Su Windows Server 2022 puoi ignorare la “Condivisione” semplice e configurare solo “Condivisione avanzata” senza alcun effetto collaterale: il percorso di rete viene creato correttamente, i client accedono via SMB e hai maggior controllo su nome, limiti e permessi della condivisione.
Panoramica del problema
Molti amministratori si chiedono se, nella scheda Proprietà ► Condivisione di una cartella, sia necessario usare il pulsante Condivisione… (la procedura guidata “semplice”) oppure se basti aprire Condivisione avanzata… e configurare lì tutto. L’ansia deriva spesso dal timore di creare condivisioni “incomplete” o difficili da raggiungere dai client.
Risposta breve
- Nessun problema funzionale: usare esclusivamente Condivisione avanzata è sufficiente. Windows pubblica la share SMB e rende disponibile il percorso
\\NOMESERVER\NomeCondivisionecome di consueto. - Vantaggi concreti: scegli il nome esatto della share, imposti il limite di connessioni concorrenti e definisci permessi di condivisione (Read/Change/Full) con maggiore granularità. Inoltre separi con chiarezza permessi di condivisione (SMB) e autorizzazioni NTFS, semplificando l’analisi dei “permessi effettivi”.
Cosa cambia tra “Condivisione” e “Condivisione avanzata”
Entrambe le strade configurano la stessa cosa: una condivisione SMB. La procedura “semplice” è un wizard minimale; la modalità “avanzata” espone tutte le impostazioni utili in ambienti di produzione.
| Aspetto | Condivisione (semplice) | Condivisione avanzata |
|---|---|---|
| Controllo nome della share | Basico | Pieno (nome personalizzato, suffisso $ per share nascosta) |
| Limite connessioni concorrenti | Non esposto | Configurabile (utile per lab/test) |
| Permessi di condivisione | Ridotti | Completi (Read/Change/Full per gruppi selezionati) |
| Opzioni SMB moderne | Assenti | Disponibili via UI/PowerShell (es. ABE, cifratura, compressione) |
| Trasparenza su permessi effettivi | Limitata | Massima (chiara separazione SMB vs NTFS) |
Procedura passo‑passo: solo “Condivisione avanzata”
- Apri Esplora file sul server, fai clic destro sulla cartella da condividere ► Proprietà ► scheda Condivisione ► Condivisione avanzata….
- Spunta Condividi la cartella e inserisci Nome condivisione (evita spazi, usa nomi parlanti es.
DatiFinanzaoDatiFinanza$per share non enumerabile). - (Opzionale) Imposta Limita il numero di utenti concorrenti se vuoi un tetto massimo temporaneo.
- Clic su Autorizzazioni:
- Rimuovi il gruppo Everyone se non desideri ampia visibilità.
- Aggiungi gruppi di dominio (es.
DOMINIO\GG-DatiFinanza-ROeDOMINIO\GG-DatiFinanza-RW). - Assegna Read al gruppo RO, Change (o Full per i Data Owner) al gruppo RW.
- (Opzionale) In Caching imposta la disponibilità offline:
- Nessun file o programma della condivisione è disponibile offline per dati critici o file di grandi dimensioni (es. PST).
- Solo i programmi e i file specificati dall’utente per scenari laptop.
- Conferma con OK fino a chiudere le finestre. La share è attiva su
\\SERVER\NomeCondivisione.
Impostazione fine dei permessi NTFS
Apri la scheda Sicurezza della cartella e configura gli ACL NTFS. Ricorda: i permessi effettivi sono l’intersezione tra permessi di condivisione e NTFS. Se uno dei due nega, l’accesso fallisce.
| Componente | Regola | Consiglio |
|---|---|---|
| Condivisione (SMB) | Autorizza l’ingresso | Concedi Read/Change/Full ai soli gruppi necessari |
| NTFS | Autorizza l’uso del contenuto | Applica least privilege su file e sottocartelle |
Pattern pratici:
- Pattern “NTFS‑centrico” (frequente): share permissiva (es. “Authenticated Users: Change” o “Everyone: Full”), controllo dettagliato solo a livello NTFS. Pro: gestione più semplice; Contro: se NTFS è errato, il rischio aumenta.
- Pattern “doppio controllo”: limiti sia in share sia in NTFS. Pro: maggiore difesa; Contro: amministrazione più complessa (serve allineare due set di ACL).
Esempio di modello AGDLP (consigliato)
Usa i gruppi per ruoli e non assegnare ACL direttamente agli utenti.
| Livello | Esempio | Scopo |
|---|---|---|
| Global Group (GG) | GG‑DatiFinanza‑RO / GG‑DatiFinanza‑RW | Appartenenza utenti per reparto/ruolo |
| Domain Local (DL) | DL‑DatiFinanza‑Share‑RO / DL‑DatiFinanza‑Share‑RW | Gruppi a cui assegnare ACL sulla share/cartella |
| Permessi | DL‑…‑RO = Read; DL‑…‑RW = Modify | Chiarezza e audit più semplici |
Vantaggi concreti della sola “Condivisione avanzata”
- Granularità su nome, limiti, permessi, caching e impostazioni SMB moderne.
- Trasparenza su chi può fare cosa: separi nettamente share vs NTFS e quindi capisci subito dove intervenire in caso di “Access Denied”.
- Niente duplicazioni: non esistono “due condivisioni” separate; stai gestendo la stessa lista di share SMB del server.
- Coerenza operativa: la stessa logica che usi in UI è replicabile in PowerShell e in automazione.
Buone pratiche fondamentali
- Permessi NTFS: dopo aver condiviso, verifica gli ACL nella scheda Sicurezza. Ricorda che l’effettivo è l’intersezione tra share e NTFS. Evita “Deny” se non indispensabile; preferisci ACL positive e gruppi dedicati.
- Firewall: assicurati che le regole SMB siano abilitate se il server è raggiunto da altre reti/VLAN. In genere servono TCP 445 e, in scenari legacy, TCP 139. Controlla in Windows Defender Firewall ► Regole connessioni in ingresso la voce File and Printer Sharing (SMB‑In).
- Test d’accesso: da un client, prova
\<indirizzo‑IP>\NomeCondivisione. Se la risoluzione nomi è a posto, usa\\SERVER\NomeCondivisione. Verifica apertura, creazione, modifica file in base al tuo profilo (RO/RW). - Registro eventi: in caso di problemi, guarda Event Viewer ► Applications and Services Logs ► Microsoft ► Windows ► SMBServer per errori su permessi o nome condivisione. Per auditing dettagliato attiva anche i log Security (Accesso ad oggetti).
PowerShell: creare, verificare e proteggere una share
Le stesse impostazioni si possono applicare in modo ripetibile via PowerShell.
# Creazione della share con Access Based Enumeration e cifratura SMB
New-SmbShare -Name "DatiFinanza" -Path "D:\Dati\Finanza" `
-ReadAccess "DOMINIO\GG-DatiFinanza-RO" `
-ChangeAccess "DOMINIO\GG-DatiFinanza-RW" `
-FolderEnumerationMode AccessBased `
-EncryptData $true `
-ConcurrentUserLimit 100
Rimuovi l'accesso generico
Revoke-SmbShareAccess -Name "DatiFinanza" -AccountName "Everyone" -Force
(Opzionale) Abilita la compressione SMB per velocizzare copie di file altamente comprimibili
Set-SmbShare -Name "DatiFinanza" -CompressData $true
Verifica stato share e sessioni
Get-SmbShare -Name "DatiFinanza" | Format-List *
Get-SmbSession | Select ClientComputerName,UserName,NumOpens
Test connessione dal server stesso (utile per troubleshooting DNS/Firewall)
Test-Path \SERVER\DatiFinanza Impostazioni SMB utili in produzione
- Access‑Based Enumeration (ABE): mostra agli utenti solo cartelle a cui hanno diritto. Abilitala con
Set-SmbShare -Name "Share" -FolderEnumerationMode AccessBased. - Cifratura SMB: per dati sensibili tra reti diverse,
-EncryptData $truea livello di share. Attenzione all’impatto prestazionale. - Compressione SMB: riduce il tempo di copia per file comprimibili (log, CSV, backup non compressi). Abilitala selettivamente.
- Share “nascoste”: suffisso
$nel nome (es.Progetti$) per evitare l’enumerazione casuale. Non è un confine di sicurezza: gli ACL fanno la sicurezza. - SMB1 disabilitato: su Server 2022 non usarlo. Modernizza i client a SMBv3 e verifica firma/cifratura secondo policy interne.
Checklist di verifica rapida
- Nome share conforme a standard (niente spazi o caratteri problematici; usa
$se vuoi nasconderla). - Permessi di condivisione coerenti con la matrice RO/RW/Owner.
- Permessi NTFS impostati su cartella radice e sottostruttura con ereditarietà ben progettata.
- Regole firewall SMB attive sui segmenti di rete interessati.
- ABE/cifratura/compressione valutate secondo esigenze.
- Test pratici da un account RO e da un account RW.
- Event Viewer privo di errori (SMBServer) dopo i test.
Tabella di esempio: matrice permessi
| Gruppo | Permesso di condivisione | Permesso NTFS | Effetto risultante |
|---|---|---|---|
| GG‑DatiFinanza‑RO | Read | Read & Execute | Sola lettura |
| GG‑DatiFinanza‑RW | Change | Modify | Lettura/Scrittura (no ACL/Ownership) |
| GG‑DatiFinanza‑Owner | Full Control | Full Control | Gestione completa |
Test di accesso dal client
- Apri Esegui (
Win + R) ► digita\<IP>\DatiFinanza► Invio. - Se funziona con l’IP, riprova con
\\SERVER\DatiFinanzaper validare DNS/NBNS. - Per mappare un’unità:
net use Z: \\SERVER\DatiFinanza /user:DOMINIO\Utente. Attenzione: Windows non consente sessioni multiple verso lo stesso server con credenziali diverse; se serve, primanet use * /delete /y.
Troubleshooting: errori comuni e rimedi
“Percorso di rete non trovato”
- DNS: il nome del server risolve all’IP corretto?
- Firewall: regole SMB abilitate su entrambe le estremità e sulle tratte intermedie?
- Servizio Server attivo? (
services.msc, nome servizio: LanmanServer)
“Accesso negato”
- Controlla intersezione tra permessi di condivisione e NTFS.
- Verifica di aver assegnato gruppi (non utenti) corretti e che l’utente ne faccia parte.
- Evita regole Deny generiche che sovrascrivono Allow.
- Controlla la proprietà dei file e le voci “Creator Owner” su sottocartelle.
“Il nome di condivisione esiste già”
Ogni share ha un nome univoco a livello di server. Se hai già creato la share in “avanzata”, la procedura “semplice” la mostrerà, non puoi duplicarla. Rinomina o rimuovi la pre‑esistente se devi cambiare nome.
Prestazioni scarse in WAN / VPN
- Valuta Compressione SMB e Cifratura puntuale per i soli percorsi obbligati.
- Disabilita l’offline files se non necessario per evitare sincronizzazioni pesanti.
- Evita l’uso di file molto frammentati o DB su share generiche (usa prodotti/ruoli dedicati).
Monitoraggio e auditing
- Event Viewer ► SMBServer: errori di protocollo, nome condivisione, sessioni.
- Log Security (con auditing oggetti): accessi riusciti/falliti alle cartelle sensibili.
Get-SmbSession,Get-SmbOpenFileper capire chi apre cosa in tempo reale.
Domande frequenti (FAQ)
Se non configuro la “Condivisione” semplice, la share è raggiungibile?
Sì. La “Condivisione avanzata” crea comunque il percorso di rete, tipicamente \\SERVER\NomeCondivisione.
Posso avere sia condivisione semplice sia avanzata attive sulla stessa cartella?
Sono due interfacce verso la stessa configurazione SMB. Se la share esiste, la vedi e modifichi da entrambe; non sono due oggetti diversi.
Meglio “Everyone: Full Control” in share e poi gestire tutto in NTFS?
È un modello diffuso (NTFS‑centrico) e funziona, ma richiede disciplina negli ACL NTFS. In ambienti molto regolati, preferisci un doppio controllo (limitazioni anche in share).
È utile nascondere la share con il simbolo $?
Sì per ridurre l’enumerazione casuale (\\SERVER\Dati$). Ricorda però che $ non sostituisce i permessi: la sicurezza resta negli ACL.
Posso limitare gli utenti concorrenti?
Sì, dalla “Condivisione avanzata” imposti il limite. Utile in laboratorio o per contenere l’impatto durante migrazioni; in produzione lasciarlo illimitato di solito è preferibile.
Scenario completo: dal nulla alla share robusta
- Crea
D:\Dati\Finanzae sottocartelle (01Report,02Bilanci,03_Riservato). - Assegna NTFS:
GG‑DatiFinanza‑RO: Read & Execute su radice e subfolder ereditate (escludi03_Riservatose necessario).GG‑DatiFinanza‑RW: Modify su radice e subfolder ereditate.GG‑DatiFinanza‑Owner(o i Data Owner): Full Control solo dove serve.
- Apri “Condivisione avanzata”, crea
DatiFinanza, aggiungi permessi di share come sopra, attiva ABE e (se serve) cifratura. - Abilita le regole firewall SMB su tutte le VLAN interessate.
- Testa con un utente RO (apre ma non modifica) e uno RW (crea/modifica/elimina), controlla i log SMBServer.
Note su migrazioni e manutenzione
- Esporta la configurazione delle share per documentazione/DR:
Get-SmbShare | Select Name,Path,Description,Encrypted,FolderEnumerationMode | Export-Csv "C:\Temp\SMBShareInventory.csv" -NoTypeInformation - Evita ACL su utenti: usa gruppi; semplifica onboarding/offboarding.
- Drive mapping via GPO: preferisci “Drive Maps” in Group Policy Preferences per assegnare Z:, Y:, ecc. in base a gruppo.
- Manutenzione: rivedi trimestralmente gruppi RW/RO, rimuovi membri obsoleti, verifica sottocartelle con eredità spezzata.
Conclusione
Saltare la “Condivisione” semplice e usare solo “Condivisione avanzata” è perfettamente valido in Windows Server 2022. Configura nome, limiti e permessi della share in modo esplicito, cura gli ACL NTFS e assicurati che il firewall consenta il traffico SMB. Con test mirati (via UNC \\SERVER\Share) e analisi dei log SMBServer ottieni una condivisione stabile, performante e – soprattutto – prevedibile nella gestione dei permessi. Così eviti ambiguità, migliori la sicurezza e riduci i tempi di troubleshooting.
Riepilogo operativo in 4 mosse
- Condividi solo da Condivisione avanzata e definisci il nome corretto.
- Imposta permessi di condivisione sui gruppi (RO/RW/Owner).
- Allinea gli ACL NTFS con il principio del minimo privilegio.
- Verifica da client (
\\IP\Share), apri i log SMBServer, regola firewall 445/139.
Con questa impostazione, il percorso di rete \\SERVER\NomeCondivisione sarà accessibile senza complicazioni e con il livello di controllo che un ambiente professionale richiede.
—
Nota pratica: se usi nomi con $ (es. Progetti$), ricorda di comunicare ai team il percorso esatto; la share non apparirà nell’elenco esplorando \\SERVER, ma resta raggiungibile se nota.