Archivos Mensuales: mayo 2012

Curso Virtualización Presencial en ASTURIAS

Hola a todos, os avisamos para aquellos que tengan pensado hacer algun curso de verano y esten pensando en  virtualización , sobre un curso que se va impartir en Asturias:

Os dejamos el enlace.

Curso Presencial Virtualización

Anuncios

Jornada Cisco Networking Academy 2012

CMD Sistemas estuvo en el evento, enterándonos un poco del futuro que depara a los nuevos estudiantes y próximos profesionales de Cisco.

El evento se pudo catalogar de bueno y resolutivo en cuanto a dudas y explicación, el trato hacia los asistentes fue bueno y coordial. Las ponencias fueron tres, una por parte de Elena la responsable, con alegria y dinamismo, bastante concreta y explicativa, no dejando lugar a ninguna duda.

Sepués mediante conexión Webex fue el turno de Jose Esquivel, al que ya estoy acostumbrado a ver en los primeros Webcast en castellano en los nuevos foros,  con cambio de look en cada webcast, a veces con bigote a lo chicano, a veces sin bigote, otras con perilla, otras sin ella, unas con gafas otras sin gafas , pero en general bastante bien sobre todo pensando a que hora se tuvo que levantar, menudo madrugon eh José ??, pensar que esta en la otra parte del mundo, aunque no creo que tenga el Spanish salario o también conocido (S.D.M.)

La conexión se hizo mediante productos CISCO y poco más se puede decir al respecto, imposible que la conexión fuera deficiente, una maravilla.

El tercero fue realizado por el director de Sistemas en España, concretamente la conexión se hacia hacia contra Barcelona, esta tercera a mi parecer no era necesaria, se salia un poco del temario a tratar pero fue muy interesante ya que abordaba nuevos aspectos tecnológicos de CISCO, como crítica esos productos se podrán vender a empresas como el BBVA, BSCH o Iberdrola  pero no a gruas perico el de los palotes, es decir no al medio empresario para el que trabajamos la mayoría, pero como decía dio gusto escucharlo, más que por su acento que era simpático 🙂 por lo bien que explico y el control que tenía de la tecnología (pilotaba).

Por resumirlo para los estudiantes que estáis viendo esto, no va  haber más cursos 100% online , así que si los veís olvidaros de que sean oficiales o sean validos, no veremos cambios en la documentación hasta el 2013 en la que se incluira MPLS, banda ancha, IP V6 y puede que entonces tengamos una nueva sorptesa que será un nuevo curso en la plataforma, por fin el CURSO DE VOZ IPPPPP suena a película de miedo, pero a ver si un día podemos gritar por finnnnnnnnnnnnnnnnnn !!!!

Por la parte que a nosotros o a un servidor nos toca, seguiremos luchando sanamente contra CISCO en la parte de las prácticas, a ver si un día conseguimos que tengáis prácticas de empresas y obliguen a los que son partner como mínimo a tener en sus filas algún estudiante, aunque sea sin renumeración …, vamos sin pagar un chapo como se suele decir 😉 pero por lo menos serán unas buenas prácticas para los que acaben los cursos y quien sabe después, de nada nos sirve lo que hay ahora de un trabajo en por ejemplo BRASILLLLL, aunque yo me iría ahora mismo sin pensarlo, vendita crisis eres entre todas las … bueno dejemos el tema.

Vimos el evento como muy organizado, muy positivo y bueno en general, dando a entender la buena organizacion de cisco e interpretación hacia su plan de estudios. La parte negativa la pusieron las academias, de un total de mas de 380 por toda España, solo estabamos allí unas 50 personas y no cada uno era de una distinta, lo que da mucho que pensar sobre algunas de ellas.

Por mecionar algunas buenas academias estaban , Academia Postal, Academia Lugones, Inadeco S.L., La representación de la Univesidad de Galicia de Telecomunicaciones …

Dejamos una foto del evento, no tapamos ningún rostro gracias al que el móvil hace unas fotos de maravilla, no creemos que haga falta y bueno la foto esta hecha de espaldas, bueno de espaldas los demás, que … ahí queda la foto:

http://www.netacadevents.com/europe/event/46/jornada-cisco-networking-academy-2012/

 

Entender permisos NTFS de Windows – 5

Cambiar la propiedad de los archivos y carpetas

Cuando un usuario crea un archivo o una carpeta de Windows 2003 o 2008 asigna automáticamente permisos de control total para el creador / propietario. Esto permite al usuario asignar permisos a otros usuarios de los archivos que él o ella crea. Esto significa que además de las ACL, archivos y carpetas deben incluir información acerca de quién es el propietario del archivo. Por defecto, es la cuenta que crea el archivo o la carpeta o el grupo Administradores.
Por diversas razones puede ser que necesitamos cambiar la propiedad de un archivo o carpeta. Por ejemplo, si un usuario deja la empresa, la propiedad de los archivos de sus carpetas pueden necesitar ser transferidos a otros usuarios.

Podemos tomar posesión de un archivo mediante la sustitución del propietario con nuestra propia cuenta o con una del grupo del que somos miembro.

Debemos tener control total o permisos especiales de tomar posesión para poder tomar posesión de un archivo o carpeta.(valga la redundancia)

Los usuarios que tiene el privilegio restaurar archivos y directorios pueden asignar la propiedad a cualquier usuario o grupo.

Si nos fijamos en la ventana veremos que es del 2003 en vez del 2008 pero es lo mismo, no tenia ganas de hacer una captura y arrancar una VMachine 🙂 y la saque de las imagenes de google que para algo están lol

Mover y copiar ficheros protegidos

Cuando se copia un fichero o archivo protegido a una carpeta en un volumen diferente o en el mismo, hereda los permisos de la carpeta de destino. Al mover un archivo protegido a otro volumen NTFS, el archivo hereda los permisos de la carpeta de destino. Un movimiento entre los volúmenes se considera realmente una copia, el archivo de origen se elimina después de que se copia en el volumen de destino.

Sin embargo, al mover un archivo protegido a una ubicación diferente en el mismo volumen, el archivo conserva su permiso. Cuando los datos se mueven dentro del mismo volumen, los datos no se trasladan, simplemente se cambia el puntero y por eso se conservan las ACL.

 

COMPARTIR CARPETAS:

Una carpeta compartida es una carpeta o volumen entero que se publica en la red y se puede acceder de forma remota por otros usuarios. La carpeta compartida se puede utilizar como si se tratara de una carpeta local, para almacenar datos, e incluso para ejecutar aplicaciones desde la red. Los miembros del grupo built-in group Administrators, Server Operators and Power Users (usuarios avanzados) pueden compartir carpetas. Por lo menos se necesitan permisos (OJO!!!) NTFS de lectura para poder acceder a una carpeta local, independientemente de los permisos del recurso compartido que le demos.

Los métodos más comunes para la creación de carpetas compartidas no lo describo en este artículo ya que damos por sentado que no es motivo del artículo, ya debéis saber que se puede hacer por interface gráfico de dos maneras y por línea de comandos.

Podéis ver e investigar algunos de los recursos compartidos ocultos que hay por defecto en vuestro equipo, usando la consola de administración de equipos y ahí en carpetas compartidas.

Finalizamos ya con esto los permisos de seguridad de NTFS.

Os dejamos unos enlaces a technet para algunas dudas que os puedan aparecer al trabajar con seguridad, o que sucede  Cuando la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor está desactivada o Cuando la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor está activada

http://technet.microsoft.com/es-es/library/cc776140%28v=ws.10%29.aspx

http://technet.microsoft.com/es-es/library/cc771309.aspx

Entender permisos NTFS de Windows – 4

Permitir contra Denegar permisos

Al establecer los permisos, es necesario especificar si la entrada debe tener acceso (Permitir) o no (deny) al recurso. La autoridad de seguridad local (LSASS) controla el acceso al recurso, basado en el identificador de seguridad (SID) que se coloca en la ACL y el SID colocado en el token de seguridad que se le da al usuario al iniciar sesión.

Si el SID asociado con el usuario se encuentra en la ACL, el LSASS debe determinar si el acceso está configurado para permitir o denegar. El permitir y denegar permisos posteriormente se heredan a través de la estructura como se describe anteriormente en la sección sobre la herencia.

Recibirás las advertencias desde el editor de ACL cuando creas entradas denegadas, como se muestra en la Figura4:

Figura 4: Denegar las entradas de la ACL hacen que el sistema nos muestre una advertencia sobre el acceso limitado que estamos proporcionando.

No es común configurar recursos con permisos Denegados, debido a la naturaleza de cómo se evalúan los permisos. Es más común de excluir al usuario o grupo de la ACL en lugar de configurar que tengan permisos Denegados explícitos. El hecho de que el SID del usuario o el grupo no esté en la ACL tendrá el mismo resultado de “Sin acceso” al recurso.

En el raro caso de que a un usuario o grupo se le deba denegar el acceso de forma explícita, nosotros deberemos configurar los permisos de denegación. Denegar acceso a los recursos mediante una ACL, por omisión es más fácil de solucionar, gestionar y configurar.

Permiso de precedencia

Oigo todo el tiempo de los administradores de red, profesores o estudiantes (incluso el cuadro de diálogo en la Figura 4) que denegar los permisos tienen prioridad sobre los permisos, yo mismo lo digo por regla general, pero desafortunadamente no es siempre así.

Para probar lo que digo, echemos un vistazo a un escenario que podéis realizar a la ver que lees estas líneas.

En nuestro escenario, vamos a ver una carpeta C:\Datos\HR, que contiene los archivos públicos y privados. Hemos permitido que el directorio C:\Datos\HR herede los permisos de C:\Datos, que incluye sólo permisos básicos de la carpeta raíz. También hemos incluido el grupo de HR en la ACL, dándole al grupo permisos Permitir Leer y ejecutar. La última entrada en la ACL explícita es para el grupo no_HR, que se da Denegar Control total.

Por debajo de la carpeta de recursos humanos colocamos dos archivos: Public.doc y Private.doc. El permiso de la carpeta pública sólo permite permisos normales de herencia, así que no hay permisos especiales añadidos a la ACL. Sin embargo, el archivo privado tiene algunos permisos explícitos agregados a la ACL. Desde el grupo executives debe ser capaces de leer el contenido de la carpeta privada, este grupo se le añaden permisos explícitos de permitir lectura y ejecución. El resultado de esta configuración se muestra en la Figura 5, muestra claramente que permitir (allow) para el grupo ejecutivo tiene una prioridad más alta que el permiso Denegar asociado con el grupo de non-HR. Dado que todos los ejecutivos se incluye en ambos grupos, se puede ver que aquí un caso en el que los permisos de ALLOW tienen prioridad sobre los permisos de DENY. Os recuerdo que estas ACL como en cisco se hacen de arriba abajo.

Figura 5: Los permisos Permitir pueden tener prioridad sobre los permisos de denegación.

El escenario demuestra que hay una jerarquía de permisos NTFS para los recursos 5.0. La jerarquía de precedencia de los permisos se pueden resumir de la siguiente manera, con los permisos de nivel superior de prioridad que figuran en la parte superior de la lista:

Denegar explícitos
Permitir explícitos
Denegar heredados
Permitir heredados

 

Effective Permissions, permisos efectivos

En la ficha Permisos efectivos de la configuración de seguridad avanzada para un archivo o carpeta, puede seleccionar un usuario o grupo y ver los permisos efectivos. Estos son los resultados de los permisos asignados directamente al archivo o carpeta y los permisos heredados de las carpetas principales.

Como habíamos comentado en post anteriores los permisos van sumándose.

Entender permisos NTFS de Windows – 3

Permisos avanzados (ver antes los anteriores post)
Permisos avanzados, son los mismos permisos pero más detallados y vienen agrupados o seguidos para crear un permiso estándar de los que vimos en la pantalla anterior figura 1.

Dado que los permisos avanzados se utilizan en combinación para crear los permisos por defecto, hay más cantidad. Esta sería la lista para un archivo:
Control total
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / Escribir datos
Crear carpetas / Anexar datos
Escribir atributos
Escribir atributos extendidos
Borrar
Permisos de lectura
Cambiar permisos
Toma de posesión o hacerse propietario
Por ejemplo, los permisos específicos avanzados que se utilizan para crear el permiso estándar de Lectura son:
Listar carpeta / Leer datos
Leer atributos
Leer atributos extendidos
Permisos de lectura
Al evaluar los permisos avanzados para una carpeta, son idénticos a los de un archivo. Sin embargo, cuando se investigan los permisos avanzados de una impresora o claves del registro, son completamente diferentes.
A primera vista se calculan más de 10.000 permisos individuales avanzadas que se pueden establecer dentro de una unidad organizativa variando los objetos que contiene dentro, dejo una vista parcial en la figura 2.

Figura de arriba. Permisos avanzados para una unidad organizativa en el Active Directory

Herencia contra Permisos explícitos o si fuera esto el Street Figther sería Herencia VS Permisos.

Hay dos variaciones de los permisos que se pueden ver por una sola entrada de un usuario, equipo o grupo que figuran en la lista de las listas (valga la redundancia) de control de acceso (ACL).
Si nos fijamos en la unidad raíz, C:, podemos agregar o modificar los permisos para cualquier entrada en una ACL. Si creamos una nueva carpeta en el raíz C: por ejemplo una nueva carpeta llamada datos (C: \ Datos), no seremos capaces de modificar los permisos para las entradas existentes. Se debe a que los permisos de C: son heredados hacia abajo o en la cadena a todas las subcarpetas y archivos de forma automática. Si no desea que los permisos de C: sean heredados a la carpeta C: \ Datos, pero aún así queremos que hereden hasta otras subcarpetas debajo de C:, debemos configurar el directorio C:\Datos para detener la herencia mediante la eliminación del check box “Heredar del objeto principal las entradas de permisos que se aplican a los objetos hijo”” stop inheriting by removing the check from the “Inherit from parent the permission entries that apply to child objects”. Como aconseje en clase eso no lo haría, ya que se nos puede volver todo en una casa de neones …, lo mejor es hacer grupos o OU y denegar aquello que no queramos que tengan permisos, puesto que la denegación prevalece sobre el permitir, al tener ordenadas las OU en el AD o las carpetas en este caso se supone que poco vamos a tener que variar esos permisos.
Figura 3


Figura 3: Podemos controlar los permisos heredados en cualquier carpeta o archivo
En cualquier nivel dentro de la estructura de recursos, siempre se puede añadir nuevas entradas a la ACL. Estas entradas, que son específicas para un recurso, se denominan permisos explícitos, ya que se configuran directamente en el recurso.
Si la herencia por defecto está habilitada para las subcarpetas y archivos, estos permisos explícitos heredarán hacia abajo, hacia los recursos posteriores, como los permisos originales hicieron de C: \ hasta C: \ Data. Es fácil notar la diferencia entre permisos heredados y permisos explícitos por la marca del check box de la figura 3 para la entrada que tengamos seleccionada en el caso de la imagen los administradores. Si el cheque no está marcado de color gris, los permisos son explícitos.

Entender permisos NTFS de Windows – 2

Dejamos algunos ejemplos:

Permisos usuario Grupo ventas Grupo administradores Permisos NTFS que se van usar
Miguel Full Control Read Modify Full Control
Laura Read Write Read Write
Borja Write Modify Read & Execute Modify
Alicia Read Read Full Control Full Control

A una carpeta o a un fichero podemos darle permisos de leer, escribir y modificar, pero Full Control (control total) en una carpeta lo que hace es que podamos borrar ficheros y subdirectorios de la carpeta principal.

Veamos la equivalencia entre permisos básicos y avanzados:
En la siguiente tabla se muestran las limitaciones de acceso para cada conjunto de permisos NTFS especiales.

 

Permisos especiales

Control total

Modificar

Leer y ejecutar

Mostrar el contenido de
la carpeta (sólo en carpetas)

Lectura

Escritura

Recorrer carpeta / Ejecutar archivo

x

x

x

x

Listar carpeta / Leer datos

x

x

x

x

x

Atributos de lectura

x

x

x

x

x

Atributos extendidos de lectura

x

x

x

x

x

Crear archivos / Escribir datos

x

x

x

Crear carpetas / Anexar datos

x

x

x

Atributos de escritura

x

x

x

Atributos extendidos de escritura

x

x

x

Eliminar subcarpetas y archivos

x

Eliminar

x

x

Permisos de lectura

x

x

x

x

x

x

Cambiar permisos

x

Tomar posesión

x

Sincronizar

x

x

x

x

x

x

Importante
Los grupos o usuarios a los que se otorgó el permiso Control total en una carpeta pueden eliminar cualquier archivo de esa carpeta independientemente de los permisos que protejan a ese archivo.

Ejemplo: Atributo extendidos de lectura:
Consideraciones adicionales
• Aunque los permisos Mostrar el contenido de la carpeta y Leer y ejecutar parecen tener los mismos permisos especiales, se heredan de forma diferente. El permiso Mostrar contenido de carpeta lo heredan las carpetas y no lo heredan los archivos, y debería aparecer sólo cuando se ven los permisos de carpeta. El permiso Leer y ejecutar lo heredan los archivos y las carpetas, y siempre está presente cuando se ven los permisos de archivo o carpeta.

A continuación os pego texto de la fuente http://support.microsoft.com/kb/308419/es

Recorrer carpeta o ejecutar archivo

Para carpetas: el permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas recorridas (sólo se aplica a carpetas). Recorrer carpeta sólo surte efecto cuando al grupo o al usuario no se le ha concedido el permiso Omitir comprobación de recorrido, que comprueba los derechos de usuario en el complemento Directiva de grupo. De manera predeterminada se concede al grupo Todos el derecho de usuario Omitir comprobación de recorrido.

Para archivos: el permiso Ejecutar archivos permite o deniega los archivos de programa que hay en ejecución (sólo se aplica a archivos).

Al configurar el permiso Recorrer carpeta en una carpeta no se configura automáticamente el permiso Ejecutar archivo en todos los archivos de dicha carpeta.

Listar carpeta / Leer datos

El permiso Listar carpeta permite o impide que el usuario vea los nombres de archivo y de subcarpeta en la carpeta. El permiso Listar carpeta sólo afecta al contenido de dicha carpeta, no a si se muestra o no el contenido de la carpeta para la que está configurando el permiso. Esto se aplica sólo a carpetas.

El permiso Leer datos permite o impide ver datos de archivos (sólo se aplica a archivos).

Atributos de lectura

El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS.

Atributos extendidos de lectura

El permiso Atributos extendidos de lectura permite o impide que el usuario vea los atributos extendidos de un archivo o de una carpeta. Los atributos extendidos están definidos por los programas y pueden variar de uno a otro.

Crear archivos / Escribir datos

El permiso Crear archivos permite o impide al usuario crear archivos en la carpeta (se aplica sólo a carpetas).

El permiso Escribir datos permite o impide que el usuario haga cambios en el archivo y sobrescriba contenido existente (se aplica sólo a archivos).

Crear carpetas / Anexar datos

El permiso Crear carpetas permite o impide al usuario crear carpetas en la carpeta (se aplica sólo a carpetas).

El permiso Anexar datos permite o impide que el usuario haga cambios en el final del archivo pero que no cambie, elimine ni sobrescriba datos existentes (se aplica sólo a archivos).

Atributos de escritura

El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS.

El permiso Atributos de escritura no implica la creación o eliminación de archivos o carpetas; sólo incluye el permiso para hacer cambios en los atributos de un archivo o de una carpeta. Para permitir o denegar operaciones de creación o eliminación, consulte Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar.

Atributos extendidos de escritura

El permiso Atributos extendidos de escritura permite o impide que el usuario cambie los atributos extendidos de un archivo o de una carpeta. Los atributos extendidos están definidos por los programas y pueden variar de uno a otro.

El permiso Atributos extendidos de escritura no implica que el usuario pueda crear o eliminar archivos o carpetas; sólo incluye el permiso para hacer cambios en los atributos de un archivo o de una carpeta. Para permitir o denegar operaciones de creación o eliminación, consulte las secciones Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar de este artículo.

Eliminar subcarpetas y archivos

El permiso Eliminar subcarpetas y archivos permite o impide que el usuario elimine subcarpetas y archivos, incluso aunque no se haya concedido el permiso Eliminar para la subcarpeta o el archivo. Este permiso se aplica sólo a las carpetas.

Eliminar

El permiso Eliminar permite o impide que el usuario elimine el archivo o la carpeta. Si no tiene el permiso Eliminar para un archivo o una carpeta, puede eliminarlo si se le han concedido los permisos Eliminar subcarpetas y archivos en la carpeta principal.

Leer permisos

El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la carpeta, como Control total, Leer y Escribir.

Cambiar permisos

El permiso Cambiar permisos permite o impide que el usuario cambie permisos del archivo o de la carpeta, como Control total, Leer y Escribir.

Tomar posesión

El permiso Tomar posesión permite o impide que el usuario tome posesión del archivo o de la carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos correspondientes, cualesquiera que sean los permisos existentes que protegen el archivo o la carpeta.

Sincronizar

El permiso Sincronizar permite o impide que distintos subprocesos esperen en el controlador del archivo o de la carpeta y se sincronicen con otro subproceso que pueda señalarlos. Este permiso se aplica únicamente a programas multiproceso de múltiples subprocesos.

Entender permisos NTFS de Windows – 1

Los permisos NTFS están disponibles en archivos, carpetas, claves de registro, impresoras y como consecuencias en todos los objeto de Active Directory.
Cada fichero o carpeta en un volumen NTFS contiene listas de control de acceso, Access Control List (ACL). Estas listas contienen entradas para grupos, cuentas de usuario individuales mapeadas todas ellas con sus correspondientes permisos.

Permisos por defecto.
Los permisos por defecto o estándar son los permisos que controlan una amplia gama de permisos, abarcando los detallados que podríamos hacer en más detalle.
El permiso estándar más popular y famoso es control total, este premiso debería ser usado para muy pocas personas. Control total permite a un usuario hacer prácticamente cualquier cosa, los permisos siempre están asociados al objeto al que se lo concedemos. Los otros permisos estándar incluyen los siguientes:
Archivos:
Modificar
Leer y ejecutar
Leer
Escribir

Las carpetas tienen los mismos permisos estándares que los archivos, excepto uno especial: listar el contenido de una carpeta.
Cuando miramos las claves del registro, impresoras y los objetos del Active Directory, los permisos para estos objetos son diferentes. En la ficha de seguridad de cada objeto, aparece una lista de los permisos por defecto, como se muestra en la Figura 1 para una unidad típica de organización (OU) en Active Directory.


Figura 1: permisos por defecto para una unidad organizativa en el Active Directory.

A partir de Windows 2003 al grupo de administradores y al del sistema se le asigna Full Control o control total que se heredando a las carpetas y ficheros de niveles inferiores al raíz. A los usuario de un grupo se les asigna leer y ejecutar, listar el contenido de carpetas y lectura. Los usuarios que quieran escribir o modificar necesitaran permisos adicionales.
La lista de permisos de NTFS tiene dos columnas, una dice permitir (Allow) y la otra denegar (Deny). Denegar se usa en algunos casos especiales, lo más normal es usarlo (típico ejemplo) cuando tienes por ejemplo un grupo de ventas y quieres denegar el permiso a alguien en particular de ese grupo.

Los permisos se dice que son acumulativos, es decir el de más poder es el que vale. Por ejemplo, Miguel es miembro del grupo de administradores, pero también lo es de ventas, en administradores tiene allowed Modify para la carpeta de ReporteDeVentas y en el de ventas tiene allowed Read. Por lo tanto Miguel puede Modificar.