Autorizzazioni e descrittori di sicurezza

A ogni contenitore e oggetto della rete è associata una serie di informazioni sul controllo di accesso. Note come descrittori di sicurezza, queste informazioni controllano il tipo di accesso concesso a utenti e gruppi. Il descrittore di sicurezza viene creato automaticamente insieme al contenitore o all'oggetto creato. Un esempio tipico di oggetto dotato di descrittore di sicurezza è rappresentato da un file.

Le autorizzazioni vengono definite all'interno di un descrittore di proprietà dell'oggetto. Le autorizzazioni sono associate o assegnate a utenti e gruppi specifici. Per il file Temp.dat, ad esempio, al gruppo Administrators potrebbero essere assegnate le autorizzazioni di lettura, scrittura ed eliminazione, mentre al gruppo Backup Operators potrebbero essere assegnate solo le autorizzazioni di lettura e scrittura.

Ogni assegnazione di autorizzazioni a un utente o gruppo è rappresentata nel sistema come voce di controllo dell'accesso (ACE). L'intero gruppo di voci delle autorizzazioni di un descrittore di sicurezza è noto come insieme di autorizzazioni o elenco di controllo di accesso (ACL; Access Control List). Pertanto, nel caso di un file denominato Temp.dat, il set di autorizzazioni include due voci di autorizzazione, una per il gruppo Administrators e l'altra per il gruppo Backup Operators.

Autorizzazioni esplicite ed ereditate

Esistono due tipi di autorizzazioni: autorizzazioni esplicite e autorizzazioni ereditate.

  • Le autorizzazioni esplicite sono autorizzazioni configurate per impostazione predefinita sugli oggetti non figlio durante la creazione dell'oggetto o tramite l'azione dell'utente sugli oggetti non figlio, gli oggetti padre o gli oggetti figlio.

  • Il termine autorizzazioni ereditate indica invece le autorizzazioni propagate a un oggetto da un oggetto padre. Le autorizzazioni ereditate semplificano la gestione delle autorizzazioni e assicurano l'uniformità delle autorizzazioni tra tutti gli oggetti di un determinato contenitore.

Per impostazione predefinita, gli oggetti di un contenitore ereditano le autorizzazioni da tale contenitore nel momento in cui vengono creati. Ad esempio, quando si crea una cartella denominata MiaCartella, tutte le sottocartelle e i file creati all'interno di tale cartella erediteranno automaticamente le autorizzazioni di tale cartella. Di conseguenza, la cartella MiaCartella sarà caratterizzata da autorizzazioni esplicite, mentre tutte le sottocartelle e i file che contiene saranno caratterizzati da autorizzazioni ereditate.

Nota

Le autorizzazioni Nega ereditate non impediscono l'accesso a un oggetto se questo dispone di un'autorizzazione Consenti esplicita. Le autorizzazioni esplicite hanno la precedenza sulle autorizzazioni ereditate, anche sulle autorizzazioni Nega ereditate.

Ulteriori riferimenti


Argomenti della Guida