La gestione degli utenti su Windows NT

Aprile 2015

La nozione di utente

WindowsNT è un sistema operativo che permette di gestire delle sessioni, cioè alll'avvio del sistema è necessario al sistema ( loggarsi ) grazie ad un nome utente e una password.

Da default, all'installazione di Windows NT, viene creato l'account amministratore, nonché un account detto guest. E' possibile (e anche consigliato) modificare le autorizzazioni degli utenti (quello che hanno diritto di fare) nonché di aggiungerne tramite il gestionario degli utenti.. Un account utente è l'identificazione univoca di un utente in modo da permettergli

  • di aprire una sessione sul dominio e avere accesso alle risorse di rete
  • di aprire una sessione su un computer locale per accedere alle risorse locali
Ogni utente che usi la rete regolarmente deve avere un account.

Gestire gli utenti

Il gestionario degli utenti è l'utility fornita in standard con Windows NT, che permette di gestire gli utenti (come il suo nome lascia intendere). E' disponibile nel Menu Start ( Programmi/strumenti di amministrazione Programmes/outils d'administration).

il gestionario degli utenti

Per creare un nuovo account, basta cliccare su Nuovo utente nel menu utenti. Si aprirà una finestra di dialogo che permette di inserire delle informazioni sul nuovo utente :

  • Utente: rappresenta il login dell'utente
  • Nome dettagliato: informazioni opzionali sull'utente
  • Descrizione: campo opzionale
  • I campi Password sono opzionali, ma si consiglia di riempirli, nonché di selezionare eventualmente la casella l'utente deve cambiare la password per ragioni di sicurezza

Convenzione di nomina degli utenti

La convenzione di nomina degli utenti è il modo in cui l'amministratore decide di identificare gli utenti. Bisogna tenere conto dei seguenti elementi :

  • I nomi degli utenti devono essere unici (in un domino, su un computer locale)
  • I nomi dell'utente possono contenere qualsiasi carattere minuscolo o maiuscolo ad eccezione dei seguenti caratteri: / \[ ] : . | = , + * ? < >
  • Bisogna prevedere il caso degli utenti omonimi e quindi una nomenclatura adeguata.

Account utenti e sicurezza

Esistono due tipi di account su NT. Gli account predefiniti e gli account che avete creato. Dopo l'installazione, Windows NT è definito con degli utenti predefiniti (account di default) (il conto amministratore e guest) che rendono minima la sicurezza del sistema.

I diversi account sono :

  • Account che avete creato: gli account dell'utente permettono di aprire una sessione sulla rete e di accedere alle risorse di rete. Questi account contengono delle informazioni sull'utente, soprattutto il suo nome e password
  • Guest: permette agli utenti occasionali di aprire una sessione e accedere al computer locale. Da default, è disattivo.
  • Amministratore: serve a gestire la configurazione globale dei computer e dei domini. Può effettuare tutti i compiti
E' quindi essenziale
  • in un primo tempo disattivare l'account guest che permette a chiunque di connettersi al sistema
  • poi modificare in nome dell'account amministratore per ridurre il rischio di intrusione attraverso questo account utente. In efetti l'account amministratore ha tutte le autorizzazioni, ed è la preda di tutti gli intrusi

Posizione degli account utenti

Gli account utenti di dominio sono creati partendo dal Gestionario degli utenti per i domini. Quando si crea un account, questo è automaticamente registrato nel SAM del Controllore Principale di Dominio (PDC), che lo sincronizza poi con il resto del domin

Possono essere necessari alcuni minuti per la sincronizzazione del dominio.
Esistono due metodi: digitare

net accounts /sync
all'invito di comando o, nel Gestionario del server, nel menu Computer, scegliere Sincronizzare tutto il dominio.

Gli account del'utente locale si creano su un server membro o un computer su Windows NT Workstation, attraverso il Gestionario degli utenti. L'account è creato solamente nel SAM del computer locale. L'utente può quindi aprire delle sessioni solamente sul

Il planning di nuovi account utenti

E' possibile semplificare il processo di creazione di account pianificando e organizzando le informazioni su quelli che hanno bisogno di un account utente.

Il dossier di base è il dossier privato in cui un utente può stoccare i propri file. E' utilizzato come dossier di default durante l'esecuzione di comandi come "Salvare". Può essere stoccato sul computer locale dell'utente o su un server di rete. Per crea

  • E' molto più facile assicurare il salvataggio e il recupero dei dati di diversi utenti in caso di incidente se i dossier di base sono stoccati su un server. Se non è così, bisognera effettuare dei salvataggi regolari su diversi computer della rete dove s
  • Considerare lo spazio sui controllori di dominio: Windows NT non dispone di utilities che permettono la gestione dello spazio del disco (Windows 2000 lo permette). Così, bisogna prestare attenzione affinché i dossier di base non siano riempiti di file vo
  • Se un utente lavora su un computer che non dispone di disco duro, il suo dossier di base deve imperativamente essere su un server di rete
  • Se i dossier di base si trovano sui computer locali, le performance di rete aumentano dato che vi sarà meno traffico sulla rete, visto che il server non è costantemente sollecitato

Definizione delle opzioni di stazione di lavoro e account

E' possibile parametrare le postazioni a partire dalle quali un utente può connettersi alla rete. Potete sia autorizzarlo ad aprire una sessione partendo da tutte le stazioni di lavoro, oppure specificate una o due stazioni di lavoro precise. Utilizzare u

D'altra parte, è anche possibile fissare una data di scadenza dell'account di un utente. Questa opzione può essere utile nel caso di un dipendente temporaneo. La data di scadenza dell'account corrisponderà a quella di scadenza del suo contratto.

Autorizzazione di chiamata

Se il RAS (Remote Access Service), l'Accesso di Rete da Remoto, è installato, è possibile parametrare le autorizzazioni di chiamata. Questo servizio permette ad un utente, con le autorizzazioni appropriate, di accedere alle risorse di rete da remoto, util

  • Nessuna chiamata: le spese di comunicazione sono a carico dell'utente. Il server non richiamerà l'utente
  • Definito dal chiamante: questa opzione permette ad un utente di essere richiamato dal server ad un numero specifico. In questo caso, è l'azienda che si fa carico delle spese di comunicazione.
  • Predefinito al: permette un controllo di chiamata dall'amministratore. E' quest'ultimo che decide il numero che il server deve richiamare per raggiungere un dato utente. Questa opzione può servire a ridurre i costi ma anche ad aumentare la sicurezza dato
NB: Negli ultimi due casi, l'utente deve innanzi tutto connettersi ad un server affinché lo si richiami.

Eliminazione e cambiamento del nome degli account utente

Quando un account non è più necessario, è possibile eliminare o rinominarlo affinché possa essere usato da un altro utente. Bisogna sapere che il fatto di eliminare un account cancella anche la SID (Security IDentification). Anche se NT permette 15000 SID

Gestione dell'ambiente di lavoro di un utente

Quando un utente apre una sessione per la prima volta partendo da un client di Windows NT, viene creato un profilo utente di default per quest'ultimo. Questo profilo definisce degli elementi tali come l'ambiente di lavoro e le sue connessioni di rete e alla stampante. Questo profilo può essere personalizzato per ridurre alcuni elementi del desktop o degli strumenti presenti

Questi profili contengono dei parametri definibili dall'utente per l'ambiente di lavoro di un computer su Windows NT. Questi parametri sono salvati automaticamente nel dossier Profili (C:\Winnt\Profiles).

Per gli utenti che aprono una sessione partendo dai client che non eseguono Windows NT, può essere usato uno script di apertura di sessione per configurare le connessioni di rete e stampante degli utenti o per definire l'ambiente di lavoro o i parametri hardware. Si tratta infatti di un file di comando (.bat o .cmd) o di un file eseguibile che si esegue automaticamente quando l'utente si con

E' anche possibile utilizzare dei profili utenti sbagliati, cioè un profilo che offre all'utente lo stesso ambiente di lavoro indipendentemente dalla stazione di lavoro da cui si connette alla rete. Questi profili sono salvati sul server. Esistono due opz

  • Profilo errato obbligatorio: può essere applicato ad uno o più utenti e non è modficabile da questi utenti. Solo l'amministratore decide cosa può essere a disposizione degli utenti (strumenti, configurazione, ecc.). Anche se l'utente effettua dei cambiam
  • Profilo errato persoale: può essere applicato ad un solo utente e può essere modificato da questo utente. Ad ogni connessione dell'utente, i diversi cambiamenti di parametri sono salvati
NB: queste opzioni di profili errati si applicano perfettamente ad un parco dotato di sistemi Windows NT. Per i parchi che usano dei client di Windows 95 ad esempio, possono esserci dei problemi. Bisogna allora usare l'Editor di Strategie di Sistema (POLE

Una volta creato l'account utente e effettuata la prima apertura di sessione con quest'ultimo, viene automaticamente creato un profilo utente nel dossier Profili...
L'utente o l'amministratore possono modificare tutti i parametri necessari affinché tutte le modifiche siano considerate e salvate in questo dossier.

Come amministratore, bisogna poi creare un dossier sul server come ad esempio \\serveurnt\Profils\nome_utente.
Nel Pannello di Configurazione, fare doppio clic sull'icona Sistema poi cliccare sul profilo desiderato e premere il tasto Copia in.

Nella zona corrispondente, digitare il percorso UNC che porta al dossier. Su Autorizzato a usare, cliccare su Modificare, Aggiungere l'utente appropriato.
NB: Nel dossier in cui sono stoccati i diversi profili, rinominate il file ntuser.dat dell'utente corrispondente in ntuser.man per rendere obbligatorio il suo profilo

Nel Gestionario degli utenti per i domini, doppio clic sull'account dell'utente interessato e cliccare su Profili. Nella zona Percorso del profilo utente, digitare il percorso UNC che porta al dossier del profilo di rete.

Definizione di un ambiente utente

L'uso della finestra di dialogo Profilo ambientale degli utenti può servire ad inserire il percorso del profilo utente, lo script di apertura di sessione, e il dossier di base.
Sono parametrabili più opzioni, soprattutto per indicare dei percorsi di accesso ai diversi elementi :

  • Percorso del profilo dell'utente: indica il percorso verso il dossier profilo utente. Per i profili personali dell'utente, digitate \\nome_server\paratge_profilo\%username%. Per i profili obbligatori, sostituire lo %username% con nome_profilo
  • Nome dello script di apertura di sessione: è possibile usare sia un percorso che porta al computer locale dell'utente, sia un percorso UNC che porta ad un dossier condiviso su un server di rete
  • Cartella di base: per specificare un percorso di rete, selezionare Connettere e una lettera dell'unità. Digitare poi il percorso UNC. Prima di specificare una postazione di rete, si deve creare un dossier sul server e deve essere condiviso sulla rete
NB: usare la variabile %username& ogni volta che un dossier di base o un profilo utente personale sono creati. Sarà in effetti automaticamente sostituita dall'account utente

La gesione dei gruppi

Windows NT permette inoltre di gestire gli utenti per gruppo, coè permette di definire degli insiemi di utenti che hanno lo stesso tipo di autorizzazioni classificandoli in categorie.

Un gruppo è un insieme di account utenti. Un utente inserito in un gruppo si vedrà attribuire tutte le autorizzazioni e diritti del gruppo stesso. I gruppi semplificano quindi l'amministrazione dato che è possibile attribuire delle autorizzazioni a più ut

  • I gruppi locali: servono a dare agli utenti delle autorizzazioni di accesso ad una risorsa di rete. Servono anche a dare agli utenti dei diritti per lanciare delle azioni di sisema (modificare l'ora del computer, salvare e recuperare dei file, ecc.). Esi
  • I gruppi globali: servono a organizzare gli account utenti di dominio. Servono soprattutto nelle reti a domini multipli, quando gli utenti di un dominio devono poter accedere alle risorse di un altro dominio.

Al primo avvio di Windows NT si creano 6 gruppi :

  • Amministratori
  • Operatori di salvataggio
  • Duplicatori
  • Utenti con potere
  • Utenti
  • Guest

E' possibile eliminare questi gruppi di default nonché aggiungere dei gruppi utenti personalizzati, con delle autorizzazioni particolari secondo le operazioni previste nel sistema. Per aggiungere un gruppo, basta cliccare su Nuovo gruppo locale nel menu utente.

La gestione dei gruppi su Windows NT

Basta in seguito attribuire i diversi utenti ad un gruppo selezionando un utente e cliccando su Aggiungere. Questo fa apparire la seguente finestra di dialogo :

appartenenza ai gruppi di Windows NT

Questo permette semplicemente di selezionare i gruppi a cui un utente dovrebbe far parte...

Realizzazione di gruppi predefiniti

I gruppi predefiniti sono dei gruppi che hanno dei diritti utenti determinati. I diritti utenti determinano le azioni di sistema che un utente o un membro di un gruppo predefinito può eseguire. Ecco i tre gruppi predefiniti offerti da Windows NT :

  • I gruppi locali predefiniti: danno agli utenti dei diritti che permettono loro di eseguire delle azioni di sistema come il salvataggio e il recupero dei dati, la modifica dell'ora, nonché l'amministrazione delle risorse di sistema. Si trovano su tutti i
  • I gruppi globali predefiniti: forniscono agli amministratori un mezzo semplice che permette loro di controllare tutti gli utenti del dominio. I gruppi globali predefiniti si trovano unicamente sui Controllori di dominio.
  • I gruppi di sistema organizzano automaticamente gli utenti per l'utilizzo del sistema. Gli amministratori non gli attribuiranno degli utenti. Gli utenti sono sia membri di default, sia diventano membri nel corso dell'attività di rete. Si trovano su tutti
Tutti questi gruppi predefiniti non possono essere rinominati, ne eliminati.

Ecco i gruppi locali predefiniti :

  • Utenti: Possono eseguire delle azioni per cui dispongono di un diritto di accesso e accedere alle risorse per cui hanno ottenuto un'autorizzazione
    Il gruppo locale Utenti con potere non sta sui server membri e i computer che eseguono NT Workstation. I membri di questo gruppo possono creare e modificare degli account, nonché condividere delle risorse.
  • Amministratori: Possono eseguire tutte le azioni amministrative sul computer locale. Se il computer è un Controllore di dominio, i membri possono amministrare interamente il dominio
  • Guest: Possono eseguire tutte le azioni per cui dispongono di un diritto di accesso e accedere alle risorse per cui hanno ottenuto un'autorizzazione. I suoi membri non possono effettuare nessuna modifica permanente nel loro ambiente locale
  • Operatori di salvataggio: Possono usare il programma di salvataggio di Windows NT per salvare e recuperare tutti i computer che eseguono Windows NT²
  • Duplicatori: Utilizzati dal servizio di Duplicatore delle cartelle. Questo gruppo non è usato dall'amministrazione

I seguenti gruppi sono definiti unicamente sui controllori di dominionbsp;:

  • Operatori di account Possono creare, eliminare e modificare gli utenti, i gruppi locali e globali. Non possono modificare i gruppi Amministratori e Operatori di server
  • Operatori di server Possono condividere le risorse del disco, salvare e recuperare i server
  • Operatori di stampa Possono configurare e gestire le stampanti di rete

    Quando Windows NT Server è installato come Controllore di dominio, nella SAM vengono creati tre gruppi globali. Da default, questi gruppi non hanno diritti inerenti. Acquisiscono dei diritti nel momento in cui sono aggiunti ai gruppi locali o quando vengo

    • Utenti di dominio , automaticamente aggiunto al Gruppo Utenti locale. Da default, l'account Amministratore è membro di questo gruppo
    • Amministratore di dominio , automaticamente aggiunto al Gruppo Amministratori locale. Questi membri possono eseguire delle azioni amministrative sul computer locale. Da default, l'account amministratore è membro di questo gruppo
    • Guest di dominio è automaticamente aggiunto al Gruppo Guest locale. Da default, l'account Guest è membro di questo gruppo

    Infine i gruppi dei sistemi predefiniti residenti su tutti i computer che eseguono Windows NT. Gli utenti ne diventano membri di default durante il funzionamento della rete. Lo status di membro non può essere modificato

    • Tutti Comprende tutti gli utenti locali e remoti che hanno accesso al computer. Contiene anche tutti gli altri account che questi creano come Amministratore del dominio.
    • Creatore Proprietario Comprende l'utente che ha creato o preso possesso di una risorsa. Questo gruppo può essere usato per gestire gli accessi ai file e alle cartelle unicamente sui volumi NTFS
    • Rete Comprende tutti gli utenti connessi ad una risorsa condivisa del vostro pc a partire da un altro computer di rete
    • Interattivo Include automaticamente qualsiasi utente che si connette localmente al computer. I membri interattivi hanno accesso alle risorse del computer al quale sono connessi.
    Per poter consultare questo documento offline, ne potete scaricare gratuitamente una versione in formato PDF:
    La-gestione-degli-utenti-su-windows-nt.pdf

    Vedi anche


User management in Windows NT
User management in Windows NT
Administración de usuarios en Windows NT
Administración de usuarios en Windows NT
Die Benutzerverwaltung unter Windows NT
Die Benutzerverwaltung unter Windows NT
La gestion des utilisateurs sous Windows NT
La gestion des utilisateurs sous Windows NT
A gestão dos utilizadores sob Windows NT
A gestão dos utilizadores sob Windows NT
Il documento intitolato « La gestione degli utenti su Windows NT » da Kioskea (it.kioskea.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.