Cada objeto tiene un conjunto de permisos efectivos asociados. En la ficha Permisos efectivos de la página de propiedades Configuración de seguridad avanzada se enumeran los permisos que se concederán al grupo o usuario seleccionado únicamente en función de los permisos concedidos directamente a través de la pertenencia al grupo. Si desea averiguar los permisos que un usuario o grupo tiene en un objeto, puede usar la herramienta Permisos efectivos.

Factores que se usan para determinar permisos efectivos

Los factores siguientes se usan para determinar permisos efectivos:

  • Pertenencia al grupo global

  • Pertenencia al grupo local

  • Permisos locales

  • Privilegios locales

  • Pertenencia a grupos universales

Factores que no se usan para determinar permisos efectivos

Los siguientes identificadores de seguridad (SID) conocidos no se utilizan para determinar los permisos efectivos:

  • Inicio de sesión anónimo

  • Lote, Grupo de creador

  • Acceso telefónico

  • Controladores de dominio empresariales

  • Interactivo

  • Red

  • Proxy

  • Restringido

  • Remoto

  • Servicio

  • Sistema

  • Usuario de Terminal Server

  • Otra organización

  • Esta organización

Además, los permisos de recurso compartido no son parte del cálculo de permisos efectivos. El acceso a los recursos compartidos se puede denegar a través de los permisos de recurso compartido incluso cuando el acceso se permite mediante permisos NTFS.

Factores que no se usan para objetos a los que se tiene acceso remoto

Los siguientes factores no se usan con el fin de determinar permisos efectivos para objetos a los que se tiene acceso remoto:

  • Pertenencia al grupo local

  • Privilegios locales

  • Permisos de recurso compartido

Los permisos efectivos se basan en una evaluación local de la pertenencia al grupo del usuario, los privilegios de usuario y los permisos. Si el recurso que se consulta se encuentra en un equipo remoto, los permisos efectivos que se muestran no incluirán los permisos concedidos o denegados al usuario a través del uso de un grupo local en el equipo remoto.

Recuperación de permisos efectivos

La recuperación exacta de la información anterior requiere permiso para leer la información de pertenencia. Si el usuario o el grupo especificado es un objeto de dominio, debe tener permiso para leer la información de grupo del objeto del dominio.

Importante
  • Cuando se usa la ficha Permisos efectivos con el fin de determinar los permisos que tiene un usuario para determinados recursos de un dominio, puede que los resultados que se muestran en la interfaz de usuario no sean coherentes con los permisos reales del usuario para ese recurso. Este problema ocurre cuando se da una de las condiciones siguientes:
    • Se ejecutan las herramientas administrativas de forma remota desde el servidor de recursos.

    • La cuenta de usuario que se usa para ejecutar las herramientas administrativas no se encuentra en el mismo dominio que el recurso.

  • Para evitar este problema, compruebe siempre los permisos efectivos localmente en el equipo que hospeda el recurso, y asegúrese de que la cuenta de usuario administrativa usada para ejecutar la herramienta se encuentra en el mismo dominio que el recurso.

A continuación se describen algunos permisos de dominio predeterminados importantes:

  • Los administradores de dominio tienen permiso para leer la información de pertenencia de todos los objetos.

  • Los administradores locales de una estación de trabajo o un servidor independiente no pueden leer la información de pertenencia de un usuario del dominio.

Herramienta Permisos efectivos

Si desea averiguar los permisos que un usuario o grupo tiene en un objeto, puede usar la herramienta Permisos efectivos. Dicha herramienta permite calcular los permisos que se concede al usuario o grupo específico. El cálculo incluye los permisos en vigor de la pertenencia a grupos y todos los permisos heredados del objeto principal. Durante el mismo se examinan todos los grupos de dominios y locales de los que el usuario o el grupo es miembro.

El grupo Todos siempre estará incluido mientras el usuario o el grupo seleccionado no sea miembro del grupo Inicio de sesión anónimo.

Importante
  • La herramienta Permisos efectivos sólo ofrece una aproximación de los permisos que tiene un usuario. Los permisos reales que el usuario tiene pueden ser distintos, dado que los permisos se conceden o deniegan en función del modo en que un usuario inicia la sesión. Esta información específica del inicio de sesión no se puede determinar con la herramienta Permisos efectivos si el usuario no ha iniciado la sesión; por lo tanto, los permisos efectivos que muestra reflejan sólo esos permisos especificados por el usuario o el grupo y no los especificados en el inicio de sesión.
  • Por ejemplo, si un usuario está conectado a este equipo mediante una carpeta compartida, el inicio de sesión de ese usuario se marca como un inicio de sesión de red. Se pueden conceder o denegar permisos al SID conocido de red que recibe el usuario conectado, de modo que un usuario tiene permisos diferentes cuando inicia la sesión localmente y cuando lo hace a través de una red.
  • Para obtener más información acerca de cómo conceder acceso para los permisos efectivos, consulte el artículo 331951 de Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=63270).

Para obtener información acerca de cómo utilizar la herramienta Permisos efectivos, consulte Ver permisos efectivos de archivos y carpetas.

Referencias adicionales

Tabla de contenido