Configuración de permisos de seguridad de carpetas en Active Directory
Controlar quién puede acceder a una carpeta es la mejor práctica. Configurar permisos de carpeta garantiza que la información confidencial esté protegida de fisgones que no deberían tener autorización para cambiar o incluso acceder al contenido. Al mismo tiempo, la configuración de permisos permite a los usuarios que tienen derecho a acceder a una carpeta hacerlo de forma segura.
Contenido [ esconder ]
- ¿Qué son los permisos en Active Directory?
- Cómo configurar permisos de seguridad de carpetas en Active Directory
- Administrar permisos de carpeta AD con herramientas de terceros
- Mejores prácticas de acceso de usuarios: privilegio mínimo
- Permisos de seguridad AD: imprescindibles
¿Qué son los permisos en Active Directory?
Los permisos en Active Directory son privilegios de acceso que usted otorga a usuarios y grupos que les permiten interactuar con objetos. Un administrador asigna permisos a un usuario o grupo para que pueda acceder o administrar una carpeta.
Los permisos en Active Directory se dividen enpermisos estándarypermisos especiales. Los permisos estándar otorgan al usuario privilegios como lectura, escritura y control total. Los permisos especiales brindan al usuario diferentes capacidades, como permitirle modificar los permisos o propietarios de los objetos.
Cómo configurar permisos de seguridad de carpetas en Active Directory
El proceso de configuración de permisos de carpeta es simple y puede optar por asignar acceso a la carpeta a usuarios y grupos. En esta sección, veremos cómo puede asignar permisos desde Active Directory a través delConsola de administración de políticas de grupo(GPMC).
Crear una política de grupo a través de la consola de administración de políticas de grupo
ElGPMCproporciona configuraciones de política de grupo que puede usar para configurar el permiso de seguridad. Una de las formas más sencillas de utilizar el programa es crear un objeto de política de grupo. Un objeto de política de grupo es un grupo de configuraciones que crea con el Editor de objetos de política de grupo que puede restringir el acceso de los usuarios a archivos particulares.
Para crear un nuevo objeto de política de grupo, siga las instrucciones a continuación:
- Hacer clicInicio > Herramientas administrativas > Administración de políticas de grupo.Se mostrará la Consola de administración de políticas de grupo.
- Haga clic derecho en el icono Objetos de política de grupo y seleccioneNuevo. ElNuevo GPOSe mostrará la ventana.
- Entrar aNombrey dejar elGPO de inicio de origenopción establecida como(ninguno).
- Haga clic derecho en el GPO que acaba de crear y seleccioneEditar GPO.Se mostrará la ventana del Editor de administración de políticas de grupo.
- Ir aConfiguración de la computadora> Políticas> Configuración de Windows> Configuración de seguridad y haga clic derecho en Sistema de archivos > Agregar archivo.Aparecerá el cuadro de diálogo 'Agregar un archivo o carpeta'.
- Localice la carpeta o archivo al que desea asignar permisos y haga clic en él. Ahora presionaDE ACUERDO.
- Una vez elSeguridad de la base de datosAparece la ventana, haga clic en el botón Avanzado para mostrar laConfiguración de seguridad avanzadaventana.
- En elPermisospestaña, puede asignar permiso para un usuario nuevo o existente. Para crear un nuevo usuario haga clicAgregar.Si desea seleccionar un usuario existente, seleccione el usuario y presioneEditar.
- Una vez elEntrada de permisoCuando se abre el cuadro, puede ver una lista de permisos que puede elegirPermitiroDenegar, así como determinar dónde se ubicarán esos permisos.Aplicar. Clickea en elAplicar a lamenú desplegable para elegir dónde desea aplicar los permisos.
- En elPermisosvista de lista, verifique los permisos que desea asignar a su objeto. Ahora presionaDE ACUERDO.
- Una vez que regrese alseguridad avanzadaventana, vaya a laRevisión de cuentaspestaña. Aquí puede optar por auditar los cambios en la carpeta y los permisos. También puedes ir alDueñopestaña para configurar los ajustes de propiedad.
- Una vez que haya ingresado su configuración, haga clic enDE ACUERDO. Una vez elseguridad avanzadala ventana se cierra haga clicDE ACUERDOnuevamente para cerrar elSeguridad de la base de datosventana.
- Cuando aparece la ventana Agregar objeto, tiene varias opciones: LaConfigurar este archivo o carpetaLa sección viene con dos subopciones;
Opción A) Propagar permisos heredables a todas las subcarpetas y archivos– La primera subopción significa que todas las subcarpetas heredarán los permisos de la carpeta principal, pero si hay un conflicto, los permisos de las subcarpetas tendrán prioridad.
Opción B) Reemplazar los permisos existentes en todas las subcarpetas y archivos con permisos heredables. -La segunda subopción significa que todas las configuraciones de las subcarpetas serán sobrescritas por la configuración principal. Alternativamente, puede seleccionar elNo permitir que se reemplacen los permisos en este archivo o carpetay cree una entrada para la carpeta específica cuyos permisos no desea heredar. Si selecciona la primera opción, haga clic enDE ACUERDOpara cerrar la ventana. - Cierre el editor de administración de políticas de grupoventana y haga clic derecho en el dominio al que desea aplicar el GPO y haga clic enVincular un GPO existente.
- Una vez elSeleccione GPOAparece la ventana, seleccione el nombre del GPO que acaba de crear de la lista y presioneDE ACUERDO.
- Ahora ve alObjetos de política de grupo vinculadospestaña y haga clic derecho enAsignación de permisos de carpeta > Exigido. Ahora presionaDE ACUERDOpara terminar.
Administrar permisos de carpeta AD con herramientas de terceros
Active Directory es una herramienta tan establecida que no faltan herramientas que se integran para brindar una mejor experiencia de administración de AD. Puede utilizar herramientas de terceros comoGestionarEngine ADManager Pluspara administrar los permisos de carpetas a través de un software externo.
La ventaja de hacer esto es que puedes administrar AD a través de un programa que es más fácil de usar, lo que facilita la administración de muchos usuarios y grupos. El proceso exacto dependerá del tipo de programa que estés utilizando.
GestionarEngine ADManager Plus
GestionarEngine ADManager Pluses una herramienta de administración de Active Directory que se puede utilizar para administrar objetos, crear grupos y más. Para administrar los permisos de archivos, haga lo siguiente:
- Registrarse enADManager Plus.
- Ir aAdministración de AD > Administración del servidor de archivos > Modificar permisos NTFS.
- Elija a qué carpetas desea permitir el acceso de un usuario o grupo.
- Ahora ve alCuentasy elija los usuarios o grupos a los que desea otorgar permiso para acceder a la carpeta.
- Finalice los cambios haciendo clicModificar.
Puede descarga la prueba gratuita de 30 días versión de ManageEngine ADManager Plus.
Ver también: El mejor software de gestión de publicidad
Mejores prácticas de acceso de usuarios: privilegio mínimo
Al asignar permisos a los usuarios, la mejor práctica es adherirse al concepto de privilegio mínimo. El acceso de usuarios con privilegios mínimos consiste en asignar a todos los usuarios los permisos mínimos posibles. Cada permiso asignado a un empleado debe ser fundamental para su trabajo diario. Restringir los privilegios de usuario ayudará a minimizar su exposición a riesgos y reducirá la probabilidad de ataques cibernéticos o violaciones de datos.
Para implementar el acceso de usuario con privilegios mínimos, deberá saber con precisión a qué debe tener acceso cada empleado. Para empezar, comience asignando privilegios a cuentas o grupos individuales. Administrar primero una pequeña cantidad de usuarios asegurará que no se sienta abrumado.
Ver también: Las mejores herramientas de gestión de derechos de acceso
Permisos de seguridad AD: imprescindibles
La implementación de permisos de usuario de Active Directory es uno de los controles más básicos que puede utilizar para asegurarse de que la información confidencial permanezca privada. Asegurarse de que los empleados solo tengan acceso a los documentos que son relevantes para su función elimina la confusión y mantiene sus datos seguros.
Proteger sus archivos con permisos de usuario es lo mínimo que debe hacer para controlar el acceso a sus datos. Nunca se sabe cuándo se producirá un ciberataque y minimizar el número de usuarios que tienen acceso a un archivo reducirá las posibilidades de que un atacante pueda ver su información.
Preguntas frecuentes sobre permisos de carpeta AD
¿Qué son los permisos especiales en Active Directory?
Los permisos especiales en Active Directory, a diferencia de los permisos estándar, le permiten establecer combinaciones de permisos personalizados. Los permisos de carpeta otorgan acceso a otras personas, ya sean miembros del mismo grupo que el propietario de la carpeta o miembros de cualquier grupo. Los permisos también pueden permitir el acceso a carpetas descendientes.
¿Cómo funciona la delegación en Active Directory?
El principio de delegación en Active Directory brinda a los usuarios o grupos la capacidad de crear o modificar objetos y otorgarse permisos a sí mismos o a otros sin necesidad de tener el estado de Administrador de dominio. El nombre completo de este servicio es “delegación de control”.
¿Cuántos tipos de grupos hay en Active Directory?
Active Directory tiene dos tipos de grupos. El primero de ellos es el tipo de grupo de distribución, que está diseñado para usarse con listas de distribución de correo electrónico. El segundo es el tipo de grupo de seguridad, que asigna permisos a activos compartidos, como carpetas de archivos.