Redes locales 6

Conrado Perea

SEGURIDAD DE PERMISOS

CARPETAS COMPARTIDAS

•Los permisos y las carpetas compartidas

remotas constituyen el pilar de seguridad

de Windows Server 2003. Los permisos

basados en NTFS permiten y deniegan

acceso a archivos y carpetas, tanto de

forma local como en la red.

•Por otro lado, las carpetas compartidas

proporcionan o deniegan acceso a los

objetos de un equipo remoto.

ASPECTOS GENERALES

DE LOS PERMISOS NTFS

•PUBLICACIÓN DE DIRECTORIOS: Para añadir un directorio a AD, primero tenemos

que crear ese directorio o carpeta en el explorador de Windows o en Mi PC y

protegerlo utilizando las fichas de Seguridad y Compartir del cuadro de

diálogo de propiedades de esa carpeta. Esta protección debe incluir tanto la

seguridad a nivel del recurso compartido como de los permisos NTFS asociados a

ese directorio y a todos los archivos y subdirectorios que pueda contener.

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Los permisos compartidos se aplican a toda la carpeta y no a archivos concretos. Tanto los volúmenes NTFS como los FAT

requieren que los permisos de carpetas compartidas se definan para que los

usuarios de la red tengan acceso. Los volúmenes FAT no necesitan

autentificación de usuario local, aunque los permisos compartidos proporcionan

seguridad a los usuarios remotos. Sólo los volúmenes NTFS pueden aplicar permisos

de archivo a los objetos de una carpeta compartida

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•REGLAS A TENER EN CUENTA

–El permiso efectivo es una acumulación de los derechos individuales del usuario y de

los que obtiene como miembro de un grupo.

–Los permisos denegados siempre anulan los permisos otorgados correspondientes

–Una copia de una carpeta compartida no conserva su estado de compartida.

–El estado de carpeta compartida se cancela al mover la carpeta.

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Pondremos el

nombre del recurso

compartido.

•Configurar el

máximo de

usuarios que

pueden acceder a

la vez a este

recurso.

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Permisos,

deberemos

configurar quien

tiene acceso a

este directorio y

con que permiso.

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•El primer paso para

tener una buena

seguridad, es

impedir que todos

los usuarios tengan

acceso a esta

carpeta

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Después añadimos a los usuarios,

administradores y grupos que tengan que tener acceso a

este directorio, haciendo clic sobre

Agregar.

•Ubicación, es el

dominio donde está

ubicado el usuario

o grupo

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

En esta ventana escribiremos el

nombre exacto del usuario,

administrador, que vamos a añadir. De

no saberlo exactamente

pulsaremos Avanzadas

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•En esta ventana, al

lado de “empieza

con”, introducimos

el nombre y debajo

nos dará los

resultados, ahora

seleccionamos el

nombre correcto y

damos a aceptar

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Volveremos a la

pantalla anterior

con el nombre

seleccionado,

pulsamos en

aceptar.

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Y volvemos a la

pantalla anterior

donde

seleccionamos los

permisos que tiene

este usuario

PUBLICAR ELEMENTOS

EN EL DIRECTORIO

•Siempre añadimos a los administradores

con control total.

•La diferencia de control total, es que ofrece la posibilidad

de obtener la propiedad y

modificar permisos

PRACTICA

•Crear un recurso compartido, para

cada grupo de trabajo existente y

dentro de este contenedor de

información, un recurso compartido

para cada usuario.

•También deberemos de crear un

recurso compartido para el perfil móvil

y otro para el perfil obligatorio

FACILITACIÓN DEL

ACCESO COMPARTIDO

•Asignación de un dispositivo de red a una carpeta compartida. La

asignación de una unidad de red hace que una carpeta compartida remota

esté disponible para el equipo por medio del Explorador de Windows o

de Mi PC de forma que la carpeta compartida remota parece en todos

los sentidos local

FACILITACIÓN DEL

ACCESO COMPARTIDO

•En Mi PC. botón

derecho

seleccionar

Herramientas>

Conectar a unidad

de red

FACILITACIÓN DEL

ACCESO COMPARTIDO

•Seleccionamos la

letra de la unidad

asociada a la carpeta

compartida remota.

•Clic en Examinar y

buscamos la carpeta

compartida que

deseamos.

FACILITACIÓN DEL

ACCESO COMPARTIDO

•Podremos acceder a

la nueva carpeta

compartida desde Mi

PC como letra de

unidad

FACILITACIÓN DEL

ACCESO COMPARTIDO

•Vinculo de Mis sitios de red a una carpeta compartida. Mis sitios de red,

también puede proporcionar una carpeta compartida. Para utilizarla, vamos a realizar

los siguientes pasos:

–En Mis sitios de red, buscamos el equipo que contenga la carpeta compartida. Si

tenemos dificultades en conectar a dicho equipo, hacemos clic en Buscar e

introducimos el nombre del equipo. Por ultimo hacemos clic en Búsqueda

FACILITACIÓN DEL

ACCESO COMPARTIDO

•Botón derecho

crear acceso

directo a la carpeta

FACILITACIÓN DEL

ACCESO COMPARTIDO

–Introducimos el

nombre del

servidor con la

ruta de acceso a

la carpeta

compartida

siguiendo esta

estructura

\\nombreservidor\

carpetacompartid

a.

SEGURIDAD: NIVELES

DE PERMISO

•Se pueden combinar seis tipos de permisos con diferentes resultados:

lectura, escritura, ejecución, mostrar contenido de la carpeta, modificar y

control total.

•El nivel de permiso de control total se le otorgar automáticamente al creador

o propietario del objeto y al grupo de administradores.

NIVELES DE PERMISO

w Escribir Capacidad de crear o

escribir archivos y carpetas

R Leer Capacidad de leer el

archivo y el contenido de la

carpeta

M Modificar Capacidad de eliminar,

escribir, leer y ejecutar

NIVELES DE PERMISO

RX Lectura y

ejecución

Leer los atributos de

archivo y carpeta ver

el contenido de la

carpeta y leer

archivos de la

carpeta

L Mostrar el

contenido de la

carpeta

Igual que lectura y

ejecución, pero no

heredan los archivos

de la carpeta

NIVELES DE PERMISO

F Control

total

Proporciona la capacidad de

realizar cualquier acción,

incluyendo obtener calidad de

propietario y cambiar los

permisos. Cuando se aplica

una carpeta, el usuario o

grupo puede eliminar

subcarpetas y archivos de una

carpeta

SEGURIDAD

SEGURIDAD

•Para agregar un

nuevo grupo o

usuario, haremos

clic en agregar

SEGURIDAD

•Añadimos usuarios

o grupos

exactamente igual

que en permisos

de compartir

PERMISOS EFECTIVOS

•Haciendo clic en

Opciones

avanzadas,

accedemos a los

Permisos efectivos

PERMISOS EFECTIVOS

•Los permisos NTFS

estándar que

acabamos de ver

proporcionan un

control general del

acceso de lo usuario y

de grupo.

PERMISOS EFECTIVOS

•Sin embargo, en

algunas ocasiones

necesitaremos una

mayor grado de

granularidad, en cuyo

caso utilizaremos los

Permisos efectivos

NTFS (permisos

especiales). Existen 13

Permisos Efectivos.

HERENCIA DE

PERMISOS

•Todas las carpetas y subcarpetas

heredan los permisos de su carpeta

principal por defecto. Lo mismo pasa en

el caso de los archivos de una carpeta.

En otras palabras, una carpeta con

permisos de lectura y escritura para el

grupo de usuarios transmite estas

características a sus subcarpetas y

archivos a menos que se cambie.

HERENCIA DE

PERMISOS

•Se pueden anular la herencia de los

permisos NTFS en la carpeta

secundaria o al nivel de archivo

desactivando la opción de Permitir

que los permisos heredables del

primario se propaguen a este

objeto y a todos los objetos

secundarios.

HERENCIA DE

PERMISOS

HERENCIA DE

PERMISOS

•Una vez impedida la herencia de

permisos, se pueden asignar los permisos al

objeto.

HERENCIA DE

PERMISOS

•Vamos a ver un

ejemplo. Vamos a

crear una carpeta

dentro de la carpeta

nueva carpeta.

•Y miramos los

permisos en la ficha

de seguridad.

HERENCIA DE

PERMISOS

•Vemos que son

exactamente los

mismos.

•Vamos a opciones

avanzadas.

HERENCIA DE

PERMISOS

•Desactivamos los permisos

heredables y nos sale la siguiente

ventana.

HERENCIA DE

PERMISOS

•En esta venta elegiremos entre, Copiar o eliminar

los permisos heredables, o en

cancelar para abortar la

operación de bloqueo de la

herencia

MOVIMIENTO Y COPIA DE

LOS ARCHIVOS Y

PERMISOS DE CARPETA

•En la copia de archivos y carpetas no

se conservan los permisos puesto

que es un objeto nuevo.

•El movimiento de carpetas o archivos

dentro del mismo volumen NTFS no

se considera un objeto nuevo,

conservando sus permisos.

PROPIEDAD

•Cada archivo o carpeta tiene

permisos además de un propietario.

El propietario tiene el control total del

objeto independientemente de los

permisos que pueda tener asignados.

Cualquiera con control total puede

asignar el permiso NTFS especial de

obtención de propiedad a otro.