Permisos NTFS y Estrategia de Grupo
Enviado por Programa Chuletas y clasificado en Informática y Telecomunicaciones
Escrito el en 
español con un tamaño de 12,02 KB
Permisos NTFS
Administración de permisos
Para administrar los permisos en una carpeta o fichero, accedemos a sus propiedades y a la pestaña seguridad, agregamos los grupos y los usuarios a la ACL y administramos sus permisos. Para una mayor granularidad en la aplicación de los permisos, podemos usar los permisos especiales con el botón avanzada.
Por defecto, cuando se crea un fichero o una carpeta hereda los atributos de seguridad de la carpeta inmediatamente superior. El problema está en que la más alta es el disco y este por defecto se configura con permisos para el grupo todos con control total. Esta configuración debe ser cambiada a otra que incluya usuarios autentificados con permiso de modificar y solo el grupo administradores debe tener control total.
Archivo
La ACL de los archivos incluye los siguientes permisos:
Leer: Se puede leer el archivo y ver sus permisos, atributos y quién es su propietario.
Escribir: Es posible sobrescribir en el archivo. Ver al propietario y los permisos del archivo. Modificar sus atributos.
Lectura y Ejecución: Se pueden ejecutar aplicaciones e incluye el permiso Escribir obligatoriamente.
Modificar: Se puede modificar o eliminar el archivo, e incluye los permisos Escribir, y Lectura y ejecución.
Control Total: Puedes tomar la propiedad y modificar los permisos, e incluye todos los permisos anteriores.
Carpeta
La ACL de las carpetas incluyen los siguientes permisos:
Leer: Permite ver archivos y subcarpetas dentro de la carpeta, ver los permisos y atributos de carpeta y saber quien es el propietario.
Escribir: Permite crear archivos y subcarpetas en la carpeta, modificar atributos de carpeta, ver el propietario y los permisos.
Listar el Contenido de la Carpeta: Ver los nombre de archivos y subcarpetas en la carpeta.
Lectura y Ejecución: Te puedes mover por las carpetas para llegar a leer otros archivos y carpetas donde en principio no tendrías permisos, además incluye los permisos de Leer y Listar el contenido de la carpeta.
Modificar: Puedes eliminar la carpeta e incluye los permiso de Escribir y Lectura y ejecución.
Control Total: Puedes modificar los permisos, tomar la propiedad, eliminar subcarpetas y archivos, y además tienes todos los permisos anteriores.
Permisos especiales
Los permisos especiales permiten una mayor granularidad a la hora de aplicar restricciones. En realidad, lo permisos antes descritos son conjuntos de estos permisos.
2.5. La herencia de permisos
Bloqueo de herencia desde la carpeta hija:
Los permisos se heredan desde la carpeta padre a las subcarpetas y archivos hijos, si bien este comportamiento se puede modificar. En la pestaña seguridad existe una opción para bloquear la herencia entre la carpeta padre y la que estamos administrando:
Si desmarcamos esta opción bloqueamos la herencia, siempre desde el punto de vista de la carpeta hija:
Forzar la herencia desde la carpeta padre:
Si desde la pestaña seguridad hacemos clic en avanzada podemos modificar el comportamiento desde la carpeta padre para que obligue a todas sus hijas a heredar sus permisos:
A pesar de haber bloqueado la herencia en la carpeta hija, marcando esta opción en la carpeta padre sobrescribe la ACL de la carpeta hija.
Bloquear la herencia desde la carpeta padre:
Por último, para administrar un permiso en la carpeta padre y que este no se herede a las carpetas hijas configuradas para heredar, vamos a la pestaña en la que se administran los permisos especiales y marcamos la siguiente:
Así los permisos que apliquemos en esta ventana a la carpeta padre no se heredarán a las carpetas hijas aunque estas estén configuradas para heredar. Es decir, bloqueamos la herencia desde la carpeta padre.
Las Leyes de los permisos NTFS
Lo que no está explícitamente permitido, está implícitamente denegado.
Los permisos NTFS se suman por pertenencia a grupos. Esto quiere decir que si por la pertenencia a un grupo tenemos permiso de lectura y por pertenencia a otro lo tenemos de escritura, se sumarán y obtendremos lectura y escritura.
Denegar prevalece. Siempre prevalece denegar. Si una cuenta tiene privilegios de lectura por pertenencia a un grupo y de denegar leer por pertenencia a otro, prevalece denegar. No se recomienda usar denegar por la dificultad que entraña el posterior rastreo de permisos.
Prevalecen los permisos de fichero sobre los de carpeta: Si sobre una carpeta no tenemos permisos pero sobre un fichero que hay dentro de ella si, podremos acceder a él usando file:// y la ruta al fichero desde ejecutar.
ESTRATEGIAS UTILIZANDO GRUPOS
Estrategias utilizando grupos en un dominio simple.
En inglés lo denominan A G DL P, y sería el anidamiento adecuado.
A = Users Accounts
G = Global Groups
DL= Domain Local Groups
P = Permissions
Lo que vendría a decir qué:
Agrupamos a los usuarios en un Grupo Global, y éstos se agrupan en un grupo local de dominio, ya sea uno de los existentes o cualquier otro que hayamos creado nosotros, toda vez que tenemos el anidamiento aplicaríamos los permisos a los recursos, archivos, impresoras, etc... al Grupo Local de Dominio, y no a los grupos globales ni a los usuarios.
Ahora veamos el anidamiento y las diversas estrategias posibles en múltiples dominios.
¿Qué es el anidamiento de grupos?
Al utilizar el anidamiento de grupos lo que haces es hacer a un grupo miembro de otro.
Las opciones dependerán del nivel de funcionalidad del dominio establecido.
E un nivel mixto no se pueden crear grupos de seguridad de ámbito universal.
Un grupo Universal puede contener cuentas de usuario, cuentas de equipo, otros grupos universales y globales de cualquier dominio.
Un grupo global puede contener cuentas de usuario, cuentas de equipo, grupos universales y globales del mismo dominio del grupo global.
Un grupo de dominio local puede contener cuentas de usuario, grupos universales y globales de cualquier dominio. Además pueden contener otros grupos de dominio local del mismo dominio.
Consejo: Minimiza el anidamiento, un sólo nivel de anidamiento es el más efectivo método, porque el seguimiento de los permisos se complica con múltiples niveles.
Estrategias de grupo
Si queremos utilizar grupos de forma efectiva necesitaremos pensar en unas estrategias para aplicarlas a los diferentes ámbitos de grupo. La elección de éstas depende del entorno de la Red Windows de tu empresa. En un dominio simple, la practica más común es utilizar grupos globales y de dominio local para asignar permisos a los recursos de la red. En entornos de múltiples dominios, se pueden añadir grupos globales y universales en la estrategia.
Con A G P , emplazas cuentas de usuarios(A) en grupos globales(G) y les asignas permisos(P) a los grupos globales. La limitación de ésta es que se complica su administración en múltiples dominios. Si los grupos globales de varios dominios requieren los mismos permisos, entonces debes asignarlos a cada grupo global individualmente.
Esta estrategia (A G P) se puede utilizar en bosques de un sólo dominio y pocos usuarios y al que no se añadirán otros dominios.
- Tiene las ventajas de que los grupos no necesitan anidamiento y por tanto la solución de problemas es más fácil, y las cuentas pertenecen a un ámbito de grupo sólo.
- Las desventajas son que cada vez que un usuario se autentica en un recurso, el servidor debe comprobar el grupo global al que pertenece para determinar si el usuario todavía es miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guardá en caché.
Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que damos permisos(P). Una limitación de ésta estrategia es que no podemos asignar permisos a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad según la red va creciendo.
Podemos utilizarla en un bosque donde se cumple lo siguiente:
- Sólo hay un dominio y pocos usuarios.
- Nunca añadirás otros dominios al bosque.
- No hay servidores miembros con Windows NT en el dominio.
Tiene las ventajas de que las cuentas pertenecen a un ámbito de grupo sólo y los grupos no están anidados facilitando la resolución de problemas.
En cambio, el funcionamiento se degrada, porque cada grupo de dominio local tiene demasiados miembros que deben ser autenticados.
A G DL P, aquí emplazamos cuentas de usuario(A) en grupos globales(G), y a éstos en grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizás ofrece mayor flexibilidad para el crecimiento de la red y reduzca el número de veces en que necesitamos configurar permisos.
Podemos utilizarla en un bosque consistente en uno o más dominios y al que añadiremos otros en el futuro.
Cuenta con las ventajas de que los dominios son flexibles y los propietarios de los recursos requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos.
Como desventaja diremos que es una estructura escalonada más compleja en su inicio, pero más fácil de manejar al pasar el tiempo.
A G U DL P, emplazamos cuentas de usuarios(A), en grupos globales(G), estos en grupos Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les asignamos permisos(P).
Dicha estrategia se utilizaría en un bosque con más de un dominio donde los administradores necesitan administración centralizada para muchos grupos globales.
- Sus ventajas serían una flexibilidad a lo largo del bosque y la administración estaría centralizada.
(Los grupos de dominio local no deberían usarse para asignar permisos a objetos de AD en un bosque con más de un dominio.
Como desventajas nos encontramos con:
- que los miembros de los grupos universales se almacenan en el catálogo global. (El catálogo global es un DC que almacena una copia de TODOS los objetos del AD en un bosque. El catálogo global almacena copia completa de todos los objetos de AD de su propio dominio y una copia parcial de todos los objetos de los otros dominios del bosque)
- Puede ser necesario añadir más servidores catálogo global.
- Se aumenta la latencia de la replicación de catálogo global, refereido al tiempo que se tarda en replicar cada servidor catálogo global en el bosque.
Hay una desventaja al usar grupos Universales, sólo si estos tienen muchos miembros dinámicos con un tráfico alto de replicación de catálogo global, por los cambios en sus miembros, en un bosque multidominios. Con G U DL P, esto es menor porque los miembros de los grupos universales son relativamente estáticos (esto es, contiene grupos globales, no usuarios individuales).
A G L P, esta estrategia está limitada a los recursos del equipo local.
Puede utilizarse el mismo grupo global en múltiples equipos locales.
Esta estrategia podría usarse si el dominio cumple ciertas características:
- Se ha actualizado desde Windows NT a Windows Server 2003
- Contiene un sólo dominio
- Tiene pocos usuarios
- No se añadirán nunca otros dominios.
- Para mantener estrategia de grupos de Windows NT
- Para mantener centralizada la administración de usuarios y descentralizada la de recursos
Administración de permisos
Para administrar los permisos en una carpeta o fichero, accedemos a sus propiedades y a la pestaña seguridad, agregamos los grupos y los usuarios a la ACL y administramos sus permisos. Para una mayor granularidad en la aplicación de los permisos, podemos usar los permisos especiales con el botón avanzada.
Por defecto, cuando se crea un fichero o una carpeta hereda los atributos de seguridad de la carpeta inmediatamente superior. El problema está en que la más alta es el disco y este por defecto se configura con permisos para el grupo todos con control total. Esta configuración debe ser cambiada a otra que incluya usuarios autentificados con permiso de modificar y solo el grupo administradores debe tener control total.
Archivo
La ACL de los archivos incluye los siguientes permisos:
Leer: Se puede leer el archivo y ver sus permisos, atributos y quién es su propietario.
Escribir: Es posible sobrescribir en el archivo. Ver al propietario y los permisos del archivo. Modificar sus atributos.
Lectura y Ejecución: Se pueden ejecutar aplicaciones e incluye el permiso Escribir obligatoriamente.
Modificar: Se puede modificar o eliminar el archivo, e incluye los permisos Escribir, y Lectura y ejecución.
Control Total: Puedes tomar la propiedad y modificar los permisos, e incluye todos los permisos anteriores.
Carpeta
La ACL de las carpetas incluyen los siguientes permisos:
Leer: Permite ver archivos y subcarpetas dentro de la carpeta, ver los permisos y atributos de carpeta y saber quien es el propietario.
Escribir: Permite crear archivos y subcarpetas en la carpeta, modificar atributos de carpeta, ver el propietario y los permisos.
Listar el Contenido de la Carpeta: Ver los nombre de archivos y subcarpetas en la carpeta.
Lectura y Ejecución: Te puedes mover por las carpetas para llegar a leer otros archivos y carpetas donde en principio no tendrías permisos, además incluye los permisos de Leer y Listar el contenido de la carpeta.
Modificar: Puedes eliminar la carpeta e incluye los permiso de Escribir y Lectura y ejecución.
Control Total: Puedes modificar los permisos, tomar la propiedad, eliminar subcarpetas y archivos, y además tienes todos los permisos anteriores.
Permisos especiales
Los permisos especiales permiten una mayor granularidad a la hora de aplicar restricciones. En realidad, lo permisos antes descritos son conjuntos de estos permisos.
2.5. La herencia de permisos
Bloqueo de herencia desde la carpeta hija:
Los permisos se heredan desde la carpeta padre a las subcarpetas y archivos hijos, si bien este comportamiento se puede modificar. En la pestaña seguridad existe una opción para bloquear la herencia entre la carpeta padre y la que estamos administrando:
Si desmarcamos esta opción bloqueamos la herencia, siempre desde el punto de vista de la carpeta hija:
Forzar la herencia desde la carpeta padre:
Si desde la pestaña seguridad hacemos clic en avanzada podemos modificar el comportamiento desde la carpeta padre para que obligue a todas sus hijas a heredar sus permisos:
A pesar de haber bloqueado la herencia en la carpeta hija, marcando esta opción en la carpeta padre sobrescribe la ACL de la carpeta hija.
Bloquear la herencia desde la carpeta padre:
Por último, para administrar un permiso en la carpeta padre y que este no se herede a las carpetas hijas configuradas para heredar, vamos a la pestaña en la que se administran los permisos especiales y marcamos la siguiente:
Así los permisos que apliquemos en esta ventana a la carpeta padre no se heredarán a las carpetas hijas aunque estas estén configuradas para heredar. Es decir, bloqueamos la herencia desde la carpeta padre.
Las Leyes de los permisos NTFS
Lo que no está explícitamente permitido, está implícitamente denegado.
Los permisos NTFS se suman por pertenencia a grupos. Esto quiere decir que si por la pertenencia a un grupo tenemos permiso de lectura y por pertenencia a otro lo tenemos de escritura, se sumarán y obtendremos lectura y escritura.
Denegar prevalece. Siempre prevalece denegar. Si una cuenta tiene privilegios de lectura por pertenencia a un grupo y de denegar leer por pertenencia a otro, prevalece denegar. No se recomienda usar denegar por la dificultad que entraña el posterior rastreo de permisos.
Prevalecen los permisos de fichero sobre los de carpeta: Si sobre una carpeta no tenemos permisos pero sobre un fichero que hay dentro de ella si, podremos acceder a él usando file:// y la ruta al fichero desde ejecutar.
ESTRATEGIAS UTILIZANDO GRUPOS
Estrategias utilizando grupos en un dominio simple.
En inglés lo denominan A G DL P, y sería el anidamiento adecuado.
A = Users Accounts
G = Global Groups
DL= Domain Local Groups
P = Permissions
Lo que vendría a decir qué:
Agrupamos a los usuarios en un Grupo Global, y éstos se agrupan en un grupo local de dominio, ya sea uno de los existentes o cualquier otro que hayamos creado nosotros, toda vez que tenemos el anidamiento aplicaríamos los permisos a los recursos, archivos, impresoras, etc... al Grupo Local de Dominio, y no a los grupos globales ni a los usuarios.
Ahora veamos el anidamiento y las diversas estrategias posibles en múltiples dominios.
¿Qué es el anidamiento de grupos?
Al utilizar el anidamiento de grupos lo que haces es hacer a un grupo miembro de otro.
Las opciones dependerán del nivel de funcionalidad del dominio establecido.
E un nivel mixto no se pueden crear grupos de seguridad de ámbito universal.
Un grupo Universal puede contener cuentas de usuario, cuentas de equipo, otros grupos universales y globales de cualquier dominio.
Un grupo global puede contener cuentas de usuario, cuentas de equipo, grupos universales y globales del mismo dominio del grupo global.
Un grupo de dominio local puede contener cuentas de usuario, grupos universales y globales de cualquier dominio. Además pueden contener otros grupos de dominio local del mismo dominio.
Consejo: Minimiza el anidamiento, un sólo nivel de anidamiento es el más efectivo método, porque el seguimiento de los permisos se complica con múltiples niveles.
Estrategias de grupo
Si queremos utilizar grupos de forma efectiva necesitaremos pensar en unas estrategias para aplicarlas a los diferentes ámbitos de grupo. La elección de éstas depende del entorno de la Red Windows de tu empresa. En un dominio simple, la practica más común es utilizar grupos globales y de dominio local para asignar permisos a los recursos de la red. En entornos de múltiples dominios, se pueden añadir grupos globales y universales en la estrategia.
Con A G P , emplazas cuentas de usuarios(A) en grupos globales(G) y les asignas permisos(P) a los grupos globales. La limitación de ésta es que se complica su administración en múltiples dominios. Si los grupos globales de varios dominios requieren los mismos permisos, entonces debes asignarlos a cada grupo global individualmente.
Esta estrategia (A G P) se puede utilizar en bosques de un sólo dominio y pocos usuarios y al que no se añadirán otros dominios.
- Tiene las ventajas de que los grupos no necesitan anidamiento y por tanto la solución de problemas es más fácil, y las cuentas pertenecen a un ámbito de grupo sólo.
- Las desventajas son que cada vez que un usuario se autentica en un recurso, el servidor debe comprobar el grupo global al que pertenece para determinar si el usuario todavía es miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guardá en caché.
Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que damos permisos(P). Una limitación de ésta estrategia es que no podemos asignar permisos a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad según la red va creciendo.
Podemos utilizarla en un bosque donde se cumple lo siguiente:
- Sólo hay un dominio y pocos usuarios.
- Nunca añadirás otros dominios al bosque.
- No hay servidores miembros con Windows NT en el dominio.
Tiene las ventajas de que las cuentas pertenecen a un ámbito de grupo sólo y los grupos no están anidados facilitando la resolución de problemas.
En cambio, el funcionamiento se degrada, porque cada grupo de dominio local tiene demasiados miembros que deben ser autenticados.
A G DL P, aquí emplazamos cuentas de usuario(A) en grupos globales(G), y a éstos en grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizás ofrece mayor flexibilidad para el crecimiento de la red y reduzca el número de veces en que necesitamos configurar permisos.
Podemos utilizarla en un bosque consistente en uno o más dominios y al que añadiremos otros en el futuro.
Cuenta con las ventajas de que los dominios son flexibles y los propietarios de los recursos requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos.
Como desventaja diremos que es una estructura escalonada más compleja en su inicio, pero más fácil de manejar al pasar el tiempo.
A G U DL P, emplazamos cuentas de usuarios(A), en grupos globales(G), estos en grupos Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les asignamos permisos(P).
Dicha estrategia se utilizaría en un bosque con más de un dominio donde los administradores necesitan administración centralizada para muchos grupos globales.
- Sus ventajas serían una flexibilidad a lo largo del bosque y la administración estaría centralizada.
(Los grupos de dominio local no deberían usarse para asignar permisos a objetos de AD en un bosque con más de un dominio.
Como desventajas nos encontramos con:
- que los miembros de los grupos universales se almacenan en el catálogo global. (El catálogo global es un DC que almacena una copia de TODOS los objetos del AD en un bosque. El catálogo global almacena copia completa de todos los objetos de AD de su propio dominio y una copia parcial de todos los objetos de los otros dominios del bosque)
- Puede ser necesario añadir más servidores catálogo global.
- Se aumenta la latencia de la replicación de catálogo global, refereido al tiempo que se tarda en replicar cada servidor catálogo global en el bosque.
Hay una desventaja al usar grupos Universales, sólo si estos tienen muchos miembros dinámicos con un tráfico alto de replicación de catálogo global, por los cambios en sus miembros, en un bosque multidominios. Con G U DL P, esto es menor porque los miembros de los grupos universales son relativamente estáticos (esto es, contiene grupos globales, no usuarios individuales).
A G L P, esta estrategia está limitada a los recursos del equipo local.
Puede utilizarse el mismo grupo global en múltiples equipos locales.
Esta estrategia podría usarse si el dominio cumple ciertas características:
- Se ha actualizado desde Windows NT a Windows Server 2003
- Contiene un sólo dominio
- Tiene pocos usuarios
- No se añadirán nunca otros dominios.
- Para mantener estrategia de grupos de Windows NT
- Para mantener centralizada la administración de usuarios y descentralizada la de recursos