De manera predeterminada, los permisos usados para una carpeta DFS se heredan del sistema de archivos local del servidor de espacio de nombres. Los permisos se heredan del directorio raíz de la unidad del sistema y otorgan los permisos de lectura al grupo DOMINIO\Usuarios. Como consecuencia, incluso después de habilitar la enumeración basada en el acceso, todas las carpetas del espacio de nombres permanecen visibles para todos los usuarios del dominio.

Ventajas y limitaciones de los permisos heredados

Hay dos ventajas principales de usar permisos heredados para controlar qué usuarios pueden ver las carpetas de un espacio de nombres DFS:

  • Puede aplicar rápidamente permisos heredados a muchas carpetas sin tener que usar scripts.

  • Puede aplicar permisos heredados a raíces y carpetas de espacios de nombres sin destinos.

Pese a las ventajas, los permisos heredados de espacios de nombres DFS tienen muchas limitaciones que los hacen inapropiados para la mayoría de los entornos:

  • Las modificaciones de los permisos heredados no se replican en otros servidores de espacio de nombres. Por ello, sólo se deben usar permisos heredados en espacios de nombres independientes o en entornos en los que se puede implementar un sistema de replicación de terceros para mantener sincronizadas las listas de control de acceso (ACL) en todos los servidores de espacio de nombres.

  • Administración de DFS y Dfsutil no permiten ver ni modificar los permisos heredados. Por esta razón, debe usar el Explorador de Windows o el comando Icacls junto con Administración de DFS o Dfsutil para administrar el espacio de nombres.

  • Si usa permisos heredados, no puede modificar los permisos de una carpeta con destinos, a menos que use el comando Dfsutil. Los espacios de nombres DFS quitan automáticamente los permisos de las carpetas con destinos establecidos mediante otras herramientas u otros métodos.

  • Si establece permisos en una carpeta con destinos mientras usa permisos heredados, la ACL establecida en la carpeta con destinos se combina con los permisos heredados de la carpeta principal en el sistema de archivos. Debe examinar ambos conjuntos de permisos para determinar cuáles son los permisos resultantes.

Sugerencia

Al usar permisos heredados, es más sencillo establecer permisos en raíces y carpetas de espacios de nombres sin destinos. Después puede usar los permisos heredados en carpetas con destinos para que éstas hereden todos los permisos de sus carpetas principales.

Usar permisos heredados

Para establecer qué usuarios pueden ver una carpeta DFS, debe llevar a cabo una de las tareas siguientes:

  • Establecer permisos explícitos para la carpeta deshabilitando la herencia. Para establecer permisos explícitos en una carpeta con destinos (un vínculo) mediante Administración de DFS o el comando Dfsutil, vea Habilitar la enumeración basada en el acceso en un espacio de nombres.

  • Modificar permisos heredados en la carpeta principal en el sistema de archivos local. Para modificar los permisos heredados por una carpeta con destinos, si ya ha establecido permisos explícitos en la carpeta, cambie a permisos heredados desde permisos explícitos, de la manera descrita en el siguiente procedimiento. A continuación, use el Explorador de Windows o el comando Icacls para modificar los permisos de la carpeta desde la que la carpeta con destinos hereda sus permisos, tal y como se describe en el sitio web de Microsoft (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=140259).

Nota

La enumeración basada en el acceso no impide que los usuarios obtengan una referencia a un destino de carpeta si ya conocen la ruta DFS de la carpeta con destinos. Los permisos establecidos con el Explorador de Windows o el comando Icacls en raíces o carpetas de espacio de nombres sin destinos controlan si los usuarios pueden tener acceso a la carpeta DFS o a la raíz de espacio de nombres. Sin embargo, no impiden que los usuarios tengan acceso directamente a una carpeta con destinos. Sólo los permisos del recurso compartido o los permisos del sistema de archivos NTFS de la misma carpeta compartida pueden impedir que los usuarios tengan acceso a los destinos de carpeta.

Para cambiar de permisos explícitos a permisos heredados
  1. En el árbol de consola, en el nodo Espacios de nombres, busque la carpeta que contiene los destinos para los que desea controlar la visibilidad, haga clic en ella con el botón secundario y, a continuación, haga clic en Propiedades.

  2. Haga clic en la ficha Opciones avanzadas.

  3. Haga clic en Usar permisos heredados del sistema de archivos local y después haga clic en Aceptar en el cuadro de diálogo Confirmar el uso de permisos heredados.

    Al hacerlo, se quitan todos los permisos establecidos explícitamente en esta carpeta y se restauran los permisos NTFS heredados del sistema de archivos local del servidor de espacio de nombres.

  4. Para cambiar los permisos heredados para carpetas o raíces de espacios de nombres en un espacio de nombres DFS, use el Explorador de Windows o el comando ICacls, tal y como se describe en el sitio web de Microsoft (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=140259).

Para obtener información acerca de cómo cambiar la forma de aplicar permisos desde el símbolo del sistema o para restaurar la herencia de permisos NTFS del sistema de archivos local y conservar los permisos establecidos mediante Administración de DFS, visite el sitio web de Microsoft (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=140259).

Referencias adicionales


Tabla de contenido