Autorizzazioni NTFS
I permessi di protezione NTFS (permission NTFS) permettono di definire le autorizzazioni di accesso a cartelle o file per singoli utenti o gruppi di utenti, quando vengono impostate, è però importante tenere presente alcuni concetti.
– Un permesso esplicitamente negato ha la priorità su uno escplicitamente concesso
– Le autorizzazioni sono cumulative
– ereditarietà dei permessi
– gestione dei permessi nelle operazioni di copia o spostamento file
– attraversamento delle cartelle
supponendo l’utente Mario Rossi in due gruppi utente, dove per uno è impostato esplictamente un diritto negato di modifica file (e cioè flaggata la relativa opzione) mentre per l’altro gruppo lo stesso diritto è esplicamente concesso, Mario Rossi si vedrà impossibiglitato a modificare i file sottoposto a tali permessi. Qualora invece non fosse esplicitamente impostata la negazione del permesso di lettura, per effetto dell’appartenenza all’altro gruppo, Mario Rossi sarà in grado di modificare i file in questione.
L’ereditarietà dei permessi permette: acquisire i diritti della cartella padre, cioè la cartella dove il nostro file o sotto cartella è inserita o di propagare i permessi della cartella corrente agli oggetti figlio (cartelle e file in questa contenute)
Gestione dei permessi nelle operazioni di copia o spostamento file, riguarda cosa accade ai permessi quando una cartella o un file viene spostato o copiato dalla sua posizione originale ad un’altra, va fatta subito una prima divisione, se l’oggetto viene spostato in una posizione sempre all’interno dello stesso volume o se l’oggetto viene spostato in un altro volume, comunque da ricordare che un nuovo oggetto creato eredita i permessi dell’oggetto padre.
Operazioni sullo stesso volume, in questo caso abbiamo due comportamenti, in caso di copia i dati duplicati erediteranno le autorizzazioni dell’oggetto padre, in caso di spostamento i dati manterrano le impostazioni di autorizzazioni orginali. Il mantenimento dei permessi originali potrebbe essere causa di accesso indesiderato a causa dell’attraversabilità delle cartelle, vedere di seguito attraversamento delle cartelle.
E’ possibile modificare questo comportamento nei sistemi Windows Xp e Windows 2003 (non modifica il comportantamento nei sistemi Windows 2000) come segue
avviare regedit.exe
portarsi alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
aggiungere un valore come segue
Nome valore: MoveSecurityAttributes
Tipo di dati: DWORD
Valore di dati: 0
kb microsoft di riferimento 310316
Operazioni su altro volume, quanto un oggetto viene spostato o copiato in un altro volume questo eredità i permessi del nuovo oggetto padre.
E’ possibile modificare questo comportamento nei sistemi Windows Xp e Windows 2003 come segue
avviare regedit
portarsi alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
aggiungere un valore come segue
Nome valore: ForceCopyAclwithFile
Tipo di dati: DWORD
Valore di dati: 1
kb microsoft di riferimento 310316
Attraversamento, consiste nella possibilità di attraversare una cartella a cui non sia hanno diritti di accesso per giungere ad una sottocartella e file a cui però si ha accesso, ad esempio supponendo il seguente percorso e:\primadirectory\secondadirectory\doc.txt e avendo diritto di accesso negati alla cartella primadirectory ma diritti di accesso e lettura/scrittura a secondadirectory ed al suo contenuto è possibile accedere a tale contenuto digitando il percorso di accesso completo, nel caso specifico, e:\primadirectory\secondadirectory\doc.txt