Compartir Carpetas

Hola Rodolfo ,

Gracias por tu respuesta. Como verás , soy nuevo en esto de los foros, sobre
todo directamente desde la WEB .
La verdad es que no pude leer a lo que te refieres ó yo entendí mal.

Te refieres a que debo leer otros grupos ??
Te refieres a que debo leer noticias ya expuestas ??

Gracias y disculpa si hago preguntas muy novatas

Alex

"Rodolfo Parrado Gutiérrez [MVP Windows]" escribió:

debe compartir es a nivel de usuario ...

lease esto...

-
Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Alex S." escribió en el mensaje news:
> Sres, pregunto a ver si alguien me puede ayudar.
> Tengo Win XP PRO y deseo hacer lo siguiente:
>
> Compartir ciertas carpetas pero , que sólo algunos IP o nombres de PC puedan
> acceder sólo a las carpetas asignadas.
>
> Muchas gracias por si alguien me puede ayudar

La nexo contiene esto... pero por web comoq ue el anexo no se ve...





Debido a la cantidad de preguntas que recibo en consultoría o a través de foros he decidido publicar esto.



Que es mas importante proteger las carpetas desde la opción SEGURIDAD o desde la opción COMPARTIR?



Primero que todo estamos hablando que la partición esta en NTFS ya que FAT no tiene opción de SEGURIDAD.



Algunos usuarios a veces se equivocan y protegen las carpetas compartidas con usuarios y grupos en vez de proteger los permisos NTFS, que se configuran con la opción de SEGURIDAD



Tiene más importancia SEGURIDAD. Vamos a ver si puedo explicar el porque.



COMPARTIR solo tiene 3 tipos de permisos, Control Total, Cambio y Lectura.



En cambio con SEGURIDAD tiene algunas opciones que al mezclarlas puede darle los permisos necesarios a un usuario en NT.



En 2000, XP y 2003 esto se aumenta y existen mas formas de dar permisos, ósea hay mas combinaciones (por ejemplo que pueda borrar archivos pero no directorios etc. etc. ), las mezclas son según como usted las necesite.



Adicionalmente usted se esta asegurando que si un usuario accede a la maquina físicamente, o por servicios de terminal, o utilizando algún software de control remoto de terceros, estarán protegidas las diferentes carpetas y archivos al igual como si las utilizara por la red.



Note que con SEGURIDAD le puede dar permisos sobre un único archivo a los usuarios y grupos, en cambio con COMPARTIR solo lo puedo hacer sobre carpetas.



La idea es esta :



En SEGURIDAD usted puede configurar los grupos con los permisos que necesite.

(Los usuarios también se podrían configurar pero es aconsejable utilizar grupos en las redes y no usuarios, en una maquina sin red podría configurar los usuarios)



Si un usuario pertenece a varios grupos el permiso que le es asignado sobre el recurso es el menos restrictivo...



En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recurso



GRUPOS PERMISOS

Contabilidad Lectura y Ejecución

Recursos Humanos Leer, Escribir

Proyectos Modificar

SYSTEM Control Total

Administradores Control Total



Entonces el usuario queda con el permiso de SEGURIDAD mas alto que es Modificar. Ese es el permiso que le va a quedar al usuario cuando accede localmente la maquina o por software remoto. Revise en la ayuda como se comportan los diferentes permisos en archivos y carpetas.



Solo hay una regla que rompe esta norma y es cuando utilizan la opción de [No access] en NT o Denegar en 2000,XP o 2003. Cualquier denegación manda sobre cualquier acumulado de permisos, ejemplo si el usuario pertenece a varios grupos y por lo menos en alguno le deniegan por ejemplo escribir, por mas que en los otros grupos tuviera el permiso la denegación tiene prioridad y nunca podrá escribir.



Ojo las denegaciones se deben usar con cuidado, en raras ocasiones se debe usar, si un grupo no necesita acceder a una carpeta solo deje los grupos que necesite, y ese grupo no lo incluya, de esta manera no podrá acceder al recurso. (Ojo recuerde quitar todos - everyone).



Recuerde que el primer grupo que debe quitar en la SEGURIDAD es Todos (Everyone) y debe dejar iniciando, SYSTEM con control total, y Administradores con control total.

SYSTEM se debe dejar siempre debido a que algunos programas (ANTIVIRUS, BACKUP, etc. ) utilizan SYSTEM para poder acceder a las carpetas y archivos. El permiso que debe tener SYSTEM es Control Total. (recuerde que con SYSTEM no es una cuenta con la que podrán iniciar sesión en una maquina).



Administradores se debe adicionar para que este grupo siempre tenga control sobre una carpeta (o archivos). Si estamos en un dominio y se adiciona este grupo sobre una maquina, nos estamos asegurando que cualquier administrador de dominio podrá acceder a la carpeta para hacer algún mantenimiento debido a que cuando una maquina es adicionada a un dominio, así sea un member Server (NT, 2000, 2003) o una estación (NT, 2000, XP), una de las cosas que suceden al ser dado de alta un equipo es adicionar el grupo global Administradores de Dominio (Domain Admin.) al grupo local Administradores (Administrators). así como adicionar el grupo global usuarios de dominio (Domain Users) al grupo local Users. (suceden otras cosas pero estas son las que nos interesan por ahora)



Ahora veamos que pasa con la casilla COMPARTIR.



Sucede lo mismo los permisos son acumulados dando el menos restrictivo a un usuario basado en los grupos a los que el pertenezca. (Al igual que en NTFS o SEGURIDAD), y también sucede lo mismo con la norma de denegar.



Pero el permiso que le es concedido a un usuario al acceder por la red un recurso compartido es el siguiente :



El permiso menos restrictivo de SEGURIDAD con el permiso menos restrictivo de COMPARTIR se compara y queda el MAS RESTRICTIVO de los dos y este es el permiso con el cual un usuario podrá acceder.

- Restrictivo SEGURIDAD - Restrictivo COMPARTIR

+ Restrictivo ACCESO REAL





Veamos un ejemplo a ver si se entiende :



En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recursos



GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED

Contabilidad Lectura Lectura Lectura

Recursos Humanos Leer, Escribir Cambio Leer, Escribir

Proyectos Modificar Cambio Modificar

SYSTEM Control Total Control Total Control Total

Administradores Control Total Control Total Control Total







Note que Recursos Humanos podrá Leer y Escribir pero no podrá borrar aunque en COMPARTIR tiene permisos de cambio (No podrá borrar archivos ni carpetas un permiso que tiene cambio porque SEGURIDAD se lo restringe, ya que es MAS restrictivo).



Adicionalmente ya con la explicación anterior, note que es mas importante configurar los permisos en SEGURIDAD y en COMPARTIR podríamos dejar el grupo todos (Everyone)



¿ Porque ? por ejemplo note esto, basado en el ejemplo anterior vamos a usar todos (everyone) con Full Control, con el cual obtenemos los mismos resultados :





GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED

Todos (sin permisos) Control Total (no tiene permisos)

Contabilidad Lectura (sin permisos) Lectura

Recursos Humanos Leer, Escribir (sin permisos) Leer, Escribir

Proyectos Modificar (sin permisos) Modificar

SYSTEM Control Total Control Total Control Total

Administradores Control Total Control Total Control Total



1. Contabilidad, Recursos Humanos y Proyectos quedaran con el permisos de SEGURIDAD, ya que ellos pertenecen al grupo por defecto Todos (Everyone), y es mas restrictivo este.

2. Cualquier usuario que no pertenezca a ninguno de los grupos anteriores al tratar de usar el recurso compartido le mostrara un mensaje de acceso denegado, ya que el usuario en los permisos de COMPARTIR pertenece al grupo todos pero en el de SEGURIDAD no tiene un grupo relacionado, entonces queda inhabilitado para poder acceder.



Ahora mejoremos la seguridad un poco mas…



En un dominio en vez de utilizar el grupo todos (everyone) podría usar el grupo Usuarios Autenticados (Authenticade Users) para asegurarse que solo personas con cuentas en el dominio podrán acceder el recurso. (A no ser que usuarios de otros sistemas (Unix, Novell, etc), que no tuvieran cuenta en el dominio necesitaran acceder).



Tampoco de a un usuario el permiso de control total, ya que para escribir y modificar archivos y carpetas no lo necesitan, esto es una confusión ya que control total lo que permite es tomar control y cambiar los permisos de algo y normalmente los usuarios no lo deberían tener. Con modificar pueden hacer lo que necesiten.



Adicionalmente si adiciona un usuario a un grupo que ya tiene permisos sobre algo, hagale notar al usuario que debe iniciar sesión de nuevo para que el TOKEN quede con el nuevo grupo. Por ahora no nos metamos con el TOKEN.



Espero haber sido claro en una próxima ocasión adicionamos la información del TOKEN y que es un grupo global local (y en directorio activo Universal).



Para herramientas para cambiar permisos desde la línea de comandos vea el comando CACLS /?, y si puede descargue la versión que le muestra permisos especiales XCACLS desde la pagina de Microsoft.



Para una un herramienta grafica baje DUMACL (DUMSEC) de www.systemtools.com



Es freeware.


-
Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Alex S." escribió en el mensaje news:

Hola Rodolfo ,

Gracias por tu respuesta. Como verás , soy nuevo en esto de los foros, sobre
todo directamente desde la WEB .
La verdad es que no pude leer a lo que te refieres ó yo entendí mal.

Te refieres a que debo leer otros grupos ??
Te refieres a que debo leer noticias ya expuestas ??

Gracias y disculpa si hago preguntas muy novatas

Alex

"Rodolfo Parrado Gutiérrez [MVP Windows]" escribió:

debe compartir es a nivel de usuario ...

lease esto...

-
Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Alex S." escribió en el mensaje news:
> Sres, pregunto a ver si alguien me puede ayudar.
> Tengo Win XP PRO y deseo hacer lo siguiente:
>
> Compartir ciertas carpetas pero , que sólo algunos IP o nombres de PC puedan
> acceder sólo a las carpetas asignadas.
>
> Muchas gracias por si alguien me puede ayudar

Disculpa la tardanza en responder.
Muchas gracias por la info. Me sirvio

Agradecido

Alex


"Rodolfo Parrado Gutiérrez [MVP Windows]" escribió:

La nexo contiene esto... pero por web comoq ue el anexo no se ve...





Debido a la cantidad de preguntas que recibo en consultoría o a través de foros he decidido publicar esto.



Que es mas importante proteger las carpetas desde la opción SEGURIDAD o desde la opción COMPARTIR?



Primero que todo estamos hablando que la partición esta en NTFS ya que FAT no tiene opción de SEGURIDAD.



Algunos usuarios a veces se equivocan y protegen las carpetas compartidas con usuarios y grupos en vez de proteger los permisos NTFS, que se configuran con la opción de SEGURIDAD



Tiene más importancia SEGURIDAD. Vamos a ver si puedo explicar el porque.



COMPARTIR solo tiene 3 tipos de permisos, Control Total, Cambio y Lectura.



En cambio con SEGURIDAD tiene algunas opciones que al mezclarlas puede darle los permisos necesarios a un usuario en NT.



En 2000, XP y 2003 esto se aumenta y existen mas formas de dar permisos, ósea hay mas combinaciones (por ejemplo que pueda borrar archivos pero no directorios etc. etc. ), las mezclas son según como usted las necesite.



Adicionalmente usted se esta asegurando que si un usuario accede a la maquina físicamente, o por servicios de terminal, o utilizando algún software de control remoto de terceros, estarán protegidas las diferentes carpetas y archivos al igual como si las utilizara por la red.



Note que con SEGURIDAD le puede dar permisos sobre un único archivo a los usuarios y grupos, en cambio con COMPARTIR solo lo puedo hacer sobre carpetas.



La idea es esta :



En SEGURIDAD usted puede configurar los grupos con los permisos que necesite.

(Los usuarios también se podrían configurar pero es aconsejable utilizar grupos en las redes y no usuarios, en una maquina sin red podría configurar los usuarios)



Si un usuario pertenece a varios grupos el permiso que le es asignado sobre el recurso es el menos restrictivo...



En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recurso



GRUPOS PERMISOS

Contabilidad Lectura y Ejecución

Recursos Humanos Leer, Escribir

Proyectos Modificar

SYSTEM Control Total

Administradores Control Total



Entonces el usuario queda con el permiso de SEGURIDAD mas alto que es Modificar. Ese es el permiso que le va a quedar al usuario cuando accede localmente la maquina o por software remoto. Revise en la ayuda como se comportan los diferentes permisos en archivos y carpetas.



Solo hay una regla que rompe esta norma y es cuando utilizan la opción de [No access] en NT o Denegar en 2000,XP o 2003. Cualquier denegación manda sobre cualquier acumulado de permisos, ejemplo si el usuario pertenece a varios grupos y por lo menos en alguno le deniegan por ejemplo escribir, por mas que en los otros grupos tuviera el permiso la denegación tiene prioridad y nunca podrá escribir.



Ojo las denegaciones se deben usar con cuidado, en raras ocasiones se debe usar, si un grupo no necesita acceder a una carpeta solo deje los grupos que necesite, y ese grupo no lo incluya, de esta manera no podrá acceder al recurso. (Ojo recuerde quitar todos - everyone).



Recuerde que el primer grupo que debe quitar en la SEGURIDAD es Todos (Everyone) y debe dejar iniciando, SYSTEM con control total, y Administradores con control total.

SYSTEM se debe dejar siempre debido a que algunos programas (ANTIVIRUS, BACKUP, etc. ) utilizan SYSTEM para poder acceder a las carpetas y archivos. El permiso que debe tener SYSTEM es Control Total. (recuerde que con SYSTEM no es una cuenta con la que podrán iniciar sesión en una maquina).



Administradores se debe adicionar para que este grupo siempre tenga control sobre una carpeta (o archivos). Si estamos en un dominio y se adiciona este grupo sobre una maquina, nos estamos asegurando que cualquier administrador de dominio podrá acceder a la carpeta para hacer algún mantenimiento debido a que cuando una maquina es adicionada a un dominio, así sea un member Server (NT, 2000, 2003) o una estación (NT, 2000, XP), una de las cosas que suceden al ser dado de alta un equipo es adicionar el grupo global Administradores de Dominio (Domain Admin.) al grupo local Administradores (Administrators). así como adicionar el grupo global usuarios de dominio (Domain Users) al grupo local Users. (suceden otras cosas pero estas son las que nos interesan por ahora)



Ahora veamos que pasa con la casilla COMPARTIR.



Sucede lo mismo los permisos son acumulados dando el menos restrictivo a un usuario basado en los grupos a los que el pertenezca. (Al igual que en NTFS o SEGURIDAD), y también sucede lo mismo con la norma de denegar.



Pero el permiso que le es concedido a un usuario al acceder por la red un recurso compartido es el siguiente :



El permiso menos restrictivo de SEGURIDAD con el permiso menos restrictivo de COMPARTIR se compara y queda el MAS RESTRICTIVO de los dos y este es el permiso con el cual un usuario podrá acceder.

- Restrictivo SEGURIDAD - Restrictivo COMPARTIR

+ Restrictivo ACCESO REAL





Veamos un ejemplo a ver si se entiende :



En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3 grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos de SEGURIDAD sobre un recursos



GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED

Contabilidad Lectura Lectura Lectura

Recursos Humanos Leer, Escribir Cambio Leer, Escribir

Proyectos Modificar Cambio Modificar

SYSTEM Control Total Control Total Control Total

Administradores Control Total Control Total Control Total







Note que Recursos Humanos podrá Leer y Escribir pero no podrá borrar aunque en COMPARTIR tiene permisos de cambio (No podrá borrar archivos ni carpetas un permiso que tiene cambio porque SEGURIDAD se lo restringe, ya que es MAS restrictivo).



Adicionalmente ya con la explicación anterior, note que es mas importante configurar los permisos en SEGURIDAD y en COMPARTIR podríamos dejar el grupo todos (Everyone)



¿ Porque ? por ejemplo note esto, basado en el ejemplo anterior vamos a usar todos (everyone) con Full Control, con el cual obtenemos los mismos resultados :





GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED

Todos (sin permisos) Control Total (no tiene permisos)

Contabilidad Lectura (sin permisos) Lectura

Recursos Humanos Leer, Escribir (sin permisos) Leer, Escribir

Proyectos Modificar (sin permisos) Modificar

SYSTEM Control Total Control Total Control Total

Administradores Control Total Control Total Control Total



1. Contabilidad, Recursos Humanos y Proyectos quedaran con el permisos de SEGURIDAD, ya que ellos pertenecen al grupo por defecto Todos (Everyone), y es mas restrictivo este.

2. Cualquier usuario que no pertenezca a ninguno de los grupos anteriores al tratar de usar el recurso compartido le mostrara un mensaje de acceso denegado, ya que el usuario en los permisos de COMPARTIR pertenece al grupo todos pero en el de SEGURIDAD no tiene un grupo relacionado, entonces queda inhabilitado para poder acceder.



Ahora mejoremos la seguridad un poco mas…



En un dominio en vez de utilizar el grupo todos (everyone) podría usar el grupo Usuarios Autenticados (Authenticade Users) para asegurarse que solo personas con cuentas en el dominio podrán acceder el recurso. (A no ser que usuarios de otros sistemas (Unix, Novell, etc), que no tuvieran cuenta en el dominio necesitaran acceder).



Tampoco de a un usuario el permiso de control total, ya que para escribir y modificar archivos y carpetas no lo necesitan, esto es una confusión ya que control total lo que permite es tomar control y cambiar los permisos de algo y normalmente los usuarios no lo deberían tener. Con modificar pueden hacer lo que necesiten.



Adicionalmente si adiciona un usuario a un grupo que ya tiene permisos sobre algo, hagale notar al usuario que debe iniciar sesión de nuevo para que el TOKEN quede con el nuevo grupo. Por ahora no nos metamos con el TOKEN.



Espero haber sido claro en una próxima ocasión adicionamos la información del TOKEN y que es un grupo global local (y en directorio activo Universal).



Para herramientas para cambiar permisos desde la línea de comandos vea el comando CACLS /?, y si puede descargue la versión que le muestra permisos especiales XCACLS desde la pagina de Microsoft.



Para una un herramienta grafica baje DUMACL (DUMSEC) de www.systemtools.com



Es freeware.


-
Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Alex S." escribió en el mensaje news:
> Hola Rodolfo ,
>
> Gracias por tu respuesta. Como verás , soy nuevo en esto de los foros, sobre
> todo directamente desde la WEB .
> La verdad es que no pude leer a lo que te refieres ó yo entendí mal.
>
> Te refieres a que debo leer otros grupos ??
> Te refieres a que debo leer noticias ya expuestas ??
>
> Gracias y disculpa si hago preguntas muy novatas
>
> Alex
>
> "Rodolfo Parrado Gutiérrez [MVP Windows]" escribió:
>
>> debe compartir es a nivel de usuario ...
>>
>> lease esto...
>>
>> -
>> Rodolfo Parrado Gutiérrez
>> http://tinyurl.com/6bvzu
>> Bogotá - Colombia
>> -
>> MVP Windows Server
>> MCT, MCSE, MCSA, MCDST, MCP+I
>> -
>> Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
>> -
>> Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
>> http://groups.google.com/groups?hl=....public.es
>> -
>>
>> "Alex S." escribió en el mensaje news:
>> > Sres, pregunto a ver si alguien me puede ayudar.
>> > Tengo Win XP PRO y deseo hacer lo siguiente:
>> >
>> > Compartir ciertas carpetas pero , que sólo algunos IP o nombres de PC puedan
>> > acceder sólo a las carpetas asignadas.
>> >
>> > Muchas gracias por si alguien me puede ayudar