Windows Server 2012 (R2): Compartir Carpetas – Permisos de Seguridad Combinados

Hace ya un tiempo hice una nota sobre las nuevas funcionalidades de Windows Server 2012 para compartir carpetas (Windows Server 2012: Compartiendo carpetas – Nuevas funcionalidades), pero en esta ocasión vamos a ver una de las opciones avanzadas como es evaluar permisos basándose en elementos combinados

¿Parece complicado esto? no, no lo es y vamos a aclararlo. Hasta ahora asignábamos los permisos basado en la pertenencia a *un grupo*, ahora podemos también asignar permisos basados en pertenencia simultánea a más de un grupo, esto es, si pertence a Grupo1 tiene sólo lectura, pero si pertence simultáneamente a Grupo1 y Grupo2 tiene modificación

Inclusive veremos en esta nota la posibilidad de obtener los permisos efectivos con simulación de pertenencia a grupos

Para la demostración he utilizado la misma infraestructura de todas las demostraciones del sitio, utilizando solamente un Controlador de Dominio (DC1) y un servidor miembro (SRV1)

Creé un Unidad Organizativa (OU1) para la prueba, donde he creado dos usuarios: “User Uno” (u1.ad.guillermod.com.ar) y “User Dos” (u2.ad.guillermod.com.ar). Y dos grupos: “Grupo1” y “Grupo2”
”User Uno” es miembro de ambos grupos, y “User Dos” es miembro de “Grupo2” únicamente

La idea es demostrar que si un usuario pertenece un grupo tiene ciertos permisos, pero si pertenece a ambos grupos tiene otros, por ejemplo más amplios

He creado un carpeta para la prueba (“Compartida”), y la he compartido. Para que no interfieran los permisos de compartido, simplemente le he dado control total a todos

Luego, en la ficha de permisos de seguridad, he cortado la herencia de permisos, pero manteniendo los actuales

Y he eliminado las dos entradas correspondientes a “Users”. Queda como muestra la figura

Para que sea algo bien genérico, con el botón “Add” le he asignado a “Authenticated Users” (“Usuarios Autentificados”) el permiso de lectura

Ingresando nuevamente con el botón “Add”, y también a “Authenticated Users” (“Usuarios Autentificados”), le doy permiso de “Modify” (“Modificar”), pero con el enlace “Add condition” (“Agregar condición”) impongo que debe pertenecer tanto a “Grupo1” como a “Grupo” para poder modificar

Aplicamos la configuración, y vamos a la ficha “Effective Access” (“Acceso Efectivo”) para que reporte cuáles serán los permisos efectivos de “User Uno”

Como “User Uno” pertences tanto a “Grupo1 como “Grupo2”, obtendrá permiso de modificar

Y si hacemos lo mismo para “User Dos”, como no pertenece a ambos grupos tendrá solamente acceso de lectura, como cualquier “Authenticated User”

 

Algo que aprendí hace poco. Mediante este cuadro de accesos efectivos además podemos hacer simulaciones, por ejemplo, qué permisos tendría “User Dos” si lo incluyéramos en “Grupo1”

En cuyo caso debería poder modificar

 

Las condiciones, también las podemos combinar entre sí. Para mostrarlo he creado un nuevo usuario (“User Tres”), que he incluido en un nuevo grupo (“Grupo3”)

Editamos los permisos que le habíamos dado a la pertenencia a los “Grupo1” y “Grupo2”, agregando una nueva condición. Esta nueva condición se puede agregar usando los operadores “AND” u “OR”

O sea, que además de los grupos existentes tenga otra condición, o como hice yo utilizando el operador “OR”, que si pertenece a “Grupo3” obtendrá el mismo acceso que si pertenece a “Grupo1” y “Grupo2”

Si vamos ahora a ver los permisos efectivos para “User Tres”, veremos que por su membresía sólo en “Grupo3” podrá modificar

 

Como pudimos observar, el tema de asignación de permisos ha aumentado su flexibilidad respecto a versiones anteriores del sistema operativo, proporcionando mayores facilidades

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Sergio  On 26/10/2014 at 17:41

    Buenas noches, Guilermo. Tengo el siguiente escenario: una máquina servidora con Windows Server Foundation (hace de controlador de dominio, servidor de aplicaciones por acceso remoto, etc), todo en una misma máquina. Tengo además un NAS, que utilizo para copias de seguridad, y últimamente también para que usuarios de la red compartan ficheros en una carpeta compartida en el NAS. Podría haber creado una carpeta compartida en el servidor, pero preferí usar el NAS (no sé si me elección fue buena o mala, pero decidí utilizar el NAS con RAID1, aunque el servidor tambíen está en RAID1). Mi problema es el siguiente: quisiera que esa carpeta compartida que he creado en el NAS también fuera visible por usuarios desde fuera de la red. He visto que el NAS ofrece utilidades para poder ser accesible desde fuera de la red por https, pero al intentar usar las herramientas que ofrece para activar el acceso remoto del NAS por https me da problemas (no sé si porque ya tengo configurado en el router que el tráfico https se redirija a la IP del servidor, y al redirigir también el NAS no sea posible?). En cualquier caso había pensado lo siguiente como alternativa: dar de alta el NAS en el servidor como un volumen más, y ¿a través de IIS ofrecer la carpeta del NAS?. ¿Sería eso posible?. ¿Es buena práctica hacer eso?. Y tienes algún post sobre cómo usar IIS para ofrecer carpetas accesibles desde el exterior de la red?. Muchas gracias!. Sergio.

    • Guillermo Delprato  On 27/10/2014 at 09:04

      Hola Sergio, comienzo por el final
      Me preguntas si es buena práctica, bueno, en realidad ya lo que tienes no es buena práctica, ya que tener un Controlador que además es … y también provee servicio de … y además quieres que … :D eso no es bueno. Aunque por supuesto entiendo que si tienes una versión Foundation, entonces es una organización muy chica, con todas las limitaciones que eso implica

      Por lo que me comentas yo me inclinaría por una solución con VPN, más específicamente VPN hasta el Router, que seguramente lo permite. No configuraría el servidor como VPN, por seguridad, porque debería tener dos placas de red, y otros problemas
      Una vez que el usuario se conecta desde otro lado, simplemente accedería a las carpetas compartidas de igual forma que si estuviera en la red interna
      Además tienes la ventaja que no tocas nada de la configuración actual de la red

      • Sergio  On 27/10/2014 at 17:56

        Gracias Guillermo!. Hoy mismo he estado investigando más sobre este tema, y he encontrado una solución que parece interesante, pero que te comento ya que es evidente que de estos temas sabes bastante más que yo. Lo que utilizan es de nuevo el acceso Rdweb para publicar explorer.exe (el sistema de carpetas de Windows) -pensaba que no había opción a publicar como aplicación explorer.exe!!-. Incluso, le pasan como parámetro la carpeta con la que quieres que se abra explorer para que al acceder al icono de aplicación publicado se abra por la carpeta concreta que quieres publicar (eso parece interesante para mi caso, en el que quiero publicar una carpeta compartida entre varios usuarios como repositorio compartido de trabajo), de modo que además de publicar el resto de aplicaciones, ofrecen por acceso remoto la carpeta (o carpetas) que quieres publicar. He visto cómo gestionan los permisos de acceso a las unidades y carpetas, para que el usuario sólo tenga acceso a aquello que tiene permiso. Parece buena opción?. Gracias de nuevo y saludos!

      • Guillermo Delprato  On 27/10/2014 at 19:20

        Sergio, sé sólo de algunas cosas :)
        Primero que nada, cuidado con una confusión bastante generalizada sobre el tema: RDWeb muestra una página web, pero luego la conexión se hace con protocolo RDP, por lo cual en general no se puede acceder externamente. Para evitar eso se debe usar además RDGateway que este sí, encapsula el RDP en HTTPS (y necesitás certificados digitales)

        No lo he probado nunca, pero si publico el EXPLORER.EXE ¿cómo podría impedir que en la barra de direcciones ponga otro “path” y comience a navegar en todo el disco del servidor? Realmente no sé si funciona, pero no me quedaría con la duda, y entiendo que se puede restringir por permisos NTFS, pero sobre la raíz de discos, y la carpeta Windows tiene acceso de lectura, y por lo tanto podría copiar cualquier cosa

        Si son los mismos usuarios que normalmente están dentro de la red, y además deben acceder desde afuera no dudaría con la VPN. Comenté lo de hacerlo hasta el Router, para no tener que poner otra máquina con Windows Server, pero es una configuración muy sencilla (Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer:
        https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/)

      • sergioperezparras  On 28/10/2014 at 06:37

        Muchas gracias!. voy a leer ese enlace que me pasas. Saludos!

      • Guillermo Delprato  On 28/10/2014 at 07:49

        Hola Sergio, el inconveniente de aplicar esa solución, un servidor para VPN, es que deberías tener otro equipo. Si llegas a poner el Controlador de Dominio como VPN comienzan los problemas con los usuarios, y además eso sí sería un riesgo importante de seguridad.
        El Controlador de Dominio contiene “lo más valioso” como son los nombres de usuarios y sus contraseñas, por lo cual permitir el acceso al mismo en forma directa desde Internet es un problema

  • alvaro  On 27/04/2016 at 12:36

    Muy buen día,
    tengo un servidor con windows server 2008r2 y un 2012 que replican entre si, el que tengo instalado localmente hay unas carpetas compartidas pero sin motivo alguno se pierden los permisos a las carpetas compartidas , es decir los usuarios que agregue para compartirles la información desaparecen del listado y me toca volverlos a agregar. podrías por favor darme una luz en este tema?

    • Guillermo Delprato  On 27/04/2016 at 13:43

      Hola Alvaro, por favor dirige la pregunta a algún foro de soporte, por ejemplo tienes los de Technet en:https://social.technet.microsoft.com/Forums/es-ES/home
      Oriento cuando puedo, pero la pregunta, al ser de replicación no tiene relación con el tema de la nota
      Y si me permites, para que puedan ayudarte proporciona más información ¿de qué tipo de replicación hablas? ¿DFS? Pon la pregunta en el foro y proporciona datos que permitan comprender el problema

  • Marcial Tossas  On 21/09/2016 at 10:53

    Hola, llevo tiempo buscando respuesta a lo siguiente: Servidor 2012 y clientes W7 (todos arrancanca automaticamente con el usuario a1 y están congelados, es un colegio). Cada alumno tiene su propio usuario, pero no lo usan puesto que al estar congelado los equipos, cada vez les crea el perfil, las aplicaciones también, etc… y se perdería mucho tiempo.

    Al intentar acceder cada usuario a una carpeta del servidor, éste da error de acceso puesto que a1 no tiene permisos… ¿Se puede cambiar este comportamiento de Windows Server para que pregunte usuario/contraseña?? Así cada alumno podría usar en ese momento su usuario y acceder a su carpeta… No sé si me he explicado, pero gracias por cualquier ayuda.

    • Guillermo Delprato  On 21/09/2016 at 14:04

      Hola Marcial, este no es un foro de soporte, los comentarios son sobre la nota en particular y sólo oriento cuando puedo. Deberías recurrir a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      El comportamiento normal de Windows es que siempre pregunta usuario y contraseña, eso lo han cambiado a mano, o por GPO
      Y además, en un ambiente de Dominio, no puedes usar “congelado” de equipos. Las máquinas se autentican en el Dominio y cambian su contraseña periódicamente. Si “congelas” lo único que conseguirás es que se pierda la relación de confianza de la máquina con el Dominio

  • Christian Medina  On 13/03/2017 at 19:11

    Buenas tardes Guillermo , le expongo mi situación, tengo un controlador de dominio win2008 server R2 Standar , así mismo ten un NAS con dos unidades de red para compartir datos con otros usuarios; el tema es que estas unidades no tienen ningún tipo de permisos por lo que ya he tenido problema de data borrada y otros, he creado uan carpeta y dentro de ella 1 que quiero que puedan acceder modificar los archivos pero no puedan eliminar archivos ni carpetas asi como no cambiar los nombres de las carpetas en ellas , agradecerái me peudieras ayudar con este tema y a su vez decirme si el esquema de compartir carpetas desde el NAS es seguro o cual sería la mejor opción , muchas gracias Christian Medina

    • Guillermo Delprato  On 13/03/2017 at 20:05

      Hola Christian, lamentablemente no puedo ayudarte, debes leer la documentación del NAS porque muchas veces lo que tienen es un Linux con un Samba, y los permmisos se manejan de forma totalmente diferente

  • Christian Medina  On 20/03/2017 at 13:32

    Hola Guillermo, muchas gracias por tu pronta respuesta, en este caso tengo una carpeta en mi server 2008 R2 Standar , necesito que los usuarios que se conecten a ese servicio compartido puedan modificar los archivos mas no eliminar ni cambiar nombres a carpetas ni a archivos, de antemano muchas gracias.

    • Guillermo Delprato  On 20/03/2017 at 14:17

      Hola Christian, si pueden modificar entonces también pueden borrar, es así. Imagina que no lo dejas borrar el archivo, pero puede editar borrando todo el contenido del mismo ¿cuál es el efecto final? :)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: