Home ] Su ] Novità ] FAQ ] Hardware ] Software ] Windows ] Linguaggi ] Cerca ] Contatta ] Guestbook ] Mappa ] Info su... ]

Creare un utente di tipo "User" in Windows 2000/XP/2003


Introduzione

Sin dalle prime versioni di NT, Windows offre la possibilità di creare un ambiente operativo per più utenti, offrendo la possibilità di limitare il campo d'azione. Se le prime versioni di NT erano dedicate agli amministratori, persone esperte in grado di gestire al meglio l'ambiente operativo soprattutto dal lato della sicurezza, le ultime versioni di Windows, in particolar modo dalla versione XP, sono dedicate agli utenti finali, la maggior parte con scarsa conoscenza del mondo informatico, con tutto ciò che ne deriva dal lato della sicurezza. Se si tiene conto anche del fatto che gli utenti neofiti vogliono andare su Internet, per questo scopo arrivano a comprarsi un computer per la prima volta, il quadro diventa persino preoccupante. Che dire poi di quegli assemblatori che forniscono un computer nuovo con il sistema operativo, scordandosi però di dare delle indicazioni basilari agli utenti, con il pericolo che questi ultimi riempiano il proprio computer di virus, programmi spyware e altre amenità del genere!!!
Le domande sorgono spontanee:

  • Perché, a differenza di sistemi operativi come Unix, Windows viene fornito agli utenti finali con un solo utente per giunta di tipo "Administrator"?
  • Perché gli assemblatori non forniscono anche un utente con privilegi di tipo "User" o quantomeno spiegano agli utenti l'importanza di crearne uno?
  • Gli utenti sono a conoscenza che un utente con privilegi di tipo "User" ha molte meno possibilità di fare danni sull'ambiente operativo di quanto ne abbia un utente di tipo "Administrator"?
Le suddette domande sono ancora più inspiegabili considerando che molti assemblatori forniscono il sistema operativo installato su una partizione di tipo NTFS, quindi con ottime possibilità di protezione dello stesso ambiente operativo, di determinate cartelle e di singoli file.
In questo paragrafo spiegheremo l'importanza di creare un utente con privilegi di tipo "User" e come proteggere determinate parti del sistema operativo, qualora non fossero già state protette, considerando anche la possibilità di proteggere parti del disco e di rendere visibili solo a determinati utenti (chiaramente il disco deve essere formattato con NTFS).

 

Come creare un utente con privilegi di tipo "User"

Schermata della finestra 'Nuovo utente'.

Per creare un utente con privilegi di tipo "User" useremo Windows 2000, ma la stessa procedura può essere usata con i sistema operativi successivi al 2000, quindi con XP, 2003 e così via.
N.B. : tenete presente che tutte le procedure incluse in questa pagina richiedono che il sistema operativo sia installato su una partizione di tipo NTFS e che un utente di tipo "Administrator" possa avere il pieno controllo del sistema operativo (solo un utente di tipo "Administrator" può infatti creare un nuovo utente).
Per creare un utente di tipo "User", bisogna andare in "Strumenti di Amministrazione" -> "Gestione Computer", aprire il ramo "Utenti e gruppi locali" e selezionare "Users". In seguito si crea un nuovo utente usando il tasto destro del mouse e selezionando la voce "Nuovo utente...". Verrà visualizzata l'immagine qui a destra, si potranno pertanto inserire i dati inerenti il nuovo utente da creare, in questo caso lo chiamiamo "MAINUSER". Da notare le ultime quattro caselle di controllo, la prima non deve essere selezionata, la seconda e la terza vanno selezionate, la quarta non deve essere selezionata. Tenete presente che il nuovo utente viene così creato già di tipo "USER".
Per verificare l'inserimento del nuovo utente, la cosa più logica da fare è quella di uscire dall'utente "Administrator", ed entrare con il nuovo utente appena creato. In questa maniera verranno creati tutti i dati di profilo utente del nuovo utente, come ad esempio le voci del menù avvio e le icone del desktop.

 

Perché creare un utente con privilegi di tipo "User"

Dopo aver creato un utente di tipo "User", qui spiegheremo cosa tale utente potrà fare e soprattutto cosa non potrà fare allo scopo di salvaguardare il sistema operativo.
La prima cosa che salta all'occhio è che un utente "User" non può accedere più ad alcune cartelle, come ad esempio la cartella C:\WINNT\TEMP" (considerando C come l'unità disco NTFS dove è stato installato Windows 2000), oppure nel ramo "C:\Documents and Settings\[Nome Utente]" (solo un utente di tipo "Administrator" può accedere a tutte le cartelle degli utenti), come raffigurato nelle immagini qui a destra.

Impossibile accedere ad alcune cartelle.
La cartella "Programmi" è di sola lettura per gli utenti di tipo "User".

Come viene raffigurato nell'immagine qui a destra, il nuovo utente "MAINUSER" può accedere soltanto ai dati del proprio profilo utente (cartella "C:\Documents and Settings\MAINUSER"), tutti gli altri utenti sono inaccessibili o accessibili solo in lettura (è il caso di "All Users").

Il nuovo utente "MAINUSER" può accedere soltanto ai dati del proprio profilo utente.

Cosa però più importante, ad un utente "User" viene garantito l'accesso di sola lettura a quasi tutto il sistema operativo, ad esempio le cartelle "C:\Programmi" e relative sottocartelle sono accessibili soltanto in lettura (come si evince dalla figura qui a destra), così come buona parte della cartella "C:\WINNT" e relative sottocartelle.
Questo provoca un vantaggio per gli utenti, cioè l'impossibilità di cancellare per errore file importanti del sistema operativo e quindi l'impossibilità di compromettere il regolare funzionamento di Windows. Inoltre teniamo presente che l'utente "Administrator", come vedremo in seguito, può anche inibire l'accesso a determinate aree del disco da parte di alcuni utenti, anche per evitare che qualcuno dall'esterno possa accedere a documenti riservati.
Come si può vedere nella figura qui a destra, l'utente di tipo "Users" può leggere ed eseguire i file nella cartella "Programmi", può visualizzare la suddetta cartella e ha accesso in lettura alla suddetta cartella. La modifica e la scrittura non sono attivate, pertanto nessun utente di tipo "Users" può modificare, cancellare o inserire nuovi file nella suddetta cartella.

La cartella "Programmi" è di sola lettura per gli utenti di tipo "User".

 

Perché non creare un utente con privilegi di tipo "Power User"?

La risposta è semplice : perché l'utente di tipo "Power User" può modificare il sistema operativo a livello di file e cartelle, ma anche a livello del registro di configurazione!!!
Giusto per dare una dimostrazione di quanto un utente "Power User" possa fare sul sistema operativo, consideriamo il programma "AccessEnum" prodotto da SysInternals. Questo programma permette di visualizzare in maniera rapida ed efficiente i diritti di lettura e scrittura di tutte le tipologie di utente supportate dal sistema operativo. Nella schermata qui a destra vi è un esempio di quanto possa fare un utente "Power User" sulla cartella di sistema di Windows 2000, in questo caso l'utente "Power User" ha accesso anche in scrittura alla suddetta cartella come se fosse un utente di tipo "Administrator", mentre un utente di tipo "User", può solo leggere i file dalla suddetta cartella.

Risultato del programma "AccessEnum" sulla cartella di sistema di Windows 2000.

Nella schermata qui a destra vi è un esempio di quanto possa fare un utente "Power User" sulla cartella dove vengono installati i programmi di Windows 2000. In questo caso l'utente "Power User" ha accesso anche in scrittura ad alcune cartelle, come ad esempio quella delle estensioni server di FrontPage, ma anche alla cartella "WindowsUpdate" permettendo quindi a tale utente di aggiornare, almeno in teoria, il sistema operativo. Notare che tutti gli utenti (Everyone) hanno accesso in scrittura alla cartella del programma anti-virus Grisoft AVG Free (questo permette a qualunque utente di aggiornare il motore di scansione e le firme dei virus del suddetto programma).

Risultato del programma "AccessEnum" sulla cartella programmi di Windows 2000.

Invece nella schermata qui a destra vi è un esempio di quanto possa fare un utente "Power User" sul registro di configurazione di Windows 2000, in questo caso l'utente "Power User" ha accesso anche in scrittura ad alcune chiavi del ramo "Hkey_Local_Machine\Software" come se fosse un utente di tipo "Administrator", mentre un utente di tipo "User", può solo leggere il contenuto di tutto il suddetto ramo. E questo è solo un esempio, parecchi rami del Registro di Configurazione possono essere modificati dall'utente "Power User", esponendo quindi il sistema ai virus e a tutti i programmi potenzialmente dannosi.

Risultato del programma "AccessEnum" sul registro di configurazione.

 

Come nascondere una cartella ad un utente di tipo "User"

Soltanto gli utenti del gruppo "Administrators" hanno accesso alla nuova cartella.

Un utente di tipo "Administrator" può facilmente fare in modo che una cartella non sia accessibile a determinati utenti, ad esempio ad un utente di tipo "USER". Nella figura qui a destra, possiamo vedere le proprietà di protezione dell'accesso di una nuova cartella denominata "ADMIN_DOCS". In questo caso soltanto gli utenti del gruppo "Administrators" hanno il pieno controllo della suddetta cartella, tutti gli altri utenti non hanno proprio accesso alla suddetta nuova cartella, quindi non possono leggere nessun file contenuto in essa, né tantomeno possono modificarli o cancellarli.
N.B. : tenete presente che la suddetta procedura richiede che il sistema operativo sia installato su una partizione di tipo NTFS (la scheda "Protezione" viene visualizzata solo se la partizione è di tipo NTFS).

 

Come rendere una cartella di sola lettura ad un utente di tipo "User"

Soltanto l'utente "Administrator" ha il pieno controllo della cartella, tutti gli altri utenti hanno accesso di sola lettura.

Un utente di tipo "Administrator" può facilmente fare in modo che una cartella sia accessibile a determinati utenti ma soltanto per la lettura. Nella figura qui a destra, possiamo vedere le proprietà di protezione dell'accesso della cartella "DOCS". In questo caso soltanto l'utente "Administrator" ha il pieno controllo della suddetta cartella, tutti gli altri utenti (gruppo "Everyone") hanno solo accesso di "Lettura ed esecuzione", "Visualizza contenuto cartella" e "Lettura", quindi non possono modificare né cancellare nessun file contenuto nella suddetta cartella.
N.B. : tenete presente che la suddetta procedura richiede che il sistema operativo sia installato su una partizione di tipo NTFS (la scheda "Protezione" viene visualizzata solo se la partizione è di tipo NTFS).

 

Esempio di file non modificabile da un utente con privilegi di tipo "User"

Vi è la possibilità da parte dell'utente di proteggere anche i singoli file dall'accesso da parte di alcuni utenti o di rendere i singoli file di sola lettura.
Questa possibilità viene sfruttata nella pagina "Come evitare i "Dialer" in Windows 2000/XP/2003" di questo sito allo scopo di proteggere un file che serve per accedere ad Internet (questo per evitare le famose connessioni a numeri internazionali con relative tariffe effettuate da alcuni "dialer" senza l'autorizzazione dell'utente).

 


Copyright

Il contenuto di questa pagina è di proprietà del sottoscritto Joseph Parrello. Non è concesso a nessuno la possibilità di copiare il contenuto senza l'autorizzazione del sottoscritto.


Disclaimer

Joseph Parrello non riconosce alcun tipo di garanzia per il contenuto di questa pagina.
Tutto il contenuto di questa pagina è fornito "così come è", senza alcuna garanzia di qualsiasi tipo, sia espressa che implicita, ivi incluse, senza limitazioni, le garanzie implicite di commerciabilità o idoneità per uno scopo particolare ovvero quelle che escludano la violazione di diritti altrui. L'intero rischio derivante dall'uso o dalle prestazioni del contenuto di questa pagina rimane a carico dell'utente.


Pagine sulla sicurezza in Windows

 

Torna ad inizio pagina

Come evitare i "Dialer" in Windows 2000/XP/2003 ] [ Creare un utente di tipo "User" in Windows 2000/XP/2003 ]

Ultimo aggiornamento : 17/01/2009.   
Home ] Su ] Novità ] FAQ ] Hardware ] Software ] Windows ] Linguaggi ] Cerca ] Contatta ] Guestbook ] Mappa ] Info su... ]

Copyright © 1997-2070, Joseph Parrello. Tutti i diritti sono riservati.

Siete il visitatore n. Contatore Sito
Bpath Contatore
dal 17 gennaio 2009.