Hace ya un tiempo hice una nota sobre las nuevas funcionalidades de Windows Server 2012 para compartir carpetas (Windows Server 2012: Compartiendo carpetas – Nuevas funcionalidades), pero en esta ocasión vamos a ver una de las opciones avanzadas como es evaluar permisos basándose en elementos combinados
¿Parece complicado esto? no, no lo es y vamos a aclararlo. Hasta ahora asignábamos los permisos basado en la pertenencia a *un grupo*, ahora podemos también asignar permisos basados en pertenencia simultánea a más de un grupo, esto es, si pertence a Grupo1 tiene sólo lectura, pero si pertence simultáneamente a Grupo1 y Grupo2 tiene modificación
Inclusive veremos en esta nota la posibilidad de obtener los permisos efectivos con simulación de pertenencia a grupos
Para la demostración he utilizado la misma infraestructura de todas las demostraciones del sitio, utilizando solamente un Controlador de Dominio (DC1) y un servidor miembro (SRV1)
Creé un Unidad Organizativa (OU1) para la prueba, donde he creado dos usuarios: “User Uno” (u1.ad.guillermod.com.ar) y “User Dos” (u2.ad.guillermod.com.ar). Y dos grupos: “Grupo1” y “Grupo2”
”User Uno” es miembro de ambos grupos, y “User Dos” es miembro de “Grupo2” únicamente
La idea es demostrar que si un usuario pertenece un grupo tiene ciertos permisos, pero si pertenece a ambos grupos tiene otros, por ejemplo más amplios
He creado un carpeta para la prueba (“Compartida”), y la he compartido. Para que no interfieran los permisos de compartido, simplemente le he dado control total a todos
Luego, en la ficha de permisos de seguridad, he cortado la herencia de permisos, pero manteniendo los actuales
Y he eliminado las dos entradas correspondientes a “Users”. Queda como muestra la figura
Para que sea algo bien genérico, con el botón “Add” le he asignado a “Authenticated Users” (“Usuarios Autentificados”) el permiso de lectura
Ingresando nuevamente con el botón “Add”, y también a “Authenticated Users” (“Usuarios Autentificados”), le doy permiso de “Modify” (“Modificar”), pero con el enlace “Add condition” (“Agregar condición”) impongo que debe pertenecer tanto a “Grupo1” como a “Grupo” para poder modificar
Aplicamos la configuración, y vamos a la ficha “Effective Access” (“Acceso Efectivo”) para que reporte cuáles serán los permisos efectivos de “User Uno”
Como “User Uno” pertences tanto a “Grupo1 como “Grupo2”, obtendrá permiso de modificar
Y si hacemos lo mismo para “User Dos”, como no pertenece a ambos grupos tendrá solamente acceso de lectura, como cualquier “Authenticated User”
Algo que aprendí hace poco. Mediante este cuadro de accesos efectivos además podemos hacer simulaciones, por ejemplo, qué permisos tendría “User Dos” si lo incluyéramos en “Grupo1”
En cuyo caso debería poder modificar
Las condiciones, también las podemos combinar entre sí. Para mostrarlo he creado un nuevo usuario (“User Tres”), que he incluido en un nuevo grupo (“Grupo3”)
Editamos los permisos que le habíamos dado a la pertenencia a los “Grupo1” y “Grupo2”, agregando una nueva condición. Esta nueva condición se puede agregar usando los operadores “AND” u “OR”
O sea, que además de los grupos existentes tenga otra condición, o como hice yo utilizando el operador “OR”, que si pertenece a “Grupo3” obtendrá el mismo acceso que si pertenece a “Grupo1” y “Grupo2”
Si vamos ahora a ver los permisos efectivos para “User Tres”, veremos que por su membresía sólo en “Grupo3” podrá modificar
Como pudimos observar, el tema de asignación de permisos ha aumentado su flexibilidad respecto a versiones anteriores del sistema operativo, proporcionando mayores facilidades
