jueves, 9 de noviembre de 2017

06 - Permisos NTFS. Parte 3

Carpetas compartidas

Proporcionan a los usuarios acceso a archivos y carpetas a través de la red. Los usuarios pueden conectarse a la carpeta compartida a través de la red para acceder a las carpetas y archivos que contienen. Las carpetas compartidas pueden contener aplicaciones, datos o información personal de un usuario. El uso de carpetas de aplicación compartidas centraliza la administración permitiéndonos instalar y mantener aplicaciones en un servidor en lugar de en equipos cliente. 
Para compartir una carpeta, debemos pertenecer a uno de los grupos que tienen derechos para compartir carpetas compartidas en el tipo de equipo en el que reside la carpeta.
Los permisos de las carpetas compartidas son aplicables únicamente a los usuarios que se conectan al recurso compartido a través de la red. No restringen el acceso a usuarios que inicien sesión localmente en el equipo donde se encuentra el recurso compartido.
Grupos con derechos para compartir
Cuando compartimos una carpeta, podemos controlar el acceso a la misma y a su contenido concediendo permisos a determinados usuarios y grupos. También podemos controlar el acceso a la carpeta limitando el número de usuarios que pueden conectarse simultáneamente a la carpeta compartida. Después de crear una carpeta compartida, es posible que deseemos modificar sus propiedades para finalizar la compartición, cambiar su nombre o cambiar los permisos de los usuarios y grupos.  
Pestaña de Compartir
La siguiente tabla describe las capacidades de los permisos de carpetas compartidas a los usuarios.
Permisos de compartición
Importante:
El permiso Leer se concede al grupo Todos de forma predeterminada cuando compartimos una carpeta. Si un administrador desea que sólo determinados usuarios tengan acceso a una carpeta compartida, deberá eliminar el grupo predeterminado Todos y limitar el acceso de los usuarios al recurso compartido utilizando grupos para asignar los permisos deseados. Los permisos compartidos deben utilizarse siempre conjuntamente con los permisos de NTFS.

Los permisos compartidos son acumulativos

Los permisos de un usuario sobre un recurso son la combinación de los permisos de carpetas compartidas concedidos a la cuenta de usuario individual y los permisos de carpetas compartidas concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un usuario tiene permiso de Lectura para una carpeta y pertenece a un grupo con el permiso Cambiar para la misma carpeta, el usuario tendrá ambos permisos, Lectura y Cambiar, para esa carpeta.
Denegar prevalece sobre otros permisos por eso es recomendable que únicamente se denieguen permisos sobre carpetas compartidas cuando deseemos asegurarnos de que determinados usuarios no tienen acceso a una carpeta compartida. Si denegamos permisos sobre carpetas compartidas a un usuario, éste no tendrá ese permiso, aunque lo concedamos a un grupo al que pertenezca dicho usuario. Si simplemente no concedemos el permiso de una carpeta compartida a un usuario, cuando este usuario se integrase en un grupo con permiso a esa carpeta compartida, obtendría el permiso.
 
Importante:
En el dominio utilice el grupo Usuarios Autenticados en lugar del grupo Todos para asignar la mayoría de derechos y permisos. De esta forma, se minimiza el riesgo de acceso no autorizado.
 
Concesión de permisos y modificación de la configuración de las carpetas compartidas

Cuando concedemos permisos a una carpeta compartida:
  • Una carpeta compartida puede residir en un disco duro formateado con el sistema de archivos NTFS, FAT o FAT32.
  • Los usuarios también necesitan los permisos adecuados de NTFS en un volumen NTFS.
Podemos modificar la configuración de una carpeta compartida para:
  • Dejar de compartirla
  • Modificar el nombre de compartición
  • Modificar los permisos
  • Crear múltiples comparticiones  a una carpeta compartida
  • Eliminar una compartición
Ejemplo de compartición multiple
Importante:


  • Para que los usuarios tengan acceso a una carpeta compartida en un volumen NTFS, necesitan los permisos adecuados de NTFS para cada archivo y carpeta además de los permisos de carpetas compartidas.
  • Si detiene la compartición de una carpeta mientras un usuario tiene un archivo abierto, éste puede perder datos. Windows mostrará un cuadro de diálogo informando.
  • Si un administrador modifica el nombre de una carpeta compartida finalizando la compartición, los permisos originales de la carpeta compartida se pierden y deben volver a crearse



Conexión a carpetas compartidas. Unidades de red


Para conectarse a una carpeta compartida en una unidad de red, siga los siguientes pasos:


  • Haga clic en Inicio, y clic en Ejecutar.
  • En el cuadro de diálogo Ejecutar, introduzca una ruta UNC en el cuadro Abrir, y haga clic en OK.
Cuando introducimos el nombre de servidor en el cuadro Abrir, aparece una lista de los nombres de las carpetas compartidas disponibles.


Conectarse a carpeta compartida
Cuando utilizamos el comando Ejecutar para conectar a un recurso de red, no es necesario utilizar una letra de unidad, lo que permite un número ilimitado de conexiones que son independientes de las letras de unidades disponibles.


Conéctese a una unidad de red si desea asociar una letra de unidad y un icono a una determinada carpeta compartida. Esto facilita la referencia a la ubicación de un archivo en una carpeta compartida.

Conectarse a unidad de red
Por ejemplo, en lugar de apuntar a: \\Servidor\Nombre_Carpeta_Compartida\Archivo, podría apuntar a :\Archivo.
Para tener acceso a una carpeta compartida que utilizará repetidamente, seleccione la opción de Conectarse de nuevo al iniciar sesión para conectarse automáticamente cada vez que inicie sesión. 

Combinación de permisos
Cuando compartimos una carpeta en una partición formateada con NTFS, tanto los permisos de carpetas compartidas como los permisos de NTFS se combinan. Los permisos de NTFS se aplican tanto si se accede al recurso localmente o a través de una red.
  
Cuando concedemos permisos de carpetas compartidas en un volumen NTFS, se aplican las siguientes normas: 
  • Los usuarios deben tener los permisos de NTFS adecuados para cada archivo y subcarpeta de una carpeta compartida, además de permisos de carpetas compartidas, para poder tener acceso a estos recursos por la red.
  • Cuando combinamos permisos de NTFS y permisos de carpetas compartidas, el permiso resultante es el permiso más restrictivo de los dos tipos de permisos.


Permisos NTFS vs Permisos Compartidos
Esto puede complicarse mucho si aplicamos permisos sobre usuarios/grupos, cuantos más usuarios y grupos más lio.

Un buen sistema es darle en Compartir el permiso Control Total al grupo todos y olvidarse, preocupándose sólo de los permisos NTFS para llevar el control desde la pestaña Seguridad. También se puede hacer a la inversa, pero se pierde granularidad.


Uso de carpetas compartidas administrativas

Windows Server comparte carpetas automáticamente para permitirnos realizar tareas administrativas. A estas carpetas compartidas se les añade el signo de dólar ($). El signo de dólar oculta la carpeta compartida a usuarios que naveguen por el equipo en Mis sitios de red. La raíz de cada unidad, la carpeta systemroot, la ubicación utilizada por el cliente de fax para cachear temporalmente los archivos y acceder a páginas de la cubierta, la localización de los controladores de impresoras, y el mecanismo de comunicación entre procesos (IPC) utilizado entre algunos programas en las comunicaciones son algunas de las carpetas compartidas ocultas que Windows Server crea automáticamente.
 
De forma predeterminada, los miembros del grupo Administradores tienen permiso de Control total para las carpetas compartidas administrativas. No podemos modificar los permisos de carpetas compartidas administrativas.
La siguiente tabla describe la utilidad de las carpetas compartidas administrativas que el sistema proporciona automáticamente.
Carpetas compartidas administrativas
Importante:
Las carpetas compartidas ocultas no se limitan a las que Windows crea automáticamente. Podemos compartir más carpetas y añadir el signo de dólar ($) al final de su nombre. De este modo, sólo los usuarios que conozcan el nombre de la carpeta podrán acceder a ella. Estas carpetas ocultas no se consideran carpetas compartidas administrativas.


Resumiendo todo el pastel

  • Para asignar permisos se debe utilizar la estrategia AGDLP.
  • Existen dos tipos de permisos independientes: de carpeta y de archivo.
  • Los permisos NTFS son acumulativos.
  • La denegación sobre el objeto invalida cualquier otro permiso que tenga.
  • Por defecto asignar permisos a un objeto propaga esos permisos a todos sus descendientes.
  • Por defecto crear un objeto implica heredar los permisos del contenedor padre.
  • La herencia se puede bloquear transformándola en permisos efectivos o eliminándola por completo. Una vez eliminada es posible recuperarla forzando su propagación desde el contenedor padre.
  • Cuando se copia el objeto entre particiones NTFS o en la misma partición se heredan los permisos del contenedor de destino.
  • Cuando se mueve un objeto entre particiones NTFS se heredan los permisos del contenedor pero si se mueve en la misma partición los permisos se conservan.
  • Los permisos mas granulares que existen son 13 y se denominan permisos especiales. La combinación de estos permisos da lugar a los permisos estándar y a los de compartir.
  • El permiso de tomar posesión es un permiso especial que permite a quién lo tiene tomar la propiedad del objeto. No se puede dar la propiedad de un objeto así sin más, hay que querer tomar posesión (y poder claro).
  • El Administrador y por tanto el grupo de Administradores puede tomar posesión de cualquier objeto independientemente de los permisos que tenga.
  • Los permisos de compartir solo afectan cuando se accede por la red al recurso, los permisos NTFS afectan siempre.
  • Los permisos de compartir son acumulativos
  • Entre los permisos de compartir y los permisos NTFS mandan los más restrictivos a la hora de acceder por la red. Como es lógico si no estamos accediendo por la red los permisos de compartir no cuentan.
  • Solo se permite compartir carpetas, no ficheros y además puede haber múltiples comparticiones para la misma carpeta.
  • Existen una serie de carpetas denominadas carpetas administrativas que el sistema comparte automáticamente.
  • El símbolo $ permite compartir un recurso sin que este sea visible.


CONCLUSIONES FINALES
  • Se debe conceder permisos a grupos y no a cuentas individuales.
No es efectivo el mantenimiento de cuentas de forma individual
  • Se usará la denegación solo para excluir de un grupo a un elemento o subconjunto que no deseamos que tengan los permisos del grupo.
El uso de la denegación deber ser muy cuidadoso ya que se superpone a cualquier otro permiso que pueda tener un usuario por pertenencia a varios grupos
  • No se usará la denegación para impedir el acceso al grupo Todos.
Porque estaríamos negando el acceso también a los administradores, lo correcto es quitar al grupo todos y añadir los usuarios, grupos o equipos que se desee.
  • No se deben cambiar los permisos predefinidos de carpetas del sistema o de la raíz.
Podrías causar problemas en el sistema o disminuir la seguridad de dichos elementos.
  • Aplicar permisos al nivel mas superior que se pueda implica la propagación a todos los contenidos de niveles inferiores.
Es una forma fácil y efectiva de conceder permisos a un árbol
  • Conceder permisos de lectura y ejecución a carpetas de Aplicaciones a usuarios y administradores.
Es una forma de impedir borrados accidentales de datos y aplicaciones.
  • Conceder permisos de lectura, ejecución y escritura a usuarios y modificación a creadores propietarios a carpetas de Datos.
Así, los usuarios podrán leer y modificar archivos de otros usuarios y leer, modificar y borrar los archivos propios.