Gestione privilegi

[Lupo76]

Ciao a tutti,
al momento stò solo facendo alcune prove senza un chiaro obiettivo, solo per capire come funziona il tutto.
C'è una cosa che mi sta facendo uscire fuori di testa
Ho un NAS con 2 hardisk, uno da 6Tb ed un'altro recuperato da 1Tb, configurato nel seguente modo:




Tutti i volumi si trovano nel primo hardisk da 6Tb ed al suo interno ci sono varie cartelle condivise e mappate su tutti i pc Windows.

Sto cercando di configurare i privilegi di utenti e gruppi, in modo che l'admin possa entrare su tutte le cartelle condivise mentre gli altri utenti su tutto tranne che nella cartella BACKUP.

Ci sono riuscito solo in parte, nel senso che attualmente, nemmeno l'admin riesce entrare in BACKUP
Potete aiutarmi a capire perchè?

Ecco di seguito le immagini delle configurazioni...
Utente admin:


Gruppo Utenti:


Autorizzazione Gruppo administrator:


Autorizzazioni della cartella BACKUP:



Se vi serve qualcos'altro per aiutarmi non esitate a chiedere!
Grazie in anticipo!

[PiaNi]

Vedi la schermata gruppo utenti dove c'è l'elenco?
Ad administratori in fono a destra ci sono 3 icone, vedi ancora hai creato un gruppo utenti in cui non appartiene administrator.

[FFFAB]

E poi perchè creare così tanti volumi??? Che te ne fai?? Bastava creare cartelle condivie coi giusti privilegi.
Così hai, a mio parere, incasinato la situazione senza motivo (o almeno io non lo vedo).
Visto che non sei ancora a regime, se posso permettermi un suggerimento, riparti da zero: fai un pool con un solo volume thick e spazio 30% per le istantanee (lasciando magari un po' di margine inutilizzato per il futuro). Lavori di cartelle e privilegi, niente altro.

[Lupo76]

E poi perchè creare così tanti volumi??? Che te ne fai?? Bastava creare cartelle condivie coi giusti privilegi.
Così hai, a mio parere, incasinato la situazione senza motivo (o almeno io non lo vedo).
Visto che non sei ancora a regime, se posso permettermi un suggerimento, riparti da zero: fai un pool con un solo volume thick e spazio 30% per le istantanee (lasciando magari un po' di margine inutilizzato per il futuro). Lavori di cartelle e privilegi, niente altro.

Io penso che tu abbia perfettamente ragione, infatti la mia idea è quella di semplificare nel seguente modo:

• SO_NAS: questa la lascio solo perchè il NAS mi crea ogni volta le cartella "Multimedia, Download, Public" che a me non servono, ma lui continua a ricrearle

• PRINCIPALE: con dentro le cartelle da condividere il mio collaboratore

• BACKUP: volume presente nel secondo hardisk

Grazie per il tuo consiglio!

[Lupo76]

Vedi la schermata gruppo utenti dove c'è l'elenco?
Ad administratori in fono a destra ci sono 3 icone, vedi ancora hai creato un gruppo utenti in cui non appartiene administrator.

Scusami ma non capisco...

Vedi la schermata gruppo utenti dove c'è l'elenco?

Si questa:

Ad administratori in fono a destra ci sono 3 icone

Ok, le tre icone che c'è a sinistra di ogni gruppo utente

vedi ancora hai creato un gruppo utenti in cui non appartiene administrator.

Non so come tu abbia fatto a capirlo, effettivamente uno dei gruppi era senza utente admin!
Ora ho controllato e tutti i gruppi hanno l'utente admin, ma continuo a non riuscire ad entrare nella cartella condivisa BACKUP da Windows

[PiaNi]

Ricontrolla se dopo aver aggoiunto l'admin, l'admin sia R/W e non solo R.

[Lupo76]

Questa è la configurazione dell'utente "admin", non capisco perchè avendo indicato RW dice "Nega Accesso":



Nei gruppi utente, l'admin è presente su tutti.
Queste sono le autorizzazioni della cartella condivisa :-(





Mi sembra di avere messo RW dappertutto ... ma non funziona :-(

[FFFAB]

Chi c'è dentro al gruppo administrators???
Se c'è solo admin, perchè specificare ulteriormente i privilegi nella cartella backup??
Se invece ce ne sono altri, perchè lasciare admin nei privilegi??
In un situazione semplicissima come la tua (o cmq che reputo semplice per le informazioni che abbiamo finora), ti stai incasinando la vita per niente: di amministratori ne usi solo uno (che in realtà poi non userai quasi mai), poi N utenti limitati.
Collaboratori lo puoi pure eliminare e ragionare utente per utente (quanti ne avrai??? 2, 3, 5??): hai necessità di implementare un dominio??
Poi manca, a mio avviso, l'utente limitato che accede a Backup.
A livello logico, perchè separare i volumi so_nas e principale?? Le "odiate" cartelle di sistema, non le vedi cmq???

[Lupo76]

Ecco qui.... ho semplificato tutto... ho rimosso tutti i gruppi utente ma continua a non funzionare

La situazione è questa:

• Primo HD da 6 Tb con un unico volume suddiviso in cartelle condivise

• Secondo HD da 1Tb con un unico volume ed un'unica cartella "DISCO_1TB"condivisa

• utente "admin" con accesso a tutte le cartelle (in teoria)

• altri 2 utenti con accesso a tutte le cartelle tranne "DISCO_1TB"

• solo 2 gruppi di utenti:
  - "administrator" con dentro la spunta solo sull'utente admin e autorizzazione ad accedere a tutte le cartelle
  - "everyone" con accesso bloccato a tutte le cartelle

Ecco cosa succede sul pc con Windows:
1. Vado su rete/NAS e vedo tutte le cartelle condivise, con username/password di uno degli utenti accedo senza problemi al tutte le cartelle tranne DISCO_1TB; quindi tutto ok come previsto.
2. Faccio doppio-click sulla cartella DISCO_1TB e mi chiede di inserire i dati di accesso, inserisco quelli dell'utente admin, ovvero gli stessi che utilizzo per entrare da broswer nel NAS, ma compare la seguente finestra di errore:



Non so più cosa fare ho veramente difficoltà a capire cosa c'è che non funziona!
Forse il problema sta nel fatto che sono già entrato nelle altre cartelle con le credenziali di un altro utente diverso dall'admin??

[FFFAB]

Allora, le prove per verificare i privilegi le devi fare con l'interfaccia del NAS: entri con l'utente X e verifichi in File Station i privilegi (r, r/w o deny), così sai il "problema" è nel NAS (quindi utenti definiti male) o nel sistema di accesso che usi in lan/wan.
Prima prova questo, poi ci aggiorniamo.

[Paolo76]

Mi permetto, spero di non dire cavolate, ma credo che il problema sia legato al fatto che dallo stesso pc vuoi entrare con 2 utenti diversi senza chiudere la prima connessione...

[PiaNi]

Il non accesso da windows protebbe avere ALTRI problemi, verifica quello che ti ha suggerito FFFAB.

[Lupo76]

Mi permetto, spero di non dire cavolate, ma credo che il problema sia legato al fatto che dallo stesso pc vuoi entrare con 2 utenti diversi senza chiudere la prima connessione...

Confermo! penso che il problema sia proprio questo.
Infatti dopo aver eseguito la seguente procedura sono riuscito ad entrare come admin su tutte le cartelle compresa la Disco_1TB:

1. Su Gestione Credenziali di Windows ho rimosso le credenziali del mio utente, tuttavia facendo questo continuavo ad entrare regolarmente nelle cartelle condivise
2. Ho quindi riavviato il pc, ed a questo punto ho provato ad entrare su Disco_1TB con le credenziali di accesso di admin e sono entrato senza problemi

A questo punto mi sorgono due domande:
1. Come faccio a fare il logout dalle cartelle per passare da un utente all'altro senza riavviare il pc?
2. C'è qualche modo per loggarsi ad alcuni cartelle condivise con un utente ed ad altre con un altro?

[Paolo76]

Mi permetto, spero di non dire cavolate, ma credo che il problema sia legato al fatto che dallo stesso pc vuoi entrare con 2 utenti diversi senza chiudere la prima connessione...

Confermo! penso che il problema sia proprio questo.
Infatti dopo aver eseguito la seguente procedura sono riuscito ad entrare come admin su tutte le cartelle compresa la Disco_1TB:

1. Su Gestione Credenziali di Windows ho rimosso le credenziali del mio utente, tuttavia facendo questo continuavo ad entrare regolarmente nelle cartelle condivise
2. Ho quindi riavviato il pc, ed a questo punto ho provato ad entrare su Disco_1TB con le credenziali di accesso di admin e sono entrato senza problemi

A questo punto mi sorgono due domande:
1. Come faccio a fare il logout dalle cartelle per passare da un utente all'altro senza riavviare il pc?
2. C'è qualche modo per loggarsi ad alcuni cartelle condivise con un utente ed ad altre con un altro?

Ci riprovo con i consigli...
Secondo me dovresti associare l'utente del nas con l'utente di accesso del PC (quindi non admin admin) così facendo quando disconnetti l'utente pc dovresti poter accedere nuovamente al nas con le nuove credenziali...
Almeno questo è quello che mi ha detto il rivenditore...

[Paolo76]

Ti allego una piccola guida su come disconnettere le unità, spero ti sia di aiuto

[FFFAB]

Puoi anche creare un file batch con:

net use \\host\condivisione /delete

dove "host" è il nas e "condivisione" la cartella condivisa a cui si è fatto accesso.
In questo modo Windows "dimentica" per quella sessione l'accesso alla condivisione e, all'accesso successivo, verrà chiesto nuovamente il login alla risorsa.

Se la sessione è molto lunga e poco controllata, puoi mettere il batch nelle pianificate per fare un logout automatico dopo tot tempo (o tot tempo di inattività), in modo che eventuali ransomware non trovino "facilmente" la strada spianata....
Il comando impiega alcune decine di secondi per essere operativo.

Oppure corretto il suggerimento di Paolo76: il disconnetti utente (cioè la chiusura di sessione) elimina tutte le dipendenze aperte.

[nicolam]

Buonasera, premettendo che ho impostato questi utenti:
- pippo: che ha privilegi limitati in quanto può accedere solo a 2 cartelle di lavoro e per il quale utilizzo qsync per sincronizzare i dati tra il PC di lavoro (remoto) e il NAS (locale)
- pluto: che ha privilegi limitati in quanto può accedere ad altre cartelle di famiglia e non accede a quelle di lavoro
- admin: non può accedere a nessuna cartella di lavoro e di famiglia

Quando sono a casa (dove ho il NAS), con il notebook in "esplora risorse" non posso leggere tutte le cartelle su NAS, ma devo accedere o come utente "pippo" o "pluto", in quanto il sistema mi dice che non posso accedere simultaneamente con due utenti diversi (ma di disconnettermi dall'utente in uso per accedere con l'altro).

E' proprio così o c'è qualche trucco? Il punto è che se accedo alle cartelle che può leggere "pippo", per accedere alle cartelle riservate a "pluto" dovrei disconnettermi prima da "pippo"...ma come fare? L'unica soluzione che ho trovato (grottesca) è riavviare il notebook. Peccato perché utilizzare "esplora risorse" di Windows è molto utile.

Alternativa è eliminare "pluto" (non me ne vogliano gli animalisti e i fan di Walt Disney) e dare a "pippo" i privilegi di accesso anche alle cartelle di famiglia.

Cosa conviene fare?

Grazie, buona serata!

[Lupo76]

Puoi anche creare un file batch con:
net use \\host\condivisione /delete
dove "host" è il nas e "condivisione" la cartella condivisa a cui si è fatto accesso.

Anche cercando in rete questa sembra la soluzione, ma mi compare il seguente errore:

Oppure corretto il suggerimento di Paolo76: il disconnetti utente (cioè la chiusura di sessione) elimina tutte le dipendenze aperte.

Quella di Paolo76 è esattamente la procedura che io ho fatto e descritto nel mio ultimo post, ma costringe il riavvio del pc.

Sto facendo decine di prove ma sono allo stremo delle mie forze e stò per rinunciare
Doveva essere una cosa facile, e invece....

Seguendo l'altro consiglio di Paolo76 "Secondo me dovresti associare l'utente del nas con l'utente di accesso del PC" ho scollegato tutte le connessioni, impostato un utente sul NAC con username+password identici a quelli utilizzati per accedere a Windows, cancellato le credenziali di Windows, riavviato il pc.
A questo punto sono riuscito ad entrare nelle cartelle direttamente senza inserire credenziali, mentre nella cartella DISCO_1TB ho dovuto inserire admin+password ed è entrato.
Ottimo direi! ero contentissimo! sembrava tutto ok!

Successivamente ho mappato alcune cartelle in modo da avere dei dischi W: e S:, speravo fosse tutto ok ed invece ecco che dopo il riavvio del pc non c'è più modo di rientrare in DISCO_1TB
Sembra che quando durante il mappaggio delle cartelle di rete Windows conservi delle credenziali che quindi non permettono ad admin di accedere.... Bho non ci capisco più nulla.

[PiaNi]

E' proprio così o c'è qualche trucco? Il punto è che se accedo alle cartelle che può leggere "pippo", per accedere alle cartelle riservate a "pluto" dovrei disconnettermi prima da "pippo"...ma come fare? L'unica soluzione che ho trovato (grottesca) è riavviare il notebook. Peccato perché utilizzare "esplora risorse" di Windows è molto utile.

Alternativa è eliminare "pluto" (non me ne vogliano gli animalisti e i fan di Walt Disney) e dare a "pippo" i privilegi di accesso anche alle cartelle di famiglia.

E' normalissimo!!

Seguendo l'altro consiglio di Paolo76 "Secondo me dovresti associare l'utente del nas con l'utente di accesso del PC" ho scollegato tutte le connessioni, impostato un utente sul NAC con username+password identici a quelli utilizzati per accedere a Windows, cancellato le credenziali di Windows, riavviato il pc.
A questo punto sono riuscito ad entrare nelle cartelle direttamente senza inserire credenziali, mentre nella cartella DISCO_1TB ho dovuto inserire admin+password ed è entrato.
Ottimo direi! ero contentissimo! sembrava tutto ok!

Successivamente ho mappato alcune cartelle in modo da avere dei dischi W: e S:, speravo fosse tutto ok ed invece ecco che dopo il riavvio del pc non c'è più modo di rientrare in DISCO_1TB
Sembra che quando durante il mappaggio delle cartelle di rete Windows conservi delle credenziali che quindi non permettono ad admin di accedere.... Bho non ci capisco più nulla.

E' normalissimo!!

Il metodo più veloce è NON memorizzare le credenziali in windows, così da poterne usare quelle dell'utente a piacimento, e nel bisogno usare quelle dell'admin!!

Comunque siamo passati ai metodi di accesso da windows, che è una esigenza diversa da quella per cui si è aperto il topic.
Con File Station ci sono ancora problemi?

[Lupo76]

Ok, teoricamente ho capito quello che dici, ma nella pratica non riesco attuarlo.
Dopo aver scollegato i vari mappaggi delle cartelle di rete tutto torna a funzionare come dici tu.
Successivamente quando io vado a mappare una cartella di rete Windows non mi chiede le credenziali, la mappa e basta!

Quindi come posso fare a "NON memorizzare le credenziali in Windows" se io non le inserisco da nessuna parte??