Skip to main content
TrueNAS: Habilitar Administración de Equipos y Acceso a OpenFiles (Error Acceso Denegado) - Featured image

TrueNAS: Habilitar Administración de Equipos y Acceso a OpenFiles (Error Acceso Denegado)

Saul Ojeda 475 words 3 min

\nimage: “truenas_thumbnail.jpg”

Al administrar un servidor de archivos TrueNAS o FreeNAS integrado con Microsoft Active Directory, es posible que encuentres el error You do not have permissions to see the list of files opened by Windows clients. o NT_STATUS_ACCESS_DENIED al intentar conectarte usando las herramientas administrativas nativas de Windows RPC.

Este comportamiento es más notable cuando:

  • Intentas abrir el complemento MMC fsmgmt.msc (Administración de equipos -> Carpetas compartidas) apuntando a tu NAS. alt text

alt text

  • Intentas consultar bloqueos de red desde la línea de comandos usando openfiles.exe /Query /S \\NAS.

Incluso si tu cuenta de administrador de Active Directory tiene Control total asignado dentro de las ACL de los recursos compartidos individuales y las ACL del sistema de archivos, el demonio del servidor Samba subyacente rechazará inherentemente las solicitudes globales de la API de Windows que interrogan a los subsistemas sin procesar (como listas de sesiones y bloqueos de archivos) a menos que se deleguen explícitamente.

La Solución: Grupo de Administradores Globales SMB

En versiones anteriores de Samba y FreeNAS, te veías obligado a acceder a la terminal de bash como root y mapear la capacidad de Windows SeDiskOperatorPrivilege mediante el comando net rpc rights grant.

En el TrueNAS Core y TrueNAS Scale moderno, este mapeo ha sido elegantemente expuesto en la interfaz Global de SMB:

  1. Inicia sesión en la interfaz web de tu TrueNAS.

  2. Navega hasta System -> Services (o Network -> SMB dependiendo de tu rama). alt text

  3. Encuentra SMB y haz clic en el icono del lápiz para configurar sus parámetros de servicio globales. alt text

  4. Expande la opción Advanced settings. alt text

  5. Localiza el menú desplegable etiquetado como Administrators Group.

  6. Selecciona tu grupo de administración designado de Active Directory (por ejemplo, DOMAIN\nas-admins o DOMAIN\Domain Admins). alt text

  7. Haz clic en Save. alt text

Consideraciones de Seguridad

Warning

No asignes este privilegio a grupos genéricos (por ejemplo, Domain Users o Usuarios de Dominio).

Otorgar el SeDiskOperatorPrivilege proporciona un control administrativo significativo sobre el demonio SMB. Si se otorga este acceso a usuarios normales, teóricamente podrían consultar todos los archivos abiertos en el NAS, exponiendo nombres de archivos confidenciales y patrones de acceso. Además, podrían forzar el cierre de sesiones RPC activas y bloqueos de archivos de otros usuarios, lo que podría provocar corrupción de datos o interrupción del servicio. Siempre restringe esto a los grupos administrativos dedicados.

Conclusión

Al designar a tu grupo de administradores de AD en la configuración global del demonio SMB, TrueNAS les otorga orgánicamente el SeDiskOperatorPrivilege. En el momento en que esto ocurre, Samba confía en las conexiones RPC que se originan desde esas cuentas de Active Directory.

¡Tus complementos de Administración de equipos, consultas de archivos abiertos en la red y aplicaciones de monitoreo por scripts pasarán instantáneamente de mostrar You do not have permissions... a mostrar la telemetría de forma adecuada! Esto garantiza una visibilidad completa de los bloqueos de archivos sin comprometer la seguridad de tu dominio informático.