jueves, 9 de noviembre de 2017

06 - Permisos NTFS. Parte 2

Ejercicio práctico de Aplicación de permisos NTFS
Esquema de partida para los Casos a resolver
Caso 1. El grupo Usuarios tiene permiso de Escritura y el grupo Ventas tiene permiso de Lectura sobre la Carpeta1. ¿Qué permisos tiene Usuario1 sobre la Carpeta1?


Usuario1 tiene los permisos de Escritura y Lectura sobre la Carpeta1, ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Escritura, y al grupo Ventas, que tiene permiso de Lectura. 

Caso 2. El grupo Usuarios tiene permiso de Lectura sobre la Carpeta1. El grupo Ventas tiene permiso de Escritura sobre la Carpeta2. ¿Qué permisos tiene el Usuario1 sobre el Archivo2 que está en Carpeta2?

Usuario1 tiene permisos de Lectura y Escritura sobre el Archivo2, ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Lectura sobre la Carpeta1, y al grupo Ventas, que tiene permiso de Escritura sobre la Carpeta2. Archivo2 hereda los permisos de ambas, la Carpeta2 y la Carpeta1.


Caso 3. El grupo Usuarios tiene permiso de Modificación sobre la Carpeta1. Archivo2 debería ser accesible únicamente para el grupo Ventas, y únicamente en modo lectura. ¿Qué pasos deberíamos seguir para asegurarnos de que el grupo Ventas tiene únicamente permiso de Lectura sobre el Archivo2?

Deshabilitar la herencia de permisos sobre la Carpeta2 o el Archivo2. Eliminar los permisos sobre la Carpeta2 o el Archivo2 que la Carpeta2 ha heredado de la Carpeta1. Conceder únicamente el permiso de Lectura al grupo Ventas sobre la Carpeta2 o el Archivo2. 

Recomendaciones para conceder permisos de NTFS

Considere las siguientes prácticas recomendadas cuando conceda permisos NTFS:
  1. Conceder permisos a grupos locales del dominio en lugar de a usuarios.
  2. Agrupar recursos para simplificar la administración.
  3. Crear grupos de acuerdo con el acceso que sus miembros requieren.
  4. Otorgar a los usuarios únicamente el nivel de acceso que necesiten.
  5. Conceder permisos de Leer y ejecutar y Escritura para carpetas de datos.
  6. Conceder permisos de Leer y ejecutar para carpetas de aplicaciones.
Conceder permisos a grupos locales del dominio en lugar de a usuarios, es más fácil administrar grupos que usuarios. De este modo se mantiene la lista más corta, mejorando el rendimiento.
Para simplificar la administración, agrupe archivos en carpetas, carpetas de aplicación donde se guarden las aplicaciones más utilizadas, carpetas de datos que contienen archivos de datos compartidos por múltiples usuarios, y carpetas de usuarios que contengan los archivos de cada usuario individual. Centralice las carpetas de usuario y las carpetas de datos en una partición distinta.
Otorgue a los usuarios únicamente el nivel de acceso que requieran, si un usuario únicamente necesita leer un archivo, conceda al usuario, o grupo al que pertenezca, el permiso de Lectura sobre el archivo.

Cree grupos según los requerimientos de acceso a los recursos que necesiten sus miembros, y conceda los permisos adecuados a los grupos,
cuando conceda permisos sobre carpetas de aplicaciones, conceda el permiso Leer y Ejecutar a los grupos Usuarios y Administradores. De este modo, se evita que archivos de datos y aplicaciones se eliminen o se dañen accidentalmente por usuarios o virus. Cuando conceda permisos sobre carpetas de datos, conceda los permisos Leer y Ejecutar y Escritura al grupo Usuarios y el permiso de Modificación al grupo Propietario Creador. De este modo, los usuarios tendrán la capacidad de leer y modificar documentos creados por otros usuarios, y la capacidad de leer, modificar y eliminar los archivos y carpetas que ellos mismos creen.



Importante: Deberiamos utilizar la denegación de permisos únicamente cuando sea imprescindible para denegar el acceso a una cuenta de usuario o grupo específico. Se recomienda también el uso de grupos locales del dominio para asignar permisos en vez de asignar permisos a cuentas individuales.

Permisos especiales NTFS
Generalmente, los permisos estándar de NTFS proporcionan todo el control de acceso que necesitamos para securizar nuestros recursos. Sin embargo, en ocasiones los permisos estándares de NTFS no proporcionan el nivel especifico de acceso que deseamos conceder a los usuarios. Para crear un nivel específico de acceso, concedemos permisos de acceso especiales de NTFS.
Los permisos de acceso especiales nos proporcionan un mayor grado de control para conceder acceso a recursos. Los 13 permisos de acceso especiales, cuando se combinan, constituyen los permisos estándares de NTFS.
Por ejemplo, el permiso estándar de Lectura consta de los permisos de acceso especiales Leer datos, Leer atributos, Leer permisos y Leer atributos extendidos.
Dos de los permisos de acceso especiales son especialmente útiles para la administración del acceso a archivos y carpetas: 
  • Cambiar permisos. Con este permiso, el usuario tiene la capacidad de cambiar permisos sobre un archivo o carpeta.
  • Tomar posesión. Con este permiso, el usuario tiene la capacidad de tomar posesión de archivos y carpetas.


Cambiar permisos
Podemos dar a otros administradores y usuarios la capacidad de cambiar permisos sobre un archivo o carpeta sin necesidad de concederles el permiso Control total sobre el archivo o carpeta. De esta forma, el administrador o usuario no puede borrar o escribir en el archivo o carpeta, pero puede conceder permisos al archivo o carpeta. Para dar a los administradores la capacidad de cambiar permisos, conceda el permiso de Modificación sobre archivo o carpeta al grupo Administradores.



Tomar posesión
Podemos dar a un usuario la capacidad de tomar posesión o, como administrador, podemos tomar posesión de un archivo o carpeta. Las siguientes normas son aplicables a tomar posesión de un archivo o carpeta:
  • El propietario actual o cualquier usuario con permiso Control total puede conceder el permiso estándar Control total o el permiso de acceso especial Tomar posesión a otra cuenta de usuario o grupo. Esto permite a la cuenta de usuario o a un miembro del grupo tomar posesión.
  • Un miembro del grupo de administradores puede tomar posesión de una carpeta o archivo, con independencia de los permisos concedidos sobre esa carpeta o archivo. Si un administrador toma posesión, el grupo de administradores se convierte en el propietario, y cualquier miembro del grupo de administradores puede modificar los permisos sobre el archivo o carpeta y conceder el permiso Tomar posesión a otra cuenta de usuario o grupo.
Por ejemplo, si un empleado deja la compañía, un administrador puede tomar posesión de los archivos del empleado y conceder el permiso Tomar posesión a otro empleado, y ese empleado puede tomar posesión de los archivos del primero.
Importante: Para convertirse en el propietario de un archivo o carpeta, un usuario o miembro de un grupo con el permiso Tomar posesión debe explícitamente tomar posesión del archivo o carpeta. No podemos conceder automáticamente a ninguna persona la propiedad de un archivo o carpeta. 


Concesión de permisos especiales de NTFS

Para conceder permisos de acceso especiales a usuarios y grupos:
  • En el cuadro de diálogo Propiedades de un archivo o carpeta, en la ficha Seguridad, haga clic en el botón opciones avanzadas.
  • En el cuadro de diálogo Configuración de seguridad avanzada del archivo o carpeta, en la ficha Permisos, seleccione la cuenta de usuario o grupo para el que desea aplicar permisos de acceso especiales de NTFS, y haga clic en Modificar


Permisos especiales Paso 1


  • En el cuadro de diálogo de Entrada de permiso del archivo o carpeta, configure la cuenta de usuario o nombre del grupo con el botón Cambiar, el nivel de la jerarquía de carpetas desde el que se heredan los permisos especiales de NTFS desde la lista desplegable Aplicar en.
Permisos especiales Paso2
  
  • Para permitir los permisos Cambiar permisos o Tomar posesión, seleccione la casilla de verificación de Permitir junto a cada uno de ellos. Aplicar estos permisos a objetos y/o contenedores dentro de este contenedor únicamente Especifica si las subcarpetas y archivos de una carpeta heredan los permisos de acceso especiales de dicha carpeta. Deshabilite esta casilla de verificación para evitar la herencia de permisos. Seléccionela para propagar los permisos de acceso especiales a archivos y subcarpetas. Borrar todo sirve para deseleccionar todos los seleccionados.