none
Duda compartir archivos Windows Server 2008 R2 RRS feed

  • Pregunta

  • Hola a toda la comunidad,

    Resulta que tengo el siguiente requerimiento para compartir una estructura de directorios en un file server con Windows Server 2008 R2 Standard.

    Tengo compartido por el administrador de almacenamiento y recursos compartidos un directorio E:\Test\

    Dentro de este tengo otros directorios así:

    E:\Test\Directorio1 

                E:\Test\Directorio1\Subdirectorio1

    E:\Test\Directorio2

               E:\Test\Directorio1\Subdirectorio2

    E:\Test\Directorio3

               E:\Test\Directorio1\Subdirectorio3

    Es caso es algo complejo, se requiere que todos tengan acceso pero que sólo unos puedan acceder a ciertas carpetas de la raiz E:\Test\ y otros a los Directorios y Subdirectorios.

    No sé cómo puedo hacer para que todos puedan ver el recurso compartido pero que sólo tengan acceso a las carpetas que yo le de permiso, ya sea de lectura escritura o modificación.

    Actualmente lo estoy haciendo por el Administrador de almacenamiento y recursos compartidos dandole acceso a E:\Test\ en la pestaña Permisos y luego Permisos de los recursos compartidos, le asigno el usuario o grupo que deseo tenga acceso de sólo lectura. Luego en Permisos NTFS asigno el usuario o grupo con el mismo nivel de acceso - Lectura.

    Pero cuando hago pruebas con el usuario y cerrado sesión y volverla a iniciar, observo que el usuario puede tener acceso a toda la ruta y a toda las subcarpetas dentro de la raiz....

    y lo más grave es que puede copiar archivos hacia el equipo del usuario..

    Nota: Pero el permiso de sólo lectura en la ruta compratida si está aplicando, ya que en la misma ruta no me deja modificar ni escribir ni nada más....

    Cómo puedo acotar los niveles de acceso por usuario y por carpeta apartir del recurso compartido que tengo...

    Gracias y saludos

     


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    miércoles, 24 de octubre de 2012 19:54

Respuestas

  • Hola, 

    a nivel de recurso compartido, debes dar permisos "Control total" al grupo "Todos"; este permiso no se aplica a nivel NTFS, pero es necesario para compartirlo correctamente. Los permisos de lectura, escritura, listado de directorio, etc. sí los defines como NTFS. Esto lo encontrarás bien explicado aquí: Establecer permisos para carpetas compartidas.

    Para restringir qué carpetas ven tus usuarios, tiene que usar "Access based enumeration", que viene incluido en Windows 2008 por defecto; esto hace que un usuario, al navegar por un recurso compartido, sólo vea las carpetas sobre las que tiene permisos. Siguiendo tu ejemplo, imagina que tienes un grupo Test1 que ha de tener permisos de lectura y escritura sobre Directorio1 y Directorio2, pero no debe ver Directorio3; para hacerlo, editas las propiedades de seguridad NTFS de Directorio1 y Directorio2; te aseguras de que no hay ningún grupo que incluya al grupo Test1 con permisos definidos sobre esta carpeta (y si lo hay, lo eliminas); asignas al grupo Test1 permisos de lectura y modificación; como no ha de ver Directorio3, editas los permisos de Directorio3, y te aseguras de que el grupo Test1 no tenga ningún permiso sobre esa carpeta, bien sea directamente o porque pertenezca a un grupo que sí tiene permisos asignados. 

    El permiso "Listar carpeta" es el que te permite discriminar qué carpetas ven los usuarios en un recurso compartido; tal y como describes tu estructura de carpetas, puedes aplicar un modelo de seguridad de 2 niveles, donde aplicas filtrado de visibilidad en el primer nivel (Directorio1, Directorio2...), y asignas los permisos de lectura y escritura sobre los Subdirectorios; a este nivel, puedes aumentar la granularidad de los permisos, creando grupos especificos para cada subdirectorio; un usuario verá o no esos subdirectorios en función de si tiene aplicado el permiso "Listar carpeta en ellos". 

    Ante la duda, aprovecha la opción "Permisos efectivos": abre las propiedades de una carpeta o archivo, ve a la pestaña "Seguridad"; aquí elige "Opciones avanzadas" y ves a la pestaña "Permisos efectivos"; selecciona un usuario o un grupo de tu directorio  y te mostrará qué permisos reales tiene ese usuario o grupo sobre la carpeta o archivo. Así te ahorras que el usuario tenga que ir abriendo y cerrando sesión para validar si has aplicado bien o no tus permisos. 

    Espero que sea de ayuda! Saludos!


    Necsia Servicios IT de Alto Valor


    If my answer was helpful, I'm glad about a rating

    • Marcado como respuesta Cesar_Baron martes, 30 de octubre de 2012 18:59
    miércoles, 24 de octubre de 2012 21:46

Todas las respuestas

  • Hola, 

    a nivel de recurso compartido, debes dar permisos "Control total" al grupo "Todos"; este permiso no se aplica a nivel NTFS, pero es necesario para compartirlo correctamente. Los permisos de lectura, escritura, listado de directorio, etc. sí los defines como NTFS. Esto lo encontrarás bien explicado aquí: Establecer permisos para carpetas compartidas.

    Para restringir qué carpetas ven tus usuarios, tiene que usar "Access based enumeration", que viene incluido en Windows 2008 por defecto; esto hace que un usuario, al navegar por un recurso compartido, sólo vea las carpetas sobre las que tiene permisos. Siguiendo tu ejemplo, imagina que tienes un grupo Test1 que ha de tener permisos de lectura y escritura sobre Directorio1 y Directorio2, pero no debe ver Directorio3; para hacerlo, editas las propiedades de seguridad NTFS de Directorio1 y Directorio2; te aseguras de que no hay ningún grupo que incluya al grupo Test1 con permisos definidos sobre esta carpeta (y si lo hay, lo eliminas); asignas al grupo Test1 permisos de lectura y modificación; como no ha de ver Directorio3, editas los permisos de Directorio3, y te aseguras de que el grupo Test1 no tenga ningún permiso sobre esa carpeta, bien sea directamente o porque pertenezca a un grupo que sí tiene permisos asignados. 

    El permiso "Listar carpeta" es el que te permite discriminar qué carpetas ven los usuarios en un recurso compartido; tal y como describes tu estructura de carpetas, puedes aplicar un modelo de seguridad de 2 niveles, donde aplicas filtrado de visibilidad en el primer nivel (Directorio1, Directorio2...), y asignas los permisos de lectura y escritura sobre los Subdirectorios; a este nivel, puedes aumentar la granularidad de los permisos, creando grupos especificos para cada subdirectorio; un usuario verá o no esos subdirectorios en función de si tiene aplicado el permiso "Listar carpeta en ellos". 

    Ante la duda, aprovecha la opción "Permisos efectivos": abre las propiedades de una carpeta o archivo, ve a la pestaña "Seguridad"; aquí elige "Opciones avanzadas" y ves a la pestaña "Permisos efectivos"; selecciona un usuario o un grupo de tu directorio  y te mostrará qué permisos reales tiene ese usuario o grupo sobre la carpeta o archivo. Así te ahorras que el usuario tenga que ir abriendo y cerrando sesión para validar si has aplicado bien o no tus permisos. 

    Espero que sea de ayuda! Saludos!


    Necsia Servicios IT de Alto Valor


    If my answer was helpful, I'm glad about a rating

    • Marcado como respuesta Cesar_Baron martes, 30 de octubre de 2012 18:59
    miércoles, 24 de octubre de 2012 21:46
  • Hola Joaquin Banez,

    Primero que todo, disculpa por no haberte respondida rápido, pero estaba algo ocupado.

    Te cuento que tu información me fue muy util...

    Pero ahora tengo algunas dudas.

    Resulta que la forma en que lo hice fue de la siguiente: Primero cree un grupo en donde incluí a todos los usuarios de una organización (Usuarios Chile).

    Este grupo lo incluí en Permisos de los recursos compartidos  con Control Total y luego Permisos NTFS cree otro grupo para que al área de Gestion Humana tenga acceso a una carpeta en especifico.

    La duda es, con esto me bastará para que los usuarios de gestion  humana tengan acceso a sóla esa carpeta?

    Lo que quiero hacer es usar las mejores practicas para la asignacion de estos permisos.

    No se si se pueda, pero lo que quiero es que dos unidadades organizacionales tengan acceso al recurso compartido, pero con la restricción de que no todos los usuarios pueden tener acceso a todas las carpetas de ese recurso compartido y dependiendo de cierto tipo de usuario se le asignan permisos determinados.

    Por ejemplo:

    Recurso Compartido Z:\Carpeta\

    Dentro de esta carpeta existen por ejemplo:

    1. Gestion Humana

    2. Otros

    3. IT

    No se si me puedes asesorar, cuales es la mejor forma para manejar permisos de lectura, escritura, modificación. pero que la asignación se pueda hacer por grupos... La verdad no se si esto se puede hacer

    Ya que hay gerentes que tienen acceso a diferentes areas

    Lo que quiero es que no se me vuelva complejo la administración de estos permisos.

    Gracias


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    martes, 30 de octubre de 2012 19:38
  • Ya probaste creando la carpeta en la unidad C:\
    seguro que ahi ya no veran toda la ruta antes de poder llegar a la carpeta en cuestion!
    ahora si la quieres dejar en escritorio, documentos, música ... etc, tienes que desactivar el uso compartido avanzado... va, algo tiene que ver con el uso compartido avanzado, espero y te ayude en algo

    miércoles, 4 de diciembre de 2013 23:58