Asignación de permisos sobre carpetas mediante políticas de grupo

Dentro de un contexto de seguridad restringido/limitado, en ocasiones es necesario asignar permisos adicionales sobre algunas carpetas. Por ejemplo con directorios temporales, carpetas de fuentes… con los usuarios de un dominio podemos realizado mediante la política de grupo (GPO) siguiente:

Configuración del equipo / Directivas / Configuración de Windows / Configuración de seguridad / Sistema de archivos

Con el botón derecho agregamos una nueva carpeta o fichero, en este caso hemos optado por el directorio temporal de Windows, de forma predeterminada rescata los permisos actuales permitiendo propagar o reemplazar los cambios que necesitemos.

Aplicaciones Metro, seguridad y permisos de administrador

En varias ocasiones encuentras mensajes en equipos que no permiten la ejecución de programas por estar utilizando el usuario administrador predeterminado: «No podemos abrir X con la cuenta predeterminada de administrador. Inicia sesión con otra cuenta y prueba de nuevo»

Realmente un usuario de Windows siempre ha podido ejecutar cualquier aplicación pero desde Windows 8, aunque tu nombre de usuario durante la instalación sea otro, crea 2 cuentas adicionales: administrador e invitado.

Estas se utilizan para ejecutar el control de cuentas de usuario UAC, instalación de imágenes, servicios… las implicaciones de seguridad son muchas, como buena práctica general nunca debes ejecutar para tu uso diario bajo la cuenta de permisos de administrador, menos sobre la cuenta de administrador predeterminado.

La razón es sencilla y muy repetida, si existe un problema de seguridad se limitará a la zona que este accesible a esa cuenta. Si conociendo las implicaciones que supone y quieres seguir con ello, también puedes: Directiva de seguridad local -> Directivas Locales -> Opciones de seguridad -> Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador (habilitar)

Instalar fuentes sin ser administrador

En algunos aspectos, Windows es peculiar a la hora de proteger los archivos y carpetas del sistema. En entornos de diseño gráfico donde es necesario instalar fuentes adicionales de manera continua es posible realizarlo sin dar privilegios de administrador:

       

  1. Cambiamos los atributos de la carpeta del sistema para poder ver la solapa de seguridad y editar permisos de manera más sencilla:  
    attrib -r -s %systemroot%\fonts 
  2. Tomamos propiedad de la carpeta con el grupo de administradores: 
    takeown /F %systemroot%\fonts\ /A 
  3. Modificamos los permisos para añadir permisos totales, bien con el comando o desde la pestaña de seguridad: 
    cacls %systemroot%\fonts /E /G Users:F
  4. Una vez realizado, debemos permitir instalar en el registro las fuentes a los usuarios, con lo que modificaremos también con el comando REGEDIT: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Fonts

En cualquier caso siempre podemos automatizar y simplificar la instalación de archivos de fuentes, por ejemplo, creamos un script para que automáticamente se copien e instalen, utilizando el programa regfont y un pequeño código similar:

@echo off 
regfont.exe -a c:\datos\fuentes\nuevas\*.* 
xcopy c:\datos\fuentes\nuevas\*.* c:\windows\fonts 
del c:\datos\fuentes\nuevas\*.* 
pause

Actualizado 2018/01/17: en entornos con Directorio Activo es posible utilizar una GPO para la asignación específica de permisos.

 

Actualizado: 2019/12/10: en Windows 10 es posible instalar fuentes haciendo clic con el botón derecho para todos los usuarios o para el actual