Utilizamos cookies para ayudarnos a mejorar nuestra página web. Lea nuestra Política de cookies .

NAS 471

Introducción a Windows ACL

Aprende a usar Windows ACL para administrar los permisos de acceso a datos en tu NAS ASUSTOR.

2023-06-16

OBJETIVOS DEL CURSO

Al finalizar este curso, deberías poder:
  1. Comprender los principios básicos del uso de Windows ACL con tu ASUSTOR NAS
  2. Usar Windows ACL para administrar los permisos de acceso a datos en tu NAS ASUSTOR


REQUISITOS PREVIOS

Requisitos previos del curso:
NAS 106: Using NAS with Microsoft Windows

Se espera que los estudiantes tengan un conocimiento práctico de:

Instalación e inicialización de ASUSTOR NAS

Creación de volúmenes de almacenamiento y carpetas compartidas

Creación de usuarios y grupos locales en ADM


ESQUEMA

 


 

1.Introducción a Windows ACL
1.1 ¿Qué es Windows ACL?

Windows ACL son los 13 tipos diferentes de permisos de archivos diseñados por Microsoft para sistemas de archivos NTFS que se pueden aplicar a usuarios y grupos específicos. Dentro de este tipo de infraestructura, los administradores pueden realizar configuraciones de permisos de acceso más detallados y precisos.

 

Adicionalmente, en la infraestructura de dominio de Windows AD (ampliamente utilizado por empresas), los permisos de Windows ACL se pueden aplicar a todos los usuarios y grupos del dominio. Los usuarios pueden usar cualquier computadora en la red para iniciar sesión y, siempre que usen el mismo nombre de cuenta, todos los permisos seguirán siendo los mismos. El personal de TI no necesitará configurar permisos para cada servidor individual y estación de trabajo de PC, lo que aumenta significativamente la eficiencia de la administración.

 

Con el fin de integrar estrechamente el NAS ASUSTOR con los dominios AD, simplificando la administración de TI y aumentando la productividad, ASUSTOR ha integrado profundamente el sistema de permisos Windows ACL con ADM, proporcionando las siguientes características únicas:

1. La capacidad de habilitar Windows ACL para carpetas compartidas individuales

2. Soporte integral para los 13 tipos de permisos de Windows ACL 

3. Capacidad para ver los permisos efectivos de Windows ACL en detalle desde ADM

4. Soporte para usuarios y grupos de la red.

5. Capacidad de aplicar permisos ACL a los protocolos de transferencia de archivos Samba, File Explorer, AFP, FTP, WebDAV, Rsync


1.2 ¿Necesito habilitar Windows ACL?

Como se describe en la sección anterior, Windows ACL proporciona hasta 13 configuraciones de permisos diferentes que se pueden aplicar a todos los usuarios y grupos en el NAS y en el dominio (si el NAS se ha agregado a un dominio de Windows AD). En caso de una mala planificación o configuración de permisos, existe la posibilidad de que todos los usuarios no puedan acceder a una determinada carpeta o archivo. Este tipo de error se puede resolver usando una cuenta de administrador, pero la cantidad de tiempo perdido desde que ocurre el problema por primera vez hasta que se resuelve puede verse como un costo intangible significativo para las empresas.

 

El NAS ASUSTOR se desarrolló sobre la base del sistema operativo Linux, por lo que la configuración nativa de ADM utiliza el mecanismo de administración de permisos de Linux:

Permisos aplicables: RW (Lectura y Escritura), RO (Solo Lectura), DA (Denegar Acceso)

Los permisos pueden aplicar a: "Propietario", el grupo del que forma parte el propietario y "Otro".

El menor número de opciones permite una configuración más sencilla. Sin embargo, la flexibilidad y capacidad de ajuste de los permisos es limitada. Por ejemplo, cuando se utiliza el mecanismo de permisos de Linux, no es posible otorgar a un usuario la capacidad de editar un archivo sin además otorgarle permiso para eliminarlo.

 

Si solo estás utilizando tu NAS entre tú y un número limitado de familiares y amigos, se recomienda que utilices el mecanismo original de administración de permisos de ADM. Sin embargo, si tu NAS se utiliza para el almacenamiento de datos comerciales, se sugiere que primero consultes con tu personal de TI para decidir si es apropiado habilitar los permisos de Windows ACL y luego completar un plan de implementación de permisos si decides usarlo.

 

Te proporcionamos la flexibilidad de habilitar o deshabilitar Windows ACL para carpetas compartidas individuales, que es muy útil para la evaluación y la planificación. Puedes crear una carpeta compartida para realizar pruebas, habilitar Windows ACL y luego configurar los permisos. Luego podrás verificar si los resultados son los que esperabas que fueran. Una vez que obtengas los resultados que necesitas, puedes aplicar la configuración a la carpeta compartida de tu elección. Esto te permite evitar errores en la planificación que podrían negar el acceso a datos importantes, afectando la operación de tu empresa.

 

2. Configurar Windows ACL
2.1 HabilitarWindows ACL
Creación de una nueva carpeta compartida

Inicia sesión en ADM con la cuenta "admin" o una cuenta de usuario que pertenezca al grupo "administradores". Selecciona [Access Control] → [Shared Folders] → [Add].

 

Ingresa un nombre para tu nueva carpeta compartida y luego haz clic en [Next].


 

Después de configurar los derechos de acceso para la carpeta compartida, selecciona la casilla [Enable Windows ACL] y luego haz clic en [Next].

 

 

NotaLos derechos de acceso a carpetas compartidas son la primera capa de verificación de permisos. Si a un usuario o grupo no se le han asignado permisos de "Lectura y Escritura" aquí, se bloquearán todos los permisos de Windows ACL que se le hayan asignado. Por lo tanto, se recomienda que configures derechos de acceso más permisivos para las carpetas compartidas que tienen habilitada Windows ACL y luego usa Windows ACL para configurar permisos más específicos más adelante.

Haz clic en [Finish] para completar la creación de la carpeta compartida.

 

Habilitar Windows ACL para carpetas compartidas ya existentes

Inicia sesión en ADM con la cuenta "admin" o una cuenta de usuario que pertenezca al grupo "administradores".
Selecciona [Access Control] > [Shared Folders] → [La carpeta compartida para la que deseas habilitar Windows ACL] → [Edit].

 

Selecciona la pestaña [Windows ACL], selecciona la casilla [Enable Windows ACL] y luego haz clic en [Close].


 

Acerca de Windows ACL

1. Después de habilitar Windows ACL para una carpeta compartida, se pueden asignar permisos de usuario o grupo a la carpeta compartida y todas las subcarpetas y archivos que contiene.

2. Las siguientes carpetas compartidas no son compatibles con los permisos de Windows ACL: Hogar, Hogares de usuarios, Galería de Fotos, Web, Vigilancia, MiArchivo, Papelera de Reciclaje de Red, dispositivos virtuales, dispositivos externos (discos duros USB, unidades ópticas).

3. Después de habilitar Windows ACL, podrás usar el Explorador de Archivos de ADM o el Explorador de Microsoft Windows para configurar los permisos. Después de deshabilitar Windows ACL, solo podrás configurar permisos desde el Explorador de Archivos de ADM.

4. Si habilitas Windows ACL y luego decides deshabilitarlo, todos los archivos y carpetas se reasignarán con permisos de Lectura y Escritura para todos los usuarios.

5. No importa si estás utilizando Windows ACL o no, los usuarios seguirán necesitando permisos de archivos y carpetas compartidas para acceder a los archivos.


2.2 Configurar permisos de Windows ACL con ADM File Explorer

Desde ADM, abre el Explorador de Archivos y luego selecciona una carpeta compartida (o subcarpeta o archivo) para la que hayas habilitado Windows ACL. Haz clic derecho en la carpeta compartida y luego selecciona [Properties].

 

En la ventana de propiedades, selecciona la pestaña [Permission]. Aquí podrás ver los permisos actualmente configurados para la carpeta. También puedes administrar los permisos para la carpeta aquí.

Después de habilitar Windows ACL para una carpeta compartida, el sistema asignará de manera predeterminada los permisos de "Lectura y Escritura, pero no Eliminar" a "Todos", "Administradores" y la cuenta "admin". Estos permisos aplicarán solo a la carpeta compartida y no los heredarán los objetos que se encuentran debajo. Estos permisos predeterminados se pueden modificar utilizando los botones [Editar] o [Eliminar].

Nota: un archivo o carpeta individual puede utilizar hasta un máximo de 250 permisos de Windows ACL (incluidos los permisos heredados).

Incluir permisos heredables del objeto principal:  Esta opción está habilitada de manera predeterminada. El sistema configurará automáticamente las subcarpetas y los archivos para heredar los permisos del objeto que se encuentran por arriba. Deshabilitar esta opción rechazará todos los permisos heredables y solo mantendrá los permisos recién agregados.

Reemplazar todos los permisos de objetos secundarios con permisos heredables de este objeto: Habilitar esta opción reemplazará todos los permisos de subcarpetas y archivos con los del objeto principal.

Las funciones de gestión que podrás utilizar aquí son las siguientes:

Agregar
Haz clic en el botón [Add] para crear un nuevo permiso para el objeto.

 


Usuario o grupo: Especifica el usuario o grupo al que deseas aplicar el permiso.
Tipo: Selecciona [Permitir] o [Denegar] para otorgar o denegar el permiso al usuario o grupo.
Aplicar a: Esta opción solo aparecerá al agregar permisos a una carpeta. En el menú desplegable, puedes seleccionar dónde se aplicará el permiso. La forma en que se aplicará el permiso estará determinada si seleccionas o no la casilla [Apply these permissions to objects and/or containers within the container only].

Cuando la casilla [Apply these permissions to objects and/or containers within the container only] no está marcada:

Aplicar a

Aplicar permiso a la carpeta actual

Aplicar permiso a subcarpetas dentro de la carpeta actual

Aplicar permiso a los archivos dentro de la carpeta actual

Aplicar permiso a todas las subcarpetas posteriores

Aplicar permiso a los archivos dentro de todas las subcarpetas subsiguientes

Solo esta carpeta

V

       

Esta carpeta, subcarpetas y archivos

V

V

V

V

V

Esta carpeta y subcarpetas

V

V

 

V

 

Esta carpeta y archivos

V

 

V

 

V

Solo subcarpetas y archivos

 

V

V

V

V

Solo subcarpetas

 

V

 

V

 

Solo archivos

   

V

 

V


Cuando la casilla [Apply these permissions to objects and/or containers within the container only] está marcada:

Aplicar a

Aplicar permiso a la carpeta actual

Aplicar permiso a subcarpetas dentro de la carpeta actual

Aplicar permiso a los archivos dentro de la carpeta actual

Aplicar permiso a todas las subcarpetas posteriores

Aplicar permiso a los archivos dentro de todas las subcarpetas subsiguientes

Solo esta carpeta

V

       

Esta carpeta, subcarpetas y archivos

V

V

V

 

 

Esta carpeta y subcarpetas

V

V

 

 

 

Esta carpeta y archivos

V

 

V

 

 

Solo subcarpetas y archivos

 

V

V

 

 

Solo subcarpetas

 

V

 

 

 

Solo archivos

   

V

 

 

 

Los 13 tipos de permisos de Windows ACL se describen a continuación:

 

Recorrer carpeta/ejecutar archivo: Recorrer Carpeta permite o deniega moverse a través de carpetas para llegar a otros archivos o carpetas, incluso si el usuario no tiene permisos para las carpetas recorridas (aplica solo a carpetas). Ejecutar Archivo permite o deniega la ejecución de archivos de programa (aplica solo a archivos).

 

Mostrar carpeta/leer datos: Mostrar Carpeta permite o deniega la visualización de nombres de archivos y nombres de subcarpetas dentro de la carpeta (aplica solo a las carpetas). Leer Datos permite o deniega la visualización de datos en archivos (aplica solo a archivos).

Atributos de lectura: Permite o deniega la visualización de los atributos de un archivo o carpeta, como solo lectura, oculto, comprimido y cifrado.

 

Leer atributos extendidos: Permite o deniega la visualización de los atributos extendidos de un archivo o carpeta. Los atributos extendidos están definidos por programas y pueden variar según el programa.

 

Crear archivos/escribir datos: Crear Archivos permite o deniega la creación de archivos dentro de la carpeta (aplica solo a las carpetas). Escribir Datos permite o deniega la realización de cambios en el archivo y la sobrescritura del contenido existente (solo aplica a los archivos).

 

Crear carpetas/añadir datos: Crear Carpetas permite o deniega la creación de carpetas dentro de la carpeta (aplica solo a las carpetas). Agregar datos permite o deniega la realización de cambios al final del archivo, pero no modifica, elimina ni sobrescribe los datos existentes (solo aplica a los archivos).

 

Escribir atributos: Permite o deniega cambiar los atributos de un archivo o carpeta.

 

Escribir atributos extendidos: Permite o deniega cambiar los atributos extendidos de un archivo o carpeta. Los atributos extendidos están definidos por programa y pueden variar según el programa.

 

Eliminar subcarpetas y archivos: Permite o deniega la eliminación de subcarpetas y archivos, incluso si no se ha otorgado el permiso Eliminar en la subcarpeta o el archivo (aplica a las carpetas).

 

Eliminar: Permite o deniega la eliminación del archivo o carpeta.

 

Permisos de lectura: Permite o deniega los permisos de lectura del archivo o carpeta.

 

Cambiar permisos: Permite o deniega el cambio de permisos del archivo o carpeta.

 

Tomar posesión: Permite o deniega tomar posesión del archivo o la carpeta. El propietario de un archivo o carpeta siempre puede cambiar los permisos, independientemente de los permisos existentes que protegen el archivo o la carpeta.

 

Editar 

Seleccionar un permiso y luego hacer clic en el botón [Editar] te permitirá modificar el permiso.

 

Eliminar

Seleccionar un permiso y luego hacer clic en [Eliminar] eliminará el permiso del objeto actual.

 

Permisos Efectivos

Al hacer clic en el botón [Permisos Efectivos] y luego seleccionar un usuario de la lista, podrás ver los permisos efectivos del usuario con respecto a la carpeta o archivo especificado. Los permisos efectivos se determinan a partir de la combinación de permisos de Windows ACL y derechos de acceso a carpetas compartidas.


2.3 Configurar permisos de Windows ACL con el Explorador de Windows

1. Primero, usa una cuenta de administrador de Windows para asignar una carpeta compartida habilitada para Windows ACL como una unidad de red. Para obtener más información, consulta  NAS 106: Uso de NAS con Microsoft Windows..

 

2. Haz clic derecho en cualquier archivo o subcarpeta dentro de la carpeta compartida y luego selecciona [Propiedades]. A continuación, selecciona la pestaña [Seguridad]. Aquí podrás ver una lista de usuarios y grupos y sus permisos ACL para el archivo o subcarpeta.



Si un objeto tiene simultáneamente permisos heredados de su objeto principal y también permisos explícitos, los permisos heredados se marcarán en gris mientras que los permisos explícitos se marcarán en negro.

3. Haz clic en [Editar] → [Agregar]. En el campo [Desde esta ubicación:] deberías ver la siguiente información:

Si el NAS se ha agregado a un dominio AD de Windows, verás el nombre de dominio AD.

Si el NAS no se ha agregado a un dominio de Windows AD, verás la dirección IP del NAS.

 

4. En el campo [Ingrese los nombres de los objetos para seleccionar], ingresa la siguiente información:

Si el NAS se ha agregado a un dominio de Windows AD, ingresa el nombre de usuario o grupo del dominio y luego haz clic en [Comprobar Nombres] para verificar el nombre de usuario/grupo. Luego, haz clic en [Aceptar].

Si el NAS no se ha agregado a un dominio de Windows AD, ingresa el nombre de grupo o usuario local de ADM y luego haz clic en [Comprobar Nombre] para verificar el nombre de usuario/grupo. Luego, haz clic en [Aceptar].

 

 

5. Ahora, deberías poder ver el usuario o grupo recién agregado en la lista [Nombres de grupos o usuarios:]. Selecciona el usuario o grupo y luego usa las casillas de [Permitir] y [Denegar] para configurar sus permisos de acceso para el objeto. Cuando hayas terminado, haz clic en [Aplicar].

 

 

Precauciones y reglas de permisos de Windows ACL
2.4.1 Permisos ACL en conflicto

Si encuentras permisos de Windows ACL en conflicto, se dará prioridad a los permisos explícitos del objeto. Por ejemplo, si el usuario Helen hereda los permisos "Permitir Lectura y Ejecución" para un archivo pero los permisos explícitos para el archivo son "Denegar Lectura y Ejecución", entonces Helen no podrá acceder al archivo.

Por el contrario, si Helen hereda los permisos "Denegar Lectura" pero el permiso explícito otorgado al archivo es "Permitir Lectura", entonces Helen podrá acceder al archivo.

 

 

2.4.2 Reglas para mover archivos y carpetas

 

 

Copiar

Mover

Mover dentro de la misma carpeta compartida

A1. ACL Deshabilitado

Conservar los permisos existentes

Conservar los permisos existentes

A2. ACL Habilitado

Eliminar permisos ACL heredados de la carpeta de origen


Eliminar permisos explícitos de ACL


Aplicar permisos ACL heredados de la carpeta de destino

Eliminar permisos explícitos de ACL


Conservar permisos de ACL explícitos


Aplicar permisos ACL heredados de la carpeta de destino

Moverse entre diferentes carpetas compartidas

B1.

ACL deshabilitado

ACL Habilitado

Conservar los permisos existentes

Conservar los permisos existentes

B2.

ACL Deshabilitado

ACL Habilitado

Aplicar permisos ACL heredados de la carpeta de destino

Aplicar permisos ACL heredados de la carpeta de destino

B3.

ACL Habilitado

ACL Deshabilitado

Eliminar todos los permisos de ACL


Los permisos se restablecerán como "Acceso completo para todos los usuarios"

Eliminar todos los permisos de ACL


Los permisos se restablecerán como "Acceso completo para todos los usuarios"

B4.

ACL Habilitado

ACL Habilitado

Eliminar permisos ACL heredados de la carpeta de origen

 

Eliminar permisos ACL explícitos 


Aplicar permisos ACL heredados de la carpeta de destino

Eliminar permisos heredados ACL de la carpeta de origen

Eliminar permisos ACL explícitos 

Aplicar permisos ACL heredados de la carpeta de destino

Excepciones: Cuando los datos se eliminan de una carpeta compartida habilitada para ACL y se mueven a la Papelera de Reciclaje de Red, no se aplicarán las reglas de "B3" en el cuadro anterior. Esto es para evitar la situación en la que los archivos con permisos de "Denegar acceso" se eliminen y se muevan a la Papelera de Reciclaje de Red y luego sean totalmente accesibles para todos los usuarios. Teniendo en cuenta la privacidad y la seguridad, a los archivos de las carpetas habilitadas para ACL que se mueven a la Papelera de Reciclaje de Red se les asignará el permiso "Lectura y Escritura para Propietarios, Denegar Acceso para Todos los Demás Usuarios".

2.4.3 Permisos de eliminación de archivos
Hay 2 permisos asociados con la eliminación de archivos:

1. El usuario tiene permiso explícito "Eliminar" para el archivo

2. El usuario tiene el permiso "Eliminar subcarpetas y archivos" para la carpeta principal del archivo.

Si alguno de los permisos anteriores está configurado como "Denegar", el usuario no podrá eliminar el archivo.

Solo si ninguno de los permisos anteriores se ha configurado como "Denegar" y al menos uno de ellos se ha configurado como "Permitir", el usuario podrá eliminar el archivo.


2.4.4 Derecho de Acceso de Objetos

Después de habilitar Windows ACL para una carpeta compartida, cada objeto (subcarpetas y archivos) contenido dentro de la carpeta tendrá un derecho de acceso. Puedes ver el derecho de acceso de un objeto seleccionándolo en ADM File Explorer, haciendo clic con el botón derecho en él y luego seleccionando [Properties]. Habrá un enlace de edición en la sección [Share Folder Access Rights] de la pestaña [General].


 

 

La persona que tenga derecho de acceso podrá configurar los permisos ACL. Por ejemplo, el usuario Oscar en el gráfico anterior es el propietario de la Carpeta de Demostración de ACL. Por lo tanto, Oscar podrá configurar los permisos ACL para la carpeta y la subcarpeta y los archivos que contiene.

Para cada objeto recién agregado, el creador del objeto se establecerá como el derecho de acceso predeterminado. Adicionalmente, los usuarios del grupo de administradores tendrán la posibilidad de modificar los derechos de acceso. Por ejemplo, si quisiéramos transferir la propiedad de la Carpeta de Demostración de ACL en el gráfico anterior a otros usuarios (por ejemplo, Helen), Oscar y todos los usuarios del grupo de administradores tendrían la capacidad de transferir la propiedad. Una vez que Helen se convierta en propietaria de la Carpeta de Demostración de ACL, podrás volver a configurar los permisos para sus subcarpetas y archivos, incluso si originalmente no tenías permisos de acceso para ellos.

 

2.5 Mover objetos a tu NAS manteniendo los permisos de ACL
Cuando todas las PC con Windows y los dispositivos NAS en un entorno de red se han agregado al mismo dominio de Windows AD, todas las cuentas de usuario y los permisos en el dominio se pueden combinar. Sin embargo, al mover archivos o carpetas desde un servidor de PC a un NAS, los permisos de ACL existentes no se conservarán (usando las reglas de la sección 2.4.2). Esto causa que el personal de TI tenga que volver a configurar los permisos.
Si deseas mantener los permisos ACL existentes al mover archivos o carpetas a tu NAS, puedes utilizar Fastcopy, un software de terceros (http://ipmsg.org/tools/fastcopy.html.en). En el siguiente ejemplo, demostraremos cómo usar este Fastcopy.
1. Primero, usa una cuenta de administrador de Windows para asignar una carpeta compartida habilitada para Windows ACL como una unidad de red. Para más información, consulta NAS 106: Uso de NAS con Microsoft Windows. En nuestro ejemplo, hemos asignado una carpeta compartida como la unidad de red "Z:".

 

 

2. Abre Fastcopy.

 

3. . [Origen]: Especifica aquí la carpeta de origen.

[DestDir]: Especifica aquí la carpeta de destino (la unidad de red “Z:” asignada en el paso 1)

Selecciona la casilla [ACL] para asegurarte de que Fastcopy retendrá los permisos ACL originales de tus archivos cuando los muevas.

Haz clic en [Ejecutar] para comenzar a mover la carpeta.

 



4. Una vez que la carpeta se haya movido, todos los datos movidos al destino habrán conservado sus permisos ACL desde el origen (incluidos todos los permisos explícitos y heredados). Estos datos no heredarán ningún permiso del objeto principal en el origen.

 

¿Le ha resultado útil este artículo? / No