Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo crear dinámicamente carpetas redirigidas mejoradas con seguridad o carpetas principales.
Número de KB original: 274443
Resumen
En Microsoft Windows Server Active Directory, como administrador, puede personalizar los escritorios mediante el redireccionamiento de carpetas o asignar una carpeta principal basada en servidor. Además, puede redirigir las siguientes carpetas mediante Active Directory y la directiva de grupo:
- Datos de programa
- Escritorio
- Mis documentos
- Mis documentos/Mis imágenes
- Menú Inicio
Puede encontrar más información sobre la redirección de carpetas buscando la Ayuda de Windows para redireccionamiento de carpetas.
Al redirigir carpetas a una ubicación compartida en una red, necesita acceso de lectura y escritura a esta ubicación para que pueda leer el contenido de estas carpetas. Sin embargo, en algunos escenarios, es posible que no desee conceder acceso de lectura a otros usuarios.
Creación de carpetas redirigidas mejoradas con seguridad
Para asegurarse de que solo el usuario y los administradores de dominio tienen permisos para abrir una carpeta redirigida determinada, siga estos pasos:
Seleccione una ubicación central en el entorno donde desea almacenar el redireccionamiento de carpetas y, a continuación, comparta esta carpeta. En este ejemplo, se usan FLDREDIR y HOMEDIR.
Establezca Permisos de recurso compartido para el grupo Todos en Control total.
Use la siguiente configuración para permisos NTFS:
- CREATOR OWNER - Control total (Aplicar a: subcarpetas y solo archivos)
- Sistema: control total (aplicar a: esta carpeta, subcarpetas y archivos)
- Administradores de dominio: control total (aplicar a: esta carpeta, subcarpetas y archivos)
- Todos: crear datos de carpeta o anexar (aplicar a: solo esta carpeta)
- Todos: enumerar datos de carpeta/lectura (aplicar a: esta carpeta solo)
- Todos: leer atributos (aplicar a: esta carpeta solo)
- Todos : recorrer carpeta o ejecutar archivo (aplicar a: solo esta carpeta)
Configure la directiva de redirección de carpetas como se describe en la Ayuda de Windows. Use una ruta de acceso similar a para
\\server\FLDREDIR\%username%crear una carpeta en la carpeta compartida, FLDREDIR.También puede configurar una carpeta principal "HOMEDIR" de forma similar copiando un usuario de plantilla con una carpeta principal como
\\server\HOMEDIR\%username%, o bien crear el usuario y la carpeta con ese nombre.Nota:
En el caso de las carpetas principales, el escenario no es común, ya que al agregar la carpeta principal de un usuario, Usuarios y equipos de Active Directory creará la carpeta. Pero si usa un aprovisionamiento personalizado, Usuarios y equipos de Active Directory no crea la carpeta. Por lo tanto, tienes que hacerlo por ti mismo.
¿Por qué estos permisos ayudan a mejorar la seguridad de las carpetas de recursos compartidos?
Dado que el grupo Todos tiene el derecho Crear carpeta/Anexar datos, los miembros del grupo tienen los permisos adecuados para crear la carpeta; sin embargo, los miembros no pueden leer los datos después. El grupo Nombre de usuario es el nombre del usuario que inició sesión al crear la carpeta. Dado que la carpeta es un elemento secundario de la carpeta primaria, hereda los permisos asignados a FLDREDIR. Además, dado que el usuario está creando la carpeta, el usuario obtiene el control total de la carpeta debido a la configuración Permiso de propietario del creador.
Más información
El artículo se escribió inicialmente para Windows Server 2003 y es probable que la entrada de control de acceso (ACE) para CreatorOwner se convierta en:
<Folder-User> - Control total (Aplicar a: Esta carpeta, subcarpetas y archivos)
Pero no hay ninguna prueba de que esto haya ocurrido. Las versiones anteriores del artículo no mencionan el resultado de la lista de control de acceso (ACL) y las versiones de los sistemas operativos para los que se escribió este artículo ya no se admiten.
A finales de mayo de 2017, todos los sistemas operativos compatibles convirtieron la ACE en:
<Folder-User> - Control total (Aplicar a: este objeto solo)
Pero esto no afecta a las operaciones diarias de las carpetas de los usuarios. Esto hace una diferencia cuando el administrador tiene que trabajar en el contenido de las carpetas principales o las carpetas redirigidas.
Si desea asegurarse de que el usuario obtiene el control total heredable en todos los objetos secundarios, debe hacer lo siguiente:
Cree la coincidencia de carpetas para los usuarios samaccountname por su cuenta.
Establezca los permisos necesarios para la carpeta, omita los ACE anteriores y asegúrese de que tiene la ACE:
<Folder-User> - Control total (Aplicar a: Esta carpeta, subcarpetas y archivos)
Referencias
Para obtener más información, consulte Introducción al redireccionamiento de carpetas.