Problemas con permisos NTFS

Marco Chavez 0 Puntos de reputación
2024-06-26T22:43:06.34+00:00

Hola a todos,

Estoy teniendo problemas al intentar configurar permisos NTFS para restringir la eliminación de archivos en una carpeta compartida en mi dominio. A pesar de haber aplicado varias configuraciones, los usuarios no pueden eliminar archivos, pero al mismo tiempo se evita la modificación de archivos y el cambio de nombres en la carpeta C:\master folder.

Objetivo

El objetivo es permitir que los usuarios del grupo "GUser" puedan modificar, leer y crear archivos en una carpeta compartida (C:\master folder), pero impedir que puedan eliminarlos. Esto es crucial para evitar la pérdida accidental o intencionada de datos críticos mientras se permite a los usuarios realizar otras operaciones necesarias para su trabajo diario.

Contexto

  • Entorno de Servidor: Windows Server 2022
  • Usuarios Afectados: Miembros del grupo "GUser"
  • Carpeta Compartida: C:\master folder
  • Acciones Permitidas:
  • Modificar archivos existentes
  • Crear nuevos archivos
  • Leer y ejecutar archivos
    • Listar el contenido de la carpeta
    • Acciones Denegadas:
      • Eliminar archivos
        • Eliminar subcarpetas y archivos

Propósito

La configuración busca proteger los archivos críticos almacenados en la carpeta compartida de eliminaciones no autorizadas, asegurando la integridad y disponibilidad de los datos. Esto es crucial para entornos donde los datos son sensibles y su pérdida puede causar problemas significativos a la organización

Permisos Actuales NTFS

Permitir (Allow):

  1. Traverse folder / execute file: Marcado
  2. List folder / read data: Marcado
  3. Read attributes: Marcado
  4. Read extended attributes: Marcado
  5. Create files / write data: Marcado
  6. Create folders / append data: Marcado
  7. Write attributes: Marcado
  8. Write extended attributes: Marcado
  9. Delete: Desmarcado
  10. Delete subfolders and files: Desmarcado
  11. Read permissions: Marcado
  12. Change permissions: Desmarcado
  13. Take ownership: Desmarcado

User's image

Denegar (Deny):

  • Delete: Marcado
  • Delete subfolders and files: Marcado

User's image

Pasos Realizados

Configuración Manual de Permisos NTFS:

  • He configurado los permisos directamente desde las propiedades de la carpeta, deshabilitando la herencia y configurando permisos explícitos. Script de PowerShell:
  - También he intentado aplicar los permisos utilizando un script de PowerShell ejecutado en cada inicio de sesión de los usuarios, pero el problema persiste.
``````powershell
powershellCopy code
$Path = "C:\master folder"
$Acl = Get-Acl $Path

# Permisos a otorgar
$AllowModify = New-Object System.Security.AccessControl.FileSystemAccessRule("office\GUser", "Modify", "ContainerInherit,ObjectInherit", "None", "Allow")
$Acl.SetAccessRule($AllowModify)

# Permiso de eliminar denegado
$DenyDelete = New-Object System.Security.AccessControl.FileSystemAccessRule("office\GUser", "Delete", "ContainerInherit,ObjectInherit", "None", "Deny")
$DenyDeleteSubfolders = New-Object System.Security.AccessControl.FileSystemAccessRule("office\GUser", "DeleteSubdirectoriesAndFiles", "ContainerInherit,ObjectInherit", "None", "Deny")

$Acl.SetAccessRule($DenyDelete)
$Acl.SetAccessRule($DenyDeleteSubfolders)

Set-Acl -Path $Path -AclObject $Acl
  1. Política de Grupo (GPO):
    • He creado una GPO y la he enlazado a la unidad organizativa correspondiente, configurando el script de PowerShell para que se ejecute en el inicio de sesión de los usuarios.

Problema

A pesar de estos pasos, los usuarios aún no pueden realizar cambios en documentos como Word y Excel, cambiar nombres en la carpeta C:\master folder. Necesito ayuda para entender qué podría estar mal en la configuración y cómo solucionar este problema.

Solicitud de Ayuda

Estoy buscando orientación sobre cómo resolver este problema y asegurarme de que los usuarios no puedan eliminar archivos en la carpeta compartida, pero aún puedan modificar, renombrar y crear nuevos archivos.

Agradezco cualquier consejo o sugerencia.

¡Gracias de antemano!

Windows Server
Windows Server
Familia de sistemas operativos de servidor de Microsoft que admiten administración de nivel empresarial, almacenamiento de datos, aplicaciones y comunicaciones.
144 preguntas
0 comentarios No hay comentarios
{count} votos

2 respuestas

Ordenar por: Muy útil
  1. Karlie Weng 16.096 Puntos de reputación Proveedor de Microsoft
    2024-06-27T03:07:49.0433333+00:00

    Hola,

    Sobre la base de la comprensión de los elementos NTFS esbozado en NTFS Permissions : An Overview (permissionsreporter.com)

    He examinado tus permisos NTFS allow/deny y no he encontrado ninguna configuración errónea. No obstante, hay algunas consideraciones que quizás quieras tener en cuenta:

    NTFS y permisos compartidos:

    Si se accede a un objeto del sistema de archivos a través de un recurso compartido, los permisos de NTFS y del recurso compartido se fusionan y gana el nivel de permiso más restrictivo. Comprueba que los permisos de recurso compartido están configurados adecuadamente para permitir el nivel de acceso deseado sin contradecir los permisos NTFS. Idealmente, para tu escenario, querrías que los permisos compartidos permitieran al menos el permiso "Cambiar" pero no "Control total".

    Pero si quieres gestionar el acceso a las carpetas utilizando exclusivamente los permisos NTFS, establece los permisos compartidos en Control total para el grupo Todos.

    User's image

    Denegar permisos:

    Los permisos Denegar tienen prioridad sobre los permisos Permitir y, en ocasiones, pueden dar lugar a problemas de acceso inesperados. Si has denegado explícitamente "Eliminar" y "Eliminar subcarpetas y archivos", prueba a eliminar estas entradas de denegación y confía en la ausencia de Permitir para que estas acciones eviten la eliminación.

    Acceso efectivo:

    Comprueba la pestaña Acceso efectivo en la Configuración de seguridad avanzada para verificar qué permisos tiene realmente un miembro típico del grupo "GUser" sobre la carpeta. Esto puede ayudar a identificar cualquier conflicto de permisos oculto. How Effective Permissions Are Determined | Microsoft Learn

    User's image


    Si la respuesta es útil, haga clic en Aceptar respuesta y vote por ella.


  2. Marco Chavez 0 Puntos de reputación
    2024-06-27T22:11:03.2966667+00:00

    Hola,

    Gracias por sus recomendaciones detalladas sobre la configuración de los permisos NTFS y su interacción con los permisos compartidos. Hemos revisado y seguido cuidadosamente los pasos sugeridos, incluyendo:

    1. Permisos Compartidos:
      • Hemos configurado los permisos compartidos para permitir "Control total" al grupo "Todos" (Everyone), asegurándonos de que no haya conflictos con los permisos NTFS.
    2. Permisos de Denegación:
      • Eliminamos las entradas de "Denegar" para "Eliminar" y "Eliminar subcarpetas y archivos", y confiamos en la ausencia de permisos "Permitir" para evitar la eliminación.
    3. Acceso Efectivo:
      • Utilizamos la pestaña "Acceso efectivo" en la Configuración de seguridad avanzada para verificar los permisos efectivos de un usuario típico del grupo "GUser".

    User's image

    Sin embargo, al desmarcar la opción de "Eliminar" (Delete), hemos encontrado un problema significativo: los usuarios no pueden editar documentos de Microsoft Office (por ejemplo, .docx, .xlsx) ni cambiar los nombres de los archivos. Este comportamiento limita gravemente la capacidad de los usuarios para realizar tareas diarias necesarias.

    Problema Encontrado

    Al desmarcar la opción "Eliminar" (Delete), los permisos parecen impedir que los usuarios editen y guarden cambios en documentos como .docx y .xlsx. También impide que cambien los nombres de los archivos. Esta restricción es demasiado severa y afecta la productividad de los usuarios, ya que no pueden realizar las ediciones necesarias en los documentos de trabajo.

    Próximos Pasos

    Estamos buscando una solución que permita a los usuarios:

    • Modificar y guardar documentos de Microsoft Office.
    • Cambiar nombres de archivos.
    • Al mismo tiempo, prevenir la eliminación de archivos.

    Agradecemos cualquier orientación adicional para resolver este problema sin comprometer la funcionalidad esencial de edición de documentos para los usuarios.

    0 comentarios No hay comentarios