lopezatienza.com

CAPÍTULO 4 RECURSOS COMPARTIDOS

4.1 CONFIGURACIÓN DE RECURSOS COMPARTIDOS

Como se ha mencionado antes, el objetivo principal de una red es compartir recursos entre los usuarios. Sin embargo, compartir es también una extensión de las características de seguridad que comienzan con las cuentas de usuario y las contraseñas. El objetivo como administrador del sistema es asegurarse de que todo el mundo pueda utilizar los recursos que necesita sin comprometer la seguridad de los archivos y el resto de los recursos. Se pueden otorgar a los usuarios tres tipos de capacidades:

• Derechos: están asignados a los grupos predefinidos, pero el administrador puede extender los derechos a grupos o individuos.
• Recursos compartidos: Directorios o unidades de disco que están compartidos en la red.
• Permisos: Capacidades del sistema de archivos que se pueden conceder tanto a individuos como a grupos.

En el curso de eventos normal, solo habrá que ocuparse de los derechos en raras ocasiones. Sin embargo, los recursos compartidos y los permisos son el corazón de las responsabilidades de un administrador.

En un volumen NTFS, Windows 2000, al igual que Windows NT Server, permite una seguridad tan granular que es prácticamente microscópica. Se pueden establecer permisos de varios tipos, incluyendo permisos en archivos individuales. Esto representa realmente una tentación para el administrador para gestionar al detalle cada recurso. El mejor consejo que se puede dar es no caer en esta tentación. Se debe comenzar con la menor restricción posible y añadir restricciones solo cuando se requieran.

Los recursos compartidos y los permisos, aunque pueden parecer muy similares, no son lo mismo y es importante comprender las diferencias. Los recursos compartidos se aplican a unidades de disco y directorios. Hasta que una unidad de disco o carpeta es compartida en la red, los usuarios no pueden verla u obtener acceso a ella. Una vez que se comparte la carpeta, todo el mundo en la red puede, de forma predeterminada, acceder a todos los archivos de la carpeta y a todas las subcarpetas de esa carpeta, etc.

En un volumen FAT, se puede compartir una unidad de disco o carpeta y añadir después restricciones adicionales en forma de permisos del recurso compartido. Estos permisos solo se aplican a nivel de unidad de disco o carpeta -no a nivel de archivo- y están limitados a permitir o denegar Control total, Leer y Modificar.

En volúmenes NTFS, los directorios tienen los mismos permisos de recurso compartido que los de un volumen FAT, pero hay disponible otra capa de permisos sobre esos. Cada carpeta tiene una ventana Propiedades de Seguridad que permite restricciones más precisas. Cada archivo también tiene una ventana Propiedades de Seguridad que permite que el acceso sea concedido o denegado para archivos individuales. Estos permisos de carpeta y permisos de archivo pueden restringir el acceso tanto a través de la red como localmente. Por ejemplo, se puede dejar el permiso de recurso compartido de una carpeta con la configuración predeterminada, permitiendo Control total a Todos, y utilizar la ventana Propiedades de Seguridad para establecer permisos más restrictivos por grupos o individualmente, tanto a la carpeta como un todo como archivo por archivo dentro de la carpeta.

Los permisos del recurso compartido determinan el acceso máximo en la red. Esto significa que si se establecen permisos de recurso compartido que permiten Leer pero deniegan Modificar, todos los usuarios se verán restringidos a Leer cuando accedan al recurso compartido desde la red. Sin embargo, se puede conceder a un usuario acceso más amplio que estará disponible cuando el usuario inicie sesión localmente. O se puede bloquear la herencia de permisos en una subcarpeta y otorgar a un usuario Control total de la subcarpeta en la red, mientras que la carpeta primaria permanece con solo Leer.

Los recursos compartidos no tienen efecto en usuarios que inicien sesión localmente. Para los usuarios que iniciaran sesión localmente en una partición NTFS, se puede restringir el acceso utilizando permisos.

Recursos compartidos especiales

Además de los recursos compartidos creados por un usuario o un administrador, el sistema crea varios recursos compartidos especiales que no se deberían modificar o eliminar. El recurso compartido especial que más probablemente se verá es el recurso compartido ADMIN$ que aparece como C$, D$, E$, etc. Estos recursos compartidos permiten a los administradores conectarse a unidades que en otro caso no estarían compartidas.

Los recursos compartidos especiales existen como parte de la instalación del sistema operativo. Dependiendo de la configuración del equipo, estarán presentes algunos o todos de los siguientes recursos compartidos especiales. Ninguno de ellos debería modificarse o eliminarse.

• ADMIN$: Se utiliza durante la administración remota de un equipo. La ruta de acceso es siempre la ubicación de la carpeta en la que Windows se instaló (esto es, la raíz del sistema). Solo los Administradores, Operadores de copia y Operadores de servidores se pueden conectar a este recurso compartido.
• letraunidad$: La carpeta raíz de la unidad especificada. Sólo los Administradores, Operadores de copia y Operadores de servidores se pueden conectar a estos recursos compartidos en un servidor Windows 2000. En un equipo Windows 2000 Professional, sólo los Administradores y Operadores de copia pueden conectarse a estos recursos compartidos.
• IPC$: Utilizado durante la administración remota y cuando se revisan los recursos compartidos. Este recurso compartido es esencial en la comunicación y no se debe cambiar, modificar o eliminar.
• NETLOGON: Lo utiliza el servicio Inicio de sesión de red de un servidor que ejecuta Windows NT Server cuando procesa los inicios de sesión en el dominio. Este recurso solo se proporciona en servidores, no en Windows NT Workstation.
• PRINT$: Un recurso que soporta impresoras compartidas.
• REPL$: Se crea en un servidor cuando un cliente de fax esta enviando un fax.

Para conectarse a una unidad de disco no compartida en otro equipo, hay que utilizar la barra de direcciones de cualquier ventana a introducir la dirección, utilizando la sintaxis:

\\nombre_equipo\[letraunidad]$

Para conectarse a la carpeta raíz del sistema (la carpeta en la cual esta instalado Windows) en otro equipo hay que utilizar la sintaxis:

\\nombre_equipo\admin$

El resto de recursos compartidos especiales como IPC$ y PRINT$ los crea y utiliza únicamente el sistema. NETLOGON es un recurso compartido especial en servidores Windows 2000 y Windows NT y se utiliza cuando se procesan peticiones de inicio de sesión en el dominio.

4.2 UNIDADES COMPARTIDAS Y PERMISOS EN NTFS FRENTE A FAT

En particiones con formato FAT se pueden restringir los permisos solo a nivel de carpeta, sólo desde la red y sólo si la carpeta esta compartida. Para alguien que inicie sesión localmente, los recursos compartidos no tendrán efecto.

En un volumen NTFS, los directorios pueden ser compartidos y también restringidos más profundamente a causa del significado de los permisos. En un volumen NTFS, se deberían utilizar los permisos de carpetas y archivos para el control de la seguridad tanto localmente como desde la red y permitir acceso de Control total a Todos en el recurso compartido.

Si se configuran permisos de carpeta compartida para una carpeta y permisos NTFS para esa carpeta y para su contenido, se aplicarán los permisos más restrictivos. Se produce una excepción cuando se concede a un usuario un permiso de recurso compartido y ese usuario forma parte también de un grupo con permisos diferentes, los permisos efectivos de ese usuario son una combinación de sus propios permisos y la de los grupo. Considérese un usuario que tenga permiso sólo de lectura mediante los permisos del recursos compartido pero pertenezca también a un grupo con permiso de  control total. En este caso, el usuario tendrá control total.

Carpetas compartidas

La forma más sencilla de crear carpetas compartidas es utilizar la herramienta Configurar el servidor del menú Herramientas administrativas. Para hacerlo, hay que seguir estos pasos:

1.       Abrir Configurar el servidor y pulsar Servidor de archivos en la columna de la izquierda.

2.       Pulsar el vinculo Iniciar el Asistente para carpetas compartidas para abrir el cuadro de dialogo Crear carpeta compartida.

3.       Introducir el nombre y ruta de acceso de la carpeta y un nombre del recurso compartido.

4.       Seleccionar los permisos de recurso compartido que se desean asignar a la carpeta teniendo en cuenta que casi siempre es mejor controlar el acceso por medio de permisos en lugar que con recursos compartidos. Pulsar Finalizar cuando se haya terminado.

Se pueden definir recursos compartidos directamente pulsando con el botón derecho del ratón en una carpeta, escogiendo Propiedades en el menú contextual y pulsando después en la pestaña Compartir.

Creación de un nuevo recurso compartido para una carpeta compartida

Una única carpeta puede ser compartida más de una vez. Por ejemplo, un recurso compartido podría incluir Control total para Administradores y otro recurso compartido para usuarios podría ser más restrictivo. Para añadir un nuevo recurso compartido, hay que seguir estos pasos:

1.       Buscar la carpeta compartida en el Explorador de Windows y pulsar con el botón derecho del ratón en ella. Hay que escoger Compartir en el menú contextual.

2.       En el cuadro de dialogo que se abre, hay que pulsar el botón Nuevo recurso compartido.

3.       En el cuadro de dialogo Nuevo recurso compartido hay que introducir un nuevo Nombre de recurso compartido. (Cada recurso compartido debe tener un nombre único.) Hay que establecer un limite de usuarios, si es necesario.

4.       Pulsar Permisos para restringir el acceso. De nuevo, de forma predeterminada, la carpeta compartida otorga Control total a todos los usuarios.

Desconexión de carpetas compartidas

Para que una carpeta deje de estar compartida, hay que abrir Administración de equipos desde el menú Herramientas administrativas. Hay que expandir Herramientas del sistema, después Carpetas compartidas y por ultimo Recursos compartidos. Hay que pulsar con el botón derecho del ratón en la carpeta compartida en el panel de detalles y escoger Dejar de compartir en el menú contextual.

En Windows NT, cuando los usuarios se conectan a un carpeta que va a dejar de estar compartida, se avisa con un cuadro de dialogo. Esto no ocurre en Windows 2000. Si se deja de compartir una carpeta a la que están conectados usuarios, los usuarios son expulsados de la carpeta sin avisos y pueden perder Information.

Permisos de recursos compartidos

Los permisos de recursos compartidos establecen el máximo ámbito de acceso disponible. Otras asignaciones de permisos (en un volumen NTFS) pueden ser más restrictivas, pero no pueden expandirse más allá de los limites establecidos por los permisos de recurso compartido.

Definición de los permisos de recursos compartidos

Para establecer permisos de recursos compartidos, hay que pulsar con el botón derecho del ratón en la carpeta y escoger Compartir en el menú contextual. Hay que pulsar el botón Permisos para abrir el cuadro de dialogo. El tipo de acceso se establece por medio de la lista de la parte inferior. Se pueden utilizar los botones Agregar y Quitar para cambiar quien accede. Los permisos de recursos compartidos se pueden asignar a usuarios individuales, a grupos y a las entidades especiales Todos, SYSTEM, INTERACTIVE, NETWORK y Usuarios autentificados.

Los tipos de permisos de recursos compartidos desde el menos al más restrictivo son:

• Leer: Permite ver los nombres de los archivos y subcarpetas, siempre se puede revisar y borrar el registro de seguridad.
• Modificar: Permite el acceso de Leer además de permitir agregar archivos y subdirectorios a la carpeta compartida, modificar la información de los archivos y eliminar archivos y subdirectorios.
• Control total: Permite todo el acceso de Modificar además de permitir cambiar permisos (solo en volúmenes NTFS) y tomar posesión (solo en volúmenes NTFS).

Asignación de directorios y unidades compartidos

Después de ir de acá para allá entre varias ventanas de Mis sitios de red para buscar una carpeta compartida, los usuarios pueden simplemente pulsar, dos veces con el ratón en la carpeta para abrirla y acceder a su contenido. Para facilitar el acceso, hay que pulsar con el botón derecho del ratón en la carpeta compartida y arrastrarla al escritorio. Hay que seleccionar Crear iconos de acceso directo aquí después de soltar el botón.

Si se utiliza frecuentemente, es sencillo conectarse a una carpeta o unidad de disco para que aparezca en el Explorador de Windows (o en Mi PC) como otra simple unidad de disco local.

Una conexión a unidad es incluso mejor que un acceso directo a un recurso importante: si se utilizan programas antiguos, no van a reconocer los sitios de red y no serán capaces de abrir o guardar archivos en ninguna otra parte salvo en el propio equipo. Si se crea una conexión a la unidad, el programa coopera porque la unidad del otro equipo parece (para el programa al menos) ser local.

Para configurar estas conexiones para los usuarios:

1.       Abrir Mis sitios de red y buscar el recurso compartido al que se quiere conectar.

2.       Pulsar con el botón derecho del ratón en el objeto y escoger Conectar a unidad de red en el menú contextual. El cuadro de dialogo que aparece tiene tres entradas configurables:

·         Unidad: Esta es la letra que se asignara a la nueva carpeta o unidad en el equipo local.

·         Conectar utilizando un nombre de usuario diferente: Si la conexión es para alguien distinto del usuario actual, hay que pulsar este vínculo y suministrar el nombre y contraseña del usuario.

·         Conectar de nuevo al iniciar sesión: Se puede seleccionar este cuadro para que se realice automáticamente la conexión al iniciar sesión en el equipo donde reside físicamente este recurso.

3.       Pulsar Finalizar cuando se haya terminado.

Desconexión de recursos conectados

Para deshacerse de una conexión a una unidad o carpeta se la puede resaltar y pulsar el botón derecho del ratón. Hay que escoger Desconectar en el menú contextual

Trabajo con carpetas compartidas

Se puede ver una lista de recursos compartidos, sesiones actuales y archivos abiertos abriendo Administración de equipos desde el menú Herramientas administrativas y expandiendo después Carpetas compartidas.

Se puede expandir Recursos compartidos para ver una lista de las carpetas compartidas además de la siguiente información sobre cada carpeta:

• La ruta de acceso al recurso compartido.
• El tipo de conexión (Windows, Macintosh, NetWare).
• El número de usuarios conectados al recurso compartido.
• Una descripción del recurso compartido..

Se puede expandir Sesiones en el árbol de la consola para ver la siguiente información sobre los usuarios que están actualmente conectados:

• El nombre del usuario y el nombre del equipo del usuario.
• El tipo de conexión (Windows, Macintosh, NetWare).
• El número de archivos abiertos por el usuario en este recurso compartido.
• El tiempo transcurrido desde que se estableció la conexión.
• El tiempo desde que el usuario inicio por ultima vez una acción.
• Si el usuario esta conectado como invitado.

Se puede expandir Archivos abiertos en el árbol de la consola para obtener una lista de los archivos abiertos actualmente. En el panel de detalles se puede ver el nombre del archivo, quien lo abrió, el tipo de conexión, el número de bloqueos sobre el archivo (si los hay) y los permisos de recurso compartido que se concedieron cuando se abrió el archivo.

Si se comprueban habitualmente los recursos compartidos, puede ser más eficiente crear una MMC que contenga el complemento Carpetas compartidas. Se puede añadir un complemento Carpetas compartidas para cada servidor y cambiar entre ellos fácilmente.

Mantenimiento de los permisos para carpetas y archivos

En un volumen NTFS se pueden establecer permisos a nivel de archivo. Esto significa que cualquier archivo puede otorgar a los usuarios diferentes tipos de acceso. Aunque se pueden establecer esos permisos tan detallados, esto sería una locura.

Siempre hay que tratar de trabajar con los permisos más simples posibles. Hay que definir las menos restricciones posibles. Se deben asignar permisos a grupos, no individualmente. No hay que establecer permisos archivo a archivo a menos que sea inevitable. Gestionar las nimiedades de los permisos puede absorber fácil y rápidamente todo el tiempo.

Consideración de la herencia

Existen dos tipos de permisos, explícitos y heredados. Los permisos explícitos son los que se establecen en las carpetas que se crean. Los permisos heredados son aquellos que se derivan de un objeto primario a un objeto hijo. De forma predeterminada, cuando se crea una subcarpeta, hereda los permisos de la carpeta superior.

Si no se desea que los objetos hijo hereden los permisos del primario, se puede bloquear la herencia a nivel primario o a nivel hijo. Donde se bloquea la herencia es importante. Si se bloquea a nivel primario, ninguna subcarpeta heredará permisos. Si se bloquea selectivamente a nivel hijo, algunas carpetas heredarán permisos y otras no.

Para bloquear la herencia a nivel primario, hay que escoger Solo esta carpeta cuando se asignan permisos especiales. Para evitar que un cierto archivo o carpeta herede permisos, hay que pulsar con el botón derecho del ratón en la carpeta, seleccionar Propiedades y pulsar después en la pestaña Seguridad. Hay que desactivar la casilla de verificación hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto.

Si las casillas de verificación de los permisos aparecen sombreadas, significa que los permisos son heredados de un objeto primario. Hay tres formas de cambiar esta situación:

• Desactivar la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Una vez que este desactivada la casilla de verificación, se pueden hacer cambios en los permisos o cambiar los usuarios o grupos de la lista.
• Cambiar los permisos en la carpeta primaria.
• Seleccionar el permiso opuesto -Permitir o Denegar- para sustituir el permiso heredado.

Si ni Permitir ni Denegar esta activo, los usuarios/grupos pueden haber adquirido el permiso por medio de la pertenencia a un grupo. En otro caso, un fallo al configurar explícitamente Permitir o Denegar deniega efectivamente el permiso.

Significado de los permisos

Windows 2000 Server posee un conjunto de permisos estándar que son combinaciones de clases de acceso especificas. Los permisos individuales son Control Total, Modificar, Lectura y ejecución, Listar el contenido de la carpeta, Leer y Escribir.

Los permisos de archivo incluyen Control total, Modificar, Lectura y ejecución, Leer y Escribir. Al igual que con las carpetas, cada uno de estos permisos controla un grupo de permisos especiales.

Permisos especiales para las carpetas
Permiso especial	Control total	Modificar	Lectura  y ejecución	Listar el contenido de la carpeta	Leer	Escribir
Recorrer carpeta/Ejecutar archivo	Sí	Sí	Sí	Sí	Sí	No
Listar carpeta/Leer datos	Sí	Sí	Sí	Sí	Sí	No
Atributos de lectura	Sí	Sí	Sí	Sí	Sí	No
Atributos extendidos de lectura	Sí	Sí	Sí	Sí	Sí	No
Crear archivos/Escribir datos	Sí	Sí	No	No	No	Sí
Crear carpetas/Anexar datos	Sí	Sí	No	No	No	Sí
Atributos de escritura	Sí	Sí	No	No	No	Sí
Atributos extendidos de escritura	Sí	Sí	No	No	No	Sí
Eliminar subcarpetas y archivos	Sí	No	No	No	No	No
Eliminar	Sí	Sí	No	No	No	No
Permisos de lectura	Sí	Sí	Sí	Sí	Sí	Sí
Cambiar permisos	Sí	No	No	No	No	No
Tomar posesión	Sí	No	No	No	No	No

 

Permisos especiales asociados con los permisos estándar
Permiso Especial	Control Total	Modificar	Lectura y Ejecución	Listar el contenido e la carpeta	Leer	Escribir
Recorrer carpeta/Ejecutar archivo	Sí	Sí	Sí	No	No	No
Listar carpeta/Leer datos	Sí	Sí	Sí	Sí	No	No
Atributos de lectura	Sí	Sí	Sí	Sí	No	No
Atributos extendidos de lectura	Sí	Sí	Sí	Sí	No	No
Crear archivos/Escribir datos	Sí	Sí	No	No	No	Sí
Crear carpetas/Anexar datos	Sí	Sí	No	No	No	Sí
Atributos de escritura	Sí	Sí	No	No	No	Sí
Atributos extendidos de escritura	Sí	Sí	No	No	No	Sí
Eliminar subcarpetas y archivos	Sí	No	No	No	No	No
Eliminar	Sí	Sí	No		No	No
Permisos de lectura	Sí	Sí	Sí	Sí	Sí	Sí
Cambiar permisos	Sí	No	No	No	No	No
Tomar posesión	Sí	No	No	No	No	No

Cualquier usuario o grupo que tenga asignado Control total en una carpeta puede eliminar archivos y subcarpetas independientemente de los permisos que tengan los archivos o subcarpetas individuales.

Funcionamiento de los permisos

Si no se realiza ninguna acción en absoluto, los archivos y carpetas dentro de una carpeta compartida tendrán los mismos permisos que el recurso compartido. Se pueden asignar permisos tanto para directorios como para archivos a:

• Grupos locales de dominio, grupos globales, grupos universales y usuarios individuales.
• Grupos globales, grupos universales y usuarios individuales de dominios en los que confía este dominio.
• Identidades especiales como Todos y Usuarios autentificados.

Las reglas importantes para los permisos se pueden resumir como sigue:

• De forma predeterminada, una carpeta hereda permisos de su carpeta primaria. Los archivos heredan sus permisos de la carpeta en la que residen.
• Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permiso para hacerlo o si pertenecen a un grupo que tiene permiso concedido. Los permisos son acumulativos, pero el permiso Denegar gana al resto. 
• El usuario que crea un archivo o carpeta es el propietario de ese objeto y puede establecer permisos para controlar el acceso.
• Un administrador puede tomar posesión de cualquier archivo o carpeta, pero no puede ceder la propiedad a nadie más.

Configuración de los permisos de las carpetas

Antes de compartir una carpeta en un volumen NTFS, hay que establecer todos los permisos en la carpeta. Cuando se establecen permisos de carpeta se están estableciendo también permisos en todos los archivos y subcarpetas de la carpeta.

Para asignar permisos a una carpeta, hay que pulsar con el botón derecho del ratón en la carpeta en el Explorador de Windows y escoger Propiedades. Después hay que pulsar en la pestaña Seguridad y seleccionar los Permisos.

Para eliminar un individuo o grupo de la lista, basta con resaltar el nombre y pulsar Quitar.

Para añadir a la lista de aquellos con permisos, hay que pulsar el botón Agregar. Esto abre el cuadro de dialogo Seleccionar Usuarios, Equipos y Grupos.

Hay que pulsar Aceptar cuando se haya terminado y se abrirá el cuadro Permisos de carpeta con los nuevos nombres.

Asignación de permisos a los archivos

Los permisos para archivos individuales se asignan de la misma forma que para las carpetas. Sin embargo, existen algunas consideraciones especiales:

• Hay que recordar el conceder permisos a grupos en lugar de a individuos.
• Hay que crear grupos y asignarles permisos de archivos en lugar de asignar permisos directamente a grupos locales.

Configuración de permisos especiales

En algunas circunstancias, puede ser necesario establecer, cambiar o eliminar permisos especiales bien en un archivo o bien en una carpeta. (Los permisos especiales de una carpeta sólo afectan a la carpeta.) Para acceder a los permisos especiales, hay que seguir estos pasos:

1.       En el Explorador, hay que pulsar con el botón derecho del ratón en el archivo o carpeta y escoger Propiedades en el menú contextual.

2.       Pulsar en la pestaña Seguridad y pulsar después el botón Avanzada.

·         Para añadir un usuario o grupo, hay que pulsar el botón Agregar. Hay que pulsar dos veces con el ratón en el nombre del usuario o grupo para abrir el cuadro de diálogo Entrada de permiso.

·         Para ver o modificar los permisos especiales existentes, hay que resaltar el nombre del usuario o grupo y pulsar el botón Ver o modificar.

·         Para eliminar los permisos especiales, hay que resaltar el nombre del usuario o grupo y pulsar Quitar. Si el botón Quitar está atenuado, hay que desactivar la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto y saltar al paso 6.

3.       En el cuadro de diálogo Entrada de permiso, hay que seleccionar dónde se desean aplicar los permisos en el cuadro Aplicar en. Aplicar en sólo está disponible para, carpetas.

4.       En Permisos hay que pulsar Permitir o Denegar para cada permiso.

5.       Para evitar que las subcarpetas y archivos hereden estos permisos hay que seleccionar Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor.

6.       Pulsar Aceptar para cerrar los cuadros de diálogo.

Aplicación de los permisos especiales cuando está seleccionado Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor
Selección en Aplicar en	¿Se aplica a la carpeta actual?	¿Se aplica a subcarpetas de la carpeta actual?	¿Se aplica a archivos de la carpeta actual?	¿Se aplica a las carpetas posteriores?	¿Se aplica a archivos en las carpetas posteriores?
sólo esta carpeta	Sí	No	No	No	No
Esta carpeta, subcarpeta y archivos	Sí	Sí	Sí	No	No
Esta carpeta y subcarpeta	Sí	Sí	No	No	No
Esta carpeta y archivos	Sí	No	Sí	No	No
sólo subcarpetas y archivos	No	Sí	Sí	No	No
sólo subcarpetas	No	Sí	No	No	No
sólo archivos	No	No	Sí	No	No

En el cuadro, de diálogo Entrada de permiso de las carpetas se puede escoger cómo y dónde aplicar los permisos especiales.

 

Aplicación de los permisos especiales cuando está seleccionado Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor
Selección en Aplicar en	¿Se aplica a la carpeta actual?	¿Se aplica a subcarpetas de la carpeta actual?	¿Se aplica a archivos de la carpeta actual?	¿Se aplica a las carpetas posteriores?	¿Se aplica a archivos en las carpe tas posteriores?
Sólo esta carpeta	Sí	No	No	No	No
Esta carpeta, subcarpeta y archivos	Sí	Sí	Sí	Sí	Sí
Esta carpeta y subcarpeta	Sí	Sí	No	Sí	No
Esta carpeta y archivos	Sí	No	Sí	No	Sí
sólo subcarpetas y archivos	No	Sí	Sí	Sí	Sí
sólo subcarpetas	No	Sí	No	Sí	No
Sólo archivos	No	No	Sí	No	Sí

La propiedad y su funcionamiento

Como se ha podido observar, los Administradores y los miembros de otros pocos grupos selectos son los únicos que pueden conceder y cambiar permisos. La excepción se produce cuando, un usuario es el propietario de la carpeta o archivo en cuestión. Todo objeto en una partición NTFS tiene un propietario y el propietario es la persona que creó el archivo o la carpeta. El propietario controla el acceso al archivo o carpeta y puede dejar fuera, a quien elija.

Para ver quién tiene permiso para acceder a su nueva carpeta, Maximiliano, pulsa con el botón derecho del ratón en la carpeta y escoge Propiedades y después pulsa en Seguridad. 

Para su sorpresa aparece que todo el mundo en la red tiene acceso a su material "privado". Pero dado que Maximiliano, es el propietario de la carpeta, puede cambiar los permisos para tener la carpeta toda para él. Para hacer eso, añade explícitamente su nombre a la lista, de permisos y desactiva la opción Hacer posible que los permisos sean heredables.

Después de hacer esto, incluso el administrador verá un mensaje de Acceso denegado cuando, trate de abrir la carpeta.

Por supuesto, nada en la red puede estar completamente más allá del alcance de los administradores, por lo que el administrador puede pulsar con el botón derecho del ratón en la carpeta, y escoger Propiedades en el menú contextual. Cuando pulse en la pestaña Seguridad, se abre el cuadro informativo.

En la ventana Propiedades de Seguridad no se pueden hacer cambios. Sin embargo, si el administrador pulsa el botón Avanzada y después en la pestaña Propietario, puede cambiar el propietario de la carpeta a un administrador.

No importa cual sea el estado de la carpeta, el administrador puede adquirir su propiedad. Cuando Maximiliano inicie sesión la próxima vez, aún tendrá acceso a Material privado de Max, pero si pulsa Avanzada y después Propietario, verá que no es el propietario de la carpeta. De este modo, aún cuando los administradores pueden entrar en todas las áreas sin invitación, no pueden hacerlo sin dejar evidencias de su presencia.

El propietario de un archivo o carpeta también puede conceder el permiso especial Tomar posesión a otros, permitiendo a esos usuarios adquirir la propiedad en cualquier momento.

<< Volver al capitulo anterior  || >> Ir al capitulo siguiente

 

Autor: Antonio Lopez Atienza