none
permisos de usuarios sobre carpetas de aplicaciones RRS feed

  • Pregunta

  • Buenas noches.

    Hace un tiempo tengo dudas sobre los permisos que deberian tener los usuarios sobre determinadas carpetas donde estas alojados los aplicativos ya que normalmente el proveedor me indica que debe ser permiso total para todos.

    Por ejemplo:

    • Cuando en Office Word se guarda un documento, Word toma los permisos de usuario para tratar de guardar en un directorio que si cuenta con los permisos de escritura entonces lo guarda.
    • En el caso de aplicaciones con BD en foxpro o access, que permisos son necesarios sobre la carpeta donde estan los DBF o MDB para que los archivos DBF o MDB se escriban con los datos que los usuarios estan trabajando?
    • Si tengo un aplicativo que esta en una carpeta de red y se crea un acceso directo en cada PC de usuario, que permisos son necesarios sobre la carpeta donde estan los DBF o MDB?
    • En el caso de aplicaciones cliente-servidor, asumo que los usuarios solo deberian tener permiso de lectura sobre la carpeta donde esta instalada la aplicacion? y si genera logs en dicha carpeta, entonces necesitaria permisos de escritura?
    • Si tengo una aplicacion cliente-servidor que trabaja con BD en SQL Server, los usuarios dominio tienen permisos para conectarse a SQL (asumo que podria ser una cadena de conexiòn por cada usuario de dominio que tiene permiso de lectura y conexiòn sobre el servidor SQL pero con que usuario modificaria la BD? o podria ser una cadena de conexiòn con un usuario SQL que tiene permiso de escritura sobre la BD y con solo ese usuario se podria modificar la BD?). La aplicaciòn ya se conecto a la BD y se actualizan las tablas pero con que usuario se graban los archivos MDF y LDF? con el usuario que inicia el servicio SQL Server? que permisos se deben tener sobre la carpeta que contiene los MDF y LDF?
    • En el caso de aplicaciones web con ASP o ASP.NET cuando se suben archivos que permisos son necesarios y que usuarios se utilizan?

    Disculpen tantas preguntas pero no estoy tan involucrado con el tema de desarrollo sino mas con infraestructura por ello que necesito saber los usuarios y permisos que deberian tener.

    Saludos.


    OrlandoP
    jueves, 17 de noviembre de 2011 1:57

Todas las respuestas

  • Si tengo un aplicativo que esta en una carpeta de red y se crea un acceso directo en cada PC de usuario, que permisos son necesarios sobre la carpeta donde estan los DBF o MDB?
    Si el programa está hecho con .Net, se dispararán los permisos de CAS, que toman prioridad respecto a los de NTFS. De forma predeterminada, un programa de .Net abierto desde la carpeta de red no tiene permisos de escribir en disco (ningún disco, sean cuales sean los permisos de las carpetas) y tampoco tiene permiso de acceder a bases de datos. Habría que modificar los permisos de CAS, y luego ya se podría pensar en cambiar los permisos de la carpeta; estos últimos tienen los mismos requisitos que si el programa se hubiera lanzado desde el disco local en lugar de una carpeta de red.
    En el caso de aplicaciones cliente-servidor, asumo que los usuarios solo deberian tener permiso de lectura sobre la carpeta donde esta instalada la aplicacion? y si genera logs en dicha carpeta, entonces necesitaria permisos de escritura?
    Efectivamente, así es. Por este motivo, se desaconseja que los programas graben logs sobre su propia carpeta, porque lo normal es que sea de sólo-lectura para los usuarios que ejecutan el programa.
  • Si tengo una aplicacion cliente-servidor que trabaja con BD en SQL Server, los usuarios dominio tienen permisos para conectarse a SQL (asumo que podria ser una cadena de conexiòn por cada usuario de dominio que tiene permiso de lectura y conexiòn sobre el servidor SQL pero con que usuario modificaria la BD? o podria ser una cadena de conexiòn con un usuario SQL que tiene permiso de escritura sobre la BD y con solo ese usuario se podria modificar la BD?). La aplicaciòn ya se conecto a la BD y se actualizan las tablas pero con que usuario se graban los archivos MDF y LDF? con el usuario que inicia el servicio SQL Server? que permisos se deben tener sobre la carpeta que contiene los MDF y LDF?
  • Los permisos que hay que dar en este caso se dan dentro del servidor SQL para el usuario que se especifique en la cadena de conexión (que puede ser uno fijo de SQL Server si se habilita esta opción, o se puede usar autenticación intgrada para que se traspase el usuario de dominio). No tiene nada que ver con el usuario que modifica los LDF y MDF, ya que este usuario es la cuenta de servicio que se configurá para el servicio SQL al instalarlo. Esta cuenta se recomienda que sea una cuenta de dominio sin ningún privilegio especial, y que no corresponda a ningúnusuario físico que haga login con ella. El único caso en que el usuario que se conecta es el mismo que abre los LDF y MDF es el de que se utilice para la base de datos el modo "instancia de usuario", que sólo existe en la edición Express de SQL Server.

     

    domingo, 20 de noviembre de 2011 19:28
  • Hola, gracias por la rpta.

    Para el caso de SQL. la cuenta de servicio SQL, debe ser administrador local? o tener permiso de escritura sobre la carpeta donde se grabaran los MDF y LDF? o que permisos debe tener dicha cuenta.

    Saludos.


    OrlandoP
    jueves, 24 de noviembre de 2011 22:18
  • Orlando, Alberto te aclaró el punto.  Dice "Esta cuenta se recomienda que sea una cuenta de dominio sin ningún privilegio especial".  En otras palabras, no es necesario que sea administrador local.  De hecho se desanima a que lo sea.

    La cuenta que se configura para SQL Server debe tener los permisos de escritura y lectura apropiados para la carpeta que contendrá los archivos de base de datos, pero estos permisos los configura automáticamente el instalador de SQL Server.


    Jose R. MCP
    viernes, 25 de noviembre de 2011 3:44