Contraseña en carpetas

la seguridad en los sistemas NT a diferencia de los 9x, no se basa en contraseña sino en permisos NTFS, combinado con el del compartido...

mas info

Debido a la cantidad de preguntas que recibo en consultoría o a través de foros he decidido publicar esto.


Que es mas importante proteger las carpetas desde la opción SEGURIDAD o desde la opción COMPARTIR?


Primero que todo estamos hablando que la partición esta en NTFS ya que FAT no tiene opción de SEGURIDAD.


Algunos usuarios a veces se equivocan y protegen las carpetas compartidas con usuarios y grupos en vez de proteger los permisos NTFS, que se configuran con la opción de SEGURIDAD


Tiene más importancia SEGURIDAD. Vamos a ver si puedo explicar el porque.


COMPARTIR solo tiene 3 tipos de permisos, Control Total, Cambio y Lectura.


En cambio con SEGURIDAD tiene algunas opciones que al mezclarlas puede darle los permisos necesarios a un usuario en NT.


En 2000, XP y 2003 esto se aumenta y existen mas formas de dar permisos, ósea hay mas combinaciones (por ejemplo que pueda borrar archivos pero no directorios etc. etc. ), las mezclas son según como usted las necesite.


Adicionalmente usted se esta asegurando que si un usuario accede a la maquina físicamente, o por servicios de terminal, o utilizando algún software de control remoto de terceros, estarán protegidas las diferentes carpetas y archivos al igual como si las utilizara por la red.


Note que con SEGURIDAD le puede dar permisos sobre un único archivo a los usuarios y grupos, en cambio con COMPARTIR solo lo puedo hacer sobre carpetas.


La idea es esta :


En SEGURIDAD usted puede configurar los grupos con los permisos que necesite.


(Los usuarios también se podrían configurar pero es aconsejable utilizar grupos en las redes y no usuarios, en una maquina sin red podría configurar los usuarios)


Si un usuario pertenece a varios grupos el permiso que le es asignado sobre el recurso es el menos restrictivo o lo que es lo mismo se hace una union de permisos ...


En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recurso


GRUPOS PERMISOS


Contabilidad Lectura y Ejecución


Recursos Humanos Leer, Escribir


Proyectos Modificar


SYSTEM Control Total


Administradores Control Total


Entonces el usuario queda con el permiso de SEGURIDAD mas alto que es Modificar. Ese es el permiso que le va a quedar al usuario cuando accede localmente la maquina o por software remoto. Revise en la ayuda como se comportan los diferentes permisos en archivos y carpetas.


Solo hay una regla que rompe esta norma y es cuando utilizan la opción de [No access] en NT o Denegar en 2000,XP o 2003. Cualquier denegación manda sobre cualquier acumulado de permisos, ejemplo si el usuario pertenece a varios grupos y por lo menos en alguno le deniegan por ejemplo escribir, por mas que en los otros grupos tuviera el permiso la denegación tiene prioridad y nunca podrá escribir. Tambien conocida como negacion explicita.


Ojo las denegaciones se deben usar con cuidado, en raras ocasiones se debe usar, si un grupo no necesita acceder a una carpeta solo deje los grupos que necesite, y ese grupo no lo incluya, de esta manera no podrá acceder al recurso. (Ojo recuerde quitar todos - everyone). Esto es lo que se llama una negacion implicita.


Recuerde que el primer grupo que debe quitar en la SEGURIDAD es Todos (Everyone) y debe dejar iniciando, SYSTEM con control total, y Administradores con control total.


SYSTEM se debe dejar siempre debido a que algunos programas (ANTIVIRUS, BACKUP, etc. ) utilizan SYSTEM para poder acceder a las carpetas y archivos. El permiso que debe tener SYSTEM es Control Total. (recuerde que con SYSTEM no es una cuenta con la que podrán iniciar sesión en una maquina).


Administradores se debe adicionar para que este grupo siempre tenga control sobre una carpeta (o archivos). Si estamos en un dominio y se adiciona este grupo sobre una maquina, nos estamos asegurando que cualquier administrador de dominio podrá acceder a la carpeta para hacer algún mantenimiento debido a que cuando una maquina es adicionada a un dominio, así sea un member Server (NT, 2000, 2003) o una estación (NT, 2000, XP), una de las cosas que suceden al ser dado de alta un equipo es adicionar el grupo global Administradores de Dominio (Domain Admin.) al grupo local Administradores (Administrators). así como adicionar el grupo global usuarios de dominio (Domain Users) al grupo local Users. (suceden otras cosas pero estas son las que nos interesan por ahora)


Ahora veamos que pasa con la casilla COMPARTIR.


Sucede lo mismo los permisos son acumulados dando el menos restrictivo a un usuario basado en los grupos a los que el pertenezca. (Al igual que en NTFS o SEGURIDAD), y también sucede lo mismo con la norma de denegar. Aqui tambien se puede hablar de una Union de permisos.


Pero el permiso que le es concedido a un usuario al acceder por la red un recurso compartido es el siguiente :


El permiso menos restrictivo de SEGURIDAD (Union) con el permiso menos restrictivo de COMPARTIR (Union) se compara y queda el MAS RESTRICTIVO de los dos y este es el permiso con el cual un usuario podrá acceder. (Interseccion)


- Restrictivo SEGURIDAD - Restrictivo COMPARTIR


+ Restrictivo ACCESO REAL


Veamos un ejemplo a ver si se entiende :


En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recursos


GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED


Contabilidad Lectura Lectura Lectura


Recursos Humanos Leer, Escribir Cambio Leer, Escribir


Proyectos Modificar Cambio Modificar


SYSTEM Control Total Control Total Control Total


Administradores Control Total Control Total Control Total


Note que Recursos Humanos podrá Leer y Escribir pero no podrá borrar aunque en COMPARTIR tiene permisos de cambio (No podrá borrar archivos ni carpetas un permiso que tiene cambio porque SEGURIDAD se lo restringe, ya que es MAS restrictivo).


Adicionalmente ya con la explicación anterior, note que es mas importante configurar los permisos en SEGURIDAD y en COMPARTIR podríamos dejar el grupo todos (Everyone)


¿ Porque ? por ejemplo note esto, basado en el ejemplo anterior vamos a usar todos (everyone) con Full Control, con el cual obtenemos los mismos resultados :


GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED


Todos (sin permisos) Control Total (no tiene permisos)


Contabilidad Lectura (sin permisos) Lectura


Recursos Humanos Leer, Escribir (sin permisos) Leer, Escribir


Proyectos Modificar (sin permisos) Modificar


SYSTEM Control Total Control Total Control Total


Administradores Control Total Control Total Control Total


1. Contabilidad, Recursos Humanos y Proyectos quedaran con el permisos de SEGURIDAD, ya que ellos pertenecen al grupo por defecto Todos (Everyone), y es mas restrictivo este.


2. Cualquier usuario que no pertenezca a ninguno de los grupos anteriores al tratar de usar el recurso compartido le mostrara un mensaje de acceso denegado, ya que el usuario en los permisos de COMPARTIR pertenece al grupo todos pero en el de SEGURIDAD no tiene un grupo relacionado, entonces queda inhabilitado para poder acceder. Negacion Implicita.


Ahora mejoremos la seguridad un poco mas…


En un dominio en vez de utilizar el grupo todos (everyone) podría usar el grupo Usuarios Autenticados (Authenticade Users) para asegurarse que solo personas con cuentas en el dominio podrán acceder el recurso. (A no ser que usuarios de otros sistemas (Unix, Novell, etc), que no tuvieran cuenta en el dominio necesitaran acceder).


Tampoco de a un usuario el permiso de control total, ya que para escribir y modificar archivos y carpetas no lo necesitan, esto es una confusión ya que control total lo que permite es tomar control y cambiar los permisos de algo y normalmente los usuarios no lo deberían tener. Con modificar pueden hacer lo que necesiten.


Adicionalmente si adiciona un usuario a un grupo que ya tiene permisos sobre algo, hagale notar al usuario que debe iniciar sesión de nuevo para que el TOKEN quede con el nuevo grupo. Por ahora no nos metamos con el TOKEN.


Espero haber sido claro en una próxima ocasión adicionamos la información del TOKEN y que es un grupo global local (y en directorio activo Universal).


Para herramientas para cambiar permisos desde la línea de comandos vea el comando CACLS /?, y si puede descargue la versión que le muestra permisos especiales XCACLS desde la pagina de Microsoft.


Para una un herramienta grafica baje DUMACL (DUMSEC) de www.systemtools.com


Es freeware.


Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...68a-e09...
Bogotá - Colombia
¬¬-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
¬¬-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.

¬¬-
"jj" wrote in message news:

Buenas tardes.

¿Hay alguna manera de poner contraseña a una carpeta de windows 2003 server?

¿Sabeis como añadir un Mac a un dominio de Windows 2003?

Gracias