locked
Configurare l'accesso alle applicazioni RRS feed

  • Domanda

  • Installando un'applicazione multiutente ogni account ha la possibilità di configurarla in modo personalizzato poiché i dati relativi alle impostazioni vengono memorizzate nella cartella di ogni account e pertanto verranno caricate quelle relative all'account corrente: eventuali modifiche si rifletteranno soltanto su quest'ultimo.

    Supponendo di dover configurare un sistema con più utenti, è possibile per l'amministratore stabilire una configurazione di default per un'applicazione multiutente che valga come configurazione di partenza per tutti gli utenti? Infatti, installando per esempio un browser, un programma di masterizzazione, un antivirus, ecc., l'amministratore potrebbe voler stabilire una configurazione predefinita per tutti gli utenti ed eventualmente quali speficiche opzioni debbano essere modificabili dagli utenti normali...

    Windows 7 offre queste possibilità?
    sabato 26 febbraio 2011 14:58

Risposte

  • In realtà è già così...

    La cartella nella quale viene installato il programma (di default %PROGRAMFILES%) ha già i permessi di sola lettura per gli utenti del gruppo Users, quindi un eventuale file inserito lì potrebbe essere solo letto, ma non modificato. Invece le impostazioni del programma vengono salvate nel profilo utente dove chiaramente l'utente ha i permessi necessari. Allo stesso modo è possibile gestire le impostazioni a livello di registro di configurazione, scrivendo le informazioni non modificabili dall'utente in HKEY_LOCAL_MACHINE.

    Non si tratta tanto di gestire l'installazione (che tanto avviene comunque da amministratore), ma la logica operativa del programma che deve gestire le diverse configurazioni (quella standard + quella per utente).

    Comunque, l'argomento è sicuramente più legato allo sviluppo dei programmi che all'amministrazione del sistema, quindi qui siamo leggermente off topic...


    Gerardo Fransecky

    • Contrassegnato come risposta archimede83 domenica 27 febbraio 2011 22:16
    sabato 26 febbraio 2011 17:30
  • Non dipende dal sistema operativo, ma dall'applicativo. Deve essere il software a prevedere una funzionalità del genere gestendo file di configurazione diversi, uno (magari non modificabile) unico per tutti gli utenti e l'altro all'interno del profilo utente che sia liberamente personalizzabile.


    Gerardo Fransecky

    • Contrassegnato come risposta archimede83 domenica 27 febbraio 2011 22:16
    sabato 26 febbraio 2011 15:11
  • 1. Se installo un programma multiutente per tutti gli utenti, i collegamenti sul Desktop e nel Menu Avvio verranno posizionati nelle sottocartelle di/All Users/    oppure nelle sottocartelle di ogni utente. Se successivamente decidessi di disabilitare l'utilizzo di questo programma a tutti gli utenti (eccetto gli/Administrators/    ), come potrei fare? Mi viene in mente di eliminare manualmente i collegamenti dal Menu Avvio e dal Desktop di tutti gli/Users/    , ma così facendo eliminerei soltanto la scorciatoia... Come si agisce in questo caso per "nascondere" i collegamenti e impedire l'accesso al programma? 2. Se installo un programma multiutente soltanto per l'utente corrente (di tipo amministratore), i relativi collegamenti per avviarlo saranno creati soltanto nel suo Menu Avvio e nel suo Desktop. Oltre ai collegamenti, vengono impostati anche dei permessi sulla cartella di installazione del programma? Se sì, tentando di avviare il programma utilizzando il relativo percorso/%PROGRAMFILES%\EsempioDiProgramma\Eseguibile.exe/    , non dovrebbe avviarsi... E se voglio abilitare tutti gli utenti (o soltanto alcuni) all'utilizzo di questo programma, cosa dovrei fare? Impostare manualmente tutti i permessi necessari e aggiungere i relativi collegamenti sul Desktop e nel Menu Avvio dei singoli utenti? In breve, mi chiedo se esiste un modo veloce per gestire l'utilizzo dei programmi per i vari utenti...

    Per quanto riguarda il punto 1, di metodi ce ne sono molti... :-)

    Innanzitutto bisogna capire in quale ambiente ti stai muovendo. Se sei in una rete con un dominio puoi sicuramente gestire situazioni di questo tipo in modo molto più semplice ed immediato.
    Infatti, a seconda della combinazione di sistemi operativi client e server in uso, puoi usare una delle seguenti funzionalità tramite una policy (GPO) gestita direttamente a livello di dominio:

    AppLocker
    http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx

    Software Restriction Policies
    http://technet.microsoft.com/en-us/library/bb457006.aspx

    Se invece sei in una rete senza dominio, tutta la gestione diventa decisamente più "artigianale" e complessa.

    In questo caso infatti, oltre ad eliminare la "scorciatoia" come da te suggerito, devi seguire una delle seguenti strade:

    1) sui permessi NTFS dell'eseguibile del programma in modo da non consentirne l'esecuzione ad un utente che non faccia parte di un determinato gruppo (ad esempio, inserisco l'utente in un gruppo "Limitato" e nego i permessi NTFS di esecuzione sull'eseguibile a quel gruppo).

    2) intervenire sulle policy delle singole macchine in maniera simile a quanto visto per il dominio, ma replicato "a manina" macchina per macchina.

    Chiaramente l'elenco non è esaustivo, di metodi ce ne saranno anche altri che però al momento non mi vengono in mente... :-)

    Per quanto riguarda il punto 2, no, solitamente non ci sono particolari impostazioni da fare e il software può comunque essere eseguito da tutti gli utenti e quindi basta limitarsi a creare i relativi collegamenti.


    Gerardo Fransecky

    • Contrassegnato come risposta archimede83 domenica 27 febbraio 2011 22:15
    sabato 26 febbraio 2011 19:17

Tutte le risposte

  • Non dipende dal sistema operativo, ma dall'applicativo. Deve essere il software a prevedere una funzionalità del genere gestendo file di configurazione diversi, uno (magari non modificabile) unico per tutti gli utenti e l'altro all'interno del profilo utente che sia liberamente personalizzabile.


    Gerardo Fransecky

    • Contrassegnato come risposta archimede83 domenica 27 febbraio 2011 22:16
    sabato 26 febbraio 2011 15:11
  • Se dovessi sviluppare un applicativo, allora dovrei prevedere un file di configurazione predefinito modificabile soltanto dal gruppo Administrators da posizionare, per esempio, nella cartella stessa dell'applicativo: sarebbe possibile fare in modo che durante l'installazione, tale file di configurazione sia impostato automaticamente come modificabile soltanto dagli Administrators ?

    Se installo un programma soltanto per l'Amministratore corrente, gli altri utenti non Administrators potranno usare il programma semplicemente avviandolo dal percorso di installazione? Durante l'installazione vengono impostati i permessi per il programma oltre a posizionare i collegamenti soltanto nella cartella dell'Amministratore corrente?
    sabato 26 febbraio 2011 16:26
  • In realtà è già così...

    La cartella nella quale viene installato il programma (di default %PROGRAMFILES%) ha già i permessi di sola lettura per gli utenti del gruppo Users, quindi un eventuale file inserito lì potrebbe essere solo letto, ma non modificato. Invece le impostazioni del programma vengono salvate nel profilo utente dove chiaramente l'utente ha i permessi necessari. Allo stesso modo è possibile gestire le impostazioni a livello di registro di configurazione, scrivendo le informazioni non modificabili dall'utente in HKEY_LOCAL_MACHINE.

    Non si tratta tanto di gestire l'installazione (che tanto avviene comunque da amministratore), ma la logica operativa del programma che deve gestire le diverse configurazioni (quella standard + quella per utente).

    Comunque, l'argomento è sicuramente più legato allo sviluppo dei programmi che all'amministrazione del sistema, quindi qui siamo leggermente off topic...


    Gerardo Fransecky

    • Contrassegnato come risposta archimede83 domenica 27 febbraio 2011 22:16
    sabato 26 febbraio 2011 17:30
  • Comunque, l'argomento è sicuramente più legato allo sviluppo dei programmi che all'amministrazione del sistema, quindi qui siamo leggermente off topic...

    Hai ragione... Comunque lo sviluppo del programma l'ho citato come esempio :)

    Grazie per la risposta! Hai risolto un mio primo dubbio :D

    Risolto il problema della cartella %PROGRAMFILES% di sola lettura, mi chiedo però come sia possibile gestire dinamicamente l'utilizzo di un'applicazione multiutente... Mi spiego meglio...

    1. Se installo un programma multiutente per tutti gli utenti, i collegamenti sul Desktop e nel Menu Avvio verranno posizionati nelle sottocartelle di All Users oppure nelle sottocartelle di ogni utente. Se successivamente decidessi di disabilitare l'utilizzo di questo programma a tutti gli utenti (eccetto gli Administrators ), come potrei fare? Mi viene in mente di eliminare manualmente i collegamenti dal Menu Avvio e dal Desktop di tutti gli Users , ma così facendo eliminerei soltanto la scorciatoia... Come si agisce in questo caso per "nascondere" i collegamenti e impedire l'accesso al programma?
    2. Se installo un programma multiutente soltanto per l'utente corrente (di tipo amministratore), i relativi collegamenti per avviarlo saranno creati soltanto nel suo Menu Avvio e nel suo Desktop. Oltre ai collegamenti, vengono impostati anche dei permessi sulla cartella di installazione del programma? Se sì, tentando di avviare il programma utilizzando il relativo percorso %PROGRAMFILES%\EsempioDiProgramma\Eseguibile.exe , non dovrebbe avviarsi... E se voglio abilitare tutti gli utenti (o soltanto alcuni) all'utilizzo di questo programma, cosa dovrei fare? Impostare manualmente tutti i permessi necessari e aggiungere i relativi collegamenti sul Desktop e nel Menu Avvio dei singoli utenti?
    In breve, mi chiedo se esiste un modo veloce per gestire l'utilizzo dei programmi per i vari utenti...

     

    sabato 26 febbraio 2011 18:22
  • 1. Se installo un programma multiutente per tutti gli utenti, i collegamenti sul Desktop e nel Menu Avvio verranno posizionati nelle sottocartelle di/All Users/    oppure nelle sottocartelle di ogni utente. Se successivamente decidessi di disabilitare l'utilizzo di questo programma a tutti gli utenti (eccetto gli/Administrators/    ), come potrei fare? Mi viene in mente di eliminare manualmente i collegamenti dal Menu Avvio e dal Desktop di tutti gli/Users/    , ma così facendo eliminerei soltanto la scorciatoia... Come si agisce in questo caso per "nascondere" i collegamenti e impedire l'accesso al programma? 2. Se installo un programma multiutente soltanto per l'utente corrente (di tipo amministratore), i relativi collegamenti per avviarlo saranno creati soltanto nel suo Menu Avvio e nel suo Desktop. Oltre ai collegamenti, vengono impostati anche dei permessi sulla cartella di installazione del programma? Se sì, tentando di avviare il programma utilizzando il relativo percorso/%PROGRAMFILES%\EsempioDiProgramma\Eseguibile.exe/    , non dovrebbe avviarsi... E se voglio abilitare tutti gli utenti (o soltanto alcuni) all'utilizzo di questo programma, cosa dovrei fare? Impostare manualmente tutti i permessi necessari e aggiungere i relativi collegamenti sul Desktop e nel Menu Avvio dei singoli utenti? In breve, mi chiedo se esiste un modo veloce per gestire l'utilizzo dei programmi per i vari utenti...

    Per quanto riguarda il punto 1, di metodi ce ne sono molti... :-)

    Innanzitutto bisogna capire in quale ambiente ti stai muovendo. Se sei in una rete con un dominio puoi sicuramente gestire situazioni di questo tipo in modo molto più semplice ed immediato.
    Infatti, a seconda della combinazione di sistemi operativi client e server in uso, puoi usare una delle seguenti funzionalità tramite una policy (GPO) gestita direttamente a livello di dominio:

    AppLocker
    http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx

    Software Restriction Policies
    http://technet.microsoft.com/en-us/library/bb457006.aspx

    Se invece sei in una rete senza dominio, tutta la gestione diventa decisamente più "artigianale" e complessa.

    In questo caso infatti, oltre ad eliminare la "scorciatoia" come da te suggerito, devi seguire una delle seguenti strade:

    1) sui permessi NTFS dell'eseguibile del programma in modo da non consentirne l'esecuzione ad un utente che non faccia parte di un determinato gruppo (ad esempio, inserisco l'utente in un gruppo "Limitato" e nego i permessi NTFS di esecuzione sull'eseguibile a quel gruppo).

    2) intervenire sulle policy delle singole macchine in maniera simile a quanto visto per il dominio, ma replicato "a manina" macchina per macchina.

    Chiaramente l'elenco non è esaustivo, di metodi ce ne saranno anche altri che però al momento non mi vengono in mente... :-)

    Per quanto riguarda il punto 2, no, solitamente non ci sono particolari impostazioni da fare e il software può comunque essere eseguito da tutti gli utenti e quindi basta limitarsi a creare i relativi collegamenti.


    Gerardo Fransecky

    • Contrassegnato come risposta archimede83 domenica 27 febbraio 2011 22:15
    sabato 26 febbraio 2011 19:17
  • Grazie per tutte le info!
    lunedì 28 febbraio 2011 15:11
  • > Grazie per tutte le info!

    Prego! :-)


    Gerardo Fransecky

    lunedì 28 febbraio 2011 15:19