sábado, 12 de enero de 2019

Comandos Icacls y Net Share Windows


Icacls es una herramienta en línea de comando que permite a los administradores de sistemas mostrar o modificar los permisos asociados a los objetos del sistema de archivos (directorios y archivos) 

icacls nombreCarpeta\* /save nombreArchivoBK /T 

Realiza una copia de las listas de control de acceso discrecional (DACL) de todos los objetos contenidos en nombreCarpeta y sus subdirectorios. 

Comando ICACLS de Windows


Nos genera un archivo .txt con los permisos expresados mediante comandos. (en este caso al archivo nombreArchivoBK lo hemos llamado PermisosCMDFILE).


Comando ICACLS de Windows



Y ahora es posible restaurarlos  en caso de que se hayan perdido los permisos de las carpetas.

Para restaurar las DACLs de todos los objetos que haya en nombreCarpeta y que se encuentren dentro del archivo nombreArchivoBK. 

icacls nombreCarpeta\ /restore nombreArchivoBK 

restaurar las DACLs de todos los objetos que haya en nombreCarpeta

Habilitar o deshabilitar la herencia con . 

icacls nombreObjeto /inheritance:e|d|r 

 e - habilita la herencia 
 d - deshabilita la herencia y copia las ACE 
 r - quita todas las ACE heredadas 


Reemplaza las ACL del objeto con ACL heredadas predeterminadas. 

icacls nombreObjeto /reset /T /C /Q 

Concede los permisos indicados al usuario especificado sobre el objeto. 

icacls nombreObjeto /grant[:r] SID:permisos /T /C /Q 

Con :r, los permisos reemplazan cualquier permiso explícito concedido anteriormente. Sin :r, los permisos se agregan a cualquier permiso explícito concedido anteriormente. 

El usuario se puede indicar por su nombre o su identificador numérico (precedido de *). 

Los permisos se especifican en forma de máscara. Mediante secuencia de permisos simples: 

 N - sin acceso                          R - acceso de solo lectura 
 F - acceso total                        W - acceso de solo escritura 
 M - acceso de modificación     D - acceso de eliminación 
 RX - acceso de lectura y ejecución 

O una lista separada por comas entre paréntesis de derechos específicos:

DE – eliminar                  GA - todo genérico 
RC - control de lectura    RD - leer datos/lista de directorio 
WDAC - escribir DAC     WD - escribir datos/agregar archivo 
WO - escribir propietario AD - anexar datos/agregar subdirectorio 

 S – sincronizar               REA - leer atributos extendidos 
AS - acceso al sistema de seguridad WEA - escribir atributos extendidos 

 MA - máximo permitido             X - ejecutar/atravesar 
 GR - lectura genérica                DC - eliminar secundario 
 GW - escritura genérica            RA - leer atributos 
 GE - ejecución genérica            WA - escribir atributos 

Los derechos de herencia pueden preceder a cualquier forma y se aplican solo a directorios: 

(OI) - herencia de objeto 
(NP) - no propagar herencia 
(CI) - herencia de contenedor 
(I) - permiso heredado del contenedor principal 
(IO) - solo herencia 

/T indica que se realiza en todos los archivos o directorios bajo los directorios especificados en el objeto. 

/C indica que la operación continuará aunque haya errores. Se seguirán mostrando los mensajes de error. 

/Q indica que icacls debe suprimir los mensajes de que las operaciones se realizaron correctamente. 


Deniega de forma explícita los derechos de acceso al usuario especificado. Se agrega una denegación explícita para los permisos indicados y se quitan los mismos permisos de cualquier concesión explícita. 

icacls nombreObjeto /deny SID:permisos /T /C /Q 


Quita todas las entradas del SID en la ACL. Con :g, quita todas las repeticiones de derechos concedidos a ese SID. Con :d, quita todas las repeticiones de derechos denegados a ese SID.

icacls nombreObjeto /remove[:g|d] SID /T /C /Q 

Ejemplos 

icacls E:\PruebaPermisos /grant:r Administrador:(OI)(CI)F /T 
icacls E:\PruebaPermisos /grant:r Juan:(OI)(CI)RX /T 
icacls E:\PruebaPermisos /reset /T 

Comando Net Share 

Net Share es una herramienta en línea de comandos que permite administrar los recursos compartidos. 

Net Share nombreRecurso 

Usado sin parámetros muestra la información de todos los recursos compartidos en la máquina local. Con el nombre de un recurso muestra la información de ese recurso solamente. 

Para crear un recurso compartido sobre la ruta absoluta indicada, escribimos: 

Net Share nombreRecurso=rutaRecurso [Opciones] 

Comando Net Share  de Windows


Admite las siguientes opciones:

/grant:usuario,{read|change|full} 

Comando Net Share  de Windows


Concede privilegios al usuario sobre el recurso compartido (leer, cambiar, control total). Se puede repetir esta opción para conceder permisos a múltiples usuarios. 

Para indicar el número máximo de usuarios que pueden acceder simultáneamente al recurso compartido. 

/users:numUsuarios | /unlimited 

Añadir un comentario descriptive al recurso compartido. Debe ir entre comillas dobles. 

/remark:”textodescriptivo” 

Eliminar la compartición del recurso dado por su nombre o ruta absoluta en el sistema de archivos. 

Net Share nombreRecurso | rutaRecurso /delete

Ejemplos


Net share Probando=E:\PruebaPermisos /grant:Administrador,full /grant:Juan,read 
Net share Probando /users:4 
Net share Probando /remark:”Carpeta de prueba de compartición en red

Si la ruta lleva espacios en blanco, debe ir entre comillas dobles.

Para proporcionar información sobre los equipos de la red

Net view 

Comando Net View

Ejercicio

Vamos a crear un usuario en una carpeta personal con permisos. El usuario será una variable para poder hacer muchos usuarios. 

Ejercicio con Net Share



2 comentarios:

  1. Buenos días. Hay alguna forma de saber a que carpetas tiene acceso un usuario, pregunto porque al momento de trasladar un usuario de grupo, generalmente no se solicita retirarlo de las carpetas a las que tiene acceso y permanecen con estos permisos sin control por parte de los jefes de area.

    Gracias

    ResponderEliminar
  2. Aquí tienes un buen artículo sobre lo que me preguntas.

    https://www.fermu.com/articulos/windows/articulos-y-tutoriales/408-comando-cacls-y-lista-de-control-de-acceso

    ResponderEliminar