Los permisos heredados no se actualizan automáticamente al mover carpetas

Síntomas

Una lista de Control de acceso (ACL) pueden mostrar permisos que están marcados como tener ha heredado del elemento primario, pero el principal sí mismo puede no tener estos permisos configurados en su LCA. Observe que este síntoma puede producirse aunque todavía la herencia está habilitada. Cualquier modificación posterior a la ACL de la carpeta principal hace ACL el hijo recibir los permisos heredados. Además, cualquier intento de cambiar las ACL del niño hace la herencia para aplicarse (a menos que el cambio marca la ACL como protegida contra la herencia). Este comportamiento puede resultar sorprendente si no se ha observado el estado de herencia antes de empezar a editar la ACL.


Nota: Este comportamiento no puede deberse a mover una carpeta cuando se ejecuta un equipo con Windows Vista basados. La operación de mover ahora funciona porque la carpeta o el archivo puede heredar la ACL de la carpeta de destino o el archivo. El archivo o carpeta también tiene permisos que están marcados como tener ha heredado del elemento primario. Se trata de un cambio de diseño desde Windows XP a Windows Vista y Windows Server 2008.

Causa

Este comportamiento puede deberse a mover una carpeta. Al mover una carpeta, no se cambia la ACL y los permisos heredados no se actualizan. Nota que "mover" en el contexto de este artículo siempre significa desplazar dentro del mismo volumen.

Al mover un archivo o carpeta, la ACL también se mueve y no se cambia en modo alguno. Incluso si la herencia está habilitada para esta carpeta, los permisos heredados no se actualizan automáticamente. La ACL se actualizarán la próxima vez que se cambian los permisos y esto obliga a del primario se propaguen a sus permisos.

Este comportamiento también puede deberse a:

  • Establecer los permisos de una carpeta principal mediante CACLS no se propaga a las subcarpetas. Tenga en cuenta que la opción /T no significa para propagar los derechos mediante la herencia, pero para sobrescribir todas las ACL.
  • Establecer los permisos de una carpeta principal mediante una API que no propaga automáticamente la herencia (como Adssecurity.dll). Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    Herencia automática de 266461 HOWTO:Set de ADSI permisos de archivos y carpetas
  • Restaurar desde una copia de seguridad a una ubicación diferente.

Solución

Para evitar cambios de permiso inesperado, establezca la ACL de la carpeta de archivos "protegidos" antes de mover cuando desea mantener la configuración. De lo contrario, actualizar manualmente la ACL de la carpeta o el archivo movida mediante el editor de ACL de explorador. Deshabilitar y a habilitar la herencia para forzar la ACL se actualice con la derecha los permisos heredados. También puede utilizar VBScript para automatizar este proceso.

Para obtener información adicional acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

279682 HOWTO: utilizar ADsSecurity.dll para agregar una ACE a una carpeta NTFS

Estado

Este comportamiento es por diseño. Este comportamiento no se produce debido a la modificación del diseño de Windows Vista.

Más información

Pasos para reproducir el comportamiento

  1. Cree una carpeta "Prueba1" con "todos: lectura" y "usuarios: cambiar" permisos.
  2. Cree una subcarpeta de "test1\sub" y habilite la herencia del objeto principal (valor predeterminado). Esta carpeta debe mostrar "todos: lectura" y "usuarios: cambiar" como permisos heredados.
  3. Cree otra carpeta "test2" con sólo los permisos de "administradores: control total".
  4. Mover la subcarpeta "sub" a "test2".
  5. Ver los permisos en "test2\sub" ver "todos: lectura" y "usuarios: cambiar" como permisos heredados, aunque el permiso de los padres es "administradores: control total".
  6. Agregar otro grupo o usuario (como invitado) a la ACL de "sub", por ejemplo, conceder acceso de lectura mediante el editor de ACL de explorador. Después de hacer clic en Aplicar, "todos los usuarios: leer" y ": cambio de los usuarios" se quita y sólo "administradores: control total" se muestra como permisos heredados al lado de la que acaba de agregar.
Propiedades

Id. de artículo: 320246 - Última revisión: 9 ene. 2017 - Revisión: 1

Comentarios