Permisos NTFS

Contenido

Descripción general 1
Introducción a los permisos de NTFS 2
Cómo aplica Windows 2000
los permisos de NTFS 5
Uso de los permisos de NTFS 12
Uso de los permisos especiales de NTFS 17
Permisos NTFS i

Notas del instructor

Este modulo proporciona los conocimientos necesarios para configurar los
permisos de acceso en una partición con el sistema de archivos NTFS.
En este módulo, los estudiantes aprenderán a:
• Describir los permisos de NTFS.
• Explicar cómo aplica Microsoft® Windows® 2000 los permisos de
NTFS.
• Utilizar permisos de NTFS.
• Conceder permisos especiales de NTFS.

Desarrollo del módulo

Utilice la siguiente estrategia para presentar este módulo:
• Introducción a los permisos de NTFS
Este tema proporciona información sobre los permisos de archivos NTFS.
Explique cómo los permisos de NTFS controlan el acceso de las cuentas de
usuario y grupos a archivos y carpetas.
• Cómo aplica Windows 2000 los permisos de NTFS
Este tema proporciona información sobre cómo se aplican los permisos de
NTFS en Windows 2000. Explique cómo se combinan múltiples permisos.
A continuación, explique cómo se heredan los permisos de NTFS y cómo
evitar la herencia. Explique el efecto que puede tener copiar y mover
carpetas y archivos sobre los permisos. Utilice la discusión en clase para
reforzar la comprensión por parte de los estudiantes sobre cómo aplica
Windows 2000 los permisos de NTFS.
• Uso de los permisos de NTFS
Este tema proporciona información sobre la concesión de permisos de
NTFS a cuentas de usuario y grupos para controlar el acceso a archivos y
carpetas. Haga una demostración de concesión de permisos a una carpeta y
de cómo bloquear la herencia de un archivo contenido en la carpeta.
Explique qué subcarpetas y archivos heredan los permisos de carpetas padre
de forma predeterminada. Hable sobre las prácticas recomendadas para el
uso de los permisos de NTFS.
• Uso de los permisos especiales de NTFS
Este tema proporciona información sobre el uso de permisos especiales de
NTFS para cuentas de usuario y grupos para controlar el acceso a archivos y
carpetas. Comente las diferencias entre los permisos especiales de NTFS y
los permisos estándares de NTFS. Explique que los permisos estándares de
NTFS constan de permisos especiales de NTFS. Comente brevemente los
dos permisos especiales mencionados en el módulo.
Permisos NTFS 1

Descripción general
Objetivo
Proporcionar una visión
general de los temas y
objetivos del módulo. n Introducción a los permisos de NTFS

Presentación n Cómo aplica Windows 2000 los permisos de NTFS

En este módulo, aprenderá
la administración de datos
en una partición NTFS.
n Uso de los permisos de NTFS
n Uso de los permisos especiales de NTFS
n Practica : Uso de los permisos de NTFS

El sistema de archivos NTFS de Microsoft® Windows® 2000 es muy eficaz en

cuanto al modo en que almacena los datos en una partición. Con NTFS,
podemos conceder permisos a carpetas y archivos para controlar el nivel de
acceso de los usuarios a los recursos. NTFS también utiliza el espacio del disco
duro más eficazmente permitiéndonos comprimir datos y configurar cuotas de
disco. Además, NTFS nos permite cifrar datos de archivos en el disco duro
físico utilizando el Sistema de archivos Encriptado (Encrypting Fyle System,
EFS). Es importante conocer NTFS y sus capacidades para poder implementar
eficazmente esta característica de Windows 2000.
Al finalizar este módulo, sabremos cómo:
• Describir los permisos de NTFS.
• Explicar cómo aplica Windows 2000 los permisos de NTFS.
• Utilizar los permisos de NTFS.
• Conceder permisos especiales de NTFS.
Permisos NTFS
u Introducción a los permisos de NTFS
Objetivo
Presentar los permisos de
NTFS.
Presentación
Utilice los permisos de
NTFS para controlar el
acceso de cuentas de
usuario y grupos a carpetas
y archivos individuales.
Importante
Los permisos de NTFS
están disponibles
únicamente en las
particiones NTFS. Los
permisos de NTFS no están
disponibles en particiones
formateadas con los
sistemas de archivos FAT o
FAT32.
2
ACL Partición NTFS
ACL
Lectura
Lectura Usuario1
Usuario1
Lectura
Lectura
Usuario1
Grupo1
Grupo1
Control total
Usuario2
Usuario2
Control
Control total
Control total
total
Grupo1
Grupo1
Windows 2000 únicamente proporciona permisos de NTFS en particiones
formateadas con NTFS. Para securizar archivos y carpetas en particiones con
NTFS, concedemos permisos de NTFS para cada usuario utilizando la cuenta
individual o utilizando grupos. Se recomienda utilizar grupos locales del
dominio para conceder acceso a un recurso utilizando la estrategia A G DL P. la
estrategia A G DL P consiste en: ubicar cuentas de usuario (A) en grupos
globales (G), ubicar los grupos globales en grupos locales del dominio (DL), y
conceder permisos (P) al grupo local del dominio. Para securizar archivos y
carpetas en particiones de NTFS, concedemos permisos de NTFS para cada
cuenta de usuario o grupo que necesite acceder al recurso. Debe concederse un
permiso explícito a los usuarios para que tengan acceso a los recursos. Si no se
concede ningún permiso, la cuenta de usuario no puede tener acceso al archivo
o carpeta. La seguridad de NTFS es eficaz tanto si el usuario obtiene acceso a
una carpeta o archivo en el equipo o a través de la red.
Lista de control de acceso
NTFS almacena una lista de control de acceso (access control list, ACL) con
cada archivo y carpeta en una partición NTFS. La lista ACL contiene un listado
de todas las cuentas de usuario, grupos y equipos a los que se ha concedido
acceso al archivo o carpeta, y el tipo de acceso concedido. Para que un usuario
pueda acceder a un archivo o carpeta, la lista ACL debe contener una entrada,
denominada entrada de control de acceso (access control entry, ACE), para la
cuenta de usuario, grupo o equipo al que pertenece el usuario. La entrada debe
permitir específicamente el tipo de acceso solicitado por el usuario para que
éste pueda tener acceso al archivo o carpeta. Si no existe ninguna entrada ACE
en la lista ACL, Windows 2000 denegará al usuario el acceso al recurso.
Permisos NTFS 3

Permisos de NTFS
Utilizamos los permisos de NTFS para especificar qué usuarios, grupos y
equipos pueden acceder a archivos y carpetas. Los permisos de NTFS también
determinan qué pueden hacer los usuarios, grupos y equipos con el contenido
del archivo o carpeta.

Permisos de carpetas en NTFS

Podemos conceder permisos de carpetas para controlar el acceso a las carpetas

y a los archivos y subcarpetas que contienen. La siguiente tabla muestra una
lista de los permisos estándares de NTFS que podemos otorgar a carpetas y el
tipo de acceso que proporciona cada permiso.

Permiso de carpeta de Permite al usuario

NTFS

Sugerencia Lectura Ver los archivos y subcarpetas y los atributos, propiedades

Explique que Sólo lectura, y permisos de la carpeta.
Oculto, Archivo y Sistema Escritura Crear nuevos archivos y subcarpetas, cambiar los atributos
(archivos) son ejemplos de
de la carpeta y ver sus propiedades y permisos.
atributos de carpetas.
Listar contenido de la Ver los nombres de los archivos y subcarpetas.
carpeta
Leer y ejecutar Cruzar carpetas, además de realizar las acciones
permitidas por el permiso de Lectura y el permiso de
Listar contenidos de la carpeta .
Modificar Borrar la carpeta y realizar acciones permitidas por el
permiso de Escritura y el permiso Leer y ejecutar.
Control total Cambiar los permisos, tomar posesión, eliminar
subcarpetas y archivos y realizar las acciones permitidas
por el resto de permisos de NTFS.
Permisos NTFS
Importante
Utilice el permiso de control
total moderadamente
cuando asigne permisos.
4
Permisos de archivos en NFTS
Podemos conceder permisos de archivo para controlar el acceso a los archivos.
La siguiente tabla muestra una lista de los permisos de archivos estándares de
NTFS que podemos otorgar y el tipo de acceso que cada uno de ellos
proporciona a los usuarios.
Permiso de archivo de Permite al usuario
NTFS
Lectura Leer el archivo y ver sus atributos, propiedades y
permisos.
Escritura Sobreescribir el archivo, cambiar sus atributos y visualizar
sus propiedades y permisos.
Leer y ejecutar Ejecutar aplicaciones y realizar las acciones permitidas por
el permiso de Lectura .
Modificar Modificar y eliminar el archivo y realizar las acciones
permitidas por el permiso de Escritura y el permiso Leer y
ejecutar.
Control total Modificar permisos, tomar posesión y realizar las acciones
permitidas por el resto de permisos de archivo de NTFS.
Importante Cuando formateamos una partición con NTFS, Windows 2000
concede automáticamente el permiso Control total sobre la carpeta raíz al grupo
Todos. Por defecto, el grupo Todos tendrá Control total sobre todas las carpetas
y archivos creados en la carpeta raíz. Para restringir el acceso a usuarios
autorizados, deberíamos cambiar los permisos predeterminados sobre las
carpetas y archivos que creemos.
Permisos NTFS
u Cómo aplica Windows 2000 los permisos de NTFS
Objetivo
Introducir el modo en que
Windows 2000 aplica los
permisos de NTFS sobre
archivos y carpetas.
Presentación
Existen reglas asociadas al
modo en que NTFS aplica
los permisos sobre archivos
y carpetas.
Importante
Se recomienda asignar
permisos a un recurso
utilizando A G DL P. En
otras palabras, asignar
permisos a un recurso
utilizando grupos locales del
dominio en lugar de cuentas
de usuario individuales.
5
n Múltiples permisos de NTFS
n Herencia de permisos de NTFS
n Copiar y mover archivos y carpetas
n Ejercicio de clase: Aplicación de los permisos de NTFS
Por defecto, cuando concedemos permisos a usuarios y grupos sobre una
carpeta, los usuarios o grupos tienen acceso a las subcarpetas y archivos que
ésta contiene. Es importante entender el modo en que las subcarpetas y los
archivos heredan los permisos de NTFS desde las carpetas padre para poder
utilizar la herencia en la propagación de permisos a archivos y carpetas.
Si concedemos permisos sobre un archivo o carpeta a una cuenta de usuario
individual o a un grupo al que pertenezca el usuario, el usuario obtendrá var ios
permisos sobre el mismo recurso. Existen reglas y prioridades asociadas al
modo en que NTFS combina múltiples permisos. Además, también es posible
afectar a los permisos cuando copiamos o movemos archivos y carpetas.
Nota Se recomienda asignar permisos a un recurso utilizando A G DL P. En
otras palabras, asignar permisos a un recurso utilizando grupos locales del
dominio en lugar de cuentas de usuario individuales.
Permisos NTFS
Múltiples permisos de NTFS
Objetivo
Explicar cómo se combinan
múltiples permisos de
NTFS.
Presentación
Es importante conocer el
modo en que los permisos
de NTFS se combinan y
adquieren prioridad.
Sugerencia
Haga una demostración de
cómo se combinan múltiples
permisos, cómo los
permisos de archivos tienen
prioridad respecto a los
permisos de carpetas y el
permiso Denegar prevalece
sobre otros permisos.
Explique la ilustración de la
diapositiva.
6
n Los permisos de NTFS son acumulativos
n Los permisos de archivo son independientes
de los permisos de carpeta
n Denegar invalida otros permisos
Particíón NTFS
Lectura/Escritura
Lectura/Escritura Carpeta
Carpeta AA
Grupo
Grupo BB
Escritura
Escritura
Usuario1
Usuario1
Archivo1
Archivo1
Lectura
Lectura
Archivo2
Archivo2
Grupo
GrupoAA
Denegar escritura
Denegar escritura aa Archivo2
Archivo2
Si concedemos permisos de NTFS a una cuenta de usuario individual además
de a un grupo al que pertenezca el usuario, estaremos concediendo múltip les
permisos a dicho usuario. Existen reglas en la forma en que NTFS combina
estos permisos múltiples para generar permisos eficaces para el usuario.
Los permisos son acumulativos
Los permisos efectivos de un usuario sobre un recurso son la combinación de
los permisos de NTFS concedidos a la cuenta de usuario individual y los
concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un
usuario tiene permiso de Lectura sobre una carpeta y pertenece a un grupo con
permiso de Escritura sobre la misma carpeta, el usuario tendrá ambos permisos,
Lectura y Escritura, sobre esa carpeta.
Los permisos de archivo son independientes de los
permisos de carpeta
Los permisos de archivo de NTFS tienen prioridad respecto a los permisos de
carpetas de NTFS. Por ejemplo, un usuario con el permiso Modificar para un
archivo podrá modificar el archivo aunque únicamente disponga del permiso de
Lectura sobre la carpeta que contiene dicho archivo.
Permisos NTFS 7

Denegar invalida otros permisos

Se puede denegar el acceso a un determinado archivo o carpeta aplicando la
Sugerencia
denegación del permiso a la cuenta de usuario o grupo. Aunque un usuario
Explique que con Windows
2000, no hay diferencia tenga permiso para acceder al archivo o carpeta como miembro de un grupo,
entre la denegación de denegar el permiso al usuario bloquea cualquier otro permiso de que éste
permisos y no disponer de disponga. Por tanto, la denegación de permiso es una excepción a la regla
permisos. acumulativa. Es aconsejable evitar la denegación de permiso ya que es más fácil
permitir el acceso a usuarios y grupos que denegar el acceso específicamente.
Ese preferible estructurar grupos y organizar recursos en carpetas de forma que
otorgar permisos sea suficiente.

Nota Con Windows 2000, no hay diferencia entre un usuario sin acceso y
denegar específicamente el acceso a un usuario añadiendo a la lista ACL una
entrada de denegación sobre el archivo o carpeta. Esto significa que el
administrador tiene una alternativa a denegar el acceso. En lugar de ello, puede
simplemente no autorizar al usuario el acceso a un archivo o carpeta.
Permisos NTFS
Herencia de permisos de NTFS
Herencia de permisos de NTFS
Objetivo
Explicar cómo se heredan
los permisos de NTFS y
cómo se evita la herencia.
Presentación
Los permisos de NTFS se
heredan desde la carpeta
en la que se crean desde en
la que se encuentran.
Sugerencia
Haga una demostración
sobre cómo se heredan los
permisos y cómo evitar la
herencia.
Conceda permisos y
muestre a los estudiantes
cómo se propagan los
permisos desde una carpeta
padre a sus subcarpetas y
archivos. Muestre también a
los estudiantes cómo añadir
permisos a un archivo o
carpeta que ha heredado
permisos de ununa carpeta
padre.
Explique la ilustración de la
diapositiva.
8
Herencia
Herenciade
de permisos
permisos
Lectura/Escritura Carpeta
CarpetaAA
Acceso a Archivo 1
Archivo1
Archivo1
Evitar
Evitar la
la herencia
herencia
Lectura/Escritura
Lectura/Escritura Carpeta
CarpetaAA
Sin acceso a Archivo 1 Archivo1
Archivo1
Por defecto, los permisos concedidos a una carpeta padre se heredan y propagan
a las subcarpetas y archivos contenidos en dicha carpeta padre. Sin embargo,
podemos evitar que esto ocurra si deseamos que las carpetas o archivos tengan
permisos diferentes a los de su carpeta padre.
Herencia de permisos
Los permisos concedidos a una carpeta padre son aplicables también a las
subcarpetas y archivos que contiene. Cuando concedemos permisos de NTFS
para dar acceso a una carpeta, estamos concediendo permisos sobre la carpeta,
sobre cualquier archivo y subcarpeta existentes, y sobre cualquier nuevo
archivo o subcarpeta que se cree en la carpeta.
Evitar la herencia de permisos
Podemos evitar la herencia de permisos, evitando que las subcarpetas y
archivos hereden permisos de las carpetas padre. Para ello, eliminamos los
permisos heredados y únicamente conservamos los permisos concedidos
explícitamente. Cuando evitamos la herencia, podemos copiar los permisos
previamente heredados.
La subcarpeta para la cual evitamos la herencia de permisos de su carpeta padre
se convierte en la nueva carpeta padre. Las subcarpetas y archivos contenidos
en esa nueva carpeta padre heredan los permisos concedidos de su carpeta
padre.
Permisos NTFS
Copiar y mover archivos y carpetas
Objetivo
Explicar qué ocurre a los
permisos de NTFS cuando
copiamos o movemos
archivos o carpetas.
Presentación
Copiar o mover archivos o
carpetas dentro y entre
particiones NTFS puede
afectar a los permisos.
Importante
Cuando copiamos un
archivo dentro de una
partición NTFS o entre
particiones NTFS,
Windows 2000 trata el
archivo como uno nuevo.
Como tal, el archivo
adquiere los permisos de la
carpeta de destino.
Debemos disponer del
permiso de Escritura sobre
la carpeta de destino para
poder copiar archivos y
carpetas.
9
Copiar
Copiar oo mover
mover
Partición NTFS Partición NTFS
C:\ Copiar
Copiar E:\
Partición NTFS Mover
D:\
n Toda copia hereda permisos de la carpeta de
destino
n Únicamente moviendo a la misma partición se
conservan los permisos
Cuando copiamos o movemos un archivo o carpeta, los permisos pueden
cambiar dependiendo del lugar dónde movemos el archivo o carpeta. Es
importante entender los cambios sufridos por los permisos cuando se mueven o
copian.
Copiar archivos y carpetas
Cuando copiamos archivos o carpetas desde una carpeta a otra o desde una
partición a otra, los permisos sobre los archivos o carpetas pueden cambiar.
Copiar un archivo o carpeta tiene los siguientes efectos en los permisos de
NTFS:
• Cuando copiamos una carpeta o archivo dentro de una única partición
NTFS, la copia de la carpeta o archivo hereda los permisos de la
carpeta de destino.
• Cuando copiamos una carpeta o archivo entre particiones NTFS, la
copia de la carpeta o archivo hereda los permisos de la carpeta de
destino.
• Cuando copiamos archivos o carpetas a particiones que no son NTFS,
como FAT, las carpetas y archivos pierden sus permisos de NTFS,
porque las particiones que no son NTFS no soportan los permisos de
NTFS.
Para copiar archivos y carpetas dentro de una única partición NTFS o entre
particiones NTFS, debemos disponer del permiso de Lectura sobre la carpeta
original y permiso de Escritura sobre la carpeta de destino.
Permisos NTFS 10

Importante Mover archivos y carpetas

Para mover un archivo o Cuando movemos un archivo o carpeta, los permisos pueden cambiar
carpeta, debemos tener el dependiendo de los permisos de la carpeta de destino. Mover un archivo o
permiso de Escritura sobre carpeta tiene los siguientes efectos en los permisos de NTFS:
la carpeta de destino y el
permiso de Modificación • Cuando movemos una carpeta o archivo dentro una partición NTFS, la
sobre la carpeta original. carpeta o archivo conserva sus permisos originales.
• Cuando movemos una carpeta o archivo entre particiones NTFS, la
carpeta o archivo hereda los permisos de la carpeta de destino. Cuando
movemos una carpeta o archivo entre particiones, de hecho estamos
copiando la carpeta o archivo a la nueva ubicación y lo eliminamos de
su antigua ubicación.
• Cuando movemos archivos o carpetas a particiones que no son NTFS,
las carpetas y archivos pierden sus permisos de NTFS, porque las
particiones que no son NTFS no soportan los permisos de NTFS.

Para mover archivos y carpetas dentro de una partición NTFS o entre

particiones NTFS, debemos tener el permiso de Escritura sobre la carpeta de
destino y el permiso de Modificación sobre la carpeta o archivo original. El
permiso de Modificación es necesario para mover una carpeta o archivo, ya que
Windows 2000 elimina la carpeta o archivo de la carpeta original después de
copiarlo a la carpeta de destino.
Permisos NTFS 11

Ejercicio de clase: Aplicación de los permisos de NTFS

Objetivo
Reforzar los conocimientos n El
n grupo Usuarios
El grupo Usuarios Partición NTFS
de los estudiantes sobre escribe
escribe enen la
la Carpeta1
Carpeta1
cómo aplica Windows 2000 n El
n grupo Ventas
El grupo Ventas
los permisos de NTFS a lee
lee la
la Carpeta1
Carpeta1
archivos y carpetas. Carpeta1
Carpeta1
Grupo Usuarios
Grupo
Presentación n El
n grupo Usuarios
El grupo Usuarios
Veamos algunos ejemplos lee
lee la
la Carpeta1
Carpeta1 Archivo1
Archivo1
de resultados de aplicar
Usuario1 n El grupo Ventas
n El grupo Ventas
permisos de NTFS a
escribe
escribe enen la
la Carpeta2
Carpeta2
archivos y carpetas.
Carpeta2
Carpeta2
n El
n grupo Usuarios
El grupo Usuarios
modifica
modifica la
la Carpeta1
Carpeta1
n Archivo2
n Archivo2debería
deberíaser
ser Archivo2
Archivo2
accesible
accesible sólo
sólo para
para el
el
Grupo Ventas
grupoVentas,
grupo Ventas, yy sólo
sólo
en
en modo
modolectura
lectura

Usuario1 pertenece al grupo Usuarios y al grupo Ventas.

1. El grupo Usuarios tiene permiso de Escritura y el grupo Ventas tiene
permiso de Lectura sobre la Carpeta1. ¿Qué permisos tiene Usuario1
sobre la Carpeta1?
Usuario1 tiene los permisos de Escritura y Lectura sobre la Carpeta1, ya
que Usuario1 pertenece al grupo Usuarios, que tiene permiso de
Escritura, y al grupo Ventas, que tiene permiso de Lectura.

2. El grupo Usuarios tiene permiso de Lectura sobre la Carpeta1. El

grupo Ventas tiene permiso de Escritura sobre la Carpeta2. ¿Qué
permisos tiene el Usuario1 sobre el Archivo2?
Usuario1 tiene permisos de Lectura y Escritura sobre el Archivo2, ya
que Usuario1 pertenece al grupo Usuarios, que tiene permiso de Lectura
sobre la Carpeta1, y al grupo Ventas, que tiene permiso de Escritura
sobre la Carpeta2. Archivo2 hereda los permisos de ambas, la Carpeta2
y la Carpeta1.

3. El grupo Usuarios tiene permiso de Modificación sobre la Carpeta1.

Archivo2 debería ser accesible únicamente para el grupo Ventas, y
únicamente en modo lectura. ¿Qué pasos deberíamos seguir para
asegurarnos de que el grupo Ventas tiene únicamente permiso de
Lectura sobre el Archivo2?
Deshabilitar la herencia de permisos sobre la Carpeta2 o el Archivo2.
Eliminar los permisos sobre la Carpeta2 o el Archivo2 que la Carpeta2
ha heredado de la Carpeta1. Conceder únicamente el permiso de
Lectura al grupo Ventas sobre la Carpeta2 o el Archivo2.
Permisos NTFS 12

u Uso de los permisos de NTFS

Objetivo
Presentar los temas
relacionados con el uso de
los permisos de NTFS. n Concesión de permisos de NTFS
Presentación
Los administradores y n Configuración de la herencia de permisos
propietarios de archivos y
carpetas controlan el n Prácticas recomendadas para la concesión de permisos
acceso a los archivos y de NTFS
carpetas.

Los administradores, los usuarios con el permiso Control Total y los

Sugerencia
Recuerde a los estudiantes
que es recomendable
asignar permisos a recursos
utilizando grupos locales del
dominio en lugar de cuentas
individuales.
propietarios de archivos o carpetas pueden conceder permisos sobre archivos y
carpetas a cuentas de usuario y a grupos. Cuando concedamos permisos de
NTFS y controlemos la herencia, deberíamos seguir las prácticas recomendadas
para otorgar los permisos del modo más eficaz. Deberíamos conceder los
permisos siempre de acuerdo con las necesidades de nuestros grupos y usuarios.
Permisos NTFS 13

Concesión de permisos de NTFS

Objetivo
Explicar cómo conceder
permisos de NTFS.
Presentación
Por defecto, Windows 2000
concede el permiso Control
Total cuando creamos un
archivo o carpeta o cuando
formateamos una partición
con NTFS.

Concedemos permisos de NTFS a la carpeta en el cuadro de diálogo

Propiedades. Cuando concedemos o modificamos permisos de NTFS sobre un
archivo o carpeta, podemos agregar o eliminar usuarios, grupos o equipos.
Seleccionando un usuario o grupo, podemos modificar sus permisos.
En la ficha Seguridad del cuadro de diálogo Propiedades del archivo o
carpeta, configure las opciones que se describen en la siguiente tabla:
Opción Descripción
Nombre Selecciona la cuenta de usuario o grupo sobre el que deseamos
modificar los permisos o que deseamos eliminar de la lista.
Permisos Otorga un permiso cuando selecciomos la caja de verificación
Permitir.
Deniega un permiso cuando seleccionamos la caja de verificación
Denegar.
Añadir Abre el cuadro de diálogo Seleccionar usuario, grupos o equipos ,
que utilizamos para seleccionar cuentas de usuario y grupos para
añadirlos a la lista Nombre.
Eliminar Elimina la cuenta de usuario o grupo seleccionado y los permisos
asociados al archivo o carpeta.
Permisos NTFS
Configuración de la herencia de permisos
Objetivo
Explicar cómo se controla la
herencia de permisos.
Presentación
Por defecto, los permisos
que concedemos a una
carpeta son heredados por
las subcarpetas y archivos
que contiene.
Sugerencia
Haga una demostración de
cómo conceder permisos a
una carpeta. A continuación,
haga una demostración de
cómo bloquear la herencia
de permisos sobre un
archivo contenido en la
carpeta. Finalmente,
conceda nuevos permisos
sobre el archivo en el que
ha bloqueado la herencia de
permisos.
14
En general, deberíamos permitir que Windows 2000 propagara los permisos de
una carpeta padre a las subcarpetas y archivos que contiene. La propagación de
permisos simplifica la asignación de permisos a recursos.
Sin embargo, es posible que en ocasiones deseemos evitar la herencia de
permisos. Por ejemplo, es posible que necesitemos guardar todos los archivos
del departamento de ventas en una carpeta Ventas para la que todos los
miembros de dicho departamento tengan permiso de Escritura. Sin embargo,
debemos limitar los permisos sobre algunos archivos de la carpeta con el
permiso de Lectura únicamente. Por tanto, deberíamos evitar la herencia para
que el permiso de Escritura no se propague a los archivos contenidos en la
carpeta.
Por defecto, las subcarpetas y archivos heredan los permisos concedidos sobre
sus carpetas padre, como se muestra en la ficha Seguridad del cuadro de texto
Propiedades cuando está seleccionada la caja de verificación de Permitir
permisos heredables desde el padre para propagar a este objeto.
Para evitar que una subcarpeta o archivo herede permisos de una carpeta padre,
debemos desmarcar la caja de verificación Permitir permisos heredables
desde el padre para propagar a este objeto, y seleccionar una de las
siguientes opciones:
Opción Descripción
Copiar Copia permisos previamente heredados desde la carpeta p adre a la
subcarpeta o archivo y deniega la posterior herencia de permisos
desde la carpeta padre.
Eliminar Elimina los permisos heredados concedidos sobre la carpeta padre
desde la subcarpeta o archivo y conserva únicamente los permisos
explícitamente concedidos sobre la subcarpeta o archivo.
Permisos NTFS 15

Prácticas recomendadas para conceder permisos de NTFS

Objetivo
Explicar las prácticas Conceder
Concederpermisos
permisos aagrupos
grupos locales
locales del
del dominio
dominio en
en lugar
lugar de
de aa usuarios
usuarios
recomendadas para la
concesión de permisos de
NTFS. Agrupar
Agruparrecursos
recursospara
parasimplificar
simplificarlalaadministración
administración
Presentación
Considere estas directrices
Otorgar
Otorgaraa los
los usuarios
usuarios únicamente
únicamenteelelnivel
nivel de
de acceso
acceso que
que necesiten
necesiten
cuando conceda permisos
de NTFS.
Crear
Creargrupos
gruposde
deacuerdo
acuerdocon
conelelacceso
accesoque
quesus
susmiembros
miembrosrequieren
requieren

Conceder
Concederpermisos deLeer
permisosde Leeryyejecutar
ejecutar para
para carpetas
carpetas de
de aplicaciones
aplicaciones

Conceder
Concederpermisos deLeer
permisosde Leeryyejecutar
ejecutar yyEscriturapara
Escritura paracarpetas
carpetas de
de datos
datos

Considere las siguientes prácticas recomendadas cuando conceda permisos de

NTFS:
• Conceder permisos a grupos locales del dominio en lugar de a usuarios.
Es más fácil administrar grupos que usuarios. De este modo se
mantiene la lista más corta, mejorando el rendimiento.

• Para simplificar la administración, agrupe archivos en carpetas de

aplicación donde se guarden las aplicaciones más utilizadas, carpetas
de datos que contienen archivos de datos compartidos por múltiples
usuarios, y carpetas de usuarios que contengan los archivos de cada
usuario individual. Centralice las carpetas de usuario y las carpetas de
datos en una partición distinta.

• Otorgue a los usuarios únicamente el nivel de acceso que requieran. Si

un usuario únicamente necesita leer un archivo, conceda al usuario, o
grupo al que pertenezca, el permiso de Lectura sobre el archivo.

• Cree grupos según los requerimientos de acceso a los recursos que

necesiten sus miembros, y conceda los permisos adecuados a los
grupos.

• Cuando conceda permisos sobre carpetas de aplicaciones, conceda el

permiso Leer y Ejecutar a los grupos Usuarios y Administradores. De
este modo, se evita que archivos de datos y aplicaciones se eliminen o
se dañen accidentalmente por usuarios o virus.
Permisos NTFS 16

• Cuando conceda permisos sobre carpetas de datps, conceda los

permisos Leer y Ejecutar y Escritura al grupo Usuarios y el permiso
de Modificación al grupo Propietario Creador. De este modo, los
usuarios tendrán la capacidad de leer y modificar documentos creados
por otros usuarios, y la capacidad de leer, modificar y eliminar los
archivos y carpetas que ellos mismos creen.

Nota Deberiamos utilizar la denegación de permisos únicamente cuando sea

imprescindible para denegar el acceso a una cuenta de usuario o grupo
específicos. Se recomienda también el uso de grupos locales del dominio para
asignar permisos en vez de asignar permisos a cuentas individuales.
Permisos NTFS 17

u Uso de los permisos especiales de NTFS

Objetivo
Identificar los temas
relacionados con la
concesión de los permisos n Introducción a los permisos especiales de NTFS
especiales de NTFS.
Presentación n Concesión de permisos especiales de NTFS
Generalmente, los permisos
estándar de NTFS
proporcionan el control de
acceso necesario para
securizar los recursos, pero
si necesitamos niveles de
acceso más específicos,
podemos utlizar los
permisos de acceso
especiales de NTFS.

Generalmente, los permisos estándar de NTFS proporcionan todo el control de

acceso que necesitamos para securizar nuestros recursos. Sin embargo, en
ocasiones los permisos estándares de NTFS no proporcionan el nivel especifico
de acceso que deseamos conceder a los usuarios. Para crear un nivel específico
de acceso, concedemos permisos de acceso especiales de NTFS.
Permisos NTFS 18

Introducción a los permisos especiales de NTFS

Objetivo
Explicar los permisos Permiso
Permiso para
para
especiales de NTFS. cambiar
cambiarpermisos
permisosyy
Presentación Tomar
Tomar posesión
posesión
Los permisos de acceso
especiales nos
proporcionan un mayor Propietario,
Propietario,
grado de control para Administrador
conceder acceso a ~~~~~
~~~~~ Cambiar
Cambiarpermisos
permisos
permisos
recursos.
~~~~~ Tomar
Tomarposesión
posesión
~~~~~

Permiso estándar
estándar Permisos
Permisos especiales
especiales de
de acceso
acceso
Leer
Leer datos Usuarios, Grupos
Leer atributos
Lectura Leer
Leer permisos
Leer atributos ampliados

Los permisos de acceso especiales nos proporcionan un mayor grado de control

para conceder acceso a recursos. Los 13 permisos de acceso especiales, cuando
se combinan, constituyen los permisos estándares de NTFS. Por ejemplo, el
permiso estándar de Lectura consta de los permisos de acceso especiales Leer
datos, Leer atributos, Leer permisos y Leer atributos extendidos.
Dos de los permisos de acceso especiales son especialmente útiles para la
administración del acceso a archivos y carpetas:
• Cambiar permisos. Con este permiso, el usuario tiene la capacidad de
cambiar permisos sobre un archivo o carpeta.
• Tomar posesión. Con este permiso, el usuario tiene la capacidad de
tomar posesión de archivos y carpetas.

Cambiar permisos
Podemos dar a otros administradores y usuarios la capacidad de cambiar
permisos sobre un archivo o carpeta sin necesidad de concederles el permiso
Control total sobre el archivo o carpeta. De esta forma, el administrador o
usuario no puede borrar o escribir en el archivo o carpeta, pero puede conceder
permisos al archivo o carpeta.
Para dar a los administradores la capacidad de cambiar permisos, conceda el
permiso de Modificación sobre archivo o carpeta al grupo Administradores.

Nota Es recomendable asignar permisos a recursos utilizando A G DL P.

Permisos NTFS 19

Tomar posesión
Podemos dar a un usuario la capacidad de tomar posesión o, como
administrador, podemos tomar posesión de un archivo o carpeta.
Las siguientes normas son aplicables a tomar posesión de un archivo o carpeta:
• El propietario actual o cualquier usuario con permiso Control total
puede conceder el permiso estándar Control total o el permiso de
acceso especial Tomar posesión a otra cuenta de usuario o grupo. Esto
permite a la cuenta de usuario o a un miembro del grupo tomar
posesión.
• Un miembro del grupo de administradores puede tomar posesión de
una carpeta o archivo, con independencia de los permisos concedidos
sobre esa carpeta o archivo. Si un administrador toma posesión, el
grupo de administradores se convierte en el propietario, y cualquier
miembro del grupo de administradores puede modificar los permisos
sobre el archivo o carpeta y conceder el permiso Tomar posesión a otra
cuenta de usuario o grupo.
Por ejemplo, si un empleado deja la compañía, un administrador puede
tomar posesión de los archivos del empleado y conceder el permiso Tomar
posesión a otro empleado, y ese empleado puede tomar posesión de los
archivos del primero.

Nota Para convertirse en el propietario de un archivo o carpeta, un usuario o

miembro de un grupo con el permiso Tomar posesión debe explícitamente
tomar posesión del archivo o carpeta. No podemos conceder automáticamente a
ninguna persona la propiedad de un archivo o carpeta. El propietario de un
archivo, un miembro del grupo de administradores o cualquier persona con
permiso Control total puede conceder el permiso Tomar posesión a una cuenta
de usuario o grupo, lo que les permite tomar posesión.
Permisos NTFS 20

Concesión de permisos especiales de NTFS

Objetivo
Explicar la interfaz para
conceder permisos.
Presentación
Podemos conceder
permisos de acceso
especiales para cambiar
permisos de archivos y
carpetas o tomar posesión
de archivos y carpetas.

Para conceder permisos de acceso especiales a usuarios y grupos:

1. En el cuadro de diálogo Propiedades de un archivo o carpeta, en la
ficha Seguridad, haga clic en el botón Avanzado.
2. En el cuadro de diálogo Configuración del Control de Acceso del
archivo o carpeta, en la ficha Permisos, seleccione la cuenta de usuario
o grupo para el que desea aplicar permisos de acceso especiales de
NTFS, y haga clic en Ver/Editar.
3. En el cuadro de diálogo de Introducción de permisos del archivo o
carpeta, configure las opciones descritas en la siguiente tabla:
Opción Descripción
Nombre Especifique la cuenta de usuario o nombre del grupo.
Seleccione otro valor , haga clic en Cambiar.
Aplicar a Especifique el nivel de la jerarquía de carpetas desde
el que se heredan los permisos especiales de NTFS.
La opción predeterminada es Esta caroeta,
subcarpetas y archivos.
Permisos Permita los permisos de acceso especiales. Para
permitir los permisos Cambiar permisos o Tomar
posesión , seleccione la caja de verificación de
Permitir junto a cada uno de ellos.
Aplicar estos permisos a Especifica si las subcarpetas y archivos de una
objetos y/o contenedores carpeta heredan los permisos de acceso especiales de
dentro de este contenedor dicha carpeta. Deshabilite esta casilla de verificación
únicamente para evitar la herencia de permisos. Seléccionela para
propagar los permisos de acceso especiales a archivos
y subcarpetas.
Borrar todos Haga clic para deseleccionar todos los seleccionados.