Come modificare le autorizzazioni predefinite per oggetti Criteri di gruppo in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 e Windows 2000 Server

Traduzione articoli Traduzione articoli
Identificativo articolo: 321476 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

╚ possibile potenziare la protezione degli oggetti Criteri di gruppo (GPO) per impedire a tutti, ma un gruppo di amministratori di modificare i criteri di gruppo trusted. ╚ possibile farlo modificando l'attributo DefaultSecurityDescriptorclassScema oggetto contenitore Criteri di gruppo. Tuttavia, la modifica riguarda solo oggetti Criteri di gruppo appena creato. Per oggetti Criteri di gruppo esistente, Ŕ possibile modificare le autorizzazioni direttamente sul contenitore Criteri di gruppo (CN = {GPO_GUID}, CN = System, DC = domain...) e il modello di criteri di gruppo (\\domain\SYSVOL\Policies\{GPO_GUID)}. Questa procedura pu˛ anche impedire i modelli amministrativi (file ADM) dei modelli di criteri di gruppo vengano aggiornati inavvertitamente da file ADM sulla workstation non gestito.

Informazioni

Quando viene creato un nuovo oggetto di Active Directory, vengono applicate le autorizzazioni specificate nell'attributo dell' oggetto classSchema nello schema DefaultSecurityDescriptor ad esso. Di conseguenza, quando viene creato un oggetto Criteri di gruppo, l'oggetto groupPolicyContainer riceve relativo ACL dall'attributo DefaultSecurityDescriptor nel CN = gruppo-Criteri-Container, CN = Schema, CN = Configuration, DC = forestroot... oggetto. L'editor dei criteri di gruppo si applica anche queste autorizzazioni per cartelle, sottocartelle e file di modello di criteri di gruppo (SYSVOL\Policies\ {GPO_GUID}).

╚ possibile utilizzare la seguente procedura per modificare l'attributo DefaultSecurityDescriptor per l'oggetto classSchema contenitore Criteri di gruppo. Si noti che poichÚ si tratta di una modifica dello schema, inizia una replica completa per tutti i cataloghi globali nell'insieme di strutture. Autorizzazioni dello schema vengono scritti utilizzando la definizione di linguaggio SDDL (Security Descriptor). Per ulteriori informazioni su SDDL, visitare il seguente sito Web Microsoft:
http://msdn2.microsoft.com/en-us/library/aa379567.aspx
Per modificare l'attributo DefaultSecurityDescriptor per l'oggetto classSchema contenitore Criteri di gruppo:
  1. Accedere al controller di dominio master schema dell'insieme di strutture con un account che Ŕ un membro del gruppo di amministratori di Schema.
  2. Avviare MMC. exe e quindi aggiungere lo snap-in Schema.
  3. Destro Schema di Active Directorye quindi scegliere Master operazioni.
  4. Fare clic su Lo Schema pu˛ essere modificato nel controller di dominio, quindi scegliere OK.
  5. Utilizzare l'Editor ADSI per aprire il contesto dei nomi dello schema e quindi individuare il CN = contenitore di criteri di gruppo oggetto con il tipo di classSchema .
  6. Visualizzare le proprietÓ dell'oggetto e quindi individuare l'attributo defaultSecurityDescriptor .
  7. Incolla la seguente stringa in valore per rimuovere le autorizzazioni per gli amministratori di dominio di scrivere in modo che solo gli amministratori dell'organizzazione potrebbe disporre di autorizzazioni di scrittura:
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU)
    Per assegnare le autorizzazioni di scrittura un gruppo aggiuntivo, aggiungere il testo alla fine del testo precedente:
    (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;Group_SID)
    Si noti che Group_SID Ŕ il SID del gruppo a cui si desidera concedere le autorizzazioni.

    Nota Per Windows Server 2003, incollare la stringa seguente nell'attributo defaultSecurityDescriptor :
    D:P(A;CI;RPLCLOLORC;; DA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;EA) (A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;CO)(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;SY) (A;CI;RPLCLORC;;AU) (OA;CI;CR; edacfd8f-ffb3-11d1-b41d-00a0c968f939;AU) (A;CI;LCRPLORC;;ED)


    Nota Modifica dell'attributodefaultSecurityDescriptor non modifica i descrittori di protezione per gli oggetti Group Policy preesistente. ╚, tuttavia, possono utilizzare la stringa completa sopra per sostituire l'ACL di oggetti Criteri di gruppo preesistente in combinazione con uno strumento come sdutil.exe.
  8. Incollare la nuova stringa nel modificare l'attributo casella, fare clic su Set, fare clic su Applicae quindi fare clic su OK.
NotaSe si sta cercando di limitare l'accesso agli amministratori di dominio o amministratori dell'organizzazione, Ŕ necessario inserire un metodo deny nelle autorizzazioni dello Schema predefinito per l'oggetto Grouppolicycontainer. Questi gruppi aggiungerÓ un ACL di licenze aggiuntive per l'oggetto Criteri di gruppo quando viene creato. Per gli amministratori di dominio Ŕ necessario aggiungere Domain Admins ed enterprise administrators aggiungere amministratore. Aggiunta di un metodo Deny Ŕ l'unico modo per restirict di questi gruppi.

Supporto tecnico per le versioni basate su x64 di Microsoft Windows

Il produttore dell'hardware offre supporto tecnico e assistenza per le versioni basate su x64 di Windows. Il produttore dell'hardware fornisce supporto in una versione x64 di Windows Ŕ stata inclusa con l'hardware. Il produttore dell'hardware potrebbe avere personalizzato l'installazione di Windows con particolari componenti. Quali specifici driver di periferica o impostazioni facoltative per ottimizzare le prestazioni dell'hardware. Se Ŕ necessaria assistenza tecnica con le versioni basate su x64 di Windows, Microsoft fornirÓ assistenza sforzo ragionevole. Tuttavia, Ŕ necessario contattare direttamente il produttore. Il soggetto pi¨ qualificato per supportare il software preinstallato sull'hardware.

Per informazioni su Microsoft Windows XP Professional x64 Edition, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/windowsxp/64bit/default.mspx
Per informazioni sulle versioni x64 di Microsoft Windows Server 2003, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/windowsserver2003/64bit/x64/Editions.mspx

ProprietÓ

Identificativo articolo: 321476 - Ultima modifica: venerdý 25 maggio 2012 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Foundation
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 Foundation
Chiavi:á
kbenv kbgrppolicyinfo kbhowto kbmt KB321476 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 321476
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com