none
Problema al Restringir permisos NTFS por GPO RRS feed

  • Pregunta

  • Saludos compañeros, 

    Antes que nada les comento que he investigado mucho del tema y aunque parece algo sencillo no doy con la solución.

    Les planteo el requerimiento:

    Que todos los usuarios del dominio solo puedan guardar información dentro de las carpetas Documents y Desktop. y que a las demás rutas del perfil del usuario solo tenga permiso para lectura y Ejecución. Obviamente los usuarios del grupo administrador tendrán permiso total.

    Pues estoy tratando de hacer esto con las GPO, tengo Windows server 2012 R2 y los equipos son Windows 7 SP1.

    La GPO que estoy editando es la siguiente :

    Computer Configuration>Windows Settings>Security Settings>File System>

    Allí se supone que debo colocar la ruta de la carpeta que quiero aplicar los permisos por ejemplo C:\users\[Usuario]\Videos

    El problema es que al realizar un gpupdate /force en los equipos y ejecutar un rsop.msc veo que las rutas hacia la carpeta no la reconoce y la idea es que esto aplique para todos los usuarios, por ello he utilizados las variables %username%, %userprofile%, %homepath% de diferentes maneras y aun no doy con la solución.

    Nota:

    Si pruebo con la carpeta %SystemDrive%\Users\Public\ Funciona, e igual para el disco C: (%SystemDrive%\), pero repito no logro la forma correcta para que me aplique a los diferentes perfil de usuarios.

    Espero me puedan ayudar con esto y muchas gracias de antemano. 

    martes, 16 de agosto de 2016 18:30

Respuestas

  • 1.- Mientras se aplica la GPO de máquina, no hay usuario que haya iniciado sesión. Ese es el motivo por el cual no se pueden usar las variables

    2.- Eso ya "tira abajo" tu idea :)

    Redirigir carpetas en general se usa siempre a una carpeta compartida en un servidor, se puede hacer a otra ubicación local, pero realmente no lo he probado y seguirías teniendo el problema del propietario en este caso

    Lo que hay que tener cuidado cuando se redigen a un compartido en un servidor, es si no se provoca demasiado tráfico de red, sobre todo la primera vez si los perfiles son grandes, luego se sincronizan sólo los cambios

    Te dejo un enlace para que hagas pruebas, en este caso es para redigir sólo la carpeta Documentos

    Windows Server 2012: Redirigir la Carpeta Documentos | WindowServer:
    https://windowserver.wordpress.com/2012/11/01/windows-server-2012-redirigir-la-carpeta-documentos/ 

    Otra que te puede servir de idea, aunque es lo contrario de lo que buscas pero puede ayudarte para las pruebas

    Que los Usuarios No Puedan Guardar en el Escritorio y Configuración Centralizada | WindowServer:
    https://windowserver.wordpress.com/2016/01/05/que-los-usuarios-no-puedan-guardar-en-el-escritorio-y-configuracin-centralizada/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Josue8a jueves, 18 de agosto de 2016 13:45
    miércoles, 17 de agosto de 2016 21:55
    Moderador

Todas las respuestas

  • Hola Josue8a, cuidado al cambiar los permisos NTFS de las carpetas del sistema, puede causar efectos no deseados, es peligroso

    Hay una opción sencilla que quizás te permita llegar a un resultado parecido y es mucho más sencilla de implementar

    Aplicarle a los usuarios una GPO donde esté definido "User Configuration / Policies /  / Administrative Templates / Windows Components / File Explorer” y “Hide these specified drives in My Computer"

    Digo que es parecido, porque aunque no los verá en el explorador de archivos, ni cuando va a guardar archivos, no esta impedido de verlos. Por ejemplo si en Ejecutar pone "C:\Windows" verá la carpeta

    En la siguente nota está aplicada esa configuración, pero para el caso específico de Escritorio Remoto para que veas los efectos. Cuidado que además de Ocultar los Discos, hay en la nota una opción para Prohibir el acceso a discos, en cuyo caso la única opción en tu caso es que además apliques redirección de carpetas

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 17 de agosto de 2016 14:27
    martes, 16 de agosto de 2016 20:09
    Moderador
  • Muchas gracias Guillermo, 

    Revise la propuesta que me dices , pero esto aplica a los drive o unidades como A: B: D: E: entre otros mas no me permite seleccionar las carpetas. Específicamente necesito colocar solo lectura y ejecución a las carpetas Download, Videos, pictures, Music en cada perfil de usuario de dominio. De tal forma que cuando un usuario inicie sesión en un equipo solo pueda guardar, editar o eliminar información en Documentos y Escritorio. 

    Mediante la gpo Computer Configuration>Windows Settings>Security Settings>File System> al momento de ubicar una carpeta por ejemplo Musica, el sistema automáticamente coloca la variable %userprofile%

    El problema es que cuando reviso en el equipo cliente mediante rsop.msc veo que el %userprofile% que envía la gpo lo interpreta con esta ruta C:\Windows\system32\config\systemprofile\ . Por este motivo la política no me esta funcionando y he probado con una carpeta del perfil Public y si funciona e igualmente con el acceso a C: solamente, (no aplique permisos a sub-carpetas) y también funciona. Anexo imagen para que puedas entender mejor lo que digo.  

    Algunas referencias,

    https://msdirectoryservices.wordpress.com/2012/01/13/set-ntfs-folder-permissions-using-gpo/

    http://microsoft.public.es.win2000.narkive.com/w5y1pymm/gpo-permisos-sobre-carpeta

    Parece sencillo me imagino que debe funcionar para las carpetas de los usuarios .... ya no se que hacer...espero su ayuda.

    Att

    Josue

    miércoles, 17 de agosto de 2016 18:32
  • Hay dos temas por los cuales no funciona y no quedará como quieres

    1.- Estás aplicando una configuración de máquina, que se ejecuta con el inicio de la misma, luego no existen esas variables (%username% y %userprofile%); estas se definirán sólo luego que el usuario inició sesión

    2.- Esas carpetas tiene como propietario al propio usuarios, por lo tanto él mismo podrá cambiar los permisos en cuanto quiera, si sabe ;)

    Me parece que para lograr lo que quieres la única opción es redirigirle esas carpetas

    Y algo más, cuidado al restringir permisos sobre carpetas del sistema como es "C:\" que a veces trae problemas inesperados

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de agosto de 2016 18:45
    Moderador
  • 1.- Estás aplicando una configuración de máquina, que se ejecuta con el inicio de la misma, luego no existen esas variables (%username% y %userprofile%); estas se definirán sólo luego que el usuario inició sesión..

    con esto te entiendo que la politica no seria capaz de hacer lo que quiero en las carpetas dentro del perfil de los usuarios, ya que no esta diseñada para ello. Cierto?

    2.- Esas carpetas tiene como propietario al propio usuarios, por lo tanto él mismo podrá cambiar los permisos en cuanto quiera, si sabe

    Tienes razón, no me había percatado del propietario :).

    Me parece que para lograr lo que quieres la única opción es redirigirle esas carpetas

    Si hago esto que dices teniendo en cuenta que hay equipos donde inician sesion varios usuarios, no se mezclaría la información (ya existente en pictures por ejemplo)  de esos usuarios en una misma carpeta destino que a la que voy a redirir? investigare este método de todas formas pero me surge esa incógnita.



    • Editado Josue8a miércoles, 17 de agosto de 2016 19:53
    miércoles, 17 de agosto de 2016 19:53
  • 1.- Mientras se aplica la GPO de máquina, no hay usuario que haya iniciado sesión. Ese es el motivo por el cual no se pueden usar las variables

    2.- Eso ya "tira abajo" tu idea :)

    Redirigir carpetas en general se usa siempre a una carpeta compartida en un servidor, se puede hacer a otra ubicación local, pero realmente no lo he probado y seguirías teniendo el problema del propietario en este caso

    Lo que hay que tener cuidado cuando se redigen a un compartido en un servidor, es si no se provoca demasiado tráfico de red, sobre todo la primera vez si los perfiles son grandes, luego se sincronizan sólo los cambios

    Te dejo un enlace para que hagas pruebas, en este caso es para redigir sólo la carpeta Documentos

    Windows Server 2012: Redirigir la Carpeta Documentos | WindowServer:
    https://windowserver.wordpress.com/2012/11/01/windows-server-2012-redirigir-la-carpeta-documentos/ 

    Otra que te puede servir de idea, aunque es lo contrario de lo que buscas pero puede ayudarte para las pruebas

    Que los Usuarios No Puedan Guardar en el Escritorio y Configuración Centralizada | WindowServer:
    https://windowserver.wordpress.com/2016/01/05/que-los-usuarios-no-puedan-guardar-en-el-escritorio-y-configuracin-centralizada/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Josue8a jueves, 18 de agosto de 2016 13:45
    miércoles, 17 de agosto de 2016 21:55
    Moderador
  • Muchas gracias Guillermo, 

    Muy buena los link, voy a probar aplicando la redireccion de carpetas. 

    jueves, 18 de agosto de 2016 13:46