Gestión de recursos compartidos con Windows Server

El objetivo principal de esta unidad es aprender a configurar, proteger y administrar estos recursos, asegurando un equilibrio entre la disponibilidad (que los usuarios puedan acceder a lo que necesitan) y la seguridad (que solo accedan quienes estén autorizados).

Para lograrlo, es necesario comprender dos conceptos fundamentales:

• Permisos: definen las acciones que un usuario o grupo puede realizar sobre un recurso (leer, modificar, eliminar, etc.).
• Derechos: determinan qué operaciones puede llevar a cabo un usuario dentro del sistema (por ejemplo, iniciar sesión localmente, hacer copias de seguridad, apagar el servidor, etc.).

En los sistemas Windows Server, la administración de recursos compartidos se realiza a través de herramientas gráficas como el Administrador del servidor, el Explorador de archivos, o mediante directivas de grupo (GPO) que aplican configuraciones automáticas a todos los equipos del dominio.

Un aspecto esencial es establecer una estructura lógica y segura de carpetas compartidas. Por ejemplo, crear recursos específicos para cada departamento, con permisos diferenciados para usuarios y grupos, de modo que solo los miembros autorizados puedan acceder a la información sensible.

La correcta gestión de recursos compartidos no solo mejora la eficiencia y el trabajo colaborativo, sino que también previene incidentes de seguridad y pérdidas de datos, contribuyendo a un entorno de red estable, ordenado y profesional.

Diferencia entre premisos y derechos

Aunque ambos conceptos están relacionados, conviene distinguirlos con claridad:

• Permisos: controlan lo que un usuario puede hacer sobre un recurso concreto (por ejemplo, leer, escribir, modificar o eliminar un archivo o carpeta).
• Derechos de usuario: definen lo que un usuario puede hacer en el sistema operativo (por ejemplo, iniciar sesión localmente, hacer copias de seguridad o cambiar la hora del sistema).

En Windows Server, estos controles se aplican tanto a nivel local (sobre el propio servidor) como en el dominio (a través de políticas que afectan a todos los equipos conectados).

Tipos de permisos

En los sistemas Windows encontramos principalmente dos niveles de permisos:

1. Permisos de recurso compartido
   Se aplican cuando un archivo o carpeta se comparte en red.
   Afectan únicamente al acceso a través de la red.
   Los tres niveles básicos son:
   • Lectura: permite ver y abrir archivos, pero no modificarlos ni eliminarlos.
   • Cambio: permite crear, modificar y eliminar archivos en la carpeta compartida.
   • Control total: permite realizar cualquier acción, incluso cambiar los permisos o la propiedad.
2. Permisos NTFS (sistema de archivos)
   Se aplican directamente sobre el sistema de archivos del servidor, independientemente de si el recurso está compartido o no.
   Permiten un control más detallado sobre el acceso a carpetas y archivos individuales.
   Algunos permisos NTFS comunes son:
   • Leer y ejecutar
   • Modificar
   • Escritura
   • Control total

Combinación de permisos

Cuando una carpeta está compartida en red y además tiene permisos NTFS, Windows aplica la restricción más segura.
Por ejemplo:

• Si un usuario tiene Control total en los permisos de recurso compartido, pero solo Lectura en los permisos NTFS, su acceso final será solo de lectura.
• Es decir, el permiso más restrictivo prevalece.

Por esta razón, una buena práctica es mantener los permisos de recurso compartido amplios (por ejemplo, “Control total” para el grupo “Usuarios del dominio”) y controlar el acceso real mediante permisos NTFS, que son más detallados y seguros.

Derechos de usuario y directivas

Los derechos de usuario se gestionan normalmente mediante las Directivas de seguridad local o las Directivas de grupo (GPO).
Algunos ejemplos de derechos que se pueden asignar son:

• Iniciar sesión localmente.
• Acceder al equipo desde la red.
• Realizar copias de seguridad de archivos y directorios.
• Cargar y descargar controladores de dispositivo.

Estos derechos se aplican a usuarios o grupos concretos y determinan qué tipo de tareas del sistema pueden realizar.

¿Qué significa compartir un recurso?

Cuando un administrador “comparte” una carpeta o un archivo, está permitiendo que otros usuarios del dominio puedan acceder a él a través de la red, utilizando un nombre compartido (recurso compartido) y aplicando los permisos de acceso correspondientes.

Cada recurso compartido se identifica mediante una ruta UNC (Universal Naming Convention) con el formato:

\\NombreDelServidor\NombreDelRecurso

Por ejemplo:

\\Servidor-Principal\DatosEmpresa

Desde el Explorador de archivos

1. Selecciona la carpeta que quieres compartir.
2. Clic derecho → Propiedades → pestaña Compartir.
3. Pulsa Uso compartido avanzado.
4. Marca la casilla Compartir esta carpeta.
5. Introduce un nombre identificativo (por ejemplo, “Recursos”).
6. Pulsa Permisos y asigna los niveles de acceso:
   • Lectura
   • Cambio
   • Control total
7. Acepta y aplica los cambios.

De esta forma, la carpeta ya es accesible desde otros equipos del dominio.

Desde la consola Administración de equipos

Este método permite ver y controlar todos los recursos compartidos del servidor:

1. Abre la consola Administración de equipos.
2. Ve a Herramientas del sistema → Carpetas compartidas → Recursos compartidos.
3. Clic derecho → Nuevo recurso compartido.
4. Sigue el asistente para elegir carpeta, nombre y permisos.

Además, desde aquí puedes:

• Ver qué carpetas están compartidas.
• Consultar usuarios conectados a cada recurso.
• Cerrar sesiones activas o desconectar usuarios.

Desde PowerShell

Ideal para automatizar tareas o aplicar configuraciones en varios servidores.
Ejemplo de comando:

New-SmbShare -Name "Publica" -Path "D:\Datos\Publica" -FullAccess "Usuarios del dominio"

Este comando crea un recurso compartido llamado “Publica” accesible para todos los usuarios del dominio con control total.

Asignación de permisos

Al compartir un recurso, se deben definir los permisos para controlar qué usuarios o grupos pueden acceder y con qué nivel.

Se pueden otorgar a:

• Usuarios individuales
• Grupos de dominio (recomendado, por facilidad de gestión)

Ejemplo:

• Grupo Alumnos → Permiso de Lectura
• Grupo Profesores → Permiso de Cambio

Consejo: usa siempre grupos. Si un nuevo usuario se incorpora, bastará con añadirlo al grupo correspondiente, sin modificar los permisos del recurso.

Acceso desde los equipos cliente

Los usuarios pueden acceder de varias formas:

1. Por explorador de archivos:
   Escribir la ruta UNC directamente en la barra de dirección:
   \\Servidor\Recurso
2. Asignando una unidad de red:
   Permite acceder como si fuera una carpeta local:
   • En el explorador → “Este equipo” → Conectar a unidad de red.
   • Elegir una letra (por ejemplo, Z:) y escribir la ruta UNC.
   • Marcar la casilla Reconectar al iniciar sesión para mantenerla fija.
3. Mediante script de inicio de sesión:
   En entornos de dominio, se puede automatizar con un archivo .bat o .cmd:

net use Z: \\Servidor\Publica /persistent:yes

Este script puede aplicarse a través de una GPO (Directiva de grupo).

1. Crear la carpeta D:\Departamentos\Profesores.
2. Compartirla como Profesores con el asistente de “Uso compartido avanzado”.
3. En los permisos de recurso compartido: dar Control total al grupo Usuarios del dominio.
4. En los permisos NTFS:
   • Grupo Profesores: Modificar
   • Grupo Alumnos: Lectura
   • Grupo Administradores: Control total
5. Desde un equipo cliente, acceder con \\Servidor\Profesores y comprobar que los permisos se aplican correctamente.

Permisos de recurso compartido

Cuando un administrador “comparte” una carpeta o un archivo, está permitiendo que otros usuarios del dominio puedan acceder a él a través de la red, utilizando un nombre compartido (recurso compartido) y aplicando los permisos de acceso correspondientes.

Normalmente se otorga Control total a los grupos que deben gestionar los datos, pero solo Lectura o Cambio a los usuarios estándar.

Permisos NTFS

Los permisos NTFS controlan el acceso directo sobre el sistema de archivos, tanto en el acceso local como en el remoto.
Permiten definir con precisión qué usuarios o grupos pueden leer, escribir, modificar o eliminar archivos y carpetas.

Los permisos NTFS más comunes son:

Una de sus ventajas es que permiten heredar configuraciones:
Las carpetas hijas heredan los permisos de su carpeta padre, aunque esto se puede desactivar cuando sea necesario.

Combinación de permisos compartidos y NTFS

Cuando un usuario accede a una carpeta compartida que además tiene permisos NTFS, se aplica el más restrictivo de ambos.
Esto significa que si el recurso compartido concede más acceso del que los permisos NTFS permiten, prevalecerá el nivel más bajo.

Por este motivo, una buena práctica es otorgar permisos de Control total en el recurso compartido y usar los permisos NTFS para definir los niveles reales de acceso.

Permisos efectivos y herencia

Cuando un usuario pertenece a varios grupos, los permisos se combinan:

• Si un grupo tiene permiso de “Lectura” y otro de “Modificación”, el usuario tendrá Modificación (es decir, la combinación más permisiva).
• Si existe una denegación explícita, ésta prevalece sobre cualquier permiso concedido.

Ejemplo práctico:

• Un usuario pertenece a los grupos:
  • Profesores → Permiso de Modificar
  • Alumnos → Permiso de Lectura

Resultado: El usuario puede Modificar, porque es el permiso más alto.
Pero si el grupo Alumnos tiene Denegar acceso, entonces el resultado será sin acceso, aunque el otro grupo lo permita.

Buenas prácticas de configuración

1. Usar grupos, no usuarios individuales.
   Facilita la administración y reduce errores.
2. Documentar los permisos.
   Llevar un registro de qué carpetas están compartidas y qué permisos tienen.
3. Evitar compartir unidades completas (C:\ o D:).
   Siempre compartir solo carpetas específicas.
4. Aplicar la regla del menor privilegio.
   Dar solo los permisos necesarios para realizar las tareas.
5. Usar nombres descriptivos y coherentes en los recursos compartidos.

Ejemplo completo: Configuración de una jerarquía de carpetas

Objetivo: Configurar una estructura segura para los departamentos de una empresa.

1. Crear estructura de carpetas:
   • D:\Departamentos\
   • ├── RRHH
   • ├── Ventas
   • ├── Marketing
   • └── Dirección
2. Compartir la carpeta principal
   • Carpeta: D:\Departamentos
   • Nombre del recurso compartido: Departamentos
   • Permiso de recurso compartido: Control total para “Usuarios del dominio”
3. Asignar permisos NTFS
   • Grupo RRHH: Control total sobre D:\Departamentos\RRHH
   • Grupo Ventas: Modificar sobre D:\Departamentos\Ventas
   • Grupo Marketing: Modificar sobre D:\Departamentos\Marketing
   • Grupo Dirección: Lectura sobre todas las subcarpetas
4. Resultado
   • Cada departamento puede trabajar en su propia carpeta.
   • Dirección puede supervisar todos los datos sin modificarlos.
   • Ningún usuario puede acceder a carpetas de otros departamentos.

Ventajas de compartir impresoras

• Ahorro de costes: evita tener que instalar una impresora en cada equipo.
• Mantenimiento centralizado: los controladores y configuraciones se gestionan desde el servidor.
• Control de acceso: solo los usuarios o grupos autorizados pueden imprimir o gestionar trabajos.
• Registro de uso: el servidor puede registrar la actividad de impresión y generar informes.

Instalación del rol de servicios de impresión

Para gestionar impresoras desde Windows Server se utiliza el rol de Servicios de impresión y documentos, que incluye la consola Administrador de impresión.

1. Abrir el Administrador del servidor.
2. Seleccionar Agregar roles y características.
3. En el asistente, marcar Servicios de impresión y documentos.
4. Aceptar e instalar.

Una vez instalado, aparecerá la consola Administrador de impresión, desde la cual se podrán agregar, compartir y controlar las impresoras.

Agregar e instalar una impresora

Hay dos opciones principales:

1. Impresora local o conectada por red
   • Desde el Administrador de impresión, seleccionar Agregar impresora.
   • Elegir si la impresora está conectada físicamente al servidor o se encuentra en la red.
   • Instalar el controlador adecuado (manual o automático).
2. Impresora virtual (PDF o XPS)
   • Para entornos de prácticas o pruebas, se puede usar una impresora virtual:
     • Instalar Microsoft Print to PDF o XPS Document Writer.
     • Permite simular una impresora real sin necesidad de hardware.

Compartir una impresora en red

1. Abrir el Administrador de impresión → seleccionar la impresora.
2. Clic derecho → Propiedades → pestaña Compartir.
3. Activar la casilla Compartir esta impresora.
4. Escribir un nombre descriptivo (por ejemplo, SalaProfesores).
5. Opcional: marcar Renderizar trabajos de impresión en los equipos cliente para reducir la carga del servidor.

Una vez compartida, la impresora estará disponible mediante la ruta: \\Servidor\SalaProfesores

Asignación de permisos de impresión

Los permisos de impresión se configuran en la pestaña Seguridad de las propiedades de la impresora.
Por defecto, los grupos más importantes son:

Evita otorgar “Gestionar impresora” a usuarios no técnicos. Puede implicar cambios en controladores o puertos.

Conectar una impresora desde un cliente del dominio

Los usuarios pueden conectar la impresora compartida de dos formas:

1. Manualmente:
   • Abrir Panel de control → Dispositivos e impresoras → Agregar impresora.
   • Seleccionar Agregar una impresora de red.
   • Buscar o escribir la ruta UNC (por ejemplo, \\Servidor\SalaProfesores).
   • Instalar el controlador automáticamente si el servidor lo proporciona.
2. Mediante Directiva de grupo (GPO):
   • El administrador puede asignar la impresora a todos los equipos de un grupo organizativo:
     • En el servidor: abrir la consola GPMC.
     • Crear o editar una GPO → “Configuración de usuario → Preferencias → Panel de control → Impresoras”.
     • Agregar una Impresora compartida y establecer la ruta.
     • Así, al iniciar sesión, la impresora se agrega automáticamente a los equipos de los usuarios.

Administración y supervisión

El Administrador de impresión permite:

• Ver colas de impresión activas.
• Cancelar o pausar trabajos específicos.
• Consultar qué usuarios han impreso y cuándo.
• Establecer prioridades y límites de impresión por usuario o grupo.

Esto es muy útil en entornos donde varias personas comparten una misma impresora (por ejemplo, secretaría, profesorado o departamentos).

Ejemplo práctico completo

Objetivo: Configurar y compartir una impresora para el departamento de administración.

1. Instalar el rol de “Servicios de impresión y documentos”.
2. Agregar la impresora Microsoft Print to PDF.
3. Compartirla con el nombre AdministracionPDF.
4. En Seguridad, otorgar:
   • Grupo Administración: Imprimir
   • Grupo Dirección: Imprimir
   • Grupo Administradores: Gestionar impresora y documentos
5. Desde un equipo cliente, conectar la impresora usando:\\Servidor\AdministracionPDF
6. Imprimir un documento de prueba para comprobar la conectividad.

1. Instala la impresora virtual Microsoft Print to PDF.
2. Compártela como ImpresoraCentral.
3. Da permisos:
   • Grupo Alumnos: Imprimir
   • Grupo Profesores: Gestionar documentos
   • Administradores: Control total
4. Conecta la impresora desde un cliente con un usuario del grupo Alumnos.
5. Imprime un documento de prueba.

Comprobación:
Desde el servidor, abre el Administrador de impresión y verifica que el trabajo se registra correctamente en la cola.

Principios básicos (reglas de oro)

• Menor privilegio: da solo lo imprescindible (Lectura/Modificar). Evita “Control total” salvo a administradores.
• Grupos, no usuarios: asigna permisos a grupos; incorpora personas a esos grupos.
• Separa compartido y NTFS: comparte “abierto” (p. ej., Control total al grupo “Usuarios del dominio”) y restringe en NTFS con detalle.
• Estructura clara: /Departamentos/Area/Proyecto… Sin compartir raíces de disco.
• Nombres coherentes: \\SRV-FS\Departamentos, \\SRV-FS\RRHH$ (oculta con $ lo sensible).
• Revisión periódica: inventario de shares, propietarios, permisos y uso real.
• Copias y restauración probadas: sin restore verificado, no hay seguridad real.

Seguridad en el acceso (NTFS + compartido)

• Modelo de roles: crea grupos por rol (Lectores, Editores, Owners).
• Herencia controlada: rompe herencia solo donde haga falta; documenta excepciones.
• Denegar es excepcional: solo para bloquear explícitamente (recuerda que “Denegar” prevalece).
• Access-Based Enumeration (ABE): los usuarios solo ven lo que pueden abrir.

Endurecimiento de SMB y autenticación

• Desactiva SMBv1 (obsoleto/vulnerable).
  Desde Powershell Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
• Firma de SMB (SMB signing) y, si procede, cifrado SMB en shares sensibles (Windows Server 2022+)
  Set-SmbServerConfiguration -EnableSecuritySignature $true
# Cifrado por recurso compartido
Set-SmbShare -Name "RRHH" -EncryptData $true
• utenticación: prioriza Kerberos, minimiza NTLM. En dominios: endurece “Network security: Restrict NTLM” vía GPO si es viable.

Políticas de grupo (GPO) útiles

• Asignar unidades de red/impresoras:
  User Config → Preferences → Windows Settings → Drive Maps / Printers.
• Restringir Panel de control/USB (si procede):
  User Config → Admin Templates → System / Removable Storage Access.
• Scripts de inicio de sesión (mapear drives con lógica):
  User Config → Windows Settings → Scripts (Logon).

Paso 1 — Activar auditoría en política:

Para que el sistema comience a registrar los eventos, primero hay que habilitar la auditoría desde las Directivas de grupo (GPO).

Ruta: Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Configuración avanzada de directiva de auditoría → Acceso a objetos (Object Access)

Allí se deben habilitar las siguientes subopciones:

Paso 2 — Activar auditoría en política:

Una vez activada la política, hay que indicar qué carpeta o recurso se auditará.

Pasos:

1. En el servidor, clic derecho sobre la carpeta → Propiedades → pestaña Seguridad → botón Opciones avanzadas.
2. Ir a la pestaña Auditoría → Agregar.
3. Seleccionar el usuario o grupo a auditar (por ejemplo, Usuarios del dominio o RRHH).
4. Marcar los tipos de acceso que se auditarán:
   • Éxito → cuando la acción se realiza correctamente.
   • Error → cuando se deniega.
5. Seleccionar las acciones concretas a auditar (por ejemplo: Eliminar, Crear archivos, Modificar permisos, Leer datos).

Consultar los eventos registrados

Los registros se almacenan en el Visor de eventos, dentro de:

Ruta: Visor de eventos → Registros de Windows → Seguridad

Los eventos más útiles son:

También puedes exportar los eventos a un archivo .evtx o crear tareas programadas que envíen un aviso por correo o registro centralizado (SIEM).

Buenas prácticas de auditoría

• ✔ Audita solo lo necesario.
  No es práctico registrar todo: audita acciones críticas (borrado, cambio de permisos, escritura).
• ✔ Define una política de retención.
  Configura el tamaño máximo del log de seguridad (p. ej. 256 MB) y la acción al llenarse (sobrescribir eventos antiguos).
• ✔ No uses cuentas genéricas.
  Si todos inician sesión con “usuario1”, no sabrás quién hizo qué. Asigna credenciales individuales.
• ✔ Protege los registros.
  Solo administradores deben poder borrar o modificar el log de seguridad.
• ✔ Haz revisiones periódicas.
  Revisa los logs al menos una vez por trimestre (o semanalmente en entornos sensibles).

1. Accede al servidor y abre el Administrador de impresión.
2. Haz clic derecho sobre la impresora ImpresoraCentral → Propiedades → pestaña Seguridad.
3. Pulsa en Opciones avanzadas → pestaña Auditoría.
4. Agrega el grupo Usuarios del dominio y marca las acciones a auditar:
   • Imprimir
   • Gestionar documentos
5. Abre el Visor de eventos en el servidor y accede a:
   Aplicaciones y servicios → Microsoft → Windows → PrintService → Operational
6. Activa el registro si aparece deshabilitado (clic derecho → Habilitar registro).
7. Desde un equipo cliente, imprime uno o varios documentos usando la impresora ImpresoraCentral.
8. Vuelve al Visor de eventos y filtra por los siguientes identificadores de evento:
   • 307 – Trabajo de impresión completado.
   • 805 – Trabajo de impresión cancelado.

Comprobación:
Comprueba que el Visor de eventos muestra la información de cada trabajo de impresión: usuario que imprimió, nombre del documento, impresora utilizada y número de páginas.