Un usuario calquera debe configurar os permisos para que o resto dos usuarios poidan...
Nesta parte da tarefa veranse distintas configuracións que lle poden interesar ó usuario Anxo e como este pode chegar a acadalas.
A Anxo lle interesa que no seu directorio todos os usuarios pertencentes ao GrupoA teñan permisos de Modificar e todos os usuarios do GrupoB só teñan permisos de Lectura e execución. Os demáis usuarios non deben ter ningún tipo de permiso sobre o seu directorio e el terá Control Total.
Anxo ten que facer o seguinte:
- O primeiro que debe facer Anxo para chegar a esta situación particular é Romper a herdanza dos permisos que ten a carpeta DeAnxo.
- Logo debe borrar todos os permisos que ten por defecto.
- Darse a sí mesmo permisos de Control Total en "Carpetas, subcarpetas e arquivos".
- Dar permisos de permitir Modificar para o GrupoA en "Carpetas, subcarpetas e arquivos".
- Dar permisos de permitir Lectura e execución para o Grupo B en "Carpetas, subcarpetas e arquivos".
Estes permisos podemos configuralos moi fácil gráficamente dende a ficha seguridade ou empregando a liña de comandos con ICACLS:
#Definimos as variables
$usuario = "Anxo"
$directorio = "C:\DATOS\DeAnxo"
#Rompemos a herdanza e borramos todas as ACEs
## Tamén lle damos a Anxo Control Total
icacls ${directorio} /inheritance:r /grant:r "${usuario}:`(OI`)`(CI`)F"
#O GrupoA terá permisos de Modificar
icacls ${directorio} /grant:r "GrupoA:`(OI`)`(CI`)M"
#O GrupoB terá permisos de Lectura e execución
icacls ${directorio} /grant:r "GrupoB:`(OI`)`(CI`)RX"
Vemos que eliminamos todos os grupos existentes nos permisos para así telos controlados:
- System: Tamén se debe eliminar para eliminar problemas de seguridade.
- Usuarios e Usuarios autenticados : Está claro que este grupo haino que eliminar da lista. A non eliminación del pode traer problemas á hora de configurar axeitadamente os permisos. Por exemplo, se hai usuarios nun grupo distinto de GrupoA e GrupoB e non se quere que teñan acceso á carpeta, pois eses usuarios, por defecto estarán nos grupos usuarios e usuarios autenticados.
- Creator Owner: Si deixamos este grupo os usuarios que creen arquivos e carpetas no interior de CousasDeAnxo (neste caso, o rematar a práctica, serán os do GrupoA) terán Control Total sobre esas carpetas por eles feitas. Se o sacamos os usuarios que creen arquivos e carpetas aí só terán permisos de Modificar que é o que di o enunciado.
- Elimínase o grupo Administradores, pero un usuario deste grupo vai poder Tomar posesión dunha carpeta, e tódolos arquivos do seu interior, en calquera momento, polo que, que se lle quiten aquí os permisos non quere dicir nada.
Vexamos como quedan os permisos unha vez configurados. Utilizaremos o comando get-acl:
> get-acl C:\datos\DeAnxo\ | fl
Path : Microsoft.PowerShell.Core\FileSystem::C:\datos\DeAnxo\
Owner : W10\anxo
Group : W10\Ninguno
Access : W10\anxo Allow FullControl
W10\GrupoA Allow Modify, Synchronize
W10\GrupoB Allow ReadAndExecute, Synchronize
Ver que AnaBelen pertence aos dous grupos e para entender os permisos que ten só hai que recordar que os permisos "permitidos" súmanse polo que deberíase concluír que AnaBelen ten permisos de Modificar.
Fixarse que o Administrador non ten permisos de "nada", iso quere dicir que o Administrador parece que non pode acceder á carpeta CousasDeAnxo e, nin sequera aparece aí o permiso de Toma de posesión, pero iso non é certo...
Iniciando como Administrador configurar a carpeta CousasDeAnxo con Control Total para o Administrador
Calquera usuario do grupo Administradores non poderá acceder á carpeta "DeAnxo".
Ao facer dobre click sobre a carpeta aparece a mensaxe anterior indicándolle ao usuario Administrador que non ten acceso á carpeta.
O que se debe facer neste caso é iniciar o proceso de Toma de posesión da carpeta e, a continuación, configurar os permisos axeitados. Para facer isto hai que acceder á ficha Seguridade da carpeta; cando se intenta acceder aparece unha mensaxe indicando que non se ten permisos para modificar a configuración das ACLs, hai que premer en Aceptar e non facer caso.
Logo débese premer no botón Opcións avanzadas e ir á ficha Propietario. Vese que a ventá non amosa ó propietario actual pero permite cambiar o propietario polo Administrador ou polo grupo Administradores. Este cambio de propietario non ten efectos nas ACLs.
Para facer o cambio de propietario só hai que seleccionar o usuario Administrador e premer en Aceptar.
Agora como propietario da carpeta o Administrador pódese engadir permisos do que queira como, por exemplo, Control Total.
Se o facemos por comandos:
#Tomamos posesión e damos Control Total ao grupo Administradores:
> takeown /f c:\datos\DeAnxo\ /a /r
CORRECTO: el archivo (o carpeta): "c:\datos\DeAnxo\" ahora es propiedad del grupo de
administradores.
No tiene permiso para leer el contenido del directorio "c:\datos\DeAnxo\".
¿Desea reemplazar los permisos de directorio por permisos que le concedan
control total ("S" para Sí, "N" para NO o "C" para CANCELAR)? S
# Vemos os permisos a ver como están agora:
> get-acl C:\datos\DeAnxo\ | fl
Path : Microsoft.PowerShell.Core\FileSystem::C:\datos\DeAnxo\
Owner : BUILTIN\Administradores
Group : DESKTOP-JTB7CF2\Ninguno
Access : BUILTIN\Administradores Allow FullControl