Derechos de carpetas

Sobre una carpeta haz botón derecho y selecciona Propiedades

Selecciona la pestaña Seguridad

En el primer cuadro, Nombres de grupos o usuarios, aparecen los grupos de usuarios
(representados por dos cabezas) y los usuarios (una cabeza) para los que se han definido
permisos.

En el segundo cuadro, Permisos de …, aparecen los permisos del usuario o grupo de usuarios
sobre esa carpeta. Para ver los permisos de cada grupo de usuarios o de cada usuario
selecciónalo.

Para hacer este documento he creado el usuario de nombre user. Es un usuario estándar. En
las imágenes no aparece el usuario user, pero es miembro del grupo Usuarios. Como el grupo
Usuarios tiene permisos de Lectura y otros, sobre la carpeta, el usuario user también tiene
esos permisos, por pertenecer al grupo.

Ahora voy a mantener los permisos para el grupo Usuarios, pero no permitir la lectura al
usuario user.

Hago clic sobre el botón Editar… y me aparece la ventana

Con los botones Agregar… y Quitar puedo agregar o quitar usuarios o grupos de usuarios.
Agrego el usuario user

En la ventana
Puedes escribir el nombre del usuario o pinchar en Opciones avanzadas… y luego en el botón
Buscar ahora.

Una vez que ya tenemos al usuario user en la caja Nombres de grupos o usuarios: podemos
decidir qué permisos tiene.

Si marco en Denegar el permisos de Lectura queda de la siguiente manera

Y cuando acepto o aplico aparece la siguiente pantalla

De esta manera, el usuario user no podrá entrar en la carpeta pero los demás miembros del
grupo Usuarios sí.

Si intento entrar como user aparece lo siguiente

Cuando pulso el botón Continuar aparece

Y pinchando en ficha Seguridad

  Crea una carpeta en D: y tres usuarios como usuarios estándar. Al primero no le
permitas entrar en la carpeta, al segundo no le permitas escribir en la carpeta y al
tercero no le cambies los permisos. Comprueba qué puedes hacer con cada uno.

Listado de permisos (sacado de la ayuda)

Entrada de permiso (cuadro de diálogo)

Entre los permisos de carpeta se incluyen Control total, Modificar, Leer y ejecutar,
Mostrar el contenido de la carpeta, Leer y Escribir. Para obtener más información
acerca de estos permisos, consulte Permisos de archivos y carpetas. Cada uno de estos
permisos se compone de un grupo lógico de permisos especiales que se enumeran y
definen a continuación. No todos los permisos especiales se aplicarán a todos los
objetos.

Permiso Descripción
el permiso Recorrer carpeta permite o deniega el movimiento por las
carpetas para llegar a otros archivos o carpetas, incluso si el usuario
no tiene permisos para las carpetas recorridas. Este permiso sólo surte
efecto si no se otorga al grupo o usuario el derecho de usuario Omitir
comprobación de recorrido en la Consola de administración de
directivas de grupo. De forma predeterminada, el grupo Todos tiene el
Recorrer
derecho de usuario Omitir comprobación de recorrido. (Sólo afecta
carpeta /
a carpetas).
Ejecutar
archivo
el permiso Ejecutar archivo permite o deniega la ejecución de
archivos de programa. (Sólo afecta a los archivos).

Al configurar el permiso Recorrer carpeta en una carpeta no se define

de manera automática el permiso Ejecutar archivo en todos los
archivos de esa carpeta.
El permiso Listar carpeta permite o deniega ver nombres de archivos y
subcarpetas de la carpeta. Este permiso sólo afecta al contenido de esa
carpeta, con independencia de si la carpeta en la que se configura el
Listar carpeta /
permiso aparecerá en la lista. (Sólo afecta a carpetas).
Leer datos
El permiso Leer datos permite o deniega la vista de datos en archivos.
(Sólo afecta a los archivos).
Permite o deniega la vista de los atributos de un archivo o carpeta,
Leer atributos
como sólo lectura y oculto. Los atributos se definen mediante NTFS.
Atributos Permite o deniega la vista de atributos extendidos de un archivo o
extendidos de carpeta. Los atributos extendidos se definen mediante programas y
lectura pueden variar según el programa.
Crear archivos
El permiso Crear archivos permite o deniega la creación de archivos
/ Escribir datos
 dentro de la carpeta. (Sólo afecta a carpetas).

El permiso Escribir datos permite o deniega la realización de cambios

en el archivo y la sobrescritura del contenido existente. (Sólo afecta a
los archivos).
El permiso Crear carpetas permite o deniega la creación de carpetas
dentro de la carpeta. (Sólo afecta a carpetas).
Crear carpetas
o agregar datos El permiso Agregar datos permite o deniega la realización de cambios
al final del archivo pero no el cambio, eliminación ni sobrescritura de
los datos existentes. (Sólo afecta a los archivos).
Permite o deniega el cambio de los atributos de un archivo o de una
carpeta, como sólo lectura y oculto. Los atributos se definen mediante
NTFS.

Atributos de El permiso Atributos de escritura no implica la creación o eliminación

escritura de archivos o carpetas, sólo incluye el permiso para realizar cambios
en los atributos de un archivo o una carpeta. Para permitir (o denegar)
operaciones de creación o eliminación, vea Crear archivos / Escribir
datos, Crear carpetas / Anexar datos, Eliminar subcarpetas y
archivos y Eliminar.
Permite o deniega el cambio de los atributos extendidos de un archivo
o carpeta. Los atributos extendidos se definen mediante programas y
pueden variar según el programa.
Atributos
El permiso Atributos extendidos de escritura no implica la creación o
extendidos de
eliminación de archivos o carpetas, sólo incluye el permiso para
escritura
realizar cambios en los atributos de un archivo o una carpeta. Para
permitir (o denegar) operaciones de creación o eliminación, vea
Crear archivos / Escribir datos, Crear carpetas / Anexar datos,
Eliminar subcarpetas y archivos y Eliminar.
Eliminar
Permite o deniega la eliminación de subcarpetas y archivos, incluso si
subcarpetas y
no se ha otorgado el permiso Eliminar en la subcarpeta o archivo.
archivos
Permite o deniega la eliminación del archivo o de la carpeta. Si no ha
obtenido el permiso Eliminar en un archivo o carpeta, podrá
Eliminar
eliminarlo si se le ha otorgado el permiso Eliminar subcarpetas y
archivos en la carpeta principal.
Permisos de Permite o deniega la lectura de los permisos del archivo o carpeta,
lectura como Control total, Leer y Escribir.
Cambiar Permite o deniega el cambio de los permisos del archivo o carpeta,
permisos como Control total, Leer y Escribir.
Permite o deniega la toma de posesión del archivo o de la carpeta. El
Tomar
propietario de un archivo o de una carpeta siempre puede cambiar los
posesión
permisos, independientemente de los permisos existentes.
Permite o deniega a diferentes subprocesos que esperen al
Sincronizar
identificador de archivo o carpeta y que se sincronicen con otro
 subproceso que pueda enviarle señales. Este permiso sólo se aplica a
programas multiproceso y de varios subprocesos.

Si un usuario no está en la caja de usuarios con permisos, ni en un grupo con permisos, no

podrá acceder a la carpeta.

He quitado a user del grupo Usuarios y le he quitado de la caja Nombres de grupos o usuarios:

Haz lo mismo, ¿puedes acceder? Quizá sí puedas acceder, y es por los permisos heredados del
directorio padre de la carpeta. Quita los permisos heredados de la carpeta.

En la ventana
Pulsa en Opciones avanzadas

En la ventana que aparece en la primera pestaña

Pulsa el botón Cambiar permisos… y pincha en Incluir todos los permisos primarios heredables
de este objeto

Pincha en Agregar y Acepta en todas las ventanas de los permisos. Ahora puedes quitar los
grupos Usuarios autentificados y Usuarios.

Como puedes ver el grupo Usuarios autentificados pertenece al grupo Usuarios (sacado de la
ayuda de Windows)

Los miembros del grupo Usuarios pueden realizar  Tener acceso a

las tareas más habituales, como ejecutar este equipo desde
Usuarios
aplicaciones, usar impresoras locales y de red, y la red
bloquear el equipo. Los miembros de este grupo no
 pueden compartir directorios ni crear impresoras  Permitir el inicio
locales. Los grupos Usuarios de dominio, Usuarios de sesión local
autenticados e Interactivo son miembros de este
grupo de forma predeterminada. Por tanto, todas las  Omitir
cuentas de usuario que se crean en el dominio son comprobación de
miembros de este grupo. recorrido

 Cambiar la zona
horaria

 Aumentar el
espacio de
trabajo de un
proceso

 Quitar equipo de
la estación de
acoplamiento

 Apagar el
sistema

Más concretamente en http://es.wikipedia.org/wiki/Grupo_de_usuarios puedes leer lo

siguiente sobre el grupo Usuarios autentificados.

Usuarios autentificados: Agrupa a todos los usuarios que poseen una cuenta propia para
conectarse al sistema, solo pueden ver algunos archivos y carpetas del sistema y leer,
modificar y eliminar los archivos pertenecientes a su cuenta.

Grupos locales predeterminados

En la carpeta Grupos, que se encuentra en el complemento Usuarios y grupos locales de
MMC (Microsoft Management Console), se muestran los grupos locales
predeterminados y los creados por los usuarios. Los grupos locales predeterminados se
crean automáticamente al instalar el sistema operativo. La pertenencia a un grupo local
supone para el usuario tener los permisos y la capacidad de realizar diversas tareas en el
equipo local.

Puede agregar cuentas de usuario locales, cuentas de usuario de dominio, cuentas de

equipo y cuentas de grupo a los grupos locales. Para obtener más información acerca de
cómo agregar miembros a los grupos locales, vea Agregar un miembro a un grupo local.

Nota
Si desea obtener más información acerca del grupo del que debe ser miembro para
completar un procedimiento determinado, varios temas de Usuarios y grupos
locales: Cómo… proporcionan una nota que identifica esta información.
La tabla siguiente ofrece descripciones de los grupos predeterminados que se
encuentran en la carpeta Grupos. Dicha tabla también muestra los derechos de usuario
predeterminados para cada grupo. Estos derechos de usuario se asignan en la directiva
de seguridad local.

Derechos de usuario
Grupo Descripción
predeterminados
 Tener acceso a este
equipo desde la red

 Ajustar las cuotas

de la memoria para
un proceso

 Permitir el inicio
de sesión local

 Permitir el inicio
de sesión mediante
los Servicios de
Escritorio remoto

Los miembros de este grupo tienen  Hacer copias de

control total del equipo y pueden seguridad de
asignar derechos de usuario y permisos archivos y
de control de acceso a los usuarios directorios
según sea necesario. La cuenta
Administrador es un miembro  Omitir
Administradores predeterminado de este grupo. Cuando comprobación de
un equipo se une a un dominio, el grupo recorrido
Admins. de dominio se agrega
 Cambiar la hora
automáticamente a este grupo. Puesto
del sistema
que este grupo tiene control total del
equipo, tenga precaución al agregarle  Cambiar la zona
usuarios. horaria

 Crear un archivo
de paginación

 Crear objetos
globales

 Crear vínculos
simbólicos

 Depurar programas

 Forzar cierre desde

un sistema remoto
  Suplantar a un
cliente tras la
autenticación

 Aumentar
prioridad de
programación

 Cargar y descargar
controladores de
dispositivo

 Iniciar sesión como

proceso por lotes

 Administrar
registro de
seguridad y
auditoría

 Modificar valores
de entorno
firmware

 Realizar tareas de
mantenimiento del
volumen

 Analizar un solo
proceso

 Analizar el
rendimiento del
sistema

 Quitar equipo de la
estación de
acoplamiento

 Restaurar archivos
y directorios

 Apagar el sistema

 Tomar posesión de
archivos y otros
objetos

Los miembros de este grupo pueden  Tener acceso a este

Operadores de
hacer copias de seguridad y restaurar equipo desde la red
copia de seguridad
archivos de un equipo,
 independientemente de los permisos que  Permitir el inicio
protejan dichos archivos. Es así porque de sesión local
el derecho a realizar una copia de
seguridad tiene preferencia sobre todos  Hacer copias de
los permisos de archivo. Los miembros seguridad de
de este grupo no pueden cambiar la archivos y
configuración de seguridad. directorios

 Omitir
comprobación de
recorrido

 Iniciar sesión como

proceso por lotes

 Restaurar archivos
y directorios

 Apagar el sistema

 No hay derechos
Los miembros de este grupo están
Operadores de usuario
autorizados a realizar operaciones
criptográficos predeterminados.
criptográficas.
 No hay derechos
Los miembros de este grupo pueden
Usuarios de COM de usuario
iniciar, activar y usar objetos DCOM en
distribuido predeterminados.
un equipo.

Los miembros de este grupo disponen

de un perfil temporal que se crea al
 No hay derechos
iniciar la sesión y que se elimina cuando
de usuario
Invitados el miembro la cierra. La cuenta Invitado
predeterminados.
(que está deshabilitada de forma
predeterminada) también es miembro
del grupo de forma predeterminada.
 No hay derechos
Es un grupo integrado que usa Internet de usuario
IIS_IUSRS
Information Services (IIS). predeterminados.

Los miembros de este grupo pueden

 No hay derechos
Operadores de modificar la configuración TCP/IP, y
de usuario
configuración de renovar y liberar las direcciones
predeterminados.
red TCP/IP. Este grupo no tiene ningún
miembro predeterminado.
Los miembros de este grupo pueden
 No hay derechos
Usuarios del administrar los contadores de
de usuario
registro de rendimiento, los registros y las alertas
predeterminados.
rendimiento de un equipo, tanto de forma local como
desde clientes remotos, sin ser
 miembros del grupo Administradores.
Los miembros de este grupo pueden
supervisar los contadores de
 No hay derechos
Usuarios del rendimiento de un equipo, tanto de
de usuario
monitor de forma local como desde clientes
predeterminados.
sistema remotos, sin ser miembros de los grupos
Administradores o Usuarios del registro
de rendimiento.
De forma predeterminada, los miembros
de este grupo no tienen más derechos o
permisos de usuario que una cuenta de
usuario estándar. El grupo Usuarios
avanzados de versiones anteriores de
Windows se diseñó para otorgar
derechos y permisos de administrador
específicos para realizar tareas del
sistema habituales. En esta versión de
 No hay derechos
Windows, las cuentas de usuario
Usuarios de usuario
estándar tienen, de forma inherente, la
avanzados predeterminados.
capacidad de realizar las tareas de
configuración más habituales, como el
cambio de las zonas horarias. En el caso
de las aplicaciones heredadas que
requieren los mismos derechos y
permisos del grupo Usuarios avanzados
que se encontraban en versiones
anteriores de Windows, los
administradores pueden aplicar una
plantilla de seguridad que los otorgue.
 Permitir el inicio
Los miembros de este grupo pueden de sesión mediante
Usuarios de
iniciar una sesión en el equipo de forma los Servicios de
escritorio remoto
remota. Escritorio remoto

Este grupo admite funciones de réplica.

El único miembro del grupo Replicador
debe ser una cuenta de usuario de  No hay derechos
dominio que se use para iniciar sesión de usuario
Replicador
en los servicios de Replicador de un predeterminados.
controlador de dominio. No agregue a
este grupo cuentas de usuario de
usuarios reales.
Los miembros del grupo Usuarios  Tener acceso a este
pueden realizar las tareas más equipo desde la red
habituales, como ejecutar aplicaciones,
Usuarios usar impresoras locales y de red, y  Permitir el inicio
bloquear el equipo. Los miembros de de sesión local
este grupo no pueden compartir
directorios ni crear impresoras locales.  Omitir
 Los grupos Usuarios de dominio, comprobación de
Usuarios autenticados e Interactivo son recorrido
miembros de este grupo de forma
predeterminada. Por tanto, todas las  Cambiar la zona
cuentas de usuario que se crean en el horaria
dominio son miembros de este grupo.
 Aumentar el
espacio de trabajo
de un proceso

 Quitar equipo de la
estación de
acoplamiento

 Apagar el sistema

Ofrecer  No hay derechos

Los miembros de este grupo pueden
aplicaciones de usuario
ofrecer Asistencia remota a los usuarios
auxiliares de predeterminados
de este equipo.
asistencia remota

Más sobre herencia de permisos (ayuda de Windows)

Permisos heredados
Los permisos heredados son los que se propagan a un objeto desde un objeto primario.
Los permisos heredados facilitan la tarea de administrar permisos y aseguran su
coherencia entre todos los objetos de un contenedor determinado.

Herencia de todos los objetos

Si las casillas de permisos Permitir y Denegar de las distintas partes de la interfaz de
usuario de control de acceso están sombreadas cuando ve los permisos de un objeto, el
objeto tendrá permisos heredados de un objeto primario. Puede configurar estos
permisos heredados mediante la ficha Permisos de la página de propiedades
Configuración de seguridad avanzada.

Hay tres modos recomendados de realizar cambios en los permisos heredados:

 Realice los cambios en el objeto primario donde los permisos se definen de

forma explícita, y el objeto secundario heredará estos permisos. Para obtener
más información, vea Definir, ver, cambiar o quitar permisos de un objeto.

 Seleccione el permiso Permitir para invalidar el permiso Denegar heredado.

  Desactive la casilla Incluir todos los permisos heredables del objeto primario
de este objeto. A continuación, puede realizar cambios en los permisos o quitar
usuarios o grupos de la lista Permisos. Sin embargo, el objeto ya no heredará los
permisos del objeto principal.

Nota
Los permisos Denegar heredados no impiden el acceso a un objeto si éste
cuenta con una entrada de permiso explícito Permitir.
Nota
Los permisos explícitos tienen prioridad sobre los permisos heredados,
incluidos los permisos Denegar heredados.

Si la entrada Permisos especiales de Permisos de <usuario o grupo> aparece

sombreada, no implica que este permiso se haya heredado. Significa que se ha
seleccionado un permiso especial.

En la ficha Permisos de la página Configuración de seguridad avanzada para

<carpeta>, en Entradas de permisos, en la columna Aplicar a se muestran las
carpetas o subcarpetas a las que se aplica un permiso. En la columna Heredado de se
muestra de dónde se han heredado los permisos.

Puede utilizar el campo Aplicar en de la página Entrada de permiso para <Carpeta>

para seleccionar las carpetas o subcarpetas a las que desea que se apliquen estos
permisos.

Para obtener más información acerca de cómo completar estas tareas, vea Definir, ver,
cambiar o quitar permisos de un objeto y Determinar dónde aplicar permisos.