Información extraída del Capítulo Trece de la Guía del Administrador de Windows 2000. Escrito por William R. Stanek.
En volúmenes NTFS, puede establecer permisos de seguridad para archivos y carpetas. Estos permisos conceden o deniegan el acceso a archivos y carpetas. Para ver los permisos de seguridad actuales, haga lo siguiente:
Descripción de los permisos de archivos y carpetas
La Tabla 13-3 muestra los permisos básicos que se aplican a archivos y carpetas.
Existen los siguientes permisos básicos de acceso a archivos: control total, modificar, leer y ejecutar, leer y escribir.
Para las carpetas, se aplican los siguientes permisos básicos: control total, modificar, leer y ejecutar, enumerar el contenido de la carpeta, leer y escribir.
Al establecer permisos para archivos y carpetas, siempre debe tener en cuenta lo siguiente:
| Solo necesita tener permiso de lectura para ejecutar scripts. El permiso Ejecutar archivo (permiso especial Ejecutar archivo) es opcional. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| El acceso al acceso directo y al objeto asociado requiere permiso de lectura. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| El permiso Escribir en archivo (permiso especial Escribir datos) en ausencia del permiso Eliminar archivo (permiso especial Eliminar) aún permite al usuario eliminar el contenido del archivo. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Si un usuario tiene el permiso de Control total básico en una carpeta, puede eliminar cualquier archivo en esa carpeta, independientemente de los permisos en esos archivos. Tabla 13-3 - Permisos básicos para archivos y carpetas en Windows 2000
Los permisos básicos se crean agrupando permisos específicos en grupos lógicos, que se muestran en la Tabla 13-4 (para archivos) y 13-5 (para carpetas). Los permisos especiales se pueden asignar individualmente usando opciones de configuración avanzadas. Al obtener información sobre permisos de archivos especiales, tenga en cuenta lo siguiente: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Si los derechos de acceso no están definidos explícitamente para un grupo o usuario, se les niega el acceso al archivo. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Al calcular los permisos efectivos de un usuario, se tienen en cuenta todos los permisos asignados al usuario, así como los grupos de los que el usuario es miembro. Por ejemplo, si el usuario GeorgeJ tiene acceso de lectura y, al mismo tiempo, es miembro del grupo Techies, que tiene acceso de modificación, como resultado, GeorgeJ tiene acceso de modificación. Si el grupo Techies está incluido en el grupo Administradores con control total, entonces GeorgeJ tendrá el control total del archivo. Tabla 13-4 - Permisos especiales para archivos
La Tabla 13-5 muestra los permisos especiales utilizados para crear permisos básicos de carpeta. Al obtener información sobre los permisos de carpetas especiales, tenga en cuenta lo siguiente: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Cuando establece permisos en una carpeta principal, puede hacer coincidir los permisos de archivos y subcarpetas con los permisos de la carpeta principal actual. Para hacer esto, seleccione la casilla de verificación Restablecer permisos en todos los objetos secundarios y habilitar la propagación de permisos hereditarios. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Los archivos creados heredan algunos permisos del objeto principal. Estos permisos se muestran como los permisos de archivo predeterminados. Tabla 13-5 - Permisos especiales para carpetas
|
Configuración de permisos para archivos y carpetas
Para establecer permisos para archivos y carpetas, haga lo siguiente:
| 1. | En seleccione un archivo o carpeta y haga clic en botón derecho del ratón ratones. |
| 2. | A Menú de contexto selecciona un equipo Propiedades y en el diálogo ir a la pestaña Seguridad se muestra en la figura 13-12.
|
| 3. | listado Nombre enumera los usuarios o grupos que tienen acceso al archivo o carpeta. Para cambiar los permisos de estos usuarios o grupos, haga lo siguiente: Seleccione el usuario o grupo cuyos permisos desea cambiar. usar una lista Permisos: (Permisos) para establecer o revocar permisos. Consejo. Las casillas de verificación de permisos heredados están atenuadas. Para revocar un permiso heredado, inviértalo. |
| 4. | Para establecer permisos para usuarios, contactos, equipos o grupos que no aparecen en la lista Nombre, presiona el botón Agregar. Aparecerá el cuadro de diálogo que se muestra en la Figura 13-13.
|
| 5. | Usar el cuadro de diálogo Elección: Usuario, Computadora o Grupo (Seleccione Usuarios, Computadoras o Grupos) para seleccionar los usuarios, equipos o grupos para los que desea establecer permisos de acceso. Esta ventana contiene los campos que se describen a continuación: Buscar en (Buscar en) Esta lista desplegable le permite ver las cuentas disponibles de otros dominios. Incluyendo una lista del dominio actual, dominios de confianza y otros recursos disponibles. Para ver todas las cuentas en una carpeta, seleccione Directorio completo. Nombre Esta columna muestra las cuentas existentes para el dominio o recurso seleccionado. Agregar Este botón agrega los nombres seleccionados a la lista de nombres seleccionados. Comprobar nombres Este botón le permite verificar los nombres de usuarios, computadoras o grupos en la lista de nombres seleccionados. Esto puede ser útil cuando los nombres se ingresan manualmente y necesita asegurarse de que sean correctos. |
| 6. | listado Nombre resalte el usuario, contacto, computadora o grupo para configurar, luego seleccione o borre las casillas de verificación en el Permisos: (Permisos) para definir los derechos de acceso. Repita los mismos pasos para otros usuarios, computadoras o grupos. |
| 7. | Cuando haya terminado, presione el botón ESTÁ BIEN. |
Auditoría de recursos del sistema
El uso de la auditoría es La mejor manera para realizar un seguimiento de los eventos en los sistemas Windows 2000. La auditoría se puede utilizar para recopilar información relacionada con el uso de un recurso. Los ejemplos de eventos para auditar incluyen acceso a archivos, inicio de sesión y cambios en la configuración del sistema. Después de habilitar la auditoría de un objeto, las entradas se escriben en el registro de seguridad del sistema cada vez que se intenta acceder a ese objeto. El registro de seguridad se puede ver desde un complemento Visor de eventos.
Nota. Para cambiar la mayoría de las configuraciones de auditoría, debe iniciar sesión como administrador o miembro del grupo Administradores, o tener la Administrar registro de auditoría y seguridad en la póliza de grupo.
Configuración de políticas de auditoría
La aplicación de políticas de auditoría mejora en gran medida la seguridad y la integridad de los sistemas. Casi todos sistema informático la red debe estar configurada con registro de seguridad. La configuración de la política de auditoría está disponible en el complemento Política de grupo. Con este componente, puede establecer políticas de auditoría para un sitio, dominio o unidad organizativa completos. También se pueden establecer políticas para servidores o estaciones de trabajo personales.
Después de seleccionar el contenedor de políticas de grupo requerido, puede configurar las políticas de auditoría de la siguiente manera:
| 1. | Como se muestra en la Figura 13-14, el nodo se puede encontrar moviéndose hacia abajo en el árbol de la consola: Configuracion de Computadora, Configuración de Windows (Configuración de Windows), Configuraciones de seguridad, Políticas locales, Política de auditoría.
|
| 2. | Existen las siguientes categorías de auditoría: Eventos de inicio de sesión de cuenta de auditoría supervisa los eventos relacionados con el inicio y cierre de sesión del usuario. Gestión de cuentas de auditoría realiza un seguimiento de todos los eventos relacionados con la gestión de cuentas, herramientas de complemento. Las entradas de auditoría aparecen cuando se crean, modifican o eliminan cuentas de usuario, equipo o grupo. Supervisa los eventos de acceso a Active Directory. Las entradas de auditoría se crean cada vez que los usuarios o las computadoras acceden al directorio. Supervisa los eventos de inicio y cierre de sesión, así como los eventos remotos conexiones de red. Uso de pistas los recursos del sistema archivos, directorios, recursos compartidos y objetos de Active Directory. Cambio de política de auditoría realiza un seguimiento de los cambios en las políticas de asignación de derechos de usuario, políticas de auditoría o políticas de confianza. Realiza un seguimiento de todos los intentos de un usuario de ejercer un derecho o privilegio determinado. Por ejemplo, los derechos para archivar archivos y directorios. Nota. Política Uso de privilegios de auditoría no realiza un seguimiento de los eventos relacionados con el acceso al sistema, como el uso del derecho de inicio de sesión interactivo o el acceso a la computadora desde la red. Estos eventos son rastreados por la política Eventos de inicio de sesión de auditoría. Seguimiento del proceso de auditoría realiza un seguimiento de los procesos del sistema y los recursos que utilizan. Eventos del sistema de auditoría supervisa los eventos de inicio, reinicio o apagado de la computadora, así como los eventos que afectan la seguridad del sistema o aparecen en el registro de seguridad. |
| 3. | Para configurar una política de auditoría, haga doble clic en la política requerida o seleccione el comando del menú contextual de la política seleccionada. Propiedades. Esto abrirá un cuadro de diálogo. Configuración de la política de seguridad local (Propiedades). |
| 4. | casilla de verificación Definir estas configuraciones de política. Luego marque o desmarque Éxito y Falla. La auditoría de éxito significa crear una entrada de auditoría para cada evento exitoso (por ejemplo, un intento de inicio de sesión exitoso). La auditoría de fallas significa crear una entrada de auditoría para cada evento fallido (como un intento de inicio de sesión fallido). |
| 5. | Cuando haya terminado, haga clic en el botón OK. |
Operaciones de archivos y carpetas de auditoría
Si la política está habilitada Acceso a objetos de auditoría, puede utilizar la auditoría a nivel de carpetas y archivos individuales. Esto le permitirá realizar un seguimiento preciso de su uso. Esta oportunidad disponible solo en volúmenes con el sistema de archivos NTFS.
Para configurar la auditoría de archivos y carpetas, haga lo siguiente:
| 1. | A explorador ( Explorador de Windows) seleccione el archivo o carpeta para el que desea configurar la auditoría. En el menú contextual, seleccione el comando Propiedades. |
| 2. | Ir a la pestaña Seguridad y luego haga clic en el botón Avanzado. |
| 3. | En el cuadro de diálogo, haga clic en la pestaña Revisión de cuentas se muestra en la figura 13-15.
|
| 4. | Para que la configuración de auditoría se herede del objeto principal, se debe seleccionar la casilla de verificación Permitir entradas de auditoría heredables del principal para que se propaguen a este objeto. |
| 5. | Para que los objetos secundarios hereden la configuración de auditoría del objeto actual, seleccione la casilla de verificación Restablecer elementos de auditoría para todos los objetos secundarios y habilitar la migración de elementos de auditoría heredados (Restablecer entradas de auditoría en todos los objetos secundarios y habilitar la propagación de entradas de auditoría heredables). |
| 6. | usar una lista Eliminar. |
| 7. | Agregar para que aparezca el cuadro de diálogo OK, Un cuadro de diálogo aparecerá. Elemento de auditoría para Nombre de carpeta o archivo se muestra en la Figura 13-16. Nota. Si desea realizar un seguimiento de las actividades de todos los usuarios, utilice un grupo especial todos (todos). De lo contrario, seleccione usuarios o grupos individuales en cualquier combinación para la auditoría.
|
| 8. | Aplicar (Aplicar sobre). |
| 9. | Revisa las cajas Éxito y/o Falla para los eventos de auditoría requeridos. La auditoría de éxito significa crear una entrada de auditoría para un evento exitoso (por ejemplo, leer un archivo con éxito). La auditoría de fallas significa crear una entrada de auditoría para un evento fallido (por ejemplo, un intento fallido de eliminar un archivo). Los eventos para la auditoría son los mismos que los permisos especiales (Tablas 13-4 y 13-5), con la excepción de la sincronización de archivos y carpetas sin conexión, que no se puede auditar. |
| 10. | Cuando haya terminado, haga clic en el botón OK. Repita estos pasos para configurar la auditoría para otros usuarios, grupos o computadoras. |
Auditoría de objetos de Active Directory
Si la política está habilitada Acceso al servicio de directorio de auditoría, puede utilizar la auditoría a nivel de objeto de Active Directory. Esto le permitirá realizar un seguimiento preciso de su uso.
Para configurar la auditoría de objetos, haga lo siguiente:
| 1. | en un instante Active Directory: usuarios y equipos (Active Directory Users And Computers) seleccione el contenedor de objetos. |
| 2. | Haga clic derecho en el objeto a auditar y seleccione el comando del menú contextual Propiedades. |
| 3. | Ir a la pestaña Seguridad y presiona el boton Avanzado. |
| 4. | Ir a la pestaña Revisión de cuentas caja de diálogo Configuración de control de acceso. Para que la configuración de auditoría se herede del objeto principal, se debe seleccionar la casilla de verificación Permitir entradas de auditoría heredables del principal para que se propaguen a este objeto. |
| 5. | usar una lista Entradas de auditoría para seleccionar usuarios, equipos o grupos cuyas actividades se supervisarán. Para eliminar una cuenta de esta lista, selecciónela y haga clic en Eliminar. |
| 6. | Para agregar una cuenta, haga clic en el botón Agregar. Un cuadro de diálogo aparecerá Elección: Usuarios, Contactos, Computadoras o Grupos (Seleccione Usuarios, Contactos, Computadoras o Grupos), donde selecciona una cuenta para agregar. cuando presionas OK, Un cuadro de diálogo aparecerá. Elemento de auditoría para Nombre de carpeta o archivo(Entrada de auditoría para nueva carpeta). |
| 7. | Si necesita refinar los objetos para aplicar la configuración de auditoría, use la lista desplegable Aplicar (Aplicar sobre). |
| 8. | Revisa las cajas Éxito y/o Falla para los eventos de auditoría requeridos. La auditoría de éxito significa crear una entrada de auditoría para cada evento exitoso (por ejemplo, una lectura exitosa de un archivo). La auditoría de fallas significa crear una entrada de auditoría para cada evento fallido (por ejemplo, un intento fallido de eliminar un archivo). |
| 9. | Cuando haya terminado, haga clic en el botón OK. Repita estos pasos para configurar la auditoría para otros usuarios, contactos, grupos o computadoras. |
El material está tomado del libro "Guía del administrador de Windows 2000". Escrito por William R. Stanek. Copyright © 1999 Microsoft Corporation.Todos los derechos reservados.
El sistema de archivos NTFS le permite configurar permisos de acceso a carpetas o archivos individuales para usuarios individuales. Tiene derecho a configurar el acceso a carpetas/archivos de la manera que desee: cerrar el acceso a sus archivos para algunos usuarios y abrir el acceso a otros usuarios. En este caso, el primero podrá trabajar con sus documentos y el segundo verá una ventana con el mensaje " Acceso a los archivos denegado". Pero la capacidad de configurar el acceso a carpetas/archivos no se limita a si los usuarios pueden o no acceder a sus documentos. Puede especificar permisos de acceso. Entonces, algunos de los usuarios solo podrán leer el documento, mientras que otros podrán cambiarlo.
¿Cómo abrir o cerrar el acceso a archivos o carpetas en Windows?
Para establecer los permisos para un archivo/carpeta, seleccione el elemento Propiedades en el menú contextual del archivo/carpeta dado. En la ventana que se abre, ve a la pestaña Seguridad. Hay dos formas de configurar los derechos de acceso frente a usted.
- Presionamos el botón Cambio. Entonces vemos la siguiente imagen:
En esta ventana, podemos agregar o eliminar un usuario o un grupo completo de usuarios para los que queremos establecer derechos de acceso a este objeto. A estos efectos, deberá utilizar los botones Agregar y Borrar. Una vez que haya seleccionado los usuarios para los que desea establecer los derechos de acceso apropiados, selecciónelos uno por uno y asígneles los derechos apropiados en función de los diferentes. Para permitir o, por el contrario, denegar el acceso, debe marcar los elementos correspondientes.Para guardar los cambios, haga clic en Solicitar, después OK. - Clic en el botón Además. Esta ventana proporciona opciones adicionales para configurar los derechos de acceso al objeto.
La funcionalidad que se presentó en el primer párrafo está contenida en la pestaña permisos. Botones Agregar y Borrar Puede agregar usuarios a la lista o eliminarlos según corresponda. Para establecer los permisos apropiados para el usuario seleccionado o , use el botón Cambio.
En el menú desplegable, puede seleccionar el tipo de permiso (permitir o denegar), y en el caso de las carpetas, puede seleccionar el alcance de estas reglas.Como puede ver, esta ventana proporciona todo lo mismo para el objeto . Pero si presionas el botón Mostrar permisos adicionales, entonces te pondrás completo.
La elección de los permisos adecuados se realiza añadiendo una marca de verificación delante del elemento correspondiente.
pestaña Auditoría le permite configurar la documentación de varios intentos de acceso a un archivo/carpeta. Por lo tanto, puede recibir una notificación cada vez que alguien abre con éxito o sin éxito una carpeta/archivo, cuando alguien cambia el nombre o el contenido de un documento, etc. Puede auditar tanto las actividades exitosas como las no exitosas. Para la auditoría, también puede configurar su alcance. Los datos documentados se pueden ver en Registro de eventos.
pestaña Derechos de acceso válidos mostrará los derechos de acceso a este objeto para el usuario seleccionado.
¿Permitir el acceso o denegar el acceso?
Antes de comenzar a marcar las casillas de cualquier usuario, debe saber lo siguiente: los derechos de acceso deben configurarse explícitamente. Esto significa que se debe obtener un permiso explícito para acceder al objeto. Pero para que no haya acceso al objeto, basta con no asignar ningún permiso. Después de todo, si no ha especificado explícitamente el permiso de acceso, el usuario no podrá acceder a este objeto. Por lo tanto, surge una pregunta razonable de por qué se necesita un tipo de permiso. prohibición? Y para esto necesitas saber dos reglas más:
- tipo de permiso prohibición tiene prioridad sobre el tipo permitir.
- El total y para el usuario se obtiene sumando todas las reglas de acceso al objeto dado.
Si no debe haber preguntas con el primer punto, entonces el segundo requiere una explicación. Considere un ejemplo: si la carpeta carpeta usuario ordinario usuario tiene permiso de lectura y escritura, y el grupo Usuarios tener permiso de solo lectura en la carpeta carpeta, entonces los derechos de acceso totales para el usuario usuario permitirá tanto la lectura como la escritura en relación con esta carpeta, lo que es contrario a la política de que los Usuarios solo pueden leer esta carpeta. Es por eso que necesita el tipo de permiso prohibición. Si, de acuerdo con una política, el usuario debe tener acceso al archivo, pero no de otra manera, entonces es necesario denegar explícitamente el acceso al archivo, porque de lo contrario lo tendrá, y esto contradice la segunda política.
Es para facilitar la suma de todas las reglas de acceso a un objeto que hay una pestaña Derechos de acceso válidos.
Usuarios, administradores, usuarios autenticados, etc.
Además de todo lo anterior, debe saber que todos los usuarios, independientemente de los derechos de acceso configurados, están incluidos por defecto en el grupo. Usuarios. Y por defecto, en todos los objetos (excepto algunos objetos del sistema operativo), los usuarios de este grupo tienen acceso de lectura y modificación. Y aquí están los usuarios del grupo. Administradores De forma predeterminada, tienen acceso completo a todos los objetos del sistema. Al grupo de usuarios Verificado incluye cualquier usuario que haya iniciado sesión. Sus permisos de acceso son aproximadamente iguales a los de los usuarios habituales.
Sabiendo esto, puede ahorrarse la molestia de otorgar acceso completo a un usuario específico con derechos administrativos o configurar permisos de lectura y escritura para un usuario normal. Todo esto ya se ha hecho.
Además, no debe eliminar los grupos anteriores de los derechos de acceso a ningún objeto. Además, no emita una prohibición de acceso para estos grupos. Incluso si es un usuario con derechos administrativos, negar el acceso al grupo Usuarios a cualquier objeto te golpeará sin miramientos en el cuello, ya que tú también eres usuario de este grupo. Por lo tanto, tenga cuidado y no intente realizar cambios en la configuración predeterminada.
Las computadoras que ejecutan sistemas operativos Windows pueden funcionar con varios sistemas de archivos, como FAT32 y NTFS. Sin entrar en similitudes, se puede decir que difieren en lo principal: el sistema de archivos NTFS le permite configurar los ajustes de seguridad para cada archivo o carpeta (directorio). Aquellos. Para cada archivo o carpeta, el sistema de archivos NTFS almacena las llamadas ACL (Lista de control de acceso), que enumeran todos los usuarios y grupos que tienen ciertos derechos de acceso a archivo dado o carpeta. El sistema de archivos FAT32 no tiene esta capacidad.
En el sistema de archivos NTFS, cada archivo o carpeta puede tener los siguientes derechos de seguridad:
- Leer- Permite navegar por carpetas y ver la lista de archivos y subcarpetas, ver y acceder al contenido del archivo;
- Grabación- Permite agregar archivos y subcarpetas, escribir datos en un archivo;
- Lectura y Ejecución- Permite navegar por carpetas y ver una lista de archivos y subcarpetas, permite ver y acceder al contenido de un archivo, así como iniciar un archivo ejecutable;
- Lista de contenidos en la carpeta- Permite navegar por carpetas y ver solo la lista de archivos y subcarpetas. ¡Este permiso no otorga acceso al contenido del archivo!;
- Cambio- Permite ver el contenido y crear archivos y subcarpetas, eliminar una carpeta, leer y escribir datos en un archivo, eliminar un archivo;
- Acceso completo- Permite visualizar contenido, así como crear, modificar y eliminar archivos y subcarpetas, leer y escribir datos, y modificar y eliminar un archivo
Los derechos enumerados anteriormente son básicos. Los derechos básicos se componen de derechos especiales. Los derechos especiales son derechos más detallados que forman los derechos básicos. El uso de permisos especiales le da mucha flexibilidad en la configuración de permisos.
Lista de permisos especiales para archivos y carpetas:
- Explorar carpetas/Ejecutar archivos- Permite moverse por la estructura de carpetas en busca de otros archivos o carpetas, ejecutando archivos;
- Contenido de carpeta/lectura de datos- Permite visualizar los nombres de los archivos o subcarpetas contenidos en la carpeta, leyendo los datos del archivo;
- Atributos de lectura- Permite ver atributos de un archivo o carpeta como "Solo lectura" y "Oculto";
- Lectura de atributos adicionales- Permite ver atributos adicionales de un archivo o carpeta;
- Crear archivos / Escribir datos- Permite crear archivos en una carpeta (se aplica solo a las carpetas), realizar cambios en un archivo y sobrescribir el contenido existente (se aplica solo a los archivos);
- Crear carpetas/Anexar datos- Permite crear carpetas en una carpeta (se aplica solo a carpetas), agregar datos al final de un archivo, pero no cambiar, eliminar o reemplazar datos existentes (aplicable solo a archivos);
- Entrada de atributo- Permite o prohíbe cambiar atributos de un archivo o carpeta como "Solo lectura" y "Oculto";
- Grabación de atributos adicionales— Permite o prohíbe cambiar atributos adicionales de un archivo o carpeta;
- Eliminación de subcarpetas y archivos- Permite la eliminación de subcarpetas y archivos incluso si no tiene el permiso "Eliminar" (solo se aplica a las carpetas);
- Eliminación- Permite eliminar un archivo o carpeta. Si un archivo o una carpeta no tiene el permiso Eliminar, el objeto aún se puede eliminar si la carpeta principal tiene el permiso Eliminar subcarpetas y archivos;
- Permisos de lectura- Permite leer permisos de acceso a archivos o carpetas como "Control total", "Lectura" y "Escritura";
- Cambio de permisos- Permite cambiar los permisos de acceso a archivos o carpetas como "Control total", "Lectura" y "Escritura";
- Cambio de propiedad- Le permite tomar posesión de un archivo o carpeta;
- Sincronización- Permite que diferentes hilos esperen archivos o carpetas y los sincronicen con otros hilos que puedan ocuparlos. Este permiso solo se aplica a los programas que se ejecutan en modo multiproceso con múltiples procesos;
!!!Todos los derechos básicos y especiales son a la vez permisivos y prohibitivos.
Todos los permisos de archivos y carpetas se dividen en dos tipos: explícitos y heredados. El mecanismo de herencia implica la transferencia automática de algo del objeto principal al secundario. En el sistema de archivos, esto significa que cualquier archivo o carpeta puede heredar sus permisos de su carpeta principal. Este es un mecanismo muy conveniente que elimina la necesidad de asignar derechos explícitos a todos los archivos y carpetas recién creados. Imagine que tiene varios miles de archivos y carpetas en algún disco, ¿cómo puede otorgarles todos los derechos de acceso, sentarse y asignarlos a todos? No. Aquí es donde funciona la herencia. Creamos una carpeta en la raíz del disco, la carpeta recibió automáticamente exactamente los mismos derechos que la raíz del disco. Cambió los permisos para la carpeta recién creada. Luego, dentro de la carpeta creada, se creó otra subcarpeta. Esta subcarpeta recién creada tendrá los derechos heredados de la carpeta principal, y así sucesivamente. etc.
El resultado de la aplicación de derechos explícitos y heredados serán los derechos reales sobre una carpeta o archivo en particular. Hay muchas trampas en esto. Por ejemplo, tiene una carpeta en la que permite que el usuario "Vasya" elimine archivos. Entonces recuerda que en esta carpeta hay un archivo muy importante que Vasya no debe eliminar bajo ninguna circunstancia. Establece una prohibición explícita en un archivo importante (derecho de prohibición especial) "Borrar"). Parecería que la escritura está hecha, el archivo está claramente protegido contra la eliminación. Y Vasya entra tranquilamente en la carpeta y borra este archivo superprotegido. ¿Por qué? Porque Vasya tiene los derechos para eliminar de la carpeta principal, que en este caso son prioritarios.
Intente no usar la asignación de derechos directamente a los archivos, asigne derechos a las carpetas.
!!! Intente asignar derechos solo a grupos, esto simplifica enormemente la administración. Microsoft no recomienda asignar derechos a usuarios específicos. No olvide que el grupo puede incluir no solo usuarios, sino también otros grupos.
Por ejemplo. Si la computadora está incluida en el dominio, el grupo Usuarios del dominio (usuarios del dominio) se agrega automáticamente a su grupo Usuarios local y el grupo Administradores del dominio (administradores del dominio) se agrega automáticamente al grupo Administradores local y, en consecuencia, se asigna a cualquier carpeta de derechos a un grupo de usuarios locales, automáticamente asigna derechos a todos los usuarios del dominio.
No se desanime si todo lo anterior no queda claro inmediatamente. ¡Los ejemplos y el trabajo independiente corregirán rápidamente la situación!
Vayamos a los detalles.
Todos los ejemplos los mostraré por ejemplo. ventanas ventanas xp. En Windows 7 y superior, la esencia se mantuvo idéntica, solo que había algunas ventanas más.
Por lo tanto, para asignar o cambiar los derechos de un archivo o carpeta, debe hacer clic con el botón derecho en el archivo o carpeta deseado en el Explorador y seleccionar el elemento de menú "Propiedades"
Deberías ver una ventana con una pestaña. "Seguridad"
Si no hay tal marcador, haga lo siguiente. Inicie Explorer, luego abra el menú "Servicio"—"Propiedades de la carpeta..."
En la ventana que se abre, ve a la pestaña "Ver" y desmarca la opción "Utiliza un sencillo acceso general a archivos (recomendado)"
Todo, ahora todas las propiedades están disponibles para ti sistema de archivos NTFS.
volver al marcador "Seguridad".
Hay mucha información disponible para nosotros en la ventana que se abre. Arriba hay una lista "Grupos y Usuarios:", que enumera todos los usuarios y grupos que tienen derechos de acceso a esta carpeta (flecha 1). La lista inferior muestra los permisos para el usuario/grupo seleccionado (flecha 2). En este caso, este es el usuario del SISTEMA. En esta lista de permisos, los permisos básicos son visibles. Tenga en cuenta que en la columna "Permitir" las marcas de verificación están atenuadas y no se pueden editar. Esto indica que estos derechos se heredan de la carpeta principal. Una vez más, en este caso, todos los derechos del usuario del SISTEMA en la carpeta "Laboral" se heredan completamente de la carpeta principal, y el usuario del SISTEMA tiene todos los derechos ( "Acceso completo")
Al resaltar el grupo o usuario deseado en la lista, podemos ver los derechos básicos para este grupo o usuario. Resaltar un usuario "Usuario invitado ( [correo electrónico protegido])»
se puede ver que tiene todos los derechos explícitos 
Y aqui esta el grupo "Usuarios (KAV-VM1\Usuarios" tiene derechos combinados, algunos de ellos se heredan de la carpeta principal (cuadrados grises opuestos "Leer y ejecutar", "Lista de contenidos en la carpeta", "Leer"), y parte se establece explícitamente - este es el derecho "Cambio" y "Registro"
!!!Atención. Preste atención a los nombres de los usuarios y grupos. Los paréntesis indican la propiedad de un grupo o usuario. Los grupos y usuarios pueden ser locales, es decir, creado directamente en esta computadora, o puede ser un dominio. En este caso, el grupo "Administradores" local, ya que la entrada entre paréntesis indica el nombre de la computadora KAV-VM1, y después de la barra inclinada ya viene el nombre del grupo en sí. Por el contrario, el usuario "Usuario invitado" es un usuario del dominio btw.by, esto se indica mediante la entrada del nombre completo [correo electrónico protegido]
A menudo, al ver o cambiar los derechos, puede limitarse a una ventana con derechos básicos, pero a veces esto no es suficiente. A continuación, puede abrir una ventana que cambia los permisos especiales, el propietario o ver los permisos efectivos. ¿Cómo hacerlo? Haga clic en el botón "Además". Esta ventana se abre 
En esta ventana de la tabla "Elementos de permiso" enumera todos los usuarios que tienen derechos sobre esta carpeta. De la misma forma que para los permisos básicos, seleccionamos el usuario o grupo deseado y pulsamos el botón "Cambio". Se abre una ventana que muestra todos los permisos especiales para el usuario o grupo seleccionado 
Al igual que los permisos básicos, los permisos especiales heredados de la carpeta principal se mostrarán en un color gris atenuado y no se podrán editar. 
Como habrás notado, hay varias líneas en la ventana de permisos especiales para algunos usuarios o grupos. 
Esto se debe a que para un usuario o grupo puede haber diferentes tipos de derechos: explícitos y heredados, permitidos o denegados, que difieren en el tipo de herencia. En este caso, los permisos de lectura para el grupo Usuarios se heredan de la carpeta principal y los permisos de modificación se agregan explícitamente.
Ejemplos de cesión de derechos.
!!! Todos los ejemplos irán con una complejidad creciente. Leer y tratar con ellos en la misma secuencia en que aparecen en el texto. Se omitirán acciones similares en los siguientes ejemplos para reducir la cantidad de texto. 🙂
Ejemplo 1: otorgar acceso de solo lectura a una carpeta a un grupo de seguridad local específico.
Primero, creemos un grupo local, en el que incluiremos la lista completa de usuarios que necesitamos. Es posible sin un grupo, pero luego para cada usuario deberá configurar los derechos por separado, y cada vez que necesite otorgar derechos a una nueva persona, deberá realizar todas las operaciones nuevamente. Y si se conceden los derechos grupo local, solo se requiere una acción para configurar una nueva persona, incluida esta persona en un grupo local. Cómo crear un grupo de seguridad local, lea el artículo "Configuración de grupos de seguridad locales".
Asi que. Hemos creado un grupo de seguridad local llamado "Para que los colegas lean", 
al que se han añadido todos los usuarios necesarios. 
Ahora estoy configurando los permisos para la carpeta. En este ejemplo, daré permisos al grupo creado. "Colegas para leer" por carpeta "Una fotografía".
Haga clic derecho en la carpeta "UNA FOTOGRAFÍA" y seleccione el elemento del menú "Propiedades", ir a marcador "Seguridad".
En el marcador abierto "Seguridad" muestra los permisos de la carpeta actual "UNA FOTOGRAFÍA". Al seleccionar grupos y usuarios en la lista, puede ver que los derechos de esta carpeta se heredan de la carpeta principal (marcas de verificación grises en la columna "Permitir"). En esta situación, no quiero que nadie más que el grupo recién creado tenga acceso a la carpeta. "UNA FOTOGRAFÍA".
Por lo tanto, debo eliminar la herencia de derechos y eliminar usuarios y grupos innecesarios de la lista. presiono el botón "Además". En la ventana abierta, 
Desmarco la casilla "Heredar del objeto principal los permisos aplicables a los objetos secundarios, agregándolos a los establecidos explícitamente en esta ventana". . Esto abrirá una ventana donde puedo elegir qué hacer con los derechos heredados actuales. 
En la mayoría de los casos, le aconsejo que haga clic aquí. "Copiar", ya que si elegimos "Borrar", entonces la lista de derechos se vacía y puede quitarse los derechos a sí mismo. Sí, no te sorprendas, es muy fácil de hacer. Y si no eres administrador en tu computadora, o no eres usuario del grupo "Operadores de archivos", entonces le será imposible restaurar los derechos. La situación es como una puerta con pestillo automático, que cierras, dejando las llaves dentro. Por lo tanto, es mejor presionar siempre el botón "Copiar" y luego elimine lo que no necesita.
Después de que presioné "Copiar", Vuelvo de nuevo a la ventana anterior, solo que con la casilla desmarcada. 
Yo presiono "OK" y regrese a la ventana de derechos básicos. Todos los derechos están disponibles para su edición. Necesito dejar permisos para el grupo local. "Administradores" y usuario SISTEMA y borra el resto. Selecciono usuarios y grupos innecesarios uno por uno y presiono el botón "Borrar".
Como resultado, obtengo esta imagen. 
Ahora solo tengo que agregar un grupo. "Colegas para leer" y asigne permisos de lectura a este grupo.
presiono el boton "Agregar", y en la ventana de selección estándar selecciono el grupo local "Colegas para leer". Cómo trabajar con la ventana de selección se describe en detalle en el artículo. 
Como resultado de todas las acciones, agregué el grupo "Compañeros de lectura" a la lista de derechos básicos, mientras que los derechos se establecieron automáticamente para este grupo. "Leer y ejecutar", "Lista de contenidos en la carpeta", "Leer".
Todo lo que tienes que hacer es presionar el botón "OK" y se asignan los derechos. Ahora cualquier usuario que pertenezca al grupo de seguridad local "Compañeros para la lectura", podrá leer todo el contenido de la carpeta "UNA FOTOGRAFÍA".
Ejemplo 2: dar a los usuarios acceso personal a sus subcarpetas dentro de una carpeta.
Esta situación también es común en la práctica. Por ejemplo, tiene una carpeta para nuevos documentos escaneados. En esta carpeta, cada usuario tiene su propia subcarpeta independiente. Después de escanear, el usuario toma el documento de su subcarpeta. La tarea es asignar derechos para que cada usuario vea el contenido de su propia subcarpeta y no pueda acceder a la subcarpeta del colega.
Para este ejemplo, reformularé un poco la tarea. Supongamos que tenemos una carpeta compartida "UNA FOTOGRAFÍA", que tiene una subcarpeta para cada usuario. Es necesario configurar los derechos para que el usuario tenga todos los derechos en su subcarpeta, y las subcarpetas de otros usuarios serían inaccesibles para él. 
Para esta configuración, repito completamente todos los pasos del primer ejemplo. Como resultado de la repetición, obtengo los derechos para todo el grupo. "Colegas para leer" para leer en todas las subcarpetas. Pero mi tarea es hacer que solo "mi" subcarpeta sea visible para el usuario. Por lo tanto, en la ventana de derechos básicos, hago clic en el botón "Además"
y voy a la ventana de derechos especiales, en la que selecciono un grupo "Colegas para leer" y presiono el boton "Cambio"
En la ventana que se abre, cambio las reglas de herencia, en lugar del valor en el campo "Solicitar:" elijo valor "Solo para esta carpeta".
Esto es lo más momento clave este ejemplo Sentido "Solo para esta carpeta" provoca permisos de lectura para el grupo "Colegas para leer" aplicar solo a la raíz de la carpeta "UNA FOTOGRAFÍA", pero no en las subcarpetas. Por lo tanto, cada usuario podrá acceder a su propia carpeta, pero no podrá buscar en la siguiente, no tiene derecho a ver las subcarpetas. Si no concede este derecho al grupo, los usuarios no podrán acceder a sus subcarpetas. El sistema de archivos no los deja pasar ni siquiera a una carpeta. "UNA FOTOGRAFÍA".
Como resultado, los usuarios podrán acceder a la carpeta "UNA FOTOGRAFÍA"¡pero no podrán ir más allá en las subcarpetas!
En la ventana de derechos especiales, haga clic en "OK" y salir a la ventana anterior, ahora en la columna "Aplicar para" frente al grupo "Colegas para leer" vale la pena el valor "Solo para esta carpeta".
Haga clic en todas las ventanas "OK" y nos vamos.
Todos. Ahora queda configurar los derechos personales para cada subcarpeta. Deberá hacer esto para cada subcarpeta, los derechos son personales para cada usuario.
Ya has realizado todas las acciones necesarias en el primer ejemplo, repitamos lo que hemos hecho 🙂
En una subcarpeta "Usuario1" clic derecho, seleccione el elemento del menú "Propiedades", ir a marcador "Seguridad". presiono el boton "Agregar"
y en la ventana de selección estándar selecciono un usuario de dominio con el nombre "Usuario1".
Queda por marcar la casilla del derecho de permiso. "Cambio". Al mismo tiempo, la casilla de verificación del derecho de permiso "Registro" se instalará automáticamente. 
Hacer clic "OK". Salimos. Queda por repetir los mismos pasos para todas las subcarpetas.
Ejemplo 3. Otorgar acceso personal al usuario a su subcarpeta para escritura, prohibiendo cambios o eliminaciones.
Sé que suena difícil, pero intentaré explicarlo. Llamo a este tipo de acceso un pestillo. En la vida cotidiana tenemos una situación similar con la habitual buzón en el que arrojamos cartas de papel. Aquellos. Puede colocar una carta en una caja, pero no puede sacarla de la caja. En la industria informática, esto puede ser útil para una situación en la que alguien le escribe un informe en una carpeta. Aquellos. el archivo lo escribe el usuario, pero este usuario ya no puede hacer nada con este archivo. Por lo tanto, puede estar seguro de que el creador ya no podrá cambiar ni eliminar el informe enviado.
Como en el ejemplo anterior, repetimos todos los pasos, excepto que no le damos inmediatamente al usuario todos los derechos sobre nuestra carpeta, inicialmente le damos solo acceso de lectura en permisos básicos, y presionamos el botón "Además"
En la ventana que se abre, selecciona "Usuario1" y presiona el boton "Cambio"
En la ventana que se abre, vemos los permisos de lectura estándar. 
Para dar al usuario el derecho de crear archivos, configure el permiso a la derecha "Crear archivos/Escribir datos", pero a la derecha "Eliminar subcarpetas y archivos" y "Borrar" poner una prohibición. Dejar la herencia por defecto "Para esta carpeta, sus subcarpetas y archivos".
Después de presionar el botón "OK" y volviendo a la ventana anterior, se pueden ver cambios significativos. En lugar de una entrada para "Usuario1" aparecieron dos. 
Esto se debe a que se establecen dos tipos de derechos, uno es prohibitivo, van primero en la lista, el segundo es permisivo, son segundos en la lista. Dado que los derechos especiales no son estándar, en la columna "Permiso" vale la pena el valor "Especial". Cuando presionas un botón "OK" aparece una ventana a la que ventanas avisa que hay derechos de denegación y que tienen más alta prioridad. Traducido, esto significa la misma situación con una puerta de cierre automático, cuyas llaves están adentro. Describí una situación similar en el segundo ejemplo.
Todos. Los derechos están establecidos. Ahora "Usuario1" podrá escribir cualquier archivo en su carpeta, abrirlo, pero no podrá modificarlo ni eliminarlo.
Pero, ¿qué pasa con la analogía completa con un buzón real?
Para evitar que el usuario abra o copie el archivo grabado, debe hacer lo siguiente. Nuevamente abrimos permitiendo permisos especiales para "Usuario1", y en el campo "Solicitar:" cambiar el valor a "Solo para esta carpeta"
El usuario no tiene derecho a leer o copiar el archivo.
Todos. Ahora la analogía con un buzón físico está casi completa. Solo podrá ver los nombres de los archivos, su tamaño, atributos, pero no podrá ver el archivo en sí.
Ver derechos válidos.
Quiero decir de inmediato que la capacidad de ver los derechos efectivos de una carpeta o archivo es una completa ficción. En mi opinión, dichas herramientas deberían proporcionar información garantizada. En este caso, no lo es. Microsoft mismo admite que esta herramienta no tiene en cuenta muchos factores que afectan los derechos resultantes, como las condiciones de inicio de sesión. Por lo tanto, usar tal herramienta es solo engañarse a sí mismo sobre los derechos reales.
El caso descrito al comienzo del artículo, con la prohibición de eliminar un archivo de una carpeta, en este caso es muy elocuente. Si simula una situación similar y observa los derechos de un archivo que está protegido contra la eliminación, verá que los derechos de eliminación del archivo están prohibidos. Sin embargo, eliminar este archivo no es difícil. Por qué Microsoft hizo esto, no lo sé.
Si aún decide ver los derechos actuales, entonces para esto debe hacer clic en el botón en la ventana de derechos básicos "Además", y en la ventana de derechos especiales ir a la pestaña "Permisos Vigentes".
Entonces necesitas presionar el botón "Escoger" y en la ventana de selección estándar, seleccione el usuario o grupo deseado. 
Después de la selección, puede ver los permisos válidos "aproximados".
En conclusión, quiero decir que el tema de los derechos del sistema de archivos NTFS es muy extenso, los ejemplos anteriores son solo una parte muy pequeña de lo que se puede hacer. Por lo tanto, si tiene preguntas, hágalas en los comentarios a este artículo. Intentaré responderlas.
¿Cómo habilitar la grabación?
Respuesta del maestro:
Muchos usuarios que tienen una cuenta limitada enfrentan problemas al escribir archivos en unidades extraíbles. Por supuesto, tales problemas también pueden surgir si la unidad flash no funciona correctamente y si hay problemas con el formateo.
En el caso de un problema con la escritura en la unidad en uso, si el usuario tiene una cuenta limitada en la computadora, debe cambiar la configuración que impide la escritura. Para hacer esto, después de la descarga, vaya a Sistema operativo con derechos y bajo la cuenta "Administrador". Ahora debe cambiar la configuración de su cuenta de tal manera que una cuenta con capacidades limitadas tenga la oportunidad de copiar información en medios extraíbles.
Ahora queda aplicar los cambios y cerrar las ventanas con el botón Aceptar. Después de reiniciar la PC, lo cual es necesario para que los cambios surtan efecto, inicie sesión nuevamente en el sistema operativo utilizando su cuenta limitada. cuenta. Como prueba, copie algún archivo en su unidad extraíble.
Sucede que la unidad flash está protegida deliberadamente contra la escritura. Para excluir esto, considere cuidadosamente cómo se encuentra el pequeño interruptor en el costado de la unidad flash: debe estar en la posición desbloqueada. En la mayoría de los casos, tales acciones son requeridas por unidades que se utilizan en cámaras, teléfonos, reproductores y otros dispositivos con tarjetas de memoria SD y MicroSD.
El interruptor del lector de tarjetas también requiere una atención especial, si se utiliza como adaptador para conectar el dispositivo. Y esto se aplica a los adaptadores MicroSD, que tienen la forma de una tarjeta SD ordinaria.
¿Averigüe si su unidad flash está protegida con contraseña? Si es así, debe desbloquearse en el dispositivo donde se colocó en el bloque. La presencia de un candado en la unidad flash no le permitirá escribir en ella.
Pero sucede que otras razones que no se pueden aclarar interfieren con la grabación. Por lo tanto, la unidad flash debe formatearse, y no solo programas estándar en Windows! Para hacer esto, descargue e instale en su PC utilidades especiales desarrolladas por el fabricante de la unidad flash. Las utilidades ayudarán a formatear y reparar los errores del disco extraíble.