Vamos a gestionar los permisos de carpetas de red, en vez de con la forma tradicional, de botón secundario –> propiedades –> seguridad, con ejecución de comando desde la consola.
Con esto conseguiremos tener «inventariados» los permisos de las carpetas y así en caso de modificación por error, poder «restaurarlos» simplemente copiando los permisos del área afectada, y ejecutándolos de nuevo. El escenario que propongo el que se ve en la imagen, y sobre él vamos a aplicar permisos.
Lo que quiero, como resultado final es lo siguiente:
Carpeta02 –> No heredará permisos de 01 y tendrá los suyos propios.
Carpeta03–> Heredará permisos de 02.
Lo primero que hago es asegurar que yo, como administrador, haga lo que haga, vaya a tener acceso a las carpetas o subcarpetas, y no mediante herencias, sino directamente con permisos aplicados sobre carpetas.
icacls «carpeta02» /T /grant «dominio\adminstrador»:(OI)(CI)(F)
El poner comillas o no, en ese ejemplo es indiferente, pero sí que hacen falta si el nombre de la carpeta o del usuario-grupo del dominio tiene espacios.
Hago que carpeta02 no herede permisos.
icacls "carpeta02" /inheritance:r
Con esto lo que consigo es que sólo se queden los permisos específicos de carpeta. Si hubiera más permisos aplicados, se podrían borrar con la opción /remove
Aplico los permisos que me interesan cara al usuario, ya que por el momento sólo me he asegurado los míos como administrador. Por ejemplo, quiero que el Grupo01 tenga permisos de acceso total, menos «Cambiar permisos» y «Tomar Posesion», y luego que el Grupo02 tenga acceso pero sólo de lectura y ejecución.
Para el Grupo01:
icacls «carpeta02» /grand «dominio\Grupo001»:(OI)(CI)(DC,M)
Para el Grupo02:
icacls «carpeta02» /grand «dominio\Grupo001»:(OI)(CI)(RX)
Ahora, nos vamos a asegurar que todas las subcarpetas de Carpeta02 tengan la herencia activada, por lo que lanzaremos un comando que se recorra todas las subcarpetas, y elimine permisos específicos, a la vez que activa la opción de herencia.
icacls «carpeta02\*» /T /reset
Jugando con este comando podemos tener toda la red de la empresa «asegurada» en cuanto a qué permisos corresponden a qué carpeta. Esto mismo se podría llevar en un documento, pero así además ganamos tiempo de respuesta en cuanto a incidencias.
Mikel Arizkuren Botello 