Archivo del sitio
Entender permisos NTFS de Windows – 5
Cambiar la propiedad de los archivos y carpetas
Cuando un usuario crea un archivo o una carpeta de Windows 2003 o 2008 asigna automáticamente permisos de control total para el creador / propietario. Esto permite al usuario asignar permisos a otros usuarios de los archivos que él o ella crea. Esto significa que además de las ACL, archivos y carpetas deben incluir información acerca de quién es el propietario del archivo. Por defecto, es la cuenta que crea el archivo o la carpeta o el grupo Administradores.
Por diversas razones puede ser que necesitamos cambiar la propiedad de un archivo o carpeta. Por ejemplo, si un usuario deja la empresa, la propiedad de los archivos de sus carpetas pueden necesitar ser transferidos a otros usuarios.
Podemos tomar posesión de un archivo mediante la sustitución del propietario con nuestra propia cuenta o con una del grupo del que somos miembro.
Debemos tener control total o permisos especiales de tomar posesión para poder tomar posesión de un archivo o carpeta.(valga la redundancia)
Los usuarios que tiene el privilegio restaurar archivos y directorios pueden asignar la propiedad a cualquier usuario o grupo.
Si nos fijamos en la ventana veremos que es del 2003 en vez del 2008 pero es lo mismo, no tenia ganas de hacer una captura y arrancar una VMachine 🙂 y la saque de las imagenes de google que para algo están lol
Mover y copiar ficheros protegidos
Cuando se copia un fichero o archivo protegido a una carpeta en un volumen diferente o en el mismo, hereda los permisos de la carpeta de destino. Al mover un archivo protegido a otro volumen NTFS, el archivo hereda los permisos de la carpeta de destino. Un movimiento entre los volúmenes se considera realmente una copia, el archivo de origen se elimina después de que se copia en el volumen de destino.
Sin embargo, al mover un archivo protegido a una ubicación diferente en el mismo volumen, el archivo conserva su permiso. Cuando los datos se mueven dentro del mismo volumen, los datos no se trasladan, simplemente se cambia el puntero y por eso se conservan las ACL.
COMPARTIR CARPETAS:
Una carpeta compartida es una carpeta o volumen entero que se publica en la red y se puede acceder de forma remota por otros usuarios. La carpeta compartida se puede utilizar como si se tratara de una carpeta local, para almacenar datos, e incluso para ejecutar aplicaciones desde la red. Los miembros del grupo built-in group Administrators, Server Operators and Power Users (usuarios avanzados) pueden compartir carpetas. Por lo menos se necesitan permisos (OJO!!!) NTFS de lectura para poder acceder a una carpeta local, independientemente de los permisos del recurso compartido que le demos.
Los métodos más comunes para la creación de carpetas compartidas no lo describo en este artículo ya que damos por sentado que no es motivo del artículo, ya debéis saber que se puede hacer por interface gráfico de dos maneras y por línea de comandos.
Podéis ver e investigar algunos de los recursos compartidos ocultos que hay por defecto en vuestro equipo, usando la consola de administración de equipos y ahí en carpetas compartidas.
Finalizamos ya con esto los permisos de seguridad de NTFS.
Os dejamos unos enlaces a technet para algunas dudas que os puedan aparecer al trabajar con seguridad, o que sucede Cuando la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor está desactivada o Cuando la casilla de verificación Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor está activada
http://technet.microsoft.com/es-es/library/cc776140%28v=ws.10%29.aspx
Entender permisos NTFS de Windows – 4
Permitir contra Denegar permisos
Al establecer los permisos, es necesario especificar si la entrada debe tener acceso (Permitir) o no (deny) al recurso. La autoridad de seguridad local (LSASS) controla el acceso al recurso, basado en el identificador de seguridad (SID) que se coloca en la ACL y el SID colocado en el token de seguridad que se le da al usuario al iniciar sesión.
Si el SID asociado con el usuario se encuentra en la ACL, el LSASS debe determinar si el acceso está configurado para permitir o denegar. El permitir y denegar permisos posteriormente se heredan a través de la estructura como se describe anteriormente en la sección sobre la herencia.
Recibirás las advertencias desde el editor de ACL cuando creas entradas denegadas, como se muestra en la Figura4:
Figura 4: Denegar las entradas de la ACL hacen que el sistema nos muestre una advertencia sobre el acceso limitado que estamos proporcionando.
No es común configurar recursos con permisos Denegados, debido a la naturaleza de cómo se evalúan los permisos. Es más común de excluir al usuario o grupo de la ACL en lugar de configurar que tengan permisos Denegados explícitos. El hecho de que el SID del usuario o el grupo no esté en la ACL tendrá el mismo resultado de «Sin acceso» al recurso.
En el raro caso de que a un usuario o grupo se le deba denegar el acceso de forma explícita, nosotros deberemos configurar los permisos de denegación. Denegar acceso a los recursos mediante una ACL, por omisión es más fácil de solucionar, gestionar y configurar.
Permiso de precedencia
Oigo todo el tiempo de los administradores de red, profesores o estudiantes (incluso el cuadro de diálogo en la Figura 4) que denegar los permisos tienen prioridad sobre los permisos, yo mismo lo digo por regla general, pero desafortunadamente no es siempre así.
Para probar lo que digo, echemos un vistazo a un escenario que podéis realizar a la ver que lees estas líneas.
En nuestro escenario, vamos a ver una carpeta C:\Datos\HR, que contiene los archivos públicos y privados. Hemos permitido que el directorio C:\Datos\HR herede los permisos de C:\Datos, que incluye sólo permisos básicos de la carpeta raíz. También hemos incluido el grupo de HR en la ACL, dándole al grupo permisos Permitir Leer y ejecutar. La última entrada en la ACL explícita es para el grupo no_HR, que se da Denegar Control total.
Por debajo de la carpeta de recursos humanos colocamos dos archivos: Public.doc y Private.doc. El permiso de la carpeta pública sólo permite permisos normales de herencia, así que no hay permisos especiales añadidos a la ACL. Sin embargo, el archivo privado tiene algunos permisos explícitos agregados a la ACL. Desde el grupo executives debe ser capaces de leer el contenido de la carpeta privada, este grupo se le añaden permisos explícitos de permitir lectura y ejecución. El resultado de esta configuración se muestra en la Figura 5, muestra claramente que permitir (allow) para el grupo ejecutivo tiene una prioridad más alta que el permiso Denegar asociado con el grupo de non-HR. Dado que todos los ejecutivos se incluye en ambos grupos, se puede ver que aquí un caso en el que los permisos de ALLOW tienen prioridad sobre los permisos de DENY. Os recuerdo que estas ACL como en cisco se hacen de arriba abajo.
Figura 5: Los permisos Permitir pueden tener prioridad sobre los permisos de denegación.
El escenario demuestra que hay una jerarquía de permisos NTFS para los recursos 5.0. La jerarquía de precedencia de los permisos se pueden resumir de la siguiente manera, con los permisos de nivel superior de prioridad que figuran en la parte superior de la lista:
Denegar explícitos
Permitir explícitos
Denegar heredados
Permitir heredados
Effective Permissions, permisos efectivos
En la ficha Permisos efectivos de la configuración de seguridad avanzada para un archivo o carpeta, puede seleccionar un usuario o grupo y ver los permisos efectivos. Estos son los resultados de los permisos asignados directamente al archivo o carpeta y los permisos heredados de las carpetas principales.
Como habíamos comentado en post anteriores los permisos van sumándose.
Entender permisos NTFS de Windows – 3
Permisos avanzados (ver antes los anteriores post)
Permisos avanzados, son los mismos permisos pero más detallados y vienen agrupados o seguidos para crear un permiso estándar de los que vimos en la pantalla anterior figura 1.
Dado que los permisos avanzados se utilizan en combinación para crear los permisos por defecto, hay más cantidad. Esta sería la lista para un archivo:
Control total
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / Escribir datos
Crear carpetas / Anexar datos
Escribir atributos
Escribir atributos extendidos
Borrar
Permisos de lectura
Cambiar permisos
Toma de posesión o hacerse propietario
Por ejemplo, los permisos específicos avanzados que se utilizan para crear el permiso estándar de Lectura son:
Listar carpeta / Leer datos
Leer atributos
Leer atributos extendidos
Permisos de lectura
Al evaluar los permisos avanzados para una carpeta, son idénticos a los de un archivo. Sin embargo, cuando se investigan los permisos avanzados de una impresora o claves del registro, son completamente diferentes.
A primera vista se calculan más de 10.000 permisos individuales avanzadas que se pueden establecer dentro de una unidad organizativa variando los objetos que contiene dentro, dejo una vista parcial en la figura 2.
Figura de arriba. Permisos avanzados para una unidad organizativa en el Active Directory
Herencia contra Permisos explícitos o si fuera esto el Street Figther sería Herencia VS Permisos.
Hay dos variaciones de los permisos que se pueden ver por una sola entrada de un usuario, equipo o grupo que figuran en la lista de las listas (valga la redundancia) de control de acceso (ACL).
Si nos fijamos en la unidad raíz, C:, podemos agregar o modificar los permisos para cualquier entrada en una ACL. Si creamos una nueva carpeta en el raíz C: por ejemplo una nueva carpeta llamada datos (C: \ Datos), no seremos capaces de modificar los permisos para las entradas existentes. Se debe a que los permisos de C: son heredados hacia abajo o en la cadena a todas las subcarpetas y archivos de forma automática. Si no desea que los permisos de C: sean heredados a la carpeta C: \ Datos, pero aún así queremos que hereden hasta otras subcarpetas debajo de C:, debemos configurar el directorio C:\Datos para detener la herencia mediante la eliminación del check box «Heredar del objeto principal las entradas de permisos que se aplican a los objetos hijo”” stop inheriting by removing the check from the “Inherit from parent the permission entries that apply to child objects”. Como aconseje en clase eso no lo haría, ya que se nos puede volver todo en una casa de neones …, lo mejor es hacer grupos o OU y denegar aquello que no queramos que tengan permisos, puesto que la denegación prevalece sobre el permitir, al tener ordenadas las OU en el AD o las carpetas en este caso se supone que poco vamos a tener que variar esos permisos.
Figura 3
Figura 3: Podemos controlar los permisos heredados en cualquier carpeta o archivo
En cualquier nivel dentro de la estructura de recursos, siempre se puede añadir nuevas entradas a la ACL. Estas entradas, que son específicas para un recurso, se denominan permisos explícitos, ya que se configuran directamente en el recurso.
Si la herencia por defecto está habilitada para las subcarpetas y archivos, estos permisos explícitos heredarán hacia abajo, hacia los recursos posteriores, como los permisos originales hicieron de C: \ hasta C: \ Data. Es fácil notar la diferencia entre permisos heredados y permisos explícitos por la marca del check box de la figura 3 para la entrada que tengamos seleccionada en el caso de la imagen los administradores. Si el cheque no está marcado de color gris, los permisos son explícitos.
Entender permisos NTFS de Windows – 2
Dejamos algunos ejemplos:
| Permisos usuario | Grupo ventas | Grupo administradores | Permisos NTFS que se van usar | |
| Miguel | Full Control | Read | Modify | Full Control |
| Laura | Read | Write | Read | Write |
| Borja | Write | Modify | Read & Execute | Modify |
| Alicia | Read | Read | Full Control | Full Control |
A una carpeta o a un fichero podemos darle permisos de leer, escribir y modificar, pero Full Control (control total) en una carpeta lo que hace es que podamos borrar ficheros y subdirectorios de la carpeta principal.
Veamos la equivalencia entre permisos básicos y avanzados:
En la siguiente tabla se muestran las limitaciones de acceso para cada conjunto de permisos NTFS especiales.
|
Permisos especiales |
Control total |
Modificar |
Leer y ejecutar |
Mostrar el contenido de |
Lectura |
Escritura |
|
Recorrer carpeta / Ejecutar archivo |
x |
x |
x |
x |
||
|
Listar carpeta / Leer datos |
x |
x |
x |
x |
x |
|
|
Atributos de lectura |
x |
x |
x |
x |
x |
|
|
Atributos extendidos de lectura |
x |
x |
x |
x |
x |
|
|
Crear archivos / Escribir datos |
x |
x |
x |
|||
|
Crear carpetas / Anexar datos |
x |
x |
x |
|||
|
Atributos de escritura |
x |
x |
x |
|||
|
Atributos extendidos de escritura |
x |
x |
x |
|||
|
Eliminar subcarpetas y archivos |
x |
|||||
|
Eliminar |
x |
x |
||||
|
Permisos de lectura |
x |
x |
x |
x |
x |
x |
|
Cambiar permisos |
x |
|||||
|
Tomar posesión |
x |
|||||
|
Sincronizar |
x |
x |
x |
x |
x |
x |
Importante
Los grupos o usuarios a los que se otorgó el permiso Control total en una carpeta pueden eliminar cualquier archivo de esa carpeta independientemente de los permisos que protejan a ese archivo.
Ejemplo: Atributo extendidos de lectura:
Consideraciones adicionales
• Aunque los permisos Mostrar el contenido de la carpeta y Leer y ejecutar parecen tener los mismos permisos especiales, se heredan de forma diferente. El permiso Mostrar contenido de carpeta lo heredan las carpetas y no lo heredan los archivos, y debería aparecer sólo cuando se ven los permisos de carpeta. El permiso Leer y ejecutar lo heredan los archivos y las carpetas, y siempre está presente cuando se ven los permisos de archivo o carpeta.
A continuación os pego texto de la fuente http://support.microsoft.com/kb/308419/es
Recorrer carpeta o ejecutar archivo
Para carpetas: el permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas recorridas (sólo se aplica a carpetas). Recorrer carpeta sólo surte efecto cuando al grupo o al usuario no se le ha concedido el permiso Omitir comprobación de recorrido, que comprueba los derechos de usuario en el complemento Directiva de grupo. De manera predeterminada se concede al grupo Todos el derecho de usuario Omitir comprobación de recorrido.
Para archivos: el permiso Ejecutar archivos permite o deniega los archivos de programa que hay en ejecución (sólo se aplica a archivos).
Al configurar el permiso Recorrer carpeta en una carpeta no se configura automáticamente el permiso Ejecutar archivo en todos los archivos de dicha carpeta.
Listar carpeta / Leer datos
El permiso Listar carpeta permite o impide que el usuario vea los nombres de archivo y de subcarpeta en la carpeta. El permiso Listar carpeta sólo afecta al contenido de dicha carpeta, no a si se muestra o no el contenido de la carpeta para la que está configurando el permiso. Esto se aplica sólo a carpetas.
El permiso Leer datos permite o impide ver datos de archivos (sólo se aplica a archivos).
Atributos de lectura
El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS.
Atributos extendidos de lectura
El permiso Atributos extendidos de lectura permite o impide que el usuario vea los atributos extendidos de un archivo o de una carpeta. Los atributos extendidos están definidos por los programas y pueden variar de uno a otro.
Crear archivos / Escribir datos
El permiso Crear archivos permite o impide al usuario crear archivos en la carpeta (se aplica sólo a carpetas).
El permiso Escribir datos permite o impide que el usuario haga cambios en el archivo y sobrescriba contenido existente (se aplica sólo a archivos).
Crear carpetas / Anexar datos
El permiso Crear carpetas permite o impide al usuario crear carpetas en la carpeta (se aplica sólo a carpetas).
El permiso Anexar datos permite o impide que el usuario haga cambios en el final del archivo pero que no cambie, elimine ni sobrescriba datos existentes (se aplica sólo a archivos).
Atributos de escritura
El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos están definidos por el sistema de archivos NTFS.
El permiso Atributos de escritura no implica la creación o eliminación de archivos o carpetas; sólo incluye el permiso para hacer cambios en los atributos de un archivo o de una carpeta. Para permitir o denegar operaciones de creación o eliminación, consulte Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar.
Atributos extendidos de escritura
El permiso Atributos extendidos de escritura permite o impide que el usuario cambie los atributos extendidos de un archivo o de una carpeta. Los atributos extendidos están definidos por los programas y pueden variar de uno a otro.
El permiso Atributos extendidos de escritura no implica que el usuario pueda crear o eliminar archivos o carpetas; sólo incluye el permiso para hacer cambios en los atributos de un archivo o de una carpeta. Para permitir o denegar operaciones de creación o eliminación, consulte las secciones Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar de este artículo.
Eliminar subcarpetas y archivos
El permiso Eliminar subcarpetas y archivos permite o impide que el usuario elimine subcarpetas y archivos, incluso aunque no se haya concedido el permiso Eliminar para la subcarpeta o el archivo. Este permiso se aplica sólo a las carpetas.
Eliminar
El permiso Eliminar permite o impide que el usuario elimine el archivo o la carpeta. Si no tiene el permiso Eliminar para un archivo o una carpeta, puede eliminarlo si se le han concedido los permisos Eliminar subcarpetas y archivos en la carpeta principal.
Leer permisos
El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la carpeta, como Control total, Leer y Escribir.
Cambiar permisos
El permiso Cambiar permisos permite o impide que el usuario cambie permisos del archivo o de la carpeta, como Control total, Leer y Escribir.
Tomar posesión
El permiso Tomar posesión permite o impide que el usuario tome posesión del archivo o de la carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos correspondientes, cualesquiera que sean los permisos existentes que protegen el archivo o la carpeta.
Sincronizar
El permiso Sincronizar permite o impide que distintos subprocesos esperen en el controlador del archivo o de la carpeta y se sincronicen con otro subproceso que pueda señalarlos. Este permiso se aplica únicamente a programas multiproceso de múltiples subprocesos.
Entender permisos NTFS de Windows – 1
Los permisos NTFS están disponibles en archivos, carpetas, claves de registro, impresoras y como consecuencias en todos los objeto de Active Directory.
Cada fichero o carpeta en un volumen NTFS contiene listas de control de acceso, Access Control List (ACL). Estas listas contienen entradas para grupos, cuentas de usuario individuales mapeadas todas ellas con sus correspondientes permisos.
Permisos por defecto.
Los permisos por defecto o estándar son los permisos que controlan una amplia gama de permisos, abarcando los detallados que podríamos hacer en más detalle.
El permiso estándar más popular y famoso es control total, este premiso debería ser usado para muy pocas personas. Control total permite a un usuario hacer prácticamente cualquier cosa, los permisos siempre están asociados al objeto al que se lo concedemos. Los otros permisos estándar incluyen los siguientes:
Archivos:
Modificar
Leer y ejecutar
Leer
Escribir
Las carpetas tienen los mismos permisos estándares que los archivos, excepto uno especial: listar el contenido de una carpeta.
Cuando miramos las claves del registro, impresoras y los objetos del Active Directory, los permisos para estos objetos son diferentes. En la ficha de seguridad de cada objeto, aparece una lista de los permisos por defecto, como se muestra en la Figura 1 para una unidad típica de organización (OU) en Active Directory.
Figura 1: permisos por defecto para una unidad organizativa en el Active Directory.
A partir de Windows 2003 al grupo de administradores y al del sistema se le asigna Full Control o control total que se heredando a las carpetas y ficheros de niveles inferiores al raíz. A los usuario de un grupo se les asigna leer y ejecutar, listar el contenido de carpetas y lectura. Los usuarios que quieran escribir o modificar necesitaran permisos adicionales.
La lista de permisos de NTFS tiene dos columnas, una dice permitir (Allow) y la otra denegar (Deny). Denegar se usa en algunos casos especiales, lo más normal es usarlo (típico ejemplo) cuando tienes por ejemplo un grupo de ventas y quieres denegar el permiso a alguien en particular de ese grupo.
Los permisos se dice que son acumulativos, es decir el de más poder es el que vale. Por ejemplo, Miguel es miembro del grupo de administradores, pero también lo es de ventas, en administradores tiene allowed Modify para la carpeta de ReporteDeVentas y en el de ventas tiene allowed Read. Por lo tanto Miguel puede Modificar.
CMD sistemas 