Panoramica del controllo di accesso
Questo articolo descrive il controllo di accesso in Windows, ovvero il processo di autorizzazione di utenti, gruppi e computer ad accedere agli oggetti nella rete o nel computer. I concetti principali che costituiscono il controllo di accesso sono:
- Autorizzazioni
- proprietà degli oggetti
- ereditarietà delle autorizzazioni
- diritti utente
- controllo degli oggetti
I computer che eseguono una versione supportata di Windows possono controllare l'uso delle risorse di sistema e di rete tramite i meccanismi correlati di autenticazione e autorizzazione. Dopo l'autenticazione di un utente, il sistema operativo Windows usa tecnologie di autorizzazione e controllo di accesso predefinite per implementare la seconda fase di protezione delle risorse: determinare se un utente autenticato dispone delle autorizzazioni corrette per accedere a una risorsa.
Le risorse condivise sono disponibili per utenti e gruppi diversi dal proprietario della risorsa e devono essere protette da utilizzi non autorizzati. Nel modello di controllo di accesso, utenti e gruppi (detti anche entità di sicurezza) sono rappresentati da identificatori di sicurezza univoci (SID). Vengono assegnati diritti e autorizzazioni che informano il sistema operativo delle operazioni che possono essere eseguite da ogni utente e gruppo. Ogni risorsa ha un proprietario che concede le autorizzazioni alle entità di sicurezza. Durante il controllo di accesso, queste autorizzazioni vengono esaminate per determinare quali entità di sicurezza possono accedere alla risorsa e come possono accedervi.
Le entità di sicurezza eseguono azioni (tra cui lettura, scrittura, modifica o controllo completo) sugli oggetti. Gli oggetti includono file, cartelle, stampanti, chiavi del Registro di sistema e oggetti Active Directory Domain Services (AD DS). Le risorse condivise usano elenchi di controllo di accesso (ACL) per assegnare le autorizzazioni. In questo modo, i gestori delle risorse possono applicare il controllo di accesso nei modi seguenti:
- Negare l'accesso a utenti e gruppi non autorizzati
- Impostare limiti ben definiti per l'accesso fornito a utenti e gruppi autorizzati
I proprietari di oggetti in genere concedono le autorizzazioni ai gruppi di sicurezza anziché ai singoli utenti. Gli utenti e i computer aggiunti ai gruppi esistenti presuppongono le autorizzazioni di tale gruppo. Se un oggetto , ad esempio una cartella, può contenere altri oggetti , ad esempio sottocartelle e file, viene chiamato contenitore. In una gerarchia di oggetti, la relazione tra un contenitore e il relativo contenuto viene espressa facendo riferimento al contenitore come padre. Un oggetto nel contenitore viene definito figlio e il figlio eredita le impostazioni di controllo di accesso dell'elemento padre. I proprietari di oggetti spesso definiscono le autorizzazioni per gli oggetti contenitore, anziché per i singoli oggetti figlio, per semplificare la gestione del controllo di accesso.
Questo set di contenuto contiene:
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano Controllo di accesso (ACL/SACL):
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
I diritti di licenza Controllo di accesso (ACL/SACL) sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Applicazioni pratiche
Gli amministratori che usano la versione supportata di Windows possono perfezionare l'applicazione e la gestione del controllo di accesso a oggetti e soggetti per garantire la sicurezza seguente:
- Proteggere un maggior numero e una varietà di risorse di rete dall'uso improprio
- Effettuare il provisioning degli utenti per accedere alle risorse in modo coerente con i criteri dell'organizzazione e i requisiti dei processi
- Consentire agli utenti di accedere alle risorse da vari dispositivi in numerose posizioni
- Aggiornare la capacità degli utenti di accedere regolarmente alle risorse quando cambiano i criteri di un'organizzazione o quando cambiano i processi degli utenti
- Tenere conto di un numero crescente di scenari d'uso (ad esempio l'accesso da posizioni remote o da un'ampia gamma di dispositivi in rapida espansione, ad esempio tablet computer e telefoni cellulari)
- Identificare e risolvere i problemi di accesso quando gli utenti legittimi non sono in grado di accedere alle risorse necessarie per eseguire i processi
Autorizzazioni
Le autorizzazioni definiscono il tipo di accesso concesso a un utente o a un gruppo per una proprietà di oggetto o oggetto. Ad esempio, al gruppo Finance possono essere concesse autorizzazioni di lettura e scrittura per un file denominato Payroll.dat.
Usando l'interfaccia utente del controllo di accesso, è possibile impostare le autorizzazioni NTFS per oggetti come file, oggetti Active Directory, oggetti del Registro di sistema o oggetti di sistema come i processi. Le autorizzazioni possono essere concesse a qualsiasi utente, gruppo o computer. È consigliabile assegnare le autorizzazioni ai gruppi perché migliora le prestazioni del sistema durante la verifica dell'accesso a un oggetto.
Per qualsiasi oggetto, è possibile concedere le autorizzazioni per:
- Gruppi, utenti e altri oggetti con identificatori di sicurezza nel dominio.
- Gruppi e utenti in tale dominio e in tutti i domini attendibili.
- Gruppi locali e utenti nel computer in cui risiede l'oggetto.
Le autorizzazioni associate a un oggetto dipendono dal tipo di oggetto. Ad esempio, le autorizzazioni che possono essere collegate a un file sono diverse da quelle che possono essere collegate a una chiave del Registro di sistema. Alcune autorizzazioni, tuttavia, sono comuni alla maggior parte dei tipi di oggetti. Queste autorizzazioni comuni sono:
- Read
- Modificare
- Modificare il proprietario
- Delete
Quando si impostano le autorizzazioni, si specifica il livello di accesso per gruppi e utenti. Ad esempio, è possibile consentire a un utente di leggere il contenuto di un file, consentire a un altro utente di apportare modifiche al file e impedire a tutti gli altri utenti di accedere al file. È possibile impostare autorizzazioni simili per le stampanti in modo che determinati utenti possano configurare la stampante e altri utenti possano solo stampare.
Quando è necessario modificare le autorizzazioni per un file, è possibile eseguire Esplora risorse, fare clic con il pulsante destro del mouse sul nome del file e selezionare Proprietà. Nella scheda Sicurezza è possibile modificare le autorizzazioni per il file. Per altre informazioni, vedere Gestione delle autorizzazioni.
Nota
Un altro tipo di autorizzazioni, denominate autorizzazioni di condivisione, è impostato nella scheda Condivisione della pagina Proprietà di una cartella o tramite la Creazione guidata cartella condivisa. Per altre informazioni, vedere Condivisione e autorizzazioni NTFS in un file server.
Proprietà degli oggetti
Un proprietario viene assegnato a un oggetto quando viene creato tale oggetto. Per impostazione predefinita, il proprietario è l'autore dell'oggetto. Indipendentemente dalle autorizzazioni impostate per un oggetto, il proprietario dell'oggetto può sempre modificare le autorizzazioni. Per altre informazioni, vedere Gestire la proprietà dell'oggetto.
Ereditarietà delle autorizzazioni
L'ereditarietà consente agli amministratori di assegnare e gestire facilmente le autorizzazioni. Questa funzionalità fa sì che gli oggetti all'interno di un contenitore ereditino automaticamente tutte le autorizzazioni ereditabili di tale contenitore. Ad esempio, i file all'interno di una cartella ereditano le autorizzazioni della cartella. Vengono ereditate solo le autorizzazioni contrassegnate per l'eredità.
Diritti utente
I diritti utente concedono privilegi specifici e diritti di accesso a utenti e gruppi nell'ambiente di elaborazione. Gli amministratori possono assegnare diritti specifici agli account di gruppo o ai singoli account utente. Questi diritti autorizzano gli utenti a eseguire azioni specifiche, ad esempio l'accesso a un sistema in modo interattivo o il backup di file e directory.
I diritti utente sono diversi dalle autorizzazioni perché i diritti utente si applicano agli account utente e le autorizzazioni sono associate agli oggetti . Anche se i diritti utente possono essere applicati ai singoli account utente, è consigliabile amministrare i diritti utente in base a un account di gruppo. Non è disponibile alcun supporto nell'interfaccia utente del controllo di accesso per concedere i diritti utente. Tuttavia, l'assegnazione dei diritti utente può essere gestita tramite impostazioni di sicurezza locali.
Per altre informazioni sui diritti utente, vedere Assegnazione di diritti utente.
Controllo degli oggetti
Con i diritti di amministratore, è possibile controllare l'accesso riuscito o non riuscito degli utenti agli oggetti. È possibile selezionare l'accesso agli oggetti da controllare usando l'interfaccia utente del controllo di accesso, ma è prima necessario abilitare i criteri di controllo selezionando Controlla l'accesso agli oggetti in Criteri locali in Impostazioni di sicurezza locale. È quindi possibile visualizzare questi eventi correlati alla sicurezza nel log di sicurezza in Visualizzatore eventi.
Per altre informazioni sul controllo, vedere Panoramica del controllo di sicurezza.
Vedere anche
Per altre informazioni sul controllo di accesso e sull'autorizzazione, vedere Panoramica di Controllo di accesso e autorizzazione.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per