Permisos NTFS

Contenido
Descripcin general

Introduccin a los permisos de NTFS

Cmo aplica Windows 2000

los permisos de NTFS

Uso de los permisos de NTFS

12

Uso de los permisos especiales de NTFS

17

Permisos NTFS

Notas del instructor

Este modulo proporciona los conocimientos necesarios para configurar los
permisos de acceso en una particin con el sistema de archivos NTFS.
En este mdulo, los estudiantes aprendern a:

Describir los permisos de NTFS.

Explicar cmo aplica Microsoft Windows 2000 los permisos de

NTFS.

Utilizar permisos de NTFS.

Conceder permisos especiales de NTFS.

Desarrollo del mdulo

Utilice la siguiente estrategia para presentar este mdulo:

Introduccin a los permisos de NTFS

Este tema proporciona informacin sobre los permisos de archivos NTFS.

Explique cmo los permisos de NTFS controlan el acceso de las cuentas de
usuario y grupos a archivos y carpetas.

Cmo aplica Windows 2000 los permisos de NTFS

Este tema proporciona informacin sobre cmo se aplican los permisos de

NTFS en Windows 2000. Explique cmo se combinan mltiples permisos.
A continuacin, explique cmo se heredan los permisos de NTFS y cmo
evitar la herencia. Explique el efecto que puede tener copiar y mover
carpetas y archivos sobre los permisos. Utilice la discusin en clase para
reforzar la comprensin por parte de los estudiantes sobre cmo aplica
Windows 2000 los permisos de NTFS.

Uso de los permisos de NTFS

Este tema proporciona informacin sobre la concesin de permisos de

NTFS a cuentas de usuario y grupos para controlar el acceso a archivos y
carpetas. Haga una demostracin de concesin de permisos a una carpeta y
de cmo bloquear la herencia de un archivo contenido en la carpeta.
Explique qu subcarpetas y archivos heredan los permisos de carpetas padre
de forma predeterminada. Hable sobre las prcticas recomendadas para el
uso de los permisos de NTFS.

Uso de los permisos especiales de NTFS

Este tema proporciona informacin sobre el uso de permisos especiales de

NTFS para cuentas de usuario y grupos para controlar el acceso a archivos y
carpetas. Comente las diferencias entre los permisos especiales de NTFS y
los permisos estndares de NTFS. Explique que los permisos estndares de
NTFS constan de permisos especiales de NTFS. Comente brevemente los
dos permisos especiales mencionados en el mdulo.

Permisos NTFS

Descripcin general
Objetivo

Proporcionar una visin

general de los temas y
objetivos del mdulo.

Presentacin

En este mdulo, aprender

la administracin de datos
en una particin NTFS.

Introduccin a los permisos de NTFS

Cmo aplica Windows 2000 los permisos de NTFS

Uso de los permisos de NTFS

Uso de los permisos especiales de NTFS

Practica : Uso de los permisos de NTFS

El sistema de archivos NTFS de Microsoft Windows 2000 es muy eficaz en

cuanto al modo en que almacena los datos en una particin. Con NTFS,
podemos conceder permisos a carpetas y archivos para controlar el nivel de
acceso de los usuarios a los recursos. NTFS tambin utiliza el espacio del disco
duro ms eficazmente permitindonos comprimir datos y configurar cuotas de
disco. Adems, NTFS nos permite cifrar datos de archivos en el disco duro
fsico utilizando el Sistema de archivos Encriptado (Encrypting Fyle System,
EFS). Es importante conocer NTFS y sus capacidades para poder implementar
eficazmente esta caracterstica de Windows 2000.
Al finalizar este mdulo, sabremos cmo:

Describir los permisos de NTFS.

Explicar cmo aplica Windows 2000 los permisos de NTFS.

Utilizar los permisos de NTFS.

Conceder permisos especiales de NTFS.

Permisos NTFS

u Introduccin a los permisos de NTFS

Objetivo

Presentar los permisos de

NTFS.

ACL
ACL
Lectura
Lectura

Presentacin
Utilice los permisos de
NTFS para controlar el
acceso de cuentas de
usuario y grupos a carpetas
y archivos individuales.

Particin NTFS

Usuario1
Usuario1
Lectura
Lectura

Usuario1
Grupo1
Grupo1
Control total

Usuario2
Usuario2
Control
Control total
total
Control
total
Grupo1
Grupo1

Importante

Los permisos de NTFS

estn disponibles
nicamente en las
particiones NTFS. Los
permisos de NTFS no estn
disponibles en particiones
formateadas con los
sistemas de archivos FAT o
FAT32.

Windows 2000 nicamente proporciona permisos de NTFS en particiones

formateadas con NTFS. Para securizar archivos y carpetas en particiones con
NTFS, concedemos permisos de NTFS para cada usuario utilizando la cuenta
individual o utilizando grupos. Se recomienda utilizar grupos locales del
dominio para conceder acceso a un recurso utilizando la estrategia A G DL P. la
estrategia A G DL P consiste en: ubicar cuentas de usuario (A) en grupos
globales (G), ubicar los grupos globales en grupos locales del dominio (DL), y
conceder permisos (P) al grupo local del dominio. Para securizar archivos y
carpetas en particiones de NTFS, concedemos permisos de NTFS para cada
cuenta de usuario o grupo que necesite acceder al recurso. Debe concederse un
permiso explcito a los usuarios para que tengan acceso a los recursos. Si no se
concede ningn permiso, la cuenta de usuario no puede tener acceso al archivo
o carpeta. La seguridad de NTFS es eficaz tanto si el usuario obtiene acceso a
una carpeta o archivo en el equipo o a travs de la red.

Lista de control de acceso

NTFS almacena una lista de control de acceso (access control list, ACL) con
cada archivo y carpeta en una particin NTFS. La lista ACL contiene un listado
de todas las cuentas de usuario, grupos y equipos a los que se ha concedido
acceso al archivo o carpeta, y el tipo de acceso concedido. Para que un usuario
pueda acceder a un archivo o carpeta, la lista ACL debe contener una entrada,
denominada entrada de control de acceso (access control entry, ACE), para la
cuenta de usuario, grupo o equipo al que pertenece el usuario. La entrada debe
permitir especficamente el tipo de acceso solicitado por el usuario para que
ste pueda tener acceso al archivo o carpeta. Si no existe ninguna entrada ACE
en la lista ACL, Windows 2000 denegar al usuario el acceso al recurso.

Permisos NTFS

Permisos de NTFS
Utilizamos los permisos de NTFS para especificar qu usuarios, grupos y
equipos pueden acceder a archivos y carpetas. Los permisos de NTFS tambin
determinan qu pueden hacer los usuarios, grupos y equipos con el contenido
del archivo o carpeta.

Permisos de carpetas en NTFS

Podemos conceder permisos de carpetas para controlar el acceso a las carpetas
y a los archivos y subcarpetas que contienen. La siguiente tabla muestra una
lista de los permisos estndares de NTFS que podemos otorgar a carpetas y el
tipo de acceso que proporciona cada permiso.

Sugerencia

Explique que Slo lectura,

Oculto, Archivo y Sistema
(archivos) son ejemplos de
atributos de carpetas.

Permiso de carpeta de
NTFS

Permite al usuario

Lectura

Ver los archivos y subcarpetas y los atributos, propiedades

y permisos de la carpeta.

Escritura

Crear nuevos archivos y subcarpetas, cambiar los atributos

de la carpeta y ver sus propiedades y permisos.

Listar contenido de la
carpeta

Ver los nombres de los archivos y subcarpetas.

Leer y ejecutar

Cruzar carpetas, adems de realizar las acciones

permitidas por el permiso de Lectura y el permiso de
Listar contenidos de la carpeta .

Modificar

Borrar la carpeta y realizar acciones permitidas por el

permiso de Escritura y el permiso Leer y ejecutar.

Control total

Cambiar los permisos, tomar posesin, eliminar

subcarpetas y archivos y realizar las acciones permitidas
por el resto de permisos de NTFS.

Permisos NTFS

Permisos de archivos en NFTS

Importante

Utilice el permiso de control

total moderadamente
cuando asigne permisos.

Podemos conceder permisos de archivo para controlar el acceso a los archivos.

La siguiente tabla muestra una lista de los permisos de archivos estndares de
NTFS que podemos otorgar y el tipo de acceso que cada uno de ellos
proporciona a los usuarios.

Permiso de archivo de
NTFS

Permite al usuario

Lectura

Leer el archivo y ver sus atributos, propiedades y

permisos.

Escritura

Sobreescribir el archivo, cambiar sus atributos y visualizar

sus propiedades y permisos.

Leer y ejecutar

Ejecutar aplicaciones y realizar las acciones permitidas por

el permiso de Lectura .

Modificar

Modificar y eliminar el archivo y realizar las acciones

permitidas por el permiso de Escritura y el permiso Leer y
ejecutar.

Control total

Modificar permisos, tomar posesin y realizar las acciones

permitidas por el resto de permisos de archivo de NTFS.

Importante Cuando formateamos una particin con NTFS, Windows 2000

concede automticamente el permiso Control total sobre la carpeta raz al grupo
Todos. Por defecto, el grupo Todos tendr Control total sobre todas las carpetas
y archivos creados en la carpeta raz. Para restringir el acceso a usuarios
autorizados, deberamos cambiar los permisos predeterminados sobre las
carpetas y archivos que creemos.

Permisos NTFS

u Cmo aplica Windows 2000 los permisos de NTFS

Objetivo

Introducir el modo en que

Windows 2000 aplica los
permisos de NTFS sobre
archivos y carpetas.

Presentacin
Existen reglas asociadas al
modo en que NTFS aplica
los permisos sobre archivos
y carpetas.

Mltiples permisos de NTFS

Herencia de permisos de NTFS

Copiar y mover archivos y carpetas

Ejercicio de clase: Aplicacin de los permisos de NTFS

Por defecto, cuando concedemos permisos a usuarios y grupos sobre una

carpeta, los usuarios o grupos tienen acceso a las subcarpetas y archivos que
sta contiene. Es importante entender el modo en que las subcarpetas y los
archivos heredan los permisos de NTFS desde las carpetas padre para poder
utilizar la herencia en la propagacin de permisos a archivos y carpetas.
Importante

Se recomienda asignar
permisos a un recurso
utilizando A G DL P. En
otras palabras, asignar
permisos a un recurso
utilizando grupos locales del
dominio en lugar de cuentas
de usuario individuales.

Si concedemos permisos sobre un archivo o carpeta a una cuenta de usuario

individual o a un grupo al que pertenezca el usuario, el usuario obtendr var ios
permisos sobre el mismo recurso. Existen reglas y prioridades asociadas al
modo en que NTFS combina mltiples permisos. Adems, tambin es posible
afectar a los permisos cuando copiamos o movemos archivos y carpetas.
Nota Se recomienda asignar permisos a un recurso utilizando A G DL P. En
otras palabras, asignar permisos a un recurso utilizando grupos locales del
dominio en lugar de cuentas de usuario individuales.

Permisos NTFS

Mltiples permisos de NTFS

Objetivo

Explicar cmo se combinan

mltiples permisos de
NTFS.

Presentacin

Es importante conocer el
modo en que los permisos
de NTFS se combinan y
adquieren prioridad.

Los permisos de NTFS son acumulativos

Los permisos de archivo son independientes
de los permisos de carpeta
Denegar invalida otros permisos
Particn NTFS

Grupo
Grupo BB
Escritura
Escritura

Lectura/Escritura
Lectura/Escritura
Usuario1
Usuario1
Lectura
Lectura

Grupo
GrupoAA
Denegar
Archivo2
Denegar escritura
escritura aa Archivo2

Sugerencia

Haga una demostracin de

cmo se combinan mltiples
permisos, cmo los
permisos de archivos tienen
prioridad respecto a los
permisos de carpetas y el
permiso Denegar prevalece
sobre otros permisos.
Explique la ilustracin de la
diapositiva.

Carpeta
Carpeta AA

Archivo1
Archivo1

Archivo2
Archivo2

Si concedemos permisos de NTFS a una cuenta de usuario individual adems

de a un grupo al que pertenezca el usuario, estaremos concediendo mltip les
permisos a dicho usuario. Existen reglas en la forma en que NTFS combina
estos permisos mltiples para generar permisos eficaces para el usuario.

Los permisos son acumulativos

Los permisos efectivos de un usuario sobre un recurso son la combinacin de
los permisos de NTFS concedidos a la cuenta de usuario individual y los
concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un
usuario tiene permiso de Lectura sobre una carpeta y pertenece a un grupo con
permiso de Escritura sobre la misma carpeta, el usuario tendr ambos permisos,
Lectura y Escritura, sobre esa carpeta.

Los permisos de archivo son independientes de los

permisos de carpeta
Los permisos de archivo de NTFS tienen prioridad respecto a los permisos de
carpetas de NTFS. Por ejemplo, un usuario con el permiso Modificar para un
archivo podr modificar el archivo aunque nicamente disponga del permiso de
Lectura sobre la carpeta que contiene dicho archivo.

Permisos NTFS

Denegar invalida otros permisos

Sugerencia

Explique que con Windows

2000, no hay diferencia
entre la denegacin de
permisos y no disponer de
permisos.

Se puede denegar el acceso a un determinado archivo o carpeta aplicando la

denegacin del permiso a la cuenta de usuario o grupo. Aunque un usuario
tenga permiso para acceder al archivo o carpeta como miembro de un grupo,
denegar el permiso al usuario bloquea cualquier otro permiso de que ste
disponga. Por tanto, la denegacin de permiso es una excepcin a la regla
acumulativa. Es aconsejable evitar la denegacin de permiso ya que es ms fcil
permitir el acceso a usuarios y grupos que denegar el acceso especficamente.
Ese preferible estructurar grupos y organizar recursos en carpetas de forma que
otorgar permisos sea suficiente.
Nota Con Windows 2000, no hay diferencia entre un usuario sin acceso y
denegar especficamente el acceso a un usuario aadiendo a la lista ACL una
entrada de denegacin sobre el archivo o carpeta. Esto significa que el
administrador tiene una alternativa a denegar el acceso. En lugar de ello, puede
simplemente no autorizar al usuario el acceso a un archivo o carpeta.

Permisos NTFS

Herencia de permisos de
NTFS
Herencia de permisos de NTFS
Objetivo

Explicar cmo se heredan

los permisos de NTFS y
cmo se evita la herencia.

Presentacin

Los permisos de NTFS se

heredan desde la carpeta
en la que se crean desde en
la que se encuentran.

Herencia
Herenciade
de permisos
permisos

Lectura/Escritura

Carpeta
CarpetaAA

Acceso a Archivo 1

Archivo1
Archivo1

Evitar
Evitar la
la herencia
herencia

Lectura/Escritura
Lectura/Escritura
Sin acceso a Archivo 1

Sugerencia

Haga una demostracin

sobre cmo se heredan los
permisos y cmo evitar la
herencia.
Conceda permisos y
muestre a los estudiantes
cmo se propagan los
permisos desde una carpeta
padre a sus subcarpetas y
archivos. Muestre tambin a
los estudiantes cmo aadir
permisos a un archivo o
carpeta que ha heredado
permisos de ununa carpeta
padre.
Explique la ilustracin de la
diapositiva.

Carpeta
CarpetaAA

Archivo1
Archivo1

Por defecto, los permisos concedidos a una carpeta padre se heredan y propagan
a las subcarpetas y archivos contenidos en dicha carpeta padre. Sin embargo,
podemos evitar que esto ocurra si deseamos que las carpetas o archivos tengan
permisos diferentes a los de su carpeta padre.

Herencia de permisos
Los permisos concedidos a una carpeta padre son aplicables tambin a las
subcarpetas y archivos que contiene. Cuando concedemos permisos de NTFS
para dar acceso a una carpeta, estamos concediendo permisos sobre la carpeta,
sobre cualquier archivo y subcarpeta existentes, y sobre cualquier nuevo
archivo o subcarpeta que se cree en la carpeta.

Evitar la herencia de permisos

Podemos evitar la herencia de permisos, evitando que las subcarpetas y
archivos hereden permisos de las carpetas padre. Para ello, eliminamos los
permisos heredados y nicamente conservamos los permisos concedidos
explcitamente. Cuando evitamos la herencia, podemos copiar los permisos
previamente heredados.
La subcarpeta para la cual evitamos la herencia de permisos de su carpeta padre
se convierte en la nueva carpeta padre. Las subcarpetas y archivos contenidos
en esa nueva carpeta padre heredan los permisos concedidos de su carpeta
padre.

Permisos NTFS

Copiar y mover archivos y carpetas

Objetivo

Explicar qu ocurre a los

permisos de NTFS cuando
copiamos o movemos
archivos o carpetas.

Copiar
Copiar oo mover
mover

Particin NTFS
C:\

Presentacin
Copiar o mover archivos o
carpetas dentro y entre
particiones NTFS puede
afectar a los permisos.

Particin NTFS
D:\

n
n

Importante

Cuando copiamos un
archivo dentro de una
particin NTFS o entre
particiones NTFS,
Windows 2000 trata el
archivo como uno nuevo.
Como tal, el archivo
adquiere los permisos de la
carpeta de destino.
Debemos disponer del
permiso de Escritura sobre
la carpeta de destino para
poder copiar archivos y
carpetas.

Copiar
Copiar

Particin NTFS
E:\

Mover

Toda copia hereda permisos de la carpeta de

destino
nicamente moviendo a la misma particin se
conservan los permisos

Cuando copiamos o movemos un archivo o carpeta, los permisos pueden

cambiar dependiendo del lugar dnde movemos el archivo o carpeta. Es
importante entender los cambios sufridos por los permisos cuando se mueven o
copian.

Copiar archivos y carpetas

Cuando copiamos archivos o carpetas desde una carpeta a otra o desde una
particin a otra, los permisos sobre los archivos o carpetas pueden cambiar.
Copiar un archivo o carpeta tiene los siguientes efectos en los permisos de
NTFS:

Cuando copiamos una carpeta o archivo dentro de una nica particin

NTFS, la copia de la carpeta o archivo hereda los permisos de la
carpeta de destino.

Cuando copiamos una carpeta o archivo entre particiones NTFS, la

copia de la carpeta o archivo hereda los permisos de la carpeta de
destino.

Cuando copiamos archivos o carpetas a particiones que no son NTFS,

como FAT, las carpetas y archivos pierden sus permisos de NTFS,
porque las particiones que no son NTFS no soportan los permisos de
NTFS.

Para copiar archivos y carpetas dentro de una nica particin NTFS o entre
particiones NTFS, debemos disponer del permiso de Lectura sobre la carpeta
original y permiso de Escritura sobre la carpeta de destino.

Permisos NTFS

Importante

Para mover un archivo o

carpeta, debemos tener el
permiso de Escritura sobre
la carpeta de destino y el
permiso de Modificacin
sobre la carpeta original.

10

Mover archivos y carpetas

Cuando movemos un archivo o carpeta, los permisos pueden cambiar
dependiendo de los permisos de la carpeta de destino. Mover un archivo o
carpeta tiene los siguientes efectos en los permisos de NTFS:

Cuando movemos una carpeta o archivo dentro una particin NTFS, la

carpeta o archivo conserva sus permisos originales.

Cuando movemos una carpeta o archivo entre particiones NTFS, la

carpeta o archivo hereda los permisos de la carpeta de destino. Cuando
movemos una carpeta o archivo entre particiones, de hecho estamos
copiando la carpeta o archivo a la nueva ubicacin y lo eliminamos de
su antigua ubicacin.

Cuando movemos archivos o carpetas a particiones que no son NTFS,

las carpetas y archivos pierden sus permisos de NTFS, porque las
particiones que no son NTFS no soportan los permisos de NTFS.

Para mover archivos y carpetas dentro de una particin NTFS o entre

particiones NTFS, debemos tener el permiso de Escritura sobre la carpeta de
destino y el permiso de Modificacin sobre la carpeta o archivo original. El
permiso de Modificacin es necesario para mover una carpeta o archivo, ya que
Windows 2000 elimina la carpeta o archivo de la carpeta original despus de
copiarlo a la carpeta de destino.

Permisos NTFS

11

Ejercicio de clase: Aplicacin de los permisos de NTFS

Objetivo

Reforzar los conocimientos

de los estudiantes sobre
cmo aplica Windows 2000
los permisos de NTFS a
archivos y carpetas.

n
n El
El grupo
grupo Usuarios
Usuarios

Grupo
Grupo Usuarios

Presentacin
Veamos algunos ejemplos
de resultados de aplicar
permisos de NTFS a
archivos y carpetas.

escribe
escribe en
en la
la Carpeta1
Carpeta1
n
n El
El grupo
grupo Ventas
Ventas
lee
lee la
la Carpeta1
Carpeta1
n
n El
El grupo
grupo Usuarios
Usuarios

Usuario1

lee
lee la
la Carpeta1
Carpeta1
n
El
grupo
n El grupo Ventas
Ventas
escribe
escribe en
en la
la Carpeta2
Carpeta2
n
n El
El grupo
grupo Usuarios
Usuarios

Grupo Ventas

Particin NTFS

Carpeta1
Carpeta1
Archivo1
Archivo1

Carpeta2
Carpeta2

modifica
modifica la
la Carpeta1
Carpeta1
n
n Archivo2
Archivo2debera
deberaser
ser
accesible
accesible slo
slo para
para el
el
grupo
grupoVentas,
Ventas, yy slo
slo
en
en modo
modolectura
lectura

Archivo2
Archivo2

Usuario1 pertenece al grupo Usuarios y al grupo Ventas.

1. El grupo Usuarios tiene permiso de Escritura y el grupo Ventas tiene
permiso de Lectura sobre la Carpeta1. Qu permisos tiene Usuario1
sobre la Carpeta1?
Usuario1 tiene los permisos de Escritura y Lectura sobre la Carpeta1, ya
que Usuario1 pertenece al grupo Usuarios, que tiene permiso de
Escritura, y al grupo Ventas, que tiene permiso de Lectura.
2. El grupo Usuarios tiene permiso de Lectura sobre la Carpeta1. El
grupo Ventas tiene permiso de Escritura sobre la Carpeta2. Qu
permisos tiene el Usuario1 sobre el Archivo2?
Usuario1 tiene permisos de Lectura y Escritura sobre el Archivo2, ya
que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Lectura
sobre la Carpeta1, y al grupo Ventas, que tiene permiso de Escritura
sobre la Carpeta2. Archivo2 hereda los permisos de ambas, la Carpeta2
y la Carpeta1.
3. El grupo Usuarios tiene permiso de Modificacin sobre la Carpeta1.
Archivo2 debera ser accesible nicamente para el grupo Ventas, y
nicamente en modo lectura. Qu pasos deberamos seguir para
asegurarnos de que el grupo Ventas tiene nicamente permiso de
Lectura sobre el Archivo2?
Deshabilitar la herencia de permisos sobre la Carpeta2 o el Archivo2.
Eliminar los permisos sobre la Carpeta2 o el Archivo2 que la Carpeta2
ha heredado de la Carpeta1. Conceder nicamente el permiso de
Lectura al grupo Ventas sobre la Carpeta2 o el Archivo2.

Permisos NTFS

12

u Uso de los permisos de NTFS

Objetivo

Presentar los temas

relacionados con el uso de
los permisos de NTFS.

Presentacin

Los administradores y
propietarios de archivos y
carpetas controlan el
acceso a los archivos y
carpetas.

Sugerencia

Recuerde a los estudiantes

que es recomendable
asignar permisos a recursos
utilizando grupos locales del
dominio en lugar de cuentas
individuales.

Concesin de permisos de NTFS

Configuracin de la herencia de permisos

Prcticas recomendadas para la concesin de permisos

de NTFS

Los administradores, los usuarios con el permiso Control Total y los

propietarios de archivos o carpetas pueden conceder permisos sobre archivos y
carpetas a cuentas de usuario y a grupos. Cuando concedamos permisos de
NTFS y controlemos la herencia, deberamos seguir las prcticas recomendadas
para otorgar los permisos del modo ms eficaz. Deberamos conceder los
permisos siempre de acuerdo con las necesidades de nuestros grupos y usuarios.

Permisos NTFS

13

Concesin de permisos de NTFS

Objetivo

Explicar cmo conceder

permisos de NTFS.

Presentacin
Por defecto, Windows 2000
concede el permiso Control
Total cuando creamos un
archivo o carpeta o cuando
formateamos una particin
con NTFS.

Concedemos permisos de NTFS a la carpeta en el cuadro de dilogo

Propiedades. Cuando concedemos o modificamos permisos de NTFS sobre un
archivo o carpeta, podemos agregar o eliminar usuarios, grupos o equipos.
Seleccionando un usuario o grupo, podemos modificar sus permisos.
En la ficha Seguridad del cuadro de dilogo Propiedades del archivo o
carpeta, configure las opciones que se describen en la siguiente tabla:
Opcin

Descripcin

Nombre

Selecciona la cuenta de usuario o grupo sobre el que deseamos

modificar los permisos o que deseamos eliminar de la lista.

Permisos

Otorga un permiso cuando selecciomos la caja de verificacin

Permitir.
Deniega un permiso cuando seleccionamos la caja de verificacin
Denegar.

Aadir

Abre el cuadro de dilogo Seleccionar usuario, grupos o equipos ,

que utilizamos para seleccionar cuentas de usuario y grupos para
aadirlos a la lista Nombre.

Eliminar

Elimina la cuenta de usuario o grupo seleccionado y los permisos

asociados al archivo o carpeta.

Permisos NTFS

14

Configuracin de la herencia de permisos

Objetivo

Explicar cmo se controla la

herencia de permisos.

Presentacin
Por defecto, los permisos
que concedemos a una
carpeta son heredados por
las subcarpetas y archivos
que contiene.

En general, deberamos permitir que Windows 2000 propagara los permisos de

una carpeta padre a las subcarpetas y archivos que contiene. La propagacin de
permisos simplifica la asignacin de permisos a recursos.
Sugerencia

Haga una demostracin de

cmo conceder permisos a
una carpeta. A continuacin,
haga una demostracin de
cmo bloquear la herencia
de permisos sobre un
archivo contenido en la
carpeta. Finalmente,
conceda nuevos permisos
sobre el archivo en el que
ha bloqueado la herencia de
permisos.

Sin embargo, es posible que en ocasiones deseemos evitar la herencia de

permisos. Por ejemplo, es posible que necesitemos guardar todos los archivos
del departamento de ventas en una carpeta Ventas para la que todos los
miembros de dicho departamento tengan permiso de Escritura. Sin embargo,
debemos limitar los permisos sobre algunos archivos de la carpeta con el
permiso de Lectura nicamente. Por tanto, deberamos evitar la herencia para
que el permiso de Escritura no se propague a los archivos contenidos en la
carpeta.
Por defecto, las subcarpetas y archivos heredan los permisos concedidos sobre
sus carpetas padre, como se muestra en la ficha Seguridad del cuadro de texto
Propiedades cuando est seleccionada la caja de verificacin de Permitir
permisos heredables desde el padre para propagar a este objeto.
Para evitar que una subcarpeta o archivo herede permisos de una carpeta padre,
debemos desmarcar la caja de verificacin Permitir permisos heredables
desde el padre para propagar a este objeto, y seleccionar una de las
siguientes opciones:
Opcin

Descripcin

Copiar

Copia permisos previamente heredados desde la carpeta p adre a la

subcarpeta o archivo y deniega la posterior herencia de permisos
desde la carpeta padre.

Eliminar

Elimina los permisos heredados concedidos sobre la carpeta padre

desde la subcarpeta o archivo y conserva nicamente los permisos
explcitamente concedidos sobre la subcarpeta o archivo.

Permisos NTFS

15

Prcticas recomendadas para conceder permisos de NTFS

Objetivo

Explicar las prcticas

recomendadas para la
concesin de permisos de
NTFS.

Conceder
Concederpermisos
permisos aagrupos
grupos locales
locales del
del dominio
dominio en
en lugar
lugar de
de aa usuarios
usuarios
Agrupar
Agruparrecursos
recursospara
parasimplificar
simplificarlalaadministracin
administracin

Presentacin
Considere estas directrices
cuando conceda permisos
de NTFS.

Otorgar
Otorgaraa los
los usuarios
usuarios nicamente
nicamenteelelnivel
nivel de
de acceso
acceso que
que necesiten
necesiten
Crear
Creargrupos
gruposde
deacuerdo
acuerdocon
conelelacceso
accesoque
quesus
susmiembros
miembrosrequieren
requieren
Conceder
Concederpermisos
permisosde
deLeer
Leeryyejecutar
ejecutar para
para carpetas
carpetas de
de aplicaciones
aplicaciones
Conceder
Concederpermisos
permisosde
deLeer
Leeryyejecutar
ejecutar yyEscriturapara
Escritura paracarpetas
carpetas de
de datos
datos

Considere las siguientes prcticas recomendadas cuando conceda permisos de

NTFS:

Conceder permisos a grupos locales del dominio en lugar de a usuarios.

Es ms fcil administrar grupos que usuarios. De este modo se
mantiene la lista ms corta, mejorando el rendimiento.

Para simplificar la administracin, agrupe archivos en carpetas de

aplicacin donde se guarden las aplicaciones ms utilizadas, carpetas
de datos que contienen archivos de datos compartidos por mltiples
usuarios, y carpetas de usuarios que contengan los archivos de cada
usuario individual. Centralice las carpetas de usuario y las carpetas de
datos en una particin distinta.

Otorgue a los usuarios nicamente el nivel de acceso que requieran. Si

un usuario nicamente necesita leer un archivo, conceda al usuario, o
grupo al que pertenezca, el permiso de Lectura sobre el archivo.

Cree grupos segn los requerimientos de acceso a los recursos que

necesiten sus miembros, y conceda los permisos adecuados a los
grupos.

Cuando conceda permisos sobre carpetas de aplicaciones, conceda el

permiso Leer y Ejecutar a los grupos Usuarios y Administradores. De
este modo, se evita que archivos de datos y aplicaciones se eliminen o
se daen accidentalmente por usuarios o virus.

Permisos NTFS

16

Cuando conceda permisos sobre carpetas de datps, conceda los

permisos Leer y Ejecutar y Escritura al grupo Usuarios y el permiso
de Modificacin al grupo Propietario Creador. De este modo, los
usuarios tendrn la capacidad de leer y modificar documentos creados
por otros usuarios, y la capacidad de leer, modificar y eliminar los
archivos y carpetas que ellos mismos creen.

Nota Deberiamos utilizar la denegacin de permisos nicamente cuando sea

imprescindible para denegar el acceso a una cuenta de usuario o grupo
especficos. Se recomienda tambin el uso de grupos locales del dominio para
asignar permisos en vez de asignar permisos a cuentas individuales.

Permisos NTFS

17

u Uso de los permisos especiales de NTFS

Objetivo

Identificar los temas

relacionados con la
concesin de los permisos
especiales de NTFS.

Presentacin

Introduccin a los permisos especiales de NTFS

Concesin de permisos especiales de NTFS

Generalmente, los permisos

estndar de NTFS
proporcionan el control de
acceso necesario para
securizar los recursos, pero
si necesitamos niveles de
acceso ms especficos,
podemos utlizar los
permisos de acceso
especiales de NTFS.

Generalmente, los permisos estndar de NTFS proporcionan todo el control de

acceso que necesitamos para securizar nuestros recursos. Sin embargo, en
ocasiones los permisos estndares de NTFS no proporcionan el nivel especifico
de acceso que deseamos conceder a los usuarios. Para crear un nivel especfico
de acceso, concedemos permisos de acceso especiales de NTFS.

Permisos NTFS

18

Introduccin a los permisos especiales de NTFS

Objetivo

Explicar los permisos

especiales de NTFS.

Permiso
Permiso para
para
cambiar
cambiarpermisos
permisosyy
Tomar
Tomar posesin
posesin

Presentacin
Los permisos de acceso
especiales nos
proporcionan un mayor
grado de control para
conceder acceso a
recursos.

Propietario,
Propietario,
Administrador

~~~~~
~~~~~
~~~~~
~~~~~

Permiso estndar
estndar

Lectura

Cambiar
permisos
Cambiarpermisos
permisos
Tomar
Tomarposesin
posesin

Permisos
Permisos especiales
especiales de
de acceso
acceso

Leer
Leer datos
Leer atributos
Leer
Leer permisos
Leer atributos ampliados

Usuarios, Grupos

Los permisos de acceso especiales nos proporcionan un mayor grado de control

para conceder acceso a recursos. Los 13 permisos de acceso especiales, cuando
se combinan, constituyen los permisos estndares de NTFS. Por ejemplo, el
permiso estndar de Lectura consta de los permisos de acceso especiales Leer
datos, Leer atributos, Leer permisos y Leer atributos extendidos.
Dos de los permisos de acceso especiales son especialmente tiles para la
administracin del acceso a archivos y carpetas:

Cambiar permisos. Con este permiso, el usuario tiene la capacidad de

cambiar permisos sobre un archivo o carpeta.

Tomar posesin. Con este permiso, el usuario tiene la capacidad de

tomar posesin de archivos y carpetas.

Cambiar permisos
Podemos dar a otros administradores y usuarios la capacidad de cambiar
permisos sobre un archivo o carpeta sin necesidad de concederles el permiso
Control total sobre el archivo o carpeta. De esta forma, el administrador o
usuario no puede borrar o escribir en el archivo o carpeta, pero puede conceder
permisos al archivo o carpeta.
Para dar a los administradores la capacidad de cambiar permisos, conceda el
permiso de Modificacin sobre archivo o carpeta al grupo Administradores.
Nota Es recomendable asignar permisos a recursos utilizando A G DL P.

Permisos NTFS

19

Tomar posesin
Podemos dar a un usuario la capacidad de tomar posesin o, como
administrador, podemos tomar posesin de un archivo o carpeta.
Las siguientes normas son aplicables a tomar posesin de un archivo o carpeta:

El propietario actual o cualquier usuario con permiso Control total

puede conceder el permiso estndar Control total o el permiso de
acceso especial Tomar posesin a otra cuenta de usuario o grupo. Esto
permite a la cuenta de usuario o a un miembro del grupo tomar
posesin.

Un miembro del grupo de administradores puede tomar posesin de

una carpeta o archivo, con independencia de los permisos concedidos
sobre esa carpeta o archivo. Si un administrador toma posesin, el
grupo de administradores se convierte en el propietario, y cualquier
miembro del grupo de administradores puede modificar los permisos
sobre el archivo o carpeta y conceder el permiso Tomar posesin a otra
cuenta de usuario o grupo.

Por ejemplo, si un empleado deja la compaa, un administrador puede

tomar posesin de los archivos del empleado y conceder el permiso Tomar
posesin a otro empleado, y ese empleado puede tomar posesin de los
archivos del primero.
Nota Para convertirse en el propietario de un archivo o carpeta, un usuario o
miembro de un grupo con el permiso Tomar posesin debe explcitamente
tomar posesin del archivo o carpeta. No podemos conceder automticamente a
ninguna persona la propiedad de un archivo o carpeta. El propietario de un
archivo, un miembro del grupo de administradores o cualquier persona con
permiso Control total puede conceder el permiso Tomar posesin a una cuenta
de usuario o grupo, lo que les permite tomar posesin.

Permisos NTFS

20

Concesin de permisos especiales de NTFS

Objetivo

Explicar la interfaz para

conceder permisos.

Presentacin
Podemos conceder
permisos de acceso
especiales para cambiar
permisos de archivos y
carpetas o tomar posesin
de archivos y carpetas.

Para conceder permisos de acceso especiales a usuarios y grupos:

1. En el cuadro de dilogo Propiedades de un archivo o carpeta, en la
ficha Seguridad, haga clic en el botn Avanzado.
2. En el cuadro de dilogo Configuracin del Control de Acceso del
archivo o carpeta, en la ficha Permisos, seleccione la cuenta de usuario
o grupo para el que desea aplicar permisos de acceso especiales de
NTFS, y haga clic en Ver/Editar.
3. En el cuadro de dilogo de Introduccin de permisos del archivo o
carpeta, configure las opciones descritas en la siguiente tabla:
Opcin

Descripcin

Nombre

Especifique la cuenta de usuario o nombre del grupo.

Seleccione otro valor , haga clic en Cambiar.

Aplicar a

Especifique el nivel de la jerarqua de carpetas desde

el que se heredan los permisos especiales de NTFS.
La opcin predeterminada es Esta caroeta,
subcarpetas y archivos.

Permisos

Permita los permisos de acceso especiales. Para

permitir los permisos Cambiar permisos o Tomar
posesin , seleccione la caja de verificacin de
Permitir junto a cada uno de ellos.

Aplicar estos permisos a

objetos y/o contenedores
dentro de este contenedor
nicamente

Especifica si las subcarpetas y archivos de una

carpeta heredan los permisos de acceso especiales de
dicha carpeta. Deshabilite esta casilla de verificacin
para evitar la herencia de permisos. Selccionela para
propagar los permisos de acceso especiales a archivos
y subcarpetas.

Borrar todos

Haga clic para deseleccionar todos los seleccionados.