none
Consulta Permisos NTFS RRS feed

  • Pregunta

  • Estimados, tengo una duda referente a unas carpetas compartidas en el servidor, tratare de ser lo mas explicativo posible... resulte que creé 3 grupos en AD:

    1.- Facturacion Bajo

    2.- Facturacion Medio

    3.- Facturacion Full


    Estos 3 grupos lo agrege a la carpeta "Facturacion" del File Server.


    Pestaña Compartie

    Administrador: Lectura y Escritura

    Administradores: Propietario

    Facturacion Bajo: Lectura

    Facturacion Medio: Persinalizado

    Facturacion Full: Lectura y Escritura


    Pestaña Seguridad

    Facturacion Full(Lectura/Escritura/Eliminacion) : Control Total, Modificar, Lectura y Ejecucion, Mostrar el Contenmido de la carpeta, Lectura, Escritura

    Facturacion  Medio(Lectura/Escritura): Lectura y Ejecucion, Mostrar el Contenmido de la carpeta, Lectura, Escritura

    Facturacion  Bajo(Lectura): Lectura y Ejecucion, Mostrar el Contenmido de la carpeta, Lectura


    El problema o no se si será un problema es que si un USUARIO que esta en el GRUPO FACTURACION MEDIO quiere abrir un archivo del servidor, modificarlo y luego guardarlo no lo deja tirando un msg de "Acceso Denegado. Ponganse en contacto con el administrador", entonces lo que tienen que hacer es copiar el archivo en el escritorio, trabajarlo y luego copiarlo y pegarlo en el servidor.

    Como puedo hacer para que el usuario pueda trabajarlo en el mismo server pero no tener el derecho de eliminar ??? porque si agrego el permiso de modificar no hay problema pero tambien me deja eliminar archivos que es justamente lo que quiero evitar.


    Saludos.

    martes, 12 de junio de 2012 21:54

Respuestas

  • Por un lado, los permisos del share puedes definirlos como lectura/escritura para los tres grupos y a posteriri definir por las ACLs de la ficha de seguridad los permisos sobre archivos / carpetas.

    Por otro lado, existen 2 tipos de permisos que pueden resultar confusos: Escritura y Modificación

    Revísate esta tabla:

    Full Control Read, write, modify, execute, change attributes, permissions, and take ownership of the file.
    Modify Read, write, modify, execute, and change the file's attributes.
    Read & Execute Display the file's data, attributes, owner, and permissions, and run the file (if it's a program or has a program associated with it for which you have the necessary permissions).
    Read Display the file's data, attributes, owner, and permissions.
    Write Write to the file, append to the file, and read or change its attributes.

    Resumiendo write permite crear nuevos archivos en la estructura NTFS mientras que Modify está orientado a la modificación de la estructura (archivos o carpetas)

    Por otro lado, y esto es tu decisión, asignar FULL Control a usuarios es darles la posibilidad de modificar la estructura de permisos, cosa que a priori sería recomendable que la gestionara un administrador.

    Es por eso que tus usuarios de Facturación FULL pueden modificar archivos existentes, ya que FULL Control incluye el modify, mientras que los usuarios Factruacion MEDIO no pueden.

    Respecto a la denegación de eliminar, el permiso delete es parte de MODIFY ya que se entiende que si un usuario puede modificar el contenido del archivo también debería tener la opción de eliminarlo, ya que es una modificación. No crees? para evitar borrados accidentales ya disponemos de VSS o Backups en su caso.


    Saludos.

    Julio Rosua




    miércoles, 13 de junio de 2012 11:56

Todas las respuestas

  • Por un lado, los permisos del share puedes definirlos como lectura/escritura para los tres grupos y a posteriri definir por las ACLs de la ficha de seguridad los permisos sobre archivos / carpetas.

    Por otro lado, existen 2 tipos de permisos que pueden resultar confusos: Escritura y Modificación

    Revísate esta tabla:

    Full Control Read, write, modify, execute, change attributes, permissions, and take ownership of the file.
    Modify Read, write, modify, execute, and change the file's attributes.
    Read & Execute Display the file's data, attributes, owner, and permissions, and run the file (if it's a program or has a program associated with it for which you have the necessary permissions).
    Read Display the file's data, attributes, owner, and permissions.
    Write Write to the file, append to the file, and read or change its attributes.

    Resumiendo write permite crear nuevos archivos en la estructura NTFS mientras que Modify está orientado a la modificación de la estructura (archivos o carpetas)

    Por otro lado, y esto es tu decisión, asignar FULL Control a usuarios es darles la posibilidad de modificar la estructura de permisos, cosa que a priori sería recomendable que la gestionara un administrador.

    Es por eso que tus usuarios de Facturación FULL pueden modificar archivos existentes, ya que FULL Control incluye el modify, mientras que los usuarios Factruacion MEDIO no pueden.

    Respecto a la denegación de eliminar, el permiso delete es parte de MODIFY ya que se entiende que si un usuario puede modificar el contenido del archivo también debería tener la opción de eliminarlo, ya que es una modificación. No crees? para evitar borrados accidentales ya disponemos de VSS o Backups en su caso.


    Saludos.

    Julio Rosua




    miércoles, 13 de junio de 2012 11:56
  • Entonces es imposible que el grupo MEDIO pueda guardar un documento abierto del servidor ???
    miércoles, 13 de junio de 2012 21:28
  • No, en absoluto. Dale permisos de modify sobre el recurso y listo.

    Con eso podrán modificar contenido y atributos del archivo.

    miércoles, 13 de junio de 2012 21:41
  • Hola, Es mi mismo dilema, quiero entender, si le doy permiso de Modify no lo puede eliminar? Por que justamente eso tampoco quiero

    Veroca

    jueves, 28 de enero de 2016 19:09
  • Veroca, si tiene permisos de modificar, se puede hacer mediante avanzados y si no es el propietario, que no pueda borrar el archivo

    Pero al poder modificar el archivo también podría eliminar todo su contenido, por lo cual el resultado final sería equivalente a borrar el archivo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 1 de febrero de 2016 20:54
    viernes, 29 de enero de 2016 15:19
    Moderador
  • Hola "Torno" como estas,

    Aplica,

    How NTFS Works
    https://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx

    Advanced Security Settings Properties Page - Permissions Tab
    https://technet.microsoft.com/en-us/library/cc730772.aspx

    Espero sea de ayuda. saludos.
    • Propuesto como respuesta Moderador M lunes, 1 de febrero de 2016 20:54
    sábado, 30 de enero de 2016 19:05