer otros archivos y carpetas donde en principio no tendrías permisos, además incluye los permisos de Leer y Listar el contenido de la carpeta.
    Modificar: Puedes eliminar la carpeta e incluye los permiso de Escribir y Lectura y ejecución.
    Control Total: Puedes modificar los permisos, tomar la propiedad, eliminar subcarpetas y archivos, y además tienes todos los permisos anteriores.

    Permisos especiales
    Los permisos especiales permiten una mayor granularidad a la hora de aplicar restricciones. En realidad, lo permisos antes descritos son conjuntos de estos permisos.

    2.5. La herencia de permisos

    Bloqueo de herencia desde la carpeta hija:
    Los permisos se heredan desde la carpeta padre a las subcarpetas y archivos hijos, si bien este comportamiento se puede modificar. En la pestaña seguridad existe una opción para bloquear la herencia entre la carpeta padre y la que estamos administrando:

    Si desmarcamos esta opción bloqueamos la herencia, siempre desde el punto de vista de la carpeta hija:

    Forzar la herencia desde la carpeta padre:
    Si desde la pestaña seguridad hacemos clic en avanzada podemos modificar el comportamiento desde la carpeta padre para que obligue a todas sus hijas a heredar sus permisos:


    A pesar de haber bloqueado la herencia en la carpeta hija, marcando esta opción en la carpeta padre sobrescribe la ACL de la carpeta hija.
    Bloquear la herencia desde la carpeta padre:
    Por último, para administrar un permiso en la carpeta padre y que este no se herede a las carpetas hijas configuradas para heredar, vamos a la pestaña en la que se administran los permisos especiales y marcamos la siguiente:

     

    Así los permisos que apliquemos en esta ventana a la carpeta padre no se heredarán a las carpetas hijas aunque estas estén configuradas para heredar. Es decir, bloqueamos la herencia desde la carpeta padre.


    Las Leyes de los permisos NTFS

    Lo que no está explícitamente permitido, está implícitamente denegado.
    Los permisos NTFS se suman por pertenencia a grupos. Esto quiere decir que si por la pertenencia a un grupo tenemos permiso de lectura y por pertenencia a otro lo tenemos de escritura, se sumarán y obtendremos lectura y escritura.
    Denegar prevalece. Siempre prevalece denegar. Si una cuenta tiene privilegios de lectura por pertenencia a un grupo y de denegar leer por pertenencia a otro, prevalece denegar. No se recomienda usar denegar por la dificultad que entraña el posterior rastreo de permisos.
    Prevalecen los permisos de fichero sobre los de carpeta: Si sobre una carpeta no tenemos permisos pero sobre un fichero que hay dentro de ella si, podremos acceder a él usando file:// y la ruta al fichero desde ejecutar

    jueves, 6 de agosto de 2009 4:58