La gestione degli utenti su Windows NT

WindowsNT è un sistema operativo che permette di gestire delle sessioni, cioè alll'avvio del sistema è necessario al sistema (loggarsi) grazie ad un nome utente e una password.

La nozione di utente

Di default, all'installazione di Windows NT, viene creato l'account amministratore, nonché un account detto guest. È possibile (e anche consigliato) modificare le autorizzazioni degli utenti (quello che hanno diritto di fare) nonché di aggiungerne tramite il gestore degli utenti un account utente è l'identificazione univoca di un utente in modo da permettergli:

Di aprire una sessione sul dominio e avere accesso alle risorse di rete;

Di aprire una sessione su un computer locale per accedere alle risorse locali, a cui ogni utente che usa la rete regolarmente deve avere un account.

Gestire gli utenti

Ilgestore degli utenti è l'utility fornita in standard con Windows NT, che permette di gestire gli utenti (come il suo nome lascia intendere). È disponibile sul menu Start > Programmi > Strumenti di amministrazione:

il gestore degli utenti
Per creare un nuovo account basta cliccare su Nuovo utente sul menu utenti. Si aprirà una finestra di dialogo che permetterà di inserire delle informazioni sul nuovo utente:

Utente, che rappresenta il login dell'utente;

Nome dettagliato, ovvero le informazioni opzionali sull'utente;

Descrizione (campo opzionale);

I campi Password sono opzionali, ma si consiglia di riempirli, nonché di selezionare eventualmente la casella l'utente deve cambiare la password per ragioni di sicurezza:

Convenzione di nomina degli utenti

La convenzione di nomina degli utenti è il modo in cui l'amministratore decide di identificare gli utenti. Bisogna tenere conto dei seguenti elementi:

I nomi degli utenti, che devono essere unici (in un domino, su un computer locale);

I nomi dell'utente, che possono contenere qualsiasi carattere minuscolo o maiuscolo ad eccezione dei seguenti caratteri: / \[ ] : . | = , + * ? < >;

Bisogna prevedere il caso degli utenti omonimi e quindi una nomenclatura adeguata.

Account utente e sicurezza

Esistono due tipi di account su Windows NT. Gli account predefiniti e gli account creati. Dopo l'installazione, Windows NT si avvierà con gli account utente predefiniti (account di default), ovvero l'account amministratore e guest) che rendono minima la sicurezza del sistema. I diversi account sono:

Account dell'utente, gli account creati dell'utente permettono di aprire una sessione sulla rete e di accedere alle risorse di rete. Questi account contengono delle informazioni sull'utente, soprattutto il suo nome e password;

Guest, permette agli utenti occasionali di aprire una sessione e accedere al computer locale. Da default, è disattivo;

Amministratore, serve a gestire la configurazione globale dei computer e dei domini. Questo account può effettuare tutti i compiti. È quindi essenziale in un primo tempo disattivare l'account guest che permette a chiunque di connettersi al sistema e poi modificare il nome dell'account amministratore per ridurre il rischio di intrusione attraverso questo account utente. In effetti l'account amministratore ha tutte le autorizzazioni, ed è la preda preferita di tutti gli intrusi.

Posizione degli account utente

Gli account utente di dominio sono creati partendo dal Gestore degli utenti per i domini. Quando si crea un account, questo è automaticamente registrato nel SAM del Controllore Principale di Dominio (PDC), che lo sincronizza poi con il resto del dominio. Possono essere necessari alcuni minuti per la sincronizzazione del dominio.

Esistono due metodi: digitare

net accounts /sync

all'invito di comando o, nel Gestore del server, sul menu Computer, scegliere Sincronizzare tutto il dominio. Gli account dell'utente locale si creeranno su un server membro o un computer su Windows NT Workstation, attraverso il Gestore degli utenti. L'account è creato solamente nel SAM del computer locale.

Il planning di nuovi account utente

È possibile semplificare il processo di creazione di account pianificando e organizzando le informazioni su quelli che hanno bisogno di un account utente. Il dossier di base è il dossier privato in cui un utente può stoccare i propri file. È utilizzato come dossier di default durante l'esecuzione di comandi come Salvare. Può essere stoccato sul computer locale dell'utente o su un server di rete. Quando si crea un dossier di base:

È molto più facile assicurare il salvataggio e il recupero dei dati di diversi utenti in caso di incidente se i dossier di base sono stoccati su un server. Se non è così, bisognera effettuare dei salvataggi regolari su diversi computer della rete;

Considerare lo spazio sui controllori di dominio. Windows NT non dispone di utilities che permettono la gestione dello spazio del disco (Windows 2000 lo permette). Così, bisogna prestare attenzione affinché i dossier di base non siano riempiti di file;

Se un utente lavora su un computer che non dispone di hard disk, il suo dossier di base deve imperativamente essere su un server di rete;

Se i dossier di base si trovano su computer locali, le performance di rete aumentano dato che vi sarà meno traffico sulla rete, visto che il server non è costantemente sollecitato.

Definizione delle opzioni di stazione di lavoro e account

È possibile parametrare le postazioni a partire dalle quali un utente può connettersi alla rete. Potete sia autorizzarlo ad aprire una sessione partendo da tutte le stazioni di lavoro, oppure specificate una o due stazioni di lavoro precise.

D'altra parte è anche possibile fissare una data di scadenza dell'account di un utente. Questa opzione può essere utile nel caso di un dipendente temporaneo. La data di scadenza dell'account corrisponderà a quella di scadenza del suo contratto.

Autorizzazione di chiamata

Se il RAS (Remote Access Service), l'Accesso di Rete da Remoto è installato, è possibile parametrare le autorizzazioni di chiamata. Questo servizio permette ad un utente, con le autorizzazioni appropriate, di accedere alle risorse di rete da remoto.

Nessuna chiamata: le spese di comunicazione sono a carico dell'utente. Il server non richiamerà l'utente;

Definito dal chiamante: questa opzione permette ad un utente di essere richiamato dal server ad un numero specifico. In questo caso, è l'azienda che si fa carico delle spese di comunicazione.

Predefinito al: permette un controllo di chiamata dall'amministratore. È quest'ultimo che decide il numero che il server deve richiamare per raggiungere un dato utente. Questa opzione può servire a ridurre i costi ma anche ad aumentare la sicurezza dato

Nota Bene: negli ultimi due casi, l'utente deve innanzi tutto connettersi ad un server affinché lo si richiami.

Eliminazione e cambiamento del nome degli account utente

Quando un account non è più necessario, è possibile eliminare o rinominarlo affinché possa essere usato da un altro utente. Bisogna sapere che il fatto di eliminare un account cancella anche la SID (Security IDentification). Anche se NT permette 15000 SID.

Gestione dell'ambiente di lavoro di un utente

Quando un utente apre una sessione per la prima volta partendo da un client di Windows NT, viene creato un profilo utente di default per quest'ultimo. Questo profilo definisce degli elementi tali come l'ambiente di lavoro, le sue connessioni di rete e la stampante. Questo profilo può essere personalizzato per ridurre alcuni elementi del desktop o degli strumenti presenti. Questi profili contengono dei parametri definibili dall'utente per l'ambiente di lavoro di un computer su Windows NT. Questi parametri sono salvati automaticamente nel dossier Profili (C:\Winnt\Profiles).

Per gli utenti che aprono una sessione partendo dai client che non eseguono Windows NT, può essere usato uno script di apertura di sessione per configurare le connessioni di rete e stampante degli utenti o per definire l'ambiente di lavoro o i parametri hardware. Si tratta infatti di un file di comando (.bat o .cmd) o di un file eseguibile che si esegue automaticamente su richiesta dell'utente.

È anche possibile utilizzare dei profili utente errati, cioè un profilo che offre all'utente lo stesso ambiente di lavoro indipendentemente dalla stazione di lavoro da cui si connette alla rete. Questi profili sono salvati sul server. Esistono due opzioni:

Profilo errato obbligatorio, può essere applicato ad uno o più utenti e non è modfiicabile da questi utenti. Solo l'amministratore decide cosa può essere a disposizione degli utenti (strumenti, configurazione, ecc.), anche se l'utente effettua dei cambiamenti;

Profilo errato personale: può essere applicato ad un solo utente e può essere modificato da questo utente. Ad ogni connessione dell'utente, i diversi cambiamenti di parametri sono salvati.

Nota Bene: queste opzioni di profili errati si applicano perfettamente ad un PC dotato di sistemi Windows NT. Per i PC che usano dei client di Windows 95 ad esempio, possono esserci dei problemi. Bisogna allora usare l'Editor di Strategie di Sistema (POLE).

Una volta creato l'account utente e effettuata la prima apertura di sessione con quest'ultimo, viene automaticamente creato un profilo utente nel dossier Profili. L'utente o l'amministratore può modificare tutti i parametri necessari affinché tutte le modifiche siano considerate e salvate in questo dossier.

Come amministratore, bisogna poi creare un dossier sul server come ad esempio \\serveurnt\Profils\nome_utente. Nel Pannello di Configurazione, fare doppio clic sull'icona Sistema poi cliccare sul profilo desiderato e premere il tasto Copia in. Nella zona corrispondente, digitare il percorso UNC che porta al dossier. Su Autorizzato a usare, cliccare su Modificare, Aggiungere l'utente appropriato.

Nota Bene: sul dossier in cui sono stoccati i diversi profili, rinominate il file ntuser.dat dell'utente corrispondente in ntuser.man per rendere obbligatorio il suo profilo. Nel Gestore degli utenti per i domini, doppio clic sull'account dell'utente interessato e cliccare su Profili. Su Percorso del profilo utente, digitare il percorso UNC che porta al dossier del profilo di rete.

Definizione di un ambiente utente

L'uso della finestra di dialogo Profilo ambientale degli utenti può servire ad inserire il percorso del profilo utente, lo script di apertura di sessione, e il dossier di base. Sono parametrabili più opzioni, soprattutto per indicare dei percorsi di accesso ai diversi elementi:

Percorso del profilo dell'utente, indica il percorso verso il dossier profilo utente. Per i profili personali dell'utente, digitate \\nome_server\paratge_profilo\%username%. Per i profili obbligatori, sostituire %username% con nome_profilo;

Nome dello script di apertura di sessione, è possibile usare sia un percorso che porta al computer locale dell'utente, sia un percorso UNC che porta ad un dossier condiviso su un server di rete;

Cartella di base, per specificare un percorso di rete, selezionare Connettere e una lettera dell'unità. Digitare poi il percorso UNC. Prima di specificare una postazione di rete, si deve creare un dossier sul server e deve essere condiviso sulla rete.

Nota Bene: usare la variabile %username& ogni volta che un dossier di base o un profilo utente personale sono creati. Sarà in effetti automaticamente sostituita dall'account utente.

La gestione dei gruppi

Windows NT permette inoltre di gestire gli utenti per gruppo, cioè permette di definire degli insiemi di utenti che hanno lo stesso tipo di autorizzazioni classificandoli in categorie. Un gruppo è un insieme di account utenti. Un utente inserito in un gruppo si vedrà attribuire tutte le autorizzazioni e diritti del gruppo stesso. I gruppi semplificano quindi l'amministrazione dato che è possibile attribuire delle autorizzazioni a più utenti:

I gruppi locali servono a dare agli utenti delle autorizzazioni di accesso ad una risorsa di rete. Servono anche a dare agli utenti dei diritti per lanciare delle azioni di sistema (modificare l'ora del computer, salvare e recuperare dei file, ecc.).

I gruppi globali: servono a organizzare gli account utenti di dominio. Servono soprattutto nelle reti a domini multipli, quando gli utenti di un dominio devono poter accedere alle risorse di un altro dominio.

Al primo avvio di Windows NT si creano 6 gruppi:

Amministratori;

Operatori di salvataggio;

Duplicatori;

Utenti con potere;

Utenti;

Guest.

È possibile eliminare questi gruppi di default nonché aggiungere dei gruppi utenti personalizzati, con delle autorizzazioni particolari secondo le operazioni previste nel sistema. Per aggiungere un gruppo, basta cliccare su Nuovo gruppo locale nel menu utente:

La gestione dei gruppi su Windows NT
Basta in seguito attribuire i diversi utenti ad un gruppo selezionando un utente e cliccando su Aggiungere. Questo fa apparire la seguente finestra di dialogo:

appartenenza ai gruppi di Windows NT
Questo permette semplicemente di selezionare i gruppi a cui un utente dovrebbe far parte.

Realizzazione di gruppi predefiniti

I gruppi predefiniti sono dei gruppi che hanno dei diritti utenti determinati. I diritti utenti determinano le azioni di sistema che un utente o un membro di un gruppo predefinito può eseguire. Ecco i tre gruppi predefiniti offerti da Windows NT:

I gruppi locali predefiniti, danno agli utenti dei diritti che permettono loro di eseguire delle azioni di sistema come il salvataggio e il recupero dei dati, la modifica dell'ora, nonché l'amministrazione delle risorse di sistema;

I gruppi globali predefiniti: forniscono agli amministratori un mezzo semplice che permette loro di controllare tutti gli utenti del dominio. I gruppi globali predefiniti si trovano unicamente sui Controllori di dominio.

I gruppi di sistema organizzano automaticamente gli utenti per l'utilizzo del sistema. Gli amministratori non gli attribuiranno degli utenti. Gli utenti sono sia membri di default, sia diventano membri nel corso dell'attività di rete. Si trovano su tutti questi gruppi predefiniti non possono essere rinominati, ne eliminati.

Ecco i gruppi locali predefiniti:

Utenti, possono eseguire delle azioni per cui dispongono di un diritto di accesso e accedere alle risorse per cui hanno ottenuto un'autorizzazione. Il gruppo locale Utenti con potere non sta sui server membri e i computer che eseguono NT Workstation. I membri di questo gruppo possono creare e modificare degli account, nonché condividere delle risorse;

Amministratori, possono eseguire tutte le azioni amministrative sul computer locale. Se il computer è un Controllore di dominio, i membri possono amministrare interamente il dominio;

Guest, possono eseguire tutte le azioni per cui dispongono di un diritto di accesso e accedere alle risorse per cui hanno ottenuto un'autorizzazione. I suoi membri non possono effettuare nessuna modifica permanente nel loro ambiente locale;

Operatori di salvataggio, possono usare il programma di salvataggio di Windows NT per salvare e recuperare tutti i computer che eseguono Windows NT²;

Duplicatori, utilizzati dal servizio di Duplicatore delle cartelle. Questo gruppo non è usato dall'amministrazione.

I seguenti gruppi sono definiti unicamente sui controllori di dominionbsp:

Operatori di account, possono creare, eliminare e modificare gli utenti, i gruppi locali e globali. Non possono modificare i gruppi Amministratori e Operatori di server;

Operatori di server, possono condividere le risorse del disco, salvare e recuperare i server;

Operatori di stampa, possono configurare e gestire le stampanti di rete.

Quando Windows NT Server è installato come Controllore di dominio, nella SAM vengono creati tre gruppi globali. Da default, questi gruppi non hanno diritti inerenti. Acquisiscono dei diritti nel momento in cui sono aggiunti ai gruppi locali:

Utenti di dominio, automaticamente aggiunto al Gruppo Utenti locale. Di default, l'account Amministratore è membro di questo gruppo;

Amministratore di dominio, automaticamente aggiunto al Gruppo Amministratori locale. Questi membri possono eseguire delle azioni amministrative sul computer locale. Di default, l'account amministratore è membro di questo gruppo;

Guest di dominio, è automaticamente aggiunto al Gruppo Guest locale. Da default, l'account Guest è membro di questo gruppo.

Infine i gruppi dei sistemi predefiniti residenti su tutti i computer che eseguono Windows NT. Gli utenti ne diventano membri di default durante il funzionamento della rete. Lo status di membro non può essere modificato:

Tutti, comprende tutti gli utenti locali e remoti che hanno accesso al computer. Contiene anche tutti gli altri account che questi creano come Amministratore del dominio;

Creatore Proprietario, comprende l'utente che ha creato o preso possesso di una risorsa. Questo gruppo può essere usato per gestire gli accessi ai file e alle cartelle unicamente sui volumi NTFS;

Rete, comprende tutti gli utenti connessi ad una risorsa condivisa del vostro pc a partire da un altro computer di rete;

Interattivo, include automaticamente qualsiasi utente che si connette localmente al computer. I membri interattivi hanno accesso alle risorse del computer al quale sono connessi.

Foto: © Microsoft.

I nostri contenuti sono creati in collaborazione con esperti di high-tech, sotto la direzione di Jean-François Pillou, fondatore di CCM.net. CCM è un sito di high-tech leader a livello internazionale ed è disponibile in 11 lingue.
Il documento intitolato « La gestione degli utenti su Windows NT » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.