Sunteți pe pagina 1din 17

Derechos de carpetas

Sobre una carpeta haz botón derecho y selecciona Propiedades

Derechos de carpetas Sobre una carpeta haz botón derecho y selecciona Propiedades Selecciona la pestaña Seguridad

Selecciona la pestaña Seguridad

Derechos de carpetas Sobre una carpeta haz botón derecho y selecciona Propiedades Selecciona la pestaña Seguridad

En el primer cuadro, Nombres de grupos o usuarios, aparecen los grupos de usuarios (representados por dos cabezas) y los usuarios (una cabeza) para los que se han definido permisos.

En el segundo cuadro, Permisos de …, aparecen los permisos del usuario o grupo de usuarios sobre esa carpeta. Para ver los permisos de cada grupo de usuarios o de cada usuario selecciónalo.

Para hacer este documento he creado el usuario de nombre user. Es un usuario estándar. En las imágenes no aparece el usuario user, pero es miembro del grupo Usuarios. Como el grupo Usuarios tiene permisos de Lectura y otros, sobre la carpeta, el usuario user también tiene esos permisos, por pertenecer al grupo.

Ahora voy a mantener los permisos para el grupo Usuarios, pero no permitir la lectura al usuario user.

Hago clic sobre el botón Editar… y me aparece la ventana

clic sobre el botón E ditar… y me aparece la ventana Con los botones A gregar…

Con los botones Agregar… y Quitar puedo agregar o quitar usuarios o grupos de usuarios. Agrego el usuario user

En la ventana

Puedes escribir el nombre del usuario o pinchar en Opciones a v anzadas… y luego

Puedes escribir el nombre del usuario o pinchar en Opciones avanzadas… y luego en el botón Buscar ahora.

Una vez que ya tenemos al usuario user en la caja Nombres de grupos o usuarios: podemos decidir qué permisos tiene.

de grupos o usuarios: podemos decidir qué permisos tiene. Si marco en Denegar el permisos de

Si marco en Denegar el permisos de Lectura queda de la siguiente manera

Y cuando acepto o aplico aparece la siguiente pantalla De esta manera, el usuario user

Y cuando acepto o aplico aparece la siguiente pantalla

Y cuando acepto o aplico aparece la siguiente pantalla De esta manera, el usuario user no

De esta manera, el usuario user no podrá entrar en la carpeta pero los demás miembros del grupo Usuarios sí.

Si intento entrar como user aparece lo siguiente

Cuando pulso el botón Continuar aparece Y pinchando en ficha Seguridad

Cuando pulso el botón Continuar aparece

Cuando pulso el botón Continuar aparece Y pinchando en ficha Seguridad

Y pinchando en ficha Seguridad

Cuando pulso el botón Continuar aparece Y pinchando en ficha Seguridad

Crea una carpeta en D: y tres usuarios como usuarios estándar. Al primero no le permitas entrar en la carpeta, al segundo no le permitas escribir en la carpeta y al tercero no le cambies los permisos. Comprueba qué puedes hacer con cada uno.

Listado de permisos (sacado de la ayuda)

Entrada de permiso (cuadro de diálogo)

Entre los permisos de carpeta se incluyen Control total, Modificar, Leer y ejecutar, Mostrar el contenido de la carpeta, Leer y Escribir. Para obtener más información acerca de estos permisos, consulte Permisos de archivos y carpetas. Cada uno de estos permisos se compone de un grupo lógico de permisos especiales que se enumeran y definen a continuación. No todos los permisos especiales se aplicarán a todos los objetos.

Permiso

Descripción

Recorrer

el permiso Recorrer carpeta permite o deniega el movimiento por las carpetas para llegar a otros archivos o carpetas, incluso si el usuario no tiene permisos para las carpetas recorridas. Este permiso sólo surte efecto si no se otorga al grupo o usuario el derecho de usuario Omitir comprobación de recorrido en la Consola de administración de directivas de grupo. De forma predeterminada, el grupo Todos tiene el derecho de usuario Omitir comprobación de recorrido. (Sólo afecta a carpetas).

carpeta /

Ejecutar

archivo

el permiso Ejecutar archivo permite o deniega la ejecución de archivos de programa. (Sólo afecta a los archivos).

Al configurar el permiso Recorrer carpeta en una carpeta no se define de manera automática el permiso Ejecutar archivo en todos los archivos de esa carpeta.

 

El permiso Listar carpeta permite o deniega ver nombres de archivos y subcarpetas de la carpeta. Este permiso sólo afecta al contenido de esa carpeta, con independencia de si la carpeta en la que se configura el permiso aparecerá en la lista. (Sólo afecta a carpetas).

Listar carpeta / Leer datos

El permiso Leer datos permite o deniega la vista de datos en archivos. (Sólo afecta a los archivos).

Leer atributos

Permite o deniega la vista de los atributos de un archivo o carpeta, como sólo lectura y oculto. Los atributos se definen mediante NTFS.

Atributos

Permite o deniega la vista de atributos extendidos de un archivo o carpeta. Los atributos extendidos se definen mediante programas y pueden variar según el programa.

extendidos de

lectura

Crear archivos / Escribir datos

El permiso Crear archivos permite o deniega la creación de archivos

 

dentro de la carpeta. (Sólo afecta a carpetas).

El permiso Escribir datos permite o deniega la realización de cambios en el archivo y la sobrescritura del contenido existente. (Sólo afecta a los archivos).

 

El permiso Crear carpetas permite o deniega la creación de carpetas dentro de la carpeta. (Sólo afecta a carpetas).

Crear carpetas o agregar datos

El permiso Agregar datos permite o deniega la realización de cambios al final del archivo pero no el cambio, eliminación ni sobrescritura de los datos existentes. (Sólo afecta a los archivos).

 

Permite o deniega el cambio de los atributos de un archivo o de una carpeta, como sólo lectura y oculto. Los atributos se definen mediante NTFS.

Atributos de

El permiso Atributos de escritura no implica la creación o eliminación de archivos o carpetas, sólo incluye el permiso para realizar cambios en los atributos de un archivo o una carpeta. Para permitir (o denegar) operaciones de creación o eliminación, vea Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar.

escritura

 

Permite o deniega el cambio de los atributos extendidos de un archivo o carpeta. Los atributos extendidos se definen mediante programas y pueden variar según el programa.

Atributos

extendidos de

El permiso Atributos extendidos de escritura no implica la creación o eliminación de archivos o carpetas, sólo incluye el permiso para realizar cambios en los atributos de un archivo o una carpeta. Para permitir (o denegar) operaciones de creación o eliminación, vea Crear archivos / Escribir datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y archivos y Eliminar.

escritura

Eliminar

 

subcarpetas y

Permite o deniega la eliminación de subcarpetas y archivos, incluso si no se ha otorgado el permiso Eliminar en la subcarpeta o archivo.

archivos

Eliminar

Permite o deniega la eliminación del archivo o de la carpeta. Si no ha obtenido el permiso Eliminar en un archivo o carpeta, podrá eliminarlo si se le ha otorgado el permiso Eliminar subcarpetas y archivos en la carpeta principal.

Permisos de

Permite o deniega la lectura de los permisos del archivo o carpeta, como Control total, Leer y Escribir.

lectura

Cambiar

Permite o deniega el cambio de los permisos del archivo o carpeta, como Control total, Leer y Escribir.

permisos

Tomar

Permite o deniega la toma de posesión del archivo o de la carpeta. El propietario de un archivo o de una carpeta siempre puede cambiar los permisos, independientemente de los permisos existentes.

posesión

Sincronizar

Permite o deniega a diferentes subprocesos que esperen al identificador de archivo o carpeta y que se sincronicen con otro

subproceso que pueda enviarle señales. Este permiso sólo se aplica a programas multiproceso y de

subproceso que pueda enviarle señales. Este permiso sólo se aplica a programas multiproceso y de varios subprocesos.

Si un usuario no está en la caja de usuarios con permisos, ni en un grupo con permisos, no podrá acceder a la carpeta.

He quitado a user del grupo Usuarios y le he quitado de la caja Nombres de grupos o usuarios:

y le he quitado de la caja N ombres de grupos o usuarios: Haz lo mismo,

Haz lo mismo, ¿puedes acceder? Quizá sí puedas acceder, y es por los permisos heredados del directorio padre de la carpeta. Quita los permisos heredados de la carpeta.

En la ventana

Pulsa en O pciones avanzadas En la ventana que aparece en la primera pestaña

Pulsa en Opciones avanzadas

En la ventana que aparece en la primera pestaña

Pulsa el botón Cam b iar permisos… y pincha en Incluir todos los permisos primarios

Pulsa el botón Cambiar permisos… y pincha en Incluir todos los permisos primarios heredables de este objeto

todos los permisos primarios heredables de este objeto Pincha en Agregar y Acepta en todas las

Pincha en Agregar y Acepta en todas las ventanas de los permisos. Ahora puedes quitar los grupos Usuarios autentificados y Usuarios.

Como puedes ver el grupo Usuarios autentificados pertenece al grupo Usuarios (sacado de la ayuda de Windows)

Usuarios

Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el equipo. Los miembros de este grupo no

Tener acceso a este equipo desde la red

pueden compartir directorios ni crear impresoras locales. Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.

Permitir el inicio de sesión local

Omitir comprobación de recorrido

Cambiar la zona horaria

Aumentar el espacio de trabajo de un proceso

Quitar equipo de la estación de acoplamiento

Apagar el

sistema

Más concretamente en http://es.wikipedia.org/wiki/Grupo_de_usuarios puedes leer lo siguiente sobre el grupo Usuarios autentificados.

Usuarios autentificados: Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema, solo pueden ver algunos archivos y carpetas del sistema y leer, modificar y eliminar los archivos pertenecientes a su cuenta.

Grupos locales predeterminados

En la carpeta Grupos, que se encuentra en el complemento Usuarios y grupos locales de

MMC (Microsoft Management Console), se muestran los grupos locales

predeterminados y los creados por los usuarios. Los grupos locales predeterminados se crean automáticamente al instalar el sistema operativo. La pertenencia a un grupo local supone para el usuario tener los permisos y la capacidad de realizar diversas tareas en el

equipo local.

Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de

equipo y cuentas de grupo a los grupos locales. Para obtener más información acerca de cómo agregar miembros a los grupos locales, vea Agregar un miembro a un grupo local.

Nota

Si desea obtener más información acerca del grupo del que debe ser miembro para completar un procedimiento determinado, varios temas de Usuarios y grupos locales: Cómo… proporcionan una nota que identifica esta información.

La tabla siguiente ofrece descripciones de los grupos predeterminados que se encuentran en la carpeta Grupos. Dicha tabla también muestra los derechos de usuario predeterminados para cada grupo. Estos derechos de usuario se asignan en la directiva de seguridad local.

Grupo

Descripción

Derechos de usuario predeterminados

   

Tener acceso a este equipo desde la red

Ajustar las cuotas de la memoria para un proceso

Permitir el inicio de sesión local

Permitir el inicio de sesión mediante los Servicios de Escritorio remoto

Los miembros de este grupo tienen control total del equipo y pueden asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. La cuenta Administrador es un miembro predeterminado de este grupo. Cuando un equipo se une a un dominio, el grupo Admins. de dominio se agrega automáticamente a este grupo. Puesto que este grupo tiene control total del equipo, tenga precaución al agregarle usuarios.

Hacer copias de seguridad de archivos y directorios

Administradores

Omitir comprobación de recorrido

Cambiar la hora del sistema

Cambiar la zona horaria

 

Crear un archivo de paginación

Crear objetos

globales

Crear vínculos

simbólicos

Depurar programas

Forzar cierre desde un sistema remoto

   

Suplantar a un cliente tras la autenticación

Aumentar

prioridad de

programación

Cargar y descargar controladores de dispositivo

Iniciar sesión como proceso por lotes

Administrar

registro de

seguridad y

auditoría

Modificar valores de entorno firmware

Realizar tareas de mantenimiento del volumen

Analizar un solo proceso

Analizar el

rendimiento del

sistema

Quitar equipo de la estación de acoplamiento

Restaurar archivos y directorios

Apagar el sistema

Tomar posesión de archivos y otros objetos

Operadores de copia de seguridad

Los miembros de este grupo pueden hacer copias de seguridad y restaurar archivos de un equipo,

Tener acceso a este equipo desde la red

 

independientemente de los permisos que protejan dichos archivos. Es así porque el derecho a realizar una copia de seguridad tiene preferencia sobre todos los permisos de archivo. Los miembros de este grupo no pueden cambiar la configuración de seguridad.

Permitir el inicio de sesión local

Hacer copias de seguridad de archivos y directorios

 

Omitir comprobación de recorrido

Iniciar sesión como proceso por lotes

Restaurar archivos y directorios

Apagar el sistema

Operadores

Los miembros de este grupo están autorizados a realizar operaciones criptográficas.

No hay derechos de usuario predeterminados.

criptográficos

Usuarios de COM distribuido

Los miembros de este grupo pueden iniciar, activar y usar objetos DCOM en un equipo.

No hay derechos de usuario predeterminados.

Invitados

Los miembros de este grupo disponen de un perfil temporal que se crea al iniciar la sesión y que se elimina cuando el miembro la cierra. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es miembro del grupo de forma predeterminada.

No hay derechos de usuario predeterminados.

IIS_IUSRS

Es un grupo integrado que usa Internet Information Services (IIS).

No hay derechos de usuario predeterminados.

Operadores de configuración de red

Los miembros de este grupo pueden modificar la configuración TCP/IP, y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado.

No hay derechos de usuario predeterminados.

Usuarios del

Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de un equipo, tanto de forma local como desde clientes remotos, sin ser

No hay derechos de usuario predeterminados.

registro de

rendimiento

 

miembros del grupo Administradores.

 

Usuarios del

Los miembros de este grupo pueden supervisar los contadores de rendimiento de un equipo, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.

No hay derechos de usuario predeterminados.

monitor de

sistema

 

De forma predeterminada, los miembros de este grupo no tienen más derechos o permisos de usuario que una cuenta de usuario estándar. El grupo Usuarios avanzados de versiones anteriores de Windows se diseñó para otorgar derechos y permisos de administrador específicos para realizar tareas del sistema habituales. En esta versión de Windows, las cuentas de usuario estándar tienen, de forma inherente, la capacidad de realizar las tareas de configuración más habituales, como el cambio de las zonas horarias. En el caso de las aplicaciones heredadas que requieren los mismos derechos y permisos del grupo Usuarios avanzados que se encontraban en versiones anteriores de Windows, los administradores pueden aplicar una plantilla de seguridad que los otorgue.

No hay derechos

Usuarios

avanzados

de usuario predeterminados.

Usuarios de escritorio remoto

Los miembros de este grupo pueden iniciar una sesión en el equipo de forma remota.

Permitir el inicio de sesión mediante los Servicios de Escritorio remoto

Replicador

Este grupo admite funciones de réplica. El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se use para iniciar sesión en los servicios de Replicador de un controlador de dominio. No agregue a este grupo cuentas de usuario de usuarios reales.

No hay derechos de usuario predeterminados.

 

Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el equipo. Los miembros de este grupo no pueden compartir directorios ni crear impresoras locales.

Tener acceso a este equipo desde la red

Usuarios

Permitir el inicio de sesión local

Omitir

 

Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.

comprobación de recorrido

Cambiar la zona horaria

Aumentar el espacio de trabajo de un proceso

 

Quitar equipo de la estación de acoplamiento

Apagar el sistema

Ofrecer aplicaciones auxiliares de asistencia remota

Los miembros de este grupo pueden ofrecer Asistencia remota a los usuarios de este equipo.

No hay derechos de usuario predeterminados

Más sobre herencia de permisos (ayuda de Windows)

Permisos heredados

Los permisos heredados son los que se propagan a un objeto desde un objeto primario. Los permisos heredados facilitan la tarea de administrar permisos y aseguran su coherencia entre todos los objetos de un contenedor determinado.

Herencia de todos los objetos

Si las casillas de permisos Permitir y Denegar de las distintas partes de la interfaz de usuario de control de acceso están sombreadas cuando ve los permisos de un objeto, el objeto tendrá permisos heredados de un objeto primario. Puede configurar estos permisos heredados mediante la ficha Permisos de la página de propiedades Configuración de seguridad avanzada.

Hay tres modos recomendados de realizar cambios en los permisos heredados:

Realice los cambios en el objeto primario donde los permisos se definen de forma explícita, y el objeto secundario heredará estos permisos. Para obtener más información, vea Definir, ver, cambiar o quitar permisos de un objeto.

Seleccione el permiso Permitir para invalidar el permiso Denegar heredado.

Desactive la casilla Incluir todos los permisos heredables del objeto primario de este objeto. A continuación, puede realizar cambios en los permisos o quitar usuarios o grupos de la lista Permisos. Sin embargo, el objeto ya no heredará los permisos del objeto principal.

Nota

Los permisos Denegar heredados no impiden el acceso a un objeto si éste cuenta con una entrada de permiso explícito Permitir.

Nota

Los permisos explícitos tienen prioridad sobre los permisos heredados, incluidos los permisos Denegar heredados.

Si la entrada Permisos especiales de Permisos de <usuario o grupo> aparece sombreada, no implica que este permiso se haya heredado. Significa que se ha seleccionado un permiso especial.

En la ficha Permisos de la página Configuración de seguridad avanzada para <carpeta>, en Entradas de permisos, en la columna Aplicar a se muestran las carpetas o subcarpetas a las que se aplica un permiso. En la columna Heredado de se muestra de dónde se han heredado los permisos.

Puede utilizar el campo Aplicar en de la página Entrada de permiso para <Carpeta> para seleccionar las carpetas o subcarpetas a las que desea que se apliquen estos permisos.

Para obtener más información acerca de cómo completar estas tareas, vea Definir, ver, cambiar o quitar permisos de un objeto y Determinar dónde aplicar permisos.