Permisos – Permisos Efectivos

Trataremos en esta nota de resumir y aclarar algunos conceptos importantes en cuanto se refiere a la aplicación de permisos en ambiente Windows.

En esta ocasión no haremos una descripción detallada de cada uno y su uso, ya que sería muy extenso, y nunca se podrían cubrir todos los escenarios, pero sí como para comprender su funcionamiento.

Debemos tener en cuenta que existen dos clases de permisos:

• Permisos de Seguridad (NTFS)
• Permisos de Compartido (Share)

Dependiendo del tipo de acceso nos afectarán sólo los de Seguridad, o ambos.

Permisos de Seguridad (NTFS)

Los permisos de Seguridad nos afectarán siempre, esto es, tanto cuando accedemos remotamente a un equipo, como cuando estamos trabajando localmente en el mismo.

Estos permisos residen en el sistema de archivos (File System) y son propios de las unidades con formato NTFS

Tienen varias ventajas, entre las que podemos citar:

• Los podemos manejar individualmente por cada carpeta y archivo
• Hay permisos “standard” que son los de uso más común, y además hay permisos “avanzados”. Los primeros son combinaciones ya hechas de los segundos.
• Cada permiso tiene la opción específica de Permitir o Denegar

Normalmente un usuario pertenece a varios grupos, y cada uno puede tener diferentes permisos sobre un recurso. Inclusive, aunque no recomendado, el propio usuario puede tener permisos.

Entonces ¿Cuál es el permiso efectivo (final) de este usuario sobre ese archivo o carpeta?

El permiso efectivo de Seguridad, es la combinación de todos los permisos  “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)

Por ejemplo, si de la pertenencia a un grupo tengo “Permitir Lectura” y de otro grupo “Permitir Escritura”, el permiso efectivo es “Lectura + Escritura”.

Pero si por pertenencia a otro grupo obtengo algún “Denegar”, éste será el efectivo

No tener permisos, implica que no se puede acceder, en cambio “Denegar” siempre ganará a los “Permitir”. No tener permisos no resta.

¿Qué sucede con los permisos cuando copiamos un archivo/carpeta?

Cuando se copia, se genera un objeto nuevo, el original no se altera. La copia hereda los permisos de la carpeta que lo contiene. Tener en cuenta que la raíz de un disco, es una carpeta.

¿Qué sucede con los permisos cuando movemos un archivo/carpeta?

Se pueden producir dos situaciones diferentes depende si se mueve en mismo disco, o entre discos diferentes.

Si movemos un archivo/carpeta, dentro del mismo disco (partición o volumen), cambian los permisos heredados, pero se mantienen los permisos específicamente dados sobre el archivo/carpeta

En cambio, si movemos un archivo/carpeta, entre discos diferentes, sólo hereda los nuevos permisos, Eso es así, porque el mover entre discos en realidad es “copiar” seguido de “borrar” el original.

Permisos de Compartido (Share)

Los Permisos de Compartido, a diferencia de los anteriores, nos afectan únicamente cuando estamos accediendo remotamente (desde otro equipo). No tienen ningún efecto cuando estamos trabajando directamente sobre el equipo.

Se aplican únicamente a Carpetas, y será el mismo permiso para todo el contenido de dicha carpeta, y todos los archivos y subcarpetas contenidos en la primera.

Además debemos tener en cuenta, que no residen en el Sistema de Archivos, sino que están especificados en el Registro del sistema operativo

Además podemos observar que son mucho más “limitados” que los de Seguridad.

Igual que en el caso anterior, por pertenencia a grupos podemos recibir diferentes permisos por cada grupo, y análogamente al caso anterior:

El permiso efectivo de Compartido, es la combinación de todos los permisos “Permitido”, salvo que los de “Denegar” siempre prevalecen (ganan)

1. El permiso de lectura permite:

• ver los nombres de archivos y de subcarpetas
• recorrer las subcarpetas
• ver los datos de los archivos
• ejecutar archivos de programa

2. El permiso de cambio proporciona todos los permisos de lectura, así como:

• agregar archivos y subcarpetas
• cambiar datos en archivos
• eliminar subcarpetas y archivos

2. El permiso de control total se aplica de forma predeterminada a los recursos compartidos que se crean. Este permiso se asigna al grupo Todos al compartir un recurso. Proporciona todos los permisos de lectura y de cambio, así como:

• cambiar permisos
• tomar posesión

Permisos Efectivos

Resumiendo, cuando trabajamos localmente, nos afectan sólo los permisos de Seguridad. Pero cuando lo hacemos remotamente nos afectan ambos.

Y en este caso ¿cuál va a ser el permiso efectivo (final)?

El permiso efectivo (final) va a resultar ser el más restrictivo entre los de Seguridad y los de Compartido

Las tablas siguientes detallan los permisos especiales que abarcan los permisos de los archivos y de las carpetas respectivamente. 

Permisos diferentes para un usuario o grupo en Seguridad y en Compartir

http://freyes.svetlian.com/tips/permisos-seguridad-compartir.htm


Fuente :http://windowserver.wordpress.com/2011/04/30/permisos-permisos-efectivos/

Uso de herramientas de diagnóstico para un Controlador de Dominio

Vamos a ver cómo trabajar con herramientas para detectar posibles errores en nuestros controladores de dominio después de nuestras instalaciones.

https://app.box.com/s/rhryw7g3e51455v5cbgr

POSIBLES ERRORES

Error DCdiag frsevent

Starting test: frsevent

There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.

solucion:

net stop ntfrs

net start ntfrs

Errores de W32Time

El típico error de Sistema con origen W32Time que nos dice algo así como...

El proveedor de tiempo NtpClient se ha configurado para adquirir la hora desde uno o más recursos de hora, sin embargo, ninguno de los recursos está accesible No se hará un intento de ponerse en contacto con un recurso durante 15 minutos. NtpClient no tiene recurso de hora exacta.

Check the Event Viewer (eventvwr.msc) This link is external to TechNet Wiki. It will open in a new window. and review the entries in the System Log This link is external to TechNet Wiki. It will open in a new window. . After you have either resolved or decided to ignore those errors, archive the event log  This link is external to TechNet Wiki. It will open in a new window. and then clear it (or if you don't care to save the events, simply clear the log This link is external to TechNet Wiki. It will open in a new window. ).

Configuring the Windows Time service to use an internal hardware clock

1. Click "Start", click "Run", type "regedit" (without the quotation 

marks), and then click "OK".

2. Locate and then click the following registry subkey:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\Ann

ounceFlags"

3. In the right pane, right-click "AnnounceFlags", and then click 

"Modify".

4. In "Edit DWORD Value", type "A" (without the quotation marks) in the 

"Value data" box, and then click "OK".

5. Quit Registry Editor.

6. At the command prompt, type the following command to restart the Windows Time service, and then 

press ENTER:

"net stop w32time && net start w32time" (without the quotation marks)

Práctica con Grupos

Desde el entorno que tengo montado en mi portátil vamos a ver como trabajar con los grupos.
https://app.box.com/s/hn6ho3bz0h9d8fnwhqve

Unidades Organizativas

https://app.box.com/s/g8vhcmwaa27zf4ifgok3

Grupos

https://app.box.com/s/qg5du1mnlxfeego14vth

Objeto Usuario en Server 2003

Un poco de teoría ...

https://app.box.com/s/vc1ttkpl7yefgx9lvnjz

https://app.box.com/s/arms8k1mdmeuk3yh8uve

Práctica caída del controlador de dominio

Vamos a leer que debiéramos hacer para que los usuarios pudieran iniciar sesión sin ningún problema
https://app.box.com/s/74547p7smyp8gbl54aya

Crear un controlador de dominio adicional para un dominio existente

Servidor miembro

Cree controladores de dominio adicionales cuando desee aumentar la disponibilidad y confiabilidad de los servicios de red. Mediante la adición de controladores de dominio adicionales, podrá proporcionar tolerancia a errores, equilibrar la carga de los controladores de dominio existentes, proporcionar compatibilidad de infraestructura con sitios y mejorar el rendimiento, con lo que ofrecerá a los clientes un acceso más fácil a un controlador de dominio cuando inicien la sesión en la red. Por ejemplo, como se muestra en la siguiente ilustración, mediante la adición de un nuevo controlador de dominio (DC2) al dominio microsoft.com, se facilita el desplazamiento de la carga en otros controladores de dominio.

    

Vamos a ver cómo administrar el Active Directory

https://app.box.com/s/3qms56and48whq4vubob

Esquemas de Active Directory y DHCP

https://plus.google.com/photos/105820391593757297413/albums/5976818451044470625

Servidor FTP e IIS

Vamos a montar estos Servidores
http://www.adminso.es/index.php/W2K3-SERVICIOS_DE_INTERNET

Enrutamiento

Vamos a hacer posible que un equipo Windows 7 del dominio que hemos creado puede acceder a Internet . Para ello ya configuramos en su momento los adaptadores de red en VirtualBox (modo red interna, y el  que hace posible salir hacia el exterior,modo NAT).

Veamos como configurar este servicio:

https://app.box.com/s/2w870p53q2veadxn0422

DHCP

Después de haber instalado el AD y DNS veremos qué es y cómo instalar DHCP

https://app.box.com/s/roqm08l6nyailg4x371h
https://app.box.com/s/dnl0johlgdy7cpicu0nm

Pruebas con DNS

Vamos a probar que el Servidor DNS resuelva correctamente tanto direcciones IP's como Nombres de máquina .

Hacemos desde la máquina Windows 7:

ping 192.168.0.1

ping Nombre_Server

nslookup *

*Nslookup

Es un programa, utilizado para saber si el DNS está resolviendo correctamente los nombres y las IP. 

Se utiliza con el comando nslookup, que funciona tanto en Windows como en UNIX para obtener la dirección IP

 conociendo el nombre, y viceversa...

TIPOS DE REGISTROS DNS

Tipo A – Retorna una dirección IPv4 de 32-bit, más comúnmente utilizado para ubicar nombres de host para una dirección IP de una máquina.

Tipo AAAA - Retorna una direcciónIPv6 de 128-bits, más comúnmente utilizado para ubicar nombres de host para una dirección IP de una máquina.

Tipo NS – Delega una zona DNS para utilizar los servidores autoritativos de nombres.

Tipo MX - Asigna un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio.

Tipo CNAME - (Nombre Canónico) Se usa para crear nombres de hosts adicionales, o alias, para los hosts de un dominio. Es usado cuando se están corriendo múltiples servicios (como ftp y servidor web) en un servidor con una sola dirección ip. Cada servicio tiene su propia entrada de DNS (como ftp.ejemplo.com. y www.ejemplo.com.). esto también es usado cuando se ejecutan múltiples servidores http, con diferentes nombres, sobre el mismo host.

Tipo SOA - (Autoridad de la zona) Proporciona información sobre el servidor DNS primario de la zona, como el correo electrónico del administrador del dominio, el número serial del dominio, y los tiempos de refrescado o actualización.

Tipo PTR - También conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo direcciones IP's en nombres de dominio.

Tipo SRV - Permite indicar los servicios que ofrece el dominio.

Tipo SPF - Sender Policy Framework - Ayuda a combatir el Spam. En este registro se especifica cual o cuales hosts están autorizados a enviar correo desde el dominio dado. El servidor que recibe, consulta el SPF para comparar la IP desde la cual le llega, con los datos de este registro.