Para determinar los permisos definitivos de un usuario, añada todos los permisos NTFS concedidos a un usuario directamente y como resultado de la pertenencia a un grupo, luego reste los permisos denegados directamente y como resultado de la pertenencia a un grupo.
Por ejemplo, si a un usuario se le concede explícitamente el control total, pero también es miembro de un grupo en el que se le niega el control total, el usuario no recibirá derechos de control total. Si un usuario recibe Leer & Ejecutar y Listar Contenido de Carpeta en un grupo pero también es miembro de un grupo al que se le han denegado los Contenidos de Carpeta de Lista, los permisos NTFS resultantes del usuario serán sólo Leer & Ejecutar. Por esta razón, los administradores deben aplicar cuidadosamente los permisos Denegar, ya que el atributo Deny prevalece sobre cualquier instancia equivalente de Permitir cuando los dos derechos se aplican al mismo usuario o grupo.
Windows XP incluye una herramienta de permisos eficaz que puede usar para ayudar a verificar los permisos que recibe un usuario o grupo. Para acceder a la herramienta:
- Abra el cuadro de diálogo Propiedades de la carpeta o nombre de archivo.
- Haga clic en la ficha Seguridad.
- Haga clic en el botón Avanzado. Se abrirá la ventana Configuración de seguridad avanzada para archivo/nombre de carpeta.
- Haga clic en la ficha Permisos efectivos.
- Haga clic en el botón Seleccionar.
- Aparecerá el cuadro de diálogo Seleccionar usuario o grupo.
- Escriba el grupo o nombre de usuario cuyos permisos desea confirmar en la ventana Introducir el nombre de objeto a seleccionar y haga clic en Aceptar.
- El cuadro de diálogo Configuración de seguridad avanzada para archivo/nombre de carpeta mostrará los permisos NTFS resultantes para ese usuario o grupo.
Combinación de permisos Compartir y NTFS
Suena sencillo. Configure los permisos que desee y un usuario estará listo para usar. Pero hay un truco adicional que hay que tener en cuenta. Los permisos de uso compartido de carpetas y NTFS deben combinarse para determinar los derechos reales que recibe un usuario o grupo. Desafortunadamente, a menudo entran en conflicto.
Para determinar los permisos definitivos que recibe un usuario, tome los permisos compartidos resultantes del usuario o grupo y compárelos con los permisos NTFS resultantes del usuario o grupo. Tenga en cuenta que prevalecerá el más restrictivo de esos derechos.
Por ejemplo, si los derechos NTFS resultantes de un usuario son Leer y Ejecutar y el mismo permiso de uso compartido del usuario es Control total, el usuario no recibirá Control total. En su lugar, Windows calcula el más restrictivo de los dos derechos resultantes, que en este caso es el permiso NTFS de Leer y Ejecutar.
Recuerde que, para determinar los últimos permisos resultantes de un usuario o grupo, se aplica el más restrictivo de los NTFS y derechos de uso compartido resultantes. Esta es una lección importante que se olvida fácilmente, pero que rápidamente lleva a la frustración de los usuarios, así que asegúrese de pasar tiempo calculando correctamente los permisos de uso compartido y NTFS.