Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Agli account creati unicamente per l'accesso via LAN alle risorse condivise dovrebbe essere precluso il login locale al sistema, tramite il quale utilizzare il PC, i suoi programmi e leggere i documenti. Vediamo come procedere.
Dove sta il problema?
Chiunque abbia predisposto una rete locale (LAN) fra PC sa che, per abilitare le condivisioni, è necessario creare un account utente protetto da password sul computer che eroga i file. Le medesime credenziali devono poi essere immesse contestualmente al tentativo di utilizzare una risorsa condivisa da un altro client.
In piccoli uffici o contesti privati, questo si traduce nella creazione di un utente "fittizio" che viene poi utilizzato dalle altre postazioni. Questo approccio funziona, non fosse per un piccolo ma importante dettaglio: per impostazione predefinita, il nuovo account è utilizzabile anche per accedere localmente al computer, lanciare i programmi ed aprire i documenti.
Lo ritroviamo quindi nella schermata di benvenuto e, in caso foste stati tanto sbadati da assegnargli i privilegi di amministratore, può perfino eseguire comandi "remoti" via LAN oppure prendere il controllo tramite Desktop Remoto.
Insomma: se l'unico scopo per il quale è presente un certo account è quello di consentire ad altri PC l'accesso alle risorse tramite LAN, è importante configurare esplicitamente il sistema operativo di conseguenza, soprattutto in caso vi trovaste a partecipare a reti locali con amici smanettoni propensi a farvi qualche scherzo.
La procedura è semplice, ma richiede una versione Pro/Enterprise di Windows. In altre parole, le edizioni Home non sono supportate.
Creare il gruppo "UtentiLAN"
Per prima cosa, fate click con il pulsante destro del mouse sul pulsante Start e selezionate la voce Gestione computer. Da qui, entrate nel ramo Utenti e gruppi locali -> Gruppi. Cliccate con il destro in un punto vuoto del riquadro centrale e selezionate Nuovo gruppo... dal menu
Assegnate il nome UtentiLAN e digitate una descrizione che vi aiuti a ricordare a cosa serve, quindi confermate con Crea
Assegnare gli utenti al nuovo gruppo
Dall'albero di navigazione sulla sinistra, raggiungete Utenti e gruppi locali -> Utenti. Da qui, individuate il primo account utilizzato unicamente per l'accesso ai file via LAN, fatevi click con il destro e scegliete Proprietà.
Spostatevi alla scheda Membro di e rimuovete tutti i gruppi attuali
Subito dopo, premete Aggiungi..., digitate UtentiLAN nel campo inferiore e confermate per completare l'assegnazione
In caso aveste molteplici account utilizzati solamente per l'accesso via LAN, ripetete l'operazione per ognuno di essi.
Impostare la limitazione
A questo punto imposteremo la limitazione desiderata sul gruppo UtentiLAN tramite l'utility di sistema Editor Criteri di gruppo locali. Per avviarlo, premere la combinazione da tastiera Win+R per aprire Esegui e impartite gpedit.msc.
A questo punto, seguite il percorso Criteri Computer locale -> Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Assegnazione diritti utente.
Individuate la voce Nega accesso locale nella sezione di destra e fatevi doppio click. Noterete che, per impostazione predefinita, l'utente Guest è già presente.
Dalla finestra di dialogo, cliccate sul pulsante Aggiungi utente o gruppo.....
Cliccate ora Tipi di oggetto... e assicuratevi che anche Gruppi sia spuntato
Digitate il nome del gruppo UtentiLAN nel campo inferiore e confermate tutte le finestre di dialogo
Per la massima sicurezza, ripetete l'operazione per aggiungere il nome dello stesso gruppo anche in Nega accesso come processo batch e Nega accesso come servizio.
Il risultato
Chiudete la sessione e constaterete che gli account del gruppo UtentiLAN non saranno più presenti nella schermata di accesso al PC. Di più: anche in caso si riuscisse a raggiungere la videata di log-in "classica", ogni tentativo di utilizzo delle credenziali in questione genererà l'errore Il metodo di accesso che stai usando non è consentito
L'accesso ai file e alle stampanti dagli altri PC, al contrario, continuerà a funzionare come di consueto.
