Windows Server 2012 (R2): Compartir Carpetas – Permisos de Seguridad Combinados

Hace ya un tiempo hice una nota sobre las nuevas funcionalidades de Windows Server 2012 para compartir carpetas (Windows Server 2012: Compartiendo carpetas – Nuevas funcionalidades), pero en esta ocasión vamos a ver una de las opciones avanzadas como es evaluar permisos basándose en elementos combinados

¿Parece complicado esto? no, no lo es y vamos a aclararlo. Hasta ahora asignábamos los permisos basado en la pertenencia a *un grupo*, ahora podemos también asignar permisos basados en pertenencia simultánea a más de un grupo, esto es, si pertence a Grupo1 tiene sólo lectura, pero si pertence simultáneamente a Grupo1 y Grupo2 tiene modificación

Inclusive veremos en esta nota la posibilidad de obtener los permisos efectivos con simulación de pertenencia a grupos

Para la demostración he utilizado la misma infraestructura de todas las demostraciones del sitio, utilizando solamente un Controlador de Dominio (DC1) y un servidor miembro (SRV1)

Creé un Unidad Organizativa (OU1) para la prueba, donde he creado dos usuarios: “User Uno” (u1.ad.guillermod.com.ar) y “User Dos” (u2.ad.guillermod.com.ar). Y dos grupos: “Grupo1” y “Grupo2”
”User Uno” es miembro de ambos grupos, y “User Dos” es miembro de “Grupo2” únicamente

La idea es demostrar que si un usuario pertenece un grupo tiene ciertos permisos, pero si pertenece a ambos grupos tiene otros, por ejemplo más amplios

He creado un carpeta para la prueba (“Compartida”), y la he compartido. Para que no interfieran los permisos de compartido, simplemente le he dado control total a todos

Luego, en la ficha de permisos de seguridad, he cortado la herencia de permisos, pero manteniendo los actuales

Y he eliminado las dos entradas correspondientes a “Users”. Queda como muestra la figura

Para que sea algo bien genérico, con el botón “Add” le he asignado a “Authenticated Users” (“Usuarios Autentificados”) el permiso de lectura

Ingresando nuevamente con el botón “Add”, y también a “Authenticated Users” (“Usuarios Autentificados”), le doy permiso de “Modify” (“Modificar”), pero con el enlace “Add condition” (“Agregar condición”) impongo que debe pertenecer tanto a “Grupo1” como a “Grupo” para poder modificar

Aplicamos la configuración, y vamos a la ficha “Effective Access” (“Acceso Efectivo”) para que reporte cuáles serán los permisos efectivos de “User Uno”

Como “User Uno” pertences tanto a “Grupo1 como “Grupo2”, obtendrá permiso de modificar

Y si hacemos lo mismo para “User Dos”, como no pertenece a ambos grupos tendrá solamente acceso de lectura, como cualquier “Authenticated User”

 

Algo que aprendí hace poco. Mediante este cuadro de accesos efectivos además podemos hacer simulaciones, por ejemplo, qué permisos tendría “User Dos” si lo incluyéramos en “Grupo1”

En cuyo caso debería poder modificar

 

Las condiciones, también las podemos combinar entre sí. Para mostrarlo he creado un nuevo usuario (“User Tres”), que he incluido en un nuevo grupo (“Grupo3”)

Editamos los permisos que le habíamos dado a la pertenencia a los “Grupo1” y “Grupo2”, agregando una nueva condición. Esta nueva condición se puede agregar usando los operadores “AND” u “OR”

O sea, que además de los grupos existentes tenga otra condición, o como hice yo utilizando el operador “OR”, que si pertenece a “Grupo3” obtendrá el mismo acceso que si pertenece a “Grupo1” y “Grupo2”

Si vamos ahora a ver los permisos efectivos para “User Tres”, veremos que por su membresía sólo en “Grupo3” podrá modificar

 

Como pudimos observar, el tema de asignación de permisos ha aumentado su flexibilidad respecto a versiones anteriores del sistema operativo, proporcionando mayores facilidades

 

 

Anuncios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Sergio  El 26/10/2014 a las 17:41

    Buenas noches, Guilermo. Tengo el siguiente escenario: una máquina servidora con Windows Server Foundation (hace de controlador de dominio, servidor de aplicaciones por acceso remoto, etc), todo en una misma máquina. Tengo además un NAS, que utilizo para copias de seguridad, y últimamente también para que usuarios de la red compartan ficheros en una carpeta compartida en el NAS. Podría haber creado una carpeta compartida en el servidor, pero preferí usar el NAS (no sé si me elección fue buena o mala, pero decidí utilizar el NAS con RAID1, aunque el servidor tambíen está en RAID1). Mi problema es el siguiente: quisiera que esa carpeta compartida que he creado en el NAS también fuera visible por usuarios desde fuera de la red. He visto que el NAS ofrece utilidades para poder ser accesible desde fuera de la red por https, pero al intentar usar las herramientas que ofrece para activar el acceso remoto del NAS por https me da problemas (no sé si porque ya tengo configurado en el router que el tráfico https se redirija a la IP del servidor, y al redirigir también el NAS no sea posible?). En cualquier caso había pensado lo siguiente como alternativa: dar de alta el NAS en el servidor como un volumen más, y ¿a través de IIS ofrecer la carpeta del NAS?. ¿Sería eso posible?. ¿Es buena práctica hacer eso?. Y tienes algún post sobre cómo usar IIS para ofrecer carpetas accesibles desde el exterior de la red?. Muchas gracias!. Sergio.

    • Guillermo Delprato  El 27/10/2014 a las 09:04

      Hola Sergio, comienzo por el final
      Me preguntas si es buena práctica, bueno, en realidad ya lo que tienes no es buena práctica, ya que tener un Controlador que además es … y también provee servicio de … y además quieres que … :D eso no es bueno. Aunque por supuesto entiendo que si tienes una versión Foundation, entonces es una organización muy chica, con todas las limitaciones que eso implica

      Por lo que me comentas yo me inclinaría por una solución con VPN, más específicamente VPN hasta el Router, que seguramente lo permite. No configuraría el servidor como VPN, por seguridad, porque debería tener dos placas de red, y otros problemas
      Una vez que el usuario se conecta desde otro lado, simplemente accedería a las carpetas compartidas de igual forma que si estuviera en la red interna
      Además tienes la ventaja que no tocas nada de la configuración actual de la red

      • Sergio  El 27/10/2014 a las 17:56

        Gracias Guillermo!. Hoy mismo he estado investigando más sobre este tema, y he encontrado una solución que parece interesante, pero que te comento ya que es evidente que de estos temas sabes bastante más que yo. Lo que utilizan es de nuevo el acceso Rdweb para publicar explorer.exe (el sistema de carpetas de Windows) -pensaba que no había opción a publicar como aplicación explorer.exe!!-. Incluso, le pasan como parámetro la carpeta con la que quieres que se abra explorer para que al acceder al icono de aplicación publicado se abra por la carpeta concreta que quieres publicar (eso parece interesante para mi caso, en el que quiero publicar una carpeta compartida entre varios usuarios como repositorio compartido de trabajo), de modo que además de publicar el resto de aplicaciones, ofrecen por acceso remoto la carpeta (o carpetas) que quieres publicar. He visto cómo gestionan los permisos de acceso a las unidades y carpetas, para que el usuario sólo tenga acceso a aquello que tiene permiso. Parece buena opción?. Gracias de nuevo y saludos!

      • Guillermo Delprato  El 27/10/2014 a las 19:20

        Sergio, sé sólo de algunas cosas :)
        Primero que nada, cuidado con una confusión bastante generalizada sobre el tema: RDWeb muestra una página web, pero luego la conexión se hace con protocolo RDP, por lo cual en general no se puede acceder externamente. Para evitar eso se debe usar además RDGateway que este sí, encapsula el RDP en HTTPS (y necesitás certificados digitales)

        No lo he probado nunca, pero si publico el EXPLORER.EXE ¿cómo podría impedir que en la barra de direcciones ponga otro “path” y comience a navegar en todo el disco del servidor? Realmente no sé si funciona, pero no me quedaría con la duda, y entiendo que se puede restringir por permisos NTFS, pero sobre la raíz de discos, y la carpeta Windows tiene acceso de lectura, y por lo tanto podría copiar cualquier cosa

        Si son los mismos usuarios que normalmente están dentro de la red, y además deben acceder desde afuera no dudaría con la VPN. Comenté lo de hacerlo hasta el Router, para no tener que poner otra máquina con Windows Server, pero es una configuración muy sencilla (Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer:
        https://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2-configurar-servidor-vpn/)

      • sergioperezparras  El 28/10/2014 a las 06:37

        Muchas gracias!. voy a leer ese enlace que me pasas. Saludos!

      • Guillermo Delprato  El 28/10/2014 a las 07:49

        Hola Sergio, el inconveniente de aplicar esa solución, un servidor para VPN, es que deberías tener otro equipo. Si llegas a poner el Controlador de Dominio como VPN comienzan los problemas con los usuarios, y además eso sí sería un riesgo importante de seguridad.
        El Controlador de Dominio contiene “lo más valioso” como son los nombres de usuarios y sus contraseñas, por lo cual permitir el acceso al mismo en forma directa desde Internet es un problema

  • alvaro  El 27/04/2016 a las 12:36

    Muy buen día,
    tengo un servidor con windows server 2008r2 y un 2012 que replican entre si, el que tengo instalado localmente hay unas carpetas compartidas pero sin motivo alguno se pierden los permisos a las carpetas compartidas , es decir los usuarios que agregue para compartirles la información desaparecen del listado y me toca volverlos a agregar. podrías por favor darme una luz en este tema?

    • Guillermo Delprato  El 27/04/2016 a las 13:43

      Hola Alvaro, por favor dirige la pregunta a algún foro de soporte, por ejemplo tienes los de Technet en:https://social.technet.microsoft.com/Forums/es-ES/home
      Oriento cuando puedo, pero la pregunta, al ser de replicación no tiene relación con el tema de la nota
      Y si me permites, para que puedan ayudarte proporciona más información ¿de qué tipo de replicación hablas? ¿DFS? Pon la pregunta en el foro y proporciona datos que permitan comprender el problema

  • Marcial Tossas  El 21/09/2016 a las 10:53

    Hola, llevo tiempo buscando respuesta a lo siguiente: Servidor 2012 y clientes W7 (todos arrancanca automaticamente con el usuario a1 y están congelados, es un colegio). Cada alumno tiene su propio usuario, pero no lo usan puesto que al estar congelado los equipos, cada vez les crea el perfil, las aplicaciones también, etc… y se perdería mucho tiempo.

    Al intentar acceder cada usuario a una carpeta del servidor, éste da error de acceso puesto que a1 no tiene permisos… ¿Se puede cambiar este comportamiento de Windows Server para que pregunte usuario/contraseña?? Así cada alumno podría usar en ese momento su usuario y acceder a su carpeta… No sé si me he explicado, pero gracias por cualquier ayuda.

    • Guillermo Delprato  El 21/09/2016 a las 14:04

      Hola Marcial, este no es un foro de soporte, los comentarios son sobre la nota en particular y sólo oriento cuando puedo. Deberías recurrir a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      El comportamiento normal de Windows es que siempre pregunta usuario y contraseña, eso lo han cambiado a mano, o por GPO
      Y además, en un ambiente de Dominio, no puedes usar “congelado” de equipos. Las máquinas se autentican en el Dominio y cambian su contraseña periódicamente. Si “congelas” lo único que conseguirás es que se pierda la relación de confianza de la máquina con el Dominio

  • Christian Medina  El 13/03/2017 a las 19:11

    Buenas tardes Guillermo , le expongo mi situación, tengo un controlador de dominio win2008 server R2 Standar , así mismo ten un NAS con dos unidades de red para compartir datos con otros usuarios; el tema es que estas unidades no tienen ningún tipo de permisos por lo que ya he tenido problema de data borrada y otros, he creado uan carpeta y dentro de ella 1 que quiero que puedan acceder modificar los archivos pero no puedan eliminar archivos ni carpetas asi como no cambiar los nombres de las carpetas en ellas , agradecerái me peudieras ayudar con este tema y a su vez decirme si el esquema de compartir carpetas desde el NAS es seguro o cual sería la mejor opción , muchas gracias Christian Medina

    • Guillermo Delprato  El 13/03/2017 a las 20:05

      Hola Christian, lamentablemente no puedo ayudarte, debes leer la documentación del NAS porque muchas veces lo que tienen es un Linux con un Samba, y los permmisos se manejan de forma totalmente diferente

  • Christian Medina  El 20/03/2017 a las 13:32

    Hola Guillermo, muchas gracias por tu pronta respuesta, en este caso tengo una carpeta en mi server 2008 R2 Standar , necesito que los usuarios que se conecten a ese servicio compartido puedan modificar los archivos mas no eliminar ni cambiar nombres a carpetas ni a archivos, de antemano muchas gracias.

    • Guillermo Delprato  El 20/03/2017 a las 14:17

      Hola Christian, si pueden modificar entonces también pueden borrar, es así. Imagina que no lo dejas borrar el archivo, pero puede editar borrando todo el contenido del mismo ¿cuál es el efecto final? :)

  • Jean Rivera  El 02/11/2017 a las 13:55

    Hola Guillermo soy novato en servidores y tengo un windows server 2012 r12 me ppodrias facilitar un manual de como crear roles y de modificacion de password de los acces point

    • Guillermo Delprato  El 02/11/2017 a las 17:17

      Hola Jean, no existe lo que buscas, el tema no es cómo crear roles, sino saber cada uno para qué es, cómo se integra con el resto y qué configuración necesita
      No existe una manual de servidores, son muchas muchas horas de estudio y práctica. Que un sistema operativo de escritorio y uno de servidor compartan la interfaz no implica para nada que sean ni parecidos, sólo eso, comparten interfaz y tienen uso totalmente diferentes
      Cambiar la contraseña de un access point se aprende solamente leyendo el manual del mismo

  • Alfredo  El 16/04/2018 a las 19:19

    Hola!
    tengo un problema con los permisos de una carpeta.

    El tema es asi, he creado por medio del servidor de ficheros de windows, he compartido unas capertas con sus respectivas quotas, tengo un problema con el permiso borrado.

    He compartido un grupo a una carpeta, este grupo puede leer, crear carpetas, no puede borrar, y no tienen acceso a los permisos especiales,
    El fin de esta carpeta es que no puedan borrar, hasta ahi lo je podido configurar.
    un usuario pueda crear una carpeta, pero si quiere borrar no puede. El tema esta en que el usuario pueden entrar a cambiar sus permisos sobre esa carpeta. como propietario puede cambiar los permisos de sus carpeta y asi borrarlas. no puede acceder a los permisos especiales pero si a los otros y ponerse full control y borrarla … hay alguna forma de limitar esto.

  • Alberto  El 30/04/2018 a las 05:17

    Hola Guillermo, gracias por tu articulo, realmente interesante el tema de los permisos combinados.
    Te expongo la situación porque me pensaba que era bug de 2012R2 pero con 2016 ocurre exactamente igual y no veo la luz al final del túnel.
    Me interesa que un mismo usuario solo tenga permisos a \\server\share1 desde un equipo en concreto y a \\server\share2 desde otros equipos, por lo que he pensado en la combinación de permisos y añadir los dispositivos en las condiciones de limitación de acceso, me he encontrado que esto no funciona, aunque en los permisos efectivos indica que si, que por ejemplo el usuario Pepito debería tener permisos de escritura desde el dispositivo TerminalServer1 sobre la carpeta \\server\share1 y no sobre la carpeta \\server\share2, pero realmente al acceder desde TerminalServer1 no puede, también he intentado lo mismo sin permisos combinados, dando permisos a la máquina en vez de al usuario por lo que entiendo que cualquier usuario desde ese equipo debería poder acceder, pero tampoco ha funcionado? alguna idea de que puede estar pasando? tienes algún articulo relacionado con permisos de acceso a dispositivos en vez de a usuarios o grupos?

    Muchas gracias,

    • Guillermo Delprato  El 30/04/2018 a las 07:24

      Hola Alberto, no puedo usar los comentarios sobre la nota para tratar casos particulares
      Primero que nada aclaro para que no pierdas tiempo: darle permisos a un máquina de ninguna forma permite que cualquier usuario en esa máquina pueda … Esto da permisos a la cuenta de máquina, así que como no sea un servicio ejecutándose con la cuenta de máquina esto no funcionará
      Para configurar acceso usando cuenta de usuario más otra condición, por ejemplo la máquina donde está se puede usar “Dynamic Access Control” que es algo que se implementa totalmente diferente. Sobre esto hice un par de notas muy básicas que te paso para que veas, pero te recomiendo que busques info en Internet para ver mejor el tema
      Dynamic Access Control – 1 | WindowServer
      https://windowserver.wordpress.com/2014/10/01/dynamic-access-control-1/
      Dynamic Access Control – 2 | WindowServer
      https://windowserver.wordpress.com/2014/10/03/dynamic-access-control-2/

      • Alberto  El 30/04/2018 a las 11:03

        Genial Guillermo, le doy un vistazo a Dynamic Access Control

        Muchas gracias

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: