Como funciona a arquitetura de

permissão do Windows
Atribuindo permissões
As permissões são privilégios concedidos a entidades de sistema
específicos , como usuários , grupos ou computadores , permitindo-
lhes realizar uma tarefa ou acessar um recurso . Por exemplo , você
pode conceder uma permissão específica do usuário para ler um
arquivo ao mesmo tempo negar que mesmo usuário as permissões
necessárias para modificar ou excluir o arquivo. O Windows Server
2012 tem vários conjuntos de permissões , que operam de forma
independente um do outro. Para fins de compartilhamento de
arquivos, você deve estar familiarizado com a operação dos seguintes
sistemas de permissão:

 As permissões de compartilhamento:

controlar o acesso a pastas em uma rede. Para acessar um arquivo

em uma rede, o usuário deve ter permissões de compartilhamento
apropriados ( e permissões NTFS adequadas se a pasta
compartilhada é em um volume NTFS) .

 Permissões NTFS:

Controlar o acesso aos arquivos e pastas armazenados em volumes

de disco formatados com o sistema de arquivos NTFS. Para acessar
um arquivo , tanto no sistema local ou em uma rede , um usuário
deve ter as permissões NTFS adequadas.
Estes sistemas de permissão de operar independentemente um do
outro e , por vezes, combinam-se para proporcionar uma maior
proteção a um recurso específico . Para usuários de rede ser capaz de
acessar uma pasta compartilhada em uma unidade NTFS , você deve
conceder as permissões de compartilhamento e permissões NTFS.
Como você viu anteriormente, você pode conceder essas permissões,
como parte do processo de criação da ação, mas você também pode
modificar as permissões em qualquer momento depois.
Entendendo a arquitetura de permissão do Windows
Para armazenar as permissões, cada um desses elementos tem uma
lista de controle de acesso ( ACL). Uma ACL é uma coleção de
permissões individuais, sob a forma de entradas de controle de
acesso (ACEs) . Cada ACE consiste em uma entidade de segurança
(isto é, o nome do usuário, grupo ou computador concedidas as
permissões) e as permissões específicas atribuídas a essa entidade de
segurança. Quando você gerenciar permissões em qualquer um dos
sistemas de permissão do Windows Server 2012, você está, na
verdade, criando e modificando as ACEs em uma ACL.

Para gerenciar permissões no Windows Server 2012 , você pode usar

uma aba em Propriedades do elemento protegido, com as entidades
de segurança listadas na parte superior e as permissões associadas a
eles na parte inferior. As permissões de compartilhamento são
normalmente encontradas nas abas Permissões de
compartilhamento e permissões NTFS.Todos os sistemas de
permissão Windows usam a mesma interface de base. Server
Manager também fornece acesso NTFS e permissões de
compartilhamento usando uma interface um pouco diferente.
Entendendo as permissões básicas e avançadas
As permissões de proteção de um arquivo não são como senhas. As
permissões são projetadas para ser granular , o que permite a
concessão de graus específicos de acesso a entidades de segurança.
Para fornecer essa granularidade, cada um dos sistemas de
permissão do Windows tem uma variedade de permissões que você
pode atribuir a uma entidade de segurança em qualquer combinação.
Dependendo do sistema de permissão com a qual você está
trabalhando, você pode ter dezenas de diferentes permissões
disponíveis para um único elemento do sistema.
O Windows oferece combinações pré-configurada adequada para a
maioria das tarefas de controle de acesso comum. Quando você abrir
a opção de propriedades de um elemento do sistema e olhar a guia
segurança , as permissões NTFS que você vê são chamados
permissões básicas .
Por exemplo, o sistema de permissões NTFS tem 14 permissões
avançadas você pode atribuir a uma pasta ou arquivo. No entanto,
também existem seis permissões básicas. Na maioria dos casos, os
administradores trabalham apenas com permissões básicas. Muitos
administradores raramente, ou nunca, trabalharam diretamente com
permissões avançadas.
Se você achar que é necessário no seu ambiente trabalhar com
permissões avançadas, o Windows torna possível. Quando você clicar
no botão Avançado na guia Segurança de qualquer opção de
propriedades, uma caixa de diálogo Configurações de segurança
avançadas, o que lhe permite acessar diretamente as ACEs para o
elemento do sistema selecionado.
Permitir e negar permissões
Quando você atribuir permissões a um elemento do sistema, você
está, na verdade, criando um novo ACE na ACL do elemento. Existem
dois tipos básicos de ACE: Permitir e Negar. Isso torna possível
abordar as tarefas de gerenciamento de permissão de duas direções:
Aditivo: Iniciar sem permissões e conceder as permissões aos objetos
conforme o necessário
Diminutivo: concedendo todas as permissões possíveis  e negar
somente o que não pode ser visto.
A maioria dos administradores preferem a abordagem aditiva,
porque o Windows, por padrão, tenta limitar o acesso. Em uma
hierarquia de permissões planejada, o uso de negar permissões é
muitas vezes desnecessário. Muitos administradores desaprovam seu
uso porque misturar “permitir” e “ negar” pode dificultar a resolução
de problemas.
Herança de permissões
O princípio mais importante na gestão de permissão é que as
permissões tendem a correr para baixo através de uma hierarquia.
Isso é chamado de herança de permissão . Herança de permissão
significa que elementos pai passar suas permissões para baixo (pasta
filho)e seus elementos subordinados. Por exemplo, quando você
concede Alice permissão para acessar a raiz da unidade D, todas as
pastas e subpastas na unidade D herdam essas permissões , e Alice
pode acessá-los .
O princípio da herança simplifica muito o processo de atribuição de
permissão . Sem ele, você teria que conceder permissões individuais
para cada arquivo, pasta, objeto e etc. Com a herança , você pode
conceder acesso a um sistema de arquivo inteiro , criando um
conjunto de permissões.
Em algumas situações , um administrador pode querer impedir que
elementos subordinados herdem permissões de seus pais. Há duas
maneiras de fazer isso:

 Desligue herança:  Ao atribuir permissões avançadas , você pode

configurar uma ACE para não passar suas permissões aos elementos
subordinados. Isto bloqueia eficazmente o processo.

 Negar permissões:  Quando você atribuir uma permissão Negar a um

elemento do sistema , ela substitui qualquer Permitir que as permissões
que o elemento pode ter herdado de seus objetos pai .

 
Permissões Efetivas
Ela calcula as permissões concedidas ao usuário ou grupo
especificado. O cálculo leva em conta as permissões em vigor
relativas à participação em um grupo, bem como qualquer permissão
herdada do objeto pai. Ela pesquisa todos os grupos de domínio e
locais dos quais o usuário ou o grupo é membro.
O grupo “Todos” sempre será incluído se o usuário ou o grupo
selecionado não for membro do grupo “Logon anônimo”. Na família
Windows Server°2003, o grupo Todos não inclui mais Logon Anônimo.
A ferramenta “Permissões efetivas” somente produz uma
aproximação das permissões de um usuário. As permissões reais do
usuário podem ser diferentes, pois elas podem ser concedidas ou
negadas dependendo do modo de logon de um usuário. Essas
informações específicas de logon não podem ser determinadas pela
ferramenta <b>Permissões efetivas</b> já que o usuário não está
conectado; portanto, as permissões efetivas exibidas refletirão
apenas as especificadas pelo usuário ou pelo grupo, e não as
especificadas pelo logon.
Por exemplo, se um usuário estiver conectado a esse computador
através de um compartilhamento de arquivo, o logon desse usuário
será marcado como logon de rede. As permissões podem ser
concedidas ou negadas à rede SID (identificador de segurança) que o
usuário conectado recebe, portanto, um usuário terá permissões
diferentes quando estiver conectado localmente das permissões
concedidas quando estiver conectado por meio de uma rede
Definindo permissões de compartilhamento

No Windows Server 2012, as pastas compartilhadas têm o seu próprio

sistema de permissões, que é independente dos outros sistemas de
permissão do Windows. Para os usuários da rede  acessar
compartilhamentos em um servidor de arquivos, você deve conceder-
lhes as permissões de compartilhamento apropriadas. Por padrão, a
identidade especial “Todo mundo “ recebe a permissão de Permitir
controle total de todas as novas ações criadas.
Para modificar as permissões de compartilhamento para um
compartilhamento existente usando o Gerenciador de arquivos, você
deve abrir a opção de propriedades para a pasta compartilhada,
selecione a guia Compartilhamento e clique em Compartilhamento
Avançado e permissões para abrir a guia Permissões de
compartilhamento
Usando esta interface, você pode adicionar objetos de segurança e
permitir ou negar-lhes as três permissões de compartilhamento. Para
ter um controle avançado sobre essas permissões, abra o ” server
mananger”, clique em “File and Storage Services”, clique em “Shares”,
clique com o botão direito no titulo do compartilhamento depois
propriedades, em seguida em permissões e finalizando, permissões
avançadas

Entendendo autorização NTFS
No sistema de permissões NTFS, que ReFS também suporta, as
entidades de segurança envolvidas são usuários e grupos, que o
Windows se refere usando identificadores de segurança (SID).
Quando um usuário tenta acessar um arquivo ou pasta NTFS, o
sistema lê o token de acesso de segurança do usuário, que contém os
SIDs para a conta do usuário e todos os grupos aos quais o usuário
pertence. O sistema então compara esses SIDs para os armazenados
no arquivo ou ACEs da pasta para determinar o que o usuário pode
acessar. Este processo é chamado de autorização.
Atribuindo permissões NTFS avançadas

No Windows Server 2012, a capacidade de gerenciar permissões avançadas

está integrado à interface que você usa para gerenciar permissões básicas.

Na caixa de diálogo Entrada de permissão, clique no Permissões Avançadas .

Você poderá então atribuir permissões avançadas em qualquer combinação,
tal como faria permissões básicas.

Combinando permissões de compartilhamento e NTFS

É importante que os administradores de servidor de arquivos  entendam que o

sistema NTFS e sistema de compartilhamento estão completamente separados
, e que, para os usuários da rede acessar arquivos em uma unidade NTFS
compartilhada , eles devem ter ambas permissões configuradas corretamente.

As permissões de compartilhamento e NTFS atribuídas a um arquivo ou pasta

podem entrar em conflito . Por exemplo, se um usuário tem permissão NTFS
de gravar e modificar uma pasta, mas não tem a permissão de
compartilhamento Alterar , o usuário não será capaz de modificar um arquivo
nessa pasta.

O sistema de permissão de compartilhamento é o mais simples dos sistemas

de permissão do Windows , e fornece apenas uma proteção básica para
recursos compartilhados de rede  em contraste com o muito mais complexo
sistema de permissões NTFS. Geralmente, os administradores de rede
preferem usar NTFS ou permissões de compartilhamento, mas não ambos. As
permissões de compartilhamento oferecem proteção limitada, mas isso pode
ser suficiente em algumas redes pequenas.

As permissões de compartilhamento também pode ser a única opção em um

computador com unidades FAT32 porque o sistema de arquivos FAT não tem
seu próprio sistema de permissão.Em grandes redes que já possuem um
sistema bem planejado de permissões NTFS , as permissões de
compartilhamento não são necessárias .

Nenhum conteúdo relacionado

PUBLICADO EM WINDOWS | TAGS: NTFS, WINDOWS, WINDOWS SERVER 2008, WINDOWS SERVER 2012 | 3
COMENTÁRIOS