Utilizamos cookies para ayudarnos a mejorar nuestra página web. Lea nuestra Política de cookies .

Topic
General ( 17 )
Reseña ( 3 )
Red ( 15 )
Multimedia ( 12 )
Varios ( 13 )
Copia de seguridad y protección de datos ( 17 )
Aplicación doméstica y en microimpresas ( 12 )
Aplicación empresarial ( 6 )
Todos los documentos
Todos los vídeos
Skill Level
Nivel: 1 (33)
Nivel: 2 (45)
Nivel: 3 (15)
Nivel: 4 (1)

NAS 471

Introducción a Windows ACL

Aprende a usar Windows ACL para administrar los permisos de acceso a datos en tu NAS ASUSTOR.

2024-06-06

OBJETIVOS DEL CURSO

Después de completar este curso, podrá:

  1. Comprender los principios básicos del uso de Windows ACL con tu ASUSTOR NAS.
  2. Usar Windows ACL para administrar los permisos de acceso a datos en tu NAS ASUSTOR.

REQUISITOS PREVIOS

Requisitos previos del curso:

NAS 106: Uso del NAS con Microsoft Windows

Se espera que los estudiantes tengan un conocimiento práctico de:

Carpetas compartidas, Control de acceso


ESQUEMA

1. Introducción a Windows ACL

1.1 ¿Necesito habilitar Windows ACL?

2. Configurar Windows ACL

2.1 Habilitar Windows ACL

2.2 Configurar permisos de Windows ACL con ADM File Explorer

2.3 Configurar permisos de Windows ACL con el Explorador de Windows

2.4 Precauciones y reglas de permisos de Windows ACL

2.5 Mover objetos a tu NAS y manteniendo los permisos de ACL




1. Introducción a Windows ACL

Windows ACL son los 13 tipos diferentes de permisos de archivos diseñados por Microsoft para sistemas de archivos NTFS que se pueden aplicar a usuarios y grupos específicos. Dentro de este tipo de infraestructura, los administradores pueden realizar configuraciones de permisos de acceso más detallados y precisos.

Adicionalmente, en la infraestructura de dominio de Windows AD (ampliamente utilizado por empresas), los permisos de Windows ACL se pueden aplicar a todos los usuarios y grupos del dominio. Los usuarios pueden usar cualquier computadora en la red para iniciar sesión y, siempre que usen el mismo nombre de cuenta, todos los permisos seguirán siendo los mismos. El personal de TI no necesitará configurar permisos para cada servidor individual y estación de trabajo de PC, lo que aumenta significativamente la eficiencia de la administración.

Con el fin de integrar estrechamente el NAS ASUSTOR con los dominios AD, simplificando la administración de TI y aumentando la productividad, ASUSTOR ha integrado profundamente el sistema de permisos Windows ACL con ADM, proporcionando las siguientes características únicas:

  1. La capacidad de habilitar Windows ACL para carpetas compartidas individuales.
  2. Soporte integral para los 13 tipos de permisos de Windows ACL.
  3. Capacidad para ver los permisos efectivos de Windows ACL en detalle desde ADM.
  4. Soporte para usuarios y grupos de la red.
  5. Capacidad de aplicar permisos ACL a los protocolos de transferencia de archivos Samba, File Explorer, AFP, FTP, WebDAV, Rsync.


1.1 ¿Necesito habilitar Windows ACL?

Como se describe en la sección anterior, Windows ACL proporciona hasta 13 configuraciones de permisos diferentes que se pueden aplicar a todos los usuarios y grupos en el NAS y en el dominio (si el NAS se ha agregado a un dominio de Windows AD). En caso de una mala planificación o configuración de permisos, existe la posibilidad de que todos los usuarios no puedan acceder a una determinada carpeta o archivo. Este tipo de error se puede resolver usando una cuenta de administrador, pero la cantidad de tiempo perdido desde que ocurre el problema por primera vez hasta que se resuelve puede verse como un costo intangible significativo para las empresas.

El NAS ASUSTOR se desarrolló sobre la base del sistema operativo Linux, por lo que la configuración nativa de ADM utiliza el mecanismo de administración de permisos de Linux:

  • Permisos aplicables: RW (Lectura y Escritura), RO (Solo Lectura), DA (Denegar Acceso)
  • Los permisos pueden aplicar a: "Propietario", el grupo del que forma parte el propietario y "Otro".

El menor número de opciones permite una configuración más sencilla. Sin embargo, la flexibilidad y capacidad de ajuste de los permisos es limitada. Por ejemplo, cuando se utiliza el mecanismo de permisos de Linux, no es posible otorgar a un usuario la capacidad de editar un archivo sin además otorgarle permiso para eliminarlo.

Si solo estás utilizando tu NAS entre tú y un número limitado de familiares y amigos, se recomienda que utilices el mecanismo original de administración de permisos de ADM. Sin embargo, si tu NAS se utiliza para el almacenamiento de datos comerciales, se sugiere que primero consultes con tu personal de TI para decidir si es apropiado habilitar los permisos de Windows ACL y luego completar un plan de implementación de permisos si decides usarlo.

Te proporcionamos la flexibilidad de habilitar o deshabilitar Windows ACL para carpetas compartidas individuales, que es muy útil para la evaluación y la planificación. Puedes crear una carpeta compartida para realizar pruebas, habilitar Windows ACL y luego configurar los permisos. Luego podrás verificar si los resultados son los que esperabas que fueran. Una vez que obtengas los resultados que necesitas, puedes aplicar la configuración a la carpeta compartida de tu elección. Esto te permite evitar errores en la planificación que podrían negar el acceso a datos importantes, afectando la operación de tu empresa.




2. Configurar Windows ACL


2.1 Habilitar Windows ACL


Creación de una nueva carpeta compartida:

  • Inicie sesión en su ADM con una cuenta de administrador utilizando su navegador web.
  • Seleccione Carpetas compartidas dentro de Control de acceso.
  • Haga clic en Añadir.


  • Introduzca un nombre para la nueva carpeta y haga clic en [Siguiente].


  • Después de configurar los derechos de acceso para la carpeta compartida, selecciona la casilla [Activar ACL de Windows] y luego haz clic en [Siguiente].

    Nota: Los derechos de acceso a carpetas compartidas son la primera capa de verificación de permisos. Si a un usuario o grupo no se le han asignado permisos de "Lectura y Escritura" aquí, se bloquearán todos los permisos de Windows ACL que se le hayan asignado. Por lo tanto, se recomienda que configures derechos de acceso más permisivos para las carpetas compartidas que tienen habilitada Windows ACL y luego usa Windows ACL para configurar permisos más específicos más adelante.


  • Seleccione [Omitir] y haga clic en [Siguiente].


  • Confirme su configuración y luego haga clic en [Finalizar].


Habilitar Windows ACL para carpetas compartidas ya existentes:

  • Seleccione Carpetas compartidas dentro de Control de acceso.
  • Seleccione la carpeta compartida para la que desea habilitar Windows ACL y, a continuación, haga clic en [Editar].


  • Seleccione [Windows ACL].
  • Seleccione [Activar ACL de Windows] y luego haga clic en [Cerrar].

Acerca de Windows ACL

  1. Después de activar Windows ACL para una carpeta compartida, a dicha carpeta compartida y todas las subcarpetas y archivos incluidos en ella se les puede asignar permisos de grupo o usuario.
  2. Las siguientes carpetas compartidas no son compatibles con los permisos de Windows ACL: Inicio, Inicio del usuario, Galería, Web, Vigilancia, Mis archivos, Papelera de reciclaje de la red, dispositivos virtuales, dispositivos externos (discos duros USB, unidades ópticas).
  3. Después de activar Windows ACL, podrá utilizar el Explorador de archivos de ADM o el Explorador de Microsoft Windows para configurar los permisos. Después de desactivar Windows ACL, solo podrá configurar permisos desde el Explorador de archivos de ADM.
  4. Si activa Windows ACL y más tarde decide desactivarlo, a todos los archivos y carpetas se les reasignará permisos de Lectura y Escritura para todos los usuarios.
  5. No importa si está utilizando Windows ACL o no, los usuarios seguirán necesitando permisos para archivos y carpetas compartidas para poder acceder a los archivos.


2.2 Configurar permisos de Windows ACL con ADM File Explorer


  • En el escritorio del ADM, seleccione [File Explorer].
  • Selecciona una carpeta compartida (o subcarpeta o archivo) para la que hayas habilitado Windows ACL. Haz clic derecho en la carpeta compartida y luego selecciona [Propiedades].


  • Selecciona la pestaña [Permiso]. Aquí podrás ver los permisos actualmente configurados para la carpeta. También puedes administrar los permisos para la carpeta aquí.


Después de habilitar Windows ACL para una carpeta compartida, el sistema asignará de manera predeterminada los permisos de "Lectura y Escritura, pero no Eliminar" a "Todos", "Administradores" y la cuenta "admin". Estos permisos aplicarán solo a la carpeta compartida y no los heredarán los objetos que se encuentran debajo. Estos permisos predeterminados se pueden modificar utilizando los botones [Editar] o [Eliminar].

Nota: Una carpeta o archivo independiente puede utilizar hasta un máximo de 250 permisos de Windows ACL (incluyendo permisos heredados).


  • Incluir permisos heredables del objeto principal:
    Esta opción está habilitada de manera predeterminada. El sistema configurará automáticamente las subcarpetas y los archivos para heredar los permisos del objeto que se encuentran por arriba. Deshabilitar esta opción rechazará todos los permisos heredables y solo mantendrá los permisos recién agregados.
  • Reemplazar todos los permisos de objetos secundarios con permisos heredables de este objeto:
    Habilitar esta opción reemplazará todos los permisos de subcarpetas y archivos con los del objeto principal.

Las funciones de gestión que podrás utilizar aquí son las siguientes:

Agregar:

  • Haz clic en el botón [Agregar] para crear un nuevo permiso para el objeto.


  • Usuario o grupo:
    Especifica el usuario o grupo al que deseas aplicar el permiso.


  • Tipo:
    Selecciona [Permitir] o [Denegar] para otorgar o denegar el permiso al usuario o grupo.
  • Aplicar a:
    Esta opción solo aparecerá al agregar permisos a una carpeta. En el menú desplegable, puedes seleccionar dónde se aplicará el permiso. La forma en que se aplicará el permiso estará determinada si seleccionas o no la casilla [Aplique estos permisos a objetos y/o contenedores dentro del contenedor solamente].
  • Aplique estos permisos a objetos y/o contenedores dentro del contenedor solamente:
    • Cuando la opción está desmarcada:
      Aplicar a Aplicar permiso a la carpeta actual Aplicar permiso a subcarpetas dentro de la carpeta actual Aplicar permiso a los archivos dentro de la carpeta actual Aplicar permiso a todas las subcarpetas posteriores Aplicar permiso a los archivos dentro de todas las subcarpetas subsiguientes
      Solo esta carpeta
      Esta carpeta, subcarpetas y archivos
      Esta carpeta y subcarpetas
      Esta carpeta y archivos
      Solo subcarpetas y archivos
      Solo subcarpetas
      Solo archivos
    • Cuando la opción está marcada:
      Aplicar a Aplicar permiso a la carpeta actual Aplicar permiso a subcarpetas dentro de la carpeta actual Aplicar permiso a los archivos dentro de la carpeta actual Aplicar permiso a todas las subcarpetas posteriores Aplicar permiso a los archivos dentro de todas las subcarpetas subsiguientes
      Solo esta carpeta
      Esta carpeta, subcarpetas y archivos
      Esta carpeta y subcarpetas
      Esta carpeta y archivos
      Solo subcarpetas y archivos
      Solo subcarpetas
      Solo archivos

Los 13 tipos de permisos de Windows ACL se describen a continuación:

  • Recorrer carpeta/ejecutar archivo: Recorrer Carpeta permite o deniega moverse a través de carpetas para llegar a otros archivos o carpetas, incluso si el usuario no tiene permisos para las carpetas recorridas (aplica solo a carpetas). Ejecutar Archivo permite o deniega la ejecución de archivos de programa (aplica solo a archivos).
  • Mostrar carpeta/leer datos: Mostrar Carpeta permite o deniega la visualización de nombres de archivos y nombres de subcarpetas dentro de la carpeta (aplica solo a las carpetas). Leer Datos permite o deniega la visualización de datos en archivos (aplica solo a archivos).
  • Atributos de lectura: Permite o deniega la visualización de los atributos de un archivo o carpeta, como solo lectura, oculto, comprimido y cifrado.
  • Leer atributos extendidos: Permite o deniega la visualización de los atributos extendidos de un archivo o carpeta. Los atributos extendidos están definidos por programas y pueden variar según el programa.
  • Crear archivos/escribir datos: Crear Archivos permite o deniega la creación de archivos dentro de la carpeta (aplica solo a las carpetas). Escribir Datos permite o deniega la realización de cambios en el archivo y la sobrescritura del contenido existente (solo aplica a los archivos).
  • Crear carpetas/añadir datos: Crear Carpetas permite o deniega la creación de carpetas dentro de la carpeta (aplica solo a las carpetas). Agregar datos permite o deniega la realización de cambios al final del archivo, pero no modifica, elimina ni sobrescribe los datos existentes (solo aplica a los archivos).
  • Escribir atributos: Permite o deniega cambiar los atributos de un archivo o carpeta.
  • Escribir atributos extendidos: Permite o deniega cambiar los atributos extendidos de un archivo o carpeta. Los atributos extendidos están definidos por programa y pueden variar según el programa.
  • Eliminar subcarpetas y archivos: Permite o deniega la eliminación de subcarpetas y archivos, incluso si no se ha otorgado el permiso Eliminar en la subcarpeta o el archivo (aplica a las carpetas).
  • Eliminar: Permite o deniega la eliminación del archivo o carpeta.
  • Permisos de lectura: Permite o deniega los permisos de lectura del archivo o carpeta.
  • Cambiar permisos: Permite o deniega el cambio de permisos del archivo o carpeta.
  • Tomar posesión: Permite o deniega tomar posesión del archivo o la carpeta. El propietario de un archivo o carpeta siempre puede cambiar los permisos, independientemente de los permisos existentes que protegen el archivo o la carpeta.

Editar:

  • Seleccionar un permiso y luego hacer clic en el botón [Editar] te permitirá modificar el permiso.



Eliminar:

  • Seleccionar un permiso y luego hacer clic en [Eliminar] eliminará el permiso del objeto actual.

Permisos efectivos:

  • Al hacer clic en el botón [Permisos efectivos] y luego seleccionar un usuario de la lista, podrás ver los permisos efectivos del usuario con respecto a la carpeta o archivo especificado. Los permisos efectivos se determinan a partir de la combinación de permisos de Windows ACL y derechos de acceso a carpetas compartidas.



2.3 Configurar permisos de Windows ACL con el Explorador de Windows

Primero, usa una cuenta de administrador de Windows para asignar una carpeta compartida habilitada para Windows ACL como una unidad de red. Para obtener más información, consulta NAS 106: Uso del NAS con Microsoft Windows.


  • Haz clic derecho en cualquier archivo o subcarpeta dentro de la carpeta compartida y luego selecciona [Propiedades].


  • Selecciona la pestaña [Seguridad]. Aquí podrás ver una lista de usuarios y grupos y sus permisos ACL para el archivo o subcarpeta.


Si un objeto tiene simultáneamente permisos heredados de su objeto principal y también permisos explícitos, los permisos heredados se marcarán en gris mientras que los permisos explícitos se marcarán en negro.


  • Haz clic en [Editar] [Agregar].


  • En el campo [Desde esta ubicación:] deberías ver la siguiente información:
    • Si el NAS se ha agregado a un dominio AD de Windows, verás el nombre de dominio AD.
    • Si el NAS no se ha agregado a un dominio de Windows AD, verás la dirección IP del NAS.


  • En el campo [Ingrese los nombres de los objetos para seleccionar], ingresa la siguiente información:
    • Si el NAS se ha agregado a un dominio de Windows AD, ingresa el nombre de usuario o grupo del dominio y luego haz clic en [Comprobar Nombres] para verificar el nombre de usuario/grupo. Luego, haz clic en [Aceptar].
    • Si el NAS no se ha agregado a un dominio de Windows AD, ingresa el nombre de grupo o usuario local de ADM y luego haz clic en [Comprobar Nombre] para verificar el nombre de usuario/grupo. Luego, haz clic en [Aceptar].


  • Ahora, deberías poder ver el usuario o grupo recién agregado en la lista [Nombres de grupos o usuarios:]. Selecciona el usuario o grupo y luego usa las casillas de [Permitir] y [Denegar] para configurar sus permisos de acceso para el objeto. Cuando hayas terminado, haz clic en [Aplicar].



2.4 Precauciones y reglas de permisos de Windows ACL


Permisos ACL en conflicto:

  • Si encuentras permisos de Windows ACL en conflicto, se dará prioridad a los permisos explícitos del objeto. Por ejemplo, si el usuario "testuser" hereda los permisos [Permitir Lectura y Ejecución] para un archivo pero los permisos explícitos para el archivo son [Denegar Lectura y Ejecución], entonces "testuser" no podrá acceder al archivo.
  • Por el contrario, si "testuser" hereda los permisos [Denegar Lectura] pero el permiso explícito otorgado al archivo es [Permitir Lectura], entonces "testuser" podrá acceder al archivo.



Reglas para mover archivos y carpetas:

Copiar Mover
Mover dentro de la misma carpeta compartida A1. ACL Desactivado Conservar los permisos existentes Conservar los permisos existentes
A2. ACL Activado
  • Eliminar permisos ACL heredados de la carpeta de origen
  • Eliminar permisos de ACL explícitos
  • Aplicar permisos ACL heredados de la carpeta de destino
  • Eliminar permisos ACL heredados de la carpeta de origen
  • Conservar permisos de ACL explícitos
  • Aplicar permisos ACL heredados de la carpeta de destino
Moverse entre diferentes carpetas compartidas B1. ACL Desactivado ACL Desactivado Conservar los permisos existentes Conservar los permisos existentes
B2. ACL Desactivado ACL Activado Aplicar permisos ACL heredados de la carpeta de destino Aplicar permisos ACL heredados de la carpeta de destino
B3. ACL Activado ACL Desactivado
  • Eliminar todos los permisos de ACL
  • Los permisos se restablecerán como "Acceso completo para todos los usuarios"
  • Eliminar todos los permisos de ACL
  • Los permisos se restablecerán como "Acceso completo para todos los usuarios"
B4. ACL Activado ACL Activado
  • Eliminar permisos ACL heredados de la carpeta de origen
  • Eliminar permisos de ACL explícitos
  • Aplicar permisos ACL heredados de la carpeta de destino
  • Eliminar permisos ACL heredados de la carpeta de origen
  • Eliminar permisos de ACL explícitos
  • Aplicar permisos ACL heredados de la carpeta de destino

Excepciones: Cuando los datos se eliminan de una carpeta compartida habilitada para ACL y se mueven a la Papelera de Reciclaje de Red, no se aplicarán las reglas de "B3" en el cuadro anterior. Esto es para evitar la situación en la que los archivos con permisos de [Denegar acceso] se eliminen y se muevan a la Papelera de Reciclaje de Red y luego sean totalmente accesibles para todos los usuarios. Teniendo en cuenta la privacidad y la seguridad, a los archivos de las carpetas habilitadas para ACL que se mueven a la Papelera de Reciclaje de Red se les asignará el permiso [Lectura y Escritura para Propietarios, Denegar Acceso para Todos los Demás Usuarios].


Permisos de eliminación de archivos:

Hay 2 permisos asociados con la eliminación de archivos:

  1. El usuario tiene permiso explícito "Eliminar" para el archivo.
  2. El usuario tiene el permiso "Eliminar subcarpetas y archivos" para la carpeta principal del archivo.

Si alguno de los permisos anteriores está configurado como "Denegar", el usuario no podrá eliminar el archivo. Solo si ninguno de los permisos anteriores se ha configurado como "Denegar" y al menos uno de ellos se ha configurado como "Permitir", el usuario podrá eliminar el archivo.


Derecho de Acceso de Objetos:

Después de habilitar Windows ACL para una carpeta compartida, cada objeto (subcarpetas y archivos) contenido dentro de la carpeta tendrá un derecho de acceso.

  • Puedes ver el derecho de acceso de un objeto seleccionándolo en ADM File Explorer, haciendo clic con el botón derecho en él y luego seleccionando [Propiedades]. Habrá un enlace de edición en la sección [Derechos de acceso a carpetas compartidas] de la pestaña [General].



La persona que tenga derecho de acceso podrá configurar los permisos ACL. Por ejemplo, el usuario admin en el gráfico anterior es el propietario de la Carpeta de "ACL_Test". Por lo tanto, admin podrá configurar los permisos ACL para la carpeta y la subcarpeta y los archivos que contiene.
Para cada objeto recién agregado, el creador del objeto se establecerá como el derecho de acceso predeterminado. Adicionalmente, los usuarios del grupo de administradores tendrán la posibilidad de modificar los derechos de acceso. Por ejemplo, si quisiéramos transferir la propiedad de la Carpeta de "ACL_Test" en el gráfico anterior a otros usuarios (por ejemplo, testuser), admin y todos los usuarios del grupo de administradores tendrían la capacidad de transferir la propiedad. Una vez que testuser se convierta en propietaria de la Carpeta de "ACL_Test", podrás volver a configurar los permisos para sus subcarpetas y archivos, incluso si originalmente no tenías permisos de acceso para ellos.




2.5 Mover objetos a tu NAS manteniendo los permisos de ACL

Cuando todas las PC con Windows y los dispositivos NAS en un entorno de red se han agregado al mismo dominio de Windows AD, todas las cuentas de usuario y los permisos en el dominio se pueden combinar. Sin embargo, al mover archivos o carpetas desde un servidor de PC a un NAS, los permisos de ACL existentes no se conservarán (utilizando las reglas de la sección anterior). Esto causa que el personal de TI tenga que volver a configurar los permisos.

Si deseas mantener los permisos ACL existentes al mover archivos o carpetas a tu NAS, puedes utilizar Fastcopy, un software de terceros. En el siguiente ejemplo, demostraremos cómo usar este Fastcopy.


  • Primero, usa una cuenta de administrador de Windows para asignar una carpeta compartida habilitada para Windows ACL como una unidad de red. Para obtener más información, consulta NAS 106: Uso del NAS con Microsoft Windows.


  • Abre Fastcopy.
  • [Origen]: Especifica aquí la carpeta de origen.
  • [DestDir]: Especifique aquí la carpeta de destino (la unidad de red asignada en el paso anterior).
  • Selecciona la casilla [ACL] para asegurarte de que Fastcopy retendrá los permisos ACL originales de tus archivos cuando los muevas.
  • Haz clic en [Ejecutar] para comenzar a mover la carpeta.


  • Una vez que la carpeta se haya movido, todos los datos movidos al destino habrán conservado sus permisos ACL desde el origen (incluidos todos los permisos explícitos y heredados). Estos datos no heredarán ningún permiso del objeto principal en el origen.

¿Le ha resultado útil este artículo? / No






Examinar