--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------------------------

Module 10: Implementing File and Print Services

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------------------------

Permisos de archivos:

Hasta la aparicion de ReFS se donominaban permisos NTFS. Ahora, estos permisos pueden aplicarse a archivos y carpetas que se

encuentren en NTFS y ReFS. Paran a nombrarse “permisos de archivo”, para diferenciarlos de los “share permissions” o

“Permisos de carpeta compartida”.

Los permisos de archivos podemos:

- Aplicarlos tanto a carpetas como a archivos individuales

- Asignarlos a usuarios individuales o a grupos de usuarios (grupos de seguridad no de distribucion ya que no se les

pueden asignar permisos)

- Mnatener la herencia de permisos de una carpeta a las subcarpetas y archivos que contiene, o bloquear esa

herencia. Por defecto, la herencia esta habilitada.

Los permisos se pueden conceder o denegar.

Pueden concederse o denegarse de forma:

- Explicita: Se asignan manualmente en un archivo o carpeta

- Implicita: Se heredan de la carpeta padre.

Los permisos explicitos siempre tienen prioridad frente a los implicitos (heredados).

La denegacion siempre tiene prioridad frente a la concesion de un permisos.

Ejemplos:

(A = Concedido D = Denegado)

C:\padre\ Usuario1: lectura (A)

|

\hija\ Usuario1: lectura (A)

En este caso, usuario1 puede leer en la carpeta hija por la herencia que le llega desde la carpeta padre.

C:\padre\ Usuario1: lectura (A)

|

\hija\ Usuario1: lectura (D)

En este caso, Usuario1 no puede leer en la carpeta hija porque se le ha denegado el permiso explicitamente.

C:\padre\ Usuario1: lectura (D)

|

\hija\ Usuario1: lectura (A)

En este caso, Usuario1 si puede leer en la carpeta hija porque se le ha concedido el permiso explicitamente.

Si usuario1 pertenece a grupo1 y a grupo2. Grupo1 tiene concedido el permiso de lectura en hija y grupo2 lo tiene denegado.

C:\padre\

|

\hija\ Grupo1: Lectura (A) Grupo2: Lectura (D)

En este caso, Usuario1 no podra acceder a la carpeta por que la denegacion tiene prioridad frente a la concesion.

C:\padre\ Grupo1: lectura (D)

|

\hija\ Grupo2: lectura (A)

Usuario1 Tendra denegada la lectura de forma implicita (herencia) y concedida de forma explicita:

Usuario1 podra leer en la carpeta hija porque el permiso se le ha concedido de forma explicita por grupo2.

Los permisos que podemos denegar o conceder son:

- Estandar

- Avanzados

Permisos de carpeta compartida:

No pueden aplicarse a archivos individuales.

Son permisos mucho mas basicos que los de archivos.

Ejemplo de compartir capetas y ocultarlas en la red

Desde un cliente no se ve la Oculta$ por que esta oculta

Pero podemos acceder con la ruta completa

Añadiendo $ al final del nombre del recurso compartido. Podemos ocultar en la red, aunque sigue siendo accesible para quien

tenga los permisos necesarios escribiendo la ruta completa.

En cambio, si queremos que un recurso compartido sea visible solo para quien tiene acceso, y quien no tiene acceso que no lo

vea en la red, tenemos que usar ABE (Access Based Enumeration Nuevo en windows Server 2012)

Herencia de Permisos:

Esta habilitada por defecto.

Podemos bloquear la herencia a nivel de carpeta hijo.

Podemos restaurar la herencia desde la carpeta padre.

Padre Grupo1: Escritura (A)

|

-----------------------------------

| |

Hijo1 Hijo2

Si configuramos por defecto, grupo1 tendra permiso de escritura en hijo1 e hijo2

Si bloqueamos la herencia en hijo2, grupo1 seguira manteniendo implicitamente el permiso de escritura en hijo1, pero no en

hijo2

Podemos restaurar la herencia desde el padre.

Opciones de bloquear herencia

Cuando aparecen asi:

Son permisos explicitos

Cuando aparecen asi:

Son implicitios

Restaurar herencia

Permisos efectivos sirve para comprobar los permisos que tendria un usuario según las condiciones que indiquemos.

Consideraciones:

- Usar los permisos Deny solo cuando sea estrictamente necesario. Es preferible quitar a un usuario o un grupo de la

lista de permisos del archivo o la carpeta.

- No aplicar un Deny completo al grupo Everyone

ABE Access Based Enumeration

Solo funciona en carpetas compartidas

OJO no funciona pero para el examen si funciona

Offline Files:

Se aplica a archivos que se encuentran en carpetas compartidas.

Los clientes acceden a esa a carpeta almacenan una copia local del archivo para seguir trabajando con ellos incluso si pierden el

acceso a la compartida.

Cuando recuperan el acceso los cambios hechos en la version local se sincronizan con la carpeta compartida

Disponible desde windows server 2003

Shadow Copies:

VSS: Volume Shadow Copies Services.

Se habilita a nivel de volumen.

Con las copias shadow hacemos “Instantaneas” de carpetas y archivos. El sistema registra todos los cambios que se porducen

en ellas y nos permite volver atrás al momento en que hicimos la instantanea (snapshot).

No es una copia completa y, por lo tanto, no sustituye a los backups que tenemos que hacer de forma periodica. Registra los

cambios y nos permite volver a “versiones anteriores”.

Trabaja de manera que se hace una snapshot del archivo en una parte del volumen y las modificaciones que vienen despues se

realizan sobre la snapshot y no sobre el fichero real.

No se puede deshacer cuando vuelves a una version anterior no puedes volver a una mas actual

Configurar copia Shadow:

Work Folders:

Nuevo en windows server 2012 R2 y windows 8.1 no windows 8

Es una especie de dropbox pero solo a nivel de empresa

No spermite sincronizar carpetas y archivos en diferentes dispositivos, incluso si alguno de ellos no esta unido al dominio.

Ventajas:

- Podemos usar cualquier dispositivo (solo server 2012 R2 o windows 8.1) incluso no unido al dominio.

- Permite sincronizacion desde internet usando el puerto 443

- El acceso es en modo lectura y escritura

- Permite mantener las politicas de seguridad: Cifrado de archivos, bloqueo de dispositivos, borrado de informacion

en remoto. Es una solucion muy simple BYOD (Bring your own device)

- Permite aplicar reglas de contenido: file screening, cuotas, clasificacion

Inconvenientes:

- No trabaja con versiones anteriores de windows.

- Un dispositivo cliente solo puede sincronizarse con un partner.

- No permite sincronizarse con multiples recursos compartidos.

- No permite sincronizar archivos individuales.

- No permite que multiples usuarios se sincronicen con el mismo recurso compartido.

Configuracion de WORK FOLDERS

Ahora desde el cliente:

Modificacion para acceder sin que pida certificado SSL NO FUNCIONA CON LA ULTIMA ACTUALIZACION

Reiniciamos

Saltarse el SSL NO funciona

Configuracion en cliente de workfolder

Impresión en Red:

- Windows Server 2012 incluye una consola de gestion de impresoras centralizada (Print management).

- Gestion simplicificada. Distribucion de drivers a clientes. Ya no es necesario que el servidor de impresora para

todos los sistemas operativos que tenemos en la red. En muchos casos, la nueva version de drivers (v4) permite

que el mismo driver pueda usarse en diferentes sistemas operativos.

- Diagnostico de fallos simplificado.

- Reduccion de costes. Una impresora de red, aunque es mas cara que una impresora local, puede dar servicio a un

buen numero de usuarios (por ejemplo 100 usuarios)

- Las impresoras en red pueden publicarse en el AD. Esto hace mas sencillo encontrar una impresora, por ejemplos,

basandonos en sus caracteristicas (Laser color, inyeccion de tinta, matricial,…)

Enhaced Point and Print:

Desde windows 2000, la version de los drivers de impresión era la v3. Implicaba tener un driver diferente para cada sistema

operativo. Esos drivers estaban almacenados en el servidor de impresión.

En windows 2012 se untroduce la version v4. Los fabricantes pueden desarrollar drivers independientes del sistema operativo.

No es necesario que esten almacenados en el servidor de impresión, si no que este puede redirigir a los clientes a windows

update.

Seguridad en una Impresora:

Para cualquier impresora, local o de red, podemos definir varios permisos para grupos y usuarios:

- Print: el grupo o usuario que tenga concedido este permiso puede imprimir en la impresora

- Manage this printer: Puede modificar las caracteristicas de una impresora, como por ejemplo, su prioridad.

Tambien puede actualizar los drivers de la impresora. Por defecto se concede a administrators, server operators y

printer operators.

- Manage documents: Permite modificar y borrar trabajos de impresión. Un usuario normal solo puede eliminar o

modificar sus trabajos de impresion (CREATOR OWNER). Los administrators, server operator y printer operators

pueden modificar y eliminar cualquier trabajo de impresión.

Instalacion de rol de impresión

Añadir impresora (cola de impresión) desde print management

Configurar prioridad en impresoras

Con esta configuracion como las 2 colas de impresión apuntan a la misma impresora los usuarios del grupo executives

imprimiran con mas prioridad que los usuarios normales

Con las colas de impresión podemos tener diferente propiedades para una misma impresora fisica. Por ejemplo, diferentes

prioridades de impresión para el grupo de ejecutivos y para el grupo de usuarios.

Una cola de impresión no nos da redundancia ni balanceo de carga. Si una impresora falla, manualmente tenemos que enviar los

trabajos de impresión a otra.

Printer pooling:

En una pila de impresión agrupamos varias impresoras fisicas en una unica cola de impresión. Funcionan en modo Round robin.

El cliente ve el grupo de impresoras como una sola.

Requisito para crear una pila de impresión:

- Todas las impresoras de la pila deben usar el mismo driver.

- Todas las impresoras tiene que estar en la misma localizacion.

Crear Printer pooling (pila de impresion)

Branch office direct printing

Impresión directa dentro de sucursales para que no tengan que pasar los documentos a imprimir por el servidor y se envien

directamente a la impresora.

EASY Print

Cuando habilitamos un RDP en un servidor, se crea un driver de forma automatica que redirige los trabajos de impresión a la

impresora local del cliente RDP

Usuario de barcelona se conecta por RDP a madrid y al imprimir algo por escritorio remoto se imprime en local en barcelona.