MODULO 6

Gerenciando
Permisses

MODULO 6 1
Gerenciando Permisses

ndice
Introduo............................................................................................. 2
O que so permisses?.......................................................................................... 2
Permisses e descritores de segurana..............................................................2
Permisses explcitas e herdadas..........................................................................2
Permisses de arquivos e pastas...........................................................................3
Consideraes adicionais....................................................................................4
Como a herana afeta as permisses de arquivos e pastas...................................4
Permisses de compartilhamento e NTFS em um servidor de arquivos.................4
Consideraes adicionais....................................................................................6
Determinar onde aplicar permisses......................................................................6
Quando a caixa de seleo Aplicar estas permisses apenas a objetos e/ou
contineres dentro deste continer estiver desmarcada.................................7
Quando a caixa de seleo Aplicar estas permisses apenas a objetos e/ou
contineres dentro deste continer est marcada...........................................7
Permisses herdadas............................................................................................. 8
Herana para todos os objetos............................................................................8
Herana para objetos do Active Directory...........................................................8
Como as permisses efetivas so determinadas....................................................9
Fatores usados para determinar as permisses efetivas.....................................9
Fatores que no so usados para determinar as permisses efetivas.................9
Fatores que no so usados para objetos acessados remotamente..................10
Recuperando permisses efetivas.....................................................................10
Ferramenta Permisses Efetivas.......................................................................11

MODULO 6 2
Gerenciando Permisses

Introduo
Todo recipiente e objeto da rede tem um conjunto de informaes sobre o
controle de acesso anexado a ele. Denominadas descritores de segurana,
essas informaes controlam o tipo de acesso permitido a usurios e
grupos. As permisses so definidas em um descritor de segurana do
objeto. Elas so associadas a usurios e grupos especficos, ou a eles
atribudas.
Quando voc um membro de um grupo de segurana associado a um
objeto, tem alguma capacidade para gerenciar as permisses desse objeto.
Voc tem controle total desses seus objetos. Voc pode usar mtodos
diferentes, como Servios de Domnio Active Directory (AD DS), Diretiva de
Grupo ou listas de controle de acesso para gerenciar tipos diferentes de
objeto.
Aps este modulo, voc ser capaz de:

Criar e alterar as permisses de diretrios.

Identificar as melhores formas de implementar as permisses.

Tempo estimado: 30 minutos

O que so permisses?
Permisses e descritores de segurana
Todo recipiente e objeto da rede tem um conjunto de informaes sobre o
controle de acesso anexado a ele. Denominadas descritores de segurana,
essas informaes controlam o tipo de acesso permitido a usurios e
grupos. O descritor de segurana criado automaticamente junto com o
recipiente ou objeto. Um arquivo um exemplo comum de um objeto com
um descritor de segurana.
As permisses so definidas em um descritor de segurana do objeto. Elas
so associadas a usurios e grupos especficos, ou a eles atribudas. Por
exemplo, para o arquivo Temp.dat, ao grupo interno Administradores podem
ser atribudas as permisses Ler, Gravar e Excluir, enquanto ao grupo
Operadores de backup podem ser atribudas apenas as permisses Ler e
Gravar.
Cada atribuio de permisses a um usurio ou grupo representada no
sistema como uma entrada de controle de acesso (ACE). O conjunto todo de
entradas de permisso em um descritor de segurana conhecido como
conjunto de permisses ou lista de controle de acesso (ACL). Portanto, para
um arquivo denominado Temp.dat, o conjunto de permisses inclui duas
entradas de permisso, uma para o grupo interno Administradores e outra
para o grupo Operadores de backup.

Permisses explcitas e herdadas

H dois tipos de permisso: permisses explcitas e permisses herdadas.

MODULO 6 3
Gerenciando Permisses

As permisses explcitas so aquelas definidas por padro em objetos

que no so filho quando o objeto criado, ou por ao do usurio
em objetos pai, filho ou no-filho.

As permisses herdadas so as propagadas at um objeto a partir de

um objeto pai. As permisses herdadas facilitam a tarefa de gerenciar
permisses e garantir a consistncia das permisses em todos os
objetos de um determinado recipiente.

Por padro, os objetos de um recipiente herdam as permisses desse

recipiente ao serem criados. Por exemplo, quando voc cria uma pasta
denominada MinhaPasta, todas as subpastas e todos os arquivos criados
nela herdam automaticamente as suas permisses. Portanto, MinhaPasta
possui permisses explcitas e as subpastas e os arquivos tero permisses
herdadas.

Permisses de arquivos e pastas

A tabela a seguir lista as limitaes de acesso de cada conjunto de
permisses de acesso especiais de NTFS.
Permisses especiais

Controle
Total

Modific
ar

Ler &
Executar

Listar contedo de pastas

(somente para pastas)

Desviar
pasta/Executar
arquivo
Listar pasta/Ler
dados

Atributos de
leitura

Atributos
estendidos de
leitura
Criar
arquivos/Gravar
dados
Criar
pastas/Acrescenta
r dados
Gravar atributos

Gravar atributos
estendidos

Excluir subpastas
e arquivos

Excluir

Ler permisses

Leitu
ra

Grava
o

MODULO 6 4
Gerenciando Permisses
Alterar
Permisses

Apropriar-se

Sincronizar

Consideraes adicionais
Apesar das opes Listar Contedo de Pastas e Ler & Executar
parecerem ter as mesmas permisses especiais. Essas permisses
so herdadas de formas diferentes. A permisso Listar Contedo de
Pastas herdada por pastas, mas no por arquivos, e deve aparecer
apenas quando voc exibir as permisses de pasta. A permisso Ler
& Executar herdada por arquivos e pastas e est sempre presente
quando voc exibe permisses de arquivo ou pasta.
Nesta verso do Windows, por padro, o grupo Todos no inclui o
grupo Logon Annimo; portanto, as permisses aplicadas ao grupo
Todos no afetam o grupo Logon Annimo.

Como a herana afeta as permisses de arquivos e

pastas
Depois de definir permisses em uma pasta pai, os novos arquivos e
subpastas nela criados herdam essas permisses. Para que eles no herdem
as permisses, selecione Esta pasta somente na caixa Aplicar em
quando configurar permisses especiais para a pasta pai. Permisses de
acesso especiais podem ser acessadas na guia Permisses. Para impedir
apenas determinados arquivos ou subpastas de herdar permisses, clique
com o boto direito do mouse no arquivo ou na subpasta, clique em
Propriedades, clique na guia Segurana, clique em Avanado e
desmarque a caixa de seleo Incluir permisses herdveis
provenientes do pai deste objeto.
Se a caixa de seleo Permitir ou Negar associada a cada permisso
aparecer sombreada, o arquivo ou a pasta herdou permisses da pasta pai.
H trs maneiras de efetuar alteraes em permisses herdadas:

Selecione a permisso oposta (Permitir ou Negar) para substituir a

permisso herdada.

Desmarque a caixa de seleo Incluir permisses herdveis

provenientes do pai deste objeto. Agora voc j pode fazer
alteraes nas permisses ou remover o usurio ou grupo da lista de
permisses. Entretanto, o arquivo ou pasta deixar de herdar
permisses da pasta pai.

Faa as alteraes na pasta pai e o arquivo ou pasta herdar essas

permisses.

MODULO 6 5
Gerenciando Permisses
Na maioria dos casos, Negar substitui Permitir, a menos que uma pasta
esteja herdando definies conflitantes de pais diferentes. Nesse caso, a
definio herdada do pai mais prximo ao objeto da subrvore ser
utilizada.

Permisses de compartilhamento e NTFS em um servidor

de arquivos
O acesso a uma pasta em um servidor de arquivos pode ser determinado
por dois conjuntos de entradas de permisso: o conjunto de permisses de
compartilhamento em uma pasta e o conjunto de permisses de NTFS na
pasta (que tambm pode ser definido nos arquivos). As permisses de
compartilhamento so geralmente usadas para gerenciar computadores
com sistemas de arquivos FAT32 ou outros computadores que no usam o
sistema de arquivos NTFS.
As permisses de compartilhamento e as permisses de NTFS so
independentes no sentido de que nenhuma altera a outra. As permisses de
acesso final em uma pasta compartilhada so determinadas levando-se em
considerao as entradas de permisso de compartilhamento e de NTFS. As
permisses mais restritivas so aplicadas em seguida.
A tabela a seguir sugere permisses equivalentes que um administrador
pode conceder ao grupo Usurios para determinados tipos de pastas
compartilhadas.
Outra
abordagem

definir
permisses
de
compartilhamento como Controle Total para o grupo Todos e confiar
inteiramente nas permisses de NTFS para restringir o acesso.
Tipo de
pasta
Pasta
pblica.
Pasta
que pode
ser
acessada
por
qualquer
pessoa.
Pastadepsito.
Pasta em
que os
usurios
podem
armazen
ar
relatrio
s
confiden

Permisses de
compartilham
ento
Conceda a
permisso
Alterar para o
grupo
Usurios.

Permisses de NTFS

Conceda a
permisso
Alterar ao
grupo
Usurios.
Conceda a
permisso
Controle Total
ao gerente do
grupo.

Conceda a permisso Gravar ao grupo

Usurios aplicado a Esta Pasta somente.
(Essa opo est disponvel na pgina
Avanado.)
Se cada usurio precisar de permisses
especficas para os arquivos que ele
armazenou, voc poder criar uma entrada
de permisso para o identificador de
segurana conhecido (SID) do proprietrio
criador e aplic-la a Subpastas e arquivos
somente. Por exemplo, voc pode conceder

Conceda a permisso Modificar para o grupo

Usurios.

MODULO 6 6
Gerenciando Permisses
ciais ou
deveres
de casa
que
somente
podero
ser lidos
pelo
gerente
do grupo
ou pelo
instrutor.
Pasta de
aplicativ
os. Pasta
que
contm
aplicativ
os que
podem
ser
executad
os
atravs
da rede.
Pasta
base.
Pasta
individua
l de cada
usurio.
Somente
o usurio
tem
acesso
pasta.

Conceda a
permisso
Leitura ao
grupo
Usurios.

Conceda a
permisso
Controle Total
para cada
usurio em
sua
respectiva
pasta.

a permisso de leitura e gravao ao SID do

proprietrio criador na pasta de
armazenamento e aplic-la a todas as
subpastas e arquivos. Isso conceder ao
usurio que armazenou ou criou o arquivo (o
proprietrio criador) a capacidade de ler e
gravar no arquivo. O Proprietrio Criador
poder ento acessar o arquivo por meio do
comando Executar usando
\\Nome_do_servidor\Pasta_depsito\Nome_d
o_arquivo.
Conceda a permisso Controle Total ao
gerente do grupo.
Conceda as permisses Ler, Ler & Executar e
Listar Contedo da Pasta ao grupo Usurios.

Conceda a permisso Controle Total para

cada usurio em sua respectiva pasta.

Consideraes adicionais

Conceder a permisso de NTFS Controle total em uma pasta permite

a um usurio apropriar-se da pasta, a menos que ele esteja restrito de
alguma maneira. Tome cuidado ao conceder a permisso Controle
total.

MODULO 6 7
Gerenciando Permisses

Se desejar gerenciar o acesso pasta usando exclusivamente as

permisses de NTFS, defina as permisses de compartilhamento
como Controle Total para o grupo Todos.

As permisses de NTFS afetam o acesso localmente e remotamente.

Elas so aplicadas, independentemente do protocolo. As permisses
de compartilhamento, ao contrrio, so aplicadas apenas aos
compartilhamentos de rede. As permisses de compartilhamento no
restringem o acesso a qualquer usurio local ou a qualquer usurio do
servidor de terminal, do computador em que voc definiu permisses
de compartilhamento. Portanto, as permisses de compartilhamento
no oferecem privacidade entre os usurios de um computador, nem
em um servidor de terminal acessado por vrios usurios.

Por padro, o grupo Todos no inclui o grupo Annimo; portanto, as

permisses aplicadas ao grupo Todos no afetam o grupo Annimo.

Determinar onde aplicar permisses

Ao definir permisses avanadas em arquivos e pastas, voc pode usar a
caixa de dilogo Entrada de Permisso para <Nome do Objeto> para
definir os objetos descendentes que herdaro permisses.
Para localizar essa caixa de dilogo, clique em Avanado na interface de
usurio de controle de acesso. Na guia Permisses, clique duas vezes em
Editar.
Na caixa de dilogo Entrada de permisso para <nome do objeto>, a
caixa Aplicar em da guia Objeto lista os locais aos quais voc pode aplicar
permisses. Marcar a caixa de seleo Aplicar estas permisses apenas
a objetos e/ou contineres dentro deste continer determina como
essas permisses sero aplicadas.
Por padro, a caixa de seleo fica desmarcada. Consulte as tabelas a
seguir para obter detalhes sobre como as permisses herdadas so
aplicadas:
Quando a caixa de seleo Aplicar estas permisses apenas a
objetos e/ou contineres dentro deste continer estiver
desmarcada
Aplicar
em

Aplica
permiss
es
pasta
atual

Aplica
permiss
es a
subpastas
na pasta

Aplica
permiss
es a
arquivos
na pasta

Aplica
permisses
a todas as
subpastas
subsequent

Aplica
permisses
a arquivos
em todas as
subpastas

MODULO 6 8
Gerenciando Permisses

Esta
pasta
soment
e
Essa
pasta,
subpast
as e
arquivo
s
Esta
pasta e
subpast
as
Esta
pasta e
arquivo
s
Subpas
tas e
arquivo
s
soment
e
Subpas
tas
soment
e
Arquivo
s
soment
e

atual

atual

es

subsequente
s

Quando a caixa de seleo Aplicar estas permisses apenas a

objetos e/ou contineres dentro deste continer est marcada
Aplicar
em

Aplica
permiss
es
pasta
atual

Esta
pasta
soment

Aplica
permiss
es a
subpastas
na pasta
atual

Aplica
permiss
es a
arquivos
na pasta
atual

Aplica
permisses
a todas as
subpastas
subsequent
es

Aplica
permisses
a arquivos
em todas as
subpastas
subsequente
s

MODULO 6 9
Gerenciando Permisses
e
Esta
pasta,
subpast
as e
arquivo
s
Esta
pasta e
subpast
as
Esta
pasta e
arquivo
s
Subpas
tas e
arquivo
s
soment
e
Subpas
tas
soment
e
Arquivo
s
soment
e

Permisses herdadas
As permisses herdadas so as propagadas at um objeto a partir de um
objeto pai. As permisses herdadas facilitam a tarefa de gerenciar
permisses e garantir a consistncia das permisses em todos os objetos de
um determinado recipiente.
Herana para todos os objetos
Se as caixas de seleo de permisso Permitir e Negar nas vrias partes
da interface do usurio de controle de acesso estiverem sombreadas
quando voc exibir as permisses de um objeto, ele herdou permisses de
um objeto pai. Essas permisses herdadas podem ser definidas na guia
Permisses da pgina de propriedades Configuraes de Segurana
Avanadas.
H trs maneiras recomendadas de fazer alteraes em permisses
herdadas:

MODULO 6 10
Gerenciando Permisses

Faa as alteraes no objeto pai no qual as permisses esto

explicitamente definidas e o objeto filho herdar essas permisses.

Selecione a permisso Permitir para substituir a permisso Negar

herdada.

Desmarque a caixa de seleo Incluir permisses herdveis

provenientes do pai deste objeto. Em seguida, voc poder fazer
alteraes nas permisses ou remover usurios ou grupos da lista
Permisses. Entretanto, o objeto deixar de herdar permisses do
objeto pai.

Quando a entrada Permisses Especiais em Permisses para <usurio

ou grupo> est sombreada, isso no significa que essa permisso foi
herdada. Significa que uma permisso especial foi selecionada.
Na guia Permisses da pgina Permisses de Segurana Avanadas
para <Pasta>, em Entradas de permisso, a coluna Aplicar a lista as
pastas ou subpastas s quais uma permisso aplicada. A coluna Herdar
de lista de onde as permisses foram herdadas.
Voc pode usar o campo Aplicar a da pgina Entrada de Permisso
para<Pasta> para selecionar as pastas ou subpastas s quais as
permisses devem ser aplicadas.
Herana para objetos do Active Directory
No caso de objetos do Active Directory, ao usar uma opo Aplicar a para
controlar a herana, voc deve estar ciente de que no s os objetos
especificados na caixa Aplicar a herdaro essa ACE (entrada de controle de
acesso), mas todos os objetos filho tambm recebero uma cpia dessa
ACE. Os objetos filho no especificados na caixa Aplicar a recebero cpias
da ACE, mas no a aplicaro. Se houver objetos suficientes recebendo
cpias dessa ACE, essa quantidade maior de dados poder ocasionar srios
problemas de desempenho na rede.
Se atribuir permisses a um objeto pai e desejar que os objetos filho herdem
essas entradas de permisso, voc poder manter um timo desempenho
certificando-se de que todos os objetos filho tm listas de controle de
acesso (ACLs) idnticas. No Windows, a instncia nica permite que os
Servios de Domnio Active Directory (AD DS) armazenem somente uma
cpia de todas as ACLs idnticas. A criao de ACLs que podem ser
utilizadas por vrios objetos permite preservar o desempenho da rede.

Como as permisses efetivas so determinadas

Cada objeto tem um conjunto de permisses efetivas associado. A guia
Permisses Efetivas da pgina de propriedades Configuraes de
Segurana Avanadas lista as permisses que seriam concedidas ao

MODULO 6 11
Gerenciando Permisses
grupo ou usurio selecionado com base exclusivamente nas permisses
concedidas diretamente por meio da associao de grupo.
Fatores usados para determinar as permisses efetivas
Os seguintes fatores so usados para determinar as permisses efetivas:

Membros do grupo global

Membros do grupo local
Permisses locais
Privilgios locais
Membro do grupo universal

Fatores que no so usados para determinar as permisses efetivas

Os conhecidos identificadores de segurana (SIDs) a seguir no so usados
para determinar permisses efetivas:

Logon Annimo
Em lotes, Grupo criador
Dialup
Controladores de domnio de empresa
Interativo
Rede
Proxy
Restrito
Remoto
Servio
Sistema
Usurio do servidor de terminal
Outra organizao
Esta organizao

Alm disso, as permisses de compartilhamento no fazem parte do clculo

de permisses efetivas. O acesso aos compartilhamentos pode ser negado
atravs das permisses de compartilhamento, mesmo quando o acesso
permitido atravs de permisses de NTFS.
Fatores que no so usados para objetos acessados remotamente
Os seguintes fatores no so usados para determinar permisses efetivas
de objetos acessados remotamente:

Associao de grupo local

Privilgios locais
Permisses de compartilhamento

As permisses efetivas se baseiam em uma avaliao local da associao de

grupo do usurio, dos privilgios do usurio e das permisses. Se o recurso
consultado estiver em um computador remoto, as permisses efetivas
exibidas no incluiro permisses concedidas ou negadas ao usurio por
meio do uso de um grupo local no computador remoto.

MODULO 6 12
Gerenciando Permisses
Recuperando permisses efetivas
Uma recuperao precisa das informaes acima requer permisso de
leitura das informaes de participao. Se o usurio ou o grupo
especificado for um objeto de domnio, voc dever ter permisso para ler
as informaes de grupo do objeto sobre o domnio.
Importante
Quando voc usa a guia Permisses Efetivas para determinar as
permisses que um usurio tem para certos recursos de um domnio, os
resultados exibidos na interface do usurio podem ser inconsistentes
com as permisses reais do usurio nesse recurso. Esse problema ocorre
quando uma das seguintes condies verdadeira:

Voc executa as ferramentas administrativas remotamente no

servidor de recursos.

A conta de usurio utilizada para executar as ferramentas

administrativas no est no mesmo domnio do recurso.

Para evitar esse problema, sempre verifique as permisses efetivas

localmente em um computador que hospede o recurso e verifique se a
conta de usurio administrativa usada para executar a ferramenta est
no mesmo domnio do recurso.
Estas so algumas permisses de domnio padro relevantes:

Os administradores de domnio tm permisso para ler informaes

de participao sobre todos os objetos.

Os administradores locais em uma estao de trabalho ou em um
servidor autnomo no podem ler as informaes de participao de
um usurio do domnio.

Ferramenta Permisses Efetivas

Para saber quais permisses um usurio ou grupo possui em um objeto,
voc pode usar a ferramenta Permisses Efetivas. Ela calcula as permisses
concedidas ao usurio ou grupo especificado. O clculo inclui as permisses
efetivas da associao de grupo e todas as permisses herdadas do objeto
pai. Ela pesquisa todos os grupos de domnio e locais dos quais o usurio ou
o grupo membro.
O grupo Todos sempre ser includo se o usurio ou o grupo selecionado no
for membro do grupo Logon annimo.
Importante

MODULO 6 13
Gerenciando Permisses
A ferramenta Permisses efetivas somente produz uma aproximao
das permisses de um usurio. As permisses reais do usurio podem
ser diferentes, pois elas podem ser concedidas ou negadas dependendo
do modo de logon de um usurio. Essas informaes especficas de
logon no podero ser determinadas pela ferramenta Permisses
Efetivas se o usurio no estiver conectado; portanto, as permisses
efetivas exibidas refletiro apenas aquelas especificadas pelo usurio ou
grupo, e no as permisses especificadas pelo logon.
Por exemplo, se um usurio estiver conectado ao computador por uma
pasta compartilhada, o logon desse usurio ser marcado como logon
de rede. As permisses podem ser concedidas ou negadas ao SID
conhecido da rede que o usurio conectado recebe; portanto, quando
est conectado localmente, o usurio tem permisses diferentes de
quando est conectado pela rede.