COMPARTIR ARCHIVOS DE WINDOWS

Prácticas recomendadas para compartir archivos de Windows

Compartición de archivos

Tradicionalmente, el uso compartido de archivos de Windows se ha limitado a crear recursos compartidos en servidores locales, establecer permisos y acceder a archivos a través de redes de área local o VPN. El uso compartido de archivos de Windows tiene muchos beneficios, como la velocidad de acceso, la simplicidad, las capacidades de almacenamiento ilimitadas, la integración con el directorio activo y la capacidad de implementar unidades asignadas a miles de máquinas al instante mediante scripts de inicio de sesión o políticas de grupo. Por esta razón, la mayoría de las empresas continúan manteniendo inversiones significativas en una infraestructura de intercambio de archivos de Windows que incluye servidores, redes de alta velocidad, redes de área de almacenamiento y dispositivos de almacenamiento en red. Estos dispositivos brindan la confiabilidad, la velocidad y la redundancia que las empresas exigen para una fuerza laboral altamente eficiente.

Uso compartido de archivos de Windows

Compartir archivos usando el directorio activo de Windows es fácil. Es importante primero planificar la estructura del directorio. Las empresas suelen crear carpetas raíz que, a su vez, se convierten en recursos compartidos que se pueden asignar a varios departamentos (por ejemplo: finanzas, proyectos, ejecutivo, recursos humanos). En el pasado, las empresas asignaban diferentes letras de unidad a cada departamento. Esto ya no es necesario ya que Microsoft envió la adición de la función "Enumeración basada en el acceso" como se indica a continuación.

También es importante planificar el crecimiento futuro asignando suficiente espacio en disco para el archivo. Es una buena práctica ubicar los archivos en una letra de unidad separada de las unidades del sistema operativo para evitar futuros problemas con el espacio en la unidad o una falla del sistema operativo que dañe los archivos. Las organizaciones más grandes normalmente almacenan archivos en dispositivos de almacenamiento conectado a la red con conmutación por error y copia de seguridad integradas y utilizan el espacio de nombres DFS para redirigir a los usuarios a servidores de archivos back-end redundantes.

Los recursos compartidos del servidor de archivos de Windows se pueden crear mediante el Administrador del servidor o haciendo clic con el botón derecho del mouse en cualquier carpeta y eligiendo "Compartir" en la pestaña de uso compartido para crear un recurso compartido que se pueda asignar a las PC. Microsoft tiene un excelente artículo aquí sobre cómo crear un recurso compartido de archivos usando el Administrador del servidor aquí. Para nuestros propósitos, crearemos un recurso compartido utilizando el proceso manual para que podamos tener un control completo sobre los permisos, el nombre compartido y los permisos compartidos.

Creación de un recurso compartido de archivos de Windows (Fácil)

Una vez que haya creado la estructura de carpetas, haga clic con el botón derecho del mouse en la carpeta y elija propiedades, luego elija compartir para crear el recurso compartido y establecer permisos:

Crear recurso compartido de Windows

Por lo general, agregaría los diversos grupos para los que desea tener acceso a su estructura de carpetas. Con la interfaz simplificada, la creación de recursos compartidos reales y los detalles de permisos se configuran para usted. Usando la interfaz de uso compartido avanzado, podemos ver el permiso real aplicado tanto al recurso compartido como a NTFS.

Creación de un recurso compartido de archivos de Windows (avanzado)

Hay 2 componentes al compartir carpetas en Windows. Primero, el nombre del recurso compartido real y el permiso en el recurso compartido y los permisos NTFS subyacentes. En los primeros días de los sistemas de archivos de Windows (fat y fat32) no permitían la configuración de permisos, por lo que Microsoft permitía a los administradores establecer permisos en el recurso compartido en lugar de en la estructura de carpetas subyacente. Afortunadamente, NTFS existe desde hace muchos años y ya no es necesario ni aconsejable establecer permisos en el recurso compartido de archivos y verá que cuando usa la interfaz de uso compartido fácil, los permisos en el nivel de uso compartido se establecen en el grupo especial "Todos" y control total.

Compartir permisos

Por lo tanto, está claro que siempre debemos establecer el permiso en el recurso compartido en "Todos" con control total al usar la opción de uso compartido avanzado para sortear esta función heredada y solo usar permisos NTFS para aplicar la seguridad. Una nota adicional sobre los archivos compartidos y los nombres: para ocultar el recurso compartido (no transmitirlo en la red para navegar), agregue un signo $ al final del nombre. Por ejemplo: Finance$ se puede usar para ocultar el recurso compartido para que no aparezca cuando los usuarios navegan por la red. Para asignarle una unidad, los usuarios deben saber el nombre; por ejemplo, \\server\finance$.

A continuación, debemos establecer permisos en las carpetas utilizando la seguridad NTFS. Si observamos los permisos de seguridad para la carpeta compartida que creamos en nuestro ejemplo, veremos que a los grupos de usuarios que elegimos se les han otorgado permisos en esa carpeta compartida:

Desde esta interfaz, podemos agregar usuarios y grupos adicionales o deshabilitar la herencia para que podamos aplicar permisos personalizados solo en esta carpeta. Esta interfaz también es donde vamos a tomar posesión de archivos y carpetas. En los resultados de seguridad del asistente para compartir fácilmente, podemos ver que ambos grupos que agregamos tienen "Control total" para todos los archivos y carpetas. Si bien Control total tiene sentido para los administradores, no es recomendable para los grupos de usuarios regulares. Al otorgar a los usuarios regulares Control total, también les hemos otorgado el derecho de "Tomar propiedad", lo que causará problemas en el futuro. Los archivos que son "propiedad" de un usuario pueden dejar de estar disponibles para otros usuarios, lo que genera solicitudes de soporte y la necesidad de que el administrador "tome posesión" para que estos archivos vuelvan a estar disponibles para todos los que tienen derechos para compartir. En nuestro ejemplo, querremos configurar el grupo "Usuarios del dominio" con todos los derechos excepto "Control total" utilizando las propiedades de la pestaña de seguridad en la carpeta. Este simple paso evitará problemas de resolución de problemas de propiedad de archivos en el futuro.

Microsoft tiene una utilidad integrada en Windows para limpiar los problemas de propiedad llamada "takeown". Recomendamos a los clientes que solucionen los problemas de propiedad existentes antes de implementar MyWorkDrive. Este comando tomará posesión de la carpeta o unidad, y de todos los archivos y subcarpetas en la carpeta o unidad.

Abra un símbolo del sistema elevado (administrador).

Para otorgar propiedad al grupo de administradores:

takeown /F "ruta completa de la carpeta o unidad" /A /R /DY

Otra opción para limpiar los permisos de propiedad es usar el comando icacls.

Para otorgar propiedad al grupo de administradores:

icacls "ruta completa de la carpeta o unidad" /setowner "Administradores" /T /C

Enumeración basada en el acceso mediante el uso compartido de archivos de Windows

La enumeración basada en acceso (ABE) muestra solo los archivos y carpetas a los que un usuario tiene permisos para acceder. Si un usuario no tiene permisos de lectura (o equivalentes) para una carpeta, Windows oculta la carpeta de la vista del usuario. Esta función está activa solo cuando se visualizan archivos y carpetas en una carpeta compartida; no está activo cuando se visualizan archivos y carpetas en el sistema de archivos local. Al utilizar esta función y establecer los permisos adecuados, los administradores de red pueden reducir la cantidad de recursos compartidos necesarios y usar ABE para mostrar solo los archivos y carpetas para los que el usuario tiene permisos cuando se accede a través de rutas UNC.

ABE requiere ciclos de CPU para calcular archivos y carpetas para mostrar, por lo que es importante dimensionar adecuadamente los servidores para manejar la carga requerida en función de la cantidad de usuarios que acceden a los recursos compartidos de archivos y la cantidad de archivos y carpetas para mostrar.

Habilite ABE en cada recurso compartido de archivos de Windows usando la guía de Microsoft: Habilitar la enumeración basada en el acceso en un espacio de nombres. Microsoft tiene un artículo completo del gremio sobre las mejores prácticas para compartir archivos y carpetas mediante la enumeración basada en el acceso. aquí.

Espacios de nombres DFS

DFS Namespaces es un rol en Windows Server que le permite agrupar carpetas compartidas ubicadas en diferentes servidores en uno o más espacios de nombres estructurados lógicamente. Esto permite brindar a los usuarios una vista virtual de las carpetas compartidas, donde una sola ruta lleva a los archivos ubicados en varios servidores. La ventaja de DFS es que las unidades se pueden asignar a un espacio de nombre DFS y redirigir automáticamente al recurso compartido de archivos activo en ese momento. Esto hace que la migración a nuevos servidores de archivos en el futuro sea muy simple, ya que se puede redirigir a un nuevo servidor de archivos en cualquier momento.

Copia de seguridad y retención

La primera línea de defensa para cualquier organización son las copias de seguridad eficaces, probadas y redundantes. Además de programar copias de seguridad cada hora, día, semana u otros intervalos, los administradores de TI pueden aprovechar el servicio de "Volumen Shadow Copy" integrado en Windows Server. Al habilitar las instantáneas por hora, los archivos y las carpetas se pueden revertir a versiones anteriores al instante sin tener que ir a los sistemas de respaldo. Las instantáneas de copia de volumen no son una estrategia de copia de seguridad en sí mismas, pero pueden proporcionar un nivel adicional de protección.

La copia de seguridad y la retención también son una gran preocupación para proteger contra la pérdida de datos, la corrupción y cumplir con los requisitos legales. Por lo general, la mayoría de las empresas deben conservar hasta 7 años de copias de seguridad que se pueden restaurar fácilmente en el futuro. Por esta razón, las empresas son reacias a almacenar sus archivos en sistemas de archivos controlados por bases de datos, ya sea localmente o en la nube, incluidos los sistemas de administración de documentos (DMS) y los sistemas Enterprise File Sync & Share (EFSS). Con el intercambio tradicional de archivos de Windows basado en NTFS, las copias de seguridad del archivo se pueden almacenar en discos duros de copia de seguridad, lo que hace que la restauración sea tan simple como copiar archivos, incluso varios años después. Con los sistemas DMS o EFSS, la restauración de los datos de archivo es significativamente más compleja. La restauración requiere realizar una copia de seguridad y restaurar sistemas operativos completos, reinstalar las bases de datos SQL en uso en ese momento (que pueden no estar disponibles), restaurar las copias de seguridad de los datos SQL y reintegrar los servidores al directorio activo. Los sistemas o EFSS basados en la nube requieren suscripciones de respaldo de terceros que deben mantenerse indefinidamente para evitar la pérdida y eliminación de los datos del archivo de respaldo por parte del proveedor de la nube.

Acceso remoto seguro para compartir archivos

Las empresas de todo tipo recurren a MyWorkDrive para recibir asistencia Trabajo remoto al mismo tiempo que conserva la velocidad y la simplicidad del uso compartido de archivos tradicional de Windows utilizando nuestro complemento de nube híbrida. Con MyWorkDrive, los departamentos de TI simplemente configuran el software de servidor MyWorkDrive Windows, apuntan a los recursos compartidos de archivos de Windows existentes y, en cuestión de minutos, la función de acceso remoto Secure File Sharing está disponible para los usuarios sin VPN, que incluye:

Acceso del navegador Web File Manager a recursos compartidos de archivos

Edición de documentos de Office Online (con archivos almacenados en los servidores de archivos locales)

Unidad asignada desde cualquier lugar sin VPN

Acceso y edición de archivos de aplicaciones móviles mediante las aplicaciones móviles de Microsoft Office

Uso compartido de archivos públicos y privados

Seguridad de dos factores (2FA)

Inicio de sesión único

El uso compartido tradicional de archivos de Windows a velocidad gigabit continúa estando disponible en paralelo a MyWorkDrive. Los usuarios simplemente aprovechan el uso compartido de archivos utilizando métodos tradicionales en la red de área local y usan MyWorkDrive cuando se necesita la funcionalidad de la nube o el acceso remoto. Para los departamentos de TI, no es necesario mantener o licenciar las bases de datos SQL, lo que hace que la copia de seguridad y la restauración de archivos sean simples: los archivos compartidos basados en NTFS permanecen en su lugar.

Compartir y colaborar en archivos con usuarios fuera de la empresa es esencial para una fuerza laboral productiva. Con MyWorkDrive, los archivos internos se pueden hacer públicos sin esfuerzo con nuestra integración OneDrive. Al aprovechar nuestra integración de OneDrive, las empresas pueden proteger los datos confidenciales mediante la transferencia de archivos públicos según sea necesario a OneDrive sin abrir los sistemas internos a terceros ni habilitar enlaces de uso compartido de archivos inseguros que pueden exponer los servidores de la empresa a filtraciones de datos.

Con MiTrabajoDrive las empresas de todo tipo pueden agregar capacidades de nube a los archivos compartidos de Windows mientras protegen y controlan sus datos para preparar sus inversiones en infraestructura de servidores de archivos para el futuro.