module 10: implementing file and print services permisos ... · - permite sincronizacion desde...
TRANSCRIPT
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------
Module 10: Implementing File and Print Services
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------
Permisos de archivos:
Hasta la aparicion de ReFS se donominaban permisos NTFS. Ahora, estos permisos pueden aplicarse a archivos y carpetas que se
encuentren en NTFS y ReFS. Paran a nombrarse “permisos de archivo”, para diferenciarlos de los “share permissions” o
“Permisos de carpeta compartida”.
Los permisos de archivos podemos:
- Aplicarlos tanto a carpetas como a archivos individuales
- Asignarlos a usuarios individuales o a grupos de usuarios (grupos de seguridad no de distribucion ya que no se les
pueden asignar permisos)
- Mnatener la herencia de permisos de una carpeta a las subcarpetas y archivos que contiene, o bloquear esa
herencia. Por defecto, la herencia esta habilitada.
Los permisos se pueden conceder o denegar.
Pueden concederse o denegarse de forma:
- Explicita: Se asignan manualmente en un archivo o carpeta
- Implicita: Se heredan de la carpeta padre.
Los permisos explicitos siempre tienen prioridad frente a los implicitos (heredados).
La denegacion siempre tiene prioridad frente a la concesion de un permisos.
Ejemplos:
(A = Concedido D = Denegado)
C:\padre\ Usuario1: lectura (A)
|
\hija\ Usuario1: lectura (A)
En este caso, usuario1 puede leer en la carpeta hija por la herencia que le llega desde la carpeta padre.
C:\padre\ Usuario1: lectura (A)
|
\hija\ Usuario1: lectura (D)
En este caso, Usuario1 no puede leer en la carpeta hija porque se le ha denegado el permiso explicitamente.
C:\padre\ Usuario1: lectura (D)
|
\hija\ Usuario1: lectura (A)
En este caso, Usuario1 si puede leer en la carpeta hija porque se le ha concedido el permiso explicitamente.
Si usuario1 pertenece a grupo1 y a grupo2. Grupo1 tiene concedido el permiso de lectura en hija y grupo2 lo tiene denegado.
C:\padre\
|
\hija\ Grupo1: Lectura (A) Grupo2: Lectura (D)
En este caso, Usuario1 no podra acceder a la carpeta por que la denegacion tiene prioridad frente a la concesion.
C:\padre\ Grupo1: lectura (D)
|
\hija\ Grupo2: lectura (A)
Usuario1 Tendra denegada la lectura de forma implicita (herencia) y concedida de forma explicita:
Usuario1 podra leer en la carpeta hija porque el permiso se le ha concedido de forma explicita por grupo2.
Los permisos que podemos denegar o conceder son:
- Estandar
- Avanzados
Permisos de carpeta compartida:
No pueden aplicarse a archivos individuales.
Son permisos mucho mas basicos que los de archivos.
Ejemplo de compartir capetas y ocultarlas en la red
Pero podemos acceder con la ruta completa
Añadiendo $ al final del nombre del recurso compartido. Podemos ocultar en la red, aunque sigue siendo accesible para quien
tenga los permisos necesarios escribiendo la ruta completa.
En cambio, si queremos que un recurso compartido sea visible solo para quien tiene acceso, y quien no tiene acceso que no lo
vea en la red, tenemos que usar ABE (Access Based Enumeration Nuevo en windows Server 2012)
Herencia de Permisos:
Esta habilitada por defecto.
Podemos bloquear la herencia a nivel de carpeta hijo.
Podemos restaurar la herencia desde la carpeta padre.
Padre Grupo1: Escritura (A)
|
-----------------------------------
| |
Hijo1 Hijo2
Si configuramos por defecto, grupo1 tendra permiso de escritura en hijo1 e hijo2
Si bloqueamos la herencia en hijo2, grupo1 seguira manteniendo implicitamente el permiso de escritura en hijo1, pero no en
hijo2
Podemos restaurar la herencia desde el padre.
Opciones de bloquear herencia
Cuando aparecen asi:
Son permisos explicitos
Cuando aparecen asi:
Son implicitios
Restaurar herencia
Permisos efectivos sirve para comprobar los permisos que tendria un usuario según las condiciones que indiquemos.
Consideraciones:
- Usar los permisos Deny solo cuando sea estrictamente necesario. Es preferible quitar a un usuario o un grupo de la
lista de permisos del archivo o la carpeta.
- No aplicar un Deny completo al grupo Everyone
ABE Access Based Enumeration
Solo funciona en carpetas compartidas
OJO no funciona pero para el examen si funciona
Offline Files:
Se aplica a archivos que se encuentran en carpetas compartidas.
Los clientes acceden a esa a carpeta almacenan una copia local del archivo para seguir trabajando con ellos incluso si pierden el
acceso a la compartida.
Cuando recuperan el acceso los cambios hechos en la version local se sincronizan con la carpeta compartida
Disponible desde windows server 2003
Shadow Copies:
VSS: Volume Shadow Copies Services.
Se habilita a nivel de volumen.
Con las copias shadow hacemos “Instantaneas” de carpetas y archivos. El sistema registra todos los cambios que se porducen
en ellas y nos permite volver atrás al momento en que hicimos la instantanea (snapshot).
No es una copia completa y, por lo tanto, no sustituye a los backups que tenemos que hacer de forma periodica. Registra los
cambios y nos permite volver a “versiones anteriores”.
Trabaja de manera que se hace una snapshot del archivo en una parte del volumen y las modificaciones que vienen despues se
realizan sobre la snapshot y no sobre el fichero real.
No se puede deshacer cuando vuelves a una version anterior no puedes volver a una mas actual
Configurar copia Shadow:
Es una especie de dropbox pero solo a nivel de empresa
No spermite sincronizar carpetas y archivos en diferentes dispositivos, incluso si alguno de ellos no esta unido al dominio.
Ventajas:
- Podemos usar cualquier dispositivo (solo server 2012 R2 o windows 8.1) incluso no unido al dominio.
- Permite sincronizacion desde internet usando el puerto 443
- El acceso es en modo lectura y escritura
- Permite mantener las politicas de seguridad: Cifrado de archivos, bloqueo de dispositivos, borrado de informacion
en remoto. Es una solucion muy simple BYOD (Bring your own device)
- Permite aplicar reglas de contenido: file screening, cuotas, clasificacion
Inconvenientes:
- No trabaja con versiones anteriores de windows.
- Un dispositivo cliente solo puede sincronizarse con un partner.
- No permite sincronizarse con multiples recursos compartidos.
- No permite sincronizar archivos individuales.
- No permite que multiples usuarios se sincronicen con el mismo recurso compartido.
Configuracion de WORK FOLDERS
Ahora desde el cliente:
Modificacion para acceder sin que pida certificado SSL NO FUNCIONA CON LA ULTIMA ACTUALIZACION
- Windows Server 2012 incluye una consola de gestion de impresoras centralizada (Print management).
- Gestion simplicificada. Distribucion de drivers a clientes. Ya no es necesario que el servidor de impresora para
todos los sistemas operativos que tenemos en la red. En muchos casos, la nueva version de drivers (v4) permite
que el mismo driver pueda usarse en diferentes sistemas operativos.
- Diagnostico de fallos simplificado.
- Reduccion de costes. Una impresora de red, aunque es mas cara que una impresora local, puede dar servicio a un
buen numero de usuarios (por ejemplo 100 usuarios)
- Las impresoras en red pueden publicarse en el AD. Esto hace mas sencillo encontrar una impresora, por ejemplos,
basandonos en sus caracteristicas (Laser color, inyeccion de tinta, matricial,…)
Enhaced Point and Print:
Desde windows 2000, la version de los drivers de impresión era la v3. Implicaba tener un driver diferente para cada sistema
operativo. Esos drivers estaban almacenados en el servidor de impresión.
En windows 2012 se untroduce la version v4. Los fabricantes pueden desarrollar drivers independientes del sistema operativo.
No es necesario que esten almacenados en el servidor de impresión, si no que este puede redirigir a los clientes a windows
update.
Seguridad en una Impresora:
Para cualquier impresora, local o de red, podemos definir varios permisos para grupos y usuarios:
- Print: el grupo o usuario que tenga concedido este permiso puede imprimir en la impresora
- Manage this printer: Puede modificar las caracteristicas de una impresora, como por ejemplo, su prioridad.
Tambien puede actualizar los drivers de la impresora. Por defecto se concede a administrators, server operators y
printer operators.
- Manage documents: Permite modificar y borrar trabajos de impresión. Un usuario normal solo puede eliminar o
modificar sus trabajos de impresion (CREATOR OWNER). Los administrators, server operator y printer operators
pueden modificar y eliminar cualquier trabajo de impresión.
Instalacion de rol de impresión
Con esta configuracion como las 2 colas de impresión apuntan a la misma impresora los usuarios del grupo executives
imprimiran con mas prioridad que los usuarios normales
Con las colas de impresión podemos tener diferente propiedades para una misma impresora fisica. Por ejemplo, diferentes
prioridades de impresión para el grupo de ejecutivos y para el grupo de usuarios.
Una cola de impresión no nos da redundancia ni balanceo de carga. Si una impresora falla, manualmente tenemos que enviar los
trabajos de impresión a otra.
Printer pooling:
En una pila de impresión agrupamos varias impresoras fisicas en una unica cola de impresión. Funcionan en modo Round robin.
El cliente ve el grupo de impresoras como una sola.
Requisito para crear una pila de impresión:
- Todas las impresoras de la pila deben usar el mismo driver.
- Todas las impresoras tiene que estar en la misma localizacion.
Crear Printer pooling (pila de impresion)
Branch office direct printing
Impresión directa dentro de sucursales para que no tengan que pasar los documentos a imprimir por el servidor y se envien
directamente a la impresora.