Come ripristinare le impostazioni di protezione a uno stato funzionante noto

Traduzione articoli Traduzione articoli
Identificativo articolo: 313222 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Nel corso di una installazione del sistema operativo, Ŕ possibile che si verifichino modifiche di configurazioni tali da impedire al sistema operativo o alle applicazioni di funzionare correttamente. ╚ possibile che i sintomi dipendano da impostazioni di sicurezza eccessivamente restrittive che includono, tra gli altri:



Ě sistema operativo, errori del servizio o dell'avvio dell'applicazione

Ě Errori di autenticazione o autorizzazione

Ě Errori durante l'accesso alle risorse in un computer locale o remoto


Le operazioni che possono modificare le impostazioni di protezione includono, tra le altre:



Ě Aggiornamenti del sistema operativo, service pack QFE e installazioni di un'applicazione

Ě Modifiche dei criteri di gruppo

Ě Assegnazioni diritti utente

Ě Modelli di protezione

Ě La modifica delle impostazioni di protezione in Active Directory, nel Registro di sistema e altri database

Ě La modifica di autorizzazioni per gli oggetti in AD, il file system e il Registro di sistema di Windows



╚ possibile definire le impostazioni di protezione su computer locale, remoto e sulla mancata corrispondenza di interoperabilitÓ tra un computer locale e uno remoto.



Quando un'installazione giÓ funzionante si arresta improvvisamente, una procedura naturale di risoluzione dei problemi Ŕ quella di ritornare all'ultima configurazione funzionante quando il sistema operativo, il servizio o l'applicazione scorso erano in funzione o, in caso estremo, riportare il sistema operativo alla configurazione guidata.


In questo articolo vengono descritti metodi supportati e non supportati per annullare o ripristinare modifiche ai seguenti elementi:

Ě Autorizzazioni nel Registro di sistema, file system e nei servizi.

Ě Assegnazioni diritti utente

Ě Criteri di protezione

Ě Gruppi



Limitazioni di importazione di modelli di protezione predefiniti:

La versione precedente di questo articolo stabilisce un metodo per utilizzare il comando "secedit / configure", con l'avvertenza che la procedura non ripristina tutte le impostazioni di protezione applicate quando si installa Windows e pu˛ portare a conseguenze imprevedibili.



L'uso di "secedit / configure" per importare il modello di protezione predefinito, dfltbase.inf, non Ŕ supportato nÚ Ŕ un metodo praticabile per ripristinare le autorizzazioni di protezione predefinite nei computer con Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2.

A partire da Windows Vista, il metodo per applicare la protezione durante l'installazione del sistema operativo Ŕ cambiato. In particolare, le impostazioni di protezione consistevano in impostazioni definite in deftbase.inf ampliate da impostazioni applicate dal processo di installazione in uso e dall'installazione del ruolo server. PoichÚ non esiste alcun processo supportato per ripetere le autorizzazioni fatte dalla configurazione del sistema operativo, l'uso della riga di comando "secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose" non Ŕ pi¨ in grado di reimpostare tutte le impostazioni predefinite di protezione e pu˛ anche causare instabilitÓ nel sistema operativo.

Per computer con Microsoft Windows 2000, Windows XP o Windows Server 2003, il comando "secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose" Ŕ ancora supportato in rari scenari nei quali Ŕ necessario ripristinare le impostazioni di protezione utilizzando il modello secsetup.inf. Dal momento che l'importazione del Secsetup.inf o qualsiasi altro modello reimposta solo ci˛ che Ŕ definito nel modello e non ripristina le impostazioni esterne, tale metodo pu˛ anche non ripristinare tutto il sistema operativo predefinito, incluse le impostazioni che possono causare un problema di compatibilitÓ.



L'uso di "secedit / configure" rimane pienamente supportato per l'importazione di modelli personalizzati.





Il seguente Ŕ un elenco di metodi supportati (in ordine sparso) per ripristinare il sistema di Windows al suo stato precedente.



1. Ripristino utilizzando lo Stato di sistema: Per tutti i client e server Windows

Se si dispone di un backup dello stato del sistema, creato per il determinato sistema di Windows prima dell'evento imprevisto, utilizzare lo stesso per ripristinare le impostazioni di protezione a uno stato funzionante. Con le eventuali modifiche alle applicazioni del sistema, Ŕ necessario riapplicare lo stato del sistema per un ripristino corretto. ╚ possibile che tale passaggio non sia utile per ripristinare le impostazioni di protezione sui dati relativi all'applicazione o su qualsiasi file di sistema non operativo. ╚ necessario un backup completo del sistema, compreso lo stato del sistema, per ripristinarlo al suo stato originale

2. Ripristino utilizzando Ripristino configurazione di sistema: solo per i sistemi operativi client Windows

La funzionalitÓ integrata Ripristino configurazione di sistema crea automaticamente punti di ripristino, a intervalli regolari e mentre le applicazioni vengono aggiunte tramite i metodi di installazione supportati. Ciascun punto di ripristino contiene le informazioni necessarie per ripristinare il sistema allo stato di sistema scelto. ╚ possibile utilizzare tale metodo per ripristinare il sistema a uno stato specifico. Come accennato per il metodo precedente, Ŕ possibile che tale metodo non sia utile per ripristinare le impostazioni di protezione sui dati delle applicazioni, di conseguenza potrebbe essere necessario un backup completo del sistema.

3. Ripristino utilizzando un modello preconfigurato:

Per i sistemi costruiti con un modello, Ŕ possibile utilizzare una configurazione guidata impostazioni di protezione nel caso in cui un modello Ŕ stato creato per i problemi del computer.

4. Ripristino esclusivo per le autorizzazioni dei file:

Per le autorizzazioni dei file, Ŕ possibile utilizzare lo strumento incorporato della riga di comando ICACLS per ripristinare la protezione di un file, di cui Ŕ stato eseguito il backup scegliendo l'opzione Salva sullo stesso computer da un precedente stato in funzione. ╚ possibile utilizzare tale metodo per confrontare i risultati di uno stesso computer funzionante con uno malfunzionante.



Quando nessuno dei metodi illustrati Ŕ utile o non Ŕ disponibile alcun backup per ripristinare, annullare la modifica seguendo l'elenco di controllo delle modifiche oppure fare riferimento alla sezione di questo articolo Risoluzione dei problemi per una specifica impostazione di protezione o un processo di eliminazione.





Di seguito viene riportata una tabella in cui si confrontano i metodi illustrati in precedenza.



Riduci questa tabellaEspandi questa tabella
MetodoSistemi operativi supportatiAspetti positiviAspetti negativiPrelavorazione necessaria
Windows BackupPer tutti i server e i client WindowsPu˛ essere utilizzato per il backup dei dati e per il ripristino dello stato del sistemaDati, potenzialmente di grandi dimensioni, impostati per la gestione. Potrebbe inoltre essere necessario ripetere le modifiche dopo aver ripristinato il backup.

Ripristino configurazione di sistemaTutti i client Windows: Windows XP, Windows Vista, Windows 7╚ possibile configurare Windows Backup per eseguire i backup automatici dello stato del sistemaNon ripristina i dati delle applicazioni modificati involontariamente.
Configurazione guidata impostazioni di protezioneWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2In grado di fornire un modello per ripristinare o applicare la protezione Applica o visualizza esclusivamente dati contenuti nel modello utilizzato
ICACLS per il ripristinoWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Utile per il backup delle autorizzazioni dei file NTFS, da riutilizzare in seguito a seconda delle necessitÓAttualmente non fornisce autorizzazioni di salvataggio per ulteriori percorsi come il Registro di sistema, i servizi o altro.
Metodi di risoluzione dei problemiWindows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2Utile quando nessuno degli strumenti o backup descritti Ŕ disponibileTale metodo potrebbe non essere in grado di riportare l'intera configurazione del computer al suo stato originale, prima che si siano modificate le autorizzazioni. Inoltre, annullando tali cambiamenti, Ŕ possibile che la risoluzione dei problemi interrompa le dipendenze impostate da un'applicazione o un componente del sistema operativo.No

Informazioni

╚ necessario che i seguenti parametri di protezione siano utilizzati per risolvere il problema delle autorizzazioni. Di seguito vengono riportati i parametri definiti all'interno dei modelli di protezione:

Riduci questa tabellaEspandi questa tabella
Nome area Descrizione
SECURITYPOLICY Criterio locale e criterio di dominio per il sistema. Sono inclusi i criteri account, i criteri di controllo e altri.
GROUP_MGMT Impostazioni dei gruppi con restrizioni per tutti i gruppi specificati nel modello di protezione.
USER_RIGHTS Diritti di accesso degli utenti e concessione di autorizzazioni.
REGKEYS Protezione delle chiavi del Registro di sistema locale.
FILESTORE Protezione dell'archivio file locale.
SERVICES Protezione di tutti i servizi definiti.


I seguenti strumenti sono disponibili per la risoluzione dei problemi nelle diverse aree di protezione:

1. Criteri di protezione (criteri account, criteri di controllo, impostazioni del registro eventi e opzioni di protezione):

a) RSOP

b) Analisi e configurazione della protezione

c) Gpresult

d) Secedit.exe /export

2. Group_Mgmt

a) RSOP

b) Gpresult

3. User_Rights

a) RSOP

b) Analisi e configurazione della protezione

c) Ntrights

4. RegKeys

a) RSOP

b) Analisi e configurazione della protezione

c) Process Monitor

d) AccessChk

e) AccessEnum

f) Subinacl

5. Filestore

a) RSOP

b) Analisi e configurazione della protezione

c) Process Monitor

d) Icacls

e) Xcacls.vbs

f) AccessChk

g) AccessEnum

h) Subinacl

i) Cacls

6. Services

a) RSOP

b) Analisi e configurazione della protezione

c) Process Monitor

d) Sc

e) AccessChk

f) Subinacl



Di seguito sono riportati alcuni ulteriori dettagli riguardanti l'utilizzo di ognuno degli strumenti sopra elencati.

Gruppo di criteri risultante (Resultant Set of Policy - RSOP)

Il Gruppo di criteri risultante si aggiunge ai Criteri di gruppo ed Ŕ volto a facilitare l'implementazione e la risoluzione dei problemi relativi ai criteri. RSoP Ŕ un modulo di gestione query che esegue il polling dei criteri esistenti e pianificati e genera report con i risultati di tali query. Il polling dei criteri esistenti pu˛ essere eseguito a livello di sito, dominio, controller di dominio o unitÓ organizzativa. Il Gruppo di criteri risultante raccoglie queste informazioni dal database CIMON (Common Information Management Object Model), anche noto come repository di oggetti compatibili CIM, utilizzando Strumentazione gestione Windows o WMI.

Gruppo di criteri risultante

http://technet.microsoft.com/it-it/library/cc758010(WS.10).aspx

Utilizzo dello strumento Gruppo di criteri risultante

http://technet.microsoft.com/it-it/library/cc782663(WS.10).aspx

Si tratta di uno snap-in integrato in "rsop.msc" disponibile per tutti i sistemi operativi supportati, Windows XP o successivi.

Analisi e configurazione della protezione

L'analisi e configurazione della protezione Ŕ uno strumento per l'analisi e la configurazione di protezione del sistema locale. L'analisi e configurazione di protezione consente di rivedere rapidamente i risultati delle analisi di protezione e configurare direttamente la protezione del sistema locale. Dispone segnalazioni parallelamente alle impostazioni di sistema correnti e utilizza contrassegni visivi o osservazioni per evidenziare le aree in cui le impostazioni correnti non corrispondano al livello proposto di protezione. L'analisi e configurazione di protezione offre la possibilitÓ di risolvere eventuali discrepanze rivelate dall'analisi. Attraverso i database personali, Ŕ possibile importare i modelli di protezione creati con Modelli di protezione e applicare tali modelli al computer locale. Ci˛ configura immediatamente la protezione del sistema con i livelli specificati nel modello.

Analisi della protezione del sistema

http://technet.microsoft.com/it-it/library/cc776590(WS.10).aspx

Procedure consigliate per l'analisi e configurazione della protezione

http://technet.microsoft.com/it-it/library/cc757894(WS.10).aspxSecedit /ExportSecedit.exe Ŕ uno strumento a riga di comando integrato che pu˛ essere utilizzato per esportare i criteri locali o i criteri uniti da un computer con Windows. ╚ possibile esportare lo stato del criterio dal computer nel suo stato in funzione e quindi utilizzare l'opzione Configura per riapplicare il modello sul computer che presenta problemi.

Per la sintassi e ulteriori informazioni, fare riferimento a questa sezione.

NTrights.exeŔ una strumento a riga di comando del Resource Kit che consente di concedere o revocare i diritti utente su un computer Windows locale o in remoto.

Impostazione dei diritti di accesso utente mediante l'utilitÓ NTRights

http://support.microsoft.com/kb/315276/it

Ntrights.exe Ŕ compreso negli strumenti del Resource Kit e pu˛ essere scaricato qui.

Monitoraggio dei processiŔ una delle utilitÓ Sysinternals che consente il monitoraggio di elementi quali il file system, il Registro di sistema, i processi, i thread e l'attivitÓ DLL in tempo reale. Tale utilitÓ permette di filtrare i risultati e salvarli in un file per la revisione successiva. ╚ possibile utilizzare questo strumento per risolvere i problemi di protezione con accesso ai file e al Registro di sistema. Ad esempio: ╚ possibile filtrare il risultato dopo vari tentativi negati.

Per ulteriori informazioni, visitare il seguente collegamento:

http://technet.microsoft.com/it-it/sysinternals/bb896645.aspx

Scaricare da qui oppure eseguire il monitoraggio processi da Live.Sysinternals.com

AccessCheckŔ un programma a riga di comando che pu˛ essere utilizzato per verificare i gruppi o gli utenti specifici che dispongono di un determinato tipo di accessi a risorse quali file, directory, chiavi del Registro di sistema, oggetti globali e servizi di Windows. Fare clic sui collegamenti riportati di seguito per i dettagli:

http://technet.microsoft.com/it-it/sysinternals/bb664922.aspx

Scaricare qui

AccessEnumoffre una visione completa del percorso del file system e delle impostazioni hive di protezione del Registro, individuando i problemi nel sistema di protezione e bloccando le autorizzazioni a seconda delle necessitÓ.

http://technet.microsoft.com/it-it/sysinternals/bb897332.aspx

Scaricare qui

Sc.exe Ŕ uno strumento integrato a riga di comando che comunica con la Gestione controllo servizi. Pu˛ essere utilizzato per visualizzare informazioni su un valore iniziale di servizio, in modo da modificarlo o disattivarlo. In questo articolo Ŕ possibile utilizzare il comando "sc sdshow Service_Name" per assegnare le autorizzazioni sul servizio. Una volta eseguita l'operazione, Ŕ possibile utilizzare il seguente articolo della Microsoft Knowledge Base per l'interpretazione.

Procedure consigliate e informazioni aggiuntive per gli autori di elenchi di controllo di accesso discrezionale (DACL) e i servizihttp://support.microsoft.com/kb/914392/it

╚ possibile inoltre eseguire il comando "sc sdset service_name DACL_in_SDDL_format" per modificare le autorizzazioni.

Le informazioni aggiuntive sono reperibili ai seguenti collegamenti:

http://support.microsoft.com/kb/251192/it

http://technet.microsoft.com/it-it/magazine/dd296748(en-us).aspxIcacls.exeIcacls.exe Ŕ una utilitÓ a riga di comando integrata che consente di visualizzare o modificare gli elenchi di controllo di accesso discrezionale (DACL) su file o directory specificati. ╚ possibile utilizzare "ICACLS percorso_nome/salva file ACL" per esportare gli ACL al nome del percorso relativo (file e cartelle) in un file di testo e, inoltre, per ripristinarlo di nuovo sui file tramite il comando "ICACLS percorso/ripristina file ACL"

Le informazioni aggiuntive sono reperibili ai seguenti collegamenti:

http://support.microsoft.com/kb/919240/it

http://technet.microsoft.com/it-it/library/cc753525(WS.10).aspx

ProprietÓ

Identificativo articolo: 313222 - Ultima modifica: martedý 2 luglio 2013 - Revisione: 13.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 Scalable Networking Pack
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi:á
kbenv kbhowtomaster KB313222
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com