Permisos NTFS y Cuentas de Usuario en Windows: Todo lo que Necesitas Saber

Permisos NTFS y su Funcionamiento

Permisos Efectivos

Los permisos efectivos para un usuario con respecto a un recurso determinado son la suma de los permisos NTFS que tenga asignados la propia cuenta de usuario y los de los grupos a los que pertenezca el usuario. Si no tiene el permiso necesario para acceder a la carpeta que contiene el archivo que desea abrir, deberá tener el permiso de seguridad Omitir Comprobación Cruzada y conocer la ruta de acceso completa para poder acceder a dicho archivo.

Sobreescritura de los Permisos de Carpeta con los Permisos de Archivo

Los permisos de archivo tienen prioridad sobre los de carpeta. Cualquier usuario que tenga acceso a un archivo podrá acceder a dicho archivo si cuenta con el permiso de seguridad Omitir Comprobación Cruzada.

Anulación de Otros Permisos con Denegar

Podemos denegar un determinado permiso a un usuario o grupo, aunque esta no es la forma recomendada de controlar el acceso a los recursos; es mejor no asignar un permiso que denegarlo.

Características de los Permisos de Carpeta Compartida

  • Los permisos de carpeta compartida proporcionan una seguridad menos detallada que los permisos NTFS (que sí se pueden aplicar a archivos).
  • No restringen el acceso a usuarios que accedan a la carpeta de forma local (desde el mismo equipo donde está almacenada la carpeta); sólo se aplican si se accede a la carpeta compartida a través de la red.
  • Son la única forma de asegurar los recursos de red en un volumen FAT, ya que en este tipo de volúmenes no están disponibles los permisos NTFS.

Permisos de Carpeta Compartida

Permisos Múltiples

Cualquier usuario puede ser miembro de varios grupos, cada uno de los cuales podrá contar con diferentes permisos que proporcionan diferentes niveles de acceso a una carpeta compartida. Los permisos efectivos del usuario son la combinación de los permisos del usuario y del grupo o grupos a los que éste pertenece.

Permisos Denegados

Los permisos denegados tienen prioridad sobre cualquier permiso. Si denegamos un permiso de carpeta compartida a un usuario, el usuario no tendrá dicho permiso, incluso aunque pertenezca a un grupo que tenga asignado ese permiso.

Permisos NTFS

Los permisos de carpeta compartida son suficientes para acceder a archivos y carpetas en un volumen FAT, pero no en un volumen NTFS:

  • En un volumen FAT, los usuarios pueden acceder a una carpeta compartida para la cual tengan permiso, así como a todo el contenido de dicha carpeta.
  • En un volumen NTFS, cuando un usuario acceda a una carpeta compartida necesitará el permiso de carpeta compartida, y además los permisos NTFS apropiados para cada uno de los archivos y carpetas a los que quiera acceder.

Tipos de Cuentas de Usuario en Windows

Cuentas Locales de Usuario

El usuario sólo podrá iniciar sesión y utilizar los recursos del equipo donde se haya creado la cuenta local de usuario. Estas cuentas se almacenan sólo en la base de datos de seguridad del equipo, que recibe el nombre de base de datos de seguridad local. Después de crear una determinada cuenta local de usuario, el equipo utilizará su base de datos de seguridad local para autenticar la cuenta local de usuario, lo que permitirá que el usuario inicie la sesión en dicho equipo. Microsoft recomienda utilizar las cuentas locales de usuario sólo en aquellos equipos que pertenezcan a un grupo de trabajo.

Cuentas de Usuario de Dominio

El usuario podrá iniciar la sesión en el dominio y acceder a los recursos disponibles en cualquier lugar de la red. El usuario introducirá su nombre de usuario y contraseña durante el proceso de inicio de sesión, a continuación, se construye un testigo de acceso que contiene información sobre el usuario y parámetros de seguridad. El testigo de acceso identifica al usuario en los equipos que pertenezcan al dominio y que posean los recursos a los que está intentando acceder el usuario. Las cuentas de usuario de dominio se crean en la copia de la base de datos del Active Directory, en un controlador de dominio. El controlador de dominio duplicará la información correspondiente a la nueva cuenta de usuario en todos los controladores de dominio que pertenezcan al mismo. Después de que el sistema operativo servidor duplique la información correspondiente a la nueva cuenta de usuario, todos los controladores de dominio contenidos en el árbol de dominio pueden autenticar al usuario durante el proceso de inicio de sesión.

Cuentas de Usuario Intrínsecas

Son cuentas que Windows XP crea automáticamente en el proceso de instalación. Dos de las cuentas intrínsecas más comunes son el Administrador y el Invitado. Estas cuentas se crean automáticamente al instalar Windows XP, y no se pueden eliminar.

  • Administrador: Sirve para administrar el PC. Permite crear y modificar cuentas de usuario y grupos, administrar directivas de seguridad, crear recursos de impresión y asignar los permisos y derechos que permitan a las cuentas de usuario acceder a dichos recursos.
  • Invitado: Permite que los usuarios ocasionales (no tienen cuenta de usuario en el ordenador) puedan iniciar sesión en el equipo y acceder a los recursos. No se puede borrar, pero sí deshabilitar. Por motivos de seguridad, es mejor que esta cuenta esté deshabilitada. Si vamos a necesitar utilizarla, deberíamos darle una contraseña y cambiarle el nombre.