In questo tutorial dedicato a Windows Server 2025, ti mostrerò come condividere una cartella sia tramite l’interfaccia grafica con Esplora file di Windows, sia tramite Server Manager, che consente la gestione centralizzata delle diverse condivisioni.
Vedremo quindi come ottimizzare la configurazione delle condivisioni con l’enumerazione basata sull’accesso.
Per illustrare questo tutorial, partiremo da un caso piuttosto comune nelle aziende: le cartelle di servizio (Compatibilità, IT) che consentono di lavorare sui documenti all’interno dello stesso reparto.
Prima di iniziare il gioco, vi presenterò SMB, ovvero il protocollo di condivisione di Windows.
Sommario
Introduzione al protocollo SMB
SMB sta per Server Message Block, ovvero il protocollo Windows che consente la condivisione di risorse (file e stampanti) in ambiente Windows; utilizza le porte 445 (DNS) e 139 (NBT).
Storicamente, nelle versioni precedenti di Windows, veniva chiamato CIFS, acronimo di Common Internet File System.
Un errore comune che si commette quando si parla di SMB è quello di chiamarlo SAMBA, ma SAMBA è l’implementazione del protocollo SMB su sistemi UNIX e Linux.
Al momento della stesura di questo tutorial, ci troviamo alla versione 3.1.1 del protocollo SMB, introdotta con Windows 10 e Windows Server 2016.
Negli ultimi anni, il protocollo SMB è stato oggetto di numerose discussioni, in quanto spesso presente nelle diverse falle di sicurezza scoperte in Windows, che consentono il furto delle credenziali e/o l’assunzione del controllo del computer.
Il protocollo SMB utilizza un’architettura client/server, in cui il client invia richieste per accedere a un elemento condiviso (cartelle, stampanti).
Il formato per le condivisioni di risorse è il seguente: \\server\risorsa-condivisa\….
Se desideri saperne di più sul protocollo SMB, ti invito a consultare la pagina di Wikipedia: https://fr.wikipedia.org/wiki/Server_Message_Block
Condivisione di una cartella con Windows Server 2025
Esistono diversi modi per condividere una cartella in Windows:
- Esplora file*
- Gestore del server
- PowerShell
* Esistono anche diversi modi per farlo tramite Esplora file.
In questo tutorial, vedremo due modi per farlo. Per iniziare, ho creato una cartella Servizi sul mio server Windows, che conterrà le diverse cartelle di servizio che condivideremo.
Il server utilizzato in questo tutorial è membro di un dominio Active Directory che consentirà di applicare le autorizzazioni NTFS per gestire diversi livelli di accesso tramite gruppi.
Condividere una cartella da Esplora file
Questo metodo è comune a tutti i sistemi operativi, quindi può essere applicato anche a Windows 11.
Per iniziare, create la cartella che deve essere condivisa; in questo caso ho creato la cartella Contabilità.
Allo stesso tempo, ho creato il gruppo GL_SHARE_COMPTA-RW che consentirà l’applicazione delle autorizzazioni.
Fai clic con il pulsante destro del mouse sulla cartella da condividere e poi fai clic su Proprietà 1.
Successivamente, vai alla scheda Condivisione 1 e poi fai clic su Condivisione avanzata 2.
Nella finestra Condivisione avanzata, seleziona la casella Condividi questa cartella 1 e poi fai clic sul pulsante Autorizzazione 2.
Per impostazione predefinita, i diritti di lettura sulla condivisione sono consentiti a Tutti, il che non è desiderato. Seleziona Tutti 1 e poi fai clic su Elimina 2.
Per ora non è necessaria alcuna autorizzazione, fare clic sul pulsante Aggiungi 1.
Seleziona il gruppo 1 che avrà le autorizzazioni sulla condivisione e poi fai clic sul pulsante OK 2.
Configura le autorizzazioni <<1 (qui inserirò i diritti di modifica) per il gruppo, quindi fai clic su Applica <<2 e poi su OK <<3.
La configurazione SMB della condivisione è completa, fare clic su Applica 1 e OK 2.
Nelle Proprietà, puoi vedere che la cartella è condivisa e viene visualizzato il percorso UNC, quindi vai alla scheda Sicurezza 1.
Nella scheda Sicurezza, puoi vedere che il gruppo Utenti locali ha accesso in lettura a questa cartella. Per ora, non vogliamo modificare queste autorizzazioni NTFS. I diritti NTFS saranno rilevanti solo se un utente accede localmente al server, cosa che non dovrebbe essere possibile. Tuttavia, dobbiamo concedere le autorizzazioni di modifica al gruppo di Active Directory che è stato configurato per le autorizzazioni di condivisione. Fai clic sul pulsante Modifica 1.
Si aprirà una nuova finestra; fai clic sul pulsante Aggiungi 1.
Come per le autorizzazioni di condivisione, selezionare il gruppo di Active Directory 1 e quindi fare clic su OK 2.
Configura le autorizzazioni 1 per il gruppo e poi fai clic sui pulsanti Applica 1 e OK 2.
Le autorizzazioni NTS sono configurate, fare clic su Chiudi 1.
La configurazione della condivisione di Esplora file è ora completa.
Condividere una cartella da Server Manager
Per illustrare questa parte del tutorial, condividerò la cartella IT, che si trova nella cartella Servizi allo stesso livello della cartella Contabilità.
Anche in questo caso, ho creato un gruppo Active Directory dedicato.
Da Server Manager, fare clic su Servizi file e archiviazione 1.
Successivamente, vai su Condividi 1.
Da questa dashboard possiamo gestire le condivisioni configurate sul server e visualizzare la condivisione Contabilità che abbiamo creato in precedenza.
Nel Server Manager, utilizzeremo una procedura guidata che ci guiderà nella configurazione della condivisione: fare clic su ATTIVITÀ 1 e poi su Nuova condivisione 2.
Lascia il profilo di condivisione SMB – Veloce <<1 e poi fai clic su Avanti <<2.
Per configurare la condivisione avanzata, è necessario avere il ruolo FSRM Una volta installato, lo vedremo in un tutorial futuro.
Qui è necessario configurare la posizione di condivisione. Poiché abbiamo un solo server da configurare in Server Manager, fare clic sul pulsante Sfoglia 1.
Seleziona la cartella 1 da condividere e fai clic sul pulsante Seleziona una cartella 2.
Con la cartella selezionata, fai clic su Avanti 1.
Inserisci il nome dell’azione 1 quindi fai clic sul pulsante Avanti 2.
Esistono diverse opzioni di configurazione per la condivisione:
- Enumerazione basata sui permessi: consente di visualizzare solo le cartelle in una condivisione per le quali l’utente dispone delle autorizzazioni necessarie. Approfondiremo questo aspetto in seguito.
- Memorizzazione nella cache: consente all’utente di avere una copia offline della condivisione sul proprio computer; per evitare problemi, disabilito questa opzione.
- Crittografa l’accesso ai dati: questa opzione impone la crittografia dei dati tra client e server. Ciò comporterà l’utilizzo forzato del protocollo SMB 3, introdotto con Windows Server 2012 e Windows 8. Se la tua infrastruttura lo consente, ovvero se disponi di sistemi operativi recenti e altri dispositivi come le fotocopiatrici supportano il protocollo SMB 3, abilita questa opzione.
Quindi fai clic su Avanti 1.
Ora configureremo le autorizzazioni SMB e NTFS, fai clic sul pulsante Personalizza autorizzazioni 1.
Nella scheda Autorizzazione, gestiremo i diritti NTFS, facendo clic su Aggiungi 1.
Nella nuova finestra che si apre, inizia facendo clic su Seleziona un principale 1.
Selezionare il gruppo Active Directory 1 e quindi fare clic su OK 2.
Il gruppo è selezionato, configura le autorizzazioni 1 quindi fai clic su OK 2.
Sono state aggiunte le autorizzazioni NTFS, ora vai alla scheda Condivisione 1.
Come puoi vedere, per impostazione predefinita la condivisione è accessibile a Tutti, cosa che non desideriamo, seleziona Tutti 1 e fai clic su Elimina 2.
Ora aggiungeremo le autorizzazioni per il gruppo di Active Directory, fare clic su Aggiungi 1.
Come per le autorizzazioni NTFS, fare clic su Seleziona un’entità, quindi selezionare il gruppo di Active Directory.
Configura le autorizzazioni di condivisione 1 quindi fai clic sul pulsante OK 2.
Le autorizzazioni NTFS e SMB sono configurate, fare clic sui pulsanti Applica 1 e OK 2.
Tornando alla procedura guidata Nuova condivisione, fai clic su Avanti 1.
Viene visualizzato un riepilogo della configurazione di condivisione; fare clic sul pulsante Crea 1.
La condivisione è stata creata, fai clic su Chiudi 1 per uscire dall’assistente.
Nell’elenco delle condivisioni in Server Manager, troviamo la condivisione IT che abbiamo appena creato con la procedura guidata.
Accedi alla condivisione
Ora testeremo l’accesso alla cartella condivisa appena creata. Per questo utilizzerò un computer client con Windows 11 e l’utente Romain, membro del gruppo GL_SHARE_INFORMATIQUE-W, che dovrebbe consentirmi di accedere alla cartella condivisa Informatique ma non alla cartella Compta.
Come puoi vedere, sono correttamente connesso con l’utente Romain.
Da Esplora file di Windows, accedo al seguente indirizzo \\lsrvgen1 che è il nome del server, come puoi vedere nello screenshot qui sotto, posso vedere chiaramente le due condivisioni.
Facendo clic su Informatica, posso accedervi e, per testare i permessi, creerò una nuova cartella.
Tornando alla directory principale del server, se provo ad accedere alla cartella Contabilità, ricevo un messaggio di errore che mi informa di non disporre delle autorizzazioni necessarie.
Sai come condividere una cartella su Windows Server 2025.
Abilita l’enumerazione basata sull’accesso
Ora vedremo come funziona l’enumerazione basata sugli accessi all’interno di una cartella condivisa.
Nella cartella IT, creeremo una sottocartella chiamata Management, accessibile solo se si fa parte di un particolare gruppo di Active Directory (GL_SHARE_INFORMATIQUE-DIRECTION-W), di cui l’utente Romain non è membro.
Sul server, creo la cartella “Direction”.
Affinché l’EBA funzioni correttamente e l’accesso sia adeguatamente limitato, è necessario configurare i diritti NTFS su questa cartella, fare clic con il pulsante destro del mouse sulla cartella e quindi fare clic su Proprietà 1.
Vai alla scheda Sicurezza 1 quindi fai clic su Avanzate 2.
Come puoi vedere nello screenshot qui sotto, la cartella eredita le autorizzazioni della cartella padre e le autorizzazioni vengono concesse anche al gruppo Utenti locale, che include il gruppo Utenti di dominio. Pertanto, se analizziamo le autorizzazioni, tutti gli utenti di dominio hanno accesso in lettura, il che non è quello che vogliamo. Fai clic su Disabilita ereditarietà 1.
Fai clic su Converti autorizzazioni ereditate in autorizzazioni esplicite su questo oggetto 1.
Ora possiamo constatare che le autorizzazioni NTFS non vengono più ereditate.
Ora rimuoveremo tutte le autorizzazioni che consentono l’accesso agli utenti che non dovrebbero averlo, quindi rimuoveremo le autorizzazioni Utenti e il gruppo GL_SHARE_INFORMATIQUE-W.
Seleziona un’autorizzazione 1 e fai clic su Elimina 2.
Ripeti il processo finché non ottieni autorizzazioni simili a quelle riportate di seguito.
Ora aggiungeremo le autorizzazioni per il gruppo GL_SHARE_INFORMATIQUE-DIRECTION-W, cliccando sul pulsante Aggiungi 1.
Selezionare il gruppo Active Directory 1, configurare le autorizzazioni NTFS 2 e quindi fare clic su OK 3.
Il gruppo è stato aggiunto, fare clic su Applica 1 e OK 2.
Chiudere la finestra Proprietà cartella facendo clic su OK 1.
In questa fase, dal mio utente Romain, la cartella è visibile nella condivisione IT, ma non posso accedervi perché non faccio parte del gruppo GL_SHARE_INFORMATIQUE-DIRECTION-W.
Ora attiveremo EBA (Access-Based Enumeration), che ci permetterà di nascondere la cartella nella condivisione IT.
Da Server Manager, fai clic con il pulsante destro del mouse sulla condivisione e quindi fai clic su Proprietà.
Nelle proprietà di condivisione, vai a Impostazioni 1, seleziona la casella Abilita enumerazione basata sull’accesso 2 quindi fai clic su Applica 3 e OK 4.
EBA è attivo, ora dalla mia postazione di lavoro client con il mio account, non vedo più la cartella Gestione che si trova nella cartella IT, perché non ho le autorizzazioni di accesso.
Ottimizzazione della condivisione dei registri di servizio
Fin dall’inizio, abbiamo visto come creare cartelle condivise per i servizi aziendali; con solo 2 servizi, possiamo creare due condivisioni, ma generalmente in un’azienda ci sono più di due servizi.
Per semplificare la manutenzione e aumentare l’efficienza, condivideremo la cartella dei servizi abilitando EBA, in modo che gli utenti possano visualizzare e accedere solo alla cartella del proprio servizio.
Quello che faremo qui è condividere la cartella Servizi che conterrà le cartelle.
Poiché tutti gli aspetti tecnici sono già stati trattati in precedenza, qui mi limiterò a illustrarvi la procedura da seguire.
Nelle cartelle di servizio (Contabilità e IT), è necessario disabilitare l’ereditarietà e configurare le autorizzazioni NTFS nello stesso modo della cartella di gestione che si trova nella cartella IT, in modo che con EBA, quando un utente accede alla cartella condivisa Servizi, visualizzi solo la propria cartella di servizio.
Per condividere la cartella Servizi da Server Manager, fai clic su ATTIVITÀ e quindi su Nuova condivisione.
Seleziona il profilo Condivisione SMB – Veloce.
Indicare la posizione della cartella di servizio.
Configura il nome della condivisione.
Nelle impostazioni di condivisione, abilita l’enumerazione basata sull’accesso.
Per quanto riguarda le autorizzazioni NTFS, è necessario rimuovere l’ereditarietà e tutte le autorizzazioni utente, per poi aggiungere un’autorizzazione utente che consenta solo la visualizzazione delle cartelle nella directory Servizi.
Continua a seguire l’assistente.
Con questa configurazione, avrai un’unica cartella condivisa e gli utenti potranno visualizzare e accedere solo alle cartelle per le quali dispongono di diritti espliciti.
La condivisione di cartelle su Windows Server non dovrebbe più avere segreti per voi.
Per motivi di sicurezza e riservatezza, è importante testare le condivisioni prima di distribuirle e comunicarle agli utenti.
