Modulo 4 Pgina 1
ACCESO A RECURSOS
INTRODUCCION
SECURITY PRINCIPAL
Es una entidad que puede ser autenticada por el sistema, un Security Principal puede ser tanto una cuenta de usuario, una
cuenta de computadora o un Grupo de Seguridad, Cada Security Principal que es creado se crea automticamente un
Security Identifier (SID), este SID es nico para cada entidad y no se vuelve a repetir dicho SID aunque los objetos sean
borrados. El SID se compone de valores numricos, ejemplo un usuario creado lleva un SID S-1-5-11.
En el momento que un usuario ingresa y es autenticado por el sistema, el sistema le va a crear un Access Token para este
usuario en particular y este Access Token va a contener lo siguiente:
1.- El SID del usuario, que es el identificador nico que representa al usuario
2.- Los SID de todos los grupos de Seguridad a los que pertenece el Usuario
3.- La lista de Privilegios que el usuario tiene.
SECURITY DESCRIPTOR
Es una estructura de informacin que est asociada a cada objeto asegurable, entendemos por un objeto asegurable por
ejemplo, un usuario en el AD, una carpeta compartida, un archivo, son objetos que les podemos asignar permisos y va ha
estar asociado un Security Descriptor a cada uno de esos Objetos, y el Security Descriptor va ha contener:
1.- El SID del dueo del Objeto,
2.- Las listas del control de acceso DACL, estos DACL van a contener un listado de todos los SID de los Security Principal,
junto con el nivel de acceso que tiene cada Security Principal a este objeto en particular
PERMISOS
Los permisos son componentes claves de la arquitectura de seguridad de Windows 2012, ya que pueden ser utilizados para
el proceso de Autorizar el Acceso a usuarios, grupo y computadoras hacia objetos especficos.
Los permisos estn ligados al objeto y se almacenan en el Security Descriptor de cada uno de ellos. Los permisos pueden
ser dados a los recursos como Archivos, impresoras, etc, pero tambin pueden ser asignados sobre Objetos del AD como los
Grupos, OU, etc.
Para ver los permisos Especiales nos tenemos que ir al Tab Advanced, y all podemos ver a los usuarios, al seleccionar uno
y darle Edit, podemos ver los permisos Avanzados o permisos NTFS, podemos seleccionar si el permiso va ha aplicar a este
objeto y los objetos hijos y tendr mucho mas permisos como Traverser Flder / Execute File, Lis Flder / Read Data, Read
Attributes, Create Files /Write Data, Create Folders / Appen Data, Write Attributes, Write Extended Attributes, Delete,
Read Permissions, Change Permissions, Take Ownership. Siempre estarn ligados a la columna Allow y Deny.
Modulo 4 Pgina 2
ACCESO A CARPETAS COMPARTIDAS
Una carpeta es accesible solamente para los usuarios que trabajan en una computadora de forma local, cuando esta carpeta
se comparte, dicha carpeta ahora estar disponible para los usuarios de la red, para que puedan ingresar de forma simultanea
y acceder a los archivos y carpetas que esta contiene.
Para compartir la carpeta, simplemente nos paramos sobre ella y le damos clic derecho, propiedades, y nos vamos a la
pestaa de Sharing, o compartir, le damos Share this flder, o compartir esta carpeta, en Share name por default nos aparece
el mismo nombre de la carpeta , pero podemos poner el nombre que queramos que los usuarios miren o accedan de forma
remota, En Windows Server 2012, Domain controller, solo pueden compartir las carpetas los Administrators y los miembros
del grupo Server Operators, en Windows Server 2012 Stand Alone, solo pueden compartir las carpetas los Administradores
y los usuarios del grupo Power Users, un usuario normal no puede compartir las carpetas,
De una vez le podemos asignar los permisos a esta carpeta, por default aparecen permisos de Read a el grupo Every one, lo
primero que debemos de hacer es eliminar este grupo y agregar a el grupo de Authenticated Users, la diferencia entre
Everyone y Authenticated Users, es que los segundos son todos los usuarios que se han autenticado hacia el servidor, es
decir que ya sabemos quienes son, mientras que Everyone es cualquier usuario autenticado o no autenticado. El smbolo que
le pone a una carpeta compartida es una Mano sosteniendo la carpeta.
Para hacer un Share Escondido se le pone el smbolo de Dlar al final del nombre Share name, ejemplo Data$, con esto no
se podr visualizar por los usuarios, para accesarla hay que usar el UCN Path
Cuando copiamos o movemos las carpetas, las carpetas destino no se comparten de forma automtica.
1.- Desde el Windows Explorer, buscamos la carpeta y le damos clic derecho Sharing, y le decimos que la queremos
compartir.
2.- Desde el Computer Managmente, nos vamos a Share Folders, Share, clic derecho y un nuevo Share, nos pregunta que
carpeta queremos compartir, la buscamos y nos pregunta que tipo de acceso todo por medio de un Wizard
3.- Desde la lnea de comandos, el comando es NET SHARE NombreaCompartir=path a compartir ejemplo
net share info=c:\info
1.- desde Ejecutar o Run, ponemos el UNC PATH ponemos \\nombredelamaquina\nombredelacarpeta \\Server\datos y le
damos ejecutar, automticamente nos abre el contenido de dicha carpeta.
2.- A travs de Mapeos de red, nos vamos a Mi PC, botn derecho y nos vamos a Map Network Drive, nos pregunta la letra
para acceder al Drive que crearla, y el UNC PATH, entonces podremos acceder a esta carpeta por medio del la letra
asignada a este Drive.
Modulo 4 Pgina 3
3.- Desde My network Place, Red Completa, Red de Windows, el nombre del Dominio, el nombre de la mquina, y all
veremos la carpeta.
PERMISOS EN CARPETAS
Para visualizar los permisos en una carpeta veremos que son un poco diferentes, nos vamos a la carpeta que queremos ver,
clic derecho, propiedades, Security, y vemos que tenemos diferentes permisos.
LIST FOLDER CONTENTS este nos sirve para visualizar los nombres de los archivos y sub folders que hay dentro de
una carpeta determinada.
READ nos sirve para visualizar archivos y sub folders y visualizar los atributos y el dueo y los diferentes permisos que se
tengan.
WRITE nos sirve para crear nuevos archivos y subcarpetas adems de cambiar los atributos y visualizar dueo y los
permisos.
READ & EXCUTE Tiene las funciones de READ y LIST FOLDER CONTENTS
MODIFY Nos sirve para borrar carpetas y tiene todos los permisos con WRITE y LIST FOLDERS AND CONTENTS
Modulo 4 Pgina 4
FULL CONTROL Nos permite hacer lo que queramos con las carpetas y archivos dentro de l.
HERENCIA
Para entender como trabaja la herencia en las particiones NTFS, para eso nos vamos a una carpeta esta la podemos llamar
como carpeta padre, y las subcarpetas contenidas las llamamos carpetas hijas, los permisos que tiene la carpeta padre son
heredadas por las carpetas hijas, si quisiramos bloquear la herencia, es decir que una carpeta hija tenga sus propios
permisos, seleccionamos la carpeta hija, botn derecho, propiedades, sobre la pestaa Seguridad, podemos visualizar los
permisos actuales de esta, veremos que ya tiene asignados ciertos permisos, y la columna allow y deny aparecen en gris,
seal de que estos permisos fueron heredados de la carpeta padre, si queremos modificar estos permisos, nos vamos al Tab
de avanzados, y simplemente quitamos el Cheque de Allow Inheritable permissions form the parent to propagate to this
object and all child objetcs, Incluye these with entries explicitly definied here. Cuando quitamos el Cheque de la
HERENCIA nos va a preguntar que permisos del padre sern aplicados a los objetos de la hija, si queremos COPIAR O
ELIMINAR los permisos, si le digo que queremos copiar los permisos, los va ha dejar igual como lo tenamos
anteriormente pero les va ha quitar el color gris para que los pueda modificar, si le digo REMOVE, nos va ha dejar la
carpeta sin ningn permiso asignado para que empiece a asignar permisos. Esto significa que cualquier modificacin que le
haga a la carpeta padre, ya no se va ha heredar a la carpeta hija.
PERMISOS EFECTIVOS
Cuando queremos estar encontrando los permisos share efectivos, simplemente debemos de tomar en cuenta una formula
bien sencilla, los permisos share son acumulativos, es decir tenemos que ver cuales son los permisos share y los vamos
sumando o concatenando la formula seria:
Permisos Share + Permisos Share + + Permisos Share
Y as todos los permisos que tenga un determinado usuario o un grupo que estemos evaluando o que estemos trabajando.
Pero existe la excepcin del DENY , el deny va a prevalecer sobre cualquier permiso. Es decir si un usuario pertenece a mil
grupos, y en los mil grupos se le asigno full control pero hay un grupo extra al cual se le asigno deny, el deny prevalece
sobre todos los otros full control.
El deny puede ser explcito como implcito, Se llama Deny Explcito cuando de forma directa se le asigna el permiso al
usuario o al grupo. El Deny implcito es cuando al usuario no se le ha asignado ningn permiso sobre una carpeta, y por
ende no tiene permisos sobre dicha carpeta.
Ejemplo: contamos con 2 grupos uno llamado VENTAS y otro llamado OPERACIONES, el grupo de Ventas contiene a los
usuarios LUIS Y PEDRO, mientras que el grupo de operaciones contiene nicamente al usuario PEDRO, tenemos una
carpeta compartida llamada DATA y cuenta con los permisos de Read para el grupo de Ventas y CHANGE para el grupo de
Operaciones, los permisos Share son Acumulativos entonces, el usuario PEDRO tiene el permiso efectivo Read + Change,
que es la suma de los permisos, y el usuario Luis solo tiene el permiso efectivo de read, debemos de tomar en cuenta que los
permisos share solo funcionan cuando la carpeta es acezada por medio de la red, de forma local no tienen ningn valor.
Los permisos NTFS se van a comportar de la misma manera que los permisos Share, ya que tambin son acumulativos, la
formula a utilizar para determinar cules son los permisos NTFS efectivos, es exactamente la misma que utilizamos para los
share.
Permisos NTFS + Permisos NTSF + + Permisos NTFS
A excepcin del DENY que prevalece sobre cualquier permiso. El proceso va ha ser exactamente igual para encontrar los
permisos NTFS q para los permisos Share.
Modulo 4 Pgina 5
Algo interesante que tienen los permisos NTFS, es que, este permiso va ha ser efectivo tanto cuando se accesa por medio de
la red, como de la forma local, esto si es diferente a los permisos Share, y los permisos de los archivos siempre van ha
prevalecer sobre los de la carpeta, es decir por ejemplo sobre la carpeta DATA tengo permisos de READ y dentro de la
carpeta data yo tengo un archivo con permisos de WRITE entonces mi permiso resultante es Write, porque el permiso del
archivo va ha prevalecer sobre el permiso de las carpetas, es decir, el permiso del hijo prevalece sobre el permiso del padre.
Cuando se combinan los permisos SHARE y los permisos NTFS para obtener el permiso resultante, el permiso real que va
ha tener un usuario en particular, o un Grupo en particular, sobre archivos y carpetas, se deben de seguir una formula que
tiene tres pasos sencillos:
1.- Encontrar por separado el permiso Share efectivo, para encontrarlo solo vamos a visualizar los permisos Share.
2.- Encontrar por separado el permiso efectivo NTFS
3.- Una vez a tenemos el permiso efectivo Share y el premiso efectivo NTFS, El permiso que va ha tener el usuario o grupo
va a ser el ms restrictivo de estos dos permisos que encontramos. Y con esto vemos fcilmente cuales son los permisos
resultantes.
Para conocer el permiso resultante cuando se combinan los permisos Share y los NTFS vamos hacer un ejemplo, primero
recordar la formula los 3 pasos que son.
1.- Encontrar los permisos Share Efectivos
2.- Encontrar los permisos NTFS Efectivos
3.- El permiso resultante es el ms restrictivo de ambos.
El usuario Luis Prez se queja de que no puede cambiar o modificar los archivos de la carpeta de data, as que primero
vamos a buscar la carpeta DATA clic derecho propiedades en la pestaa Sharing encontramos los permisos Share, al ver los
permisos vemos que Luis Prez tiene Full Control sobre la carpeta, vemos que el Grupo Ventas, tiene el permiso de READ,
y Luis Prez pertenece a este grupo por lo que sus permisos efectivos serian la suma de los dos Read + Full Control = Full
Control este seria su permiso efectivo Share.
Ahora vamos a ver las propiedades del archivo, clic derecho propiedades, pestaa Security, y vemos que el Usuario Luis
Prez Solo tiene los permisos NTFS read & execute + Read , as que queda de esta forma
Luis Prez permisos Share: Read+Full Control
Luis Prez Permisos NTFS: Read+Read&Execute
Ahora vamos a ver cual de estos dos permisos es el mas restrictivo, y nos damos cuenta que es el de Read+Read&Execute,
as que este usuario no puede hacer cambios en dicho archivo, dentro de esta carpeta compartida.
Otra forma de ver los permisos efectivos es cuando estamos parados sobre el archivo, vemos los permisos, y le damos en el
botn de Addvance pestaa Effective permission, este es un wizard que nos trae Windows, este nos sirve para ver los
permisos heredados, le damos el nombre del usuario y automticamente nos despliega los permisos efectivos para ese
usuario.
Soporte para Usuarios Mviles Son los usuarios que necesitan estar fuera de la red, y necesitan seguir trabajando sus
documentos.
Modulo 4 Pgina 6
El Trfico de la Red es Reducido ya que el cliente podra seguir leyendo el archivo del Cache Local y no utilizar el que
est en el servidor y esto nos ayuda a mejorar el trfico de la red.
Backup ya que los archivos se guardan en la maquina cliente, pero tambin se queda una copia en el servidor.
La sincronizacin de OffLine Files depende de las polticas de sincronizacin que se realicen pero de forma default o
estndar, se sincroniza cada vez que el usuario sale de su sesin, o cuando ingresa a la sesin, si se llega a detectar, cuando
se trata de sincronizar, que el archivo cambio tanto en el cliente como en el servidor, se le pedir al usuario que seleccione
con cual desea quedarse. Se puede sacar una copia del que se trabajo fuera de lnea, y luego sincronizar para que quede uno
con ambas copias.
CONFIGURANDO EL SERVIDOR
Para eso vamos a cualquier carpeta, y en el momento que la compartimos es donde se configura los OffLine Files, le damos
clic en Offline Settings, por default cada vez que se sincroniza una carpeta se le da la opcin al usuario de que los puede
trabajar fuera de lnea, es decir que cuando compartimos la carpeta, todos los archivos son potenciales para trabajarse fuera
de lnea, pero solamente se trabajan fuera de lnea, si el usuario escoge un archivo y le dice que lo quiere trabajar fuera de
lnea, ahora si quisiramos que cualquier archivo que el usuario seleccione lo trabaje fuera de lnea escogemos la opcin
All files and programs that users open from the share Hill be automatically avaliable offline si le dejamos el cheque que
optimize el rendimiento, tambin los archivos exe y ejecutables los va ha descargar a la maquina del usuario para que estos
no los tenga que venir a leer a la red, o si no queremos que ningn archivo o programa se trabaje fuera de lnea
seleccionamos la ultima opcin.
CONFIGURANDO EL CLIENTE
Para eso nos vamos ala maquina del usuario desde donde accesa los archivos, primero vamos a ver algo importante desde
mi pc, drive c, tools, flder options, pestaa Offline Files, como vemos ya se encuentran habilitados porque,
Ahora accesamos la carpeta que tiene la opcin de OffLines, como seleccione que cada usuario decide que archivos quiere
trabajar fuera de lnea, el usuario debe de darle clic derecho y le dice que lo quiere hacer disponible fuera de lnea Make
Avaliable OffLine, lo marca, y en ese momento se va ha sincronizar, y este archivo cambio el icono con dos flechitas que
indica que este esta fuera de lnea.
Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y
generar notificaciones cuando los usuarios intenten guardar archivos no autorizados.
Definir plantillas de filtrado de archivos que puedan aplicarse a nuevos volmenes o carpetas y
que pueden utilizarse en toda una organizacin.
Crear excepciones de filtrado de archivos que amplen la flexibilidad de las reglas de filtrado de
archivos.
Modulo 4 Pgina 7
Implementar un proceso de filtrado para enviarle una notificacin por correo electrnico cada
vez que se almacene un archivo ejecutable en una carpeta compartida, que incluya informacin
del usuario que almacen el archivo y la ubicacin exacta de ste, de modo que puedan tomarse
las medidas preventivas pertinentes.
Cree filtros de archivos para impedir que se guarden en un volumen o un rbol de carpetas los archivos
que pertenezcan a grupos de archivos determinados. El filtro de archivos afecta a todas las carpetas de
la ruta de acceso designada. Por ejemplo, puede crear un filtro de archivos para impedir que los
usuarios almacenen archivos de vdeo y audio en sus carpetas personales en el servidor.
Puede configurar el Administrador de recursos del servidor de archivos para que genere notificaciones
por correo electrnico o de otro tipo cuando se produzca un evento de filtrado de archivos.
El filtrado activo impide que los usuarios guarden tipos de archivo no autorizados en el
servidor.
El filtrado pasivo supervisa a los usuarios que guardan tipos de archivo especficos y genera las
notificaciones configuradas, pero no les impide que guarden archivos.
El filtro de archivos no impide que los usuarios y las aplicaciones tengan acceso a los archivos que se
guardaron en la ruta de acceso antes de que se creara el filtro de archivos, incluso si los archivos
pertenecen a grupos de archivos bloqueados.
Modulo 4 Pgina 8
Modulo 4 Pgina 9