Cinco Formas de Compartir Carpetas – Permisos de Compartido, de Seguridad, y Efectivos

Hace ya mucho tiempo publiqué una nota sobre los permisos efectivos cuando se accede a datos en “Permisos – Permisos Efectivos” pero como las consultas continúan y el sistema de permisos no es tan sencillo en ambiente Windows, me he decidido a agregar esta nota que complementa y avanza un poco más sobre el tema

En especial, demostraré el tema de la combinación de los diferentes permisos, y cómo interactua una entidad especial como es “Creator Owner”

Desde la interfaz gráfica, hay cinco formas diferentes de compartir una carpeta, y cada una tiene sus particularidades, y los permisos efectivos pueden ser diferentes en cada caso

La infraestructura necesaria para esta demostración es muy simple: un Controlador de Dominio, y una máquina que utilizaremos como cliente para acceder a las carpetas compartidas creadas en el primero

Para no interferir con otros componentes he creado una Unidad Organizativa llamada “Test”, donde he creado un usuario (“User Uno” = u1), y dos grupos (Grupo1 y Grupo2). La cuenta “User Uno es miembro de Grupo1, eso es todo

Además, en el disco he creado una carpeta (Test1) con un archivo, y que utilizaré para las demostraciones. Más adelante y ya que veremos qué permisos toma usando varios procedimientos de compartir, iré creando otras carpetas (Test2, Test3, etc.)

En todos los casos, en el Controlador de Dominio iniciaré sesión como administrador, y en el cliente como usuario (“User Uno”)

Hay varias formas de compartir carpetas, y con esto me estoy refiriendo al procedimiento. Debemos tener cuidado, porque dependiendo de qué procedimiento ejecutemos, los permisos pueden ser diferentes

Comencemos con el procedimiento que es más laborioso, pero es el que generalmente utilizamos los que venimos de hace muchos años con esto, ya que anteriormente era la única forma (salvo que se hiciera desde línea de comandos)

Este procedimiento consiste en hacer botón derecho, en el explorador, sobre la carpeta, ir a la ficha “Sharing”,el botón “Advanced Sharing”, marcar “Share this folder” y luego el botón “Permissions”

Podemos observar que el permiso de compartido por omisión es que todos tienen permisos de lectura (“Everyone Allow Read”)

Dejemos, por ahora, todo como está, simplemente cerremos todas las ventanas aceptando

Y luego desde el cliente conectémosnos al compartido y veremos qué podemos hacer

¿Podremos crear un archivo?

Evidentemente no podremos crear archivos, pues el permiso de “Share” (Compartido) permite a Todos (“Everyone”) solamente lectura

Si abrimos el archivo (Documento1), podremos ver el contenido, pero no guardarlo

Si intentamos guardar con un cambio, obtendremos

Sólo nos dará la opción de guardar, pero en una ubicación diferente a la original

Evidentemente todo lo anterior es lo esperado: que todos (“Everyone”) los usuarios sólo podrán leer y no escribir (ni borrar si quieren probar)

Vamos ahora nuevamente al Controlador de Dominio, y al Grupo1 asignémosle permiso de “Change” (Cambio)
(Me quedó mal el resaltado del permiso: he agregado “Allow Change”)

Si volvemos al cliente, podemos observar que debido a este cambio en los permisos, el usuario puede crear archivos (Documento2)

Podemos corroborar que Documento2 no sólo lo pudimos crear, sino que además modificar y salvar

Pero sin embargo si tratamos de guardar un cambio, en el anterior documento (Documento1), no lo permitirá

Pero los documentos que crea el propio usuario, sin embargo permite modificarlos y aún borrarlos

¿Le parece extraño este comportamiento? No, no lo es, un poco más adelante volveremos sobre el tema, está relacionado con los permisos de seguridad (Permisos NTFS), quién es el propietario de los archivos, y los permisos heredados

Para terminar de ver el tema permisos de Compartido (“Share”), veamos qué sucede si al Grupo2, le ponemos permiso de denegación de lectura (“Grupo2 Deny Read”)

Pedirá confirmación cuando asignamos un permiso de denegación

E incluyamos a “User Uno” en Grupo2

Debemos cerrar e iniciar sesión con el usuario para que se actualizen sus credenciales (“Access Token”)

Como los permisos de denegación, prevalecen sobre los de permitir, en este caso el usuario directamente no tendrá acceso

Si vamos a los permisos, y quitamos a Grupo2, el usuario volverá a tener el mismo acceso que habíamos mostrado antes. Recuerden que el Grupo1 tiene permisos de cambio (“Change”)

 

Habíamos dejado pendiente el tema de por qué el usuario podía crear y modificar sus propios archivos, pero no el que estaba creado con antelación. Y dijimos que esto estaba relacionado con los permisos de seguridad

Si vemos los permisos de seguridad de la carpeta Test1, podemos observar que el grupo “Users” tiene permisos de lectura, ejecución y listar contenido

Ingresemos con el botón “Advanced” a ver qué más podemos ver

Parece que no es tan intuitivo, hay un permiso “Special” (Especial) otorgado a “Users”, veamoslo

Vemos que justamente el permiso de seguridad “Special”, es el que le permite crear archivos y carpetas

Volviendo a la pantalla anterior, y ubicándonos en la ficha “Effective Access” podemos agregando al usuario ver cuáles son los permisos efectivos

Que vemos que le permiten crear archivos y carpetas. Lo que no informa es de dónde proviene este permiso justamente

 

Hay una serie de “entidades especiales” o algunos llaman “grupos especiales” que aunque funcionan como grupos, son especiales porque ni el administrador tiene control sobre los mismos. Los puede usar para asignar permisos y derechos, pero no puede controlar a los miembros del grupo. Una cuenta pertenece o no a uno de estos en base a determinadas condiciones

Una propiedad de cada objeto es el “Owner” (Propietario). El que crea un objeto (cualquiera) es su propietario, Y de acuerdo a las especificaciones de seguridad aceptadas mundialmente, el propietario de un objeto tiene control total sobre el mismo

En base a esto vamos a ver los permisos de seguridad que tiene justamente una de estas entidades como es “Creator Owners” (Propietarios Creadores)

Podemos observar los permisos ver que, el propietario de Documento1 es el grupo “Administrators”, no es “User Uno”

En cambio el propietario de Documento2, es justamente el usuario, y por eso a este lo podía modificar, a diferencia con el anterior

Y si van a la ficha original de permisos de Documento2 verán que éste tiene control total (porque es el propietario)

Si volvemos a los permisos de Compartido de la carpeta Test1, y volvemos a darle permisos a Grupo1, sólo de lectura

Entonces el usuario, aunque sea el propietario, no podrá modicarlo, y corroboramos así lo expuesto en la nota hecha anteriormente, que el permiso efectivo cuando se combinan los permisos de Seguridad y Compartido, es siempre el más restrictivo de ambos

 

Otro tema importante que debemos considerar es la herencia de permisos de seguridad, ya que por omisión, los permisos de seguridad sobre una carpeta se propagarán a todos los archivos y subcarpetas que contenga

Esta herencia se puede deshabilitar

Si deshabiitamos la herencia, ya no se propagarán los permisos “superiores” y el sistema nos preguntará si deseamos copiarlos, o eliminarlos. Elegiré copiarlos, aunque la herencia qude cortada

De esta forma pueden observar que los permisos ya no son heredados (“Inherited from”), y por lo tanto podría modificarlos según necesidad

 

¿Cómo estamos hasta ahora? ¿parece confuso? Recomiendo que si no está totalmente claro lean la nota “Permisos – Permisos Efectivos” y vuelvan por acá :-)

 

Vamos a ver un segundo método de compartir carpetas, esta vez con botón derecho sobre la carpeta, pero elijiendo “Share with / Specific people …”

He creado una nueva carpeta (Test2) para esta demostración de procedimiento

En este caso comienza un asistente, donde podremos seleccionar a quién le daremos permisos, y qué tipo de permisos. He seleccionado a Grupo1 permitir lectura (“Read”)

Si vamos a ver los permisos de la carpeta (Test2) con esta forma de compartido, veremos que los permisos de compartido son muy diferentes al caso anterior, ya que en este caso, a Todos (“Everyone”) les ha otorgado Control Total

Y si observamos los permisos de seguridad, vemos que automáticamente ha cortado la herencia de permisos desde el nivel superior

No sólo el asistente ha modificado los permisos de Compartido (“Share”), sino además los de Seguridad (NTFS) y cortado la herencia. Todo esto puede facilitar el trabajo de asignar permisos

 

La tercera forma de compartir carpetas, la tenemos en la ficha propiedades de la carpeta, ficha “Sharing” (Compartir), pero ahora con el botón “Share” (Compartir)

Esto lo ejecutaré sobre una nueva carpeta (Test3)

El asistente y el resultado es totalmente análogo al caso visto justo anteriormente: modifica ambos tipos de permisos y corta la herencia de permisos de seguridad

 

La cuarta forma de compartir la podemos ver en “Computer Management”, “Shares / New Share …”

Comienza también un asistente, pero diferente al anterior

Puedo señalar una carpeta creada, o inclusive crearla en el momento

Y una forma “simplificada” de asignar permisos

Observemos que ha cambiado los permisos de Compartido respecto a los casos anteriores

Pero que mantiene los permisos de seguridad heredados

 

Y ahora veremos la última opción y quizás la más poderosa, ya que es la que ofrece algunas opciones que ninguna de las anteriores mostró

Es desde “Server Manager”, y como muestran las siguientes pantallas

Por omisión, trata de agrupar todos los compartidos en una única carpeta, yo he elegido otra ubicación

Las siguientes opciones no fueron mostradas por ninguno de los procedimientos anteriores

No corta la herencia de permisos de seguridad, por omisión

 

Resumiendo, hemos mostrado cinco forma diferentes de compartir una carpeta utilizando la interfaz gráfica.

Hay algunas más fáciles, otras más rápidas, y otras más poderosas en cuanto a configuración. Pero lo importante que tenemos que tener en cuenta, es que no todas asignan los permisos de la misma forma, ya que a veces pensamos que hemos asignado unos permisos determinados, y sin embargo son otros

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Sergio Rangel  On 07/11/2014 at 17:15

    Hola Guillermo, Existe forma de abrir los archivos, pero no moverlos, copiarlos, cambiarles el nombre, o extraerlos del file server ? algo así que ayude al Data Loss Prevention ? gracias por tus aportes

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: