lunes, 26 de enero de 2009

Los permisos NTFS

Los permisos de Share son necesarios para poder compartir un recurso en un servidor, pero el control verdadero y detallado sobre un recurso lo dan los permisos NTFS. Los permisos NTFS son los que definen el acceso a los recursos de File System. Pueden ser asignados a nivel de disco, directorios o incluso un simple archivo. Para ver los permisos NTFS utilizamos la solapa “Security” en las Propiedades del objeto que deseamos.



Fig 1


En la Figura 1 se ven las propiedades de Seguridad de la carpeta “DATA”. Los usuarios o grupos que tienen permisos sobre el recurso (o tienen negado específicamente el acceso) están listados debajo de “Group Or user names:”, esta lista se llama ACL o lista de control de acceso, por sus siglas en inglés. Más abajo aún podemos ver donde dice “Permissions for Users” el permiso que tiene cada uno de los usuarios listados arriba. En este ejemplo se ve que todos los usuarios del grupo “Users” del equipo “LAB” tienen permiso de “Read & Execute” (Lectura y ejecución), “List Folder Contents” (Listar contenido de directorio) y “Read” (Lectura ) sobre el directorio “Data”.

Con los botones “Add…” y “Remove” podemos agregar o quitar usuarios de la lista, para luego especificar qué permisos queremos darles o quitarles. Hasta aquí es bastante simple, pero falta un tema principal en cuanto a permisos: el concepto de herencia. Si observamos los permisos que tiene el grupo “Users”, vemos que los check box están grisados, esto quiere decir que no se pueden quitar, porque este permiso está heredado de un nivel superior. La herencia es muy práctica, porque si no existiera, a cada nuevo directorio o archivo creado se le deberían asignar permisos. Siguiendo con nuestro ejemplo, cada directorio nuevo o archivo que se crea dentro de la carpeta “DATA” tendrá para el grupo “Users” los mismos permisos que tiene en dicha carpeta, como éste es el caso más común, es el comportamiento por default y no requiere ninguna intervención.

Si por el contrario queremos quitar algún usuario (o grupo) de la lista o cambiar los permisos, deberemos abrir una nueva ventana con el botón “Advanced” como se ve en la Figura 2


Fig 2

Como introducción vamos a indicar las funciones que se encuentran en esta nueva ventana.

Con “Add…”, “Edit...” y “Remove” podemos agregar, quitar o editar los permisos con más opciones que en la solapa anterior.

Los check box nos permiten manejar la herencia. El check de “Allow inheritable permission…” hace que este objeto herede los mismos permisos que su contenedor superior, en nuestro caso el directorio “Data” hereda los permisos del disco X:\ ya que se encuentra en el directorio raíz de dicho volumen. Con “Replace permission entries…” hacemos que los objetos dentro del objeto que estamos configurando, hereden los mismos permisos que modificamos aquí.
La solapa de Owner nos permite tomar propiedad del objeto. Esto es útil por ejemplo para acceder a un directorio de un usuario que abandonó la empresa y su cuenta de usuario fue borrada. También es utilizado cuando estamos cambiando permisos o herencias y nos encontramos con el problema de dejarnos sin permisos a nosotros mismos.

Por suerte es mucho más simple poner todo esto en práctica que intentar aprenderlo de memoria.

Una última aclaración: los permisos NTFS són sólo una parte del NTFS File System.

Para aprender más…

http://nextadmin.blogspot.com/2008/12/share-permissions.html
http://support.microsoft.com/kb/100108
http://technet.microsoft.com/en-us/magazine/2005.11.howitworksntfs.aspx
http://technet.microsoft.com/en-us/library/cc754178.aspx