ÍNDICE

1.LISTA DE CONTROL DE ACCESO...............................................................................................2

1.Permisos para archivos.................................................................................................................3
2.Permisos para carpetas..................................................................................................................3
2.HERENCIA.......................................................................................................................................4
3.PROPIEDAD.....................................................................................................................................6
1. LISTA DE CONTROL DE ACCESO
Un recurso local es cualquier elemento

del sistema que permite ser usado por

los usuarios. Así, una impresora, una

carpeta, un fccero o una conexión de

red son recursos.

Por cada recurso el sistema cuenta con

una lista donde apunta los usuarios que

pueden usar dicco recurso y de qué

forma pueden usarlo. Si un usuario no

está en esta lista, el sistema le impedirá

usar el recurso.

Esta lista con la que cuenta cada recurso se conoce como ACL (Access Control

List, o Lista de Control de Acceso).

Cuando un usuario intenta acceder a un recurso, pide autorización al sistema para

cacerlo. El sistema comprobará entonces si en el ACL de dicco recurso aparece el

usuario, y en caso contrario, comprobará si aparece algún grupo al que pertenezca

el usuario.

Si no aparece en la ACL ningún usuario o grupo del que sea miembro, el sistema

niega el acceso al usuario a dicco recurso.

Si aparece en la ACL el usuario, el recurso comprueba si la acción que quiere

realizar el usuario (leer, borrar, escribir, etc.) está permitida en la ACL, si lo está le

autoriza para cacerlo, en caso contrario se lo impide.

Puede ocurrir que un usuario tenga permisos contradictorios… imaginemos que en el

ACL de la carpeta FOTOS aparece el usuario PACO puede escribir en la carpeta,

pero PACO pertenece al grupo PROFESORES que aparece en el ACL de FOTOS

como que no tiene derecco a escribir. En este caso lo que más pesa en cualquier

ACL es la denegación implícita de permisos. Si un permiso esta denegado, no se

sigue mirando, se deniega inmediatamente.

Desde cmd también se puede consultar y cambiar los permisos con el comando

icacls.exe

E:\carpsistemas>icacls.exe a.txt

a.txt BUILTIN\Administradores:(F)

NT AUTHORITY\SYSTEM:(F)

NT AUTHORITY\Authenticated Users:(M)

BUILTIN\Usuarios:(RX)

El significado de cada letra es el siguiente

N - sin acceso

F - acceso total

M - acceso de modificación

RX - acceso de lectura y ejecución

R - acceso de solo lectura

W - acceso de solo escritura

D - acceso de eliminación

1. Permisos para archivos

La ACL de los arccivos incluye los siguientes permisos:

 ➢ Leer: Se puede leer el archivo y ver sus permisos, atributos y

quién es su propietario.

➢ Escribir: Es posible sobrescribir en el archivo. Ver al propietario y

los permisos del archivo. Modificar sus atributos.

➢ Lectura y Ejecución: Se pueden ejecutar aplicaciones e incluye el

permiso Escribir obligatoriamente.

➢ Modificar: Se puede modificar o eliminar el archivo, e incluye los

permisos Escribir, y Lectura y ejecución.

➢ Control Total: Puedes tomar la propiedad y modificar los

permisos, e incluye todos los permisos anteriores.

2. Permisos para carpetas

La ACL de las carpetas incluyen los siguientes permisos:

➢ Leer: Permite ver archivos y subcarpetas dentro de la carpeta, ver

los permisos y atributos de carpeta y saber quien es el propietario.

➢ Escribir: Permite crear archivos y subcarpetas en la carpeta,

modificar atributos de carpeta, ver el propietario y los permisos.

➢ Listar el Contenido de la Carpeta: Ver los nombre de archivos y

subcarpetas en la carpeta.

➢ Lectura y Ejecución: Te puedes mover por las carpetas para llegar

a leer otros archivos y carpetas donde en principio no tendrías

permisos, además incluye los permisos de Leer y Listar el contenido

de la carpeta.

➢ Modificar: Puedes eliminar la carpeta e incluye los permiso de

Escribir y Lectura y ejecución.

 ➢ Control Total: Puedes modificar los permisos, tomar la propiedad,

eliminar subcarpetas y archivos, y además tienes todos los

permisos anteriores.

2. HERENCIA
Cualquier recurso que se crea cereda automáticamente la ACL de su recurso padre

si es que existe.

Si creamos una carpeta FOTOS dentro de otra que se llama FAMILIA, las dos van

a tener los mismos permisos porque FOTOS cereda los permisos de FAMILIA.

Si queremos que FOTOS tenga otros permisos diferentes a los de FAMILIA

tenemos que indicar a dicca carpeta que rompa la cerencia.

Para romper la cerencia accedemos al botón de Opciones Avanzadas que está en

la pestaña Seguridad.
En esta ventana en la pestaña de permisos podemos ver todos permisos de todos

los usuarios y además podemos descabilitar la cerencia

Si quitamos dicca opción quitaremos la relación de cerencia de nuestro recurso, y

podremos gestionar su ACL como nosotros queramos.

Cuidado acora, una vez quitada la cerencia, el sistema nos da a elegir entre dos

opciones:

➢ Si escogemos la primera opción, la herencia se interrumpirá, pero

los usuarios y sus permisos se mantienen, pero ahora ya podremos

retocarlos como queramos.

➢ Si escogemos la segunda opción, la ACL se borrará totalmente, se

interrumpirá la herencia y la podremos crear desde cero. Es decir, la

lista de usuarios y permisos quedará en blanco y la tendremos que

crear desde cero.

LA OPCIÓN RECOMENDABLE ES LA PRIMERA

Vemos como debajo de la opción de Heredar del objeto principal, tenemos otra

opción que nos permite activar que los objetos por debajo del nuestro cereden las

modifcaciones que cagamos en nuestra ACL. Esto es importante tenerlo en cuenta

si queremos que los cambios que cagamos en la ACL se repliquen en los objetos

hijos del nuestro, ya que cemos roto la cerencia y a veces tendremos que forzar

diccos cambios.

3. PROPIEDAD
Toda carpeta o arccivo que se crea es propiedad del usuario que la crea y dicco

usuario tiene todos los permisos sobre dicca carpeta.

En la ACL suele aparecer el usuario Creator Owner que indica el usuario que creó

la carpeta y que por lo tanto es su propietario. Si dicca carpeta la creamos por

ejemplo con nuestro usuario que se llama Jose, veremos cómo este usuario José

tiene permisos sobre dicca carpeta aunque no aparezca como José en el ACL, ya

que es su Creator Owner.

Para evitar esto, las carpetas se tienen que crear con uno de los usuarios que al

fnal va a tener acceso a la carpeta. De esta manera podemos cacer que un

administrador del sistema no tenga acceso a unos determinados recursos. ¿Esto es

cierto?

El propietario de la carpeta aparece en la ventana de propiedades avanzadas del

ACL
Si un usuario administrador no tiene ningún permiso sobre una carpeta, este no va

a poder cacer nada con dicca carpeta, ni cambiar los permisos.

Evidentemente esto no es correcto, porque un usuario administrador tiene que ser

capaz de controlar el sistema.

Para poder tomar el control de una carpeta con estas características se tienen que

seguir los siguientes pasos:

➢ Accedemos a las propiedades de la carpeta, si bien en ella no

podemos modificar nada, sí que podemos acceder a sus

propiedades avanzadas, y dentro de dichas propiedades accedemos

a Propietario.

➢ En esta ventana cambiamos el propietario actual del objeto

(owner), e indicar que el propietario actual es el grupo

Administradores (o el usuario actual si es del grupo

Administradores).

Una vez que somos propietarios de la carpeta ya podemos modifcar el ACCL

como queremos.

IMPORTANTE. Siempre que cagamos algo así, dejad como propietario al

GRUPO administradores, nunca al usuario Administrador. De esta forma la carpeta

no se estropeará si es un perfl.