Seguridad en carpeta

si, el tema es que no tengo un w2003 para probarlo. recien lo probe en
win2000 professional y me hace lo mismo.

saludos, ya estoy saliendo...
nos vemos a la noche.



"Guillermo Delprato" escribió
en el mensaje news:

¿Viste lo que envié?

Saludos
Guillermo Delprato


"Seba" wrote:

> ahi hice lo siguiente:
>
> a la carpeta especial le puse en seguridad al grupo domain user y en las
> propiedades avazada le puse denegar al permiso eliminar y le cambie

arriba

> para que aplique solo a esa carpeta (ya que si le pongo que aplique a

las

> subcarpeta me afectaria al usuario que si tiene acceso total dentro de

esa

> carpeta especial porque tambien pertenece a domain user). probe y si la
> carpeta especial tiene algun archivo no me deja eliminar, me dice que no
> esta vacia. ahora si le borro el contenido me la deja borrar. si le saca

el

> permiso de domain user eliminar, tambien me deja borrarla y en este caso

no

> importa que tenga archivos dentro.
>
> tambien probamos de en los permisos del compratido no le puse full

control,

> le puse solo modificar y leer y hace lo mismo.
>
> alguna idea?
>
> saludos
> seba
>
> "Javier Inglés [MS MVP]" escribió en el mensaje
> news:et5M%
> > prueba sencilla con un usuario
> >
> > comparte una carpeta, da permisos de control total a todos.
> >
> > En la pestaña de seguridad dale sólo al usuario permisos de todo menos
> > control total (que no sé para qué haces lo de full control y luego

denegar

> > el resto, ya que es más sencillo de éste modo a nivel administrativo y
> > operativo, a parte de ser más claro).
> >
> > Ahí debe poder hacer todo menos tomar posesión y dar permisos
> >
> > Ahora a ese usuario dale sólo permisos de lectura y prueba de nuevo a

ver

> > qué pasa al intentar borrar algún archivo
> >
> >
> > Salu2!!
> > Javier Inglés
> > MS MVP, Windows Server-Directory Services
> >
> >
> >
> >
> >
> > "Seba" escribió en el mensaje
> > news:
> > > en los permisos avanzados veo quelos permisos efectivos para el

grupo

> > > Domain
> > > User en la carpeta especial es NINGUNO, o sea no tengo el tilde en
> ninguno
> > > de lo checkbox. lo cual tiene sentido porque yo le corte la herencia

o

> sea
> > > a
> > > la carpeta especial le saque el tilde de que herede los permisos del
> > > padre.
> > > el tema es que me deja borrar la carpeta especial a los integrantes

de

> > > domain user cuando no deberia. es mas si sobre el servidor trato de
> borrar
> > > la carpeta no me deja, el tema es cuando entras al share por la red.
> > >
> > > saludos
> > > sebastian.
> > >
> > >
> > > "Javier Inglés [MS MVP]" escribió en el

mensaje

> > > news:OWUCE5%
> > >> en las propieades de la carpeta, pestaña seguridad, botón de

avanzadas

> > > mira
> > >> a ver los permisos efectivos de los usuarios en dichas carpetas, ya

que

> > >> si
> > >> el usuario pertenece al grupo o un grupo de otro grupo con

privilegios

> > > puede
> > >> acceder perfectamente
> > >>
> > >> Salu2!!
> > >> Javier Inglés
> > >> MS MVP, Windows Server-Directory Services
> > >>
> > >>
> > >>
> > >>
> > >>
> > >> "Seba" escribió en el mensaje
> > >> news:u6b3f$
> > >> > Hola gente como les va? les comento mi problema, tengo la

siguiente

> > >> > configuracion de carpetas y de seguridad:
> > >> >
> > >> > Tengo un servidor como File Server, es un win2k con sp4. En ese
> > >> > servidor
> > >> > tengo una carpeta compartida (C:\GENERAL), esa carpeta tiene en

los

> > >> > permisos
> > >> > del share tiene puesto al grupo Domain User con full control. En

la

> > >> > seguridad de la carpeta tiene puesto al grupo Domain User con

full

> > > control
> > >> > y
> > >> > denegado los permisos de cambiar permisos y tomar el owner del
> objeto.
> > >> >
> > >> > A esa carpeta los usuarios del dominio entran y generan archivos

que

> se
> > >> > pasan entre los sectores. Es una carpeta "temporal". Ahora dentro

de

> > > esas
> > >> > carpeta tengo algunas que algunas que son "especiales" y que solo
> > >> > tienen
> > >> > acceso algunos usuarios. El tema es que esas carpetas especiales

no

> las
> > >> > tiene que poder borrar nadie. Entonces en la seguridad de esas
> carpetas
> > >> > (EJ:
> > >> > CarpetaEspecial1) tiene cortada la herencia de permisos del

objeto

> > >> > padre
> > > y
> > >> > solo tienen acceso los usuarios que pueden entrar a esa carpeta.

Esos

> > >> > usuarios tienen acceso de full control y denegado los permisos de
> > > cambiar
> > >> > permisos y tomar el owner del objeto.
> > >> >
> > >> > Desde el servidor, si voy al explorador de windows, entro en la
> carpeta
> > >> > c:\general y trato de borrar esa carpeta especial me dice acceso
> > > denegado.
> > >> > Eso esta bien, ahora si entro por la red, con un usuario que esta

en

> el
> > >> > grupo domain user pero que NO esta en la seguridad de la carpeta
> > > especial,
> > >> > al recurso compartido (\\server\general) y trato de borrar esa
> carpeta
> > >> > especial me deja borrarla.
> > >> >
> > >> > Hasta donde yo entiendo no deberia dejarme porque los permisos

del

> > > objeto
> > >> > (carpetaespecial1) dice que solo tiene acceso determinados

usuarios y

> > > esta
> > >> > cortada la herencia o sea que el permiso de full control del

grupo

> > > domain
> > >> > user que tiene la carpeta general no deberia tener acceso sobre

la

> > > carpeta
> > >> > especial.
> > >> >
> > >> > esto lo probe en windows 2003 y hace los mismo.
> > >> >
> > >> > estoy haciendo algo mal? o es un bug del sistema?
> > >> >
> > >> > saludos
> > >> > seba
> > >> >
> > >> >
> > >>
> > >>
> > >
> > >
> >
> >
>
>
>

primero algunas recomendaciones no es necesario darle full control a los usuarios (eso lo unico que hace es darles permisos de cambiar permisos y tomar control)...

aunque se que dice que se los niega para que se los da... es mejor no usar denegacionsi no en casoos especiales la denegacion implicita es suficiente (y no la explicita al hacer un deny)

dele maximo permisos de modify... si lo requieren...

lease esto y coloque aqui los permisos en sharing y security...

adicionalmente ellos usan ese recurso es por red o localmente? o usando algun remoto?

-
Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Seba" escribió en el mensaje news:u6b3f$

Hola gente como les va? les comento mi problema, tengo la siguiente
configuracion de carpetas y de seguridad:

Tengo un servidor como File Server, es un win2k con sp4. En ese servidor
tengo una carpeta compartida (C:\GENERAL), esa carpeta tiene en los permisos
del share tiene puesto al grupo Domain User con full control. En la
seguridad de la carpeta tiene puesto al grupo Domain User con full control y
denegado los permisos de cambiar permisos y tomar el owner del objeto.

A esa carpeta los usuarios del dominio entran y generan archivos que se
pasan entre los sectores. Es una carpeta "temporal". Ahora dentro de esas
carpeta tengo algunas que algunas que son "especiales" y que solo tienen
acceso algunos usuarios. El tema es que esas carpetas especiales no las
tiene que poder borrar nadie. Entonces en la seguridad de esas carpetas (EJ:
CarpetaEspecial1) tiene cortada la herencia de permisos del objeto padre y
solo tienen acceso los usuarios que pueden entrar a esa carpeta. Esos
usuarios tienen acceso de full control y denegado los permisos de cambiar
permisos y tomar el owner del objeto.

Desde el servidor, si voy al explorador de windows, entro en la carpeta
c:\general y trato de borrar esa carpeta especial me dice acceso denegado.
Eso esta bien, ahora si entro por la red, con un usuario que esta en el
grupo domain user pero que NO esta en la seguridad de la carpeta especial,
al recurso compartido (\\server\general) y trato de borrar esa carpeta
especial me deja borrarla.

Hasta donde yo entiendo no deberia dejarme porque los permisos del objeto
(carpetaespecial1) dice que solo tiene acceso determinados usuarios y esta
cortada la herencia o sea que el permiso de full control del grupo domain
user que tiene la carpeta general no deberia tener acceso sobre la carpeta
especial.

esto lo probe en windows 2003 y hace los mismo.

estoy haciendo algo mal? o es un bug del sistema?

saludos
seba

ok, dejame que lo veo y te digo.

el tema de darle acceso full control y despues denegarle los permisos de
tomar pesecion y cambiar permisos es para no tener que tildas toda la lista
de permisos, me parece que es mas rapido. en la configuracion que tenemos
aca los usuarios dentro de sus carpetas pueden hacer lo que quiera, ya que
con el backup diario Sistemas es unicamente responsable de hacer el backup y
restaurar los datos, ahora si durante el dia crean y despues borran una
carpeta es un problema de ellos. las dos unicas acciones que no se le
permite a los usuarios hacer es la parte de tomar control del objeto y
modificar los permisos, porque varias veces hubo que reconfigurar la
seguridad porque como no saben tocaban y despues ni ellos podian entrar a la
carpeta, entonces se procedio a denegar esos dos permisos para que no toquen
y rompan.

saludos
seba


"Rodolfo Parrado Gutiérrez [MVP Windows]"
escribió en el mensaje news:%
primero algunas recomendaciones no es necesario darle full control a los
usuarios (eso lo unico que hace es darles permisos de cambiar permisos y
tomar control)...

aunque se que dice que se los niega para que se los da... es mejor no usar
denegacionsi no en casoos especiales la denegacion implicita es suficiente
(y no la explicita al hacer un deny)

dele maximo permisos de modify... si lo requieren...

lease esto y coloque aqui los permisos en sharing y security...

adicionalmente ellos usan ese recurso es por red o localmente? o usando
algun remoto?

-

Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-

MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-

Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.
-

Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que
muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-


"Seba" escribió en el mensaje
news:u6b3f$

Hola gente como les va? les comento mi problema, tengo la siguiente
configuracion de carpetas y de seguridad:

Tengo un servidor como File Server, es un win2k con sp4. En ese servidor
tengo una carpeta compartida (C:\GENERAL), esa carpeta tiene en los

permisos

del share tiene puesto al grupo Domain User con full control. En la
seguridad de la carpeta tiene puesto al grupo Domain User con full control

y

denegado los permisos de cambiar permisos y tomar el owner del objeto.

A esa carpeta los usuarios del dominio entran y generan archivos que se
pasan entre los sectores. Es una carpeta "temporal". Ahora dentro de esas
carpeta tengo algunas que algunas que son "especiales" y que solo tienen
acceso algunos usuarios. El tema es que esas carpetas especiales no las
tiene que poder borrar nadie. Entonces en la seguridad de esas carpetas

(EJ:

CarpetaEspecial1) tiene cortada la herencia de permisos del objeto padre y
solo tienen acceso los usuarios que pueden entrar a esa carpeta. Esos
usuarios tienen acceso de full control y denegado los permisos de cambiar
permisos y tomar el owner del objeto.

Desde el servidor, si voy al explorador de windows, entro en la carpeta
c:\general y trato de borrar esa carpeta especial me dice acceso denegado.
Eso esta bien, ahora si entro por la red, con un usuario que esta en el
grupo domain user pero que NO esta en la seguridad de la carpeta especial,
al recurso compartido (\\server\general) y trato de borrar esa carpeta
especial me deja borrarla.

Hasta donde yo entiendo no deberia dejarme porque los permisos del objeto
(carpetaespecial1) dice que solo tiene acceso determinados usuarios y esta
cortada la herencia o sea que el permiso de full control del grupo domain
user que tiene la carpeta general no deberia tener acceso sobre la carpeta
especial.

esto lo probe en windows 2003 y hace los mismo.

estoy haciendo algo mal? o es un bug del sistema?

saludos
seba

no me puso la informacion que le pedi?...

adicionalmente con maximo darles modify es suficiente asi no tiene que tildar si no modify en security no le entiendo el resto...

-
Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Seba" escribió en el mensaje news:

ok, dejame que lo veo y te digo.

el tema de darle acceso full control y despues denegarle los permisos de
tomar pesecion y cambiar permisos es para no tener que tildas toda la lista
de permisos, me parece que es mas rapido. en la configuracion que tenemos
aca los usuarios dentro de sus carpetas pueden hacer lo que quiera, ya que
con el backup diario Sistemas es unicamente responsable de hacer el backup y
restaurar los datos, ahora si durante el dia crean y despues borran una
carpeta es un problema de ellos. las dos unicas acciones que no se le
permite a los usuarios hacer es la parte de tomar control del objeto y
modificar los permisos, porque varias veces hubo que reconfigurar la
seguridad porque como no saben tocaban y despues ni ellos podian entrar a la
carpeta, entonces se procedio a denegar esos dos permisos para que no toquen
y rompan.

saludos
seba


"Rodolfo Parrado Gutiérrez [MVP Windows]"
escribió en el mensaje news:%
primero algunas recomendaciones no es necesario darle full control a los
usuarios (eso lo unico que hace es darles permisos de cambiar permisos y
tomar control)...

aunque se que dice que se los niega para que se los da... es mejor no usar
denegacionsi no en casoos especiales la denegacion implicita es suficiente
(y no la explicita al hacer un deny)

dele maximo permisos de modify... si lo requieren...

lease esto y coloque aqui los permisos en sharing y security...

adicionalmente ellos usan ese recurso es por red o localmente? o usando
algun remoto?

-

Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-

MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-

Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.
-

Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que
muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-


"Seba" escribió en el mensaje
news:u6b3f$

Hola gente como les va? les comento mi problema, tengo la siguiente
configuracion de carpetas y de seguridad:

Tengo un servidor como File Server, es un win2k con sp4. En ese servidor
tengo una carpeta compartida (C:\GENERAL), esa carpeta tiene en los

permisos

del share tiene puesto al grupo Domain User con full control. En la
seguridad de la carpeta tiene puesto al grupo Domain User con full control

y

denegado los permisos de cambiar permisos y tomar el owner del objeto.

A esa carpeta los usuarios del dominio entran y generan archivos que se
pasan entre los sectores. Es una carpeta "temporal". Ahora dentro de esas
carpeta tengo algunas que algunas que son "especiales" y que solo tienen
acceso algunos usuarios. El tema es que esas carpetas especiales no las
tiene que poder borrar nadie. Entonces en la seguridad de esas carpetas

(EJ:

CarpetaEspecial1) tiene cortada la herencia de permisos del objeto padre y
solo tienen acceso los usuarios que pueden entrar a esa carpeta. Esos
usuarios tienen acceso de full control y denegado los permisos de cambiar
permisos y tomar el owner del objeto.

Desde el servidor, si voy al explorador de windows, entro en la carpeta
c:\general y trato de borrar esa carpeta especial me dice acceso denegado.
Eso esta bien, ahora si entro por la red, con un usuario que esta en el
grupo domain user pero que NO esta en la seguridad de la carpeta especial,
al recurso compartido (\\server\general) y trato de borrar esa carpeta
especial me deja borrarla.

Hasta donde yo entiendo no deberia dejarme porque los permisos del objeto
(carpetaespecial1) dice que solo tiene acceso determinados usuarios y esta
cortada la herencia o sea que el permiso de full control del grupo domain
user que tiene la carpeta general no deberia tener acceso sobre la carpeta
especial.

esto lo probe en windows 2003 y hace los mismo.

estoy haciendo algo mal? o es un bug del sistema?

saludos
seba

Rodolfo, estuve leyendo su documento y asi como ud lo explico esta
configurada la seguridad en las carpetas.

vuelvo a repetir, si voy desde el explorador de windows, no me deja eliminar
la carpeta, pero si entro por la red me deja eliminarla sin problemas.

saludos.
sebastian


"Rodolfo Parrado Gutiérrez [MVP Windows]"
escribió en el mensaje news:
no me puso la informacion que le pedi?...

adicionalmente con maximo darles modify es suficiente asi no tiene que
tildar si no modify en security no le entiendo el resto...

-

Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia
-

MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-

Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.
-

Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que
muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-


"Seba" escribió en el mensaje
news:

ok, dejame que lo veo y te digo.

el tema de darle acceso full control y despues denegarle los permisos de
tomar pesecion y cambiar permisos es para no tener que tildas toda la

lista

de permisos, me parece que es mas rapido. en la configuracion que tenemos
aca los usuarios dentro de sus carpetas pueden hacer lo que quiera, ya que
con el backup diario Sistemas es unicamente responsable de hacer el backup

y

restaurar los datos, ahora si durante el dia crean y despues borran una
carpeta es un problema de ellos. las dos unicas acciones que no se le
permite a los usuarios hacer es la parte de tomar control del objeto y
modificar los permisos, porque varias veces hubo que reconfigurar la
seguridad porque como no saben tocaban y despues ni ellos podian entrar a

la

carpeta, entonces se procedio a denegar esos dos permisos para que no

toquen

y rompan.

saludos
seba


"Rodolfo Parrado Gutiérrez [MVP Windows]"
escribió en el mensaje news:%
primero algunas recomendaciones no es necesario darle full control a los
usuarios (eso lo unico que hace es darles permisos de cambiar permisos

y

tomar control)...

aunque se que dice que se los niega para que se los da... es mejor no usar
denegacionsi no en casoos especiales la denegacion implicita es suficiente
(y no la explicita al hacer un deny)

dele maximo permisos de modify... si lo requieren...

lease esto y coloque aqui los permisos en sharing y security...

adicionalmente ellos usan ese recurso es por red o localmente? o usando
algun remoto?


Rodolfo Parrado Gutiérrez
http://tinyurl.com/6bvzu
Bogotá - Colombia

MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I

Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.

Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que
muchas veces la pregunta ya fue respondida más de una vez

http://groups.google.com/groups?hl=....public.es

"Seba" escribió en el mensaje
news:u6b3f$

Hola gente como les va? les comento mi problema, tengo la siguiente
configuracion de carpetas y de seguridad:

Tengo un servidor como File Server, es un win2k con sp4. En ese servidor
tengo una carpeta compartida (C:\GENERAL), esa carpeta tiene en los

permisos

del share tiene puesto al grupo Domain User con full control. En la
seguridad de la carpeta tiene puesto al grupo Domain User con full

control

y

denegado los permisos de cambiar permisos y tomar el owner del objeto.

A esa carpeta los usuarios del dominio entran y generan archivos que se
pasan entre los sectores. Es una carpeta "temporal". Ahora dentro de esas
carpeta tengo algunas que algunas que son "especiales" y que solo tienen
acceso algunos usuarios. El tema es que esas carpetas especiales no las
tiene que poder borrar nadie. Entonces en la seguridad de esas carpetas

(EJ:

CarpetaEspecial1) tiene cortada la herencia de permisos del objeto padre

y

solo tienen acceso los usuarios que pueden entrar a esa carpeta. Esos
usuarios tienen acceso de full control y denegado los permisos de cambiar
permisos y tomar el owner del objeto.

Desde el servidor, si voy al explorador de windows, entro en la carpeta
c:\general y trato de borrar esa carpeta especial me dice acceso

denegado.

Eso esta bien, ahora si entro por la red, con un usuario que esta en el
grupo domain user pero que NO esta en la seguridad de la carpeta

especial,

al recurso compartido (\\server\general) y trato de borrar esa carpeta
especial me deja borrarla.

Hasta donde yo entiendo no deberia dejarme porque los permisos del objeto
(carpetaespecial1) dice que solo tiene acceso determinados usuarios y

esta

cortada la herencia o sea que el permiso de full control del grupo domain
user que tiene la carpeta general no deberia tener acceso sobre la

carpeta

especial.

esto lo probe en windows 2003 y hace los mismo.

estoy haciendo algo mal? o es un bug del sistema?

saludos
seba