www.MegaLab.it

Chiunque abbia predisposto una rete locale (LAN) fra PC Windows sa che, per abilitare la condivisione di file e stampanti, è necessario creare un account utente protetto da password su ogni postazione. Le medesime credenziali devono poi essere immesse contestualmente al tentativo di utilizzare una risorsa condivisa da un altro computer.

Nelle situazioni domestiche, tutto questo si traduce nella creazione di un utente fittizio (esterno, remoto, retelocale, utentelan sono i nomi prediletti) che viene poi utilizzato da tutte le altre postazioni.

Il tutto funziona alla perfezione, non fosse per un piccolo ma importante dettaglio: per impostazione predefinita, questo nuovo account è utilizzabile anche per accedere localmente

Ve lo ritrovate quindi nella schermata di benvenuto e, in caso foste stati tanto sbadati da avergli assegnato i privilegi di amministratore, può perfino essere utilizzato per eseguire comandi dalla LAN oppure prendere il controllo via Desktop Remoto.

Insomma: se l'unico scopo per il quale è presente un certo account è quello di consentire ad altri PC l'accesso alle risorse tramite LAN, configurare esplicitamente il sistema operativo di conseguenza potrebbe essere un'ottima idea, soprattutto in caso vi trovaste a partecipare a reti locali abbastanza ampie.

La procedura è alquanto semplice, ma richiede Windows XP Professional, Windows Vista Business/Ultimate/Enterprise o Windows 7 Professional/Ultimate/Enterprise.

In altre parole, le edizioni "Starter" e "Home" non sono supportate.

Impostare la limitazione

Agiremo tramite l'utility di sistema Editor Criteri di gruppo locali. Per avviare tale strumento, selezionate Start -> Esegui (si veda l'articolo "Ripristinare il comando "Esegui" in Windows Vista e Windows 7" in caso tale voce non fosse visualizzata) e quindi impartite gpedit.msc.

A questo punto, seguite questo percorso: Criteri Computer locale -> Configurazione computer -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri locali -> Assegnazione diritti utente.

Individuate la voce Nega accesso locale nella sezione di destra e fatevi doppio click. Noterete che, per impostazione predefinita, l'utente Guest è già presente.

Dalla finestra di dialogo, cliccate sul pulsante Aggiungi utente o gruppo....

Immettete il nome dell'utente da inibire nel campo di testo, quindi premete Controlla nomi e infine OK.

Per la massima sicurezza, ripetete l'operazione per aggiungere il nome dello stesso account anche in Nega accesso come processo batch e Nega accesso come servizio.

Il risultato

Chiudete la sessione per ammirare il risultato. Non solo l'account non sarà più presente nella schermata di benvenuto...

... ma, anche in caso fosse possibile raggiungere la videata di log-in "classica"...

... ogni tentativo di accedere utilizzando l'utente in questione genererà un errore

L'accesso alle risorse di rete, al contrario, continuerà a funzionare come di consueto.