You are on page 1of 14

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

WindowServer
El blog de los paso a paso

Inicio

Bsqueda en el blog

Buscar
Categoras

Elegir categora
Archivos por mes

Elegir mes
Seguir el blog
Ingrese su correo para recibir
notificaciones de los nuevos
artculos

Windows Server 2012 (R2): Compartir Carpetas Permisos de


Seguridad Combinados
Hace ya un tiempo hice una nota sobre las nuevas funcionalidades de Windows
Server 2012 para compartir carpetas (Windows Server 2012: Compartiendo
carpetas Nuevas funcionalidades), pero en esta ocasin vamos a ver una de
las opciones avanzadas como es evaluar permisos basndose en elementos
combinados
Parece complicado esto? no, no lo es y vamos a aclararlo. Hasta ahora
asignbamos los permisos basado en la pertenencia a *un grupo*, ahora
podemos tambin asignar permisos basados en pertenencia simultnea a ms
de un grupo, esto es, si pertence a Grupo1 tiene slo lectura, pero si pertence
simultneamente a Grupo1 y Grupo2 tiene modificacin
Inclusive veremos en esta nota la posibilidad de obtener los permisos efectivos
con simulacin de pertenencia a grupos
Para la demostracin he utilizado la misma infraestructura de todas las
demostraciones del sitio, utilizando solamente un Controlador de Dominio (DC1)
y un servidor miembro (SRV1)
Cre un Unidad Organizativa (OU1) para la prueba, donde he creado dos
usuarios: User Uno (u1.ad.guillermod.com.ar) y User Dos
(u2.ad.guillermod.com.ar). Y dos grupos: Grupo1 y Grupo2
User Uno es miembro de ambos grupos, y User Dos es miembro de Grupo2
nicamente
La idea es demostrar que si un usuario pertenece un grupo tiene ciertos
permisos, pero si pertenece a ambos grupos tiene otros, por ejemplo ms
amplios

Ser avisado
Google Translate
English Albanian Arabic
Bulgarian Catalan Chinese
Simplified Chinese Traditional
Croatian Czech Danish Dutch
Estonian Filipino Finnish French
Galician German Greek Hebrew
Hindi Hungarian Indonesian
Italian Japanese Korean
Lativian Lithuanian Maltese
Norwegian Polish Portuguese
Romanian Russian Serbian
Slovak Slovenian Spanish
Swedish Thai Turkish Ukrainian

1 of 14

Seguir
12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Vietnamese

Ms recientes
Windows Server 2012 (R2): Crear
un Dominio Copia de Seguridad
del Estado del Sistema (System
State Backup)
Windows Server 2012 (R2): Crear
un Dominio Verificacin de la
Tolerancia a Fallas
4a. Reunin: Conceptos
Fundamentales para Conocer
Active Directory
Windows Server 2012 (R2): Crear
un Dominio Instalacin y
Configuracin del Segundo
Controlador de Dominio
Windows Server 2012 (R2): Crear
un Dominio Instalacin del Primer
Controlador de Dominio

Categoras

Active Directory
- Directorio
Activo

He creado un carpeta para la prueba (Compartida), y la he compartido. Para


que no interfieran los permisos de compartido, simplemente le he dado control
total a todos

Administracin

Almacenamiento
Clustering Conectividad

How To
Step-by-step
- Paso a
paso Hyper-V
de Red

Instalacin

IPv6

Novedades Remote
Desktop - Terminal
Services Reuniones
Seguridad Servicios de

Red

Software - Aplicaciones

tiles Soporte

Tips

Video

Virtualizacin

Windows Server
Windows Server 8 (Beta)

Windows
Server 2012
Windows Server
2012 R2
2 of 14

Luego, en la ficha de permisos de seguridad, he cortado la herencia de permisos,


pero manteniendo los actuales

Seguir
12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Guillermo Delprato

Directory Services

Blogs y sitios
recomendados
El Deza Infraestructura de Redes
Tectimes Un blog de tecnologa

Y he eliminado las dos entradas correspondientes a Users. Queda como


muestra la figura

Un IT Pro entre mundos


tecnolgicos
Universidad Net

Acceder
Registrarse
Acceder
RSS de las entradas
RSS de los comentarios
WordPress.com

Blog Stats
1,062,233 hits

Visitantes desde
6-1-2014

Para que sea algo bien genrico, con el botn Add le he asignado a
Authenticated Users (Usuarios Autentificados) el permiso de lectura

Seguir
3 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Ingresando nuevamente con el botn Add, y tambin a Authenticated Users


(Usuarios Autentificados), le doy permiso de Modify (Modificar), pero con el
enlace Add condition (Agregar condicin) impongo que debe pertenecer tanto
a Grupo1 como a Grupo para poder modificar

Seguir
4 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Seguir
5 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Aplicamos la configuracin, y vamos a la ficha Effective Access (Acceso


Efectivo) para que reporte cules sern los permisos efectivos de User Uno

Como User Uno pertences tanto a Grupo1 como Grupo2, obtendr permiso
de modificar

Seguir
6 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Y si hacemos lo mismo para User Dos, como no pertenece a ambos grupos


tendr solamente acceso de lectura, como cualquier Authenticated User

Algo que aprend hace poco. Mediante este cuadro de accesos efectivos adems
podemos hacer simulaciones, por ejemplo, qu permisos tendra User Dos si lo
incluyramos en Grupo1

Seguir

7 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

En cuyo caso debera poder modificar

Las condiciones, tambin las podemos combinar entre s. Para mostrarlo he


creado un nuevo usuario (User Tres), que he incluido en un nuevo grupo
(Grupo3)

Seguir
8 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Editamos los permisos que le habamos dado a la pertenencia a los Grupo1 y


Grupo2, agregando una nueva condicin. Esta nueva condicin se puede
agregar usando los operadores AND u OR
O sea, que adems de los grupos existentes tenga otra condicin, o como hice
yo utilizando el operador OR, que si pertenece a Grupo3 obtendr el mismo
acceso que si pertenece a Grupo1 y Grupo2

Seguir
9 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Si vamos ahora a ver los permisos efectivos para User Tres, veremos que por
su membresa slo en Grupo3 podr modificar

Seguir
10 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

Como pudimos observar, el tema de asignacin de permisos ha aumentado su


flexibilidad respecto a versiones anteriores del sistema operativo, proporcionando
mayores facilidades

Tu voto:

2 Votes
Comprtelo

LinkedIn

Google

Twitter

Correo electrnico

Imprimir

Me gusta
S el primero en decir que te gusta.

Relacionado

Windows Server 2012:


Compartiendo carpetas
- Nuevas
funcionalidades

Cinco Formas de
Compartir Carpetas Permisos de
Compartido, de
Seguridad, y Efectivos

Windows Server 2012


R2 - Work Folders [Actualizado]

Seguir
11 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

By Guillermo Delprato, on 24/09/2014 at 08:11, under Almacenamiento, How To Step-by-step - Paso a paso, Windows Server, Windows Server 2012, Windows Server 2012
R2. Etiquetas: Almacenamiento, file server, How To - Step-by-step - Paso a paso, storage
services, windows server, Windows Server 2012, Windows Server 2012 R2. 8 comentarios
Post a comment or leave a trackback: Trackback URL.

Comprender y Aprender IPv6

Dynamic Access Control 1

Comentarios
Sergio On 26/10/2014 at 17:41

Permalink | Responder

Buenas noches, Guilermo. Tengo el siguiente escenario: una mquina servidora


con Windows Server Foundation (hace de controlador de dominio, servidor de
aplicaciones por acceso remoto, etc), todo en una misma mquina. Tengo
adems un NAS, que utilizo para copias de seguridad, y ltimamente tambin
para que usuarios de la red compartan ficheros en una carpeta compartida en el
NAS. Podra haber creado una carpeta compartida en el servidor, pero prefer
usar el NAS (no s si me eleccin fue buena o mala, pero decid utilizar el NAS
con RAID1, aunque el servidor tamben est en RAID1). Mi problema es el
siguiente: quisiera que esa carpeta compartida que he creado en el NAS
tambin fuera visible por usuarios desde fuera de la red. He visto que el NAS
ofrece utilidades para poder ser accesible desde fuera de la red por https, pero
al intentar usar las herramientas que ofrece para activar el acceso remoto del
NAS por https me da problemas (no s si porque ya tengo configurado en el
router que el trfico https se redirija a la IP del servidor, y al redirigir tambin el
NAS no sea posible?). En cualquier caso haba pensado lo siguiente como
alternativa: dar de alta el NAS en el servidor como un volumen ms, y a travs
de IIS ofrecer la carpeta del NAS?. Sera eso posible?. Es buena prctica
hacer eso?. Y tienes algn post sobre cmo usar IIS para ofrecer carpetas
accesibles desde el exterior de la red?. Muchas gracias!. Sergio.
Guillermo Delprato On 27/10/2014 at 09:04

Permalink | Responder

Hola Sergio, comienzo por el final


Me preguntas si es buena prctica, bueno, en realidad ya lo que tienes no es
buena prctica, ya que tener un Controlador que adems es y tambin
provee servicio de y adems quieres que :D eso no es bueno. Aunque
por supuesto entiendo que si tienes una versin Foundation, entonces es
una organizacin muy chica, con todas las limitaciones que eso implica
Por lo que me comentas yo me inclinara por una solucin con VPN, ms
especficamente VPN hasta el Router, que seguramente lo permite. No
configurara el servidor como VPN, por seguridad, porque debera tener dos
placas de red, y otros problemas
Una vez que el usuario se conecta desde otro lado, simplemente accedera a
las carpetas compartidas de igual forma que si estuviera en la red interna
Adems tienes la ventaja que no tocas nada de la configuracin actual de la
red
Sergio On 27/10/2014 at 17:56

Permalink

Gracias Guillermo!. Hoy mismo he estado investigando ms sobre este


tema, y he encontrado una solucin que parece interesante, pero que te
comento ya que es evidente que de estos temas sabes bastante ms que
yo. Lo que utilizan es de nuevo el acceso Rdweb para publicar Seguir

12 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

explorer.exe (el sistema de carpetas de Windows) -pensaba que no haba


opcin a publicar como aplicacin explorer.exe!!-. Incluso, le pasan como
parmetro la carpeta con la que quieres que se abra explorer para que al
acceder al icono de aplicacin publicado se abra por la carpeta concreta
que quieres publicar (eso parece interesante para mi caso, en el que
quiero publicar una carpeta compartida entre varios usuarios como
repositorio compartido de trabajo), de modo que adems de publicar el
resto de aplicaciones, ofrecen por acceso remoto la carpeta (o carpetas)
que quieres publicar. He visto cmo gestionan los permisos de acceso a
las unidades y carpetas, para que el usuario slo tenga acceso a aquello
que tiene permiso. Parece buena opcin?. Gracias de nuevo y saludos!
Guillermo Delprato On 27/10/2014 at 19:20

Permalink

Sergio, s slo de algunas cosas :)


Primero que nada, cuidado con una confusin bastante generalizada
sobre el tema: RDWeb muestra una pgina web, pero luego la conexin
se hace con protocolo RDP, por lo cual en general no se puede acceder
externamente. Para evitar eso se debe usar adems RDGateway que
este s, encapsula el RDP en HTTPS (y necesits certificados digitales)
No lo he probado nunca, pero si publico el EXPLORER.EXE cmo
podra impedir que en la barra de direcciones ponga otro path y
comience a navegar en todo el disco del servidor? Realmente no s si
funciona, pero no me quedara con la duda, y entiendo que se puede
restringir por permisos NTFS, pero sobre la raz de discos, y la carpeta
Windows tiene acceso de lectura, y por lo tanto podra copiar cualquier
cosa
Si son los mismos usuarios que normalmente estn dentro de la red, y
adems deben acceder desde afuera no dudara con la VPN. Coment lo
de hacerlo hasta el Router, para no tener que poner otra mquina con
Windows Server, pero es una configuracin muy sencilla (Windows
Server 2012 (R2): Configurar Servidor VPN | WindowServer:
http://windowserver.wordpress.com/2014/03/27/windows-server-2012-r2configurar-servidor-vpn/)
sergioperezparras On 28/10/2014 at 06:37

Permalink

Muchas gracias!. voy a leer ese enlace que me pasas. Saludos!


Guillermo Delprato On 28/10/2014 at 07:49

Permalink

Hola Sergio, el inconveniente de aplicar esa solucin, un servidor para


VPN, es que deberas tener otro equipo. Si llegas a poner el Controlador
de Dominio como VPN comienzan los problemas con los usuarios, y
adems eso s sera un riesgo importante de seguridad.
El Controlador de Dominio contiene lo ms valioso como son los
nombres de usuarios y sus contraseas, por lo cual permitir el acceso al
mismo en forma directa desde Internet es un problema

Trackbacks
By Dynamic Access Control 1 | WindowServer on 01/10/2014 at 09:20

[] de cuentas de usuario, o propiedades de los datos o equipo donde se incia

Seguir

13 of 14

12/12/2014 02:39 PM

Windows Server 2012 (R2): Compartir Carpetas ...

http://windowserver.wordpress.com/2014/09/24/...

sesin; y por supuesto combinando condiciones como hemos visto en una nota
[]
By Dynamic Access Control 1 WindowServer on 04/10/2014 at 09:07

[] de cuentas de usuario, o propiedades de los datos o equipo donde se incia


sesin; y por supuesto combinando condiciones como hemos visto en una nota
[]

Deje una respuesta

Blog de WordPress.com. | El tema NotesIL.

Seguir
14 of 14

12/12/2014 02:39 PM