Tipos de Permisos

Adriana Arista Valdivia

Instituto Tecnológico TECSUP Sede Sur
*Fuente: 20410 Installing and Configuring Windows Server

Permisos Heredados

La tabla siguiente es un resumen de los permisos, en el escenario presentado:

En este ejemplo, Adam es un miembro de dos grupos a los que se asignan permisos para archivos
o carpetas dentro de la estructura de carpetas. Son los siguientes:

 La carpeta de nivel superior, Marketing, tiene un permiso asignado para el grupo de

marketing, dándoles acceso de lectura.
 En el siguiente nivel, la carpeta Marketing Pictures no tiene permisos explícitos establecidos,
pero debido a la herencia de permisos, Adam tiene acceso de lectura a esta carpeta y su
contenido de los permisos establecidos en la carpeta Marketing.
 En el tercer nivel, la carpeta de Nueva York tiene permisos de escritura asignados a uno de
los grupos de Adam-Editores de Nueva York. Además de este permiso de escritura asignado
explícitamente, la carpeta Nueva York también hereda el permiso de lectura de la carpeta
de marketing. Estos permisos pasan a objetos de archivos y carpetas, acumulándose con
cualquier permiso explícito de lectura y escritura establecido en esos archivos.
 El cuarto y último nivel es el archivo Fall_Composite.jpg. A pesar de que no se han
establecido permisos explícitos para este archivo, Adam tiene acceso de lectura y escritura
al archivo debido a los permisos heredados de la carpeta Marketing y la carpeta New York.

Conflictos de permisos

En ocasiones, los permisos explícitamente establecidos en un archivo o carpeta entran en conflicto

con los permisos heredados de una carpeta principal. En estos casos, los permisos asignados
explícitamente siempre anulan los permisos heredados. En el ejemplo dado, si se le negó acceso de
escritura a Adam Carter a la carpeta principal de marketing, pero luego se le concedió explícitamente
acceso de escritura a la carpeta de Nueva York, los permisos de acceso de escritura concedidos
reciben la recepción sobre el permiso de acceso denegado de escritura.
Permisos Efectivos

El acceso a un archivo o carpeta en Windows Server 2012 se concede en función de una

combinación de permisos. Cuando un usuario intenta acceder a un archivo o una carpeta, el permiso
que se aplica depende de varios factores, entre ellos:

 Permisos explícitamente definidos y heredados que se aplican al usuario

 Permisos explícitamente definidos y heredados que se aplican a los grupos a los que
pertenece el usuario
 Cómo el usuario accede al archivo o a las carpetas: localmente o por la red

Los permisos NTFS efectivos son los permisos acumulativos que se asignan a un usuario para un
archivo de carpeta basado en los factores enumerados anteriormente. Los siguientes principios
determinan los permisos NTFS efectivos:

 Permisos acumulativos son la combinación de los permisos NTFS más altos concedidos al
usuario ya todos los grupos de los que el usuario es un miembro. Por ejemplo, si un usuario
es miembro de un grupo que tiene permiso de lectura y es miembro de un grupo que tiene
permiso de modificación, se asigna al usuario permisos de modificación acumulativos.
 Denegar permisos sobre escriben los permisos Permitir equivalentes. Sin embargo, un
permiso Permitir explícito puede reemplazar un permiso Denegar heredado. Por ejemplo, si
se deniega a un usuario acceso de escritura a una carpeta a través de un permiso Deny
heredado, pero se concede explícitamente acceso de escritura a una subcarpeta o a un
archivo determinado, el permiso explícito anula la denegación heredada para la
subcarpeta o archivo concreto.
 Puede aplicar permisos a un usuario o a un grupo. Es preferible asignar permisos a grupos
porque son más eficientes que los permisos de administración establecidos para muchas
personas.
 Los permisos de archivo NTFS tienen prioridad sobre permisos de carpeta. Por
ejemplo, si un usuario tiene permiso de lectura en una carpeta, pero se le ha concedido el
permiso Modificar a ciertos archivos de esa carpeta, el permiso efectivo para esos archivos
se establecerá en Modificar.
 Cada objeto en una unidad NTFS o en los Servicios de dominio de Active Directory® (AD
DS) son propiedad. El propietario controla cómo se establecen los permisos en el objeto y a
quién se conceden los permisos. Por ejemplo, un usuario que crea un archivo en una carpeta
donde tienen permisos Modificar puede cambiar los permisos en el archivo a Control total.