Sei sulla pagina 1di 29

Modulo 4

Manejo de acceso a
recursos en el
Directorio Activo

Module Overview
Manejo de Accesos
Manejo de Permisos NTFS y de Folder
Asignacion de permisos a recursos compartidos
Determinando permisos efectivos

Lesson 1: Managing Access Overview


Que son las metas de seguridad?
Que son los tokens de acceso?
Que son los permisos ?
Como trabaja el control de acceso

Cuales son las llaves de seguridad


Meta principal - Para los usuarios, grupos o computadoras que
pueden ser usadas para la autenticacion y la asignacion de acceso a
los recursos.
ID de Seguridad(SID) Es un valor asignado cuando los usuarios,
equipos o grupo de seguridad es creado. Un proceso interno refiere
este numero a las cuentas, en vez de nombres.
ID Relativo (RID) Parte del SID que identifica exclusivamente a
un grupo o cuenta en el dominio.
Security Principal

SID
S-1-5-211454471165100433634816069808485555

DomainID
RID

Que son los tokens de acceso?


Sujeto

Token de acceso del


usuario
SID del usuario
SID del grupo
Lista de derechos
del usuario
Informacion de
otros accesos

Que son los permisos?


Permisos:
Son reglas que asignan o denegan el acceso a un objeto.
Usados para el control de acceso.

Como se asignan los permisos?


Permite y denega permisos para ser asignados a los
recursos. (folder, impresoras, archivos)
Permisos pueden ser asignados a cuentas de de equipos
locales o de DA
Permisos pueden ser explicitamente aplicados, por
inherencia o aplicados explicitamente

Como es que el control de acceso trabaja.


Lista de control de acceso discrecional. (DACL)
DACL contiene la lista de usuarios y grupos que pueden accesar o
haberle denegado el acceso al recurso.
Cada archivo y folder en el volumen NTFS tiene asociado un DACL

Lista de sistema de control de acceso (SACL)


SACL controla la auditoria del acceso a los recursos

Entrada de control de acceso (ACE)


Define cada entrada en la DACL o SACL
Especifica la serie de SIDs que son permitidos, denegados o
auditados
Si no hay ACE especificado en la DACL, el acceso al recurso es
denegado

Leccion 2: Manejo de los permisos NTFS asi como los


permisos de folder
Que son los permisos NTFS ?
Que son los permisos estandar y los permisos especiales ?
Que es la inherencia en los permisos NTFS?
Efectos de los permisos NTFS cuando los archivos son

copiados o movidos

Que son los permisos NTFS

Permisos de archivos

Permisos de folder

Lectura

Lectura

Escritura

Escritura

Lectura y Ejecucion

Lista de contenido de folder

Modificacion

Lectura y Ejecucion

Control Total

Modificacion
Control Total

La negacion de los permisos toma precedencia sobre los


permisos de permitir.

Que son los permisos estandar y los permisos


especiales
Permiso especial
Recorrer carpeta /
Ejecutar archivo

Crear carpetas / Anexar


datos

Permisos de lectura

Listar carpeta / Leer


datos

Atributos de escritura

Cambiar permisos

Atributos de lectura

Atributos extendidos de
escritura

Tomar posesin

Atributos extendidos de
lectura

Eliminar subcarpetas y
archivos

Sincronizar

Crear archivos / Escribir


datos

Eliminar

Standard Permissions
Lectura

Listar contenido de
carpeta

Modificacion

Escritura

Lectura y ejecucion

Control Total

Que es la inherencia en los permisos NTFS


Inherencia es usada para manejar el acceso a recursos sin
asignar permisos explicitos para cada objeto.
Por default los permisos NTFS son inherentes en la relacion
padre - hijo

Bloqueo
La inherencia en los permisos puede ser bloqueada
El bloqueo puede ser aplicado a un archivo o un folder.
Bloqueando un folder podra ser configuracion para
nuevos permisos a los objetos hijos.

Demostracion: Configuracion de archivos NTFS


En esta demostracion , podras observar
Configuracion de permisos NTFS

Revisar las notas

Efectos en los permisos NTFS cuando se copia o


mueven archivos y folders.

NTFS Partition
C:\
NTFS Partition
D:\

Copy
Move

NTFS Partition
E:\

Cuando copias archivos y folders, ellos

Copy
or
Move

inherentemente adquieren los permisos del folder


destino.

Cuando mueves archivos y folders a la misma

particion, se mantienen los permisos.

Cuando mueves archivos y folders a diferente

particion ellos adquieren los permisos del folder


destino.

Leccion 3 : Asignacion de permisos para recursos


compartidos.
Que son los recursos compartidos ?
What Are Administrative Shared Folders?
Shared Folder Permissions
Connecting to Shared Folders
Considerations for Using Shared Folders
Offline File Configuration and Deployment

Que son las carpetas compartidas?


Las carpetas compartidas son folders que tienen permitido el
acceso a su contenido

Las carpetas pueden ser compartidas, pero archivos


individuales no.
Por default las carpetas compartidas tienen Control Total
para todos los usuarios
Las carpetas compartidas pueden ser identificadas por :
Atraves de la consola de administracion de recursos
compartidos y almacenamiento
En el explorador de Windows por los dos usuario en el icono
del folder
Atraves del la linea de comandos Net Share
Atraves del Administrador de equipo bajo Carpetas
Compartidas.

Que son las carpetas compartidas de


administracion?
Carpetas administrativas:

Estan ocultas
No son visualizadas cuando se usa Net View o en la vista
de red.
Los administradores
tienen todos los permisos

Los permisos de compatir


no pueden ser cambiados

Permisos de Carpeta Compartida


Niveles de
permisos

Accesos
Permite visualizar los datos de los archivos
Permite la busqueda en los subfolders

Lectura

Los programas en la carpeta compartida pueden

ser ejecutados
Por default, aplica al grupo de todos

Todos los permisos de la categoria de lectura


Nuevos archivos y subfolders pueden ser creados

Modificacion

Los datos existentes pueden ser modificados o

borrados
Archivos y subfolders pueden ser borrados.
Full Control

Todos los permisos incluyendo Lectura y

Modificacion mas los permisos de cambio de


configuracion

Demostracion: Creando carpetas compartidas


En esta demostracion podras ver:
Crear carpetas compartidas

La informacion se encuentra en las notas.

Conectando carpetas compartidas


Acceso a traves de UNC:
Nombre convencional es \\servername\share
\\servername\share\file
Puede ser accesado a traves del Explorador de Windows, linea de
comando o programacion

Acceso a traves de unidades mapeadas:


Use Explorador de Windows o linea de comando para mapear la
unidad a \\servername\share

Acceso a traves de la red


Usar herramientas graficas para buscar redes compartidas
Trabaja en Dominio o grupos de trabajo
No mostrara las carpetas ocultas o las carpetas administrativas

Demostracion: Manejando las carpetas


compartidas
En esta demostracion podras observar
Administracion del acceso a carpetas compartidas usando

la herramienta de administracion

Recuerda que la informacion esta en las notas.

Consideraciones para usar carpetas compartidas.


Cuando se crean carpetas compartidas.

Usar el permiso mas restrictivo

Evitar asignar permisos individuales, usa permisos a


grupos como te sea posible.

Recuerda que Control Total permite a los usuarios


cambiar permisos NTFS. Agregar permisos a grupos
con Control Total debe de realizarse con precaucion.

Cambia los permisos al grupo de autenticados en vez


de Todos.

Configuracion e instalacion de archivos offline


Cuando creamos archivos offline

Seleccionamos una carpeta en un lugar de la red,


sincronizamos y luego desconectamos la PC

Hacemos ediciones a documentos en el equipo


desconectado

Reconectamos a la red el equipo y actualizamos los


cambios.

Los archivos se sincronizan automaticamente

Leccion 4: Determinando los permisos efectivos.


Que son los permisos efectivos NTFS
Discusion: Aplicando permisos NTFS
Efectos de la combinacion de carpetas compartidas con

permisos NTFS

Consideraciones para la implementacion NTFS y permisos

de las carpetas compartidas

Que son los permisos efectivos NTFS?


Los permisos
NTFS son
acomulativos

La negacion
toma
precedencia

Modificar
Ejecutar

Permisos
pueden ser
aplicados a
usuarios o
grupos

Escritura
Leer

Permisos de
archivo sobre
escriben a los
del folder

Creadores de
archivos y
carpetas son
dueos

Discusion: Aplicando Permisos NTFS


1

Grupo de usuarios
tiene escritura para
Folder1
Grupo Ventas tiene
lectura para Folder1
Grupo de usuarios
tiene lectura para
Folder1
Grupo Ventas tiene
escritura para
Folder1
Grupo de usuarios
tiene modificacion
para Folder1
File2 debe ser
disponible solo para el
grupo de Ventas con
permiso de lectura

NTFS Partition
Grupo
Usuarios

Usuario 1

Folder1
File1

Folder2
File2
Grupo Ventas

Demostracion:
Evaluando de manera efectiva los permisos.
En esta demostracion, veras como :

Evaluar de manera efectiva los permisos.

Recuerda que la informacion esta en las notas.

Efectos de la combinacion de los permisos


de compartir con los de NTFS

Cuando combinas los permisos de carpetas


compartidas con los permisos NTFS, el permiso mas
restrictivo es el que se aplica
Ejemplo: Si un usuario o grupo se le da permiso de compartir de
lectura y permiso NTFS de escritura, el usuario o grupo will only be
able to read the file because it is the more restrictive permission

Los permisos de compartir y NTFS deben tener


asignado los permisos correctamente, de otra manera
un usuario o grupo podrian tener permisos de negacion
implicitos lo que hara que se denegue el acceso al
recurso

Discusion para la asignacion de permisos de


manera efectiva.
Ejercicio.
Determina los permisos NTFS
Determina los permisos de carpeta compartida.

Revisa las notas para conocer el escenario.

NTFS Volume
Users Group

Users

FC

NTFS Volume
Sales Group

Data

FC

User1

FC

User1

User2

FC

User2

HR

User3

FC

User3

Pubs

FC = Full Control

Sales
Group

FC

Sales

Consideraciones para la implementacion de permisos

Otorga permisos a grupos en vez de usuarios

Usa el permiso denegar solo cuando sea indispensable

Nunca deniegues el acceso a el grupo Todos.

En tanto sea posible otorga permisos a las carpetas de


mas alto nivel

Usa los permisos NTFS en vez de los de carpeta


compartida tanto como sea posible.