Windows fornisce due set di autorizzazioni per limitare l'accesso a file e cartelle: autorizzazioni NTFS e autorizzazioni di condivisione.
- Le autorizzazioni NTFS si applicano a tutti i file e le cartelle memorizzati su un volume formattato con il file system NTFS. Per impostazione predefinita, i file e le sottocartelle che stanno al di sotto di una cartella principale ne ereditano le autorizzazioni, anche se questa eredità può essere disabilitata. Le autorizzazioni NTFS diventano effettive indipendentemente dal fatto che sia possibile accedere a un file o a una cartella in locale o in remoto. Le autorizzazioni NTFS, a livello base, offrono livelli di accesso di Lettura, Lettura ed esecuzione, Scrittura, Modifica, Visualizzazione contenuto cartella e Controllo completo, come mostrato di seguito:
È inoltre disponibile una serie avanzata di autorizzazioni NTFS, che divide i livelli di accesso di base in impostazioni più granulari. Queste autorizzazioni avanzate variano a seconda del tipo di oggetto al quale sono applicate. Di seguito sono illustrate le autorizzazioni avanzate su una cartella:
- Le autorizzazioni di condivisione sono applicate solo alle cartelle condivise. Hanno effetto quando si accede a una cartella condivisa su una rete da un sistema remoto. Le autorizzazioni di condivisione su una determinata cartella condivisa si applicano a quella cartella e al relativo contenuto. Le autorizzazioni di condivisione sono meno granulari delle autorizzazioni NTFS, e offrono livelli di accesso di Lettura, Modifica e Controllo completo:
La cosa più importante da ricordare sulle autorizzazioni NTFS e le autorizzazioni di condivisione è il modo in cui si combinano per regolare l'accesso.
Le regole per determinare il livello di accesso di un utente a un determinato file sono le seguenti:
- Se si accede al file in locale, vengono utilizzate solo le autorizzazioni NTFS.
- Se si accede al file tramite una condivisione, vengono utilizzate sia le autorizzazioni NTFS, sia quelle di condivisione, e viene applicata l'autorizzazione più restrittiva. Ad esempio, se le autorizzazioni di condivisione per la cartella condivisa concedono all'utente l'accesso di Lettura e le autorizzazioni NTFS consentono all'utente l'accesso di Modifica, il livello di autorizzazione effettivo dell'utente è di Lettura quando si accede alla condivisione in remoto e di Modifica quando si accede alla cartella in locale.
- Le autorizzazioni individuali dell'utente si combinano inoltre con le autorizzazioni dei gruppi di cui l'utente fa parte. Se un utente dispone dell'accesso di Lettura a un file, e l'utente fa parte di un gruppo che dispone dell'accesso di Modifica allo stesso file, il livello di autorizzazione effettivo dell'utente è di Modifica.
- Le autorizzazioni assegnate direttamente a un particolare file o cartella (autorizzazioni esplicite) hanno la precedenza sulle autorizzazioni ereditate da una cartella principale (autorizzazioni ereditate).
- Le autorizzazioni Nega esplicite hanno la precedenza sulle autorizzazioni Concedi esplicite; tuttavia, a causa della regola precedente, le autorizzazioni Concedi esplicite hanno la precedenza sulle autorizzazioni Nega ereditate.
È possibile assegnare entrambe le serie di autorizzazioni nella finestra delle proprietà di un file o di una cartella. Le autorizzazioni NTFS vengono assegnate nella scheda Sicurezza della finestra delle proprietà. Le autorizzazioni di condivisione vengono assegnate nella scheda Condivisione cliccando su Condivisione avanzata e quindi su Autorizzazioni.