Compartir a través de

Uso de permisos heredados con la enumeración basada en el acceso

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

De forma predeterminada, los permisos usados para una carpeta DFS se heredan del sistema de archivos local del servidor de espacio de nombres. Los permisos se heredan del directorio raíz de la unidad del sistema y conceden permisos de lectura al grupo Usuarios del dominio. Como resultado, incluso después de habilitar la enumeración basada en el acceso, todas las carpetas del espacio de nombres permanecen visibles para todos los usuarios del dominio.

Ventajas y limitaciones de los permisos heredados

Hay dos ventajas principales en el uso de permisos heredados para controlar qué usuarios pueden ver carpetas en un espacio de nombres DFS:

  • Puede aplicar rápidamente permisos heredados a muchas carpetas sin tener que usar scripts.
  • Puede aplicar permisos heredados a carpetas y raíces del espacio de nombres sin destinos.

A pesar de las ventajas, los permisos heredados en los espacios de nombres DFS tienen muchas limitaciones que los hacen inadecuados para la mayoría de los entornos:

  • Las modificaciones en los permisos heredados no se replican en otros servidores de espacio de nombres. Por lo tanto, use permisos heredados solo en espacios de nombres independientes o en entornos donde puede implementar un sistema de replicación de terceros para mantener sincronizadas las listas de control de acceso (ACL) en todos los servidores de espacio de nombres.
  • Administración de DFS y Dfsutil no pueden ver ni modificar los permisos heredados. Por lo tanto, debe usar el Explorador de Windows o el comando Icacls además de Administración de DFS o Dfsutil para administrar el espacio de nombres.
  • Cuando se usan permisos heredados, no se pueden modificar los permisos de una carpeta con destinos, excepto mediante el comando Dfsutil. Los espacios de nombres DFS eliminan automáticamente los permisos de las carpetas con destinos establecidos mediante otras herramientas o métodos.
  • Si establece permisos en una carpeta con destinos mientras usa permisos heredados, la ACL que estableció en la carpeta con destinos se combina con los permisos heredados del elemento principal de la carpeta del sistema de archivos. Debe examinar ambos conjuntos de permisos para determinar cuáles son los permisos de red.

Nota

Al usar permisos heredados, es más sencillo establecer permisos en las carpetas y raíces de espacio de nombres sin destinos. A continuación, use los permisos heredados en carpetas con destinos para que hereden todos los permisos de sus elementos primarios.

Uso de permisos heredados

Para limitar qué usuarios pueden ver una carpeta DFS, debe realizar una de las siguientes tareas:

  • Establezca permisos explícitos para la carpeta y deshabilite la herencia. Para establecer permisos explícitos en una carpeta con destinos (un vínculo) mediante Administración de DFS o el comando Dfsutil, consulte Habilitar la enumeración basada en el acceso en un espacio de nombres.
  • Modifique los permisos heredados en el elemento primario del sistema de archivos local. Para modificar los permisos heredados por una carpeta con destinos, si ya ha establecido permisos explícitos en la carpeta, cambie a permisos heredados a partir de permisos explícitos, como se describe en el procedimiento siguiente. A continuación, use el Explorador de Windows o el comando Icacls para modificar los permisos de la carpeta desde la que la carpeta con destinos hereda sus permisos.

Nota

La enumeración basada en el acceso no impide que los usuarios obtengan una referencia a una carpeta de destino si ya conocen la ruta de acceso DFS de esta. Los permisos establecidos mediante el Explorador de Windows o el comando Icacls en las raíces del espacio de nombres o en las carpetas sin destinos controlan si los usuarios pueden acceder a la carpeta DFS o a la raíz del espacio de nombres. Sin embargo, no impiden que los usuarios accedan directamente a una carpeta con destinos. Solo los permisos de recurso compartido o los permisos del sistema de archivos NTFS de la carpeta compartida pueden impedir que los usuarios accedan a dicha carpeta.

Para cambiar de permisos explícitos a permisos heredados

  1. En el árbol de consola, en el nodo Espacios de nombres, busque la carpeta con los destinos cuya visibilidad desea controlar, haga clic con el botón derecho en ella y, a continuación, haga clic en Propiedades.

  2. Haga clic en la pestaña Opciones avanzadas.

  3. Haga clic en Usar permisos heredados del sistema de archivos local y, a continuación, haga clic en Aceptar en el cuadro de diálogo Confirmar uso de permisos heredados. Al hacerlo, se eliminan todos los permisos establecidos explícitamente en esta carpeta y se restauran los permisos NTFS heredados del sistema de archivos local del servidor de espacio de nombres.

  4. Para cambiar los permisos heredados para carpetas o raíces de espacio de nombres en un espacio de nombres DFS, use el Explorador de Windows o el comando ICacls.

Referencias adicionales