Archivio

Posts Tagged ‘autorizzazioni NTFS’

Autorizzazioni NTFS

24 Ottobre 2011 Commenti chiusi

I permessi di protezione NTFS (permission NTFS) permettono di definire le autorizzazioni di accesso a cartelle o file per singoli utenti o gruppi di utenti, quando vengono impostate, è però importante tenere presente alcuni concetti.

 

– Un permesso esplicitamente negato ha la priorità su uno escplicitamente concesso

– Le autorizzazioni sono cumulative

– ereditarietà dei permessi

– gestione dei permessi nelle operazioni di copia o spostamento file

– attraversamento delle cartelle

 

supponendo l’utente Mario Rossi in due gruppi utente, dove per uno è impostato esplictamente un diritto negato di modifica file (e cioè flaggata la relativa opzione) mentre per l’altro gruppo lo stesso diritto è esplicamente concesso, Mario Rossi si vedrà impossibiglitato a modificare i file sottoposto a tali permessi. Qualora invece non fosse esplicitamente impostata la negazione del permesso di lettura, per effetto dell’appartenenza all’altro gruppo, Mario Rossi sarà in grado di modificare i file in questione.

 

L’ereditarietà dei permessi permette: acquisire i diritti della cartella padre, cioè la cartella dove il nostro file o sotto cartella è inserita o di propagare i permessi della cartella corrente agli oggetti figlio (cartelle e file in questa contenute)

 

Gestione dei permessi nelle operazioni di copia o spostamento file, riguarda cosa accade ai permessi quando una cartella o un file viene spostato o copiato dalla sua posizione originale ad un’altra, va fatta subito una prima divisione, se l’oggetto viene spostato in una posizione sempre all’interno dello stesso volume o se l’oggetto viene spostato in un altro volume, comunque da ricordare che un nuovo oggetto creato eredita i permessi dell’oggetto padre.

 

Operazioni sullo stesso volume, in questo caso abbiamo due comportamenti, in caso di copia i dati duplicati erediteranno le autorizzazioni dell’oggetto padre, in caso di spostamento i dati manterrano le impostazioni di autorizzazioni orginali. Il mantenimento dei permessi originali potrebbe essere causa di accesso indesiderato a causa dell’attraversabilità delle cartelle, vedere di seguito attraversamento delle cartelle.

E’ possibile modificare questo comportamento nei sistemi Windows Xp e Windows 2003 (non modifica il comportantamento nei sistemi Windows 2000) come segue

 

avviare regedit.exe

portarsi alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

aggiungere un valore come segue

Nome valore: MoveSecurityAttributes
Tipo di dati: DWORD
Valore di dati: 0

 

kb microsoft di riferimento 310316

 

Operazioni su altro volume, quanto un oggetto viene spostato o copiato in un altro volume questo eredità i permessi del nuovo oggetto padre.

E’ possibile modificare questo comportamento nei sistemi Windows Xp e Windows 2003 come segue

 

avviare regedit

portarsi alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

aggiungere un valore come segue

Nome valore: ForceCopyAclwithFile
Tipo di dati: DWORD
Valore di dati: 1

 

kb microsoft di riferimento 310316

 

Attraversamento, consiste nella possibilità di attraversare una cartella a cui non sia hanno diritti di accesso per giungere ad una sottocartella e file a cui però si ha accesso, ad esempio supponendo il seguente percorso e:\primadirectory\secondadirectory\doc.txt e avendo diritto di accesso negati alla cartella primadirectory ma diritti di accesso e lettura/scrittura a secondadirectory ed al suo contenuto è possibile accedere a tale contenuto digitando il percorso di accesso completo, nel caso specifico, e:\primadirectory\secondadirectory\doc.txt