Accesso secondario (Esegui come): avviare programmi e strumenti in un contesto amministrativo locale

Traduzione articoli Traduzione articoli
Identificativo articolo: 225035 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

L'accesso secondario di Windows consente agli amministratori di accedere con un account non amministrativo e di essere ancora in grado di portare a termine attivitā amministrative (senza disconnettersi) eseguendo programmi amministrativi attendibili in contesti amministrativi. In questo scenario sono necessari due account utente per gli amministratori di sistema, vale a dire un regolare account con autorizzazioni di base e un account amministrativo, che puō essere un account amministrativo diverso per ogni amministratore o un singolo account amministrativo condiviso tra gli amministratori.

Gli accessi secondari risolvono problemi di protezione riscontrati dagli amministratori che eseguono programmi che potrebbero essere suscettibili ad attacchi di tipo "Trojan Horse" (come l'esecuzione di Microsoft Internet Explorer nel contesto amministrativo mentre si accede a un sito Web non attendibile).

Anche se l'accesso secondario č rivolto principalmente agli amministratori di sistema, puō essere utilizzato da qualsiasi utente che dispone di pių account per avviare i programmi in contesti di account diversi senza effettuare prima la disconnessione.

Il servizio di accesso secondario viene avviato automaticamente dopo un'installazione "pulita" di Windows. Un'installazione di questo tipo significa installare Windows su un disco rigido vuoto o in una cartella diversa da quella in cui č installata una versione esistente di Windows.

Informazioni

Avviare una shell comandi in un contesto amministrativo del computer locale

Dopo essersi connessi come utente normale, effettuare quanto indicato di seguito:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare runas /user:nome_computer\administrator cmd, dove nome_computer č il nome del computer in uso, quindi scegliere OK.
  2. Verrā visualizzata una finestra della console che richiederā una password per l'account nome_computer\administrator. Digitare la password per l'account di amministrazione e premere INVIO.
  3. Una nuova console verrā visualizzata in esecuzione nel contesto amministrativo (il titolo della console indicherā chiaramente in esecuzione come nome_computer\administrator).
Tutti i programmi amministrativi basati sui comandi possono ora essere avviati da questa finestra della console.

Avviare uno strumento del Pannello di controllo in un contesto amministrativo dopo avere effettuato l'accesso come utente normale

Dopo essersi connessi come utente normale, effettuare quanto indicato di seguito:
  1. In Windows 2000 fare clic sul pulsante Start, scegliere Impostazioni, Pannello di controllo.
  2. Selezionare lo strumento particolare da eseguire nel contesto amministrativo, (ad esempio Installazione applicazioni).
  3. Evidenziare lo strumento selezionato con un singolo clic del pulsante sinistro del mouse sull'icona relativa.
  4. Tenere premuto MAIUSC e fare clic con il pulsante destro del mouse sull'icona. Si noterā che il comando Esegui come č presente nell'elenco di comandi.
  5. Scegliere Esegui come. Verrā visualizzata la finestra di dialogo Esecuzione programma come altro utente.
  6. Digitare il nome account e la password di amministrazione nei campi appropriati. Nota: anche il nome di dominio puō essere cambiato.
  7. Dopo avere immesso le credenziali per l'account di amministrazione, scegliere OK e il programma associato allo strumento verrā avviato nel contesto amministrativo.

Avviare un collegamento in un contesto amministrativo

L'esempio riportato di seguito utilizza un collegamento al programma Gestione computer, ma questo metodo funziona sui collegamenti dei file EXE e sui collegamenti di tipi di file registrati come TXT, DOC e MSC.

Dopo essersi connessi come utente normale, effettuare quanto indicato di seguito:
  1. Utilizzare Esplora risorse per creare un collegamento sul desktop per il file COMPMGMT.MSC. COMPMGMT.MSC č disponibile nella directory \%WINDIR%\SYSTEM32. Per impostazione predefinita, si tratta della directory \WINNT\SYSTEM32, disponibile nella partizione di avvio.
  2. Evidenziare l'icona Collegamento a compmgmt sul desktop mediante un singolo clic del pulsante sinistro del mouse.
  3. Tenere premuto MAIUSC e fare clic con il pulsante destro del mouse sull'icona Collegamento a compmgmt sul desktop.
  4. Scegliere Esegui come. Verrā visualizzata la finestra di dialogo Esecuzione programma come altro utente.
  5. Digitare il nome e la password dell'account di amministrazione nei campi appropriati. Scegliere OK.
Verrā avviata una console MMC con lo snap-in Gestione computer, che sarā in esecuzione in un contesto amministrativo.

Č anche possibile configurare un collegamento per fare in modo che venga sempre eseguito mediante credenziali alternative quando aperto mediante la configurazione delle proprietā del collegamento come indicato di seguito:
  1. Chiudere e aprire la console MMC ed evidenziare l'icona Collegamento a compmgmt sul desktop con un singolo clic del pulsante sinistro del mouse. Fare clic con il pulsante destro del mouse sull'icona e scegliere Proprietā.
  2. Nell'area centrale della finestra di dialogo Proprietā individuare la casella di controllo Esegui come diverso utente. Selezionare la casella di controllo e scegliere OK per chiudere la finestra di dialogo Proprietā.
  3. Fare doppio clic sull'icona Collegamento a compmgmt per avviare la console.
  4. Verrā visualizzata la finestra di dialogo Esecuzione programma come altro utente. Immettere le credenziali nei campi appropriati e scegliere OK.
Questa tecnica puō essere utilizzata per qualsiasi collegamento da creare ed eseguire sempre in un contesto di protezione diverso.

Avviare un programma in un contesto amministrativo dopo avere effettuato l'accesso come utente normale

Questo esempio utilizza il programma Blocco note, ma č possibile avviare qualsiasi programma di Windows in un contesto di protezione alternativo utilizzando questo metodo.

Dopo essersi connessi come utente normale, effettuare quanto indicato di seguito:
  1. In Esplora risorse copiare il file NOTEPAD.EXE sul desktop. NOTEPAD.EXE č disponibile nella directory \%WINDIR%\. Per impostazione predefinita, si tratta della directory \WINNT\, disponibile nella partizione di avvio.
  2. Evidenziare l'icona del Blocco note sul desktop facendovi clic sopra con il pulsante sinistro del mouse.
  3. Tenere premuto MAIUSC e fare clic con il pulsante destro del mouse sull'icona del Blocco note.
  4. Scegliere Esegui come. Verrā visualizzata la finestra di dialogo Esecuzione programma come altro utente.
  5. Digitare nome e password per l'account di amministrazione. Scegliere OK.
Il Blocco note verrā ora avviato nel contesto amministrativo.

NOTA: non esiste alcuna indicazione del contesto di protezione in cui č in esecuzione il programma. Ciō č dovuto al fatto che i programmi di Windows definiscono il testo del proprio titolo che non puō essere manipolato e puō creare confusione se si avviano pių processi in contesti diversi.

Avviare una console MMC in un contesto amministrativo utilizzando un file msc salvato

L'esempio riportato di seguito utilizza un file MSC esistente, COMPMGMT.MSC. Tuttavia č possibile avviare un file MSC qualsiasi in un contesto di protezione diverso mediante il metodo indicato.

Dopo essersi connessi come utente normale, effettuare quanto indicato di seguito:
  1. In Esplora risorse copiare il file COMPMGMT.MSC sul desktop. COMPMGMT.MSC č disponibile nella directory \%WINDIR%\SYSTEM32. Per impostazione predefinita, si tratta della directory \WINNT\SYSTEM32, disponibile nella partizione di avvio.
  2. Evidenziare l'icona compmgmt sul desktop mediante un singolo clic del pulsante sinistro del mouse.
  3. Tenere premuto MAIUSC e fare clic con il pulsante destro del mouse sull'icona compmgmt sul desktop.
  4. Scegliere Esegui come. Verrā visualizzata la finestra di dialogo Esecuzione programma come altro utente.
  5. Digitare il nome e la password dell'account di amministrazione nei campi appropriati. Scegliere OK.
Verrā avviata una nuova console MMC con lo snap-in Gestione computer, che sarā in esecuzione in un contesto amministrativo. In modo simile un amministratore di sistema puō creare MMC (Microsoft Management Console) personalizzate contenenti snap-in amministrativi molto utilizzati ed eseguirli in un contesto amministrativo mediante l'accesso secondario.

Eseguire la shell di Esplora risorse nel contesto di protezione amministrativo

Dopo essersi connessi come utente normale, effettuare quanto indicato di seguito:
  1. Avviare Task Manager. Fare clic con il pulsante destro del mouse sulla barra delle attivitā e scegliere Task Manager.
  2. Scegliere la scheda Processi.
  3. Selezionare explorer.exe. Scegliere Termina processo. Scegliere nel messaggio popup di avviso. L'intero desktop non sarā pių visualizzato. Saranno comunque presenti tutti i programmi avviati incluso Task Manager.
  4. Fare clic sulla scheda Programmi.
  5. Scegliere Nuova operazione.
  6. Digitare runas /user:nome computer/dominio\administrator explorer.exe. Scegliere OK.
  7. Verrā visualizzata una finestra della console che richiederā l'immissione di una password. Ridurre a icona la finestra Task Manager, digitare la password e premere INVIO. Il desktop verrā visualizzato di nuovo compresa la barra delle applicazioni, i collegamenti, gli elementi delle cartelle di avvio e cosė via.
  8. Eseguire le operazioni amministrative necessarie, ad esempio fare clic sul pulsante Start, scegliere Impostazioni, quindi Pannello di controllo per avviare il Pannello di controllo nel contesto amministrativo.
  9. Al termine disconnettersi come amministratore. Verrā automaticamente avviata una nuova shell, in esecuzione nel contesto utente di origine.

Esecuzione in altri contesti di protezione

Gli esempi precedenti mostrano l'utilizzo dell'accesso secondario in un contesto amministrativo. Ciō non preclude tuttavia la possibilitā di utilizzare questa funzionalitā in altri contesti di protezione. In genere questa funzionalitā consentirā di eseguire tutti i programmi o strumenti in qualsiasi contesto di protezione purché:
  • Sia possibile fornire credenziali di un account valido per il contesto alternativo.
  • Il contesto alternativo consenta di accedere localmente al sistema.
  • Il programma o lo strumento sia disponibile nel sistema e accessibile in relazione al contesto alternativo.

Limitazioni e risoluzione dei problemi

  • Il servizio di accesso secondario non viene avviato nel sistema Windows 2000. Fare clic con il pulsante destro del mouse su Risorse del computer, quindi scegliere Gestisci. In Gestione computer selezionare Utilitā di sistema, Servizi, quindi determinare se č stato avviato il servizio di accesso secondario.
  • Le credenziali fornite non sono corrette. Verificare le credenziali effettuando l'accesso al sistema dalla schermata iniziale di accesso di Windows.
  • Potrebbe essere stato effettuato il tentativo di avviare un file EXE da un percorso di rete e le credenziali utilizzate per connettersi a tale percorso non sono uguali a quelle utilizzate per avviare il file EXE. Le credenziali utilizzate per avviare il file EXE potrebbero non avere accesso al percorso di rete. Avviare il prompt dei comandi di Windows mediante runas, riconnettersi al percorso di rete con net use e avviare il file EXE.
  • Alcuni programmi vengono avviati indirettamente dalla shell di Esplora risorse. Tra questi sono inclusi Pannello di controllo, la cartella Stampanti e cosė via. Dato che la shell viene avviata nel contesto di protezione principale durante l'accesso iniziale, ogni processo avviato dalla shell rimane in tale contesto di protezione. Č possibile risolvere questo problema avviando uno strumento mediante il comando Esegui come o chiudendo la shell esistente e riavviando la shell di Esplora risorse nel contesto amministrativo.

Proprietā

Identificativo articolo: 225035 - Ultima modifica: venerdė 15 giugno 2007 - Revisione: 3.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Chiavi: 
kbenv kbhowto KB225035
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com