Inanzittutto premetto che tutto quello scritto qui sotto funziona si su Windows Server 2008 R2 ma funziona su tutte le versioni precedenti e sicuramente anche su quelle future.
Spieghiamo il tuto facendo un semplice esempio che applica alle necessità di "tutti i giorni".
Si presuppone di dover creare una cartella al cui interno sono presenti diverse sottocartelle, ognuna rappresentate un diverso settore di un’azienda (ad esempio: amministrazione e tecnico). All’interno di queste sottocartelle avremmo un’ulteriore classificazione in base all’utente (ad esempio: Utente1, Utente2, Utente3, ecc.). Otterremmo quindi una struttura a tre livelli. Vediamo quindi come impostare in modo corretto le condivisioni e le autorizzazioni in Windows Server.
Cosa vogliamo ottenere?
La prima cosa da porsi prima di mettersi a smanettare con le autorizzazioni è porsi la domanda “Qual è il risultato che dovrò ottenere?”. Questo è molto importante in quanto ogni scenario avrà delle sue peculiarità, che ovviamente dovranno essere soddisfatte. Noi basiamo l’intera guida su un caso abbastanza comune e completo, che ci permette di esplorare in modo abbastanza approfondito il discorso autorizzazioni e condivisioni di Windows.
Il risultato che vorremmo ottenere è il seguente: in una cartella vogliamo avere due sottocartelle: amministrazione e tecnico. Queste due cartelle hanno chiaramente livelli di autorizzazioni diverse. Nella prima infatti vogliamo far accedere solo gli utente che fanno parte del gruppo dell’amministrazione mentre nella seconda solo quelli che fanno parte del gruppo reparto tecnico. All'interno di queste due cartelle troveranno spazio altre sottocartelle che porteranno il nome dell’utente che avrà libero accesso in lettura e in scrittura a quella determinata cartella. Sarà poi possibile creare una cartella condivisa per tutti gli utenti facenti parte dello stesso gruppo. Tutti gli utenti non potranno in alcun modo cancellare o rinominare le cartelle “amministrazione” o “tecnico” e quelle che portano il nome degli utenti. Gli utenti avranno libero accesso in lettura e scrittura solo nella propria cartella personale. In più tutti gli utenti dello stesso gruppo potranno accedere in sola lettura alle cartelle dei propri colleghi. Ad esempio un utente del gruppo amministrazione potrà visionare tutti i documenti prodotti dai propri colleghi del reparto amministrazione, non potrà però apportare modifiche.
Ecco questo, in parole povere è quello che vogliamo ottenere. Ora passiamo alla parte pratica! Prima di iniziare si da per scontato che i gruppi e gli utenti siano già presenti e opportunamente configurati nell’Active Directory.
In Windows Server 2008 R2 creiamo una cartella “Dati” nell’unità C: per semplicità. Questa sarà la cartella di 1° livello, amministrazione e tecnico saranno le cartelle di 2° livello e le tutte le cartelle utente saranno cartelle di 3° livello.
Impostiamo la condivisione di Dati su “Everyone” dando come autorizzazione “modifica”.
Ora nella tab sicurezza premiamo il tasto “Avanzate” e poi “Cambia autorizzazioni”. Togliamo la spunta da “Includi autorizzazioni ereditabili dall’oggetto padre di questo oggetto”
Dando applica ci comparirà una finestra di avviso, scegliamo “Rimuovi” e andiamo avanti.
Sempre nelle proprietà della cartella Dati, dalla tab Sicurazza aggiungiamo i gruppi che possono accedere a questa cartella. Qui potete sbizzarrirvi, potete far accedere tutti gli utenti del dominio o limitare al massimo gli accessi. Nel nostro esempio garantiremo l’accesso alla cartella dati solo al Gruppo1 (amministrazione) e Gruppo2 (tecnico). Administrator invece è l’utente amministratore con la quale siamo loggati in Windows Server 2008 R2 per impostare le condivisioni e le autorizzazione delle cartelle. Se non viene inserito Windows rileverà che Administrator non è un utente qualificato per apportare modifiche alla cartella dati e ci avvertirà con dei messaggi di errori. Onde evitare disguidi è meglio metterlo. L’alternativa è quella di impostare l’utente administrator come membro del gruppo amministrazione e tecnico oltre che a quello degli amministratori, o più semplicemente dare il controllo completo a tutti gli utenti che rientrano nel gruppo amministratori di dominio.
Ora passiamo a creare le cartelle amministrazione e tecnico all’interno della cartella dati (nelle immagini queste prenderanno il nome di Gruppo1, Gruppo2). Come prima cosa bisogna reiterare i passaggi raffigurati nella seconda immagine. Ovvero eliminare l’ereditarietà dell’oggetto. Questo va fatto per ambe due le cartelle. Sempre in sicurezza aggiungiamo l’autorizzazione per permettere al reparto amministrativo e al reparto tecnico di entrare (come in figura3 ). Aggiungiamo quindi il gruppo e mettiamo la spunta nelle autorizzazioni di lettura ed esecuzione, lettura, visualizza contenuto cartella. Anche in questo caso inseriamo l’utente administrator.
Fatto questo rifacciamo la stessa operazione sull’altra cartella, “tecnico”, avendo la premura di cambiare il gruppo a cui consentiamo l’accesso.
Passiamo ora a creare le cartelle utenti, presenti sia all’interno di amministrazione che tecnico. Per ogni cartella creata autorizziamo il gruppo e l’utente che fa fede alla cartella. Ad esempio se prendiamo in considerazione la cartella “Utente1” questa dovrà avere le autorizzazioni lettura ed esecuzione, lettura e visualizza contenuto cartella sia per l’utente1, sia per il gruppo amministrazione. La prima ci servirà per permettere l’accesso in lettura (l’accesso in scrittura lo imposteremo nel prossimo punto) all’utente in questione, mentre la seconda da la possibilità a tutti gli utenti del gruppo amministrazione di poter visionare i dati dell’utente1.
Prima di chiudere tutto nella tab Sicurezza andiamo in Avanzate, selezioniamo l’utente e andiamo in cambia autorizzazioni. Selezioniamo nuovamente l’utente e premiamo su Modifica. Dalla finestra che ci comparirà spuntiamo tutto al di fuori di controllo completo, elimina, cambia autorizzazioni e diventa proprietario. Diamo Ok e usciamo. Questo permetterà all’utente di scrivere all’interno della propria cartella ma non gli consentirà di poterla eliminare.
Ora basterà reiterare questo processo per tutte le cartelle utente e il gioco è fatto.
A questo punto prima di siglare l’operazione come Mission Accomplished vi suggerisco di entrare con un utente del dominio e di fare due prove. Testate tutte le eventualità, creazione di file, eliminazione, rinomia, modifica, controllando che tali operazioni rispettino i vincoli imposti.