Cómo copiar y aplicar permisos NTFS entre carpetas y volúmenes (guía completa con GUI, Registro y scripts)

Última actualización: 09/10/2025
Autor: Isaac
  • El comportamiento de NTFS cambia al copiar o mover y según el volumen; puedes forzarlo vía Registro.
  • Xcopy (/O /X) y Robocopy (/COPYALL) son la vía segura para conservar propietario, ACL y auditoría.
  • Estandariza permisos con herencia bien diseñada y revisiones periódicas apoyadas en informes.
  • En AD, herramientas como ADManager Plus facilitan administración masiva y auditoría.

Permisos NTFS en Windows

Cuando gestionas servidores o recursos compartidos, copiar y aplicar permisos NTFS de forma correcta marca la diferencia entre un acceso controlado y un caos de herencias y excepciones. Es muy habitual que, con el paso de los años, una estructura de carpetas termine acumulando reglas dispares que nadie recuerda por qué existen. Toca poner orden y, ya que estamos, aprender a copiar o mover datos sin perder control de acceso.

En esta guía encontrarás todo lo necesario para entender cómo actúa el Explorador de Windows según muevas o copies, qué hace NTFS con la herencia, qué teclas tocar en el Registro para forzar comportamientos, y qué utilidades (Xcopy, Robocopy o soluciones de terceros) conviene usar en cada caso. También verás procedimientos paso a paso en la GUI, recomendaciones de permisos en recursos compartidos, conceptos clave como ACL/ACE, SIDs especiales, e incluso opciones de administración masiva y auditoría.

Cómo se comportan los permisos NTFS al copiar o mover

En Windows 2000/XP/Server 2003 y posteriores, NTFS permite conceder permisos finos a archivos y carpetas. El detalle importante es que el comportamiento cambia según copies/muevas y según sea el mismo volumen o uno distinto.

  • Si copias o mueves entre volúmenes distintos (de un disco a otro), el objeto se crea de nuevo en destino y hereda los permisos de su carpeta primaria de destino por defecto.
  • Si mueves dentro del mismo volumen, el objeto conserva sus permisos actuales (no se vuelven a heredar), manteniendo su DACL original salvo que fuerces lo contrario.

Por diseño, un objeto hereda permisos del primario al crearse o al ser copiado a una carpeta, con la salvedad del movimiento dentro del mismo volumen. Además, conviene recordar reglas base de NTFS:

  • Los permisos de denegación prevalecen sobre permitir.
  • Los permisos explícitos tienen prioridad sobre los heredados.
  • Los permisos son acumulativos (se suman los de todas las pertenencias).
  • En conflictos de pertenencia (usuario vs. grupo), prevalece la combinación más permisiva, salvo que haya un “Denegar”.

Para conservar permisos al copiar o mover desde línea de comandos, Xcopy y Robocopy son tus aliados: Xcopy con /O y /X copia propietario, ACL y auditorías, y Robocopy puede mantener ACL existentes sin añadir herencias no deseadas. Más abajo lo detallamos con ejemplos.

Si quieres alterar el comportamiento por defecto del Explorador de Windows:

  • Al copiar o mover a otro volumen, por defecto hereda. Puedes forzar que conserve la ACL original estableciendo ForceCopyAclwithFile en el Registro.
  • Al mover dentro del mismo volumen, por defecto conserva ACL. Puedes forzar que reherede de la carpeta primaria cambiando MoveSecurityAttributes en el Registro.

Claves de Registro relevantes (precaución: edita el Registro sólo con copia de seguridad y con permisos adecuados):

  • Ubicación: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

    Valor: ForceCopyAclwithFile (DWORD) = 1

    Forzar que los archivos copiados conserven su ACL original al copiar/mover entre volúmenes.

  • Ubicación: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

    Valor: MoveSecurityAttributes (DWORD) = 0

    Forzar que, al mover en el mismo volumen, el objeto herede la ACL de la carpeta primaria.

Recuerda: si tocas estos valores, asegúrate de que la cuenta que mueve/copias tiene, como mínimo, “Cambiar permisos” sobre el objeto, o el efecto puede ser parcial.

Herencia NTFS al copiar o mover

Métodos fiables para conservar o aplicar permisos al copiar/mover

El Explorador funciona bien para tareas puntuales, pero si tu prioridad es controlar al milímetro propietario, ACL y auditoría, usa utilidades de sistema. Aquí van las opciones que encajan con los escenarios más comunes.

Xcopy para copiar con ACL y auditoría

Usa Xcopy con los modificadores adecuados para conservar la seguridad:

xcopy origen destino /O /X /E /H /K

/O copia propietario y ACL (DACL).

/X copia información de auditoría (SACL) además de lo de /O.

– Añade /E para subcarpetas (incluye vacías), /H para ocultos/sistema, /K para atributos.

(En algunas referencias encontrarás -O y -X; en la sintaxis habitual se usan con barra /O y /X.)

Robocopy es la navaja suiza para mover grandes árboles de directorios. Preserva permisos y atributos con precisión y permite repetir procesos sin duplicar trabajo:

robocopy origen destino /COPYALL /SEC /MIR /R:2 /W:2

/COPYALL = copia datos, atributos, timestamps, seguridad (DACL y SACL), propietario, auditoría.

/SEC = copia seguridad (equivalente a /COPY:DATS).

/MIR = reflejo (ten cuidado: puede eliminar en destino lo que no exista en origen).

Úsalo cuando quieras conservar los permisos existentes, sin añadir herencias no deseadas del contenedor de destino.

Forzando comportamiento del Explorador

Si por procesos de usuario vas a depender del Explorador, puedes armonizar su comportamiento con ForceCopyAclwithFile y MoveSecurityAttributes como ya se explicó. Vía directiva (GPO) puedes distribuir estas claves a equipos, estandarizando la experiencia de copiado/movido y reduciendo incidencias.

Otras recomendaciones prácticas

  • Para conservar permisos al copiar/mover a mano, usa Xcopy/Robocopy en vez de arrastrar/soltar.
  • Si quieres añadir permisos originales a los heredados en destino, Xcopy con /O y /X cumple justo esa misión.
  • Si prefieres mantener “tal cual” la ACL original en destino, Robocopy es la vía más fiable

Herramientas para copiar permisos NTFS

Pasos en la interfaz gráfica: establecer y propagar permisos

Si necesitas hacerlo con clics, el camino estándar pasa por Propiedades > Seguridad. Estos pasos son válidos en Windows Server 2012/2016/2019/2022 y Windows cliente equivalentes.

  1. Selecciona el archivo o carpeta y abre Propiedades.
  2. Ve a la pestaña Seguridad y pulsa Avanzado.
  3. En Cambiar permisos añade o edita entradas de usuario/grupo:

Dentro de una entrada, elige “Aplicar a” para controlar el alcance: esta carpeta, subcarpetas y archivos, solo subcarpetas, solo archivos, etc. Marca permitir o denegar según corresponda y selecciona los permisos avanzados que necesites:

  • Recorrer carpeta/Ejecutar archivo
  • Listar carpeta/Leer datos
  • Leer atributos / Leer atributos extendidos
  • Crear archivos/Escribir datos
  • Crear carpetas/Anexar datos
  • Escribir atributos / Escribir atributos extendidos
  • Eliminar subcarpetas y archivos / Eliminar
  • Leer permisos / Cambiar permisos / Tomar posesión

Para que los cambios afecten a inferiores, puedes activar:

– “Aplicar estos permisos a objetos y/o contenedores dentro de este contenedor únicamente”.

– “Reemplazar todos los permisos de objeto secundario con permisos heredables de este objeto” para forzar un reseteo completo de hijos.

Cuando termines, pulsa Aceptar para cerrar los cuadros de “Permisos” y “Configuración avanzada de seguridad”. En algunos asistentes verás un botón “Finalizar” para confirmar.

Herencia: incluir o cortar

En Avanzado puedes decidir si un objeto incluye permisos heredables del primario. Si desmarcas la herencia, se te ofrecerá copiar como explícitas las entradas heredadas (“Agregar”) o quitarlas del todo (“Quitar”). Úsalo cuando necesites que una subcarpeta rompa la herencia por motivos de confidencialidad.

Propiedad del objeto

En la pestaña Propietario podrás tomar posesión si tienes privilegios. Ser propietario te permite cambiar la DACL, lo que, en la práctica, da control sobre el objeto para concederte permisos. Marca “Reemplazar propietario en subcontenedores y objetos” si quieres propagar el cambio.

Permisos efectivos y auditoría

Permisos efectivos” muestra de un vistazo qué tiene realmente un usuario/grupo teniendo en cuenta herencias y pertenencias. En “Auditoría”, puedes definir eventos de acceso para registrar en el Visor de eventos (requiere tener habilitadas las directivas de auditoría).

GUI de permisos NTFS

Estrategias para plantillas de proyecto y casos reales

En organizaciones con plantillas de proyectos (por ejemplo, Cliente > Proyecto > disciplinas como Contabilidad, Planificación, Diseño…), cada nueva carpeta Proyecto suele nacer de una copia. Si se usa copiar/pegar en el Explorador, las subcarpetas heredan del nuevo contenedor y se pierden matices de las subcarpetas de la plantilla.

Soluciones posibles que han funcionado en entornos reales:

  1. Forzar comportamiento del Explorador con GPO: desplegar ForceCopyAclwithFile=1 para que al copiar se conserve la ACL original. Es rápido de implantar y transparente para usuarios.
  2. Script post-copia: tras crear un Proyecto, ejecutar un script (Xcopy/Robocopy o PowerShell) que aplique la matriz de permisos estándar a las subcarpetas conocidas. Funciona bien si los nombres son consistentes.
  3. Automatizar la creación: centralizar la creación de proyectos (por ticket o herramienta interna) que use Robocopy con /COPYALL desde una plantilla “dorada”. Evitas errores humanos y garantizas uniformidad.

Además, si quieres que la ACL original conviva con la herencia del nuevo contenedor (sumando ambos), Xcopy con /O /X añade al destino las entradas originales. Si lo que buscas es que nada cambie, Robocopy es la vía más segura.

Plantillas de proyecto y permisos NTFS

Permisos recomendados en recursos compartidos y carpetas

Una buena práctica es separar permisos de recurso compartido (share) y NTFS (en disco). A nivel de share, ser restrictivo y dejar el control fino a NTFS. Un esquema típico en escenarios de hosting compartido:

Ruta Permisos Motivo
\\servidor\share$ (recurso compartido) Admins del dominio: Control total; Cuentas de sitio: acceso según necesidad El share permite entrada a quien administra y a identidades de sitio; el detalle se define en NTFS.
E:\Content (ruta física) Administradores, SYSTEM: Control total Carpeta base del contenido; no se otorgan permisos adicionales aquí.
E:\Content\<sitename> (contenedor del sitio) Admins, SYSTEM: Control total; Propietario del sitio: Listar carpeta El propietario puede ver el contenedor, sin necesariamenta escribir aquí.
E:\Content\<sitename>\wwwroot Admins, SYSTEM: Control total; Propietario del sitio: Control total; Identidad del AppPool: Lectura/Modificación Raíz web con escritura del propietario y permisos adecuados para el proceso de IIS.
E:\Content\<sitename>\Logs Admins, SYSTEM: Control total; Propietario del sitio: Lectura Carpeta sobre la raíz web para evitar exposición; solo lectura para el propietario.
E:\Content\<sitename>\Logs\FailedReqLogs Admins, SYSTEM: Control total; AppPool: Control total La identidad del proceso de trabajo necesita escribir diagnósticos.
E:\Content\<sitename>\Logs\W3SVCLogFiles Admins, SYSTEM: Control total; MachineAccount$: Control total HTTP.SYS escribe estos registros; la cuenta de máquina debe tener acceso.

Conceptos clave: ACL, ACE, DACL, SACL y evaluación

ACL (Access Control List) es la lista que contiene entradas de control de acceso (ACE). Cada ACE define permisos permitidos/denegados para un SID (identidad), e indica a qué objetos se aplican (objeto, hijos, herencia).

El Security Descriptor (SD) de un objeto guarda propietario, grupo primario y dos listas: DACL (quién puede acceder) y SACL (qué eventos auditar). SDDL es el lenguaje de texto para representar estos descriptores.

Orden de evaluación típico (importante para entender “por qué” algo pasa): Denegaciones explícitas > Permisos explícitos > Denegaciones heredadas > Permisos heredados. Si no hay DACL, el acceso se permite; si hay DACL vacía, se deniega todo.

Cuentas especiales y SIDs útiles

Algunas identidades del sistema aparecen a menudo en ACLs:

TrustedInstaller (S-1-5-80…): servicio que posee muchos binarios del sistema.

CREATOR OWNER (S-1-3-0): reemplazado por el SID del creador; útil para otorgar control al autor del objeto.

Owner Rights: limita lo que puede hacer el propietario aunque “implícitamente” pudiera modificar ACLs.

Authenticated Users (S-1-5-11), Anonymous Logon (S-1-5-7), IUSR (S-1-5-17), Interactive (S-1-5-4), Local Service (S-1-5-19), Network (S-1-5-2), Service (S-1-5-6), Network Service (S-1-5-20), SYSTEM (S-1-5-18), Batch (S-1-5-3), Terminal Server User (S-1-5-13), Remote Interactive Logon (S-1-5-14).

SIDs conocidos: Administrador (S-1-5-500), Invitado (S-1-5-501), y usuarios locales a partir de S-1-5-1000.

Trucos de consola: tomar posesión y ajustar ACL en masa

Para desbloquear archivos o normalizar permisos del sistema, dos comandos resultan muy prácticos (ejecuta CMD como admin):

  • takeown /F "%SYSTEMDRIVE%\*" /R /D Stoma posesión recursiva del contenido del sistema (útil para reparar).
  • icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /Tconcede permisos específicos al grupo Administradores de forma recursiva.

Permisos ICACLS útiles: F (Full), M (Modify), RX (Read+Execute), R (Read), W (Write), D (Delete). Marcadores de herencia: (OI) objeto, (CI) contenedor, (IO) sólo heredar. Así, (OI)(CI)(F) aplica a carpeta, subcarpetas y archivos con control total.

UAC y notas de interfaz

El Control de cuentas de usuario (UAC) no cambia ACLs, pero sí cuándo se piden elevaciones para acciones administrativas. Mantener UAC activo en el nivel recomendado es más seguro; desactivarlo reduce avisos, pero no sustituye la gestión de permisos NTFS.

Administración masiva y auditoría con ADManager Plus

Incluye informes listos para usar que dan visibilidad inmediata: shares en servidores, permisos de carpetas, carpetas accesibles por cuentas y carpetas no heredables. Puedes delegar tareas a técnicos y auditar todo, exportando a CSV, PDF, HTML o Excel.

Compatibilidad y pequeñas notas operativas

Muchas de las opciones de seguridad descritas aplican a Windows Server 2012/2012 R2, 2016, 2019 y 2022, así como a clientes Windows contemporáneos. Las recomendaciones son válidas tanto para servidores en rack o torre como para infraestructuras modulares. En portales y consolas web, puede que veas avisos de cookies o idioma; no afectan a la gestión NTFS, son parte del marco web y del consentimiento.

Si te quedas con una idea clave, que sea esta: al copiar o mover, decide si quieres heredar o conservar. Para conservar, usa Xcopy con /O /X o Robocopy con /COPYALL; para heredar, deja actuar al Explorador o fuerza la reherencia con Registro. Planifica herencias, documenta las excepciones y apóyate en informes y automatización para mantener la casa ordenada con el paso del tiempo.

ntfs vs fat32 cuál usar en cada caso-2
Artículo relacionado:
NTFS vs FAT32: ¿Cuál usar en cada situación?
  Learn how to Change Shade of Folders on Mac