Condividere e autorizzazioni NTFS

di Walter Oliver

Introduzione

Le autorizzazioni del file server devono essere implementate con attenzione per fornire l'accesso appropriato al contenuto. Ciò comporta il blocco delle autorizzazioni per la condivisione e le cartelle fisiche.

Autorizzazioni

Nella tabella seguente sono elencate le autorizzazioni usate per la condivisione e le cartelle del file server nell'installazione dell'hosting condiviso menzionata nella sezione Pianificazione dell'architettura di hosting Web di Linee guida per l'hosting. In base all'ambiente di hosting condiviso usato, gli amministratori del server devono sviluppare le proprie autorizzazioni personalizzate che soddisfano le proprie esigenze.

Percorso	Autorizzazioni	Motivo
\server\share$ (condivisione)	Amministratori di dominio - Utenti di dominio completi - Modifica MachineAccounts$ - Controllo completo	Le autorizzazioni di condivisione devono consentire agli amministratori e agli account del sito di accedere al contenuto. Il percorso fisico sarà limitato alle autorizzazioni necessarie effettive.
E:\Content (percorso fisico di condivisione)	Amministratori - Sistema di controllo completo - Controllo completo	Si tratta della cartella condivisa. Non sono necessarie autorizzazioni per gli account, oltre al gruppo Administrators predefinito e all'account di sistema.
E:\Content\<sitename> (contenitore per un sito o un utente specifico)	Amministratori - Sistema di controllo completo - Proprietario del sito di controllo completo - Contenuto della cartella elenco	Questa cartella viene usata come contenitore per cartelle come la home directory del sito e i relativi file di log. Il proprietario del sito deve essere in grado di leggere questa cartella, ma non deve avere accesso in scrittura.
E:\Content\<sitename> \wwwroot (home directory IIS per il sito)	Amministratori - Sistema di controllo completo - Proprietario completo del sito di controllo - Modificare il nome utente del pool di app - Lettura	Si tratta della radice di un sito Web appartenente all'account utente. Nome utente pool di app viene usato sia come identità del pool di applicazioni che come nome utente anonimo per il sito Web.
E:\Content\<sitename>\Logs (contenitore per i log)	Amministratori - Sistema di controllo completo - Proprietario completo del sito di controllo - Lettura	Si noti che questa cartella per i log viene archiviata SOPRA la radice del sito, in modo che non sia accessibile da un visitatore che esplora il sito. Non è consigliabile inserire questa cartella in qualsiasi posizione accessibile da un Web browser, ai fini della sicurezza.
E:\Content\<sitename>\Logs\FailedReqLogs (contenitore per i log di traccia delle richieste non riusciti)	Amministratori - Sistema di controllo completo - Nome utente del pool di app di controllo completo - Controllo completo	Questa è la cartella usata per archiviare i file di log delle richieste non riuscite, che consentono a un proprietario del sito di diagnosticare i problemi con il proprio sito Web. Questi log vengono scritti dall'identità del processo di lavoro, nome utente del pool di app.
E:\Content\<sitename>\Logs\W3SVCLogFiles (contenitore per i log del traffico W3SVC)	Amministratori - Sistema di controllo completo - Controllo completo MachineAccount$ - Controllo completo	Questa è la cartella usata per archiviare i file di log per il sito Web, che consentono a un proprietario del sito di visualizzare i modelli di traffico. Se l'amministratore del server non vuole condividere questi file o vuole fornire un metodo alternativo per determinare il traffico, questi file possono essere archiviati altrove. MachineAccount$ è l'account del computer del server Web, poiché questi log vengono scritti da HTTP.SYS.

Configurazione delle autorizzazioni

Per configurare le autorizzazioni per la condivisione

1. In Esplora risorse fare clic con il pulsante destro del mouse sulla cartella da condividere e quindi scegliere Proprietà.

2. Nella scheda Condivisione fare clic su Condivisione avanzata.

3. In Controllo account utente fare clic su Continua per accettare il prompt che Windows necessita dell'autorizzazione per eseguire l'azione.

4. Nella finestra di dialogo Condivisione avanzata selezionare Condividi questa cartella.

5. Impostare il nome e i commenti di condivisione in base alle esigenze. Per rendere nascosta la condivisione, aggiungere un $ alla fine del nome della condivisione.

   Nota

   Nascondere una condivisione significa che quando ci si connette a [\server](file://server/) non verrà visualizzata la condivisione a meno che non si immetta specificamente il percorso [\server\share$](file://server/share$).

6. Fare clic su Autorizzazioni.

7. Nella finestra di dialogo Autorizzazioni rimuovere il gruppo Tutti, se presente.

8. Aggiungere l'utente o il gruppo appropriati che devono avere accesso alla condivisione.

9. Specificare le autorizzazioni (Controllo completo, Modifica, Lettura) per l'utente o il gruppo.

10. Fare clic su OK due volte e quindi fare clic su Chiudi per chiudere le finestre di dialogo.

Per configurare le autorizzazioni per la struttura di cartelle

1. In Esplora risorse fare clic con il pulsante destro del mouse sulla cartella da condividere e quindi scegliere Proprietà.
2. Nella scheda Sicurezza fare clic su Modifica.
3. Nella finestra di dialogo Autorizzazioni aggiungere gli utenti o i gruppi appropriati che devono avere accesso a ogni livello della struttura della cartella.
4. Specificare le autorizzazioni (controllo completo, Modifica, Lettura & esecuzione, Contenuto della cartella Elenco, Lettura, Scrittura autorizzazioni speciali) per gli utenti o i gruppi.
5. Scegliere OK due volte per chiudere le finestre di dialogo.

Vedere Esempi di script C# e PowerShell per uno script di esempio per configurare i documenti predefiniti. come esempio di creazione di una condivisione e di un'impostazione delle autorizzazioni.