Gruppi, Condivisioni e Permessi Orazio Battaglia
Gruppi Un gruppo in Active Directory è una collezione di Utenti, Computer, Contatti o altri gruppi che può essere gestita come una singola unità. Usare i gruppi permette di ottenere una notevole semplificazione gestionale in quanto è possibile operare sul gruppo invece che sulle singole unità che lo compongono. I gruppi Active Directory vengono usati per: Assegnare permessi sulle risorse condivise Fare delle deleghe amministrative assegnando diritti al gruppo Creare liste di distribuzione di e-mail 2
Gruppi: tipi di gruppi I tipi di gruppi in Active Directory sono: Distribution: sono usati dai software di posta elettronica (es. Exchange) per spedire e-mail a collezioni di utenti. Security: sono i gruppi di sicurezza e permettono di: Assegnare diritti amministrativi su AD agli utenti. Ad esempio essere inclusi nel gruppo «Domain Admins» permette ad un account di essere amministratore del dominio. Assegnare permessi sulle risorse condivise. Ad esempio concedere l accesso ad una condivisione solo ad un particolare gruppo. 3
Gruppi: ambito (scope) dei gruppi (1/2) I gruppi in Active Directory possono essere definiti con 3 ambiti distinti: Ambito Il gruppo può includere... Al gruppo possono essere assegnati permessi in... Il gruppo può essere convertito in... Universal Account, gruppi Global e Universal da tutti i domini della foresta Tutti i domini e le foreste Domain local Global (se non contiene gruppi Universal) Global Account e gruppi Global dallo stesso dominio Tutti i domini Universal (se non è membro di altri gruppi Global) Domain local Account, gruppi Global e Universal da tutti i domini della foresta Solo nello stesso dominio Universal (se non contiene gruppi Domain local) Gruppi Domain local dallo stesso dominio 4
Gruppi: ambito (scope) dei gruppi (2/2) Quando usare i diversi gruppi: I gruppi Domain local andrebbero usati per assegnare permessi sulle risorse del dominio in cui sono definiti. Ad esempio per permessi su stampanti e condivisioni dello stesso dominio. Tipicamente di definisce un gruppo Domain local di permessi su una risorsa e lo si popola con un gruppo Global. I gruppi Global andrebbero usati per gestire gli oggetti Active Directory che richiedono una manutenzione quotidiana ad esempio gli account utente e gli account computer. I gruppi Global non vengono replicati fuori dal dominio e quindi non generano traffico. I gruppi Universal andrebbero usati per consolidare gruppi utilizzati in più domini. Tipicamente includono gruppi Global da diversi domini e vengono usati ovunque all interno dell organizzazione. 5
Condivisioni Mediante le condivisioni un sistema, in genere server, permette l accesso ad alcune sue risorse agli altri computer della rete. Tipicamente le condivisioni riguardano cartelle e stampanti presenti sul sistema server. La condivisione delle cartelle consente l accesso contemporaneo di più utenti ai file. La condivisione delle stampanti consente ai sistemi client di accodare i documenti da stampare sulle code del server che gestisce gli accessi condivisi. 6
Condivisioni di cartelle I sistemi Windows Server 2008 R2 permettono di definire una share su una determinata cartella. La share diventa visibile all interno della rete e disciplina l accesso ai file nella cartella. In particolare su una cartella condivisa vengono applicate due categorie di permessi: 1. Permessi sulla share, che vengono applicati agli utenti che accedono ai file dalla rete 2. Permessi sul file system, che riguardano l accesso locale alla macchina 7
Condivisioni di cartelle I permessi comuni nella condivisione delle cartelle in ambiente Microsoft sono: Lettura, è possibile: Visualizzare nomi di file e di sottocartelle Visualizzare dati nei file Eseguire file di programma Modifica, è possibile: Aggiungere file e sottocartelle Modificare dati nei file Eliminare sottocartelle e file Controllo completo, è possibile: Modificare autorizzazioni (solo per i file e le cartelle NTFS) (consideriamo solo questi permessi per semplicità ma sono più numerosi) 8
Condivisioni di cartelle Quando i permessi definiti a livello della share, e quindi validi per gli utenti che accedono dalla rete, confliggono con i permessi definiti a livello di file system (NTFS) valgono i permessi più restrittivi. Quindi se ad esempio sulla share è stato concesso il solo permesso di lettura e sul file system è stato concesso il permesso di modifica allora l utente che accede alla cartella via rete potrà solo leggerne il contenuto. Nota: la protezione a livello di share è l unica disponibile quando il file system è di tipo FAT o FAT32 (file system ormai obsoleti). Nota: a livello di share si può anche definire il numero massimo di utenti che possono accedere alla cartella condivisa. 9
Condivisioni di cartelle Best practice: Assegnare le autorizzazioni ai gruppi anziché agli account utente Assegnare le autorizzazioni più restrittive che consentano però agli utenti di eseguire le operazioni necessarie (set minimo di permessi) Organizzare le risorse in modo che gli oggetti con gli stessi requisiti di protezione si trovino all'interno della stessa cartella Evitare di negare esplicitamente autorizzazioni a una risorsa condivisa Limitare le appartenenze al gruppo Administrators e assegnare a tale gruppo l'autorizzazione di controllo completo Concedere l'accesso agli utenti mediante gli account utente di dominio Utilizzare cartelle di dati centralizzate Utilizzare etichette brevi e intuitive per le risorse condivise Utilizzare un firewall 10
Esempio di condivisione Vogliamo condividere la cartella «UfficioVendite» che contiene documenti dell amministrazione. I file all interno della cartella potranno essere modificati da tutti gli appartenenti al gruppo ufficio vendite. 11
Esempio di condivisione Nel nostro dominio definiamo una OU per l ufficio vendite che conterrà gli account computer, utente e i gruppi dell ufficio vendite. Definiamo il gruppo di tipo «Domain local» che sarà autorizzato a modificare i file nella cartella e non lo popoliamo. 12
Esempio di condivisione Torniamo sulla cartella, apriamo le proprietà della cartella e selezioniamo la scheda «Sharing» quindi «Advanced Sharing...» e spuntiamo la casella «Share this folder». 13
Esempio di condivisione Modifichiamo le autorizzazioni a livello di share, quelle per l accesso dalla rete. L autorizzazione di default sulle share prevede che il gruppo «Everyone» possa leggere. Il gruppo «Everyone» è un gruppo predefinito di Windows che contiene tutti gli account utente. Togliamo il gruppo «Everyone» e aggiungiamo il gruppo «Administrators» con autorizzazione completa e il gruppo «GrpUfficioVendite» con autorizzazione di modifica. 14
Esempio di condivisione A questo punto è necessario modificare le autorizzazioni a livello di file system (NTFS). Dalle proprietà della cartella selezionare la scheda «Security». La cartella prevede già una serie di autorizzazioni predefinite, aggiungiamo il gruppo «GrpUfficioVendite» con autorizzazione di modifica. Il gruppo ha autorizzazione di modifica sia sulla share che sul file system e quindi può modificare i file della cartella. 15
Esempio di condivisione Osservazioni: In «Server Manager» è possibile notare il ruolo di File Services In «Computer Management» nella sezione «Shared Folders» è possibile vedere le condivisioni, le sessioni e i file aperti 16