Embed Size (px)
Citation preview
Permisos NTFS
Contenido
Descripción general 1
Introducción a los permisos de NTFS 2
Cómo aplica Windows 2000 los permisos de NTFS 5
Uso de los permisos de NTFS 12
Uso de los permisos especiales de NTFS 17
Permisos NTFS i
Notas del instructor Este modulo proporciona los conocimientos necesarios para configurar los permisos de acceso en una partición con el sistema de archivos NTFS.
En este módulo, los estudiantes aprenderán a:
• Describir los permisos de NTFS.
• Explicar cómo aplica Microsoft® Windows® 2000 los permisos de NTFS.
• Utilizar permisos de NTFS.
• Conceder permisos especiales de NTFS.
Desarrollo del módulo Utilice la siguiente estrategia para presentar este módulo:
• Introducción a los permisos de NTFS
Este tema proporciona información sobre los permisos de archivos NTFS. Explique cómo los permisos de NTFS controlan el acceso de las cuentas de usuario y grupos a archivos y carpetas.
• Cómo aplica Windows 2000 los permisos de NTFS
Este tema proporciona información sobre cómo se aplican los permisos de NTFS en Windows 2000. Explique cómo se combinan múltiples permisos. A continuación, explique cómo se heredan los permisos de NTFS y cómo evitar la herencia. Explique el efecto que puede tener copiar y mover carpetas y archivos sobre los permisos. Utilice la discusión en clase para reforzar la comprensión por parte de los estudiantes sobre cómo aplica Windows 2000 los permisos de NTFS.
• Uso de los permisos de NTFS
Este tema proporciona información sobre la concesión de permisos de NTFS a cuentas de usuario y grupos para controlar el acceso a archivos y carpetas. Haga una demostración de concesión de permisos a una carpeta y de cómo bloquear la herencia de un archivo contenido en la carpeta. Explique qué subcarpetas y archivos heredan los permisos de carpetas padre de forma predeterminada. Hable sobre las prácticas recomendadas para el uso de los permisos de NTFS.
• Uso de los permisos especiales de NTFS
Este tema proporciona información sobre el uso de permisos especiales de NTFS para cuentas de usuario y grupos para controlar el acceso a archivos y carpetas. Comente las diferencias entre los permisos especiales de NTFS y los permisos estándares de NTFS. Explique que los permisos estándares de NTFS constan de permisos especiales de NTFS. Comente brevemente los dos permisos especiales mencionados en el módulo.
Permisos NTFS 1
Descripción general
El sistema de archivos NTFS de Microsoft® Windows® 2000 es muy eficaz en cuanto al modo en que almacena los datos en una partición. Con NTFS, podemos conceder permisos a carpetas y archivos para controlar el nivel de acceso de los usuarios a los recursos. NTFS también utiliza el espacio del disco duro más eficazmente permitiéndonos comprimir datos y configurar cuotas de disco. Además, NTFS nos permite cifrar datos de archivos en el disco duro físico utilizando el Sistema de archivos Encriptado (Encrypting Fyle System, EFS). Es importante conocer NTFS y sus capacidades para poder implementar eficazmente esta característica de Windows 2000.
Al finalizar este módulo, sabremos cómo:
• Describir los permisos de NTFS.
• Explicar cómo aplica Windows 2000 los permisos de NTFS.
• Utilizar los permisos de NTFS.
• Conceder permisos especiales de NTFS.
Objetivo Proporcionar una visión general de los temas y objetivos del módulo.
Presentación En este módulo, aprenderá la administración de datos en una partición NTFS.
n Introducción a los permisos de NTFS
n Cómo aplica Windows 2000 los permisos de NTFS
n Uso de los permisos de NTFS
n Uso de los permisos especiales de NTFS
n Practica : Uso de los permisos de NTFS
Permisos NTFS 2
u Introducción a los permisos de NTFS
Windows 2000 únicamente proporciona permisos de NTFS en particiones formateadas con NTFS. Para securizar archivos y carpetas en particiones con NTFS, concedemos permisos de NTFS para cada usuario utilizando la cuenta individual o utilizando grupos. Se recomienda utilizar grupos locales del dominio para conceder acceso a un recurso utilizando la estrategia A G DL P. la estrategia A G DL P consiste en: ubicar cuentas de usuario (A) en grupos globales (G), ubicar los grupos globales en grupos locales del dominio (DL), y conceder permisos (P) al grupo local del dominio. Para securizar archivos y carpetas en particiones de NTFS, concedemos permisos de NTFS para cada cuenta de usuario o grupo que necesite acceder al recurso. Debe concederse un permiso explícito a los usuarios para que tengan acceso a los recursos. Si no se concede ningún permiso, la cuenta de usuario no puede tener acceso al archivo o carpeta. La seguridad de NTFS es eficaz tanto si el usuario obtiene acceso a una carpeta o archivo en el equipo o a través de la red.
Lista de control de acceso NTFS almacena una lista de control de acceso (access control list, ACL) con cada archivo y carpeta en una partición NTFS. La lista ACL contiene un listado de todas las cuentas de usuario, grupos y equipos a los que se ha concedido acceso al archivo o carpeta, y el tipo de acceso concedido. Para que un usuario pueda acceder a un archivo o carpeta, la lista ACL debe contener una entrada, denominada entrada de control de acceso (access control entry, ACE), para la cuenta de usuario, grupo o equipo al que pertenece el usuario. La entrada debe permitir específicamente el tipo de acceso solicitado por el usuario para que éste pueda tener acceso al archivo o carpeta. Si no existe ninguna entrada ACE en la lista ACL, Windows 2000 denegará al usuario el acceso al recurso.
Objetivo Presentar los permisos de NTFS.
Presentación Utilice los permisos de NTFS para controlar el acceso de cuentas de usuario y grupos a carpetas y archivos individuales.
Importante Los permisos de NTFS están disponibles únicamente en las particiones NTFS. Los permisos de NTFS no están disponibles en particiones formateadas con los sistemas de archivos FAT o FAT32.
Partición NTFSACLACLACL
Usuario1Usuario1
Usuario2Usuario2
LecturaLecturaLectura
Grupo1Grupo1
Usuario1
Lectura
Usuario1
Lectura
Grupo1
Control total
Grupo1
Control total
Control totalControl totalControl total
Permisos NTFS 3
Permisos de NTFS Utilizamos los permisos de NTFS para especificar qué usuarios, grupos y equipos pueden acceder a archivos y carpetas. Los permisos de NTFS también determinan qué pueden hacer los usuarios, grupos y equipos con el contenido del archivo o carpeta.
Permisos de carpetas en NTFS
Podemos conceder permisos de carpetas para controlar el acceso a las carpetas y a los archivos y subcarpetas que contienen. La siguiente tabla muestra una lista de los permisos estándares de NTFS que podemos otorgar a carpetas y el tipo de acceso que proporciona cada permiso.
Permiso de carpeta de NTFS
Permite al usuario
Lectura Ver los archivos y subcarpetas y los atributos, propiedades
y permisos de la carpeta.
Escritura Crear nuevos archivos y subcarpetas, cambiar los atributos de la carpeta y ver sus propiedades y permisos.
Listar contenido de la carpeta
Ver los nombres de los archivos y subcarpetas.
Leer y ejecutar Cruzar carpetas, además de realizar las acciones permitidas por el permiso de Lectura y el permiso de Listar contenidos de la carpeta .
Modificar
Borrar la carpeta y realizar acciones permitidas por el permiso de Escritura y el permiso Leer y ejecutar.
Control total Cambiar los permisos, tomar posesión, eliminar subcarpetas y archivos y realizar las acciones permitidas por el resto de permisos de NTFS.
Sugerencia Explique que Sólo lectura, Oculto, Archivo y Sistema (archivos) son ejemplos de atributos de carpetas.
Permisos NTFS 4
Permisos de archivos en NFTS
Podemos conceder permisos de archivo para controlar el acceso a los archivos. La siguiente tabla muestra una lista de los permisos de archivos estándares de NTFS que podemos otorgar y el tipo de acceso que cada uno de ellos proporciona a los usuarios.
Permiso de archivo de NTFS
Permite al usuario
Lectura Leer el archivo y ver sus atributos, propiedades y
permisos.
Escritura Sobreescribir el archivo, cambiar sus atributos y visualizar sus propiedades y permisos.
Leer y ejecutar Ejecutar aplicaciones y realizar las acciones permitidas por el permiso de Lectura .
Modificar
Modificar y eliminar el archivo y realizar las acciones permitidas por el permiso de Escritura y el permiso Leer y ejecutar.
Control total Modificar permisos, tomar posesión y realizar las acciones permitidas por el resto de permisos de archivo de NTFS.
Cuando formateamos una partición con NTFS, Windows 2000 concede automáticamente el permiso Control total sobre la carpeta raíz al grupo Todos. Por defecto, el grupo Todos tendrá Control total sobre todas las carpetas y archivos creados en la carpeta raíz. Para restringir el acceso a usuarios autorizados, deberíamos cambiar los permisos predeterminados sobre las carpetas y archivos que creemos.
Importante Utilice el permiso de control total moderadamente cuando asigne permisos.
Importante
Permisos NTFS 5
u Cómo aplica Windows 2000 los permisos de NTFS
Por defecto, cuando concedemos permisos a usuarios y grupos sobre una carpeta, los usuarios o grupos tienen acceso a las subcarpetas y archivos que ésta contiene. Es importante entender el modo en que las subcarpetas y los archivos heredan los permisos de NTFS desde las carpetas padre para poder utilizar la herencia en la propagación de permisos a archivos y carpetas.
Si concedemos permisos sobre un archivo o carpeta a una cuenta de usuario individual o a un grupo al que pertenezca el usuario, el usuario obtendrá var ios permisos sobre el mismo recurso. Existen reglas y prioridades asociadas al modo en que NTFS combina múltiples permisos. Además, también es posible afectar a los permisos cuando copiamos o movemos archivos y carpetas.
Se recomienda asignar permisos a un recurso utilizando A G DL P. En otras palabras, asignar permisos a un recurso utilizando grupos locales del dominio en lugar de cuentas de usuario individuales.
Objetivo Introducir el modo en que Windows 2000 aplica los permisos de NTFS sobre archivos y carpetas.
Presentación Existen reglas asociadas al modo en que NTFS aplica los permisos sobre archivos y carpetas.
Importante Se recomienda asignar permisos a un recurso utilizando A G DL P. En otras palabras, asignar permisos a un recurso utilizando grupos locales del dominio en lugar de cuentas de usuario individuales.
Nota
n Múltiples permisos de NTFS
n Herencia de permisos de NTFS
n Copiar y mover archivos y carpetas
n Ejercicio de clase: Aplicación de los permisos de NTFS
Permisos NTFS 6
Múltiples permisos de NTFS
Si concedemos permisos de NTFS a una cuenta de usuario individual además de a un grupo al que pertenezca el usuario, estaremos concediendo múltip les permisos a dicho usuario. Existen reglas en la forma en que NTFS combina estos permisos múltiples para generar permisos eficaces para el usuario.
Los permisos son acumulativos Los permisos efectivos de un usuario sobre un recurso son la combinación de los permisos de NTFS concedidos a la cuenta de usuario individual y los concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un usuario tiene permiso de Lectura sobre una carpeta y pertenece a un grupo con permiso de Escritura sobre la misma carpeta, el usuario tendrá ambos permisos, Lectura y Escritura, sobre esa carpeta.
Los permisos de archivo son independientes de los permisos de carpeta Los permisos de archivo de NTFS tienen prioridad respecto a los permisos de carpetas de NTFS. Por ejemplo, un usuario con el permiso Modificar para un archivo podrá modificar el archivo aunque únicamente disponga del permiso de Lectura sobre la carpeta que contiene dicho archivo.
Objetivo Explicar cómo se combinan múltiples permisos de NTFS.
Presentación Es importante conocer el modo en que los permisos de NTFS se combinan y adquieren prioridad.
Sugerencia Haga una demostración de cómo se combinan múltiples permisos, cómo los permisos de archivos tienen prioridad respecto a los permisos de carpetas y el permiso Denegar prevalece sobre otros permisos. Explique la ilustración de la diapositiva.
n Los permisos de NTFS son acumulativosn Los permisos de archivo son independientes
de los permisos de carpetan Denegar invalida otros permisos
Particíón NTFS
Archivo1Archivo1
Archivo2Archivo2
Grupo BGrupo B
Grupo AGrupo A
Denegar escritura a Archivo2 Denegar escritura a Archivo2 Denegar escritura a Archivo2
EscrituraEscrituraEscrituraUsuario1Usuario1
LecturaLecturaLectura
Lectura/EscrituraLectura/Escritura Carpeta ACarpeta A
Permisos NTFS 7
Denegar invalida otros permisos Se puede denegar el acceso a un determinado archivo o carpeta aplicando la denegación del permiso a la cuenta de usuario o grupo. Aunque un usuario tenga permiso para acceder al archivo o carpeta como miembro de un grupo, denegar el permiso al usuario bloquea cualquier otro permiso de que éste disponga. Por tanto, la denegación de permiso es una excepción a la regla acumulativa. Es aconsejable evitar la denegación de permiso ya que es más fácil permitir el acceso a usuarios y grupos que denegar el acceso específicamente. Ese preferible estructurar grupos y organizar recursos en carpetas de forma que otorgar permisos sea suficiente.
Con Windows 2000, no hay diferencia entre un usuario sin acceso y denegar específicamente el acceso a un usuario añadiendo a la lista ACL una entrada de denegación sobre el archivo o carpeta. Esto significa que el administrador tiene una alternativa a denegar el acceso. En lugar de ello, puede simplemente no autorizar al usuario el acceso a un archivo o carpeta.
Sugerencia Explique que con Windows 2000, no hay diferencia entre la denegación de permisos y no disponer de permisos.
Nota
Permisos NTFS 8
Herencia de permisos de NTFS
Por defecto, los permisos concedidos a una carpeta padre se heredan y propagan a las subcarpetas y archivos contenidos en dicha carpeta padre. Sin embargo, podemos evitar que esto ocurra si deseamos que las carpetas o archivos tengan permisos diferentes a los de su carpeta padre.
Herencia de permisos Los permisos concedidos a una carpeta padre son aplicables también a las subcarpetas y archivos que contiene. Cuando concedemos permisos de NTFS para dar acceso a una carpeta, estamos concediendo permisos sobre la carpeta, sobre cualquier archivo y subcarpeta existentes, y sobre cualquier nuevo archivo o subcarpeta que se cree en la carpeta.
Evitar la herencia de permisos Podemos evitar la herencia de permisos, evitando que las subcarpetas y archivos hereden permisos de las carpetas padre. Para ello, eliminamos los permisos heredados y únicamente conservamos los permisos concedidos explícitamente. Cuando evitamos la herencia, podemos copiar los permisos previamente heredados.
La subcarpeta para la cual evitamos la herencia de permisos de su carpeta padre se convierte en la nueva carpeta padre. Las subcarpetas y archivos contenidos en esa nueva carpeta padre heredan los permisos concedidos de su carpeta padre.
Objetivo Explicar cómo se heredan los permisos de NTFS y cómo se evita la herencia.
Presentación Los permisos de NTFS se heredan desde la carpeta en la que se crean desde en la que se encuentran.
Sugerencia Haga una demostración sobre cómo se heredan los permisos y cómo evitar la herencia. Conceda permisos y muestre a los estudiantes cómo se propagan los permisos desde una carpeta padre a sus subcarpetas y archivos. Muestre también a los estudiantes cómo añadir permisos a un archivo o carpeta que ha heredado permisos de ununa carpeta padre. Explique la ilustración de la diapositiva.
Herencia de permisos de NTFS
Carpeta ACarpeta A
Acceso a Archivo 1
Sin acceso a Archivo 1
Evitar la herenciaEvitar la herencia
Herencia de permisosHerencia de permisos
Archivo1Archivo1
Lectura/EscrituraLectura/EscrituraLectura/Escritura
Lectura/EscrituraLectura/EscrituraLectura/Escritura Carpeta ACarpeta A
Archivo1Archivo1
Permisos NTFS 9
Copiar y mover archivos y carpetas
Cuando copiamos o movemos un archivo o carpeta, los permisos pueden cambiar dependiendo del lugar dónde movemos el archivo o carpeta. Es importante entender los cambios sufridos por los permisos cuando se mueven o copian.
Copiar archivos y carpetas Cuando copiamos archivos o carpetas desde una carpeta a otra o desde una partición a otra, los permisos sobre los archivos o carpetas pueden cambiar. Copiar un archivo o carpeta tiene los siguientes efectos en los permisos de NTFS:
• Cuando copiamos una carpeta o archivo dentro de una única partición NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino.
• Cuando copiamos una carpeta o archivo entre particiones NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino.
• Cuando copiamos archivos o carpetas a particiones que no son NTFS, como FAT, las carpetas y archivos pierden sus permisos de NTFS, porque las particiones que no son NTFS no soportan los permisos de NTFS.
Para copiar archivos y carpetas dentro de una única partición NTFS o entre particiones NTFS, debemos disponer del permiso de Lectura sobre la carpeta original y permiso de Escritura sobre la carpeta de destino.
Objetivo Explicar qué ocurre a los permisos de NTFS cuando copiamos o movemos archivos o carpetas.
Presentación Copiar o mover archivos o carpetas dentro y entre particiones NTFS puede afectar a los permisos.
Importante Cuando copiamos un archivo dentro de una partición NTFS o entre particiones NTFS, Windows 2000 trata el archivo como uno nuevo. Como tal, el archivo adquiere los permisos de la carpeta de destino. Debemos disponer del permiso de Escritura sobre la carpeta de destino para poder copiar archivos y carpetas.
Partición NTFSD:\
Partición NTFSE:\
Partición NTFSC:\
n Toda copia hereda permisos de la carpeta de destino
n Únicamente moviendo a la misma partición se conservan los permisos
CopiarCopiarCopiar
MoverMover
Copiar o moverCopiar o mover
Permisos NTFS 10
Mover archivos y carpetas Cuando movemos un archivo o carpeta, los permisos pueden cambiar dependiendo de los permisos de la carpeta de destino. Mover un archivo o carpeta tiene los siguientes efectos en los permisos de NTFS:
• Cuando movemos una carpeta o archivo dentro una partición NTFS, la carpeta o archivo conserva sus permisos originales.
• Cuando movemos una carpeta o archivo entre particiones NTFS, la carpeta o archivo hereda los permisos de la carpeta de destino. Cuando movemos una carpeta o archivo entre particiones, de hecho estamos copiando la carpeta o archivo a la nueva ubicación y lo eliminamos de su antigua ubicación.
• Cuando movemos archivos o carpetas a particiones que no son NTFS, las carpetas y archivos pierden sus permisos de NTFS, porque las particiones que no son NTFS no soportan los permisos de NTFS.
Para mover archivos y carpetas dentro de una partición NTFS o entre particiones NTFS, debemos tener el permiso de Escritura sobre la carpeta de destino y el permiso de Modificación sobre la carpeta o archivo original. El permiso de Modificación es necesario para mover una carpeta o archivo, ya que Windows 2000 elimina la carpeta o archivo de la carpeta original después de copiarlo a la carpeta de destino.
Importante Para mover un archivo o carpeta, debemos tener el permiso de Escritura sobre la carpeta de destino y el permiso de Modificación sobre la carpeta original.
Permisos NTFS 11
Ejercicio de clase: Aplicación de los permisos de NTFS
Usuario1 pertenece al grupo Usuarios y al grupo Ventas.
1. El grupo Usuarios tiene permiso de Escritura y el grupo Ventas tiene permiso de Lectura sobre la Carpeta1. ¿Qué permisos tiene Usuario1 sobre la Carpeta1?
Usuario1 tiene los permisos de Escritura y Lectura sobre la Carpeta1, ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Escritura, y al grupo Ventas, que tiene permiso de Lectura.
2. El grupo Usuarios tiene permiso de Lectura sobre la Carpeta1. El grupo Ventas tiene permiso de Escritura sobre la Carpeta2. ¿Qué permisos tiene el Usuario1 sobre el Archivo2?
Usuario1 tiene permisos de Lectura y Escritura sobre el Archivo2, ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Lectura sobre la Carpeta1, y al grupo Ventas, que tiene permiso de Escritura sobre la Carpeta2. Archivo2 hereda los permisos de ambas, la Carpeta2 y la Carpeta1.
3. El grupo Usuarios tiene permiso de Modificación sobre la Carpeta1. Archivo2 debería ser accesible únicamente para el grupo Ventas, y únicamente en modo lectura. ¿Qué pasos deberíamos seguir para asegurarnos de que el grupo Ventas tiene únicamente permiso de Lectura sobre el Archivo2?
Deshabilitar la herencia de permisos sobre la Carpeta2 o el Archivo2. Eliminar los permisos sobre la Carpeta2 o el Archivo2 que la Carpeta2 ha heredado de la Carpeta1. Conceder únicamente el permiso de Lectura al grupo Ventas sobre la Carpeta2 o el Archivo2.
Objetivo Reforzar los conocimientos de los estudiantes sobre cómo aplica Windows 2000 los permisos de NTFS a archivos y carpetas.
Presentación Veamos algunos ejemplos de resultados de aplicar permisos de NTFS a archivos y carpetas.
n El grupo Usuariosescribe en la Carpeta1
n El grupo Ventaslee la Carpeta1
n El grupo Usuariosescribe en la Carpeta1
n El grupo Ventaslee la Carpeta1
n El grupo Usuarioslee la Carpeta1
n El grupo Ventasescribe en la Carpeta2
n El grupo Usuarioslee la Carpeta1
n El grupo Ventasescribe en la Carpeta2
n El grupo Usuariosmodifica la Carpeta1
n Archivo2 debería ser accesible sólo para el grupo Ventas , y sólo en modo lectura
n El grupo Usuariosmodifica la Carpeta1
n Archivo2 debería ser accesible sólo para el grupo Ventas , y sólo en modo lectura
Partición NTFS
Archivo2Archivo2
Carpeta1Carpeta1
Carpeta2Carpeta2
Archivo1Archivo1
Grupo UsuariosGrupo Usuarios
Grupo VentasGrupo Ventas
Usuario1Usuario1
Permisos NTFS 12
u Uso de los permisos de NTFS
Los administradores, los usuarios con el permiso Control Total y los propietarios de archivos o carpetas pueden conceder permisos sobre archivos y carpetas a cuentas de usuario y a grupos. Cuando concedamos permisos de NTFS y controlemos la herencia, deberíamos seguir las prácticas recomendadas para otorgar los permisos del modo más eficaz. Deberíamos conceder los permisos siempre de acuerdo con las necesidades de nuestros grupos y usuarios.
Objetivo Presentar los temas relacionados con el uso de los permisos de NTFS.
Presentación Los administradores y propietarios de archivos y carpetas controlan el acceso a los archivos y carpetas.
Sugerencia Recuerde a los estudiantes que es recomendable asignar permisos a recursos utilizando grupos locales del dominio en lugar de cuentas individuales.
n Concesión de permisos de NTFS
n Configuración de la herencia de permisos
n Prácticas recomendadas para la concesión de permisos de NTFS
Permisos NTFS 13
Concesión de permisos de NTFS
Concedemos permisos de NTFS a la carpeta en el cuadro de diálogo Propiedades. Cuando concedemos o modificamos permisos de NTFS sobre un archivo o carpeta, podemos agregar o eliminar usuarios, grupos o equipos. Seleccionando un usuario o grupo, podemos modificar sus permisos.
En la ficha Seguridad del cuadro de diálogo Propiedades del archivo o carpeta, configure las opciones que se describen en la siguiente tabla:
Opción Descripción Nombre Selecciona la cuenta de usuario o grupo sobre el que deseamos
modificar los permisos o que deseamos eliminar de la lista.
Permisos Otorga un permiso cuando selecciomos la caja de verificación Permitir.
Deniega un permiso cuando seleccionamos la caja de verificación Denegar.
Añadir Abre el cuadro de diálogo Seleccionar usuario, grupos o equipos , que utilizamos para seleccionar cuentas de usuario y grupos para añadirlos a la lista Nombre.
Eliminar Elimina la cuenta de usuario o grupo seleccionado y los permisos asociados al archivo o carpeta.
Objetivo Explicar cómo conceder permisos de NTFS.
Presentación Por defecto, Windows 2000 concede el permiso Control Total cuando creamos un archivo o carpeta o cuando formateamos una partición con NTFS.
Permisos NTFS 14
Configuración de la herencia de permisos
En general, deberíamos permitir que Windows 2000 propagara los permisos de una carpeta padre a las subcarpetas y archivos que contiene. La propagación de permisos simplifica la asignación de permisos a recursos.
Sin embargo, es posible que en ocasiones deseemos evitar la herencia de permisos. Por ejemplo, es posible que necesitemos guardar todos los archivos del departamento de ventas en una carpeta Ventas para la que todos los miembros de dicho departamento tengan permiso de Escritura. Sin embargo, debemos limitar los permisos sobre algunos archivos de la carpeta con el permiso de Lectura únicamente. Por tanto, deberíamos evitar la herencia para que el permiso de Escritura no se propague a los archivos contenidos en la carpeta.
Por defecto, las subcarpetas y archivos heredan los permisos concedidos sobre sus carpetas padre, como se muestra en la ficha Seguridad del cuadro de texto Propiedades cuando está seleccionada la caja de verificación de Permitir permisos heredables desde el padre para propagar a este objeto.
Para evitar que una subcarpeta o archivo herede permisos de una carpeta padre, debemos desmarcar la caja de verificación Permitir permisos heredables desde el padre para propagar a este objeto, y seleccionar una de las siguientes opciones:
Opción Descripción Copiar Copia permisos previamente heredados desde la carpeta p adre a la
subcarpeta o archivo y deniega la posterior herencia de permisos desde la carpeta padre.
Eliminar Elimina los permisos heredados concedidos sobre la carpeta padre desde la subcarpeta o archivo y conserva únicamente los permisos explícitamente concedidos sobre la subcarpeta o archivo.
Objetivo Explicar cómo se controla la herencia de permisos.
Presentación Por defecto, los permisos que concedemos a una carpeta son heredados por las subcarpetas y archivos que contiene.
Sugerencia Haga una demostración de cómo conceder permisos a una carpeta. A continuación, haga una demostración de cómo bloquear la herencia de permisos sobre un archivo contenido en la carpeta. Finalmente, conceda nuevos permisos sobre el archivo en el que ha bloqueado la herencia de permisos.
Permisos NTFS 15
Prácticas recomendadas para conceder permisos de NTFS
Considere las siguientes prácticas recomendadas cuando conceda permisos de NTFS:
• Conceder permisos a grupos locales del dominio en lugar de a usuarios. Es más fácil administrar grupos que usuarios. De este modo se mantiene la lista más corta, mejorando el rendimiento.
• Para simplificar la administración, agrupe archivos en carpetas de aplicación donde se guarden las aplicaciones más utilizadas, carpetas de datos que contienen archivos de datos compartidos por múltiples usuarios, y carpetas de usuarios que contengan los archivos de cada usuario individual. Centralice las carpetas de usuario y las carpetas de datos en una partición distinta.
• Otorgue a los usuarios únicamente el nivel de acceso que requieran. Si un usuario únicamente necesita leer un archivo, conceda al usuario, o grupo al que pertenezca, el permiso de Lectura sobre el archivo.
• Cree grupos según los requerimientos de acceso a los recursos que necesiten sus miembros, y conceda los permisos adecuados a los grupos.
• Cuando conceda permisos sobre carpetas de aplicaciones, conceda el permiso Leer y Ejecutar a los grupos Usuarios y Administradores. De este modo, se evita que archivos de datos y aplicaciones se eliminen o se dañen accidentalmente por usuarios o virus.
Objetivo Explicar las prácticas recomendadas para la concesión de permisos de NTFS.
Presentación Considere estas directrices cuando conceda permisos de NTFS.
Conceder permisos a grupos locales del dominio en lugar de a usuariosConceder permisos a grupos locales del dominio en lugar de a usuarios
Agrupar recursos para simplificar la administraciónAgrupar recursos para simplificar la administración
Otorgar a los usuarios únicamente el nivel de acceso que necesitenOtorgar a los usuarios únicamente el nivel de acceso que necesiten
Conceder permisos de Leer y ejecutar y Escritura para carpetas de datosConceder permisos de Leer y ejecutar y Escriturapara carpetas de datos
Conceder permisos de Leer y ejecutar para carpetas de aplicacionesConceder permisos de Leer y ejecutar para carpetas de aplicaciones
Crear grupos de acuerdo con el acceso que sus miembros requierenCrear grupos de acuerdo con el acceso que sus miembros requieren
Permisos NTFS 16
• Cuando conceda permisos sobre carpetas de datps, conceda los permisos Leer y Ejecutar y Escritura al grupo Usuarios y el permiso de Modificación al grupo Propietario Creador. De este modo, los usuarios tendrán la capacidad de leer y modificar documentos creados por otros usuarios, y la capacidad de leer, modificar y eliminar los archivos y carpetas que ellos mismos creen.
Deberiamos utilizar la denegación de permisos únicamente cuando sea imprescindible para denegar el acceso a una cuenta de usuario o grupo específicos. Se recomienda también el uso de grupos locales del dominio para asignar permisos en vez de asignar permisos a cuentas individuales.
Nota
Permisos NTFS 17
u Uso de los permisos especiales de NTFS
Generalmente, los permisos estándar de NTFS proporcionan todo el control de acceso que necesitamos para securizar nuestros recursos. Sin embargo, en ocasiones los permisos estándares de NTFS no proporcionan el nivel especifico de acceso que deseamos conceder a los usuarios. Para crear un nivel específico de acceso, concedemos permisos de acceso especiales de NTFS.
Objetivo Identificar los temas relacionados con la concesión de los permisos especiales de NTFS.
Presentación Generalmente, los permisos estándar de NTFS proporcionan el control de acceso necesario para securizar los recursos, pero si necesitamos niveles de acceso más específicos, podemos utlizar los permisos de acceso especiales de NTFS.
n Introducción a los permisos especiales de NTFS
n Concesión de permisos especiales de NTFS
Permisos NTFS 18
Introducción a los permisos especiales de NTFS
Los permisos de acceso especiales nos proporcionan un mayor grado de control para conceder acceso a recursos. Los 13 permisos de acceso especiales, cuando se combinan, constituyen los permisos estándares de NTFS. Por ejemplo, el permiso estándar de Lectura consta de los permisos de acceso especiales Leer datos, Leer atributos, Leer permisos y Leer atributos extendidos.
Dos de los permisos de acceso especiales son especialmente útiles para la administración del acceso a archivos y carpetas:
• Cambiar permisos. Con este permiso, el usuario tiene la capacidad de cambiar permisos sobre un archivo o carpeta.
• Tomar posesión. Con este permiso, el usuario tiene la capacidad de tomar posesión de archivos y carpetas.
Cambiar permisos Podemos dar a otros administradores y usuarios la capacidad de cambiar permisos sobre un archivo o carpeta sin necesidad de concederles el permiso Control total sobre el archivo o carpeta. De esta forma, el administrador o usuario no puede borrar o escribir en el archivo o carpeta, pero puede conceder permisos al archivo o carpeta.
Para dar a los administradores la capacidad de cambiar permisos, conceda el permiso de Modificación sobre archivo o carpeta al grupo Administradores.
Es recomendable asignar permisos a recursos utilizando A G DL P.
Objetivo Explicar los permisos especiales de NTFS.
Presentación Los permisos de acceso especiales nos proporcionan un mayor grado de control para conceder acceso a recursos.
Nota
~~~~~~~~~~~~~~~~~~~~
Permiso para cambiar permisos y Tomar posesión
Permiso para Permiso para cambiar permisos y cambiar permisos y Tomar posesiónTomar posesión
Propietario, AdministradorPropietario,
Administrador
Usuarios, GruposUsuarios, Grupos
Cambiar permisosTomar posesiónCambiar permisosCambiar permisosTomar posesiónTomar posesión
Permiso estándarPermiso estándarPermiso estándar Permisos especiales de accesoPermisos especiales de accesoPermisos especiales de acceso
LecturaLecturaLeer datosLeer atributosLeer permisosLeer atributos ampliados
Leer datosLeer atributosLeer permisosLeer atributos ampliados
Permisos NTFS 19
Tomar posesión Podemos dar a un usuario la capacidad de tomar posesión o, como administrador, podemos tomar posesión de un archivo o carpeta.
Las siguientes normas son aplicables a tomar posesión de un archivo o carpeta:
• El propietario actual o cualquier usuario con permiso Control total puede conceder el permiso estándar Control total o el permiso de acceso especial Tomar posesión a otra cuenta de usuario o grupo. Esto permite a la cuenta de usuario o a un miembro del grupo tomar posesión.
• Un miembro del grupo de administradores puede tomar posesión de una carpeta o archivo, con independencia de los permisos concedidos sobre esa carpeta o archivo. Si un administrador toma posesión, el grupo de administradores se convierte en el propietario, y cualquier miembro del grupo de administradores puede modificar los permisos sobre el archivo o carpeta y conceder el permiso Tomar posesión a otra cuenta de usuario o grupo.
Por ejemplo, si un empleado deja la compañía, un administrador puede tomar posesión de los archivos del empleado y conceder el permiso Tomar posesión a otro empleado, y ese empleado puede tomar posesión de los archivos del primero.
Para convertirse en el propietario de un archivo o carpeta, un usuario o miembro de un grupo con el permiso Tomar posesión debe explícitamente tomar posesión del archivo o carpeta. No podemos conceder automáticamente a ninguna persona la propiedad de un archivo o carpeta. El propietario de un archivo, un miembro del grupo de administradores o cualquier persona con permiso Control total puede conceder el permiso Tomar posesión a una cuenta de usuario o grupo, lo que les permite tomar posesión.
Nota
Permisos NTFS 20
Concesión de permisos especiales de NTFS
Para conceder permisos de acceso especiales a usuarios y grupos:
1. En el cuadro de diálogo Propiedades de un archivo o carpeta, en la ficha Seguridad, haga clic en el botón Avanzado.
2. En el cuadro de diálogo Configuración del Control de Acceso del archivo o carpeta, en la ficha Permisos, seleccione la cuenta de usuario o grupo para el que desea aplicar permisos de acceso especiales de NTFS, y haga clic en Ver/Editar.
3. En el cuadro de diálogo de Introducción de permisos del archivo o carpeta, configure las opciones descritas en la siguiente tabla:
Opción Descripción Nombre Especifique la cuenta de usuario o nombre del grupo.
Seleccione otro valor , haga clic en Cambiar.
Aplicar a Especifique el nivel de la jerarquía de carpetas desde el que se heredan los permisos especiales de NTFS. La opción predeterminada es Esta caroeta, subcarpetas y archivos.
Permisos Permita los permisos de acceso especiales. Para permitir los permisos Cambiar permisos o Tomar posesión , seleccione la caja de verificación de Permitir junto a cada uno de ellos.
Aplicar estos permisos a objetos y/o contenedores dentro de este contenedor únicamente
Especifica si las subcarpetas y archivos de una carpeta heredan los permisos de acceso especiales de dicha carpeta. Deshabilite esta casilla de verificación para evitar la herencia de permisos. Seléccionela para propagar los permisos de acceso especiales a archivos y subcarpetas.
Borrar todos Haga clic para deseleccionar todos los seleccionados.
Objetivo Explicar la interfaz para conceder permisos.
Presentación Podemos conceder permisos de acceso especiales para cambiar permisos de archivos y carpetas o tomar posesión de archivos y carpetas.
