Come concedere l'autorizzazione "Replica delle modifiche alla directory" per l'account del servizio ADMA di Microsoft Metadirectory Services

  • Articolo

Questo articolo descrive come concedere l'autorizzazione "Replica delle modifiche alla directory" per l'account del servizio ADMA di Microsoft Metadirectory Services.

Si applica a: Windows Server 2012 R2
Numero KB originale: 303972

Riepilogo

Quando si individuano oggetti in Active Directory usando l'agente di gestione Active Directory (ADMA), l'account specificato per la connessione ad Active Directory deve disporre di autorizzazioni amministrative di dominio, appartenere al gruppo Amministratori di dominio o concedere in modo esplicito le autorizzazioni di replica delle modifiche alla directory per ogni dominio della foresta a cui accede questo agente di gestione. Questo articolo descrive come concedere in modo esplicito a un account utente le autorizzazioni Modifiche directory di replica in un dominio.

Nota

In Windows Server 2003 il nome di questa autorizzazione è stato modificato in "Replica modifiche directory".

Ulteriori informazioni

L'autorizzazione Replica modifiche directory, nota come autorizzazione Replica modifiche directory in Windows Server 2003, è una voce di Controllo di accesso (ACE) in ogni contesto di denominazione del dominio. È possibile assegnare questa autorizzazione usando l'editor ACL o lo strumento di supporto Adsiedit in Windows 2000.

Impostazione delle autorizzazioni tramite l'editor ACL

  1. Aprire lo snap-in Utenti e computer di Active Directory
  2. Scegliere Funzionalità avanzate dal menu Visualizza.
  3. Fare clic con il pulsante destro del mouse sull'oggetto di dominio, ad esempio "company.com", quindi scegliere Proprietà.
  4. Nella scheda Sicurezza , se l'account utente desiderato non è elencato, fare clic su Aggiungi; se l'account utente desiderato è elencato, procedere al passaggio 7.
  5. Nella finestra di dialogo Seleziona utenti, computer o gruppi selezionare l'account utente desiderato e quindi fare clic su Aggiungi.
  6. Fare clic su OK per tornare alla finestra di dialogo Proprietà .
  7. Fare clic sull'account utente desiderato.
  8. Fare clic per selezionare la casella di controllo Replica modifiche directory dall'elenco.
  9. Fare clic su Applica e quindi su OK.
  10. Chiudere lo snap-in.

Impostazione delle autorizzazioni tramite Adsiedit

Avviso

L'uso non corretto di Adsiedit può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che i problemi derivanti dall'uso errato di Adsiedit possano essere risolti. Usare Adsiedit a proprio rischio.

  1. Installare gli strumenti di supporto di Windows 2000 se non sono già stati installati.
  2. Eseguire Adsiedit.msc come amministratore del dominio. Espandere il nodo Domain Naming Context (Domain NC). Questo nodo contiene un oggetto che inizia con "DC=" e riflette il nome di dominio corretto. Fare clic con il pulsante destro del mouse su questo oggetto e quindi scegliere Proprietà.
  3. Fare clic sulla scheda Sicurezza.
  4. Se l'account utente desiderato non è elencato, fare clic su Aggiungi, in caso contrario procedere al passaggio 8.
  5. Nella finestra di dialogo Seleziona utenti, computer o gruppi selezionare l'account utente desiderato e quindi fare clic su Aggiungi.
  6. Fare clic su OK per tornare alla finestra di dialogo Proprietà .
  7. Fare clic su Applica e quindi su OK.
  8. Selezionare l'account utente desiderato
  9. Fare clic per selezionare la casella di controllo Replica modifiche directory .
  10. Fare clic su Applica e quindi su OK.
  11. Chiudere lo snap-in.

Nota

Usando entrambi i metodi, l'impostazione dell'autorizzazione Replica modifiche directory per ogni dominio all'interno della foresta consente l'individuazione di oggetti nel dominio all'interno della foresta di Active Directory. Tuttavia, l'abilitazione dell'individuazione della directory connessa non implica l'esecuzione di altre operazioni.

Per creare, modificare ed eliminare oggetti all'interno di Active Directory usando un account non amministrativo, potrebbe essere necessario aggiungere autorizzazioni aggiuntive in base alle esigenze. Ad esempio, affinché Microsoft Metadirectory Services (MMS) crei nuovi oggetti utente in un'unità organizzativa (OU) o in un contenitore, all'account usato deve essere concessa in modo esplicito l'autorizzazione Crea tutti gli oggetti figlio, poiché l'autorizzazione Replica modifiche directory non è sufficiente per consentire la creazione di oggetti.

Analogamente, l'eliminazione di oggetti richiede l'autorizzazione Elimina tutti gli oggetti figlio.

È possibile che siano presenti limitazioni per altre operazioni, ad esempio il flusso di attributi, a seconda delle impostazioni di sicurezza specifiche assegnate all'oggetto in questione e se l'ereditarietà è o meno un fattore.