Gestión de recursos compartidos

El objetivo principal de esta unidad es aprender a configurar, proteger y administrar estos recursos, asegurando un equilibrio entre la disponibilidad (que los usuarios puedan acceder a lo que necesitan) y la seguridad (que solo accedan quienes estén autorizados).

Para lograrlo, es necesario comprender dos conceptos fundamentales:

• Permisos: definen las acciones que un usuario o grupo puede realizar sobre un recurso (leer, modificar, eliminar, etc.).
• Derechos: determinan qué operaciones puede llevar a cabo un usuario dentro del sistema (por ejemplo, iniciar sesión localmente, hacer copias de seguridad, apagar el servidor, etc.).

En los sistemas Windows Server, la administración de recursos compartidos se realiza a través de herramientas gráficas como el Administrador del servidor, el Explorador de archivos, o mediante directivas de grupo (GPO) que aplican configuraciones automáticas a todos los equipos del dominio.

Un aspecto esencial es establecer una estructura lógica y segura de carpetas compartidas. Por ejemplo, crear recursos específicos para cada departamento, con permisos diferenciados para usuarios y grupos, de modo que solo los miembros autorizados puedan acceder a la información sensible.

La correcta gestión de recursos compartidos no solo mejora la eficiencia y el trabajo colaborativo, sino que también previene incidentes de seguridad y pérdidas de datos, contribuyendo a un entorno de red estable, ordenado y profesional.

Diferencia entre premisos y derechos

Aunque ambos conceptos están relacionados, conviene distinguirlos con claridad:

• Permisos: controlan lo que un usuario puede hacer sobre un recurso concreto (por ejemplo, leer, escribir, modificar o eliminar un archivo o carpeta).
• Derechos de usuario: definen lo que un usuario puede hacer en el sistema operativo (por ejemplo, iniciar sesión localmente, hacer copias de seguridad o cambiar la hora del sistema).

En Windows Server, estos controles se aplican tanto a nivel local (sobre el propio servidor) como en el dominio (a través de políticas que afectan a todos los equipos conectados).

Tipos de permisos

En los sistemas Windows encontramos principalmente dos niveles de permisos:

1. Permisos de recurso compartido
   Se aplican cuando un archivo o carpeta se comparte en red.
   Afectan únicamente al acceso a través de la red.
   Los tres niveles básicos son:
   • Lectura: permite ver y abrir archivos, pero no modificarlos ni eliminarlos.
   • Cambio: permite crear, modificar y eliminar archivos en la carpeta compartida.
   • Control total: permite realizar cualquier acción, incluso cambiar los permisos o la propiedad.
2. Permisos NTFS (sistema de archivos)
   Se aplican directamente sobre el sistema de archivos del servidor, independientemente de si el recurso está compartido o no.
   Permiten un control más detallado sobre el acceso a carpetas y archivos individuales.
   Algunos permisos NTFS comunes son:
   • Leer y ejecutar
   • Modificar
   • Escritura
   • Control total

Combinación de permisos

Cuando una carpeta está compartida en red y además tiene permisos NTFS, Windows aplica la restricción más segura.
Por ejemplo:

• Si un usuario tiene Control total en los permisos de recurso compartido, pero solo Lectura en los permisos NTFS, su acceso final será solo de lectura.
• Es decir, el permiso más restrictivo prevalece.

Por esta razón, una buena práctica es mantener los permisos de recurso compartido amplios (por ejemplo, “Control total” para el grupo “Usuarios del dominio”) y controlar el acceso real mediante permisos NTFS, que son más detallados y seguros.

Derechos de usuario y directivas

Los derechos de usuario se gestionan normalmente mediante las Directivas de seguridad local o las Directivas de grupo (GPO).
Algunos ejemplos de derechos que se pueden asignar son:

• Iniciar sesión localmente.
• Acceder al equipo desde la red.
• Realizar copias de seguridad de archivos y directorios.
• Cargar y descargar controladores de dispositivo.

Estos derechos se aplican a usuarios o grupos concretos y determinan qué tipo de tareas del sistema pueden realizar.

¿Qué significa compartir un recurso?

Cuando un administrador “comparte” una carpeta o un archivo, está permitiendo que otros usuarios del dominio puedan acceder a él a través de la red, utilizando un nombre compartido (recurso compartido) y aplicando los permisos de acceso correspondientes.

Cada recurso compartido se identifica mediante una ruta UNC (Universal Naming Convention) con el formato:

\\NombreDelServidor\NombreDelRecurso

Por ejemplo:

\\Servidor-Principal\DatosEmpresa

Desde el Explorador de archivos

1. Selecciona la carpeta que quieres compartir.
2. Clic derecho → Propiedades → pestaña Compartir.
3. Pulsa Uso compartido avanzado.
4. Marca la casilla Compartir esta carpeta.
5. Introduce un nombre identificativo (por ejemplo, “Recursos”).
6. Pulsa Permisos y asigna los niveles de acceso:
   • Lectura
   • Cambio
   • Control total
7. Acepta y aplica los cambios.

De esta forma, la carpeta ya es accesible desde otros equipos del dominio.

Desde la consola Administración de equipos

Este método permite ver y controlar todos los recursos compartidos del servidor:

1. Abre la consola Administración de equipos.
2. Ve a Herramientas del sistema → Carpetas compartidas → Recursos compartidos.
3. Clic derecho → Nuevo recurso compartido.
4. Sigue el asistente para elegir carpeta, nombre y permisos.

Además, desde aquí puedes:

• Ver qué carpetas están compartidas.
• Consultar usuarios conectados a cada recurso.
• Cerrar sesiones activas o desconectar usuarios.

Desde PowerShell

Ideal para automatizar tareas o aplicar configuraciones en varios servidores.
Ejemplo de comando:

New-SmbShare -Name "Publica" -Path "D:\Datos\Publica" -FullAccess "Usuarios del dominio"

Este comando crea un recurso compartido llamado “Publica” accesible para todos los usuarios del dominio con control total.

Asignación de permisos

Al compartir un recurso, se deben definir los permisos para controlar qué usuarios o grupos pueden acceder y con qué nivel.

Se pueden otorgar a:

• Usuarios individuales
• Grupos de dominio (recomendado, por facilidad de gestión)

Ejemplo:

• Grupo Alumnos → Permiso de Lectura
• Grupo Profesores → Permiso de Cambio

Consejo: usa siempre grupos. Si un nuevo usuario se incorpora, bastará con añadirlo al grupo correspondiente, sin modificar los permisos del recurso.

Acceso desde los equipos cliente

Los usuarios pueden acceder de varias formas:

1. Por explorador de archivos:
   Escribir la ruta UNC directamente en la barra de dirección:
   \\Servidor\Recurso
2. Asignando una unidad de red:
   Permite acceder como si fuera una carpeta local:
   • En el explorador → “Este equipo” → Conectar a unidad de red.
   • Elegir una letra (por ejemplo, Z:) y escribir la ruta UNC.
   • Marcar la casilla Reconectar al iniciar sesión para mantenerla fija.
3. Mediante script de inicio de sesión:
   En entornos de dominio, se puede automatizar con un archivo .bat o .cmd:

net use Z: \\Servidor\Publica /persistent:yes

Este script puede aplicarse a través de una GPO (Directiva de grupo).

1. Crear la carpeta D:\Departamentos\Profesores.
2. Compartirla como Profesores con el asistente de “Uso compartido avanzado”.
3. En los permisos de recurso compartido: dar Control total al grupo Usuarios del dominio.
4. En los permisos NTFS:
   • Grupo Profesores: Modificar
   • Grupo Alumnos: Lectura
   • Grupo Administradores: Control total
5. Desde un equipo cliente, acceder con \\Servidor\Profesores y comprobar que los permisos se aplican correctamente.

Permisos de recurso compartido

Cuando un administrador “comparte” una carpeta o un archivo, está permitiendo que otros usuarios del dominio puedan acceder a él a través de la red, utilizando un nombre compartido (recurso compartido) y aplicando los permisos de acceso correspondientes.

Normalmente se otorga Control total a los grupos que deben gestionar los datos, pero solo Lectura o Cambio a los usuarios estándar.

Permisos NTFS

Los permisos NTFS controlan el acceso directo sobre el sistema de archivos, tanto en el acceso local como en el remoto.
Permiten definir con precisión qué usuarios o grupos pueden leer, escribir, modificar o eliminar archivos y carpetas.

Los permisos NTFS más comunes son:

Una de sus ventajas es que permiten heredar configuraciones:
Las carpetas hijas heredan los permisos de su carpeta padre, aunque esto se puede desactivar cuando sea necesario.

Combinación de permisos compartidos y NTFS

Cuando un usuario accede a una carpeta compartida que además tiene permisos NTFS, se aplica el más restrictivo de ambos.
Esto significa que si el recurso compartido concede más acceso del que los permisos NTFS permiten, prevalecerá el nivel más bajo.

Por este motivo, una buena práctica es otorgar permisos de Control total en el recurso compartido y usar los permisos NTFS para definir los niveles reales de acceso.

Permisos efectivos y herencia

Cuando un usuario pertenece a varios grupos, los permisos se combinan:

• Si un grupo tiene permiso de “Lectura” y otro de “Modificación”, el usuario tendrá Modificación (es decir, la combinación más permisiva).
• Si existe una denegación explícita, ésta prevalece sobre cualquier permiso concedido.

Ejemplo práctico:

• Un usuario pertenece a los grupos:
  • Profesores → Permiso de Modificar
  • Alumnos → Permiso de Lectura

Resultado: El usuario puede Modificar, porque es el permiso más alto.
Pero si el grupo Alumnos tiene Denegar acceso, entonces el resultado será sin acceso, aunque el otro grupo lo permita.

Buenas prácticas de configuración

1. Usar grupos, no usuarios individuales.
   Facilita la administración y reduce errores.
2. Documentar los permisos.
   Llevar un registro de qué carpetas están compartidas y qué permisos tienen.
3. Evitar compartir unidades completas (C:\ o D:).
   Siempre compartir solo carpetas específicas.
4. Aplicar la regla del menor privilegio.
   Dar solo los permisos necesarios para realizar las tareas.
5. Usar nombres descriptivos y coherentes en los recursos compartidos.

Ejemplo completo: Configuración de una jerarquía de carpetas

Objetivo: Configurar una estructura segura para los departamentos de una empresa.

1. Crear estructura de carpetas:
   • D:\Departamentos\
   • ├── RRHH
   • ├── Ventas
   • ├── Marketing
   • └── Dirección
2. Compartir la carpeta principal
   • Carpeta: D:\Departamentos
   • Nombre del recurso compartido: Departamentos
   • Permiso de recurso compartido: Control total para “Usuarios del dominio”
3. Asignar permisos NTFS
   • Grupo RRHH: Control total sobre D:\Departamentos\RRHH
   • Grupo Ventas: Modificar sobre D:\Departamentos\Ventas
   • Grupo Marketing: Modificar sobre D:\Departamentos\Marketing
   • Grupo Dirección: Lectura sobre todas las subcarpetas
4. Resultado
   • Cada departamento puede trabajar en su propia carpeta.
   • Dirección puede supervisar todos los datos sin modificarlos.
   • Ningún usuario puede acceder a carpetas de otros departamentos.