locked
Restrizioni utenti Windows 8 RRS feed

  • Domanda

  • Ho un piccolo ufficio con un Windows Server 2003 SBS come PDC e per ragioni di software gestionali sono stati cambiati tutti i client, passando da Windows XP_Pro a Windows 8.1_PRO.
    Sto avendo 2 problemi.
    Il primo inerente all'oggetto del topic e cioè:
    Premessa: tutti gli utenti sono nel gruppo USERS
    Ho una cartella nel disco D del server che si chiama USERS e al suo interno ci sono tutte le cartelle con il propio nome dell'utente, quindi Oper1, Oper2, Oper3.

    Ho la necessità di impedire ad utente di entrare nella cartella di un altro utente e di impedire la cancellazione all'interno di una specifica cartella, ma di porter modificare i file al suo interno.
    Nelle poprietà di sicurezza della cartella, ho fatto diventare l'Administrator come proprietario, poi ho messo nelle sicurezze della cartella, l'utente interessato, deflaggando l'opzione di MODIFICA e SCRITTURA, quindi ho lasciato solo la lettura.
    Nelle cartelle padre ho invece messo le autorizzazioni all'utente SYSTEM, ADMINISTARTOR, e il nome dell'operatore interessato a quella cartella.
    Se dal client di OPER3 accedo a \\nomeserver\OPER1, mi fa vedere le risorse e me le fa anche cancellare, ma in teoria non dovrebbe neanche autorizzarmi ad entrare.
    Se dal client OPER3 accedo al mio share \\nomeserver\oper3\cartella, mi fa entrare e mi fa vedere tutto ma mi fa anche cancellare, cosa che io non voglio.

    Esiste che voi sappiate qualche incompatibilità delle policy di Windows Server 2003 SBS con i client Windows 8?

    Scusate e grazie

    sabato 3 gennaio 2015 11:22

Risposte

  • Salve Effedi,

    Se sei riuscito a risolvere il problema, ti prego di aggiornare il Thread. Sono certa che la soluzione sara' utile per l'altri utenti.

    Grazie


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    Ok, certo.
    Si avrei risolto ma senza perderci troppo tempo, ovvero ho tolto e rimesso a dominio il client.

    Adesso funziona tutto, grazie


    Fausto De Stilo

    martedì 3 febbraio 2015 19:38

Tutte le risposte

  • Ciao, mi sa che hai lo stesso problema nell'altro tuo thread. I tuoi windows 8.1 non hanno preso correttamente l'aggancio a dominio. non è che hai usato il wizard del 2003 per caso? Ci dai la procedura con cui agganci le macchine 8.1 a dominio step by step? così capiamo un po di più...

    Ciao.

    A.

    sabato 3 gennaio 2015 12:30
  • quali sono gli utenti definiti nei permessi della cartella USERS e con quali permessi ?

    la cartella OPER1 è condivisa come la cartella USERS ?

    quali sono i permessi di condivisione su OPER1 ?

    quali sono gli utenti definiti nei permessi della cartella OPER1 e con quali permessi ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    domenica 4 gennaio 2015 17:47
    Moderatore
  • Ciao, mi sa che hai lo stesso problema nell'altro tuo thread. I tuoi windows 8.1 non hanno preso correttamente l'aggancio a dominio. non è che hai usato il wizard del 2003 per caso? Ci dai la procedura con cui agganci le macchine 8.1 a dominio step by step? così capiamo un po di più...

    Ciao.

    A.

    Li ho messi a dominio come tutti gli altri PC, ovvero nelle Proprietà di Sistema, Cambia Impostazioni, quindi "Nome Computer" e poi membro di ho messo il nome del dominio. Alla richiesta delle credenziali ho messo quelle dell'Administrator di dominio.

    Il Client è andato subito in dominio e al successivo riavvia sono entrato con le credenziali dell'Utente che avevo creato sul server. Infatti mi trovo il Computer nell'elenco dei PC in AD

    ----------------------------------------------------------------------------------------------------------------------------

    Ho risolto cancellando e rifacendo l'utente sul server.
    L'ho messo subito nel gruppo "Domain Users" e adesso funziona tutto.

    Prima invece lo avevo messo subito nel gruppo "Domain Admins" e poi spostato sul Gruppo "Domain Users". Questo perchè mi serviva fare subito delle configurazioni e impostazioni.

    Adesso però mi succede una cosa molto strana e cioè quando l'utente fa il login, non mi esegue lo script contenuto in SYSVOL come invece avviene negli altri utenti e non capisco perchè.

    Un'altra cosa che vi chiedo se potete aiutarmi è come impostare correttamente le policy di sicurezza sullo share in modo che l'utente possa solo accedere, visualizzare e modificare il nome del file e il suo contenuto, quindi avere anche i diritti a scrivere ma non di eliminazione del file o della cartella.
    Sono andato nelle impostazioni avanzate e ho messo che poteva fare TUTTO tranne l'ELIMINA, ma questa impostazione non permette all'utente di modificare il file.

    Grazie ancora

    lunedì 5 gennaio 2015 14:05
  • quali sono gli utenti definiti nei permessi della cartella USERS e con quali permessi ?

    la cartella OPER1 è condivisa come la cartella USERS ?

    quali sono i permessi di condivisione su OPER1 ?

    quali sono gli utenti definiti nei permessi della cartella OPER1 e con quali permessi ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    La cartella D:\USERS non è condivisa e al suo interno ci sono appunto tutti gli utenti.
    Ogni utente ha quindi la sua cartella con condivisione "Everyone" e come sicurezza solo l'utente SYSTEM, Administrator, NomeUtente.
    Quindi quando OPER2 cerca di accedere allo share OPER1, gli verrà negato l'accesso.

    Invece prima succedeva che OPER3 accedeva a tutti gli shar anche se era stato spostato in AD nel gruppo Domain Users e NON ERA PRESENTE negli altri share. Una cosa veramente strana, anche se era stato fatto il primo accesso come Domain Admins.

    Parlo quindi sempre di gruppi, ma nehli share i gruppi sono stati tolti e messi SOLO gli utenti che posso acedere allo share. Come è possibile che OPER3 poteva accedere? Per me impossibile comunque succedeva.

    Adesso come ho risposto anche ad Alessandro Vannini, ho risolto ricreando l'utente ma mettendolo subito nel gruppo Domain Users. Poi farò una prova a spostarlo in un altro gruppo e vediamo se mi vengono impostate i nuovi criteri di sicurezza.

    L'unica cosa ancora che non riesco a fare è come impostare correttamente le policy di sicurezza sullo share in modo che l'utente possa solo accedere, visualizzare e modificare il nome del file e il suo contenuto, quindi avere anche i diritti a scrivere ma non di eliminazione del file o della cartella.
    Sono andato nelle impostazioni avanzate e ho messo che poteva fare TUTTO tranne l'ELIMINA, ma questa impostazione non permette all'utente di modificare il file.

    Grazie di tutto

    lunedì 5 gennaio 2015 14:12
  • Dopo aver ricreato l'utente sul server, adesso le autorizzazioni alle condivisioni vengono applicate correttamente, quindi appena metto l'utente in Domain Admins, questo può (Giustamente) fare tutto, appena lo rimetto in Domain Users, gli vengono immediatamente tolti i diritti amministrativi.

    Quindi primo passo risolto.

    Il secondo passo, forse non credo si possa fare almeno come me lo ha chiesto il cliente e in effetti ho fatto delle prove ma non funziona.

    Io ho provato a impostare i diritti di sicurezza in questo modo:
        Autorizzazioni Speciali

    In questo modo, l'utente può scrivere e quindi creare una cartella, ma poi non la può neanche rinominare.
    E se consento la Cancellazione, ovviamente potrà fare tutto e questo non va bene.

    Dove sbaglio?

    Grazie ancora a tutti.


    Fausto De Stilo


    • Modificato Effedi lunedì 5 gennaio 2015 20:07 Correzioni varie
    lunedì 5 gennaio 2015 20:05

  • In questo modo, l'utente può scrivere e quindi creare una cartella, ma poi non la può neanche rinominare.
    E se consento la Cancellazione, ovviamente potrà fare tutto e questo non va bene.



    puoi impedire la sola cancellazione della cartella OPER3, stoppare l'ereditarietà a questo livello ed applicare il full control su tutti i files e le sottocartelle della cartella OPER3.

    ovviamente su tutto il contenuto della cartella OPER3 l'utente autorizzato potrà fare tutto.

    non ci sono altre possibilità.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 5 gennaio 2015 20:19
    Moderatore
  • Sono riuscito ad ottenere qualcosa grazie a questo vecchio POST:
    "permessi-ed-autorizzazioni-file"

    Adesso ogni utente ha la possibilità di creare ciò che vuole ma non di cancellare quello creato dagli utenti ma solo nella cartella padre.
    Se OPER3 crea una cartella la può cancellare solo lui. Se però OPER1 crea un file dentro la cartella OPER3 creata appunto da OPER3, quet'ultimo la può cancellare, pur avendo l'eredibilità della cartella padre dove ho applicato le regole. Ma se funziona in \\server\prova perchè non funziona in \\server\porva\OPER3?

    Ho quindi tolto il FULL CONTROLL a Creator Owner e sono riuscito a fare qualcosa in più, proprio come spiegato nel vecchio Post.
    Nel mio caso ogni utente ha il diritto di aprire cartelle, aprire files e modificarli e salvarli ma non si possono cancellare. Quindi finalmente ho ottenuto quasi quello che volevo perchè rimane solo un problema, molto strano, e cioè che non mi fa rinominare i file o salvarli con altro nome.

    Quindi se creo una nuova cartella, il nome sara "Nuova Cartella", idem per i file.
    Se invece ho un file che si chiama prova.txt, lo posso aprire, modificare e risalvare con stesso nome. ma non lo posso cancellare o rinominare.

    Faccio altre prove e poi aggiorno la situazione, prima o poi dopo 1000 prove ci arriverò, forse, ad ottenere quello che mi serve?

    Grazie a tutti


    Fausto De Stilo


    lunedì 5 gennaio 2015 23:32
  • Salve Effedi,

    Se sei riuscito a risolvere il problema, ti prego di aggiornare il Thread. Sono certa che la soluzione sara' utile per l'altri utenti.

    Grazie


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    lunedì 12 gennaio 2015 10:14
  • Salve Effedi,

    Se sei riuscito a risolvere il problema, ti prego di aggiornare il Thread. Sono certa che la soluzione sara' utile per l'altri utenti.

    Grazie


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    Ok, certo.
    Si avrei risolto ma senza perderci troppo tempo, ovvero ho tolto e rimesso a dominio il client.

    Adesso funziona tutto, grazie


    Fausto De Stilo

    martedì 3 febbraio 2015 19:38