Configurar el recurso compartido del servidor NAS desde Active Directory

Ahora que hemos delegado la validación y control de usuarios en el AD (Active Directory) de nuestro Windows Server, tenemos que configurar la organización de nuestro despacho utilizando las herramientas que nos ofrece AD.

En este sentido, tenemos que definir la organización, los grupos y los usuarios que harán uso de los recursos publicados en el servidor NAS, así como las políticas de configuración, permisos y restricciones que se aplicarán sobre cada grupo de usuarios.

09-Feb-2017

Procesos de la configuración

Tenemos que aprovechar la integración de nuestro servidor NAS con Active Directory, configurando los accesos y permisos a los recursos publicados en la red desde el controlador de dominio con Active Directory.

El proceso para configurar la organización de nuestro despacho conllevará cada uno de estos pasos:

  • Crear las (OU) Unidades Organizativas, que nos permitan definir los departamentos o tipos de usuarios que trabajan en el despacho, los grupos y dar de alta a los usuarios que forman parte de la OU.
  • Crear recurso compartido en el servidor NAS con acceso completo y publicarlo en el dominio.
  • Crear carpetas para cada grupo de usuarios en el recurso compartido.
  • Establecer los permisos de seguridad a cada carpeta.
  • Crear las (GPO) Políticas de Grupo para cada OU de nuestro despacho.
    • Conectar los recursos compartidos con unidades de red para cada grupo de usuarios.
    • Establecer permisos según el grupo de usuario.
    • Crear perfiles móviles para el grupo de Técnicos.

Crear las Unidades Organizativas (UO)

AD utiliza las llamadas Unidades Organizativas o OU (Organizational Units), para definir como están organizados los equipos y usuarios de nuestra red. Las OU se representan utilizando árboles de carpetas, proporcionando una manera de describir agrupaciones de objetos que representan los distintos departamentos, equipos, grupos y usuarios que la componen.

La organización de nuestra empresa ficticia ‘Los Remedios’, está formada por los tres tipos de trabajadores que podemos encontrar: el grupo del personal que se dedica a las tareas administrativas,  el grupo de colegiados que administran las fincas y por último el grupo de personal técnico encargado de realizar las tareas de mantenimiento de los equipos del despacho.

  • El grupo de personal administrativo (GP_Administrativos) lo componen 4 trabajadores/as: Rosa Sáez (administración), Marta Flores (contabilidad), Antonio Castro (comercial zona), Clara Orellana (relaciones clientes).
  • El grupo de colegiados (GP_Colegiados) lo componen dos personas: Carmen Gandía y Luis Roca.
  • El grupo de técnicos (GP_Tecnicos) está formado de momento por una única persona: Andrés Redondo (servicio técnico).

Así mismo los equipos que formen parte de la organización también estarán representados dentro de nuestra Unidad Organizativa.

En resumen nuestra OU principal ‘Despacho’ estará formada por las OU:

  • Equipos: representará todos los equipos que forman parte del parque informático del despacho.
  • Usuarios: representará a todos los usuarios y estará dividida en tres OU:
    • Administrativos
    • Colegiados
    • Tecnicos

Crear la OU Despacho y las sub-OU

Ahora que ya tenemos más o menos claro cuál es la organización, pasaremos a crear la OU principal que llamaremos ‘Despacho’, dentro de la cual iremos definiendo el resto de las OU.

Iniciamos sesión en nuestro Windows Server con la cuenta del Administrador y abrimos la consola de administración ‘Consola NAS’ que creamos en el módulo anterior.

En la raíz de la Consola, desplegamos ‘Usuarios y Equipos de Active Directory’, hasta situamos sobre el dominio ‘minubeinformatica.local’.

Mostramos el menú contextual del dominio y seleccionamos NuevoUnidad Organizativa.

Crear Unidad Organizativa

Indicamos el nombre de la OU ‘Despacho’ y dejamos marcada la casilla ‘Proteger contenedor….

Nombre la nueva UO

Para el resto de las OU ejecutaremos la misma orden, pero tomando la OU Despacho como punto de partida.

Crear Unidad Organizativa dentro de la OU Despacho

Al finalizar tendremos creado un árbol de Unidades Organizativas como el que se muestra a continuación:

Árbol de OUs creadas en la OU Despacho

Crear los grupos de la organización

Necesitaremos crear 3 grupos de usuarios para nuestra organización dentro de la OU Despacho:

  • GP_Administrativos para el personal administrativo
  • GP_Colegiados para los colegiados del despacho
  • GP_Tecnicos para el personal técnico de mantenimiento de los equipos de la red
  • Seleccionamos la orden NuevoGrupo de la OU principal ‘Despacho’
Crear nuevo grupo de usuarios en la OU Despacho
  • Para cada nuevo grupo, indicaremos el nombre que se muestra al principio de este apartado. Dejaremos las opciones de ‘Ámbito de grupo’ y ‘Tipo de grupo’ como se muestran.
Datos grupo Administrativos

Al finalizar tendremos creados los tres grupos de nuestra organización como se muestra a continuación:

Grupos de la organización

Si queremos escribir una descripción para cada grupo, accederemos a sus propiedades utilizando el menú contextual del grupo una vez creado.

Crear los usuarios de cada OU

Ahora tendremos que crear los usuarios de las OU Administrativos, Colegiados y Tecnicos, que hemos descrito al principio de este apartado.

  • Seleccionamos la orden NuevoUsuario de la OU ‘Administrativos’ que pertenece a la OU Usuarios.
Crear nuevo usuario en la OU Administrativos
  • Indicamos el nombre y los apellidos del/a trabajador/a y como nombre de usuario su nombre y apellidos juntos.
Datos nuevo usuario
  • Establecemos la contraseña (pondremos la misma para todos los usuarios administrativos) y obligaremos al usuario a cambiarla la primera vez que inicie sesión en el dominio.
Establecer contraseña nuevo usuario
  • Una vez creado el usuario, repetiremos los mismos pasos para el resto de los usuarios de la OU Administrativos.
  • Para las OU Colegiados y Tecnicos, también repetiremos los mismos pasos siguiendo las mismas indicaciones sobre los nombres de usuarios, pero en estos casos no obligaremos a los usuarios a cambiar la contraseña al iniciar sesión por primera vez en el dominio.

Los usuarios de cada OU se muestran a continuación:

Administrativos

Usuarios OU Administrativos

Colegiados

Usuarios OU Colegiados

Técnicos

Usuarios OU Tecnicos

Asignar los grupos a cada usuario

Aunque por defecto todos los usuarios nuevos tienen asignado el grupo ‘Usuarios del dominio’, aún tenemos que indicar a que grupo de nuestra organización pertenece cada usuario.

El grupo GP_Administrativos estará formado por todos los usuarios de la OU Administrativos. También  incluiremos los usuarios de la OU Colegiados, ya que los colegiados del despacho quieren poder supervisar en un momento dado los documentos generados por el personal administrativo, aunque no sea este realmente su grupo.

El grupo GP_Colegiados estará formado por los dos usuarios de la OU Colegiados.

El grupo GP_Tecnicos estará formado por el usuario de la OU Tecnicos. Adicionalmente a este usuario le asignaremos también el grupo ‘Admistradores del dominio’ por si en un momento determinado tiene la necesidad de realizar tareas de administración avanzadas.

Usuarios del grupo GP_Administrativos.

  • Mostramos las propiedades del grupo GP_Administrativos de la OU principal Despacho.
Asignar miembros del grupo Administrativos
  • En la ficha ‘Miembros’ pulsaremos el botón ‘Agregar’ para seleccionar los 4 usuarios de la OU Administrativos más los 2 usuarios de la OU Colegiados.
Propiedades grupo GP_Administrativos
  • En la ventana de selección de usuarios y equipos, pulsamos el botón ‘Tipos de objeto…’ para filtrar los resultados y que sólo nos muestre los usuarios del dominio. Desmarcaremos todos los tipos de objetos, excepto los de tipo ‘Usuarios’.
Selección de usuarios, equipos, grupos, etc…
Filtrar tipo de objeto por grupos
  • A continuación pulsaremos el botón ‘Opciones Avanzadas’ para mostrar opciones de búsqueda adicionales.
  • Pulsamos el botón ‘Buscar ahora’ para mostrar un listado de los usuarios del dominio y poder seleccionar más fácilmente a cada miembro del grupo.
Selección de usuarios para el grupo GP_Administrativos
  • Aceptamos todas las ventanas abiertas y comprobamos que todos los usuarios han sido agregados al grupo GP_Administrativos.
Usuarios grupo GP_Administrativos

Usuarios del grupo GP_Colegiados.

  • Repetiremos los mismos pasos realizados para el grupo anterior, pero en este caso sólo seleccionaremos los dos usuarios de la OU Colegiados.
Usuarios grupo GP_Colegiados

Usuarios del grupo GP_Tecnicos.

  • Repetiremos los mismos pasos que en los casos anteriores, seleccionando el único usuario de la OU Tecnicos.
Usuarios grupo GP_Tecnicos

Como ya hemos comentado el usuario Andrés Redondo es un caso especial, ya que también tiene que formar parte del grupo especial de ‘Administradores del dominio’.

  • Nos dirigiremos a la OU Colegiados donde reside el usuario, mostramos el menú contextual del usuario y seleccionamos la orden ‘Agregar a un grupo…’.
  • Repitiendo los pasos de búsqueda usados para los grupos de la organización, a excepción del filtrado de tipos de objeto, seleccionaremos el grupo ‘Admis. del dominio’ y aceptamos las ventanas abiertas.
  • Si mostramos las propiedades del usuario, veremos el usuario tiene asignado el grupo especial aparte del grupo GP_Tecnicos.
Grupo extra para el usuario Andrés Redondo

Crear el recurso compartido en el Servidor NAS

Vamos a crear un nuevo recurso en el servidor donde organizar la estructura de carpetas que representan a cada grupo de usuarios. Esta carpeta una vez publicada será administrada por AD para asignar permisos a cada uno de los grupos.

  • Desde el WebGUI del servidor NAS, accedemos al menú Avanzado -> Gestor de Archivos.
  • Nos situamos en la ruta mnt/hdraid y creamos un nuevo directorio de nombre ‘srvw08’.
Crear nuevo directorio en el servidor NAS
  • Mostramos los elementos compartidos accediendo al menú Servicios -> CIFS/SMB.
  • Eliminaremos todos los recursos compartidos que existen actualmente ya que a partir de ahora sólo podrán acceder los usuarios de AD y añadiremos un nuevo elemento que apunte al directorio que acabamos de crear con la siguiente configuración:
    • Nombre: SRVW08
    • Comentario: Documentos Servidor Windows
    • Ruta: /mnt/hdraid/srvw08
    • Visible: desactivaremos la casilla ‘Establecer como navegable’ para que no se muestre al examinar la red.
    • Invitado: desactivaremos la casilla ‘Permitir acceso de invitado’.
    • Copia oculta: desactivaremos la casilla ‘Habilitar copia oculta’.
    • Almacenar ACLs de NTFS: activar la casilla ‘Almacenar ACLs de NTFS como atributos extendidos’.
Configuración elemento compartido SRVW08
Lista elementos Compartidos

Cambiar el grupo del recurso publicado

El directorio ‘SRVW08’ que hemos creado tiene asignado de propietario ‘root’ y como grupo ‘wheel’, lo que nos impedirá gestionar de forma correcta la estructura de carpetas que deseamos crear desde nuestro Server2008, ya que no tenemos permiso para crear o eliminar nuevos elementos dentro del recurso.

Para solucionar este problema de permisos, vamos a cambiar el grupo wheel de Linux, por el grupo especial ‘Admins._del_dominio’ que existe en AD para todos los usuarios que realizan tareas de administración en el dominio.

  • Iniciamos sesión de consola en el servidor NAS utilizando la opción 6 del menú de consola.
Sesión consola Servidor NAS
  • Nos cambiamos al directorio /mnt/hdraid mediante el comando cd /mnt/hdraid
  • Si mostramos un listado del directorio, veremos que el propietario del directorio srvw08 es el usuario root y el grupo wheel
Listado directorio hdraid Sevidor NAS
  • Para cambiar el grupo del directorio, ejecutaremos el comando chgrp –R Admins._del_dominio srvw08
  • Si volvemos a mostrar un listado, veremos como ahora el grupo del recurso es el que le hemos indicado.
Cambiar grupo del recurso compartido SRVW08

A partir de este momento podemos crear nuestra organización de carpetas desde el Server 2008 sin problemas, ya que cualquier usuario del dominio pertenece a este grupo y tienen los permisos de lectura, escritura y ejecución asignados.

Crear la estructura de carpetas de nuestra OU

Ahora desde el Server 2008R2, crearemos la estructura de carpetas para nuestra OU.

  • Abrimos el Explorador de Windows y nos conectamos al recurso creado en el servidor mediante su URN \\SRVNAS\SRVW08
Conexión al recurso compartido SRVW08 del Servidor NAS
  • Creamos una carpeta para cada grupo de usuarios más una carpeta adicional de acceso público.
Carpetas para la organización del despacho en el recurso compartido SRVW08

Establecer los permisos a las carpetas

En cuanto a los permisos de las carpetas, tendremos en cuenta las siguientes directrices:

  • No se permitirá a ningún usuario eliminar las carpetas principales de la organización.
  • Los administradores del dominio tendrán permisos sobre todas las carpetas.
  • Sólo los usuarios que pertenezcan al grupo autorizado podrán acceder y trabajar con la carpeta, es decir; a la carpeta Administrativos sólo podrán acceder los usuarios del grupo GP_Administrativos, a la carpeta Colegiados sólo los usuarios del grupo GP_Colegiados, etc…
  • Dentro de cada carpeta, sólo el creador del objeto, es decir; el propietario de un archivo o subcarpeta creada en el recurso tendrá la posibilidad de eliminarlo, moverlo, renombrarlo, modificarlo, etc…, el resto de los usuarios del grupo sólo podrán visualizarlo e imprimirlo y si desean modificarlo tendrán que generar un duplicado del mismo.
  • A la carpeta Publico, podrán acceder, crear y modificar su contenido todos los usuarios de la organización.

Cambiar los permisos

Al activar ‘Active Directory’ en nuestro servidor NAS, delegamos en el AD del dominio el control de acceso a los recursos compartidos, ahora también vamos a configurar los permisos de las carpetas creadas en el recurso compartido desde nuestro controlador de dominio.

Para cambiar de forma efectiva los permisos de las carpetas, primero tendremos que quitar todos los permisos heredables del objeto primario (recurso srvw08 del servidor NAS) aplicados actualmente a nuestras carpetas y agregar los nuevos permisos.

Vamos a ver como se realizarían estos pasos con la carpeta Administrativos:

  • Mostramos las propiedades de la carpeta a través del menú contextual, visualizamos la ficha ‘Seguridad’ y pulsamos el botón ‘Opciones avanzadas’.
Propiedades carpeta Administrativos
  • En la ventana de configuración de seguridad avanzada, se mostrarán los permisos actuales que se han heredado del recurso \\SRVNAS\srvw08. Pulsaremos el botón ‘Cambiar permisos’ para realizar cambios en las entradas de permiso.
Configuración de seguridad de la carpeta Administrativos
  • Desmarcamos la casilla ‘Incluir todos los permisos heredables del objeto…’ para poder quitar las entradas actuales.
Quitar permisos heredados del recurso
  • Se mostrará el cuadro de diálogo de confirmación, donde pulsamos el botón ‘Quitar’, para quitar los permisos heredados.
Confirmación para quitar los permisos heredados
  • Veremos como la lista de entradas de permiso aparece vacía, indicándonos que no existen usuarios o grupos con permiso de acceso a este objeto. Pulsaremos el botón ‘Agregar’ para agregar las nuevas entradas de usuarios y grupos.
Permisos heredados eliminados
  • En el cuadro de diálogo de selección de usuarios, equipos, etc… escribimos las iniciales ‘ad’ para buscar todos los usuarios o grupos que comiencen por estas letras y pulsamos sobre el botón ‘Comprobar nombres’.
  • Seleccionamos la cuenta ‘Administrador’ y aceptamos los dos cuadros de diálogo.
Selección de usuarios, equipos, grupos, etc… filtrada por letras "ad"
Grupos de AD filtrados
  • Cuando se nos muestren las entradas de permisos, seleccionaremos ‘Esta carpeta, subcarpetas y archivos’ de la lista ‘Aplicar a’, marcaremos la casilla ‘Control total’ de la lista de permisos y pulsamos el botón ‘Aceptar’.
Entrada de permiso usuario Administrador
  • Al regresar a la ventana de configuración de seguridad avanzada, veremos cómo se ha añadido una entrada que hace referencia al usuario ‘Administrador’. Pulsaremos de nuevo el botón ‘Agregar’ y seguiremos los mismos pasos para el grupo ‘Admins. del dominio’.
Entrada de permiso para grupo Admin. del dominio
  • Ahora vamos a añadir al propietario del recurso, a través de la entidad integrada ‘CREATOR OWNER’. Pulsamos de nuevo el botón ‘Agregar’, en el cuadro de diálogo de selección de usuarios, equipos, etc… escribimos las iniciales ‘crea’, seleccionamos la entidad ‘CREATOR OWNER’ y aceptamos los cuadros de diálogo.
Selección de usuarios, equipos, grupos, etc… filtrada por letras "crea"
Entidades de AD filtradas
  • Cuando se nos muestren las entradas de permisos, seleccionaremos ‘Sólo subcarpetas y archivos’ de la lista ‘Aplicar a’, marcaremos la casilla ‘Control total’ de la lista de permisos y pulsamos el botón ‘Aceptar’.
Entrada de permiso para entidad CREATOR OWNER
  • Por último añadiremos el grupo de usuarios GP_Admistrativos siguiendo los mismos pasos que en los casos anteriores, seleccionando ‘Esta carpeta, subcarpetas y archivos’ de la lista ‘Aplicar a’ y marcando las casillas: ‘Atravesar carpeta / ejecutar archivo’, ‘Mostrar carpeta / leer datos’, ‘Leer atributos’, ‘Leer atributos extendidos’, ‘Crear archivos / escribir datos’, ‘Crear carpetas / anexar datos’ y ‘Permisos de lectura’ de la lista de permisos.
Entrada de permiso para grupo GP_Administrativos
  • Al finalizar veremos como en la lista de permisos se muestran las cuatro entradas que acabamos de agregar. Pulsaremos el botón ‘Aceptar’ de todos los cuadros de diálogo abiertos para que los cambios sean efectivos.
Nuevas entradas de permisos

Para el resto de las carpetas de la organización: Colegiados, Tecnicos y Publico realizaremos los mismos pasos estableciendo para cada uno los permisos que se muestran en el siguiente apartado.

Permisos aplicados a las carpetas de la organización

Permisos carpeta Administrativos

Usuario o GrupoSe aplica aPermisos
AdministradorEsta carpeta, subcarpetas y archivosControl total
Admis. del dominioEsta carpeta, subcarpetas y archivosControl total
CREATOR OWNERSólo subcarpetas y archivosControl total
GP_AdministrativosEsta carpeta, subcarpetas y archivosAtravesar carpeta / ejecutar archivo
Mostrar carpeta / leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / escribir datos
Crear carpetas / anexar datos
Permiso de lectura
Nuevas entradas de permisos carpeta Administrativos

Permisos carpeta Colegiados

Usuario o GrupoSe aplica aPermisos
AdministradorEsta carpeta, subcarpetas y archivosControl total
Admis. del dominioEsta carpeta, subcarpetas y archivosControl total
CREATOR OWNERSólo subcarpetas y archivosControl total
GP_ColegiadosEsta carpeta, subcarpetas y archivosAtravesar carpeta / ejecutar archivo
Mostrar carpeta / leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / escribir datos
Crear carpetas / anexar datos
Permiso de lectura
Nuevas entradas de permisos carpeta Colegiados

Permisos carpeta Tecnicos

Usuario o GrupoSe aplica aPermisos
AdministradorEsta carpeta, subcarpetas y archivosControl total
Admis. del dominioEsta carpeta, subcarpetas y archivosControl total
CREATOR OWNERSólo subcarpetas y archivosControl total
GP_TecnicosEsta carpeta, subcarpetas y archivosAtravesar carpeta / ejecutar archivo
Mostrar carpeta / leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / escribir datos
Crear carpetas / anexar datos
Permiso de lectura
Nuevas entradas de permisos carpeta Tecnicos

Permisos carpeta Publico

Usuario o GrupoSe aplica aPermisos
AdministradorEsta carpeta, subcarpetas y archivosControl total
Admis. del dominioEsta carpeta, subcarpetas y archivosControl total
GP_AdministrativosEsta carpeta, subcarpetas y archivosAtravesar carpeta / ejecutar archivo
Mostrar carpeta / leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / escribir datos
Crear carpetas / anexar datos
Permiso de lectura
GP_ColegiadosEsta carpeta, subcarpetas y archivosAtravesar carpeta / ejecutar archivo
Mostrar carpeta / leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / escribir datos
Crear carpetas / anexar datos
Permiso de lectura
GP_TecnicosEsta carpeta, subcarpetas y archivosAtravesar carpeta / ejecutar archivo
Mostrar carpeta / leer datos
Leer atributos
Leer atributos extendidos
Crear archivos / escribir datos
Crear carpetas / anexar datos
Permiso de lectura
Nuevas entradas de permisos carpeta Publico

Comprobar la nueva organización

Para comprobar si todos los cambios que hemos realizado en el AD del dominio han surgido efecto, vamos a iniciar sesión en dos equipos del dominio uno con Windows 7 y otro con Windows 8 con distintos tipos de usuarios, crearemos archivos y carpetas dentro de los recursos e intentaremos realizar cambios en archivos de otros usuarios e intentaremos entrar a recursos de otros grupos distintos del usuario que inicio la sesión.

En la máquina con Windows 7 iniciaremos sesión con un usuario del grupo Administrativos por ejemplo ‘Marta Flores’ y en la máquina con Windows 8 iniciaremos sesión con un usuario del grupo Colegiados por ejemplo ‘Carmen Gandía’.

  • Iniciamos sesión en la máquina Windows7 con el usuario martaflores del grupo GP_Administrativos. Al ser la primera vez que este usuario inicia sesión en el dominio nos obligará a cambiar la contraseña.
Inicio de sesión usuario Marta Flores en la máquina Windows7
  • Abrimos el explorador de Windows y nos conectamos al recurso compartido srvw08 del servidor NAS a través de la barra de direcciones.
Acceso a los recursos del Servidor NAS
  • Podemos visualizar todas las carpetas que se han creado en la organización.
  • Tenemos permiso de acceso a la carpeta Administrativos y podemos crear carpetas y archivos sin problemas.
Permiso para crear carpetas y archivos en la carpeta Administrativos
  • También tenemos permiso de acceso a la carpeta Publico donde podemos crear carpetas y archivos.
Permiso para crear carpetas y archivos en la carpeta Publico
  • Pero si intentamos entrar en alguna carpeta distinta a la del personal administrativo, como es el caso de la carpeta Colegiados o la carpeta Tecnicos, nos mostrará un mensaje indicándonos que no tenemos permisos para acceder a este recurso.
Sin permisos para acceder a la carpeta Colegiados
  • Ahora iniciamos sesión en la máquina Windows8 con el usuario carmengandia del grupo GP_Colegiados.
Inicio de sesión del usuario Carmen Gandía en la máquina Windows8
  • Si abrimos el explorador de Windows y nos conectamos al recurso srvw08 como en el caso de la máquina Windows7, también podemos visualizar las carpetas de la organización.
  • Tenemos permiso de acceso a la carpeta Colegiados y podemos crear carpetas y archivos sin problemas.
Permiso para crear carpetas y archivos en la carpeta Colegiados
  • También tenemos permiso de acceso a la carpeta Publico donde podemos crear carpetas y archivos y modificar o eliminar los objetos de otros usuarios.
Control total en la carpeta Publico
Control total en la carpeta Publico
  • También tenemos permiso de acceso a la carpeta Administrativos donde se muestran los objetos creados por el usuario martaflores y podemos crear carpetas y archivos.
Permiso de acceso a la carpeta Administrativos
  • Sin embargo si intentamos modificar o eliminar el trabajo de otro usuario, por ejemplo, eliminar la carpeta ‘Marta Flores’ creada por el usuario martaflores, nos mostrarán un mensaje indicándonos que no disponemos de los permisos necesarios para realizar la acción. De igual manera si el usuario martaflores intenta modificar o eliminar algún objeto del usuario carmengandia se le denegará el acceso para realizar la acción.
No tenemos permiso para eliminar o modificar los recursos de otro usuario
  • Si intentamos entrar en la carpeta Tecnicos, nos mostrará un mensaje indicándonos que no tenemos permisos para acceder a este recurso.
Sin permiso de acceso a la carpeta Colegiados

Con estas pruebas hemos comprobado que los permisos sobre las carpetas de la organización funcionan de forma correcta dependiendo del grupo al que pertenece cada usuario y cuando el usuario es el propietario del objeto existente.

Video Demostrativo