none
Permiso a carpetas RRS feed

  • Pregunta

  • Hola, necesito saber si hay algún comando para actualizar los permisos cuando se los modifico a una carpeta, por ejemplo, si cambio alguna politica, y quiero que una pc tome ese cambio sin tener que reiniciar el equipo hago gpupdate y me actualiza, hay algun comando para actualizar permisos o tengo que reiniciar si o si.

     

    Saludos

    martes, 29 de junio de 2010 15:24

Respuestas

  • Hola Jorge,

    no queda claro que tipo de permisos cambias y como lo haces, dependera del "como" para saber las posibilidades que tienes.

    Lo que apliques via GPO tendra efecto cuando se refresque esa GPO y variara si es un setting de seguridad o si es de configuracion, en tal caso se puede forzar con gpudate /force en el cliente, pero no queda claro a que te refieres con permisos de una carpeta.

    La seguridad de una carpeta se puede modificar por ejemplo con el comando Cacls http://technet.microsoft.com/en-us/library/bb490872.aspx aunque requiere que lo ejecutes en el equipo cliente donde quieres que se haga efectivo el cambio.

    Una opcion es  forzar la ejecucion remotamente con la utilidad Psexec http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 29 de junio de 2010 15:43
    Moderador
  • Hola,

    creo que estas algo confundido. Si cambias el tipo de permiso de Lectura a Control total, el cambio es inmediato, es decir, de forma inmediata podran escribir en la carpeta, de la misma manera que si otorgas a un usuario o grupos de usuarios permisos sobre una carpeta, esos permios seran efectivos desde ese mismo momento para todos los usuarios que hayan iniciado sesion.

    Los cambios que no son inmediatos son cuando cambias la pertenencia a los grupos que tienen acceso a esas carpetas, es decir, si añades un usuario al grupo que puede escribir en esa carpeta deberas esperar a que ese usuario cierre sesion e inicie de nuevo para que se "le carguen" los SIDs de pertenencia a ese grupo y por lo tanto pueda entrar en la carpeta (se comparan los SIDs y si coinciden se le deja acceder). Este proceso de actualizacion de los SIDs de un usuario no hay metodo para forzarlo que no sea cerrar sesion e iniciar de nuevo, que yo sepa, la pertenencia a grupos se evalua en el momento de la autentificacion del usuario al iniciar sesion.

    Una "solucion", alternativa es añadir por ejemplo el usuario al grupo de usuarios que pueden acceder a la carpeta y añadirlo tambien como usuario solo y con los mismos permisos que el grupo, de esta manera podra acceder desde ese mismo momento a la carpeta por el SID de su usuario, y pasado un tiempo prudencial deberas quitar ese usuario de los permisos y dejar que acceda por el SID del grupo al que pertenece y que se supone que ya se le habra cargado, esto obviamente es una practica no muy recomendada aunque en casos esporadicos puede ser efectivo ya que en caso inverso, es decir, que un usuario no pueda seguir accediendo a una carpeta sin que afecte al resto de carpetas, desde que lo quitas del grupo hasta que pierde el acceso pasa un tiempo (porque sigue teniendo cargado el SID de pertenencia al grupo), si añades ese usuario solo y le deniegas el acceso automaticamente ya no puede acceder y con ello agilizas el proceso, pero generas mas trabajo.

    Lo normal es establecer la seguridad de las carpetas mediante el uso de grupos de seguridad locales y con los privilegios necesarios desde el principio asi no es necesario tener que realizar cambios como los que comentas.

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 29 de junio de 2010 16:26
    Moderador

Todas las respuestas

  • Hola Jorge,

    no queda claro que tipo de permisos cambias y como lo haces, dependera del "como" para saber las posibilidades que tienes.

    Lo que apliques via GPO tendra efecto cuando se refresque esa GPO y variara si es un setting de seguridad o si es de configuracion, en tal caso se puede forzar con gpudate /force en el cliente, pero no queda claro a que te refieres con permisos de una carpeta.

    La seguridad de una carpeta se puede modificar por ejemplo con el comando Cacls http://technet.microsoft.com/en-us/library/bb490872.aspx aunque requiere que lo ejecutes en el equipo cliente donde quieres que se haga efectivo el cambio.

    Una opcion es  forzar la ejecucion remotamente con la utilidad Psexec http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 29 de junio de 2010 15:43
    Moderador
  • El permiso sobre la carpeta es por ejemplo, carpeta "administracion" cambio el permiso de lectura a control total, pero el usuario no puede modificar o borrar porque primero debe reiniciar la pc, la forma de agregar al usuario para que tenga permisos sobre esa carpeta es a traves de un grupo, el comando calcls actualiza los permisos de cambio sobre las carpetas?

    Yo aplico el cambio desde el servidor, y quiero que el usuario lo actualice en su PC, como con las politicas.

    Lo que note es que si no reinicias en algunos casos se actualiza solo despues de un tiempo pero no se cuando tiempo a veces 15 min a veces 2 hs o a veces solo reiniciando.

    Hay que tener en cuenta que un usuario quiere el acceso ya no (^_^)!!

     

    Gracias

    martes, 29 de junio de 2010 15:58
  • Hola,

    creo que estas algo confundido. Si cambias el tipo de permiso de Lectura a Control total, el cambio es inmediato, es decir, de forma inmediata podran escribir en la carpeta, de la misma manera que si otorgas a un usuario o grupos de usuarios permisos sobre una carpeta, esos permios seran efectivos desde ese mismo momento para todos los usuarios que hayan iniciado sesion.

    Los cambios que no son inmediatos son cuando cambias la pertenencia a los grupos que tienen acceso a esas carpetas, es decir, si añades un usuario al grupo que puede escribir en esa carpeta deberas esperar a que ese usuario cierre sesion e inicie de nuevo para que se "le carguen" los SIDs de pertenencia a ese grupo y por lo tanto pueda entrar en la carpeta (se comparan los SIDs y si coinciden se le deja acceder). Este proceso de actualizacion de los SIDs de un usuario no hay metodo para forzarlo que no sea cerrar sesion e iniciar de nuevo, que yo sepa, la pertenencia a grupos se evalua en el momento de la autentificacion del usuario al iniciar sesion.

    Una "solucion", alternativa es añadir por ejemplo el usuario al grupo de usuarios que pueden acceder a la carpeta y añadirlo tambien como usuario solo y con los mismos permisos que el grupo, de esta manera podra acceder desde ese mismo momento a la carpeta por el SID de su usuario, y pasado un tiempo prudencial deberas quitar ese usuario de los permisos y dejar que acceda por el SID del grupo al que pertenece y que se supone que ya se le habra cargado, esto obviamente es una practica no muy recomendada aunque en casos esporadicos puede ser efectivo ya que en caso inverso, es decir, que un usuario no pueda seguir accediendo a una carpeta sin que afecte al resto de carpetas, desde que lo quitas del grupo hasta que pierde el acceso pasa un tiempo (porque sigue teniendo cargado el SID de pertenencia al grupo), si añades ese usuario solo y le deniegas el acceso automaticamente ya no puede acceder y con ello agilizas el proceso, pero generas mas trabajo.

    Lo normal es establecer la seguridad de las carpetas mediante el uso de grupos de seguridad locales y con los privilegios necesarios desde el principio asi no es necesario tener que realizar cambios como los que comentas.

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 29 de junio de 2010 16:26
    Moderador
  • Ah ok quedo claro.

     

    Gracias

    martes, 29 de junio de 2010 17:08
  • Me alegro.

    No te olvides de marcar la respuesta que haya solucionado tu consulta, si lo crees conveniente,  para que otros usuarios con el mismo problema puedan encontrar la solucion.

    Saludos

     


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 29 de junio de 2010 17:36
    Moderador