problema con permisos en carpetas

06/09/2007 - 12:44 por Rygar | Informe spam
Buenos dias,

Tengo problemas cuando estoy intentando acceder a una carpeta en el servidor
de filesystem, y es que al abrir un archivo, me indica " Word no puede abrir
el documento ya que el usuario no tiene privilegios de acceso (y me indica la
ruta)"

he mirado los permisos en el servidor, y tengo permisos de "control total"

a que puede ser debido?

gracias por adelantado,

un saludo

Preguntas similare

Leer las respuestas

#1 Luis
06/09/2007 - 18:42 | Informe spam
Por el problema que mencionas se me hace familiar y creo que es Windows 2000
o Advanced Server.
En primer lugar no basta con tener permisos de control total, yo tengo un
problema similar con una pc con win2k y ni siquiera me permite copiar un
archivo a mi usb porque la cuenta con la que se creo dicho archivo "tomo"
como propietario a todos los archivos de la PC.
Tendrias que probar en Opciones Avanzadas de Compartir y Seguridad y ver que
cuenta esta como propietario y cambiarla.
Espero te sirva
Respuesta Responder a este mensaje
#2 Rygar
06/09/2007 - 22:36 | Informe spam
Hola Luis,

el servidor tiene instalado w2003 estandar server

que usuario deberia ser el propietario? el administrador local? o el grupo
de DA que deberia tener acceso a la carpeta?

gracias, un saludo

"Luis" wrote:

Por el problema que mencionas se me hace familiar y creo que es Windows 2000
o Advanced Server.
En primer lugar no basta con tener permisos de control total, yo tengo un
problema similar con una pc con win2k y ni siquiera me permite copiar un
archivo a mi usb porque la cuenta con la que se creo dicho archivo "tomo"
como propietario a todos los archivos de la PC.
Tendrias que probar en Opciones Avanzadas de Compartir y Seguridad y ver que
cuenta esta como propietario y cambiarla.
Espero te sirva
Respuesta Responder a este mensaje
#3 Rodolfo Parrado Gutiérrez [MVP]
10/09/2007 - 06:38 | Informe spam
Ni lo uno ni lo otro que te han contestado...

Debes mirar los permisos si accedes es a un recurso compartido y deben
revisar los de security (NTFS) y los de share

algunas personas dezconocen que cuando se accede por red se deben mirar
ambos permisos...

Debido a la cantidad de preguntas que recibo en consultoría o a través de
foros he decidido publicar esto.

te pego esto para que te guies...y revises


Que es mas importante proteger las carpetas desde la opción SEGURIDAD o
desde la opción COMPARTIR?


Primero que todo estamos hablando que la partición esta en NTFS ya que FAT
no tiene opción de SEGURIDAD.


Algunos usuarios a veces se equivocan y protegen las carpetas compartidas
con usuarios y grupos en vez de proteger los permisos NTFS, que se
configuran con la opción de SEGURIDAD


Tiene más importancia SEGURIDAD. Vamos a ver si puedo explicar el porque.


COMPARTIR solo tiene 3 tipos de permisos, Control Total, Cambio y Lectura.


En cambio con SEGURIDAD tiene algunas opciones que al mezclarlas puede darle
los permisos necesarios a un usuario en NT.


En 2000, XP y 2003 esto se aumenta y existen mas formas de dar permisos,
ósea hay mas combinaciones (por ejemplo que pueda borrar archivos pero no
directorios etc. etc. ), las mezclas son según como usted las necesite.


Adicionalmente usted se esta asegurando que si un usuario accede a la
maquina físicamente, o por servicios de terminal, o utilizando algún
software de control remoto de terceros, estarán protegidas las diferentes
carpetas y archivos al igual como si las utilizara por la red.


Note que con SEGURIDAD le puede dar permisos sobre un único archivo a los
usuarios y grupos, en cambio con COMPARTIR solo lo puedo hacer sobre
carpetas.


La idea es esta :


En SEGURIDAD usted puede configurar los grupos con los permisos que
necesite.


(Los usuarios también se podrían configurar pero es aconsejable utilizar
grupos en las redes y no usuarios, en una maquina sin red podría configurar
los usuarios)


Si un usuario pertenece a varios grupos el permiso que le es asignado sobre
el recurso es el menos restrictivo o lo que es lo mismo se hace una union de
permisos ...


En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3
grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos
de SEGURIDAD sobre un recurso


GRUPOS PERMISOS


Contabilidad Lectura y Ejecución


Recursos Humanos Leer, Escribir


Proyectos Modificar


SYSTEM Control Total


Administradores Control Total


Entonces el usuario queda con el permiso de SEGURIDAD mas alto que es
Modificar. Ese es el permiso que le va a quedar al usuario cuando accede
localmente la maquina o por software remoto. Revise en la ayuda como se
comportan los diferentes permisos en archivos y carpetas.


Solo hay una regla que rompe esta norma y es cuando utilizan la opción de
[No access] en NT o Denegar en 2000,XP o 2003. Cualquier denegación manda
sobre cualquier acumulado de permisos, ejemplo si el usuario pertenece a
varios grupos y por lo menos en alguno le deniegan por ejemplo escribir, por
mas que en los otros grupos tuviera el permiso la denegación tiene prioridad
y nunca podrá escribir. Tambien conocida como negacion explicita.


Ojo las denegaciones se deben usar con cuidado, en raras ocasiones se debe
usar, si un grupo no necesita acceder a una carpeta solo deje los grupos que
necesite, y ese grupo no lo incluya, de esta manera no podrá acceder al
recurso. (Ojo recuerde quitar todos - everyone). Esto es lo que se llama una
negacion implicita.


Recuerde que el primer grupo que debe quitar en la SEGURIDAD es Todos
(Everyone) y debe dejar iniciando, SYSTEM con control total, y
Administradores con control total.


SYSTEM se debe dejar siempre debido a que algunos programas (ANTIVIRUS,
BACKUP, etc. ) utilizan SYSTEM para poder acceder a las carpetas y archivos.
El permiso que debe tener SYSTEM es Control Total. (recuerde que con SYSTEM
no es una cuenta con la que podrán iniciar sesión en una maquina).


Administradores se debe adicionar para que este grupo siempre tenga control
sobre una carpeta (o archivos). Si estamos en un dominio y se adiciona este
grupo sobre una maquina, nos estamos asegurando que cualquier administrador
de dominio podrá acceder a la carpeta para hacer algún mantenimiento debido
a que cuando una maquina es adicionada a un dominio, así sea un member
Server (NT, 2000, 2003) o una estación (NT, 2000, XP), una de las cosas que
suceden al ser dado de alta un equipo es adicionar el grupo global
Administradores de Dominio (Domain Admin.) al grupo local Administradores
(Administrators). así como adicionar el grupo global usuarios de dominio
(Domain Users) al grupo local Users. (suceden otras cosas pero estas son las
que nos interesan por ahora)


Ahora veamos que pasa con la casilla COMPARTIR.


Sucede lo mismo los permisos son acumulados dando el menos restrictivo a un
usuario basado en los grupos a los que el pertenezca. (Al igual que en NTFS
o SEGURIDAD), y también sucede lo mismo con la norma de denegar. Aqui
tambien se puede hablar de una Union de permisos.


Pero el permiso que le es concedido a un usuario al acceder por la red un
recurso compartido es el siguiente :


El permiso menos restrictivo de SEGURIDAD (Union) con el permiso menos
restrictivo de COMPARTIR (Union) se compara y queda el MAS RESTRICTIVO de
los dos y este es el permiso con el cual un usuario podrá acceder.
(Interseccion)


- Restrictivo SEGURIDAD -
Restrictivo COMPARTIR


+ Restrictivo ACCESO REAL


Veamos un ejemplo a ver si se entiende :


En este ejemplo vamos a hacer de cuenta que el usuario [user] pertenece a 3
grupos [contabilidad, recursos humanos, proyectos ] y estos son los permisos
de SEGURIDAD sobre un recursos


GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL
RED


Contabilidad Lectura Lectura
Lectura


Recursos Humanos Leer, Escribir Cambio
Leer, Escribir


Proyectos Modificar Cambio
Modificar


SYSTEM Control Total Control Total
Control Total


Administradores Control Total Control Total
Control Total


Note que Recursos Humanos podrá Leer y Escribir pero no podrá borrar aunque
en COMPARTIR tiene permisos de cambio (No podrá borrar archivos ni carpetas
un permiso que tiene cambio porque SEGURIDAD se lo restringe, ya que es MAS
restrictivo).


Adicionalmente ya con la explicación anterior, note que es mas importante
configurar los permisos en SEGURIDAD y en COMPARTIR podríamos dejar el grupo
todos (Everyone)


¿ Porque ? por ejemplo note esto, basado en el ejemplo anterior vamos a usar
todos (everyone) con Full Control, con el cual obtenemos los mismos
resultados :


GRUPOS SEGURIDAD COMPARTIR PERMISO FINAL RED


Todos (sin permisos) Control Total (no
tiene permisos)


Contabilidad Lectura (sin permisos)
Lectura


Recursos Humanos Leer, Escribir (sin permisos) Leer, Escribir


Proyectos Modificar (sin permisos)
Modificar


SYSTEM Control Total Control Total Control
Total


Administradores Control Total Control Total Control
Total


1. Contabilidad, Recursos Humanos y Proyectos quedaran con el permisos de
SEGURIDAD, ya que ellos pertenecen al grupo por defecto Todos (Everyone), y
es mas restrictivo este.


2. Cualquier usuario que no pertenezca a ninguno de los grupos anteriores al
tratar de usar el recurso compartido le mostrara un mensaje de acceso
denegado, ya que el usuario en los permisos de COMPARTIR pertenece al grupo
todos pero en el de SEGURIDAD no tiene un grupo relacionado, entonces queda
inhabilitado para poder acceder. Negacion Implicita.


Ahora mejoremos la seguridad un poco mas…


En un dominio en vez de utilizar el grupo todos (everyone) podría usar el
grupo Usuarios Autenticados (Authenticade Users) para asegurarse que solo
personas con cuentas en el dominio podrán acceder el recurso. (A no ser que
usuarios de otros sistemas (Unix, Novell, etc), que no tuvieran cuenta en el
dominio necesitaran acceder).


Tampoco de a un usuario el permiso de control total, ya que para escribir y
modificar archivos y carpetas no lo necesitan, esto es una confusión ya que
control total lo que permite es tomar control y cambiar los permisos de algo
y normalmente los usuarios no lo deberían tener. Con modificar pueden hacer
lo que necesiten.


Adicionalmente si adiciona un usuario a un grupo que ya tiene permisos sobre
algo, hagale notar al usuario que debe iniciar sesión de nuevo para que el
TOKEN quede con el nuevo grupo. Por ahora no nos metamos con el TOKEN.


Espero haber sido claro en una próxima ocasión adicionamos la información
del TOKEN y que es un grupo global local (y en directorio activo Universal).


Para herramientas para cambiar permisos desde la línea de comandos vea el
comando CACLS /?, y si puede descargue la versión que le muestra permisos
especiales XCACLS desde la pagina de Microsoft.


Para una un herramienta grafica baje DUMACL (DUMSEC) de www.systemtools.com


Es freeware.


Rodolfo Parrado Gutiérrez
MVP Windows Server Security MCT MCSE MCSA MCP+I
https://mvp.support.microsoft.com/profile/Rodolfo

La seguridad no es binaria. No es un switch o aún una serie de switches. No
es un firewall, IDS, NIDS, PIDS, APIDS, IPS, HIDS. No puede ser expresada en
términos absolutos. No le creas a cualquier persona que intente convencerte
de otra manera. La seguridad es relativa, es solamente más segura y menos
segura. Adicionalmente, la seguridad es dinámica, todo cambia, las personas,
los procesos y la tecnología. Es por eso que en el fondo todos estos
factores hacen el manejo de la seguridad más difícil. Ten siempre en mente
que las personas y los procesos son partes integrales de la seguridad.
Eduque a las personas y las empresas, con los principios, las prácticas y
las recomendaciones, no solamente para estar equipadas para administrar la
seguridad, sino también para que estén equipadas en pensar acerca de la
seguridad. La seguridad interna es importante, no solo la externa.


"Rygar" wrote in message
news:
Buenos dias,

Tengo problemas cuando estoy intentando acceder a una carpeta en el
servidor
de filesystem, y es que al abrir un archivo, me indica " Word no puede
abrir
el documento ya que el usuario no tiene privilegios de acceso (y me indica
la
ruta)"

he mirado los permisos en el servidor, y tengo permisos de "control total"

a que puede ser debido?

gracias por adelantado,

un saludo
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida