Com copiar i aplicar permisos NTFS entre carpetes i volums (guia completa amb GUI, Registre i scripts)

Quan gestiones servidors o recursos compartits, copiar i aplicar permisos NTFS de forma correcta marca la diferència entre un accés controlat i un caos d'herències i excepcions. És molt habitual que, amb el pas dels anys, una estructura de carpetes acabi acumulant regles dispars que ningú no recorda per què existeixen. Toca posar ordre i, ja que hi som, aprendre a copiar o moure dades sense perdre control d'accés.

En aquesta guia trobaràs tot el necessari per entendre com actua l'Explorador de Windows segons mogues o copies, què fa NTFS amb l'herència, quines tecles tocar al Registre per forçar comportaments, i quines utilitats (Xcopy, Robocopy o solucions de tercers) convé fer servir en cada cas. També veuràs procediments pas a pas a la GUI, recomanacions de permisos en recursos compartits, conceptes clau com ACL/ACE, SIDs especials, i fins i tot opcions dadministració massiva i auditoria.

Com es comporten els permisos NTFS en copiar o moure

Al Windows 2000/XP/Server 2003 i posteriors, NTFS permet concedir permisos fins a fitxers i carpetes. El detall important és que el comportament canvia segons copies/moves i segons sigui el mateix volum o un de diferent.

• Si copieu o moveu entre volums diferents (d'un disc a un altre), l'objecte es tornarà a crear en destinació i hereta els permisos de la carpeta primària de destinació per defecte.
• Si moveu dins del mateix volum, l'objecte conserva els permisos actuals (no es tornen a heretar), mantenint el seu DACL original llevat que forcis el contrari.

Per disseny, un objecte hereta permisos del primari en crear-se o en ser copiat a una carpeta, amb excepció del moviment dins del mateix volum. A més, convé recordar regles base de NTFS:

• Els permisos de denegació prevalen sobre permetre.
• Els permisos explícits tenen prioritat sobre els heretats.
• Els permisos són acumulatius (se sumen els de totes les pertinences).
• En conflictes de pertinença (usuari vs. grup), preval la combinació més permissiva, llevat que hi hagi un “Denegar”.

Per conservar permisos en copiar o moure des de línia de ordres, Xcopy i Robocopy són els teus aliats: Xcopy amb /O i /X còpia propietari, ACL i auditories, i Robocopy pot mantenir ACL existents sense afegir herències no desitjades. Més avall ho detallem amb exemples.

Si voleu alterar el comportament per defecte de l'Explorador de Windows:

• En copiar o moure a un altre volum, per defecte hereta. Pots forçar que conserveu l'ACL original establint ForceCopyAclwithFile al Registre.
• En moure's dins del mateix volum, per defecte conserva ACL. Pots forçar que rehereix de la carpeta primària canviant MoveSecurityAttributes al Registre.

Claus de Registre rellevants (precaució: edita el Registre només amb còpia de seguretat i amb permisos adequats):

• Ubicació: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

  valor: ForceCopyAclwithFile (DWORD) = 1

  Forçar que els fitxers copiats conservin el seu ACL original en copiar/moure entre volums.

• Ubicació: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

  valor: MoveSecurityAttributes (DWORD) = 0

  Forçar que, en moure en el mateix volum, l'objecte hereta l'ACL de la carpeta primària.

Recorda: si toques aquests valors, assegura't que el compte que mou/còpies té, com a mínim, “Canviar permisos” sobre lobjecte, o lefecte pot ser parcial.

Mètodes fiables per conservar o aplicar permisos en copiar/moure

L'Explorador funciona bé per a tasques puntuals, però si la teva prioritat és controlar el mil·límetre propietari, ACL i auditoria, utilitza utilitats de sistema. Aquí hi ha les opcions que encaixen amb els escenaris més comuns.

Xcopy per copiar amb ACL i auditoria

Fes servir Xcopy amb els modificadors adequats per conservar la seguretat:

xcopy origen destino /O /X /E /H /K

- /O còpia propietari i ACL (DACL).

- /X còpia informació d'auditoria (SACL) a més del /O.

– Afegeix /E per a subcarpetes (inclou buides), /H per a ocults/sistema, /K per a atributs.

(En algunes referències trobaràs -O y -X; a la sintaxi habitual s'usen amb barra /O y /X.)

Robocopy és la navalla suïssa per moure grans arbres de directoris. Preserva permisos i atributs amb precisió i permet repetir processos sense duplicar feina:

robocopy origen destino /COPYALL /SEC /MIR /R:2 /W:2

- /COPYALL = copia dades, atributs, timestamps, seguretat (DACL i SACL), propietari, auditoria.

- /SEC = còpia seguretat (equivalent a /COPY:DATS).

- / MIR = reflex (aneu amb compte: podeu eliminar en destinació el que no existeixi en origen).

Fes-lo servir quan vulguis conservar els permisos existents, sense afegir herències no desitjades del contenidor de destinació.

Forçant comportament de l'explorador

Si per processos d'usuari dependràs de l'Explorador, pots harmonitzar el seu comportament amb ForceCopyAclwithFile y MoveSecurityAttributes com ja es va explicar. Via directiva (GPO) pots distribuir aquestes claus a equips, estandarditzant l'experiència de copiat/mogut i reduint incidències.

Altres recomanacions pràctiques

• Per conservar permisos en copiar/moure a mà, utilitza Xcopy/Robocopy en comptes d'arrossegar/deixar anar.
• Si vols afegir permisos originals als heretats a la destinació, Xcopy amb /O i /X compleix justament aquesta missió.
• Si preferiu mantenir “tal qual” l'ACL original en destinació, Robocòpia és la via més fiable

Passos a la interfície gràfica: establir i propagar permisos

Si cal fer-ho amb clics, el camí estàndard passa per Propietats > Seguretat. Aquests passos són vàlids al Windows Server 2012/2016/2019/2022 i Windows client equivalents.

1. Selecciona el fitxer o carpeta i obre Propietats.
2. Aneu a la pestanya Seguretat i prem Avançat.
3. En canviar permisos afegeix o edita entrades d'usuari/grup:

Dins d'una entrada, trieu “Aplica a” per controlar l'abast: aquesta carpeta, subcarpetes i fitxers, només subcarpetes, només fitxers, etc. Marca permetre o denegar segons correspongui i selecciona els permisos avançats que necessitis:

• Recórrer carpeta/Executar fitxer
• Llistar carpeta/Llegir dades
• Llegir atributs / Llegir atributs estesos
• Crear fitxers/Escriure dades
• Crear carpetes/Annexar dades
• Escriure atributs / Escriure atributs estesos
• Eliminar subcarpetes i fitxers / Eliminar
• Llegir permisos / canviar permisos / Prendre possessió

Perquè els canvis afectin inferiors, pots activar:

- "Aplicar aquests permisos a objectes i/o contenidors dins aquest contenidor únicament".

- "Reemplaça tots els permisos d'objecte secundari amb permisos heretables d'aquest objecte” per forçar un reset complet de fills.

Quan acabis, prem D'acord per tancar els quadres de “Permisos” i “Configuració avançada de seguretat”. En alguns assistents veuràs un botó “Finalitzar” per confirmar.

Herència: incloure o tallar

A Avançat pots decidir si un objecte inclou permisos heretables del primari. Si desmarqueu l'herència, se us oferirà copiar com a explícites les entrades heretades (“Agregar”) o treure-les del tot (“Treure”). Fes-lo servir quan necessitis que una subcarpeta trenqui l'herència per motius de confidencialitat.

Propietat de lobjecte

A la pestanya propietari podràs prendre possessió si tens privilegis. Ser propietari et permet canviar la DACL, cosa que, a la pràctica, dóna control sobre l'objecte per concedir-te permisos. Marca “Reemplaçar propietari a subcontenidors i objectes” si vols propagar el canvi.

Permisos efectius i auditoria

"Permisos efectius” mostra d'una ullada què té realment un usuari/grup tenint en compte herències i pertinences.Auditoria”, podeu definir esdeveniments d'accés per registrar al Visor d'esdeveniments (requereix tenir habilitades les directives d'auditoria).

Estratègies per a plantilles de projecte i casos reals

En organitzacions amb plantilles de projectes (per exemple, Client > Projecte > disciplines com a Comptabilitat, Planificació, Disseny…), cada nova carpeta Projecte sol néixer d'una còpia. Si utilitzeu copiar/enganxar a l'Explorador, les subcarpetes hereten del nou contenidor i es perden matisos de les subcarpetes de la plantilla.

solucions possibles que han funcionat en entorns reals:

1. Forçar comportament de l'Explorador amb GPO: desplegar ForceCopyAclwithFile=1 perquè en copiar es conservi l'ACL original. És ràpid dimplantar i transparent per a usuaris.
2. Script post-còpia: després de crear un Projecte, executar un script (Xcopy/Robocopy o PowerShell) que apliqui la matriu de permisos estàndard a les subcarpetes conegudes. Funciona bé si els noms són consistents.
3. Automatitzar la creació: centralitzar la creació de projectes (per tiquet o eina interna) que faci servir Robocopy amb /COPYALL des d'una plantilla “daurada”. Evites errors humans i garanteixes uniformitat.

A més, si voleu que l'ACL original convisqui amb l'herència del nou contenidor (sumant tots dos), Xcopy amb /O /X afegeix a la destinació les entrades originals. Si el que busques és que res canviï, Robocòpia és la via més segura.

Permisos recomanats en recursos compartits i carpetes

Una bona pràctica és separar permisos de recurs compartit (share) y NTFS (en disc). A nivell de share, ser restrictiu i deixar el control fi a NTFS. Un esquema típic en escenaris de hosting compartit:

ruta	permisos	motiu
\\servidor\share$ (recurs compartit)	Admins del domini: Control total; Comptes de lloc: accés segons necessitat	El share permet entrada a qui administra ia identitats de lloc; el detall es defineix a NTFS.
E:\Content (ruta física)	Administradors, SYSTEM: Control total	Carpeta base del contingut; aquí no s'atorguen permisos addicionals.
E:\Content\ (contenidor del lloc)	Administradors, SYSTEM: Control total; Propietari del lloc: Llistar carpeta	El propietari pot veure el contenidor, sense necessàriament escriure aquí.
E:\Content\ \wwwroot	Administradors, SYSTEM: Control total; Propietari del lloc: Control total; Identitat de l'AppPool: Lectura/Modificació	Arrel web amb escriptura del propietari i permisos adequats per al procés dIIS.
E:\Content\ \Logs	Administradors, SYSTEM: Control total; Propietari del lloc: Lectura	Carpeta sobre l'arrel web per evitar exposició; només lectura per al propietari.
E:\Content\ \Logs\FailedReqLogs	Administradors, SYSTEM: Control total; AppPool: Control total	La identitat del procés de treball necessita escriure diagnòstics.
E:\Content\ \Logs\W3SVCLogFiles	Administradors, SYSTEM: Control total; MachineAccount$: Control total	HTTP.SYS escriu aquests registres; el compte de màquina ha de tenir accés.

Conceptes clau: ACL, ACE, DACL, SACL i avaluació

ACL (Access Control List) és la llista que conté entrades de control d'accés (ACE). Cada ACE defineix permisos permesos/denegats per a un SID (identitat), i indica a quins objectes s'apliquen (objecte, fills, herència).

El Security Descriptor (SD) d'un objecte guarda propietari, grup primari i dues llistes: DACL (qui hi pot accedir) i SACL (quins esdeveniments auditar). SDDL és el llenguatge de text per representar aquests descriptors.

Ordre d'avaluació típic (important per entendre “per què” passa alguna cosa): Denegacions explícites > Permisos explícits > Denegacions heretades > Permisos heretats. Si no hi ha DACL, es permet l'accés; si hi ha DACL buida, es denega tot.

Comptes especials i SIDs útils

Algunes identitats del sistema apareixen sovint a ACLs:

TrustedInstaller (S-1-5-80…): servei que posseeix molts binaris del sistema.

CREATOR OWNER (S-1-3-0): reemplaçat pel SID del creador; útil per atorgar control a lautor de lobjecte.

Owner Rights: limita allò que pot fer el propietari encara que “implícitament” pogués modificar ACLs.

Usuaris autenticats (S-1-5-11), Anonymous Logon (S-1-5-7), IUSR (S-1-5-17), Interactiu (S-1-5-4), Servei Local (S-1-5-19), Xarxa (S-1-5-2), servei (S-1-5-6), Servei de xarxa (S-1-5-20), SYSTEM (S-1-5-18), Lot (S-1-5-3), Terminal Server User (S-1-5-13), Remote Interactive Logon (S-1-5-14).

SIDs coneguts: Administrador (S-1-5-500), convidat (S-1-5-501), i usuaris locals a partir de S-1-5-1000.

Trucs de consola: prendre possessió i ajustar ACL en massa

Per desbloquejar fitxers o normalitzar permisos del sistema, dues ordres resulten molt pràctics (executa CMD com admin):

• takeown /F "%SYSTEMDRIVE%\*" /R /D S - pren possessió recursiva del contingut del sistema (útil per reparar).
• icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T - concedeix permisos específics al grup Administradors de manera recursiva.

Permisos ICACLS útils: F (Full), M (Modify), RX (Read+Execute), R (Read), W (Write), D (Delet). Marcadors d'herència: (OI) objecte, (CI) contenidor, (IO) només heretar. Així, (OI)(CI)(F) aplica a carpeta, subcarpetes i fitxers amb control total.

UAC i notes d'interfície

El Control de comptes d'usuari (UAC) no canvia ACLs, però sí quan es demanen elevacions per a accions administratives. Mantenir UAC actiu al nivell recomanat és més segur; desactivar-ho redueix avisos, però no substitueix la gestió de permisos NTFS.

Administració massiva i auditoria amb ADManager Plus

Inclou informes llestos per utilitzar que donen visibilitat immediata: shares a servidors, permisos de carpetes, carpetes accessibles per comptes y carpetes no heretables. Pots delegar tasques a tècnics i auditar-ho tot, exportant a CSV, PDF, HTML o Excel.

Compatibilitat i petites notes operatives

Moltes de les opcions de seguretat descrites apliquen a Windows Server 2012/2012 R2, 2016, 2019 i 2022, així com a clients Windows contemporanis. Les recomanacions són vàlides tant per servidors en rack o torre com per a infraestructures modulars. En portals i consoles web, potser veieu avisos de cookies o idioma; no afecten la gestió NTFS, són part del marc web i del consentiment.

Si et quedes amb una idea clau, que sigui aquesta: en copiar o moure, decideix si vols heretar o conservar. Per conservar, utilitza Xcopy amb /O /X o Robocopy amb /COPYALL; per heretar, deixa actuar l'explorador o força la reherència amb registre. Planifica herències, documenta les excepcions i recolza't en informes i automatització per mantenir la casa ordenada amb el pas del temps.