Acceso a Carpetas

en cualquier carpeta donde quieras configurar eso, entras en las propiedades
y vas a tener una solapa de security, si no la tenes puede ser porque la
particion no sea ntfs.
Solo tenes seguridad sobre los archivos en particiones ntfs



Leandro Sgallari
MCSE-MCDBA-MCT-MCSA-MCP

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.




"Carlos Zurita" escribió en el
mensaje news:%23ambK9q%

Buenas a todos

Alguien puede decirme como dar privilegios de acceso, lectura y escritura
a ciertas carpetas solamente?

Tengo Windows 2000 server, y quiere que no todos los usuarios puedan
modificar otras carpetas.

Carlos Zurita
Intercargo Services L.L.C.
Phone (956) 722-9404
Fax (956) 791-1215
http://www.intercargo-services.com
Laredo, Tx.

ve a propiedades de la carpeta y ahi podras añadir los distintos grupos
y/o usuarios para dar o denegar permisos.


Un saludo,
Julián.

http://julianrv.com/blog

Carlos Zurita escribió:

Buenas a todos

Alguien puede decirme como dar privilegios de acceso, lectura y escritura a
ciertas carpetas solamente?

Tengo Windows 2000 server, y quiere que no todos los usuarios puedan
modificar otras carpetas.

y eso lo hago en el servidor o desde una terminal?

"Carlos Zurita" wrote in message
news:%23ambK9q%

Buenas a todos

Alguien puede decirme como dar privilegios de acceso, lectura y escritura
a ciertas carpetas solamente?

Tengo Windows 2000 server, y quiere que no todos los usuarios puedan
modificar otras carpetas.

Carlos Zurita
Intercargo Services L.L.C.
Phone (956) 722-9404
Fax (956) 791-1215
http://www.intercargo-services.com
Laredo, Tx.

fyi

Debido a la cantidad de preguntas que recibo en consultoría o a través de foros he decidido publicar esto.

Que es mas importante proteger las carpetas desde la opción SEGURIDAD o desde la opción COMPARTIR?


Primero que todo estamos hablando que la partición esta en NTFS ya que FAT no tiene opción de SEGURIDAD.


Algunos usuarios a veces se equivocan y protegen las carpetas compartidas con usuarios y grupos en vez de proteger los permisos NTFS, que se configuran con la opción de SEGURIDAD


Tiene más importancia SEGURIDAD. Vamos a ver si puedo explicar el porque.


COMPARTIR solo tiene 3 tipos de permisos, Control Total, Cambio y Lectura.


En cambio con SEGURIDAD tiene algunas opciones que al mezclarlas puede darle los permisos necesarios a un usuario en NT.


En 2000, XP y 2003 esto se aumenta y existen mas formas de dar permisos, ósea hay mas combinaciones (por ejemplo que pueda borrar archivos pero no directorios etc. etc. ), las mezclas son según como usted las necesite.


Adicionalmente usted se esta asegurando que si un usuario accede a la maquina físicamente, o por servicios de terminal, o utilizando algún software de control remoto de terceros, estarán protegidas las diferentes carpetas y archivos al igual como si las utilizara por la red.


Note que con SEGURIDAD le puede dar permisos sobre un único archivo a los usuarios y grupos, en cambio con COMPARTIR solo lo puedo hacer sobre carpetas.


La idea es esta :


En SEGURIDAD usted puede configurar los grupos con los permisos que necesite.


(Los usuarios también se podrían configurar pero es aconsejable utilizar grupos en las redes y no usuarios, en una maquina sin red podría configurar los usuarios)


Si un usuario pertenece a varios grupos el permiso que le es asignado sobre el recurso es el menos restrictivo...


En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recurso


GRUPOS PERMISOS


Contabilidad Lectura y Ejecución


Recursos Humanos Leer, Escribir


Proyectos Modificar


SYSTEM Control Total


Administradores Control Total


Entonces el usuario queda con el permiso de SEGURIDAD mas alto que es Modificar. Ese es el permiso que le va a quedar al usuario cuando accede localmente la maquina o por software remoto. Revise en la ayuda como se comportan los diferentes permisos en archivos y carpetas.


Solo hay una regla que rompe esta norma y es cuando utilizan la opción de [No access] en NT o Denegar en 2000,XP o 2003. Cualquier denegación manda sobre cualquier acumulado de permisos, ejemplo si el usuario pertenece a varios grupos y por lo menos en alguno le deniegan por ejemplo escribir, por mas que en los otros grupos tuviera el permiso la denegación tiene prioridad y nunca podrá escribir.


Ojo las denegaciones se deben usar con cuidado, en raras ocasiones se debe usar, si un grupo no necesita acceder a una carpeta solo deje los grupos que necesite, y ese grupo no lo incluya, de esta manera no podrá acceder al recurso. (Ojo recuerde quitar todos - everyone).


Recuerde que el primer grupo que debe quitar en la SEGURIDAD es Todos (Everyone) y debe dejar iniciando, SYSTEM con control total, y Administradores con control total.


SYSTEM se debe dejar siempre debido a que algunos programas (ANTIVIRUS, BACKUP, etc. ) utilizan SYSTEM para poder acceder a las carpetas y archivos. El permiso que debe tener SYSTEM es Control Total. (recuerde que con SYSTEM no es una cuenta con la que podrán iniciar sesión en una maquina).


Administradores se debe adicionar para que este grupo siempre tenga control sobre una carpeta (o archivos). Si estamos en un dominio y se adiciona este grupo sobre una maquina, nos estamos asegurando que cualquier administrador de dominio podrá acceder a la carpeta para hacer algún mantenimiento debido a que cuando una maquina es adicionada a un dominio, así sea un member Server (NT, 2000, 2003) o una estación (NT, 2000, XP), una de las cosas que suceden al ser dado de alta un equipo es adicionar el grupo global Administradores de Dominio (Domain Admin.) al grupo local Administradores (Administrators). así como adicionar el grupo global usuarios de dominio (Domain Users) al grupo local Users. (suceden otras cosas pero estas son las que nos interesan por ahora)


Ahora veamos que pasa con la casilla COMPARTIR.


Sucede lo mismo los permisos son acumulados dando el menos restrictivo a un usuario basado en los grupos a los que el pertenezca. (Al igual que en NTFS o SEGURIDAD), y también sucede lo mismo con la norma de denegar.


Pero el permiso que le es concedido a un usuario al acceder por la red un recurso compartido es el siguiente :


El permiso menos restrictivo de SEGURIDAD con el permiso menos restrictivo de COMPARTIR se compara y queda el MAS RESTRICTIVO de los dos y este es el permiso con el cual un usuario podrá acceder.


- Restrictivo SEGURIDAD - Restrictivo COMPARTIR


+ Restrictivo ACCESO REAL


Veamos un ejemplo a ver si se entiende :


En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recursos


GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED


Contabilidad Lectura Lectura Lectura


Recursos Humanos Leer, Escribir Cambio Leer, Escribir


Proyectos Modificar Cambio Modificar


SYSTEM Control Total Control Total Control Total


Administradores Control Total Control Total Control Total


Note que Recursos Humanos podrá Leer y Escribir pero no podrá borrar aunque en COMPARTIR tiene permisos de cambio (No podrá borrar archivos ni carpetas un permiso que tiene cambio porque SEGURIDAD se lo restringe, ya que es MAS restrictivo).


Adicionalmente ya con la explicación anterior, note que es mas importante configurar los permisos en SEGURIDAD y en COMPARTIR podríamos dejar el grupo todos (Everyone)


¿ Porque ? por ejemplo note esto, basado en el ejemplo anterior vamos a usar todos (everyone) con Full Control, con el cual obtenemos los mismos resultados :


GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED


Todos (sin permisos) Control Total (no tiene permisos)


Contabilidad Lectura (sin permisos) Lectura


Recursos Humanos Leer, Escribir (sin permisos) Leer, Escribir


Proyectos Modificar (sin permisos) Modificar


SYSTEM Control Total Control Total Control Total


Administradores Control Total Control Total Control Total


1. Contabilidad, Recursos Humanos y Proyectos quedaran con el permisos de SEGURIDAD, ya que ellos pertenecen al grupo por defecto Todos (Everyone), y es mas restrictivo este.


2. Cualquier usuario que no pertenezca a ninguno de los grupos anteriores al tratar de usar el recurso compartido le mostrara un mensaje de acceso denegado, ya que el usuario en los permisos de COMPARTIR pertenece al grupo todos pero en el de SEGURIDAD no tiene un grupo relacionado, entonces queda inhabilitado para poder acceder.


Ahora mejoremos la seguridad un poco mas.


En un dominio en vez de utilizar el grupo todos (everyone) podría usar el grupo Usuarios Autenticados (Authenticade Users) para asegurarse que solo personas con cuentas en el dominio podrán acceder el recurso. (A no ser que usuarios de otros sistemas (Unix, Novell, etc), que no tuvieran cuenta en el dominio necesitaran acceder).


Tampoco de a un usuario el permiso de control total, ya que para escribir y modificar archivos y carpetas no lo necesitan, esto es una confusión ya que control total lo que permite es tomar control y cambiar los permisos de algo y normalmente los usuarios no lo deberían tener. Con modificar pueden hacer lo que necesiten.


Adicionalmente si adiciona un usuario a un grupo que ya tiene permisos sobre algo, hagale notar al usuario que debe iniciar sesión de nuevo para que el TOKEN quede con el nuevo grupo. Por ahora no nos metamos con el TOKEN.


Espero haber sido claro en una próxima ocasión adicionamos la información del TOKEN y que es un grupo global local (y en directorio activo Universal).


Para herramientas para cambiar permisos desde la línea de comandos vea el comando CACLS /?, y si puede descargue la versión que le muestra permisos especiales XCACLS desde la pagina de Microsoft.


Para una un herramienta grafica baje DUMACL (DUMSEC) de www.systemtools.com


Es freeware.



­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-
"Carlos Zurita" wrote in message news:%23ambK9q%

Buenas a todos

Alguien puede decirme como dar privilegios de acceso, lectura y escritura a
ciertas carpetas solamente?

Tengo Windows 2000 server, y quiere que no todos los usuarios puedan
modificar otras carpetas.

Carlos Zurita
Intercargo Services L.L.C.
Phone (956) 722-9404
Fax (956) 791-1215
http://www.intercargo-services.com
Laredo, Tx.