Uso compartido y permisos NTFS

de Walter Oliver

Introducción

Los permisos del servidor de archivos deben implementarse cuidadosamente para un acceso adecuado al contenido. Esto implica bloquear permisos en el recurso compartido y carpetas físicas.

Permisos

En la tabla siguiente se enumeran los permisos usados en el recurso compartido y las carpetas del servidor de archivos en la Configuración de hospedaje compartido mencionada en la sección Planeación de la arquitectura de hospedaje web de la Guía de hospedaje. En función del entorno de hospedaje compartido usado, los administradores del servidor deben desarrollar sus propios permisos personalizados para cubrir sus necesidades.

Path Permisos Motivo
\server\share$ (recurso compartido) Administradores de dominio. Usuarios del dominio con control total. Cambio de MachineAccounts$. Control total Los permisos del recurso compartido deben permitir el acceso al contenido a los administradores y las cuentas de sitio. La ruta de acceso física se restringirá a los permisos necesarios reales.
E:\Content (ruta de acceso física del recurso compartido) Administradores. Sistema de control total. Control total Esta es la carpeta compartida. No se necesitan permisos para ninguna cuenta aparte del grupo integrado de Administradores y la cuenta del sistema.
E:\Content\<sitename> (el contenedor de un sitio o usuario específico) Administradores. Sistema de control total. Propietario del sitio de control total. Lista del contenido de la carpeta Esta carpeta se usa como un contenedor de carpetas como el directorio principal del sitio y sus archivos de registro. El propietario del sitio debería poder leer esta carpeta, pero no necesita acceso de escritura.
E:\Content\<sitename> \wwwroot (directorio principal de IIS del sitio) Administradores. Sistema de control total. Propietario del sitio de control total. Modificación del nombre de usuario del grupo de aplicaciones. Lectura Esta es la raíz de un sitio web que pertenece a la cuenta de usuario. El nombre de usuario del grupo de aplicaciones se usa como la identidad del grupo de aplicaciones y el nombre de usuario anónimo del sitio web.
E:\Content\<sitename>\Logs (el contenedor de registros) Administradores. Sistema de control total. Propietario de sitio de control total. Lectura Tenga en cuenta que esta carpeta de registros se almacena SOBRE la raíz del sitio para que un visitante no pueda acceder a ella. No se recomienda poner esta carpeta en una ubicación accesible desde un explorador web por motivos de seguridad.
E:\Content\<sitename>\Logs\FailedReqLogs (el contenedor de registros de seguimiento de solicitudes con error) Administradores. Sistema de control total. Nombre de usuario del grupo de aplicaciones de control total. Control total Esta es la carpeta que se usa para almacenar archivos de registro de solicitudes con error, con lo que el propietario de un sitio puede diagnosticar problemas con un sitio web. Estos registros se escriben mediante la identidad del proceso de trabajo, nombre de usuario del grupo de aplicaciones.
E:\Content\<sitename>\Logs\W3SVCLogFiles (el contenedor de los registros de tráfico de W3SVC) Administradores. Sistema de control total. MachineAccount$ de control total. Control total Esta es la carpeta usada para almacenar los archivos de registro del sitio web, con lo que el propietario de un sitio puede ver los patrones de tráfico. Si el administrador del servidor no quiere compartir estos archivos o busca proporcionar un método alternativo para determinar el tráfico, estos archivos se pueden almacenar en otro lugar. MachineAccount$ es la cuenta de máquina del servidor web, ya que estos registros se escriben con HTTP.SYS.

Configuración de permisos

Configuración de permisos para el recurso compartido

  1. En Explorador de Windows, haga clic con el botón derecho en la carpeta que quiera compartir y luego haga clic en Propiedades.

  2. En la pestaña Compartir, haga clic en Uso compartido avanzado.

  3. En Control de cuentas de usuario, haga clic en Continuar para aceptar el aviso de que Windows necesita su permiso para completar la acción.

  4. En el cuadro de diálogo Uso compartido avanzado, seleccione Compartir esta carpeta.

  5. Establezca el nombre del recurso compartido y los comentarios según corresponda. Para ocultar el recurso compartido, agregue un $ al final del nombre.

    Nota:

    Si se oculta un recurso compartido, al conectarse a [\server](file://server/) no verá el recurso compartido, a menos que se determine específicamente la ruta de acceso [\server\share$](file://server/share$).

  6. Haga clic en Permisos.

  7. En el cuadro de diálogo Permisos, quite el grupo Todos, si existe.

  8. Agregue el usuario o grupo adecuado que debería tener acceso al recurso compartido.

  9. Especifique los permisos (Control total, Cambiar, Lectura) para el usuario o grupo.

  10. Seleccione Aceptar dos veces y después Cerrar para cerrar todos los cuadros de diálogo.

Configuración de permisos para la estructura de carpetas

  1. En Explorador de Windows, haga clic con el botón derecho en la carpeta que quiera compartir y luego haga clic en Propiedades.
  2. En la pestaña Seguridad , haga clic en Editar.
  3. En el cuadro de diálogo Permisos, agregue a los usuarios o grupos adecuados que deben tener acceso en cada nivel de la estructura de carpetas.
  4. Especifique los permisos (permisos especiales de Control total, Cambiar, Leer y ejecutar, Enumerar contenido de la carpeta, Lectura, Escritura) para los usuarios o grupos.
  5. Haga clic en Aceptar dos veces para cerrar los cuadros de diálogo.

Consulte Ejemplos de scripts de C# y PowerShell para ver un script de ejemplo para configurar documentos predeterminados. como ejemplo de creación de un recurso compartido y configuración de permisos.