Vorrei avere maggiori informazioni sulla condivisione di una stampante in rete, volendo utilizzare la medesima stampante con i miei due PC dell’ufficio. In particolare, non ho ben compreso cosa significa “aggiungere ad un gruppo di lavoro …
Vorrei avere maggiori informazioni sulla condivisione di una stampante in rete, volendo utilizzare la medesima stampante con i miei due PC dell’ufficio. In particolare, non ho ben compreso cosa significa “aggiungere ad un gruppo di lavoro”.
Un PC, con al seguito tutte le sue risorse condivise, viene assegnato a un determinato gruppo di lavoro mediante Pannello di Controllo, Sistema, Nome Computer, Cambia…, Gruppo di lavoro: scegliere un nome non troppo lungo e privo di spazi o punteggiatura, dare due volte OK e riavviare il PC. La stessa manovra, con lo stesso nome, deve essere ripetuta su ogni PC destinato a far parte del workgroup.
La condivisione di risorse tra PC Windows richiede un controllo d’accesso, per evidenti motivi di protezione. Escludendo le passate edizioni di Windows e le versioni Home che implementano un modello di sicurezza molto semplificato, in ambiente professionale le risorse vengono normalmente condivise solo tra PC che appartengono a un insieme omogeneo dal punto di vista della sicurezza. Questo insieme può essere un dominio o un workgroup.
Un workgroup è una forma superficiale di appartenenza. Essenzialmente, impostando un PC come appartenente a un determinato workgroup, lo si sta semplicemente aggiungendo a un insieme di PC che sono caratterizzati come apparentati o pertinenti fra loro, senza ulteriori implicazioni in tema di autenticazione e autorizzazione.
Da un PC di un workgroup è facile ottenere l’elenco degli altri PC del workgroup (Risorse del Computer, Risorse di Rete, Visualizza computer del gruppo di lavoro) e delle loro risorse, che, come è noto, possono essere dischi o stampanti condivisi.
Appartenere a un dominio è una forma di relazione più stretta e significa invece appartenere a un insieme di PC che essenzialmente si “fidano” gli uni degli altri, e conseguentemente condividono un insieme comune di utenze e password che vengono forniti da un server di dominio. Così, visto che tutti si fidano del dominio e del suo server che è il garante complessivo della sicurezza, qualunque PC del dominio può fidarsi di qualunque altro PC del dominio e può onorare le stesse credenziali (username e password) che sarebbero accettate da esso.
Pertanto, per l’accesso a un PC del dominio e alle sue risorse è possibile utilizzare le proprie credenziali di accesso valide su qualunque entità del dominio e non necessariamente delle credenziali valide solo sul PC bersaglio e magari create apposta a tale scopo, come avviene in caso di appartenenza a un workgroup.
In questo modo, di fatto la sicurezza può aumentare e l’impegno amministrativo diminuire, in quanto si riduce la necessità di creare, comunicare e mantenere sicure delle utenze “di servizio” per ogni PC che ha la necessità di esportare dischi o stampanti, solo per la condivisione di tali risorse.
Idealmente, nel dominio potrebbero esistere solo le utenze individuali degli utenti (più almeno una utenza amministrativa di dominio), che basteranno per accedere alle risorse condivise da qualunque PC del dominio.
Teoricamente, volendo consentire tutte le combinazioni d’accesso in una rete di “n” PC e/o server con “k” utenti, configurata come un workgroup, mantenendo controllo d’accesso basato su password, per aggiungere un nuovo utente bisognerebbe avere cura di creare credenziali identiche su tutti gli “n” computer; al momento di cambiare periodicamente la password ciò andrebbe fatto “n” volte, e qualora l’utente andasse rimosso servirebbero, ancora, “n” operazioni.
In questo scenario, nella rete esistono e vanno mantenute complessivamente N*K utenze. Configurando la rete come un dominio, invece, il numero di utenze da creare e mantenere è pari soltanto a “k”, visto che sarebbero automaticamente condivise da tutti gli “n” computer. Il vantaggio amministrativo è evidente, e vi è anche un vantaggio di sicurezza dato che mantenere la segretezza delle utenze è tanto più oneroso quanto più esse sono numerose.
La differenza fra l’appartenenza a un dominio e a un workgroup si può anche vedere dal punto di vista del modello di operazioni supportate: nell’ambito di un dominio queste sono:
- Autenticazione: verifica certa dell’identità di chi tenta di collegarsi, sulla base dell’esame delle credenziali presentate.
- Autorizzazione: concessione di un insieme di diritti più o meno esteso (lettura, scrittura,…) a un’utenza precedentemente autenticata, sulla base della sua identità e di un database di permessi.
- Browsing: consultazione dell’elenco di risorse a disposizione, con possibilità di accedervi nelle modalità previste e con le restrizioni applicabili.
Nell’ambito di un workgroup invece è disponibile solo il browsing; l’autenticazione e l’autorizzazione non provengono dal fatto di appartenere al workgroup, ma solo dall’aver provveduto a definire un sufficiente numero di profili su ogni macchina che deve condividere risorse.
Il livello di sicurezza nel modello workgroup è minimo. Per evitare accessi al PC si può pensare che basti rimuoverlo dal workgroup: in questo modo è vero che non apparirà più nell’elenco generato da Visualizza computer del gruppo di lavoro sugli altri PC, ma ciò non impedirà agli ex “concittadini” del workgroup di continuare a collegarsi alle sue risorse specificando esplicitamente il nome della share (\\computer\share).
Di fatto, chiunque sia a conoscenza dell’esistenza e del nome di questa risorsa potrà comunque accedervi come prima (se possedeva le credenziali locali, ove richieste). Pertanto, si tratterebbe di una blanda forma di sicurezza basata soltanto sull’occultazione della risorsa e non su un vero controllo d’accesso
