El control de acceso a los recursos compartidos se lleva a cabo de forma similar a la estudiada para sistemas operativos de Microsoft de escritorio que hemos administrado hasta ahora en entorno monopuesto.
Básicamente trabajaremos con impresoras y con directorios, tanto compartidos en red como locales en sistemas de ficheros NTFS.
Permisos en sistemas de ficheros NTFS
El sistema de ficheros NTFS permite establecer control de acceso sobre los directorios y ficheros que contiene. De forma predeterminada, cuando se crea un directorio o un fichero éste hereda la configuración de control de acceso de su objeto padre: el directorio que lo contiene.
Como ya sabemos, los sistemas operativos de Microsoft, representan los sistemas de ficheros como unidades lógicas. Cada unidad lógica se identifica con una letra mayúscula y contiene un único directorio raíz que no tiene directorio padre y que se identifica con la barra separadora de directorios “\”.
Si creamos un directorio (o un fichero) dentro de este objeto padre, el directorio raíz, el nuevo directorio hereda la configuración de control de acceso, los permisos de acceso, de su padre, el directorio raíz.
Si nuevamente creamos un directorio dentro del directorio recién creado, el nuevo directorio también heredará los permisos de su directorio padre, en este caso el primer directorio que hemos creado.
De esta forma, gracias a la herencia del control de acceso, se facilita el establecimiento inicial del control de acceso en nuevos objetos, fichero o directorio, creados dentro del sistema de ficheros y se facilita su posterior administración.
También sabemos que en ocasiones es necesario romper con esa herencia de permisos para poder realizar una configuración específica o particular de control de acceso sobre un objeto, fichero o directorio, en el sistema de ficheros.
Por último, merece la pena recordar que solo se aplicarán los permisos sobre los elementos que se añadan a la lista de control de acceso del objeto. Es decir, si no se le aplica ningún permiso explícitamente a un grupo de usuarios, significa que dicho grupo de usuarios no tiene ningún permiso sobre el directorio o fichero.
Permisos locales y remotos
Cuando se comparte un directorio en red como un recurso compartido, podemos establecer un nombre de recurso compartido, una descripción y una serie de permisos de acceso remoto, es decir un control de acceso remoto.
Estos permisos solo se aplicarán si el acceso al recurso es remoto, es decir a través de la red. Esto nos permite establecer una serie de permisos si el acceso es local y otros permisos de acceso distintos si el acceso es remoto.
Cuando se accede en remoto a un directorio como recurso compartido en red, el sistema operativo aplicará los permisos más restrictivos de entre los permisos locales y los permisos remotos.
De esta forma, salvo que el acceso en remoto tenga que ser más restrictivo que el local, habitualmente se configura el control de acceso más restrictivo en la configuración de control de acceso local sobre sistema de ficheros NTFS y después se configuran los permisos concretos en remoto, que podrían ser muy poco restrictivos.
Al final, lo importante es conseguir proporcionar una configuración de permisos que cumpla con las restricciones que se solicitan en cada caso concreto.
Es fundamental tener en cuenta que:
- Siempre se aplica el control de acceso configurado en local, sobre el sistema de ficheros NTFS.
- Si el acceso es remoto, se aplicarán los permisos más restrictivos de los permisos locales (NTFS) y los permisos remotos (Compartir).
Estrategia AGDLP
Es importante recordar la metodología estudiada en la estrategia AGDLP para configurar el control de acceso a los recursos compartidos en red, puesto que facilita sobremanera la administración de recursos compartidos.
La forma de trabajar es simple:
- Para el recurso compartido a configurar, crear tantos grupos DL_ como tipos de acceso se quieran configurar. Cada grupo DL_ deberá tener un nombre significativo con el tipo de acceso y con el recurso sobre el que se aplicarán.
- Configurar los permisos locales solo utilizando los grupos DL_ creados, configurando los permisos de forma adecuada para el tipo de acceso que se quiera garantizar.
- Configurar los permisos remotos, si es necesario, utilizando los grupos DL_ creados.
- Configurar los grupos DL_ del recurso compartido, añadiendo a cada grupo DL_ los grupos que deban tener el acceso que proporciona dicho grupo de dominio local.
Con esto tendremos configurado el control de acceso para dicho recurso compartido.