sharing and security permissions

winserver/003-sharing.md

@@ -0,0 +1,27 @@
+# Sharing folder
+
+La procedura inizia con la creazione, dal DC, di una directory principale (ad esempio `Data`) all’interno della quale vengono definite le sottodirectory necessarie per l’organizzazione delle risorse
+
+## Autenticazione e controllo degli accessi
+
+L’accesso alle risorse condivise è regolato dal protocollo `Kerberos`, che opera secondo due fasi distinte:
+
+- Il protocollo rilascia un ticket di logon al dominio Active Directory (AD) solo in caso di credenziali corrette
+- Al tentativo di accesso a una risorsa specifica, Kerberos verifica le credenziali e, se valide, concede un ticket di accesso che abilita l’utilizzo della risorsa stessa
+
+## Permessi di sharing
+
+Si distinguono due livelli di permessi:
+
+- `sharing permissions`: definiscono chi può accedere alla risorsa tramite rete
+- `security permissions`: stabiliscono le azioni consentite (lettura, scrittura, esecuzione, ecc.) su file e cartelle
+
+È prassi comune assegnare il permesso `Full Control` al gruppo `Everyone` (inteso come tutti gli utenti autenticati nel dominio AD) a livello di sharing: la gestione effettiva degli accessi avviene infatti tramite i `security permissions`, che devono essere configurati in modo da limitare l’accesso solo agli utenti o ai gruppi autorizzati.
+
+![sharing-folder](asset/img/sharing-folder.png)
+
+## Assegnazione di security
+
+Per consentire a utenti specifici o appartenenti a una determinata Organizational Unit di accedere e modificare i contenuti della directory condivisa, è necessario intervenire sui permessi di sicurezza.
+
+![security-permissions](asset/img/security-permissions.png)