Un usuario calquera debe configurar os permisos para que o resto dos usuarios poidan...

De Manuais Informática - IES San Clemente.
Ir a la navegación Ir a la búsqueda

Nesta parte da tarefa veranse distintas configuracións que lle poden interesar ó usuario Anxo e como este pode chegar a acadalas.

A Anxo lle interesa que no seu directorio todos os usuarios pertencentes ao GrupoA teñan permisos de Modificar e todos os usuarios do GrupoB só teñan permisos de Lectura e execución. Os demáis usuarios non deben ter ningún tipo de permiso sobre o seu directorio e el terá Control Total.

Anxo ten que facer o seguinte:

  • O primeiro que debe facer Anxo para chegar a esta situación particular é Romper a herdanza dos permisos que ten a carpeta DeAnxo.
  • Logo debe borrar todos os permisos que ten por defecto.
  • Darse a sí mesmo permisos de Control Total en "Carpetas, subcarpetas e arquivos".
  • Dar permisos de permitir Modificar para o GrupoA en "Carpetas, subcarpetas e arquivos".
  • Dar permisos de permitir Lectura e execución para o Grupo B en "Carpetas, subcarpetas e arquivos".

Estes permisos podemos configuralos moi fácil gráficamente dende a ficha seguridade ou empregando a liña de comandos con ICACLS:

#Definimos as variables
$usuario = "Anxo"
$directorio = "C:\DATOS\DeAnxo"

#Rompemos a herdanza e borramos todas as ACEs
## Tamén lle damos a Anxo Control Total
icacls ${directorio} /inheritance:r /grant:r "${usuario}:`(OI`)`(CI`)F"
#O GrupoA terá permisos de Modificar
icacls ${directorio} /grant:r "GrupoA:`(OI`)`(CI`)M"
#O GrupoB terá permisos de Lectura e execución
icacls ${directorio} /grant:r "GrupoB:`(OI`)`(CI`)RX"

Vemos que eliminamos todos os grupos existentes nos permisos para así telos controlados:

  • System: Tamén se debe eliminar para eliminar problemas de seguridade.
  • Usuarios e Usuarios autenticados : Está claro que este grupo haino que eliminar da lista. A non eliminación del pode traer problemas á hora de configurar axeitadamente os permisos. Por exemplo, se hai usuarios nun grupo distinto de GrupoA e GrupoB e non se quere que teñan acceso á carpeta, pois eses usuarios, por defecto estarán nos grupos usuarios e usuarios autenticados.
  • Creator Owner: Si deixamos este grupo os usuarios que creen arquivos e carpetas no interior de CousasDeAnxo (neste caso, o rematar a práctica, serán os do GrupoA) terán Control Total sobre esas carpetas por eles feitas. Se o sacamos os usuarios que creen arquivos e carpetas aí só terán permisos de Modificar que é o que di o enunciado.
  • Elimínase o grupo Administradores, pero un usuario deste grupo vai poder Tomar posesión dunha carpeta, e tódolos arquivos do seu interior, en calquera momento, polo que, que se lle quiten aquí os permisos non quere dicir nada.

Vexamos como quedan os permisos unha vez configurados. Utilizaremos o comando get-acl:

> get-acl C:\datos\DeAnxo\ | fl

Path   : Microsoft.PowerShell.Core\FileSystem::C:\datos\DeAnxo\
Owner  : W10\anxo
Group  : W10\Ninguno
Access : W10\anxo Allow  FullControl
         W10\GrupoA Allow  Modify, Synchronize
         W10\GrupoB Allow  ReadAndExecute, Synchronize

Ver que AnaBelen pertence aos dous grupos e para entender os permisos que ten só hai que recordar que os permisos "permitidos" súmanse polo que deberíase concluír que AnaBelen ten permisos de Modificar.

Fixarse que o Administrador non ten permisos de "nada", iso quere dicir que o Administrador parece que non pode acceder á carpeta CousasDeAnxo e, nin sequera aparece aí o permiso de Toma de posesión, pero iso non é certo...

Iniciando como Administrador configurar a carpeta CousasDeAnxo con Control Total para o Administrador

Calquera usuario do grupo Administradores non poderá acceder á carpeta "DeAnxo".

Ntfs30.JPG

Ao facer dobre click sobre a carpeta aparece a mensaxe anterior indicándolle ao usuario Administrador que non ten acceso á carpeta.

O que se debe facer neste caso é iniciar o proceso de Toma de posesión da carpeta e, a continuación, configurar os permisos axeitados. Para facer isto hai que acceder á ficha Seguridade da carpeta; cando se intenta acceder aparece unha mensaxe indicando que non se ten permisos para modificar a configuración das ACLs, hai que premer en Aceptar e non facer caso.

Ntfs31.JPG

Logo débese premer no botón Opcións avanzadas e ir á ficha Propietario. Vese que a ventá non amosa ó propietario actual pero permite cambiar o propietario polo Administrador ou polo grupo Administradores. Este cambio de propietario non ten efectos nas ACLs.

Ntfs32.JPG

Para facer o cambio de propietario só hai que seleccionar o usuario Administrador e premer en Aceptar.

Ntfs33.JPG

Agora como propietario da carpeta o Administrador pódese engadir permisos do que queira como, por exemplo, Control Total.

Ntfs34.JPG

Se o facemos por comandos:

#Tomamos posesión e damos Control Total ao grupo Administradores:
> takeown /f c:\datos\DeAnxo\ /a /r

CORRECTO: el archivo (o carpeta): "c:\datos\DeAnxo\" ahora es propiedad del grupo de
          administradores.

No tiene permiso para leer el contenido del directorio "c:\datos\DeAnxo\".
¿Desea reemplazar los permisos de directorio por permisos que le concedan
control total ("S" para , "N" para NO o "C" para CANCELAR)? S


# Vemos os permisos a ver como están agora:
> get-acl C:\datos\DeAnxo\ | fl

Path   : Microsoft.PowerShell.Core\FileSystem::C:\datos\DeAnxo\
Owner  : BUILTIN\Administradores
Group  : DESKTOP-JTB7CF2\Ninguno
Access : BUILTIN\Administradores Allow  FullControl

Volver