Imparare a usare Windows ACL per gestire le autorizzazioni di accesso ai dati sul NAS ASUSTOR.

Al termine di questo corso si dovrebbe essere in grado di:

1. Comprendere i principi di base dell'uso di Windows ACL con il NAS ASUSTOR.
2. Utilizzare Windows ACL per gestire le autorizzazioni di accesso ai dati sul NAS ASUSTOR.

1. Introduzione a Windows ACL
1.1 Che cos'è l'ACL di Windows?

Le ACL di Windows sono 13 tipi diversi di autorizzazioni per i file progettati da Microsoft per i file system NTFS che possono essere applicati a utenti e gruppi specifici. All'interno di questo tipo di infrastruttura, gli amministratori possono configurare in modo più dettagliato e preciso i permessi di accesso.

Inoltre, nell'infrastruttura di dominio Windows AD (ampiamente utilizzata dalle aziende), le autorizzazioni Windows ACL possono essere applicate a tutti gli utenti e gruppi del dominio. Gli utenti possono utilizzare qualsiasi computer della rete per accedere e, finché utilizzano lo stesso nome di account, tutte le autorizzazioni rimangono invariate. Il personale IT non dovrà configurare le autorizzazioni per ogni singolo server e workstation PC, aumentando in modo significativo l'efficienza della gestione.

Per integrare più strettamente ASUSTOR NAS con i domini AD, semplificando la gestione IT e aumentando la produttività, ASUSTOR ha integrato profondamente il sistema di autorizzazioni ACL di Windows con ADM, fornendo le seguenti caratteristiche uniche:

1. Possibilità di abilitare Windows ACL per singole cartelle condivise.

2. Supporto completo per tutti i 13 tipi di autorizzazioni ACL di Windows.

3. Possibilità di visualizzare in dettaglio le autorizzazioni effettive di Windows ACL dall'interno di ADM.

4. Supporto per utenti e gruppi di rete

5. Possibilità di applicare le autorizzazioni ACL ai protocolli di trasferimento file Samba, File Explorer, AFP, FTP, WebDAV e Rsync.

1.2 È necessario abilitare l'ACL di Windows?

Come descritto nella sezione precedente, Windows ACL fornisce fino a 13 diverse impostazioni di autorizzazione che possono essere applicate a tutti gli utenti e gruppi sul NAS e sul dominio (se il NAS è stato aggiunto a un dominio Windows AD). In caso di pianificazione o configurazione impropria dei permessi, è possibile che tutti gli utenti non siano in grado di accedere a una determinata cartella o file. Ovviamente, questo tipo di errore può essere risolto utilizzando un account di amministratore, ma la quantità di tempo sprecato dal momento in cui il problema si verifica per la prima volta a quello in cui viene risolto può essere considerata un costo intangibile significativo per le aziende.

ASUSTOR NAS è stato sviluppato sulla base del sistema operativo Linux, quindi le impostazioni native di ADM utilizzano il meccanismo di gestione dei permessi di Linux:

Permessi applicabili: RW (Lettura e scrittura), RO (Sola lettura), DA (Rifiuto di accesso).

I permessi possono essere applicati a: "Proprietario", il gruppo di cui fa parte il proprietario e "Altro".

Il numero ridotto di opzioni consente una configurazione più semplice.  Tuttavia, la flessibilità e la modificabilità dei permessi è molto limitata. Ad esempio, quando si utilizza il meccanismo dei permessi di Linux, non è possibile dare a un utente la possibilità di modificare un file senza dargli il permesso di cancellarlo.

Se il NAS viene utilizzato solo tra sé e un numero limitato di familiari e amici, si consiglia di utilizzare il meccanismo di gestione delle autorizzazioni originale di ADM. Tuttavia, se il NAS viene utilizzato per l'archiviazione di dati aziendali, si consiglia di consultare prima il personale IT per decidere se è opportuno abilitare le autorizzazioni Windows ACL e quindi completare un piano di distribuzione delle autorizzazioni se si decide di utilizzarlo.

Abbiamo previsto la possibilità di abilitare o disabilitare Windows ACL per singole cartelle condivise, il che è molto utile per la valutazione e la pianificazione. È possibile creare una cartella condivisa per il test, abilitare Windows ACL e configurare le impostazioni delle autorizzazioni. Successivamente è possibile verificare se i risultati sono quelli attesi. Una volta ottenuti i risultati desiderati, è possibile applicare le impostazioni alla cartella condivisa di propria scelta. In questo modo è possibile evitare errori di pianificazione che potrebbero impedire l'accesso a dati importanti, compromettendo il funzionamento dell'azienda.

2. Configurazione di Windows ACL
2.1 Abilitazione dell'ACL di Windows
Creare una nuova cartella condivisa

Accedere ad ADM utilizzando l'account "admin" o un account utente appartenente al gruppo "amministratori". Selezionare [Controllo accesso] → [Cartelle condivise] → [Aggiungi].

Inserire un nome per la nuova cartella condivisa e fare clic su [Avanti].

Dopo aver impostato i diritti di accesso per la cartella condivisa, selezionare la casella di controllo [Abilita Windows ACL] e fare clic su [Avanti].

Nota: i diritti di accesso alle cartelle condivise sono il primo livello di controllo delle autorizzazioni. Se a un utente o a un gruppo non sono state assegnate le autorizzazioni di "Lettura e scrittura", tutte le autorizzazioni di Windows ACL ad esso assegnate saranno bloccate. Pertanto, si consiglia di configurare diritti di accesso più blandi per le cartelle condivise con Windows ACL abilitato e di utilizzare Windows ACL per configurare successivamente autorizzazioni più specifiche.

Cliccare su [Fine] per completare la creazione della cartella condivisa.

Abilitazione dell'ACL di Windows per le cartelle condivise già esistenti

Accedere ad ADM utilizzando l'account "admin" o un account utente appartenente al gruppo "administrators".

Selezionare [Controllo accesso] > [Cartelle condivise] → [La cartella condivisa per la quale si desidera abilitare Windows ACL] → [Modifica].

Selezionare la scheda [Windows ACL], selezionare la casella di controllo [Abilita Windows ACL] e quindi fare clic su [Chiudi].

2.2 Configurazione delle autorizzazioni ACL di Windows con ADM File Explorer

Da ADM, aprire Esplora file e selezionare una cartella condivisa (o una sottocartella o un file) per la quale è stato attivato Windows ACL. Fare clic con il pulsante destro del mouse sulla cartella condivisa e selezionare [Proprietà].

Dalla finestra delle proprietà, selezionare la scheda [Permessi]. Qui è possibile vedere le autorizzazioni attualmente configurate per la cartella. È inoltre possibile gestire le autorizzazioni per la cartella.

Dopo aver abilitato le ACL di windows per una cartella condivisa, il sistema assegnerà per impostazione predefinita le autorizzazioni di "lettura e scrittura, ma non di eliminazione" a "Tutti", "amministratori" e all'account "admin". Queste autorizzazioni saranno applicate solo alla cartella condivisa e non saranno ereditate dagli oggetti sottostanti. Queste autorizzazioni predefinite possono essere modificate utilizzando i pulsanti [Modifica] o [Rimuovi].

Nota: un singolo file o cartella può utilizzare fino a un massimo di 250 autorizzazioni ACL di Windows (comprese le autorizzazioni ereditate).

Includi autorizzazioni ereditabili dal genitore di questo oggetto: questa opzione è attivata per impostazione predefinita. Il sistema configura automaticamente le sottocartelle e i file in modo che ereditino le autorizzazioni dall'oggetto che li precede. Disabilitando questa opzione, si rifiutano tutti i permessi ereditabili e si mantengono solo i permessi aggiunti di recente.

Sostituisci tutte le autorizzazioni degli oggetti figli con le autorizzazioni ereditabili da questo oggetto: Abilitando questa opzione, tutte le autorizzazioni delle sottocartelle e dei file verranno sostituite con quelle dell'oggetto padre.

Le funzioni di gestione che si possono utilizzare sono le seguenti:

Aggiungi

Fare clic sul pulsante [Aggiungi] per creare una nuova autorizzazione per l'oggetto.

Utente o gruppo: specificare l'utente o il gruppo a cui si desidera applicare l'autorizzazione.

Tipo: Selezionare [Consenti] o [Rifiuta] per concedere o negare l'autorizzazione all'utente o al gruppo.

Applica a: Questa opzione appare solo quando si aggiungono permessi a una cartella. Dal menu a discesa, è possibile selezionare dove verrà applicata l'autorizzazione. Il modo in cui l'autorizzazione verrà applicata è determinato dalla selezione o meno della casella di controllo [Applica queste autorizzazioni solo agli oggetti e/o ai contenitori all'interno del contenitore].

Quando la casella di controllo [Applica queste autorizzazioni solo agli oggetti e/o ai contenitori all'interno del contenitore] è deselezionata:

When the [Apply these permissions to objects and/or containers within the container only] checkbox is checked:

Modifica

Selezionando un'autorizzazione e facendo clic sul pulsante [Modifica] è possibile modificarla. 

Rimuovi

Selezionando un'autorizzazione e facendo clic su [Rimuovi] si rimuove l'autorizzazione dall'oggetto corrente.

Permessi effettivi

Facendo clic sul pulsante [Permessi effettivi] e selezionando un utente dall'elenco, è possibile visualizzare i permessi effettivi dell'utente in relazione alla cartella o al file specificato. Le autorizzazioni effettive sono determinate dalla combinazione delle autorizzazioni ACL di Windows e dei diritti di accesso alle cartelle condivise.

2.3 Configurazione delle autorizzazioni ACL di Windows con Windows Explorer

1. Innanzitutto, utilizzare un account amministratore di Windows per mappare una cartella condivisa abilitata per Windows ACL come unità di rete. Per ulteriori informazioni, consultare NAS 106: Utilizzo del NAS con Microsoft Windows.

2.Fare clic con il pulsante destro del mouse su qualsiasi file o sottocartella all'interno della cartella condivisa e selezionare [Proprietà]. Selezionare quindi la scheda [Sicurezza]. Qui è possibile visualizzare un elenco di utenti e gruppi e le relative autorizzazioni ACL per il file o la sottocartella.



Se un oggetto ha contemporaneamente permessi ereditati dal suo genitore e permessi espliciti, i permessi ereditati saranno controllati in grigio, mentre i permessi espliciti saranno controllati in nero.

3. Cliccare su [Modifica] → [Aggiungi]. Nel campo [Da questa posizione:] dovrebbero essere visualizzate le seguenti informazioni:

Se il NAS è stato aggiunto a un dominio Windows AD, si vedrà il nome del dominio AD.

Se il NAS non è stato aggiunto a un dominio Windows AD, si vedrà l'indirizzo IP del NAS.

4. Nel campo [Inserire i nomi degli oggetti da selezionare], inserire le seguenti informazioni:

Se il NAS è stato aggiunto a un dominio Windows AD, inserire il nome dell'utente o del gruppo del dominio e poi fare clic su [Controlla nomi] per verificare il nome dell'utente/gruppo. Quindi, fare clic su [OK].

Se il NAS non è stato aggiunto ad un dominio Windows AD, inserire il nome dell'utente o del gruppo locale ADM e poi fare clic su [Controlla nome] per verificare il nome dell'utente/gruppo. Quindi, fare clic su [OK].

5. A questo punto, si dovrebbe essere in grado di vedere l'utente o il gruppo appena aggiunto nell'elenco [Nomi di gruppi o utenti:]. Selezionare l'utente o il gruppo e utilizzare le caselle di controllo [Consenti] e [Rifiuta] per configurare le autorizzazioni di accesso all'oggetto. Al termine, fare clic su [Applica].

2.4 Regole e precauzioni per le autorizzazioni ACL di Windows
2.4.1 ACL Permessi ACL in conflitto

Se le autorizzazioni ACL di Windows sono in conflitto, le autorizzazioni esplicite dell'oggetto avranno la priorità. Ad esempio, se l'utente Helen eredita le autorizzazioni "Consenti lettura ed esecuzione" per un file, ma le autorizzazioni esplicite date al file sono "Rifiuta lettura ed esecuzione", Helen non potrà accedere al file.

Al contrario, se Helen eredita i permessi di "Rifiuta lettura" ma i permessi espliciti assegnati al file sono "Consenti lettura", Helen potrà accedere al file.

2.4.2 Regole per lo spostamento di file e cartelle

Eccezioni: Quando i dati vengono eliminati da una cartella condivisa abilitata all'ACL e spostati nel Cestino di rete, non si applicano le regole di cui al punto "B3" del grafico precedente. Questo per evitare che i file con autorizzazioni "Rifiuta accesso" vengano eliminati e spostati nel Cestino di rete e diventino quindi completamente accessibili a tutti gli utenti. Tenendo conto della privacy e della sicurezza, ai file delle cartelle abilitate ACL spostati nel Cestino di rete verrà assegnata l'autorizzazione "Lettura e scrittura per i proprietari, Accesso negato per tutti gli altri utenti".

2.4.3 Permessi di cancellazione dei file

Esistono due autorizzazioni associate all'eliminazione dei file:

1. L'utente dispone di un'autorizzazione esplicita per l'eliminazione del file.

2. L'utente dispone dell'autorizzazione "Elimina sottocartelle e file" per la cartella madre del file.

Se una delle autorizzazioni di cui sopra è configurata come "Rifiuta", l'utente non potrà eliminare il file.

Solo se nessuna delle autorizzazioni di cui sopra è stata configurata come "Rifiuta" e almeno una di esse è stata configurata come "Consenti", l'utente potrà eliminare il file.

2.4.4 Diritto di accesso agli oggetti

Dopo che Windows ACL è stato abilitato per una cartella condivisa, ogni oggetto (sottocartelle e file) contenuto nella cartella avrà un diritto di accesso. È possibile visualizzare i diritti di accesso per un oggetto selezionandolo da ADM File Explorer, facendo clic con il tasto destro del mouse e selezionando [Proprietà]. Nella sezione [Diritti di accesso alla cartella condivisa] della scheda [Generale] sarà presente un link di modifica.

Le persone che hanno il diritto di accesso potranno configurare i permessi ACL. Ad esempio, l'utente oscar nel grafico precedente è il proprietario della cartella Demo ACL. Pertanto, oscar potrà configurare i permessi ACL per la cartella e le sottocartelle e i file in essa contenuti.

Per ogni nuovo oggetto aggiunto, il creatore dell'oggetto sarà impostato come diritto di accesso predefinito. Inoltre, gli utenti del gruppo amministratore potranno modificare i diritti di accesso. Ad esempio, se si volesse trasferire la proprietà della cartella ACL Demo nel grafico precedente ad altri utenti (ad esempio, Helen), oscar e tutti gli utenti del gruppo di amministratori avrebbero la possibilità di trasferire la proprietà. Una volta diventata proprietaria della cartella ACL Demo, Helen sarà in grado di riconfigurare le autorizzazioni per le sottocartelle e i file, anche se in origine non disponeva delle autorizzazioni di accesso.

2.5 Spostare gli oggetti sul NAS mantenendo le autorizzazioni ACL
Quando tutti i PC Windows e i dispositivi NAS in un ambiente di rete sono stati aggiunti allo stesso dominio Windows AD, tutti gli account utente e le autorizzazioni del dominio possono essere combinati insieme. Tuttavia, quando si spostano file o cartelle da un server PC a un NAS, le autorizzazioni ACL esistenti non vengono mantenute (utilizzando le regole della sezione 2.4.2). Ciò comporta la necessità per il personale IT di riconfigurare le autorizzazioni.
Se si desidera mantenere i permessi ACL esistenti quando si spostano file o cartelle sul NAS, è possibile utilizzare Fastcopy, un software di terze parti. (http://ipmsg.org/tools/fastcopy.html.en). Nell'esempio che segue, dimostreremo come utilizzare questa Fastcopy.
1. Innanzitutto, utilizzare un account amministratore di Windows per mappare una cartella condivisa abilitata per Windows ACL come unità di rete. Per ulteriori informazioni, consultare NAS 106: Utilizzo del NAS con Microsoft Windows. Nel nostro esempio abbiamo mappato una cartella condivisa come unità di rete "Z:".

2. Aprire Fastcopy.

3. [Sorgente]: Specificare qui la cartella di origine.

[DestDir]: Specificare qui la cartella di destinazione (l'unità di rete "Z:" mappata al punto 1).

Selezionare la casella di controllo [ACL] per garantire che Fastcopy mantenga i permessi ACL originali dei file durante lo spostamento.

Cliccare su [Esegui] per iniziare lo spostamento della cartella.

4. Dopo che la cartella è stata spostata con successo, tutti i dati spostati nella destinazione avranno mantenuto le autorizzazioni ACL dell'origine (comprese tutte le autorizzazioni esplicite ed ereditate). Questi dati non erediteranno alcuna autorizzazione dall'oggetto padre dell'origine.