Bloccare accesso cartella su pc con due account ADMIN

[porsce]

Ciao a tutti, sto provando a risolvere un problema su win11 HOME per uno studio medico:

sul pc ci sono due account , uno è quello del medico titolare, l'altro è "ospite" generico, in modo che chi debba usarlo in vece del medico (quindi i vari medici sostituti in futuro quando il medico titolare sarà in ferie o malattia) possa farlo usando a pieno il programma gestionale installato (dall'assistenza del programma gestionale mi hanno detto che è possibile farlo, ma che per un corretto funzionamento dello stesso, entrambi gli account devono essere admin). Per questo i due account pur separati (alla schermata di login ognuno ha la propria password di accesso) sono ENTRAMBI ADMIN.

PROBLEMA: vorrei rendere inaccessibile la cartella utente del medico titolare dall'account "ospite" (che è pur sempre admin pure lui).

Inizialmente credevo di aver risolto modificando dall'account admin medico titolare, i permessi di accesso alla cartella UTENTE dalla sua scheda proprietà (proprietà/sicurezza/autorizzazioni/avanzate), negando le varie autorizzazioni (controllo completo, modifica, lettura, scrittura, ecc). Infatti facendo poi accesso con l'account "ospite" e provando ad aprire quella cartella mi veniva un messaggio di accesso negato.
Purtroppo però premendo su continua, appare poi un collegamento (del tipo per modificare le impostazioni di sicurezza clicka qui o simile) ed andando avanti essendo l'account "ospite" anche lui admin, si riesce tranquillamente a bypassare il blocco di cui sopra; di fatto ripristinando il "controllo completo" dalla scheda autorizzazioni.

Idee?

Grazie a chi vorrà aiutarmi

[deuterio1]

Quote:

Originariamente inviato da porsce

PROBLEMA: vorrei rendere inaccessibile la cartella utente del medico titolare dall'account "ospite" (che è pur sempre admin pure lui).

Dubito sia possibile fare una cosa del genere, un utente che appartiene al gruppo Administrators in teoria può fare tutto (o quasi), proprio in quanto amministratore.
Una soluzione (che però non è disponibile nella Home, ma solo dalla Pro in su) potrebbe essere la crittografia NTFS dei file, dato che ogni utente avrà la sua encryption key, non sarà in grado di aprire i file dell'altro.

Quello che c'è di sbagliato in tutto questo è un gestionale che per funzionare necessita dei privilegi di amministrazione. Pessima pratica, purtroppo molto diffusa tra le applicazioni per Windows.

[porsce]

Ciao e grazie per a risposta!

Quote:

Originariamente inviato da deuterio1

Dubito sia possibile fare una cosa del genere, un utente che appartiene al gruppo Administrators in teoria può fare tutto (o quasi), proprio in quanto amministratore.
Una soluzione (che però non è disponibile nella Home, ma solo dalla Pro in su) potrebbe essere la crittografia NTFS dei file, dato che ogni utente avrà la sua encryption key, non sarà in grado di aprire i file dell'altro.

Ho letto qualcosa in rete, però volevo evitare di far fare al medico titolare upgrade di win 11 a PRO, proprio per una questione pratica di backup di files e allegati di 1500 pazienti.

Quote:

Originariamente inviato da deuterio1

Quello che c'è di sbagliato in tutto questo è un gestionale che per funzionare necessita dei privilegi di amministrazione. Pessima pratica, purtroppo molto diffusa tra le applicazioni per Windows.

Concordo, ma purtroppo è uno dei più (forse il più) usati in Italia a livello di gestionale e anche se può sembrare strano non credo ci prestino troppa attenzione a necessità di questo tipo... per altro anche cambiare gestionale è fuori discussione (in zona usano tutti quello e sarebbe un "suicidio" informatico essere la mosca bianca, inoltre non è detto che gli altri gestionali non abbiano lo stesso problema).

Ma invece un software esterno che mi possa far mettere una password alla cartella utente specifica? O roba simile?

[isomerasi]

Quote:

Originariamente inviato da porsce

Ho letto qualcosa in rete, però volevo evitare di far fare al medico titolare upgrade di win 11 a PRO, proprio per una questione pratica di backup di files e allegati di 1500 pazienti.

non succede e non si perde nulla...si inserisce il seriale e se è valido si aggiorna il sistema a pro e nel giro di pochi minuti sei nuovamente operativo...

[porsce]

ho provato su un altro pc dove ho win 10 pro a mettere crittografia a due sottocartelle della cartella utente principale (quelle di cui mi interesserebbe rendere inaccessibili cartelle e files), appena fatto su tutte le iconefiles viene un lucchetto sopra.

Poi ho creato account ospite con diritti admin e facendo login da quest'ultimo ho provato ad aprire la cartella in questione (quella crittografata coi file col lucchetto di cui sopra) ed in effetti la apre, ma i singoli files no, si legge solo il titolo, ma poi sono di fatto non apribili.

Mi confermate che è questa la procedura a cui facevate riferimento?

Così potrebbe anche andare bene (ovvero i files si vedono, ma non si aprono). Ma non esiste anche un modo per renderli inoltre non visibili?

[deuterio1]

Quote:

Originariamente inviato da porsce

ho provato su un altro pc dove ho win 10 pro a mettere crittografia a due sottocartelle della cartella utente principale (quelle di cui mi interesserebbe rendere inaccessibili cartelle e files), appena fatto su tutte le iconefiles viene un lucchetto sopra.

Poi ho creato account ospite con diritti admin e facendo login da quest'ultimo ho provato ad aprire la cartella in questione (quella crittografata coi file col lucchetto di cui sopra) ed in effetti la apre, ma i singoli files no, si legge solo il titolo, ma poi sono di fatto non apribili.

Mi confermate che è questa la procedura a cui facevate riferimento?

Così potrebbe anche andare bene (ovvero i files si vedono, ma non si aprono). Ma non esiste anche un modo per renderli inoltre non visibili?

Confermo, è il comportamento atteso, i file sono visibili ma non il loro contenuto. Non c'è modo di rendere invisibili i file ad un utente del gruppo Administrators.

Però, avendo una Pro, c'è un altra soluzione: in ognuno dei due account, crea un disco virtuale (VHDX) sufficientemente capiente, imposta la protezione Bitlocker su entrambi i VHDX con una password (o chiave) in modo che ogni utente avrà la sua. In questo modo ogni utente può montare solo il disco virtuale di cui conosce la password, e non potrà visualizzare/aprire il contenuto dell'altro VHDX.

Puoi anche valutare software come VeraCrypt, che fanno la stessa cosa, ma per un utilizzo basico, semplice e immediato (e senza necessità di installare software aggiuntivo), i dischi virtuali vanno benissimo.

[isomerasi]

Quote:

Originariamente inviato da deuterio1

in ognuno dei due account, crea un disco virtuale (VHDX) sufficientemente capiente, imposta la protezione Bitlocker su entrambi i VHDX con una password (o chiave) in modo che ogni utente avrà la sua. In questo modo ogni utente può montare solo il disco virtuale di cui conosce la password, e non potrà visualizzare/aprire il contenuto dell'altro VHDX.

e poi che fa? Ha detto che si tratta della cartella utente...

[Unax]

ma da un utente standard non è possibile eseguire quel particolare software come amministratore?

creando dei task appositi

https://www.digitalcitizen.life/use-...t-uac-prompts/

[deuterio1]

Quote:

Originariamente inviato da isomerasi

e poi che fa? Ha detto che si tratta della cartella utente...

Ovviamente i file andrebbero spostati dalla cartella del profilo al volume criptato (io uso questo approccio con i file sensibili).
Inoltre, anche se un VHDX si può creare (e criptare) solo con la Pro, lo stesso VHDX si può tranquillamente aprire e sbloccare anche con la Home, quindi la Pro servirebbe solo per la prima creazione, poi è sufficiente copiare il VHDX sulla Home per utilizzarlo.

[porsce]

credo che proverò con l'approccio suggerito da UNAX, vedrò di interfacciarmi con l'assistenza del gestionale per far sì che solo il gestionale stesso (ed eventualmente la sua cartella) abbiano privilegi admin, in un account che cmq resterà "ospite" quindi con meno privilegi (e non potrà vedere, nè tanto meno gestire i files dell'utente admin).

Mi pare la soluzione meno macchinosa... a questo punto mi chiedo anche se sia possibile dare a tutta la cartella (e non solo all' .exe del gestionale) privilegi di admin

[Unax]

Quote:

Originariamente inviato da porsce

credo che proverò con l'approccio suggerito da UNAX, vedrò di interfacciarmi con l'assistenza del gestionale per far sì che solo il gestionale stesso (ed eventualmente la sua cartella) abbiano privilegi admin, in un account che cmq resterà "ospite" quindi con meno privilegi (e non potrà vedere, nè tanto meno gestire i files dell'utente admin).

Mi pare la soluzione meno macchinosa... a questo punto mi chiedo anche se sia possibile dare a tutta la cartella (e non solo all' .exe del gestionale) privilegi di admin

però non so se funziona, ho provato a fare una cosa simile e non mi è riuscita, forse ho sbagliato io a creare l'operazione pianificata

esistono comunque programmi come runas della sordum.org https://www.sordum.org/8727/runastool-v1-5/

con cui fare la stessa cosa