jueves, 9 de noviembre de 2017

06 - Permisos NTFS. Parte 1

El sistema de archivos NTFS es muy eficaz en cuanto al modo en que almacena los datos en una partición. Con NTFS podemos:
  • Conceder permisos a carpetas y archivos para controlar el nivel de acceso de los usuarios a los recursos.
  • Usar el espacio del disco duro más eficazmente permitiéndonos comprimir datos y configurar cuotas de disco.
  • Cifrar datos de archivos en el disco duro físico utilizando el Sistema de archivos Encriptado (Encrypting Fyle System, EFS).
Estrategia A G DL P

Para proteger archivos y carpetas en particiones NTFS, concedemos permisos NTFS para cada usuario utilizando la cuenta individual o utilizando grupos. Se recomienda utilizar grupos locales del dominio para conceder acceso a un recurso utilizando la estrategia A G DL P. la estrategia A G DL P consiste en: ubicar cuentas de usuario (A) en grupos globales (G), ubicar los grupos globales en grupos locales del dominio (DL), y conceder permisos (P) al grupo local del dominio. 

Lista de control de acceso

NTFS almacena una lista de control de acceso (Access Control List , ACL) con cada archivo y carpeta en una partición NTFS. La lista ACL contiene un listado de todas las cuentas de usuario, grupos y equipos a los que se ha concedido acceso al archivo o carpeta, y el tipo de acceso concedido. 
Para que un usuario pueda acceder a un archivo o carpeta:
  • La lista ACL debe contener una entrada, denominada entrada de control de acceso (Access Control Entry, ACE), para la cuenta de usuario, grupo o equipo al que pertenece el usuario.
  • La entrada debe permitir específicamente el tipo de acceso solicitado por el usuario para que éste pueda tener acceso al archivo o carpeta.
  • Si no existe ninguna entrada ACE en la lista ACL, el sistema denegará al usuario el acceso al recurso.  
Permisos NTFS

Utilizamos los permisos de NTFS para especificar qué usuarios, grupos y equipos pueden acceder a archivos y carpetas. Los permisos de NTFS también determinan qué pueden hacer los usuarios, grupos y equipos con el contenido del archivo o carpeta. 
  • Permisos de carpetas en NTFS: Podemos conceder permisos de carpetas para controlar el acceso a las carpetas y a los archivos y subcarpetas que contienen. La siguiente tabla muestra una lista de los permisos estándares de NTFS que podemos otorgar a carpetas y el tipo de acceso que proporciona cada permiso.
Permisos NTFS de carpetas
  • Permisos de archivos en NTFS: Podemos conceder permisos de archivo para controlar el acceso a los archivos. La siguiente tabla muestra una lista de los permisos de archivos estándares de NTFS que podemos otorgar y el tipo de acceso que cada uno de ellos proporciona a los usuarios.


Permisos NTFS de archivos
Importante: Cuando se formatea una partición NTFS, el sistema concede automáticamente el permiso de Lectura y ejecución (en forma de permisos especiales) sobre la raíz al grupo Todos. Por defecto, el grupo Todos tendrá acceso sobre todas las carpetas y archivos creados en la carpeta raíz. Para restringir el acceso a usuarios autorizados, deberíamos cambiar los permisos predeterminados sobre las carpetas y archivos que creemos.

Aplicación de Permisos NTFS

Por defecto, cuando concedemos permisos a usuarios y grupos sobre una carpeta, los usuarios o grupos tienen acceso a las subcarpetas y archivos que ésta contiene. Es importante entender el modo en que las subcarpetas y los archivos heredan los permisos de NTFS desde las carpetas padre para poder utilizar la herencia en la propagación de permisos a archivos y carpetas.


Si concedemos permisos sobre un archivo o carpeta a una cuenta de usuario individual o a un grupo al que pertenezca el usuario, el usuario obtendrá varios permisos sobre el mismo recurso. Existen reglas y prioridades asociadas al modo en que NTFS combina múltiples permisos. Además, también es posible afectar a los permisos cuando copiamos o movemos archivos y carpetas.


Importante: Se recomienda asignar permisos a un recurso utilizando A G DL P. En otras palabras, asignar permisos a un recurso utilizando grupos locales del dominio en lugar de cuentas de usuario individuales.

1. Múltiples Permisos NTFS

Si concedemos permisos de NTFS a una cuenta de usuario individual además de a un grupo al que pertenezca el usuario, estaremos concediendo múltiples permisos a dicho usuario. Existen reglas en la forma en que NTFS combina estos permisos múltiples para generar permisos eficaces para el usuario.
  • Los permisos son acumulativos: Los permisos efectivos de un usuario sobre un recurso son la combinación de los permisos de NTFS concedidos a la cuenta de usuario individual y los concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un usuario tiene permiso de Lectura sobre una carpeta y pertenece a un grupo con permiso de Escritura sobre la misma carpeta, el usuario tendrá ambos permisos, Lectura y Escritura, sobre esa carpeta.
  • Los permisos de archivo son independientes de los permisos de carpeta. Los permisos de archivo de NTFS tienen prioridad respecto a los permisos de carpetas de NTFS. Por ejemplo, un usuario con el permiso Modificar para un archivo podrá modificar el archivo aunque únicamente disponga del permiso de Lectura sobre la carpeta que contiene dicho archivo.
  • Denegar invalida otros permisos. Se puede denegar el acceso a un determinado archivo o carpeta aplicando la denegación del permiso a la cuenta de usuario o grupo. Aunque un usuario tenga permiso para acceder al archivo o carpeta como miembro de un grupo, denegar el permiso al usuario bloquea cualquier otro permiso de que éste disponga. Por tanto, la denegación de permiso es una excepción a la regla acumulativa. Es aconsejable evitar la denegación de permiso ya que es más fácil permitir el acceso a usuarios y grupos que denegar el acceso específicamente. Ese preferible estructurar grupos y organizar recursos en carpetas de forma que otorgar permisos sea suficiente. 
2. Herencia de permisos NTFS


Por defecto, los permisos concedidos a una carpeta padre se heredan y propagan a las subcarpetas y archivos contenidos en dicha carpeta padre. Sin embargo, podemos evitar que esto ocurra si deseamos que las carpetas o archivos tengan permisos diferentes a los de su carpeta padre.
Permisos heredados
Los permisos concedidos a una carpeta padre son aplicables también a las subcarpetas y archivos que contiene. Cuando concedemos permisos de NTFS para dar acceso a una carpeta, estamos concediendo permisos sobre la carpeta, sobre cualquier archivo y subcarpeta existentes, y sobre cualquier nuevo archivo o subcarpeta que se cree en la carpeta.

2.1 Evitar la herencia de permisos

En general, deberíamos permitir que el sistema propague los permisos de una carpeta padre a las subcarpetas y archivos que contiene. La propagación de permisos simplifica la asignación de permisos a recursos. Sin embargo, es posible que en ocasiones deseemos evitar la herencia de permisos. Por ejemplo, es posible que necesitemos guardar todos los archivos del departamento de ventas en una carpeta Ventas para la que todos los miembros de dicho departamento tengan permiso de Escritura. Sin embargo, debemos limitar los permisos sobre algunos archivos de la carpeta con el permiso de Lectura únicamente. Por tanto, deberíamos evitar la herencia para que el permiso de Escritura no se propague a los archivos contenidos en la carpeta. Por defecto, las subcarpetas y archivos heredan los permisos concedidos sobre sus carpetas padre, como se muestra en las Opciones avanzadas de la ficha Seguridad del cuadro de texto Propiedades cuando está seleccionada la casilla de verificación siguiente:

Casilla de verificación para permitir o impedir la herencia

Para evitar que una subcarpeta o archivo herede permisos de una carpeta padre, debemos desmarcar dicha casilla y seleccionar una de las siguientes opciones:

Opciones si desmarcamos las casilla de propagar la herencia

  • Copiar: Copia permisos previamente heredados desde la carpeta padre a la subcarpeta o archivo y deniega la posterior herencia de permisos desde la carpeta padre.
  • Quitar: Elimina los permisos heredados concedidos sobre la carpeta padre desde la subcarpeta o archivo y conserva únicamente los permisos explícitamente concedidos sobre la subcarpeta o archivo.
Existe la opción también de propagar los permisos desde una carpeta a los objetos de su interior, eliminando todos aquellos permisos explícitos (no heredados) que tuvieran con anterioridad.


Casilla de verificación para forzar la propagación de permisos heredables

Por supuesto el sistema nos pregunta antes de realizar la acción:



2.2 Copiar archivos y carpetas

Cuando copiamos o movemos un archivo o carpeta, los permisos pueden cambiar dependiendo del lugar dónde movemos el archivo o carpeta. Es importante entender los cambios sufridos por los permisos cuando se mueven o copian.
Copiar un archivo o carpeta tiene los siguientes efectos en los permisos de NTFS:
  • Cuando copiamos una carpeta o archivo dentro de una única partición NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino.
  • Cuando copiamos una carpeta o archivo entre particiones NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino.
  • Cuando copiamos archivos o carpetas a particiones que no son NTFS, como FAT, las carpetas y archivos pierden sus permisos de NTFS, porque las particiones que no son NTFS no soportan los permisos de NTFS.
Importante: Para copiar archivos y carpetas dentro de una única partición NTFS o entre particiones NTFS, debemos disponer del permiso de Lectura sobre la carpeta original y permiso de Escritura sobre la carpeta de destino.


2.3 Mover archivos y carpetas

Cuando movemos un archivo o carpeta, los permisos pueden cambiar dependiendo de los permisos de la carpeta de destino. Mover un archivo o carpeta tiene los siguientes efectos en los permisos de NTFS:
  • Cuando movemos una carpeta o archivo dentro una partición NTFS, la carpeta o archivo conserva sus permisos originales.
  • Cuando movemos una carpeta o archivo entre particiones NTFS, la carpeta o archivo hereda los permisos de la carpeta de destino. Si lo pensamos bien. mover una carpeta o archivo entre particiones es copiar la carpeta o archivo a la nueva ubicación y eliminarlo de su antigua ubicación.
  • Cuando movemos archivos o carpetas a particiones que no son NTFS, las carpetas y archivos pierden sus permisos de NTFS, porque las particiones que no son NTFS no soportan los permisos de NTFS. 
Importante: Para mover archivos y carpetas dentro de una partición NTFS o entre particiones NTFS, debemos tener el permiso de Escritura sobre la carpeta de destino y el permiso de Modificación sobre la carpeta o archivo original. El permiso de Modificación es necesario para mover una carpeta o archivo, ya que el sistema elimina la carpeta o archivo de la carpeta original después de copiarla a la carpeta de destino.

06 - Permisos NTFS. Parte 2

Ejercicio práctico de Aplicación de permisos NTFS
Esquema de partida para los Casos a resolver
Caso 1. El grupo Usuarios tiene permiso de Escritura y el grupo Ventas tiene permiso de Lectura sobre la Carpeta1. ¿Qué permisos tiene Usuario1 sobre la Carpeta1?


Usuario1 tiene los permisos de Escritura y Lectura sobre la Carpeta1, ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Escritura, y al grupo Ventas, que tiene permiso de Lectura. 

Caso 2. El grupo Usuarios tiene permiso de Lectura sobre la Carpeta1. El grupo Ventas tiene permiso de Escritura sobre la Carpeta2. ¿Qué permisos tiene el Usuario1 sobre el Archivo2 que está en Carpeta2?

Usuario1 tiene permisos de Lectura y Escritura sobre el Archivo2, ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Lectura sobre la Carpeta1, y al grupo Ventas, que tiene permiso de Escritura sobre la Carpeta2. Archivo2 hereda los permisos de ambas, la Carpeta2 y la Carpeta1.


Caso 3. El grupo Usuarios tiene permiso de Modificación sobre la Carpeta1. Archivo2 debería ser accesible únicamente para el grupo Ventas, y únicamente en modo lectura. ¿Qué pasos deberíamos seguir para asegurarnos de que el grupo Ventas tiene únicamente permiso de Lectura sobre el Archivo2?

Deshabilitar la herencia de permisos sobre la Carpeta2 o el Archivo2. Eliminar los permisos sobre la Carpeta2 o el Archivo2 que la Carpeta2 ha heredado de la Carpeta1. Conceder únicamente el permiso de Lectura al grupo Ventas sobre la Carpeta2 o el Archivo2. 

Recomendaciones para conceder permisos de NTFS

Considere las siguientes prácticas recomendadas cuando conceda permisos NTFS:
  1. Conceder permisos a grupos locales del dominio en lugar de a usuarios.
  2. Agrupar recursos para simplificar la administración.
  3. Crear grupos de acuerdo con el acceso que sus miembros requieren.
  4. Otorgar a los usuarios únicamente el nivel de acceso que necesiten.
  5. Conceder permisos de Leer y ejecutar y Escritura para carpetas de datos.
  6. Conceder permisos de Leer y ejecutar para carpetas de aplicaciones.
Conceder permisos a grupos locales del dominio en lugar de a usuarios, es más fácil administrar grupos que usuarios. De este modo se mantiene la lista más corta, mejorando el rendimiento.
Para simplificar la administración, agrupe archivos en carpetas, carpetas de aplicación donde se guarden las aplicaciones más utilizadas, carpetas de datos que contienen archivos de datos compartidos por múltiples usuarios, y carpetas de usuarios que contengan los archivos de cada usuario individual. Centralice las carpetas de usuario y las carpetas de datos en una partición distinta.
Otorgue a los usuarios únicamente el nivel de acceso que requieran, si un usuario únicamente necesita leer un archivo, conceda al usuario, o grupo al que pertenezca, el permiso de Lectura sobre el archivo.

Cree grupos según los requerimientos de acceso a los recursos que necesiten sus miembros, y conceda los permisos adecuados a los grupos,
cuando conceda permisos sobre carpetas de aplicaciones, conceda el permiso Leer y Ejecutar a los grupos Usuarios y Administradores. De este modo, se evita que archivos de datos y aplicaciones se eliminen o se dañen accidentalmente por usuarios o virus. Cuando conceda permisos sobre carpetas de datos, conceda los permisos Leer y Ejecutar y Escritura al grupo Usuarios y el permiso de Modificación al grupo Propietario Creador. De este modo, los usuarios tendrán la capacidad de leer y modificar documentos creados por otros usuarios, y la capacidad de leer, modificar y eliminar los archivos y carpetas que ellos mismos creen.



Importante: Deberiamos utilizar la denegación de permisos únicamente cuando sea imprescindible para denegar el acceso a una cuenta de usuario o grupo específico. Se recomienda también el uso de grupos locales del dominio para asignar permisos en vez de asignar permisos a cuentas individuales.

Permisos especiales NTFS
Generalmente, los permisos estándar de NTFS proporcionan todo el control de acceso que necesitamos para securizar nuestros recursos. Sin embargo, en ocasiones los permisos estándares de NTFS no proporcionan el nivel especifico de acceso que deseamos conceder a los usuarios. Para crear un nivel específico de acceso, concedemos permisos de acceso especiales de NTFS.
Los permisos de acceso especiales nos proporcionan un mayor grado de control para conceder acceso a recursos. Los 13 permisos de acceso especiales, cuando se combinan, constituyen los permisos estándares de NTFS.
Por ejemplo, el permiso estándar de Lectura consta de los permisos de acceso especiales Leer datos, Leer atributos, Leer permisos y Leer atributos extendidos.
Dos de los permisos de acceso especiales son especialmente útiles para la administración del acceso a archivos y carpetas: 
  • Cambiar permisos. Con este permiso, el usuario tiene la capacidad de cambiar permisos sobre un archivo o carpeta.
  • Tomar posesión. Con este permiso, el usuario tiene la capacidad de tomar posesión de archivos y carpetas.


Cambiar permisos
Podemos dar a otros administradores y usuarios la capacidad de cambiar permisos sobre un archivo o carpeta sin necesidad de concederles el permiso Control total sobre el archivo o carpeta. De esta forma, el administrador o usuario no puede borrar o escribir en el archivo o carpeta, pero puede conceder permisos al archivo o carpeta. Para dar a los administradores la capacidad de cambiar permisos, conceda el permiso de Modificación sobre archivo o carpeta al grupo Administradores.



Tomar posesión
Podemos dar a un usuario la capacidad de tomar posesión o, como administrador, podemos tomar posesión de un archivo o carpeta. Las siguientes normas son aplicables a tomar posesión de un archivo o carpeta:
  • El propietario actual o cualquier usuario con permiso Control total puede conceder el permiso estándar Control total o el permiso de acceso especial Tomar posesión a otra cuenta de usuario o grupo. Esto permite a la cuenta de usuario o a un miembro del grupo tomar posesión.
  • Un miembro del grupo de administradores puede tomar posesión de una carpeta o archivo, con independencia de los permisos concedidos sobre esa carpeta o archivo. Si un administrador toma posesión, el grupo de administradores se convierte en el propietario, y cualquier miembro del grupo de administradores puede modificar los permisos sobre el archivo o carpeta y conceder el permiso Tomar posesión a otra cuenta de usuario o grupo.
Por ejemplo, si un empleado deja la compañía, un administrador puede tomar posesión de los archivos del empleado y conceder el permiso Tomar posesión a otro empleado, y ese empleado puede tomar posesión de los archivos del primero.
Importante: Para convertirse en el propietario de un archivo o carpeta, un usuario o miembro de un grupo con el permiso Tomar posesión debe explícitamente tomar posesión del archivo o carpeta. No podemos conceder automáticamente a ninguna persona la propiedad de un archivo o carpeta. 


Concesión de permisos especiales de NTFS

Para conceder permisos de acceso especiales a usuarios y grupos:
  • En el cuadro de diálogo Propiedades de un archivo o carpeta, en la ficha Seguridad, haga clic en el botón opciones avanzadas.
  • En el cuadro de diálogo Configuración de seguridad avanzada del archivo o carpeta, en la ficha Permisos, seleccione la cuenta de usuario o grupo para el que desea aplicar permisos de acceso especiales de NTFS, y haga clic en Modificar


Permisos especiales Paso 1


  • En el cuadro de diálogo de Entrada de permiso del archivo o carpeta, configure la cuenta de usuario o nombre del grupo con el botón Cambiar, el nivel de la jerarquía de carpetas desde el que se heredan los permisos especiales de NTFS desde la lista desplegable Aplicar en.
Permisos especiales Paso2
  
  • Para permitir los permisos Cambiar permisos o Tomar posesión, seleccione la casilla de verificación de Permitir junto a cada uno de ellos. Aplicar estos permisos a objetos y/o contenedores dentro de este contenedor únicamente Especifica si las subcarpetas y archivos de una carpeta heredan los permisos de acceso especiales de dicha carpeta. Deshabilite esta casilla de verificación para evitar la herencia de permisos. Seléccionela para propagar los permisos de acceso especiales a archivos y subcarpetas. Borrar todo sirve para deseleccionar todos los seleccionados.

06 - Permisos NTFS. Parte 3

Carpetas compartidas

Proporcionan a los usuarios acceso a archivos y carpetas a través de la red. Los usuarios pueden conectarse a la carpeta compartida a través de la red para acceder a las carpetas y archivos que contienen. Las carpetas compartidas pueden contener aplicaciones, datos o información personal de un usuario. El uso de carpetas de aplicación compartidas centraliza la administración permitiéndonos instalar y mantener aplicaciones en un servidor en lugar de en equipos cliente. 
Para compartir una carpeta, debemos pertenecer a uno de los grupos que tienen derechos para compartir carpetas compartidas en el tipo de equipo en el que reside la carpeta.
Los permisos de las carpetas compartidas son aplicables únicamente a los usuarios que se conectan al recurso compartido a través de la red. No restringen el acceso a usuarios que inicien sesión localmente en el equipo donde se encuentra el recurso compartido.
Grupos con derechos para compartir
Cuando compartimos una carpeta, podemos controlar el acceso a la misma y a su contenido concediendo permisos a determinados usuarios y grupos. También podemos controlar el acceso a la carpeta limitando el número de usuarios que pueden conectarse simultáneamente a la carpeta compartida. Después de crear una carpeta compartida, es posible que deseemos modificar sus propiedades para finalizar la compartición, cambiar su nombre o cambiar los permisos de los usuarios y grupos.  
Pestaña de Compartir
La siguiente tabla describe las capacidades de los permisos de carpetas compartidas a los usuarios.
Permisos de compartición
Importante:
El permiso Leer se concede al grupo Todos de forma predeterminada cuando compartimos una carpeta. Si un administrador desea que sólo determinados usuarios tengan acceso a una carpeta compartida, deberá eliminar el grupo predeterminado Todos y limitar el acceso de los usuarios al recurso compartido utilizando grupos para asignar los permisos deseados. Los permisos compartidos deben utilizarse siempre conjuntamente con los permisos de NTFS.

Los permisos compartidos son acumulativos

Los permisos de un usuario sobre un recurso son la combinación de los permisos de carpetas compartidas concedidos a la cuenta de usuario individual y los permisos de carpetas compartidas concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un usuario tiene permiso de Lectura para una carpeta y pertenece a un grupo con el permiso Cambiar para la misma carpeta, el usuario tendrá ambos permisos, Lectura y Cambiar, para esa carpeta.
Denegar prevalece sobre otros permisos por eso es recomendable que únicamente se denieguen permisos sobre carpetas compartidas cuando deseemos asegurarnos de que determinados usuarios no tienen acceso a una carpeta compartida. Si denegamos permisos sobre carpetas compartidas a un usuario, éste no tendrá ese permiso, aunque lo concedamos a un grupo al que pertenezca dicho usuario. Si simplemente no concedemos el permiso de una carpeta compartida a un usuario, cuando este usuario se integrase en un grupo con permiso a esa carpeta compartida, obtendría el permiso.
 
Importante:
En el dominio utilice el grupo Usuarios Autenticados en lugar del grupo Todos para asignar la mayoría de derechos y permisos. De esta forma, se minimiza el riesgo de acceso no autorizado.
 
Concesión de permisos y modificación de la configuración de las carpetas compartidas

Cuando concedemos permisos a una carpeta compartida:
  • Una carpeta compartida puede residir en un disco duro formateado con el sistema de archivos NTFS, FAT o FAT32.
  • Los usuarios también necesitan los permisos adecuados de NTFS en un volumen NTFS.
Podemos modificar la configuración de una carpeta compartida para:
  • Dejar de compartirla
  • Modificar el nombre de compartición
  • Modificar los permisos
  • Crear múltiples comparticiones  a una carpeta compartida
  • Eliminar una compartición
Ejemplo de compartición multiple
Importante:


  • Para que los usuarios tengan acceso a una carpeta compartida en un volumen NTFS, necesitan los permisos adecuados de NTFS para cada archivo y carpeta además de los permisos de carpetas compartidas.
  • Si detiene la compartición de una carpeta mientras un usuario tiene un archivo abierto, éste puede perder datos. Windows mostrará un cuadro de diálogo informando.
  • Si un administrador modifica el nombre de una carpeta compartida finalizando la compartición, los permisos originales de la carpeta compartida se pierden y deben volver a crearse



Conexión a carpetas compartidas. Unidades de red


Para conectarse a una carpeta compartida en una unidad de red, siga los siguientes pasos:


  • Haga clic en Inicio, y clic en Ejecutar.
  • En el cuadro de diálogo Ejecutar, introduzca una ruta UNC en el cuadro Abrir, y haga clic en OK.
Cuando introducimos el nombre de servidor en el cuadro Abrir, aparece una lista de los nombres de las carpetas compartidas disponibles.


Conectarse a carpeta compartida
Cuando utilizamos el comando Ejecutar para conectar a un recurso de red, no es necesario utilizar una letra de unidad, lo que permite un número ilimitado de conexiones que son independientes de las letras de unidades disponibles.


Conéctese a una unidad de red si desea asociar una letra de unidad y un icono a una determinada carpeta compartida. Esto facilita la referencia a la ubicación de un archivo en una carpeta compartida.

Conectarse a unidad de red
Por ejemplo, en lugar de apuntar a: \\Servidor\Nombre_Carpeta_Compartida\Archivo, podría apuntar a :\Archivo.
Para tener acceso a una carpeta compartida que utilizará repetidamente, seleccione la opción de Conectarse de nuevo al iniciar sesión para conectarse automáticamente cada vez que inicie sesión. 

Combinación de permisos
Cuando compartimos una carpeta en una partición formateada con NTFS, tanto los permisos de carpetas compartidas como los permisos de NTFS se combinan. Los permisos de NTFS se aplican tanto si se accede al recurso localmente o a través de una red.
  
Cuando concedemos permisos de carpetas compartidas en un volumen NTFS, se aplican las siguientes normas: 
  • Los usuarios deben tener los permisos de NTFS adecuados para cada archivo y subcarpeta de una carpeta compartida, además de permisos de carpetas compartidas, para poder tener acceso a estos recursos por la red.
  • Cuando combinamos permisos de NTFS y permisos de carpetas compartidas, el permiso resultante es el permiso más restrictivo de los dos tipos de permisos.


Permisos NTFS vs Permisos Compartidos
Esto puede complicarse mucho si aplicamos permisos sobre usuarios/grupos, cuantos más usuarios y grupos más lio.

Un buen sistema es darle en Compartir el permiso Control Total al grupo todos y olvidarse, preocupándose sólo de los permisos NTFS para llevar el control desde la pestaña Seguridad. También se puede hacer a la inversa, pero se pierde granularidad.


Uso de carpetas compartidas administrativas

Windows Server comparte carpetas automáticamente para permitirnos realizar tareas administrativas. A estas carpetas compartidas se les añade el signo de dólar ($). El signo de dólar oculta la carpeta compartida a usuarios que naveguen por el equipo en Mis sitios de red. La raíz de cada unidad, la carpeta systemroot, la ubicación utilizada por el cliente de fax para cachear temporalmente los archivos y acceder a páginas de la cubierta, la localización de los controladores de impresoras, y el mecanismo de comunicación entre procesos (IPC) utilizado entre algunos programas en las comunicaciones son algunas de las carpetas compartidas ocultas que Windows Server crea automáticamente.
 
De forma predeterminada, los miembros del grupo Administradores tienen permiso de Control total para las carpetas compartidas administrativas. No podemos modificar los permisos de carpetas compartidas administrativas.
La siguiente tabla describe la utilidad de las carpetas compartidas administrativas que el sistema proporciona automáticamente.
Carpetas compartidas administrativas
Importante:
Las carpetas compartidas ocultas no se limitan a las que Windows crea automáticamente. Podemos compartir más carpetas y añadir el signo de dólar ($) al final de su nombre. De este modo, sólo los usuarios que conozcan el nombre de la carpeta podrán acceder a ella. Estas carpetas ocultas no se consideran carpetas compartidas administrativas.


Resumiendo todo el pastel

  • Para asignar permisos se debe utilizar la estrategia AGDLP.
  • Existen dos tipos de permisos independientes: de carpeta y de archivo.
  • Los permisos NTFS son acumulativos.
  • La denegación sobre el objeto invalida cualquier otro permiso que tenga.
  • Por defecto asignar permisos a un objeto propaga esos permisos a todos sus descendientes.
  • Por defecto crear un objeto implica heredar los permisos del contenedor padre.
  • La herencia se puede bloquear transformándola en permisos efectivos o eliminándola por completo. Una vez eliminada es posible recuperarla forzando su propagación desde el contenedor padre.
  • Cuando se copia el objeto entre particiones NTFS o en la misma partición se heredan los permisos del contenedor de destino.
  • Cuando se mueve un objeto entre particiones NTFS se heredan los permisos del contenedor pero si se mueve en la misma partición los permisos se conservan.
  • Los permisos mas granulares que existen son 13 y se denominan permisos especiales. La combinación de estos permisos da lugar a los permisos estándar y a los de compartir.
  • El permiso de tomar posesión es un permiso especial que permite a quién lo tiene tomar la propiedad del objeto. No se puede dar la propiedad de un objeto así sin más, hay que querer tomar posesión (y poder claro).
  • El Administrador y por tanto el grupo de Administradores puede tomar posesión de cualquier objeto independientemente de los permisos que tenga.
  • Los permisos de compartir solo afectan cuando se accede por la red al recurso, los permisos NTFS afectan siempre.
  • Los permisos de compartir son acumulativos
  • Entre los permisos de compartir y los permisos NTFS mandan los más restrictivos a la hora de acceder por la red. Como es lógico si no estamos accediendo por la red los permisos de compartir no cuentan.
  • Solo se permite compartir carpetas, no ficheros y además puede haber múltiples comparticiones para la misma carpeta.
  • Existen una serie de carpetas denominadas carpetas administrativas que el sistema comparte automáticamente.
  • El símbolo $ permite compartir un recurso sin que este sea visible.


CONCLUSIONES FINALES
  • Se debe conceder permisos a grupos y no a cuentas individuales.
No es efectivo el mantenimiento de cuentas de forma individual
  • Se usará la denegación solo para excluir de un grupo a un elemento o subconjunto que no deseamos que tengan los permisos del grupo.
El uso de la denegación deber ser muy cuidadoso ya que se superpone a cualquier otro permiso que pueda tener un usuario por pertenencia a varios grupos
  • No se usará la denegación para impedir el acceso al grupo Todos.
Porque estaríamos negando el acceso también a los administradores, lo correcto es quitar al grupo todos y añadir los usuarios, grupos o equipos que se desee.
  • No se deben cambiar los permisos predefinidos de carpetas del sistema o de la raíz.
Podrías causar problemas en el sistema o disminuir la seguridad de dichos elementos.
  • Aplicar permisos al nivel mas superior que se pueda implica la propagación a todos los contenidos de niveles inferiores.
Es una forma fácil y efectiva de conceder permisos a un árbol
  • Conceder permisos de lectura y ejecución a carpetas de Aplicaciones a usuarios y administradores.
Es una forma de impedir borrados accidentales de datos y aplicaciones.
  • Conceder permisos de lectura, ejecución y escritura a usuarios y modificación a creadores propietarios a carpetas de Datos.
Así, los usuarios podrán leer y modificar archivos de otros usuarios y leer, modificar y borrar los archivos propios.