Permisos NTFS.

Parte 1
El sistema de archivos NTFS es muy eficaz en cuanto al modo en que
almacena los datos en una particin. Con NTFS podemos:

Conceder permisos a carpetas y archivos para controlar el nivel

de acceso de los usuarios a los recursos.

Usar el espacio del disco duro ms eficazmente permitindonos

comprimir datos y configurar cuotas de disco.

Cifrar datos de archivos en el disco duro fsico utilizando el

Sistema de archivos Encriptado (Encrypting Fyle System, EFS).

Estrategia A G DL P
Para proteger archivos y carpetas en particiones NTFS, concedemos
permisos NTFS para cada usuario utilizando la cuenta individual o
utilizando grupos. Se recomienda utilizar grupos locales del dominio
para conceder acceso a un recurso utilizando la estrategia A G DL P.
la estrategia A G DL P consiste en: ubicar cuentas de usuario (A) en
grupos globales (G), ubicar los grupos globales en grupos locales del
dominio (DL), y conceder permisos (P) al grupo local del dominio.

Lista de control de acceso

NTFS almacena una lista de control de acceso (Access Control List ,
ACL) con cada archivo y carpeta en una particin NTFS. La lista ACL
contiene un listado de todas las cuentas de usuario, grupos y equipos
a los que se ha concedido acceso al archivo o carpeta, y el tipo de
acceso concedido.
Para que un usuario pueda acceder a un archivo o carpeta:

La lista ACL debe contener una entrada, denominada entrada

de control de acceso (Access Control Entry, ACE), para la
cuenta de usuario, grupo o equipo al que pertenece el usuario.

La entrada debe permitir especficamente el tipo de acceso

solicitado por el usuario para que ste pueda tener acceso al
archivo o carpeta.

Si no existe ninguna entrada ACE en la lista ACL, el sistema

denegar al usuario el acceso al recurso.

Permisos NTFS
Utilizamos los permisos de NTFS para especificar qu usuarios,
grupos y equipos pueden acceder a archivos y carpetas. Los permisos
de NTFS tambin determinan qu pueden hacer los usuarios, grupos
y equipos con el contenido del archivo o carpeta.

Permisos de carpetas en NTFS: Podemos conceder permisos de

carpetas para controlar el acceso a las carpetas y a los archivos
y subcarpetas que contienen. La siguiente tabla muestra una
lista de los permisos estndares de NTFS que podemos otorgar
a carpetas y el tipo de acceso que proporciona cada permiso.

Permisos NTFS de carpetas

Permisos de archivos en NTFS: Podemos conceder permisos de

archivo para controlar el acceso a los archivos. La siguiente
tabla muestra una lista de los permisos de archivos estndares
de NTFS que podemos otorgar y el tipo de acceso que cada uno
de ellos proporciona a los usuarios.

Permisos NTFS de archivos

Importante: Cuando se formatea una particin NTFS, el sistema
concede automticamente el permiso de Lectura y ejecucin (en
forma de permisos especiales) sobre la raz al grupo Todos. Por
defecto, el grupo Todos tendr acceso sobre todas las carpetas y
archivos creados en la carpeta raz. Para restringir el acceso a
usuarios
autorizados,
deberamos
cambiar
los
permisos
predeterminados sobre las carpetas y archivos que creemos.

Aplicacin

de

Permisos

NTFS

Por defecto, cuando concedemos permisos a usuarios y grupos sobre

una carpeta, los usuarios o grupos tienen acceso a las subcarpetas y
archivos que sta contiene. Es importante entender el modo en que
las subcarpetas y los archivos heredan los permisos de NTFS desde
las carpetas padre para poder utilizar la herencia en la propagacin
de permisos a archivos y carpetas.
Si concedemos permisos sobre un archivo o carpeta a una cuenta de
usuario individual o a un grupo al que pertenezca el usuario, el
usuario obtendr varios permisos sobre el mismo recurso. Existen
reglas y prioridades asociadas al modo en que NTFS combina
mltiples permisos. Adems, tambin es posible afectar a los
permisos cuando copiamos o movemos archivos y carpetas.
Importante: Se recomienda asignar permisos a un recurso
utilizando A G DL P. En otras palabras, asignar permisos a un recurso
utilizando grupos locales del dominio en lugar de cuentas de usuario
individuales.

1. Mltiples Permisos NTFS

Si concedemos permisos de NTFS a una cuenta de usuario individual

adems de a un grupo al que pertenezca el usuario, estaremos
concediendo mltiples permisos a dicho usuario. Existen reglas en la
forma en que NTFS combina estos permisos mltiples para generar
permisos eficaces para el usuario.

Los permisos son acumulativos: Los permisos efectivos de un

usuario sobre un recurso son la combinacin de los permisos de
NTFS concedidos a la cuenta de usuario individual y los
concedidos a los grupos a los que pertenece el usuario. Por
ejemplo, si un usuario tiene permiso de Lectura sobre una
carpeta y pertenece a un grupo con permiso de Escritura sobre
la misma carpeta, el usuario tendr ambos permisos, Lectura y
Escritura, sobre esa carpeta.

Los permisos de archivo son independientes de los permisos de

carpeta. Los permisos de archivo de NTFS tienen prioridad
respecto a los permisos de carpetas de NTFS. Por ejemplo, un
usuario con el permiso Modificar para un archivo podr
modificar el archivo aunque nicamente disponga del permiso
de Lectura sobre la carpeta que contiene dicho archivo.

Denegar invalida otros permisos. Se puede denegar el acceso a

un determinado archivo o carpeta aplicando la denegacin del
permiso a la cuenta de usuario o grupo. Aunque un usuario
tenga permiso para acceder al archivo o carpeta como miembro
de un grupo, denegar el permiso al usuario bloquea cualquier
otro permiso de que ste disponga. Por tanto, la denegacin de
permiso es una excepcin a la regla acumulativa. Es
aconsejable evitar la denegacin de permiso ya que es ms fcil
permitir el acceso a usuarios y grupos que denegar el acceso
especficamente. Ese preferible estructurar grupos y organizar
recursos en carpetas de forma que otorgar permisos sea
suficiente.

2. Herencia de permisos NTFS

Por defecto, los permisos concedidos a una carpeta padre se heredan
y propagan a las subcarpetas y archivos contenidos en dicha carpeta
padre. Sin embargo, podemos evitar que esto ocurra si deseamos que
las carpetas o archivos tengan permisos diferentes a los de su
carpeta padre.

Permisos heredados
Los permisos concedidos a una carpeta padre son aplicables tambin
a las subcarpetas y archivos que contiene. Cuando concedemos
permisos de NTFS para dar acceso a una carpeta, estamos
concediendo permisos sobre la carpeta, sobre cualquier archivo y
subcarpeta existentes, y sobre cualquier nuevo archivo o subcarpeta
que se cree en la carpeta.

2.1

Evitar

la

herencia

de

permisos

En general, deberamos permitir que el sistema propague los

permisos de una carpeta padre a las subcarpetas y archivos que
contiene. La propagacin de permisos simplifica la asignacin de
permisos a recursos. Sin embargo, es posible que en ocasiones
deseemos evitar la herencia de permisos. Por ejemplo, es posible que
necesitemos guardar todos los archivos del departamento de ventas
en una carpeta Ventas para la que todos los miembros de dicho
departamento tengan permiso de Escritura. Sin embargo, debemos
limitar los permisos sobre algunos archivos de la carpeta con el
permiso de Lectura nicamente. Por tanto, deberamos evitar la
herencia para que el permiso de Escritura no se propague a los
archivos contenidos en la carpeta. Por defecto, las subcarpetas y
archivos heredan los permisos concedidos sobre sus carpetas padre,
como se muestra en las Opciones avanzadas de la ficha Seguridad
del cuadro de texto Propiedades cuando est seleccionada la casilla
de verificacin siguiente:

Casilla de verificacin para permitir o impedir la herencia

Para evitar que una subcarpeta o archivo herede permisos de una
carpeta padre, debemos desmarcar dicha casilla y seleccionar una de
las siguientes opciones:

Opciones si desmarcamos las casilla de propagar la herencia

Copiar: Copia permisos previamente heredados desde la

carpeta padre a la subcarpeta o archivo y deniega la posterior
herencia de permisos desde la carpeta padre.

Quitar: Elimina los permisos heredados concedidos sobre la

carpeta padre desde la subcarpeta o archivo y conserva
nicamente los permisos explcitamente concedidos sobre la
subcarpeta o archivo.

Existe la opcin tambin de propagar los permisos desde una carpeta

a los objetos de su interior, eliminando todos aquellos permisos
explcitos
(no
heredados) que
tuvieran
con
anterioridad.

Casilla de verificacin para forzar la propagacin de permisos

heredables
Por supuesto el sistema nos pregunta antes de realizar la accin:

2.2 Copiar archivos y carpetas

Cuando copiamos o movemos un archivo o carpeta, los permisos
pueden cambiar dependiendo del lugar dnde movemos el archivo o
carpeta. Es importante entender los cambios sufridos por los
permisos cuando se mueven o copian.

Copiar un archivo o carpeta tiene los siguientes efectos en los

permisos de NTFS:

Cuando copiamos una carpeta o archivo dentro de una nica

particin NTFS, la copia de la carpeta o archivo hereda los
permisos de la carpeta de destino.

Cuando copiamos una carpeta o archivo entre particiones NTFS,

la copia de la carpeta o archivo hereda los permisos de la
carpeta de destino.

Cuando copiamos archivos o carpetas a particiones que no son

NTFS, como FAT, las carpetas y archivos pierden sus permisos
de NTFS, porque las particiones que no son NTFS no soportan
los permisos de NTFS.

Importante: Para copiar archivos y carpetas dentro de una nica

particin NTFS o entre particiones NTFS, debemos disponer del
permiso de Lectura sobre la carpeta original y permiso de Escritura
sobre la carpeta de destino.

2.3 Mover archivos y carpetas

Cuando movemos un archivo o carpeta, los permisos pueden cambiar
dependiendo de los permisos de la carpeta de destino. Mover un
archivo o carpeta tiene los siguientes efectos en los permisos de
NTFS:

Cuando movemos una carpeta o archivo dentro una particin

NTFS, la carpeta o archivo conserva sus permisos originales.

Cuando movemos una carpeta o archivo entre particiones NTFS,

la carpeta o archivo hereda los permisos de la carpeta de
destino. Si lo pensamos bien. mover una carpeta o archivo
entre particiones es copiar la carpeta o archivo a la nueva
ubicacin y eliminarlo de su antigua ubicacin.

Cuando movemos archivos o carpetas a particiones que no son

NTFS, las carpetas y archivos pierden sus permisos de NTFS,
porque las particiones que no son NTFS no soportan los
permisos de NTFS.

Importante: Para mover archivos y carpetas dentro de una particin

NTFS o entre particiones NTFS, debemos tener el permiso de
Escritura sobre la carpeta de destino y el permiso de Modificacin
sobre la carpeta o archivo original. El permiso de Modificacin es

necesario para mover una carpeta o archivo, ya que el sistema

elimina la carpeta o archivo de la carpeta original despus de copiarla
a la carpeta de destino.

Permisos NTFS. Parte 2

Ejercicio prctico de Aplicacin de permisos

NTFS

Esquema de partida para los Casos a resolver

Caso 1. El grupo Usuarios tiene permiso de Escritura y el
grupo Ventas tiene permiso de Lectura sobre la Carpeta1.
Qu permisos tiene Usuario1 sobre la Carpeta1?
Usuario1 tiene los permisos de Escritura y Lectura sobre la Carpeta1,
ya que Usuario1 pertenece al grupo Usuarios, que tiene permiso de
Escritura, y al grupo Ventas, que tiene permiso de Lectura.
Caso 2. El grupo Usuarios tiene permiso de Lectura sobre la
Carpeta1. El grupo Ventas tiene permiso de Escritura sobre la
Carpeta2. Qu permisos tiene el Usuario1 sobre el Archivo2
que
est
en
Carpeta2?
Usuario1 tiene permisos de Lectura y Escritura sobre el Archivo2, ya
que Usuario1 pertenece al grupo Usuarios, que tiene permiso de
Lectura sobre la Carpeta1, y al grupo Ventas, que tiene permiso de
Escritura sobre la Carpeta2. Archivo2 hereda los permisos de ambas,
la Carpeta2 y la Carpeta1.
Caso 3. El grupo Usuarios tiene permiso de Modificacin sobre
la Carpeta1. Archivo2 debera ser accesible nicamente para el
grupo Ventas, y nicamente en modo lectura. Qu pasos
deberamos seguir para asegurarnos de que el grupo Ventas
tiene nicamente permiso de Lectura sobre el Archivo2?
Deshabilitar la herencia de permisos sobre la Carpeta2 o el Archivo2.

Eliminar los permisos sobre la Carpeta2 o el Archivo2 que la Carpeta2

ha heredado de la Carpeta1. Conceder nicamente el permiso de
Lectura al grupo Ventas sobre la Carpeta2 o el Archivo2.

Recomendaciones para conceder permisos de

NTFS
Considere las siguientes prcticas recomendadas cuando conceda
permisos NTFS:
1. Conceder permisos a grupos locales del dominio en lugar de a
usuarios.
2. Agrupar recursos para simplificar la administracin.
3. Crear grupos de acuerdo con el acceso que sus miembros
requieren.
4. Otorgar a los usuarios nicamente el nivel de acceso que
necesiten.
5. Conceder permisos de Leer y ejecutar y Escritura para carpetas
de datos.
6. Conceder permisos de Leer y ejecutar para carpetas de
aplicaciones.
Conceder permisos a grupos locales del dominio en lugar de a
usuarios, es ms fcil administrar grupos que usuarios. De este
modo se mantiene la lista ms corta, mejorando el rendimiento.
Para simplificar la administracin, agrupe archivos en
carpetas, carpetas de aplicacin donde se guarden las aplicaciones
ms utilizadas, carpetas de datos que contienen archivos de datos
compartidos por mltiples usuarios, y carpetas de usuarios que
contengan los archivos de cada usuario individual. Centralice las
carpetas de usuario y las carpetas de datos en una particin distinta.
Otorgue a los usuarios nicamente el nivel de acceso que
requieran, si un usuario nicamente necesita leer un archivo,
conceda al usuario, o grupo al que pertenezca, el permiso de Lectura
sobre el archivo.
Cree grupos segn los requerimientos de acceso a los recursos
que necesiten sus miembros, y conceda los permisos
adecuados a los grupos, cuando conceda permisos sobre carpetas
de aplicaciones, conceda el permiso Leer y Ejecutar a los grupos
Usuarios y Administradores. De este modo, se evita que archivos de

datos y aplicaciones se eliminen o se daen accidentalmente por

usuarios o virus. Cuando conceda permisos sobre carpetas de datos,
conceda los permisos Leer y Ejecutar y Escritura al grupo Usuarios y
el permiso de Modificacin al grupo Propietario Creador. De este
modo, los usuarios tendrn la capacidad de leer y modificar
documentos creados por otros usuarios, y la capacidad de leer,
modificar y eliminar los archivos y carpetas que ellos mismos creen.

Importante: Deberiamos utilizar la denegacin de permisos

nicamente cuando sea imprescindible para denegar el acceso a una
cuenta de usuario o grupo especfico. Se recomienda tambin el uso
de grupos locales del dominio para asignar permisos en vez de
asignar permisos a cuentas individuales.

Permisos especiales NTFS

Generalmente, los permisos estndar de NTFS proporcionan todo el

control de acceso que necesitamos para securizar nuestros recursos.
Sin embargo, en ocasiones los permisos estndares de NTFS no
proporcionan el nivel especifico de acceso que deseamos conceder a
los usuarios. Para crear un nivel especfico de acceso, concedemos
permisos de acceso especiales de NTFS.
Los permisos de acceso especiales nos proporcionan un mayor grado
de control para conceder acceso a recursos. Los 13 permisos de
acceso especiales, cuando se combinan, constituyen los permisos
estndares de NTFS.
Por ejemplo, el permiso estndar de Lectura consta de los permisos
de acceso especiales Leer datos, Leer atributos, Leer permisos y Leer
atributos extendidos.
Dos de los permisos de acceso especiales son especialmente tiles
para la administracin del acceso a archivos y carpetas:

Cambiar permisos. Con este permiso, el usuario tiene la

capacidad de cambiar permisos sobre un archivo o carpeta.

Tomar posesin. Con este permiso, el usuario tiene la capacidad

de tomar posesin de archivos y carpetas.

Cambiar permisos

Podemos dar a otros administradores y usuarios la capacidad de

cambiar permisos sobre un archivo o carpeta sin necesidad de
concederles el permiso Control total sobre el archivo o carpeta. De
esta forma, el administrador o usuario no puede borrar o escribir en
el archivo o carpeta, pero puede conceder permisos al archivo o

carpeta. Para dar a los administradores la capacidad de cambiar

permisos, conceda el permiso de Modificacin sobre archivo o carpeta
al grupo Administradores.

Tomar posesin

Podemos dar a un usuario la capacidad de tomar posesin o, como

administrador, podemos tomar posesin de un archivo o carpeta. Las
siguientes normas son aplicables a tomar posesin de un archivo o
carpeta:

El propietario actual o cualquier usuario con permiso Control

total puede conceder el permiso estndar Control total o el
permiso de acceso especial Tomar posesin a otra cuenta de
usuario o grupo. Esto permite a la cuenta de usuario o a un
miembro del grupo tomar posesin.

Un miembro del grupo de administradores puede tomar

posesin de una carpeta o archivo, con independencia de los
permisos concedidos sobre esa carpeta o archivo. Si un
administrador toma posesin, el grupo de administradores se
convierte en el propietario, y cualquier miembro del grupo de
administradores puede modificar los permisos sobre el archivo
o carpeta y conceder el permiso Tomar posesin a otra cuenta
de usuario o grupo.

Por ejemplo, si un empleado deja la compaa, un administrador

puede tomar posesin de los archivos del empleado y conceder el
permiso Tomar posesin a otro empleado, y ese empleado puede
tomar posesin de los archivos del primero.
Importante: Para convertirse en el propietario de un archivo o
carpeta, un usuario o miembro de un grupo con el permiso Tomar
posesin debe explcitamente tomar posesin del archivo o carpeta.
No podemos conceder automticamente a ninguna persona la
propiedad de un archivo o carpeta.

Concesin de permisos especiales de NTFS

Para conceder permisos de acceso especiales a usuarios y grupos:

En el cuadro de dilogo Propiedades de un archivo o carpeta, en

la ficha Seguridad, haga clic en el botn opciones avanzadas.

En el cuadro de dilogo Configuracin de seguridad avanzada

del archivo o carpeta, en la ficha Permisos, seleccione la cuenta

de usuario o grupo para el que desea aplicar permisos de

acceso especiales de NTFS, y haga clic en Modificar

Permisos especiales Paso 1

En el cuadro de dilogo de Entrada de permiso del archivo o

carpeta, configure la cuenta de usuario o nombre del grupo con
el botn Cambiar, el nivel de la jerarqua de carpetas desde el
que se heredan los permisos especiales de NTFS desde la lista
desplegable Aplicar en.

Permisos especiales Paso2

Para permitir los permisos Cambiar permisos o Tomar posesin,

seleccione la casilla de verificacin de Permitir junto a cada uno
de ellos. Aplicar estos permisos a objetos y/o contenedores
dentro de este contenedor nicamente Especifica si las
subcarpetas y archivos de una carpeta heredan los permisos de
acceso especiales de dicha carpeta. Deshabilite esta casilla de
verificacin para evitar la herencia de permisos. Selccionela
para propagar los permisos de acceso especiales a archivos y
subcarpetas. Borrar todo sirve para deseleccionar todos los
seleccionados.

Permisos NTFS vs Compartir. Parte 3

Carpetas compartidas
Proporcionan a los usuarios acceso a archivos y carpetas a travs de
la red. Los usuarios pueden conectarse a la carpeta compartida a
travs de la red para acceder a las carpetas y archivos que contienen.
Las carpetas compartidas pueden contener aplicaciones, datos o
informacin personal de un usuario. El uso de carpetas de aplicacin
compartidas centraliza la administracin permitindonos instalar y
mantener aplicaciones en un servidor en lugar de en equipos cliente.
Para compartir una carpeta, debemos pertenecer a uno de los grupos
que tienen derechos para compartir carpetas compartidas en el tipo
de equipo en el que reside la carpeta.
Los permisos de las carpetas compartidas son aplicables nicamente
a los usuarios que se conectan al recurso compartido a travs de la
red. No restringen el acceso a usuarios que inicien sesin localmente
en el equipo donde se encuentra el recurso compartido.

Grupos con derechos para compartir

Cuando compartimos una carpeta, podemos controlar el acceso a la
misma y a su contenido concediendo permisos a determinados
usuarios y grupos. Tambin podemos controlar el acceso a la carpeta
limitando el nmero de usuarios que pueden conectarse
simultneamente a la carpeta compartida. Despus de crear una
carpeta compartida, es posible que deseemos modificar sus
propiedades para finalizar la comparticin, cambiar su nombre o
cambiar los permisos de los usuarios y grupos.

Pestaa de Compartir
La siguiente tabla describe las capacidades de los permisos de
carpetas compartidas a los usuarios.

Permisos de comparticin
Importante:
El permiso Leer se concede al grupo Todos de forma predeterminada
cuando compartimos una carpeta. Si un administrador desea que slo
determinados usuarios tengan acceso a una carpeta compartida,
deber eliminar el grupo predeterminado Todos y limitar el acceso de
los usuarios al recurso compartido utilizando grupos para asignar los
permisos deseados. Los permisos compartidos deben utilizarse
siempre conjuntamente con los permisos de NTFS.

Los permisos compartidos son acumulativos

Los permisos de un usuario sobre un recurso son la combinacin de
los permisos de carpetas compartidas concedidos a la cuenta de

usuario individual y los permisos de carpetas compartidas concedidos

a los grupos a los que pertenece el usuario. Por ejemplo, si un
usuario tiene permiso de Lectura para una carpeta y pertenece a un
grupo con el permiso Cambiar para la misma carpeta, el usuario
tendr ambos permisos, Lectura y Cambiar, para esa carpeta.
Denegar prevalece sobre otros permisos por eso es recomendable
que nicamente se denieguen permisos sobre carpetas compartidas
cuando deseemos asegurarnos de que determinados usuarios no
tienen acceso a una carpeta compartida. Si denegamos permisos
sobre carpetas compartidas a un usuario, ste no tendr ese permiso,
aunque lo concedamos a un grupo al que pertenezca dicho usuario. Si
simplemente no concedemos el permiso de una carpeta compartida a
un usuario, cuando este usuario se integrase en un grupo con
permiso a esa carpeta compartida, obtendra el permiso.
Importante:
En el dominio utilice el grupo Usuarios Autenticados en lugar del
grupo Todos para asignar la mayora de derechos y permisos. De esta
forma, se minimiza el riesgo de acceso no autorizado.

Concesin de permisos y modificacin de la

configuracin de las carpetas compartidas
Cuando concedemos permisos a una carpeta compartida:

Una carpeta compartida puede residir en un disco duro

formateado con el sistema de archivos NTFS, FAT o FAT32.

Los usuarios tambin necesitan los permisos adecuados de

NTFS en un volumen NTFS.

Podemos modificar la configuracin de una carpeta compartida para:

Dejar de compartirla

Modificar el nombre de comparticin

Modificar los permisos

Crear mltiples comparticiones a una carpeta compartida

Eliminar una comparticin

Ejemplo de comparticin multiple

Importante:

Para que los usuarios tengan acceso a una carpeta compartida

en un volumen NTFS, necesitan los permisos adecuados de
NTFS para cada archivo y carpeta adems de los permisos de
carpetas compartidas.

Si detiene la comparticin de una carpeta mientras un usuario

tiene un archivo abierto, ste puede perder datos. Windows
mostrar un cuadro de dilogo informando.

Si un administrador modifica el nombre de una carpeta

compartida finalizando la comparticin, los permisos originales
de la carpeta compartida se pierden y deben volver a crearse

Conexin a carpetas compartidas. Unidades

de red
Para conectarse a una carpeta compartida en una unidad de red, siga
los siguientes pasos:

Haga clic en Inicio, y clic en Ejecutar.

En el cuadro de dilogo Ejecutar, introduzca una ruta UNC en el

cuadro Abrir, y haga clic en OK.

Cuando introducimos el nombre de servidor en el cuadro Abrir,

aparece una lista de los nombres de las carpetas compartidas
disponibles.

Conectarse a carpeta compartida

Cuando utilizamos el comando Ejecutar para conectar a un recurso de
red, no es necesario utilizar una letra de unidad, lo que permite un
nmero ilimitado de conexiones que son independientes de las letras
de
unidades
disponibles.
Conctese a una unidad de red si desea asociar una letra de unidad y
un icono a una determinada carpeta compartida. Esto facilita la
referencia a la ubicacin de un archivo en una carpeta compartida.

Conectarse a unidad de red

Por
ejemplo,
en
lugar
de
apuntar
a:
\\Servidor\Nombre_Carpeta_Compartida\Archivo,
podra
apuntar
a :\Archivo.
Para tener acceso a una carpeta compartida que utilizar
repetidamente, seleccione la opcin de Conectarse de nuevo al iniciar
sesin para conectarse automticamente cada vez que inicie sesin.

Combinacin de permisos
Cuando compartimos una carpeta en una particin formateada con
NTFS, tanto los permisos de carpetas compartidas como los permisos
de NTFS se combinan. Los permisos de NTFS se aplican tanto si se
accede al recurso localmente o a travs de una red.

Cuando concedemos permisos de carpetas compartidas en un

volumen NTFS, se aplican las siguientes normas:

Los usuarios deben tener los permisos de NTFS adecuados para

cada archivo y subcarpeta de una carpeta compartida, adems
de permisos de carpetas compartidas, para poder tener acceso
a estos recursos por la red.

Cuando combinamos permisos de NTFS y permisos de carpetas

compartidas, el permiso resultante es el permiso ms restrictivo
de los dos tipos de permisos.

Permisos NTFS vs Permisos Compartidos

Esto puede complicarse mucho si aplicamos permisos sobre
usuarios/grupos, cuantos ms usuarios y grupos ms lio.
Un buen sistema es darle en Compartir el permiso Control Total al
grupo todos y olvidarse, preocupndose slo de los permisos NTFS
para llevar el control desde la pestaa Seguridad. Tambin se
puede hacer a la inversa, pero se pierde granularidad.

Uso de carpetas compartidas administrativas

Windows
Server comparte
carpetas
automticamente
para
permitirnos realizar tareas administrativas. A estas carpetas
compartidas se les aade el signo de dlar ($). El signo de dlar
oculta la carpeta compartida a usuarios que naveguen por el equipo
en Mis sitios de red. La raz de cada unidad, la carpeta systemroot, la
ubicacin utilizada por el cliente de fax para cachear temporalmente
los archivos y acceder a pginas de la cubierta, la localizacin de los
controladores de impresoras, y el mecanismo de comunicacin entre
procesos (IPC) utilizado entre algunos programas en las
comunicaciones son algunas de las carpetas compartidas ocultas que
Windows
Server crea
automticamente.
De forma predeterminada, los miembros del grupo Administradores
tienen permiso de Control total para las carpetas compartidas

administrativas. No podemos modificar los permisos de carpetas

compartidas administrativas.
La siguiente tabla describe la utilidad de las carpetas compartidas
administrativas que el sistema proporciona automticamente.

Carpetas compartidas administrativas

Importante:
Las carpetas compartidas ocultas no se limitan a las que
Windows crea automticamente. Podemos compartir ms carpetas y
aadir el signo de dlar ($) al final de su nombre. De este modo, slo
los usuarios que conozcan el nombre de la carpeta podrn acceder a
ella. Estas carpetas ocultas no se consideran carpetas compartidas
administrativas.

Resumiendo todo el pastel

Para asignar permisos se debe utilizar la estrategia AGDLP.

Existen dos tipos de permisos independientes: de carpeta y de

archivo.

Los permisos NTFS son acumulativos.

La denegacin sobre el objeto invalida cualquier otro permiso

que tenga.

Por defecto asignar permisos a

permisos a todos sus descendientes.

Por defecto crear un objeto implica heredar los permisos del

contenedor padre.

La herencia se puede bloquear transformndola en permisos

efectivos o eliminndola por completo. Una vez eliminada es
posible recuperarla forzando su propagacin desde el
contenedor padre.

Cuando se copia el objeto entre particiones NTFS o en la misma

particin se heredan los permisos del contenedor de destino.

Cuando se mueve un objeto entre particiones NTFS se heredan

los permisos del contenedor pero si se mueve en la misma
particin los permisos se conservan.

Los permisos mas granulares que existen son 13 y se

denominan permisos especiales. La combinacin de estos
permisos da lugar a los permisos estndar y a los de compartir.

El permiso de tomar posesin es un permiso especial que

permite a quin lo tiene tomar la propiedad del objeto. No se
puede dar la propiedad de un objeto as sin ms, hay que
querer tomar posesin (y poder claro).

El Administrador y por tanto el grupo de Administradores puede

tomar posesin de cualquier objeto independientemente de los
permisos que tenga.

Los permisos de compartir solo afectan cuando se accede por la

red al recurso, los permisos NTFS afectan siempre.

Los permisos de compartir son acumulativos

Entre los permisos de compartir y los permisos NTFS mandan

los ms restrictivos a la hora de acceder por la red. Como es
lgico si no estamos accediendo por la red los permisos de
compartir no cuentan.

Solo se permite compartir carpetas, no ficheros y adems

puede haber mltiples comparticiones para la misma carpeta.

un

objeto propaga esos

Existen una serie de carpetas denominadas carpetas

administrativas que el sistema comparte automticamente.

El smbolo $ permite compartir un recurso sin que este sea

visible.

CONCLUSIONES FINALES

Se debe conceder
individuales.

permisos

grupos

no

cuentas

No es efectivo el mantenimiento de cuentas de forma individual

Se usar la denegacin solo para excluir de un grupo a un

elemento o subconjunto que no deseamos que tengan los
permisos del grupo.

El uso de la denegacin deber ser muy cuidadoso ya que se

superpone a cualquier otro permiso que pueda tener un usuario por
pertenencia a varios grupos

No se usar la denegacin para impedir el acceso al grupo

Todos.

Porque estaramos negando el acceso tambin a los administradores,

lo correcto es quitar al grupo todos y aadir los usuarios, grupos o
equipos que se desee.

No se deben cambiar los permisos predefinidos de carpetas del

sistema o de la raz.

Podras causar problemas en el sistema o disminuir la seguridad de

dichos elementos.

Aplicar permisos al nivel mas superior que se pueda implica la

propagacin a todos los contenidos de niveles inferiores.

Es una forma fcil y efectiva de conceder permisos a un rbol

Conceder permisos de lectura y ejecucin a carpetas de

Aplicaciones a usuarios y administradores.

Es una forma de impedir borrados accidentales de datos y

aplicaciones.

Conceder permisos de lectura, ejecucin y escritura a usuarios

y modificacin a creadores propietarios a carpetas de Datos.

As, los usuarios podrn leer y modificar archivos de otros usuarios y

leer, modificar y borrar los archivos propios.