Il controllo di accesso è il processo di autorizzazione di utenti, gruppi e computer ad accedere agli oggetti del computer o in rete.
Per comprendere e gestire il controllo di accesso, è necessario comprendere la relazione tra gli elementi seguenti:
- Oggetti (file, stampanti e altre risorse)
- Token di accesso
- Elenchi di controllo di accesso (ACL) e voci di controllo di accesso
- Soggetti (utenti o applicazioni)
- Sistema operativo
- Autorizzazioni
- Diritti e privilegi utente
Prima che un soggetto possa accedere a un oggetto, deve identificarsi nel sottosistema di sicurezza per il sistema operativo. Questa identità è contenuta in un token di accesso ricreato a ogni accesso del soggetto. Prima di consentire al soggetto di accedere a un oggetto, il sistema operativo determina se il token di accesso per il soggetto è autorizzato ad accedere all'oggetto e a completare l'attività desiderata. A tale scopo, il sistema operativo confronta le informazioni nel token di accesso con le voci di controllo di accesso per l'oggetto.
Le voci di controllo di accesso possono consentire o negare un certo numero di comportamenti diversi, a seconda del tipo di oggetto. Le opzioni per un oggetto file, ad esempio, possono includere Lettura, Scrittura ed Esecuzione. In una stampante, le voci di controllo di accesso disponibili includono Stampa, Gestione stampanti e Gestione documenti.
Singole voci di controllo di accesso per un oggetto vengono combinate in un elenco di controllo di accesso (ACL). Il sottosistema di sicurezza verifica l'elenco di controllo di accesso dell'oggetto per individuare le voci di controllo di accesso valide per l'utente e i gruppi a cui appartiene l'utente. Il sottosistema scorre ogni voce di controllo di accesso fino a individuare quella che consente o nega l'accesso all'utente o quella dei gruppi dell'utente oppure fino a quando non vi sono più voci di controllo di accesso da verificare. Se dopo avere controllato l'elenco di controllo di accesso fino alla fine l'accesso desiderato non risulta né consentito né negato in modo esplicito, il sottosistema di sicurezza nega l'accesso all'oggetto.
Autorizzazioni
Le autorizzazioni definiscono il tipo di accesso consentito a un utente o a un gruppo per un oggetto o una proprietà di oggetto. Ad esempio, al gruppo Contabilità possono essere concesse le autorizzazioni di lettura e scrittura per il file libropaga.dat.
Tramite l'interfaccia utente del controllo di accesso è possibile impostare autorizzazioni NTFS per oggetti quali file, oggetti Active Directory, oggetti del Registro di sistema oppure oggetti di sistema, ad esempio i processi. È possibile concedere autorizzazioni a utenti, gruppi o computer. È consigliabile assegnare le autorizzazioni ai gruppi, in modo da ottimizzare le prestazioni del sistema durante la verifica dell'accesso a un oggetto.
Per qualsiasi oggetto è possibile concedere autorizzazioni a:
-
gruppi, utenti e altri oggetti con identificatori di sicurezza (SID) del dominio.
-
gruppi e utenti di tale dominio e di qualsiasi dominio di tipo trusted
-
gruppi locali e utenti che si trovano sul computer in cui risiede l'oggetto
Le autorizzazioni applicate a un oggetto dipendono dal tipo di oggetto. Ad esempio, le autorizzazioni applicabili a un file sono differenti da quelle applicabili a una chiave di registro. Alcune autorizzazioni sono tuttavia comuni a quasi tutti i tipi di oggetti. Le autorizzazioni comuni sono le seguenti:
-
Lettura
-
Modifica
-
modifica proprietario
-
eliminazione
Quando si impostano le autorizzazioni, viene specificato il livello di accesso che si desidera consentire a gruppi e utenti. È possibile ad esempio consentire a un utente di leggere il contenuto di un file, a un altro di apportarvi delle modifiche e nello stesso tempo impedire a tutti gli altri utenti di accedervi. Autorizzazioni simili possono essere impostate sulle stampanti, in modo che alcuni utenti possano configurarle e altri possano solo eseguire operazioni di stampa.
Per modificare le autorizzazioni su un file, è possibile avviare Esplora risorse, fare clic con il pulsante destro del mouse sul nome del file e scegliere Proprietà. Nella scheda Sicurezza è possibile modificare le autorizzazioni per il file. Per ulteriori informazioni, vedere Gestire autorizzazioni.
Nota | |
Un altro tipo di autorizzazioni, denominate autorizzazioni di condivisione, può essere impostato nella scheda Condivisione della pagina Proprietà di una cartella oppure tramite la Creazione guidata cartella condivisa. Per ulteriori informazioni, vedere Autorizzazioni di condivisione e autorizzazioni NTFS su un file server. |
Proprietà degli oggetti
Quando un oggetto viene creato, a esso viene assegnato un proprietario. Per impostazione predefinita, il proprietario è colui che ha creato l'oggetto. Il proprietario di un oggetto può sempre modificare le autorizzazioni relative all'oggetto, indipendentemente da quelle già impostate. Per ulteriori informazioni, vedere Gestire la proprietà degli oggetti.
Ereditarietà delle autorizzazioni
L'ereditarietà consente agli amministratori di assegnare e gestire le autorizzazioni con facilità. Questa funzionalità consente di impostare gli oggetti di un contenitore in modo che ereditino automaticamente tutte le autorizzazioni ereditabili del contenitore. I file contenuti in una cartella, ad esempio, ne ereditano le autorizzazioni quando vengono creati. Verranno ereditate solo le autorizzazioni contrassegnate per l'ereditarietà.
Diritti e privilegi utente
I diritti utente consentono di assegnare privilegi specifici e diritti di accesso a utenti e gruppi. Gli amministratori possono assegnare diritti specifici ad account di gruppo o a singoli account utente. Questi diritti autorizzano gli utenti a eseguire operazioni specifiche, quali l'accesso a un sistema in modo interattivo o il backup di file e directory.
I diritti utente sono differenti dalle autorizzazioni in quanto i primi si applicano agli account utente e le seconde si applicano agli oggetti. Sebbene sia possibile applicare i diritti utente a singoli account utente, è consigliabile amministrarli in base ad account di gruppo. Nell'interfaccia utente del controllo di accesso non è disponibile alcun supporto per la concessione di diritti utente. È tuttavia possibile amministrare l'assegnazione dei diritti utente tramite lo snap-in Criteri di sicurezza locali in Criteri locali\Assegnazione diritti utente. Per ulteriori informazioni, vedere Diritti e privilegi utente.
Controllo degli oggetti
Se si dispone dei diritti di amministratore, è possibile controllare l'esito dei tentativi di accesso degli utenti agli oggetti. Per selezionare l'oggetto di cui controllare l'accesso utilizzando l'interfaccia utente del controllo di accesso, è innanzitutto necessario attivare i criteri di controllo selezionando l'opzione Controlla accesso agli oggetti in Criteri locali\Criteri controllo\Criteri locali nello snap-in Criteri di sicurezza locali. È quindi possibile visualizzare questi eventi relativi alla sicurezza nel registro sicurezza del Visualizzatore eventi.
Ulteriori riferimenti
- Per ulteriori informazioni sul controllo di autorizzazioni e accesso, vedere la
raccolta sulla sicurezza Windows (https://go.microsoft.com/fwlink/?LinkId=4565). - Per ulteriori informazioni sulla strategia di autorizzazione, vedere la
pagina relativa alla progettazione di una strategia di autorizzazione delle risorse (https://go.microsoft.com/fwlink/?LinkId=4734).