Diferencia entre revisiones de «Introdución ós permisos NTFS»
(Sin diferencias)
|
Revisión actual del 08:52 28 mar 2016
Nun sistema de arquivos NTFS o administrador do sistema vai ter moita libertade para configurar o acceso aos documentos de directorios.
Introdución aos permisos NTFS
Os permisos NTFS son "7", podemos facer unha pequena explicación do que permite cada un deles:
- Lectura: Cando un usuario ten asignado o permiso de lectura ten permiso de ler o contido, os permisos e os atributos asociados aos directorios e os arquivos.
- Lectura e execución: O usuario pode ler o contido dos arquivos desa carpeta e tamén executar os arquivos desa carpeta (arquivos executables como .exe, .bat ou .com).
- Mostrar o contido da carpeta: O usuario só pode ver a lista dos arquivos e subdirectorios desa carpeta. O usuario non pode abrir ningún arquivo creado nesa carpeta se só ten ese permiso.
- Escritura: Se un usuario ten asignado o permiso de Escritura a un arquivo ou a unha carpeta, o usuario pode modificar o arquivo ou a carpeta. Esto inclúe engadir novos arquivos ou carpetas a ese directorio ou facer cambios a arquivos ou a carpetas que xa existen. Por outro lado, este permiso non da permiso para borrar arquivos desa carpeta.
- Modificación: Agora o usuario ten todos os permisos que ofrecen Lectura, Lectura e execución e Escritura e, ademáis, tamén poden borrar arquivos e carpetas.
- Control total: Este permiso é a combinación de todos os permisos anteriores. Este permiso, ademáis, engade a posibilidade de cambiar os permisos dos arquivos e das carpetas.
Recordade que os permisos poden configurarse a nivel de carpeta ou arquivo.
En realidade, cada un destes 7 permisos son un agrupamento de outros permisos máis específicos (14 distintos). A súa relación podémola ver na seguinte táboa:
Permisos Especiais | Control Total | Modificar | Ler e Executar | Mostrar o contido das carpetas (só carpetas) |
Lectura | Escritura |
---|---|---|---|---|---|---|
Percorrer Carpeta / Executar Arquivo |
X | X | X | X | ||
Listar carpeta / Ler datos |
X | X | X | X | X | |
Ler atributos | X | X | X | X | X | |
Ler atributos extendidos | X | X | X | X | X | |
Crear Arquivos / Escribir datos |
X | X | X | |||
Crear Carpetas / Anexar datos |
X | X | X | |||
Escribir atributos | X | X | X | |||
Escribir atributos extendidos | X | X | X | |||
Eliminar subcarpetas e arquivos |
X | |||||
Eliminar | X | X | ||||
Ler permisos | X | X | X | X | X | X |
Cambiar permisos | X | |||||
Tomar posesión | X | |||||
Sincronizar | X | X | X | X | X | X |
- Cada permiso xeral componse dun subconxunto dos permisos especiais. Fixarse ben no seguinte:
- Estudar cada un dos permisos especiais coa Axuda que ofrece o Windows e como afectan a carpetas ou arquivos.
- Estudar a diferenza entre os permisos especiais: Eliminar e Eliminar subcarpetas e arquivos.
- Por que son idénticas as columnas Mostrar contido da carpeta e Ler e executar.
Poderanse configurar os permisos a nivel de "Permisos reais" ou "Permisos especiais".
Explicación dos Permisos Especias para Arquivos e Carpetas
Vexamos que se configura dando ou denegando o permisos a cada un deses 14 especiais:
- Percorrer carpeta / Executar arquivo: Percorrer carpeta permite ou impide o desprazamento polas carpetas para chegar a outros arquivos ou carpetas, incluso aínda que o usuario non teña ningún permiso para as carpetas percorridas (só se aplica ás carpetas). Percorrer carpeta só ten efecto cando non se concedeu ó grupo ou ó usuario o dereito “Omitir comprobación de recorrido” no complemento “Directiva de grupo”. (De forma predeterminada, o grupo “Todos” ten concedido este dereito.)
- Executar arquivo: Permite ou impide executar arquivos de programa (só se aplica ós arquivos).
- Listar carpeta/Ler datos:
- Listar carpeta permite ou impide ver os nomes de arquivo e de subcarpetas dentro da carpeta (só se aplica ás carpetas).
- Ler datos permite ou impide ver os datos dos arquivos (só se aplica ós arquivos).
- Atributos de lectura: Permite ou impide ver os atributos dun arquivo ou dunha carpeta, como só lectura e oculto. Os atributos están definidos polo sistema de arquivos NTFS.
- Atributos estendidos de lectura: Permite ou impide ver os atributos estendidos dun arquivo ou dunha carpeta. Os atributos estendidos están definidos por programas e varían segundo o programa.
- Crear arquivos / Escribir datos: Crear arquivos permite ou impide crear arquivos dentro da carpeta (só se aplica ás carpetas).
- Escribir datos: Permite ou impide realizar cambios no arquivo e sobrescribir o contido existente (só se aplica ós arquivos).
- Crear carpetas / Anexar datos:
- Crear carpetas permite ou impide crear carpetas dentro da carpeta (só se aplica ás carpetas).
- Anexar datos permite ou impide realizar cambios ó final do arquivo pero non modificar, eliminar ou sobrescribir datos existentes (só se aplica ós arquivos).
- Atributos de escritura: Permite ou impide modificar os atributos dun arquivo ou dunha carpeta, como só lectura ou oculto. Os atributos están definidos por NTFS.
- Atributos estendidos de escritura. Permite ou impide modificar os atributos estendidos dun arquivo ou dunha carpeta. Os atributos estendidos están definidos por programas e varían segundo o programa.
- Eliminar subcarpetas e arquivos: Permite ou impide eliminar subcarpetas e arquivos, incluso aínda que o permiso Eliminar non se concedera na subcarpeta ou no arquivo (só no interior da carpeta directamente).
- Eliminar: Permite ou impide eliminar o arquivo ou a carpeta. Se non ten o permiso Eliminar nun arquivo ou nunha carpeta, aínda pode eliminalo se se lle concedeu Eliminar subcarpetas e arquivos na carpeta primaria.
- Permisos de lectura: Permite ou impide ler permisos do arquivo ou da carpeta, como Control total, Lectura e Escritura.
- Cambiar permisos: Permite ou impide cambiar permisos do arquivo ou da carpeta, como Control total, Lectura e Escritura.
- Tomar posesión: Permite ou impide tomar posesión do arquivo ou da carpeta. O propietario dun arquivo ou dunha carpeta sempre pode cambiar os permisos do mesmo, independentemente de calquera permiso existente que protexa o arquivo ou a carpeta.
- Sincronizar: Permite ou impide o permiso de distintos subprocesos para esperar o identificador de arquivo ou da carpeta e sincronizar con outro subproceso que poida señalalo. Este permiso só se aplica a programas multiproceso.
Importante:
- Os grupos ou usuarios aos que se otorgou o permiso Control total nunha carpeta poden eliminar calquera arquivo desa carpeta independentemente dos permisos que protexan a ese arquivo.
- Aínda que os permisos Mostrar contido de carpeta e Ler e executar parecen ter os mesmos permisos especiais, hérdanse de xeito distinto. O permiso Mostrar contido da carpeta hérdano as carpetas e non o herdan os arquivos, e debería aparecer só cando se ven os permisos da carpeta. O permiso Ler e executar o herdan os arquivos e as carpetas, e sempre está presente cando se ven os permisos de arquivo ou carpeta.
Romper a herdanza
- En xeral, os permisos da carpeta nai hérdanos os arquivos e carpetas fillos.
- Débese desactivar a opción "Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluso junto con las entradas aquí de forma explícita" para que non se propaguen os permisos da carpeta nai á carpeta creada por un usuario (romper a herdanza).
- - Cando se desactiva o sistema pregunta que se desexa realizar coas entradas (ACE, Access Control Entrie) que hai actualmente na ACL (Lista de control de Acceso). Pódense borrar (poñer a cero) ou conservar.
- Agora xa podemos cambiar os permisos que por defecto ten o obxecto.
- A columna "Heredado de", que antes tiña o nome da carpeta nai, agora pon "No heredado".
Propagar, ou non, os permisos
En "Opciones Avanzadas" na columna “Aplicar a” temos varias opcións que nos permiten configuar como se van a herdar os permisos configurados nunha carpeta nai aos obxectos creados nela.
As opcións que aparecen son as seguintes:
- Esta carpeta, subcarpetas y archivos (Opción por defecto).
- Esta carpeta y subcarpetas.
- Esta carpeta y archivos.
- Sólo esta carpeta.
- Sólo subcarpetas y archivos.
- Sólo subcarpetas.
- Sólo archivos.
Por exemplo, se queremos que un usuario poida ler os arquivos existentes nesta carpeta pero non os arquivos existentes nas subcarpetas dela teremos que seleccionar a opción "Sólo esta carpeta".
Usuario Creator Owner
Trátase dun usuario especial que quere dicir o usuario que crea un obxecto.
O xeito de actuar é o seguinte: Se nunha carpeta existe este usuario especial e alguén crea un obxecto no seu interior, automáticamente terá Control Total sobre ese novo directorio ou arquivo.
Trátase dun usuario especial moi útil cando queremos crear un directorio para compartir arquivos por rede, pois os usuarios que creen algo no seu interior terán CT sobre o creado por eles mesmos e terán os permisos que nos interesen sobre os elementos creados por outros usuarios.
Agrupamento de permisos
Podemos observar que temos "Permisos de Permitir" e "Permisos de Denegar", hai que recordar sempre:
- Os permisos sempre se suman, así se un usuario ten permiso de Lectura e Execución sobre un arquivo e un grupo ao que pertence ten permiso de Modificar sobre ese arquivo, ao final terá a suma dos dous permisos (o máis permisivo).
- Os permisos de Denegar sempre MANDAN sobre os de Permitir: se un usuario ten permisos de CT sobre un arquivo, pero o grupo ao que pertence ten Denegado o permiso de Lectura... pois ese usuario non terá permiso de Lectura sobre o arquivo
- O xeito de actuar para calcular os "permisos efectivos" sobre un obxecto sería:
- primeiro, sumar todos os permisos de Permitir e, logo,
- restarlle os permisos de Denegar... así obteremos os "Permisos efectivos" que ten cada usuario sobre un directorio ou arquivo.