Creación dinámica de carpetas redirigidas o carpetas principales mejoradas para la seguridad
En este artículo se describe cómo crear dinámicamente carpetas redirigidas mejoradas para la seguridad o carpetas principales.
Se aplica a: Windows Server 2012 R2
Número de KB original: 274443
Resumen
En Microsoft Windows Server Active Directory, como administrador, puede personalizar los escritorios mediante redirección de carpetas o asignar una carpeta principal basada en el servidor. Además, puede redirigir las siguientes carpetas mediante Active Directory y directiva de grupo:
- Datos de aplicaciones
- Escritorio
- Mis documentos
- Mis documentos/Mis imágenes
- Menú Inicio
Para encontrar más información sobre el redireccionamiento de carpetas, busque la Ayuda de Windows para redirección de carpetas.
Al redirigir carpetas a una ubicación compartida en una red, necesita acceso de lectura y escritura a esta ubicación para poder leer el contenido de estas carpetas. Sin embargo, en algunos escenarios, es posible que no quiera conceder acceso de lectura a otros usuarios.
Creación de carpetas redirigidas mejoradas para la seguridad
Para asegurarse de que solo el usuario y los administradores de dominio tengan permisos para abrir una carpeta redirigida determinada, siga estos pasos:
Seleccione una ubicación central en el entorno donde desea almacenar el redireccionamiento de carpetas y, a continuación, comparta esta carpeta. En este ejemplo, se usan FLDREDIR y HOMEDIR.
Establezca Permisos de uso compartido para el grupo Todos en Control total.
Use la siguiente configuración para los permisos NTFS:
- CREATOR OWNER : control total (aplicar a: solo subcarpetas y archivos)
- Sistema: control total (aplicar a: esta carpeta, subcarpetas y archivos)
- Administradores de dominio: control total (aplicar a: esta carpeta, subcarpetas y archivos)
- Todos: Crear carpeta o anexar datos (aplicar a: solo esta carpeta)
- Todos: lista de datos de carpeta o lectura (aplicar a: solo esta carpeta)
- Todos: leer atributos (aplicar a: solo esta carpeta)
- Todos: carpeta de recorrido/archivo de ejecución (aplicar a: solo esta carpeta)
Configure la directiva de redireccionamiento de carpetas como se describe en la Ayuda de Windows. Use una ruta de acceso similar a
\\server\FLDREDIR\%username%para crear una carpeta en la carpeta compartida, FLDREDIR.También puede configurar una carpeta principal "HOMEDIR" de forma similar mediante la copia de un usuario de plantilla con una carpeta principal como
\\server\HOMEDIR\%username%, o bien crear el usuario y la carpeta con ese nombre.Nota:
En el caso de las carpetas principales, el escenario no es común, ya que al agregar la carpeta principal de un usuario, Usuarios y equipos de Active Directory creará la carpeta. Pero si usa un aprovisionamiento personalizado, Usuarios y equipos de Active Directory no crea la carpeta. Por lo tanto, tienes que hacerlo por ti mismo.
Por qué estos permisos ayudan a mejorar la seguridad de las carpetas de recursos compartidos
Dado que el grupo Todos tiene el derecho Crear carpeta/Anexar datos, los miembros del grupo tienen los permisos adecuados para crear la carpeta; sin embargo, los miembros no pueden leer los datos posteriormente. El grupo Nombre de usuario es el nombre del usuario que inició sesión al crear la carpeta. Dado que la carpeta es un elemento secundario de la carpeta primaria, hereda los permisos asignados a FLDREDIR. Además, dado que el usuario está creando la carpeta, obtiene el control total de la carpeta debido a la configuración del permiso de propietario del creador .
Más información
El artículo se escribió inicialmente para Windows Server 2003 y la entrada de control de acceso (ACE) para CreatorOwner probablemente se convirtió en:
<Folder-User> : control total (aplicar a: esta carpeta, subcarpetas y archivos)
Pero no hay ninguna prueba de que esto haya sucedido. Las versiones anteriores del artículo no mencionan el resultado de la lista de control de acceso (ACL) y las versiones de los sistemas operativos para los que se escribió este artículo ya no se admiten.
A finales de mayo de 2017, todos los sistemas operativos compatibles convirtieron la ACE a:
<Folder-User> : control total (aplicar a: solo este objeto)
Pero esto no afecta a las operaciones diarias de las carpetas para los usuarios. Hace una diferencia cuando el administrador tiene que trabajar en el contenido de las carpetas principales o carpetas redirigidas.
Si desea asegurarse de que el usuario obtiene el control total heredado en todos los objetos secundarios, debe:
Cree la carpeta coincidente para los usuarios samaccountname por sí mismo.
Establezca los permisos necesarios para la carpeta, omita las ACE todos los usuarios anteriores y asegúrese de que tiene la ACE:
<Folder-User> : control total (aplicar a: esta carpeta, subcarpetas y archivos)
Referencias
Para obtener más información, consulte Introducción al redireccionamiento de carpetas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de