Gestione dei permessi in una rete con Windows XP
Introduzione
Dopo aver notato come molti utenti del Forum avessero dei problemi con le autorizzazioni in una rete basata sul modello del Gruppo di Lavoro con Windows XP e quanto fosse lacunosa la letteratura informatica in questo ambito mi sono deciso a scrivere questo articolo. L’obiettivo è quello di sintetizzare tutte le informazioni relative al calcolo dei permessi di un utente o di un gruppo di utenti e applicare poi queste conoscenze sul lato pratico per assegnare a nostro piacimento le autorizzazioni. Buona lettura!
NOTA: questo articolo contiene termini tecnici e specifici. Alcuni contenuti vanno oltre la semplice gestione di una rete casalinga. Se volete che un qualche argomento venga trattato con più semplicità o anche approfondito maggiormente scrivete pure nel nostro forum o mandate una mail all’indirizzo info@upyou.it
Condivisione file semplificata… e non
Quando utilizziamo con Windows XP una rete basata su un gruppo di lavoro il sistema operativo utilizza di default la Condivisione File Semplificata che noi non tratteremo in questa sede perché in effetti non introduce nessuna effettiva gestione delle autorizzazioni. Per questo prima che possiate applicare qualsiasi procedura spiegata più avanti nel corso dell’ articolo dovrete disattivare la Condivisione File Semplificata. Per farlo seguite queste semplici istruzioni:
Da Pannello di Controllo fate doppio click sull’icona Opzioni Cartella. Nella finestra che si aprirà scegliete la scheda Visualizzazione. Nell’elenco Impostazioni avanzate dovete poi cercare e deselezionare la voce
Utilizza condivisione file semplice ( scelta consigliata )
Utilizzate l'immagine seguente come riferimento.
Clicca sull'immagine per ingrandire
A questo punto se visualizzerete le proprietà di una cartella o di un volume Windows mostrerà due nuove schede che sostituiscono la scheda Condivisione precedentemente utilizzata con la Condivisione file semplice.
Clicca sull'immagine per ingrandire
Utente e gruppi in Windows XP
Prima di addentrarci nel discorso relativo ai permessi in Windows XP dobbiamo avere una base relativa alla gestione degli utenti e dei gruppi di utenti in questo sistema operativo.
Quando installiamo Windows XP il sistema genera automaticamente una serie di utenti e di gruppi di default. Dobbiamo imparare a conoscerli per capire successivamente come applicare nel modo corretto i permessi. Ecco un elenco con una breve descrizione dei gruppi più importanti:
Administrators: gli utenti di questo gruppo hanno accesso completo al computer e a tutte le sue risorse.
Backup Operators: quando utilizzano l’utility di backup gli utenti di questo gruppo hanno accesso a tutti i file e a tutte la cartelle del computer anche se normalmente non ne hanno l’autorizzazione. Di default questo gruppo non ha membri.
Guests: gli utenti nel gruppo Guests hanno le stesse restrizioni di quelli del gruppo Users eccezion fatta per l’account Guest che ha ulteriori limitazioni. Inoltre gli utenti di questo gruppo condividono tutti lo stesso profilo utente.
Network Configuration Operators: i membri di questo gruppo possono hanno alcuni privilegi amministrativi riguardanti le operazioni di manutenzione e configurazione delle connessioni di rete. Per esempio possono rinominare, ripristinare o disabilitare una connessione, modificare le proprietà del protocolloTCP/IP ed altro ancora. Questo gruppo non ha membri di default.
Power Users: i membri questo gruppo possono eseguire alcune operazioni di gestione come per esempio creare utenti e gruppi ed amministrarli ma non possono per esempio modificare oggetti ( utenti, gruppi, ecc.. ) creati da utenti del gruppo Administrators. Inoltre i membri di questo account non hanno accesso a file e cartelle se non vengono dati loro i permessi. Anche questo gruppo non ha membri di default.
Remote Desktop Users: gli utenti di questo gruppo sono autorizzati a loggarsi al computer da un computer remoto per sfruttare la funzionalità di Desktop Remoto. Per saperne di più su questo argomento potete consultare la nostra guida a questo indirizzo.
Users: gli utenti di questo gruppo hanno privilegi molto limitati e non possono eseguire operazioni di carattere amministrativo. Di default tutti gli utenti creati nel computer sono membri di questo gruppo.
HelpServicesGroup: i membri di questo gruppo possono utilizzare una serie di strumenti per diagnosticare eventuali problemi. Di default gli utenti di questo gruppo sono associati a delle applicazioni Microsoft per l’help in linea. E’ consigliato non aggiungere utenti a questo gruppo.
Ci sono poi dei gruppo definiti “speciali” che Windows utilizza automaticamente basandosi su alcune proprietà degli utenti. Non è possibile impostare i membri di questi gruppi o in qualche modo gestirli alla stessa stregua degli altri. E’ però possibile assegnare dei permessi di accesso a file e cartelle a questi gruppi il che li rende particolarmente importanti per le loro caratteristiche:
Everyone: ogni utente che ha diritto di accesso al computer compreso l’account Guest.
Interactive: contiene il solo utente che in certo momento è loggiato localmente al computer
Network: contiene tutti gli utenti che stanno al momento accedendo al computer attraverso una connessione di rete
Tra questi gruppi assolutamente da ricordare è il gruppo Everyone in quanto utilissimo per dare permessi di base a tutti gli utenti in una sola volta.
Un'altra cosa molto importante da ricordare sulla gestione degli utenti e dei gruppi nei sistemi Windows XP è che tutte le proprietà e i permessi relativi ad un utente non vengono riferiti dal sistema operativo direttamente al suo nome ma ad un numero identificativo. Il vantaggio di questo sistema è che se viene modificato il nome utente permessi che erano riferiti all’identificativo verranno automaticamente riferiti al nuovo nome utente. Se poi per esempio un utente viene cancellato e ne viene creato un altro con lo stesso nome i permessi relativi al primo non varrano per il nuovo utente in quanto quest’ultimo sarà identificato da un numero differente.
Non ci dilungheremo nello spiegare il funzionamento dell’utilità di gestione degli utenti in Windows XP ( Professional ) ma ci limiteremo ad indicarne la modalità di accesso. Da Pannello di Controllo raggiungete la cartella Strumenti di Amministrazione e poi fate doppio click su Gestione Computer. Dal menù a sinistra scegliete Utenti e Gruppi Locali.
Dopo questa infarinatura generale sugli utenti ed i gruppi possiamo passare a scoprire le tipologie di permessi.
I limiti di Windows XP Home Edition
Questa guida è per lo più rivolta ai possessori di Windows XP Professional. La versione Home infatti è fortemente limitata sotto l’aspetto della gestione degli utenti e dei gruppi e di conseguenza anche dei permessi. In effetti in Windows XP Home è possibile utilizzare solamente la condivisione file semplice con nessuna possibilità quindi di personalizzare i permessi e le autorizzazioni a seconda degli utenti.
Tipologie di permessi
Windows XP utilizza due diverse categorie principali di permessi per calcolare le autorizzazioni dell’utente che richiede di poter compiere una certa azione.
La prima categoria corrisponde ai permessi NTFS. NTFS è il file system predefinito di Windows e include la possibilità di impostare dei permessi di accesso a file e cartelle. Come vedremo poi questi permessi riguardano sia l’accesso locale che quello tramite rete. La seconda categoria corrisponde invece ai permessi di condivisione. Questi permessi riguardano però solo l’accesso dalla rete.
Andiamo ora ad analizzare nel dettaglio le due categorie separatamente.
Permessi NTFS di accesso a file e cartelle
NTFS utilizza due set diversi di permessi: uno per le cartelle ed uno per i singoli file. La differenze tra i due sono comunque minime. Le due tabelle che seguono riassumono questi permessi:
| Permessi NTFS relativi alle cartelle |
|---|
| Permesso | Operazioni Consentite | | Visualizzazione contenuto cartella | L’utente può vedere i nomi dei file e delle sottocartelle contenuti nella cartella. | | Lettura | Oltre a garantire all’utente la possibilità di visualizzare il contenuto della cartella questo permesso permette anche di vedere le proprietà della cartella e quindi i permessi, la proprietà e gli attributi. | | Scrittura | L’utente può creare nuovi file e sottocartelle nella cartella, cambiare gli attributi della cartella e vedere i permessi e il proprietario della cartella. | | Lettura ed esecuzione | L’utente può eseguire tutte le operazioni consentite dai permessi di Lettura e Visualizzazione contenuto cartella ed in più muoversi nelle sottocartelle per raggiungere I files e le cartelle che stanno più in basso nella gerarchia del percorso. | | Modifica | L’utente può eseguire tutte le operazioni consentite dai permessi di Scrittura e Lettura ed esecuzione ed in più può eliminare la cartella. | | Controllo completo | L’utente può effettuare tutte le operazioni garantite dalle altre autorizzazioni di base ed in più può assegnare permessi ad altri utenti, diventare proprietario della cartella ed eliminare file e sottocartelle. |
Come potete vedere quindi il permesso Controllo completo consente agli utenti a cui è assegnato di modificare i permessi per una data cartella. E’ quindi doveroso prestare attenzioni a chi viene assegnato questo permesso.
| Permessi NTFS relativi ai file |
|---|
| Permesso | Operazioni Consentite | | Lettura | L’utente può leggere il contenuto del file e vederne le proprietà inclusi i permessi, gli attributi ed il proprietario. | | Scrittura | L’utente può sovrascrivere il file per intero ( ma non può modificarne il contenuto ), cambiarne gli attributi e vedere i permessi e il proprietario. | | Lettura ed esecuzione | L’utente può eseguire tutte le azioni derivanti da permessi di Lettura ed eseguire i programmi. | | Modifica | L’utente può eseguire tutte le operazioni consentite dai permessi di Scrittura e Lettura ed esecuzione e in più modificare il contenuto del file ed eliminarlo. | | Controllo completo | Oltre a tutte le azioni consentite dagli altri permessi l’utente può anche assegnare le autorizzazioni e diventare proprietario del file. |
I permessi NTFS, ovviamente, sono utilizzabili solo se l’hard disk che contiene le cartelle o i file che vogliamo proteggere ( o condividere ) è formattato appunto con il file system NTFS.
Importante sarà per calcolare i permessi effettivi capire la relazione tra i vari permessi. Se avete avuto modo di impostare dei permessi in Windows XP avrete probabilmente notato che selezionando certi permessi alcuni altri vengono automaticamente selezionati. Questo implica che il permesso selezionato include in sé stesso le autorizzazioni concesse da altri permessi più restrittivi.
La tabella seguente mostra le relazioni tra i permessi:
| Relazioni tra permessi |
|---|
| Permesso | Permessi Correlati | | Lettura ed esecuzione | Visualizza contenuto cartella ( valido solo per le cartelle ), Lettura | | Modifica | Visualizza contenuto cartella ( valido solo per le cartelle ), Lettura ed esecuzione, Lettura e Scrittura | | Controllo completo | Visualizza contenuto cartella ( valido solo per le cartelle ), Lettura ed esecuzione, Lettura, Scrittura e Modifica |
Visualizzazione dei permessi effettivi NTFS
Windows XP permette di visualizzare i permessi effettivi di ogni utente o gruppo per una specifica cartella. Per fare questo dobbiamo portarci nella scheda Protezione delle proprietà della cartella ( o del file ) e cliccare su Avanzate. Nella finestre che apparirà portiamoci nella scheda Autorizzazioni valide. Cliccando sul pulsante Seleziona Windows ci proporrà una finestra come quella qui in figura nella quale potremmo inserire il nome di un particolare utente ( o di un gruppo di utenti ). Se volete potete controllare che il nome che avete inserito corrisponda realmente ad un utente o gruppo memorizzato nel sistema utilizzando il pulsante Controlla nomi. Premete poi Ok e vi verranno visualizzate le effettive autorizzazioni del gruppo o dell’utente selezionato relative alla particolare cartella o file. Questa funzione consente di avere un colpo d’occhio immediato della situazione per un utente o un gruppo e facilita le operazioni di controllo e gestione dei permessi.
Le autorizzazioni di condivisione
Abbiamo già visto i permessi NTFS. Windows XP incorpora un’altra serie di autorizzazioni legate alle sole cartelle condivise nella rete. Queste autorizzazioni sono dette Autorizzazioni di condivisione. Mentre i permessi NTFS sono più vari queste autorizzazioni sono soltanto di tre tipi:
| Autorizzazioni di condivisione |
|---|
| Permesso | Operazioni Consentite | | Lettura | L’utente può vedere i nomi di file e cartelle, eseguire applicazioni, aprire e leggere il contenuto dei files, vedere gli attributi di file e cartelle e navigare attraverso le sottocartelle. | | Modifica | L’utente può eseguire tutte le azioni consentite dal permesso di Lettura ed in più creare ed eliminare file e cartelle, modificare i file e cambiare gli attributi di file e cartelle. | | Controllo completo | Oltre alle azioni consentite dai permessi Lettura e Modifica l’utente può anche modificare le autorizzazioni e diventare proprietario. |
La prima fondamentale differenze di questi permessi rispetto a quelli NTFS è che non si possono applicare direttamente ai file ma solo alle cartelle. I file ereditano i permessi dalle cartelle superiori. Se quindi assegnamo ad una certa cartella i permessi di modifica l’utente avrà il diritto di modificare i file contenuti nella cartella.
Due stati: Consenti e Nega
Se avete già preso un po’ di confidenza con i permessi in Windows XP vi sarete accorti che è possibile impostare un certo permesso in due possibili stati ( tre se contiamo anche lo stato di “non assegnato” ): Consenti e Nega.
Se l’effetto dello stato Consenti è immediatamente intuibile più difficile è capire il comportamento dello stato Nega. Vediamo di capirlo con un semplice esempio.
Consideriamo un’azienda che vuole condividere una cartella con tutti gli utenti del gruppo Users con il permesso di Lettura. Per farlo aggiungerà il permesso di lettura al gruppo per questa cartella. Ipotizziamo poi che nel gruppo Users ci sia un certo utente XY a cui l’azienda non vuole consentire l’accesso alla cartella. Essendo l’utente nel gruppo Users esso eredita tutti permessi associati a questo gruppo quindi l’unico modo per negargli l’accesso è quello di aggiungere un permesso specifico di Lettura per l’utente XY ed impostarlo sullo stato Nega.
Ricordate che nella valutazione delle priorità dei diversi permessi, le autorizzazioni impostate sullo stato Nega sono quelle con la priorità più alta ed il loro effetto scavalca quindi sempre le autorizzazioni nello stato Consenti.
Calcolo effettivo dei permessi per un file o una cartella
Arrivati a questo punto rimane da capire come Windows calcola effettivamente i permessi per un certo utente quando questi tenta di eseguire una certa operazione su un file o una cartella.
Cominciamo a calcolare i permessi per un utente locale ( che si è loggato direttamente al computer ). Questo tipo di operazione ha un senso solo se abbiamo formattato il volume dove sono collocate le cartelle su cui vogliamo agire con file system NTFS. In caso contrario ( ovvero se abbiamo usato FAT32 ) non possiamo utilizzare i permessi locali e quindi risulta inutile qualsiasi calcolo.
Per calcolare i permessi effettivi applicati ad un utente dobbiamo sapere in quali gruppi abbiamo inserito l’utente ed individuare poi per la cartella a cui stiamo facendo riferimento i permessi relativi a questi gruppi ( oltre naturalmente al singolo utente ). Una volta raccolti i vari permessi bisogna prendere il meno restrittivo. Quello è l’effettivo livello delle autorizzazioni per l’utente.
Prendiamo come esempio la cartella “Dati” e ipotizziamo che nel computer sia stato creato un certo account Utente1 membro del gruppo Users. Alla cartella “Dati” sono stati assegnati i seguenti permessi.
Everyone: Controllo completo
Users: Lettura ed esecuzione
Utente1: Lettura
Ovviamente Utente1 è membro del gruppo Everyone in quanto come abbiamo detto in questo gruppo Windows inserisce automaticamente tutti gli utenti collegati al computer ( sia localmente che attraverso la rete ). Controllo completo, è fra i vari permessi attribuiti all’utente, il meno restrittivo e quindi sarà applicato ad Utente1. Facciamo un altro esempio:
Everyone: Scrittura
Users: non assegnato
Utente1: Lettura
In questo caso non c’è una sola autorizzazione valida perché Scrittura non comprende anche i permessi ottenibili da Lettura. Quindi l’utente avrà nel calcolo finale entrambi i permessi di Lettura e Scrittura. Un caso ancora diverso è il seguente:
Everyone: Lettura
Users: Modifica
Utente1: non assegnato
In questo caso il permesso di livello più alto è Modifica che verrà quindi assegnato ad Utente1.
In tutti questi esempio abbiamo usato permessi impostati sullo stato Consenti ma cosa succederebbe se nel calcolo fossero inseriti anche dei permessi con stato Nega?
Se questo è il caso la situazione si complica un pochino ma non troppo, non preoccupatevi. Dovete sempre ricordare innanzitutto che un permesso impostato su Nega ha priorità rispetto ad uno impostato su Consenti. In parole povere, se abbiamo un utente che appartiene a due gruppi e in un gruppo poniamo il permesso Scrittura sullo stato consenti e nell’altro poniamo lo stesso permesso sullo stato Nega l’effetto finale sarà quello di negare il permesso di scrittura.
La negazione di un dato permesso implica automaticamente la negazione di tutti i permessi collegati. Abbiamo già visto in precedenza la relazione tra i vari permessi NTFS; ora dobbiamo ricordare quelle relazioni per capire i prossimi esempi.
Everyone: Lettura ( consenti )
Users: Modifica ( nega )
Utente1: non assegnato
In questo caso è stato negato un permesso di alto livello come Modifica che è collegato a Lettura. Il risultato finale è quindi un accesso negato.
Everyone: Lettura ( consenti )
Users: Scrittura ( nega )
Utente1: Modifica ( consenti )
In questo caso è stato negato Scrittura che è collegato a Modifica. Il permesso modifica viene quindi annullato e rimane in gioco il solo Lettura che non è collegato a nessun altro permesso. Come potete immaginare il calcolo dei permessi con stato Nega complica la situazione. E’ consigliabile quindi utilizzare tale soluzione solo nel caso in cui sia l’unica percorribile.
Quanto abbiamo appena spiegato si applica ai gruppi ed agli utenti locali. Quando un utente tenta l’accesso ad una cartella condivisa entrano in gioco anche le autorizzazioni di condivisione cha abbiamo introdotto prima. I passi per il calcolo, in questo caso, sono i seguenti:
1 ) Calcolo dei permessi effettivi NTFS
2 ) Calcolo dei permessi effettivi per le autorizzazioni di condivisione
3 ) Scelta del più restrittivo tra i due
Ovviamente nel caso di un volume formattato con file system FAT32 si applicano solo le autorizzazioni di condivisione e il calcolo diventa molto simile a quello per i permessi NTFS.
Facciamo ora qualche esempio con tutte e due le tipologie di permessi.
| Esempi di calcolo dei permessi |
|---|
| Permessi NTFS | Permessi Condivisione | Risultato Totale | Everyone: Controllo completo
Users: Lettura
Utente1: Modifica
| Everyone: non assegnato
Users: Lettura ed esecuzione
Utente1: Lettura
| Lettura ed Esecuzione | Everyone: Scrittura
Users: non assegnato
Utente1: Modifica
| Everyone: non assegnato
Users: non assegnato
Utente1: non assegnato
| Accesso non consentito |
Esaminiamo caso per caso. Nel primo abbiamo un risultato di Controllo completo dal lato dei permessi NTFS mentre abbiamo Lettura ed esecuzione dal lato dei permessi di condivisione. Fra i due il più restrittivo è sicuramente Lettura ed esecuzione e quindi viene assegnato come risultato finale. Nel secondo caso abbiamo un risultato di Modifica dal lato NTFS ma non sono stati assegnati permessi di condivisione e quindi l’accesso alla risorsa viene negato in qualsiasi modo.
Facciamo un po’ di pratica
Dopo tanta teoria è giusto sapere anche come agire in pratica con il sistema operativo per assegnare o rimuovere le autorizzazioni di condivisione e i permessi NTFS. Per lo scopo abbiamo creato sul nostro PC di test una cartella di test dal nome “Dati” sulla quale agiremo di volta in volta.
Cominciamo con i permessi NTFS. Clicchiamo con il tasto destro del mouse sulla cartella e successivamente su Proprietà. Se avete disattivato la condivisione file semplificata dovreste vedere le due schede Condivisione e Protezione. Quest’ultima serve appunto per impostare i permessi NTFS.
Di default Windows assegna inizialmente solo i permessi per il gruppo Everyone. Nel nostro caso abbiamo aggiunto dei permessi specifici per un utente aggiuntolo alla lista tramite il tasto Aggiungi. Il tasto Rimuovi a fianco ci permette invece di eliminare tutti i permessi relativi ad un certo utente o gruppo con un solo click. Una volta inserito nella lista il nuovo utente possiamo selezionarlo ed agire sui permessi nella finestra sottostante Autorizzazioni per nome_utente ( dove al posto di nome_utente ovviamente va il nome del gruppo o dell’utente selezionato ). Agendo poi sui controlli Consenti e Nega possiamo assegnare i permessi per l’utente specificato. Vi accorgerete che Windows seleziona ( o deseleziona ) automaticamente delle caselle nel caso ci siano delle correlazioni tra i permessi ( come abbiamo già visto prima nel corso della guida ).
Ecco un'immagine della scheda Protezione:
Clicca sull'immagine per ingrandire
Vediamo ora le differenze con le autorizzazioni di condivisione. Per cominciare spostiamoci nella scheda Condivisione ( ricordate che questa scheda è disponibile solo per le cartelle e non per i singoli file ). Ovviamente non avrebbe senso impostare delle opzioni di condivisione senza prima condividere la cartella: per questo selezioniamo Condividi la cartella e inseriamo poi un nome e, opzionalmente, un commento appropriati per identificare la nostra condivisione. Ora abbiamo accesso all’impostazione delle autorizzazioni. Per questo clicchiamo appunto sul pulsante Autorizzazioni e apparirà una schermata molto simile a quella che abbiamo visto prima per i permessi NTFS in cui possiamo agire allo stesso identico modo.
Di seguito un'immagine della scheda Condivisione:
Clicca sull'immagine per ingrandire
e qui un'immagine della finestra di inserimento dei permessi di condivisione:
Clicca sull'immagine per ingrandire
Ora avete le basi necessarie per proteggere i vostri dati ed allo stesso tempo condividerli con gli utenti opportuni. Ma ricordate una cosa molto importante: assegnate sempre il minor grado di autorizzazioni possibile.
Conclusioni
Abbiamo parlato molto della gestione dei permessi in Windows XP ( Professional, soprattutto ) includendo anche argomenti relativi alla gestione dei gruppi e degli utenti in questo sistema operativo. Ovviamente si potrebbe aggiungere molto altro, questa guida non pretende in alcun modo di essere completa o definitiva. Potete considerare questa guida come un articolo in continuo aggiornamento. Se avete dei consigli o volete che un qualche tema sia approfondito maggiormente potete scriverci utilizzando l’apposito modulo Contattaci del sito.
Articoli correlati:
 Una rete LAN, condivisione delle risorse e della connessione ad Internet
|
