Trataremos en esta nota de resumir y aclarar algunos conceptos importantes en cuanto se refiere a la aplicación de permisos en ambiente Windows.
En esta ocasión no haremos una descripción detallada de cada uno y su uso, ya que sería muy extenso, y nunca se podrían cubrir todos los escenarios, pero sí como para comprender su funcionamiento.
Debemos tener en cuenta que existen dos clases de permisos:
- Permisos de Seguridad (NTFS)
- Permisos de Compartido (Share)
Dependiendo del tipo de acceso nos afectarán sólo los de Seguridad, o ambos.
Permisos de Seguridad (NTFS)
Los permisos de Seguridad nos afectarán siempre, esto es, tanto cuando accedemos remotamente a un equipo, como cuando estamos trabajando localmente en el mismo.
Estos permisos residen en el sistema de archivos (File System) y son propios de las unidades con formato NTFS
Tienen varias ventajas, entre las que podemos citar:
- Los podemos manejar individualmente por cada carpeta y archivo
- Hay permisos “standard” que son los de uso más común, y además hay permisos “avanzados”. Los primeros son combinaciones ya hechas de los segundos.
- Cada permiso tiene la opción específica de Permitir o Denegar
Normalmente un usuario pertenece a varios grupos, y cada uno puede tener diferentes permisos sobre un recurso. Inclusive, aunque no recomendado, el propio usuario puede tener permisos.
Entonces ¿Cuál es el permiso efectivo (final) de este usuario sobre ese archivo o carpeta?
El permiso efectivo de Seguridad, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)
Por ejemplo, si de la pertenencia a un grupo tengo “Permitir Lectura” y de otro grupo “Permitir Escritura”, el permiso efectivo es “Lectura + Escritura”.
Pero si por pertenencia a otro grupo obtengo algún “Denegar”, éste será el efectivo
No tener permisos, implica que no se puede acceder, en cambio “Denegar” siempre ganará a los “Permitir”. No tener permisos no resta.
¿Qué sucede con los permisos cuando copiamos un archivo/carpeta?
Cuando se copia, se genera un objeto nuevo, el original no se altera. La copia hereda los permisos de la carpeta que lo contiene. Tener en cuenta que la raíz de un disco, es una carpeta.
¿Qué sucede con los permisos cuando movemos un archivo/carpeta?
Se pueden producir dos situaciones diferentes depende si se mueve en mismo disco, o entre discos diferentes.
Si movemos un archivo/carpeta, dentro del mismo disco (partición o volumen), cambian los permisos heredados, pero se mantienen los permisos específicamente dados sobre el archivo/carpeta
En cambio, si movemos un archivo/carpeta, entre discos diferentes, sólo hereda los nuevos permisos, Eso es así, porque el mover entre discos en realidad es “copiar” seguido de “borrar” el original.
Permisos de Compartido (Share)
Los Permisos de Compartido, a diferencia de los anteriores, nos afectan únicamente cuando estamos accediendo remotamente (desde otro equipo). No tienen ningún efecto cuando estamos trabajando directamente sobre el equipo.
Se aplican únicamente a Carpetas, y será el mismo permiso para todo el contenido de dicha carpeta, y todos los archivos y subcarpetas contenidos en la primera.
Además debemos tener en cuenta, que no residen en el Sistema de Archivos, sino que están especificados en el Registro del sistema operativo
Además podemos observar que son mucho más «limitados” que los de Seguridad.
Igual que en el caso anterior, por pertenencia a grupos podemos recibir diferentes permisos por cada grupo, y análogamente al caso anterior:
El permiso efectivo de Compartido, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)
Permisos Efectivos
Resumiendo, cuando trabajamos localmente, nos afectan sólo los permisos de Seguridad. Pero cuando lo hacemos remotamente nos afectan ambos.
Y en este caso ¿cuál va a ser el permiso efectivo (final)?
El permiso efectivo (final) va a resultar ser el más restrictivo entre los de Seguridad y los de Compartido
Comentarios
excelente información, me ayudo mucho a entender estos conceptos.saludos
Muchas gracias por tu comentario
gracias por ela nota me ayudo…
Me alegro jhosafath :)
que tipo de permiso tengo que usar para impedir que un usuario copie un archivo del file server y lo pegue en su equipo? muchas gracias por la ayuda
Hola Javier, no hay forma de evitarlo a través de permisos
De la única forma que se puede hacer es a través de RMS (Rights Management Server»)
Es un componente del sistema, pero la configuración no es sencilla, y además tengo entendido que requiere licenciamiento aparte
entonces no hay forma de hacerlo por alguna politica de grupo? o directiva de segurid del file server?
Gracias por tu pronta respuesta amigo
Saludos
No hay forma ni por permisos, ni por GPO
Hola Guillermo buenos días, muchas gracias por tu aporte pero tengo un inconveniente, tengo un fileserver con varias carpetas compartidas pero no he logrado poder configurarlas para que los usuarios autorizados puedan modificar archivos y subcarpetas (es decir permisos NTFS de modificación) sin que eliminen archivos como lo puedo hacer?
No es un inconveniente, es la forma en que trabaja el sistema, si puede modificar puede borrar. Imagina que pudiera sólo modificar, entonces podría borrar todo el contenido y guardar el archivo vacío, el resultado final sería el mismo
Además el que guarda un achivo pasa a ser el «propietario» y por lo tanto tiene permisos totales sobre el mismo
Trackbacks
[…] ya mucho tiempo publiqué una nota sobre los permisos efectivos cuando se accede a datos en “Permisos – Permisos Efectivos” pero como las consultas continúan y el sistema de permisos no es tan sencillo en ambiente […]
[…] ya mucho tiempo publiqué una nota sobre los permisos efectivos cuando se accede a datos en “Permisos – Permisos Efectivos” pero como las consultas continúan y el sistema de permisos no es tan sencillo en ambiente […]
[…] Permisos – Permisos Efectivos | WindowServer https://windowserver.wordpress.com/2011/04/30/permisos-permisos-efectivos/ […]