Agli account creati unicamente per l'accesso via LAN alle risorse condivise dovrebbe essere precluso il login locale al sistema, tramite il quale utilizzare il PC, i suoi programmi e leggere i documenti. Vediamo come procedere.
Dove sta il problema?
Chiunque abbia predisposto una rete locale (LAN) fra PC sa che, per abilitare le condivisioni, è necessario creare un account utente protetto da password sul computer che eroga i file. Le medesime credenziali devono poi essere immesse contestualmente al tentativo di utilizzare una risorsa condivisa da un altro client.
In piccoli uffici o contesti privati, questo si traduce nella creazione di un utente "fittizio" che viene poi utilizzato dalle altre postazioni. Questo approccio funziona, non fosse per un piccolo ma importante dettaglio: per impostazione predefinita, il nuovo account è utilizzabile anche per accedere localmente al computer, lanciare i programmi ed aprire i documenti.
Lo ritroviamo quindi nella schermata di benvenuto e, in caso foste stati tanto sbadati da assegnargli i privilegi di amministratore, può perfino eseguire comandi "remoti" via LAN oppure prendere il controllo tramite Desktop Remoto.
Insomma: se l'unico scopo per il quale è presente un certo account è quello di consentire ad altri PC l'accesso alle risorse tramite LAN, è importante configurare esplicitamente il sistema operativo di conseguenza, soprattutto in caso vi trovaste a partecipare a reti locali con amici smanettoni propensi a farvi qualche scherzo.
La procedura è semplice, ma richiede una versione Pro/Enterprise di Windows. In altre parole, le edizioni Home non sono supportate.
Creare il gruppo "UtentiLAN"
Per prima cosa, fate click con il pulsante destro del mouse sul pulsante Start e selezionate la voce Gestione computer. Da qui, entrate nel ramo Utenti e gruppi locali -> Gruppi. Cliccate con il destro in un punto vuoto del riquadro centrale e selezionate Nuovo gruppo... dal menu
Assegnate il nome UtentiLAN e digitate una descrizione che vi aiuti a ricordare a cosa serve, quindi confermate con Crea
Assegnare gli utenti al nuovo gruppo
Dall'albero di navigazione sulla sinistra, raggiungete Utenti e gruppi locali -> Utenti. Da qui, individuate il primo account utilizzato unicamente per l'accesso ai file via LAN, fatevi click con il destro e scegliete Proprietà .
Spostatevi alla scheda Membro di e rimuovete tutti i gruppi attuali
Subito dopo, premete Aggiungi..., digitate UtentiLAN nel campo inferiore e confermate per completare l'assegnazione
In caso aveste molteplici account utilizzati solamente per l'accesso via LAN, ripetete l'operazione per ognuno di essi.
Impostare la limitazione
A questo punto imposteremo la limitazione desiderata sul gruppo UtentiLAN tramite l'utility di sistema Editor Criteri di gruppo locali. Per avviarlo, premere la combinazione da tastiera Win+R per aprire Esegui e impartite gpedit.msc.
A questo punto, seguite il percorso Criteri Computer locale -> Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Assegnazione diritti utente.
Individuate la voce Nega accesso locale nella sezione di destra e fatevi doppio click. Noterete che, per impostazione predefinita, l'utente Guest è già presente.
Dalla finestra di dialogo, cliccate sul pulsante Aggiungi utente o gruppo.....
Cliccate ora Tipi di oggetto... e assicuratevi che anche Gruppi sia spuntato
Digitate il nome del gruppo UtentiLAN nel campo inferiore e confermate tutte le finestre di dialogo
Per la massima sicurezza, ripetete l'operazione per aggiungere il nome dello stesso gruppo anche in Nega accesso come processo batch e Nega accesso come servizio.
Il risultato
Chiudete la sessione e constaterete che gli account del gruppo UtentiLAN non saranno più presenti nella schermata di accesso al PC. Di più: anche in caso si riuscisse a raggiungere la videata di log-in "classica", ogni tentativo di utilizzo delle credenziali in questione genererà l'errore Il metodo di accesso che stai usando non è consentito
L'accesso ai file e alle stampanti dagli altri PC, al contrario, continuerà a funzionare come di consueto.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]