Protezione dell'account Administrator in SAM non in linea

Traduzione articoli Traduzione articoli
Identificativo articolo: 223301 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Questo articolo viene descritto la protezione di gestione account di protezione (SAM) non in linea e gli account.

Account utente di dominio archivio controller di dominio di Windows 2000, le appartenenze ai gruppi e altri oggetti in Active Directory. Lo strumento di backup di Windows 2000 e altri programmi di backup di terze parti possono eseguire il backup Active Directory basato su jet su un controller di dominio di Windows 2000 in linea.

Manutenzione di sistema e il ripristino di Active Directory pu˛ essere eseguite solo inserendo Active Directory "in linea" o in modalitÓ "Ripristino servizi directory". Directory modalitÓ ripristino servizi, che utilizza un database di account SAM basato sul Registro di sistema per archiviare l'account dell'amministratore e altre incorporati utenti e gruppi, rappresenta un contesto di protezione diverso da quello di Active Directory.

Informazioni

Registro di sistema su SAM creazione

Microsoft Windows NT versione 4.0 e account utente di archivio precedente account computer e informazioni sul gruppo in un SAM basato sul Registro di sistema. Quando si aggiorna un controller di dominio primario (PDC) di Windows NT 4.0 a Windows 2000, DCPROMO inizia alla fine dell'installazione di Windows 2000. Gli account SAM vengono migrati ad Active Directory basato su jet. Viene creato un nuovo SAM basato sul Registro di sistema contenente l'account dell'amministratore "invisibile" (e altri account incorporati necessari per ripristinare i controller di dominio di Windows 2000). Gli account SAM basato sul Registro di sistema sono disponibili solo in modalitÓ ripristino servizi directory premendo F8 nella parte iniziale del processo di avvio. Registro di sistema basato su SAM Ŕ memorizzata nella cartella %SYSTEMROOT%\SYSTEM32\CONFIG.

Per i nuovi domini di Windows 2000, il database di active directory Ŕ creato e popolato con un insieme predefinito di utenti e gruppi. Trovare lo stesso tipo di versione 4.0 di Windows NT SAM basato sul Registro di sistema in Windows NT scenario di aggiornamento viene creato nella cartella %SYSTEMROOT%\SYSTEM32\CONFIG.

Protezione di SAM non in linea

I metodi di protezione di SAM non in linea sono identici ai metodi utilizzati in Windows NT 4.0. Possono considerare gli amministratori che desiderano per proteggere il database SAM non in linea quanto segue:

  1. Consente di mantenere una password diversa per l'amministratore nel servizio directory e l'account di amministratore nel database SAM non in linea. Come una questione di criteri, la password per l'account amministratore in Active Directory deve essere diversa da quello dell'account amministratore in modalitÓ non in linea.

    Le password in linea e non in linea sarÓ con la prima modifica della password dell'account di amministratore di Active Directory.
  2. Valutare il rischio e quindi sviluppare un criterio di modifica della password per gli account critici, come l'account di amministratore in modalitÓ non in linea e basati su Active Directory utilizzando linee guida di password complesse.
  3. Il SAM non in linea non Ŕ accessibile a livello di codice quando un controller di dominio basato su Windows 2000 Ŕ in esecuzione in modalitÓ active directory. Per implementare una password complessa modificare criterio per l'account amministratore in modalitÓ non in linea:

    1. Avviare il controller di dominio di Windows 2000 in modalitÓ ripristino servizi directory.
    2. Modificare la password per gli account.
    3. Avviare in modalitÓ Active Directory.
    Il tempo di accesso di sistema efficacia per il server diventa l'intervallo di modifica di password per l'account dell'amministratore in modalitÓ non in linea.
  4. Attivare il controllo del file di SAM che si trova nella cartella %WINDIR%\SYSTEM32\CONFIG. Qualsiasi utilizzare diverso da un backup del sistema o ricerca di virus deve essere analizzata.

    Nota : non seguire la procedura illustrata nei seguenti articoli della Microsoft Knowledge Base riportato di seguito:

    184017 gli amministratori di visualizzazione contenuto delle password di account di servizio
    Windows NT System Key 143475 consente crittografia avanzata del database SAM
  5. Protezione fisica di computer, i dischi di ripristino di emergenza e supporti di backup su nastro Ŕ un componente essenziale nella creazione di un ambiente protetto.

Gli amministratori potrebbero verificarsi ulteriori perdita del servizio quando Ŕ Impossibile creare la password per l'account di amministratore in modalitÓ non in linea pi¨ per attacchi di SAM non in linea. Definire un processo interno per l'archiviazione e recupero della password di amministratore in modalitÓ non in linea che non comprometta la protezione, ma rende disponibili per la manutenzione del sistema e il ripristino delle password. ╚ consigliabile che i server vengono generalmente ricostruiti durante gli orari mesi o anche anni dopo l'installazione originale del sistema operativo.

In modalitÓ remota Ŕ possibile modificare la password per la stessa utilizzando Windows NT Terminal Server in modalitÓ amministrazione remota e di attivazione/disattivazione del file Boot.ini passare avvio del computer in modalitÓ di ripristino non in linea e di Active Directory non in linea.

SETPWD.exe, incluso in Windows 2000 Service Pack 2 e il comando "Set DSRM Password" nella versione di NTDSUTIL.exe server consentono agli amministratori cambiare la password dell'amministratore ripristino DS in un controller di dominio, mentre il servizio directory Ŕ in linea.

ProprietÓ

Identificativo articolo: 223301 - Ultima modifica: venerdý 23 febbraio 2007 - Revisione: 2.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbmt kbinfo KB223301 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 223301
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com