CONDIVISIONE DEI FILE DI WINDOWS

Procedure consigliate per la condivisione di file di Windows

Condivisione di file

Tradizionalmente la condivisione dei file di Windows si limitava alla creazione di condivisioni su server locali, all'impostazione delle autorizzazioni e all'accesso ai file su reti locali o VPN. La condivisione file di Windows offre numerosi vantaggi, tra cui velocità di accesso, semplicità, capacità di archiviazione illimitate, integrazione con Active Directory e la possibilità di distribuire istantaneamente unità mappate su migliaia di macchine utilizzando script di accesso o criteri di gruppo. Per questo motivo, la maggior parte delle aziende continua a mantenere investimenti significativi in un'infrastruttura di condivisione file Windows che includa server, reti ad alta velocità, Storage Area Network e dispositivi di archiviazione di rete. Questi dispositivi forniscono l’affidabilità, la velocità e la ridondanza richieste dalle aziende per una forza lavoro altamente efficiente.

Condivisione file di Windows

Condividere file utilizzando la directory attiva di Windows è semplice. È importante innanzitutto pianificare la struttura delle directory. Le aziende in genere creano cartelle radice che a loro volta diventano condivisioni che possono essere mappate a vari dipartimenti (ad esempio: Finanza, Progetti, Dirigente, Risorse umane). In passato le aziende associavano lettere di unità diverse a ciascun reparto. Ciò non è più necessario poiché Microsoft ha fornito l'aggiunta della funzionalità "Enumerazione basata sull'accesso" come indicato di seguito.

È inoltre importante pianificare la crescita futura allocando spazio su disco sufficiente per i file. È consigliabile individuare i file su una lettera di unità separata dalle unità del sistema operativo per evitare che futuri problemi con lo spazio su disco o un errore del sistema operativo danneggino i file. Le organizzazioni più grandi in genere archiviano file su dispositivi Network Attacked Storage con failover e backup integrati e utilizzano lo spazio dei nomi DFS per reindirizzare gli utenti a file server back-end ridondanti.

Le condivisioni di Windows File Server possono essere create utilizzando Server Manager o facendo clic con il pulsante destro del mouse su qualsiasi cartella e scegliendo "Condivisione" nella scheda di condivisione per creare una condivisione che può essere mappata dai PC. Microsoft ha un ottimo articolo qui su come creare una condivisione file utilizzando Server Manager Qui. Per i nostri scopi creeremo una condivisione utilizzando il processo manuale in modo da poter avere il controllo completo su autorizzazioni, nome della condivisione e autorizzazioni di condivisione.

Creazione di una condivisione file Windows (facile)

Una volta creata la struttura delle cartelle, fare clic con il tasto destro del mouse sulla cartella e scegliere Proprietà, quindi scegliere Condividi per creare la condivisione e impostare le autorizzazioni:

Crea condivisione Windows

In genere, dovresti aggiungere i vari gruppi per i quali desideri avere accesso alla struttura delle cartelle. Con l'interfaccia semplificata vengono impostati automaticamente i dettagli relativi alla creazione della condivisione e alle autorizzazioni. Utilizzando l'interfaccia di condivisione avanzata, possiamo vedere l'autorizzazione effettiva applicata sia alla condivisione che a NTFS.

Creazione di una condivisione file Windows (avanzata)

Ci sono 2 componenti quando si condividono cartelle in Windows. Innanzitutto il nome e l'autorizzazione effettivi della condivisione sulla condivisione e le autorizzazioni NTFS sottostanti. Agli albori dei file system Windows (fat e fat32) non consentivano l'impostazione delle autorizzazioni, quindi Microsoft consentiva agli amministratori di impostare le autorizzazioni sulla condivisione stessa anziché sulla struttura delle cartelle sottostante. Fortunatamente, NTFS esiste da molti anni e non è più necessario o consigliabile impostare i permessi sul file condivisione file livello e vedrai che quando usi l'interfaccia di condivisione semplice le autorizzazioni a livello di condivisione sono impostate sul gruppo speciale "Tutti" e sul controllo completo.

Condividere i permessi

Quindi è chiaro che dovremmo sempre impostare l'autorizzazione sulla condivisione su "Tutti" con il pieno controllo quando utilizziamo l'opzione di condivisione avanzata per aggirare questa funzionalità legacy e utilizzare solo le autorizzazioni NTFS per applicare la sicurezza. Una nota aggiuntiva sulle condivisioni di file e sulla denominazione: per rendere nascosta la condivisione (non trasmetterla sulla rete per la navigazione), aggiungere un segno $ alla fine del nome. Ad esempio: Finance$ può essere utilizzato per nascondere la condivisione quando gli utenti navigano nella rete. Per mappare un'unità ad essa, gli utenti devono conoscere il nome, ad esempio \\server\finance$.

Successivamente, dobbiamo impostare le autorizzazioni sulle cartelle utilizzando la sicurezza NTFS. Se osserviamo le autorizzazioni di sicurezza per la cartella condivisa che abbiamo creato nel nostro esempio vedremo che ai gruppi di utenti che abbiamo scelto sono state concesse le autorizzazioni su quella cartella condivisa:

Da questa interfaccia possiamo aggiungere ulteriori utenti e gruppi o disabilitare l'ereditarietà in modo da poter applicare l'autorizzazione personalizzata solo a questa cartella. Questa interfaccia è anche il luogo in cui andiamo a prendere la proprietà di file e cartelle. Nei risultati di sicurezza della procedura guidata di condivisione semplice, possiamo vedere che entrambi i gruppi che abbiamo aggiunto hanno il "controllo completo" per tutti i file e le cartelle. Sebbene il controllo completo sia utile per gli amministratori, non è consigliabile per i gruppi di utenti regolari. Garantendo agli utenti regolari il controllo completo, abbiamo concesso loro anche il diritto di "assumere la proprietà" che causerà problemi in futuro. I file "di proprietà" di un utente possono diventare non disponibili per altri utenti, con conseguenti richieste di supporto e la necessità che l'amministratore "assuma la proprietà" in modo che questi file siano nuovamente disponibili a chiunque abbia i diritti sulla condivisione. Nel nostro esempio vorremo impostare il gruppo "Utenti del dominio" su tutti i diritti tranne "Controllo completo" utilizzando le proprietà della scheda Sicurezza sulla cartella. Questo semplice passaggio eviterà futuri problemi di risoluzione dei problemi relativi alla proprietà dei file.

Microsoft ha un'utilità integrata in Windows per risolvere i problemi di proprietà chiamata "takeown". Consigliamo ai clienti di risolvere i problemi di proprietà esistenti prima di distribuire MyWorkDrive. Questo comando assumerà la proprietà della cartella o dell'unità e di tutti i file e le sottocartelle nella cartella o nell'unità.

Aprire un prompt dei comandi con privilegi elevati (amministratore).

Per concedere la proprietà al gruppo di amministratori:

takeown /F “percorso completo della cartella o dell'unità” /A /R /DY

Un'altra opzione per pulire le autorizzazioni di proprietà consiste nell'utilizzare il comando icacls.

Per concedere la proprietà al gruppo di amministratori:

icacls “percorso completo della cartella o dell'unità” /setowner “Amministratori” /T /C

Enumerazione basata sull'accesso utilizzando la condivisione file di Windows

L'enumerazione basata sull'accesso (ABE) visualizza solo i file e le cartelle a cui un utente dispone delle autorizzazioni di accesso. Se un utente non dispone delle autorizzazioni di lettura (o equivalenti) per una cartella, Windows nasconde la cartella dalla vista dell'utente. Questa funzionalità è attiva solo durante la visualizzazione di file e cartelle in una cartella condivisa; non è attivo durante la visualizzazione di file e cartelle nel file system locale. Utilizzando questa funzione e impostando le autorizzazioni appropriate, gli amministratori di rete possono ridurre il numero di condivisioni necessarie e utilizzare ABE per visualizzare solo i file e le cartelle per cui l'utente dispone delle autorizzazioni quando accede tramite percorsi UNC.

ABE richiede cicli della CPU per calcolare i file e le cartelle da visualizzare, quindi è importante dimensionare correttamente i server per gestire il carico richiesto in base al numero di utenti che accedono alle condivisioni di file e al numero di file e cartelle da visualizzare.

Abilita ABE su ogni condivisione di file Windows utilizzando la guida di Microsoft: Abilita l'enumerazione basata sull'accesso in uno spazio dei nomi. Microsoft dispone di un articolo completo sulle procedure consigliate per la condivisione di file e cartelle utilizzando l'enumerazione basata sull'accesso Qui.

Spazi dei nomi DFS

Spazi dei nomi DFS è un ruolo in Windows Server che consente di raggruppare cartelle condivise situate su server diversi in uno o più spazi dei nomi strutturati logicamente. Ciò rende possibile offrire agli utenti una vista virtuale delle cartelle condivise, dove un unico percorso porta a file posizionati su più server. Il vantaggio di DFS è che le unità possono essere mappate su uno spazio dei nomi DFS e reindirizzate automaticamente alla condivisione di file live corrente. Ciò rende molto semplice la futura migrazione a nuovi file server poiché è possibile reindirizzare un nuovo file server in qualsiasi momento.

Backup e conservazione

La prima linea di difesa per qualsiasi organizzazione sono backup efficaci, testati e ridondanti. Oltre a pianificare i backup su intervalli orari, giornalieri, settimanali o di altro tipo, gli amministratori IT possono sfruttare il servizio "Copia shadow del volume" integrato in Windows Server. Abilitando le istantanee orarie, è possibile ripristinare istantaneamente file e cartelle alle versioni precedenti senza dover ricorrere ai sistemi di backup. Gli snapshot di copia del volume non costituiscono di per sé una strategia di backup, ma possono fornire un ulteriore livello di protezione.

Anche il backup e la conservazione sono di grande importanza per proteggere dalla perdita di dati, dalla corruzione e per conformarsi ai requisiti legali. In genere, la maggior parte delle aziende deve conservare fino a 7 anni di backup che possono essere facilmente ripristinati in futuro. Per questo motivo, le aziende sono riluttanti ad archiviare i propri file in file system gestiti da database localmente o nel cloud, inclusi i sistemi di gestione dei documenti (DMS) e i sistemi Enterprise File Sync & Share (EFSS). Con la tradizionale condivisione file di Windows basata su NTFS, i backup degli archivi possono essere archiviati su dischi rigidi di backup, rendendo il ripristino semplice come la copia dei file, anche diversi anni dopo. Con i sistemi DMS o EFSS il ripristino dei dati di archivio è decisamente più complesso. Il ripristino richiede il backup e il ripristino di interi sistemi operativi, la reinstallazione dei database SQL in uso in quel momento (che potrebbero non essere più disponibili), il ripristino dei backup dei dati SQL e la reintegrazione dei server in Active Directory. L'EFSS o i sistemi basati su cloud richiedono abbonamenti di backup di terze parti che devono essere mantenuti a tempo indeterminato per prevenire la perdita e la rimozione dei dati dei file di backup da parte del fornitore del cloud.

Accesso remoto sicuro alla condivisione di file

Le aziende di tutti i tipi si rivolgono a MyWorkDrive per ricevere supporto Lavoro remoto pur mantenendo la velocità e la semplicità della tradizionale condivisione di file Windows utilizzando il nostro componente aggiuntivo cloud ibrido. Con MyWorkDrive i reparti IT configurano semplicemente il software server Windows MyWorkDrive, puntano alle condivisioni di file Windows esistenti e in pochi minuti Condivisione sicura dei file la funzionalità di accesso remoto è resa disponibile agli utenti senza VPN, tra cui:

Accesso tramite browser Web File Manager alle condivisioni di file

Modifica dei documenti di Office Online (con file archiviati sui file server locali)

Guida mappata da qualsiasi luogo senza VPN

Accesso e modifica dei file delle app mobili utilizzando le app mobili di Microsoft Office

Condivisione di file pubblici e privati

Sicurezza a due fattori (2FA)

Accesso singolo

La tradizionale condivisione file di Windows a velocità gigabit continua a essere disponibile parallelamente a MyWorkDrive. Gli utenti sfruttano semplicemente la condivisione dei file utilizzando metodi tradizionali sulla rete locale e utilizzano MyWorkDrive quando è necessaria la funzionalità cloud o l'accesso remoto. Per i dipartimenti IT, non è necessario mantenere o concedere in licenza alcun database SQL, semplificando il backup e il ripristino dei file: le condivisioni di file basate su NTFS rimangono in vigore.

La condivisione e la collaborazione sui file con utenti esterni all'azienda sono essenziali per una forza lavoro produttiva. Con MyWorkDrive i file interni possono essere resi pubblici senza sforzo grazie alla nostra integrazione con OneDrive. Sfruttando la nostra integrazione con OneDrive, le aziende possono proteggere i dati sensibili trasferendo i file pubblici secondo necessità su OneDrive senza aprire i sistemi interni a soggetti esterni o abilitare collegamenti di condivisione di file non sicuri che possono esporre i server aziendali a violazioni dei dati.

Con MyWorkDrive le aziende di tutti i tipi sono in grado di aggiungere funzionalità cloud alle condivisioni di file Windows proteggendo e controllando al tempo stesso i propri dati per garantire al futuro gli investimenti nell'infrastruttura dei file server.