Aggiornamenti al comportamento Gruppi con restrizioni (Membro di) dei gruppi locali definiti dall'utente

Traduzione articoli Traduzione articoli
Identificativo articolo: 810076 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Nelle versioni di Microsoft Windows precedenti a Microsoft Windows 2000 Service Pack 4 (SP4), l'impostazione di protezione Gruppi con restrizioni Membro di dei Criteri di gruppo non pu˛ essere utilizzata per aggiungere gruppi di dominio a gruppi locali su computer membri. Il comportamento di Gruppi con restrizioni Ŕ stato aggiornato in Windows 2000 SP4 e nei prodotti della famiglia Microsoft Windows Server 2003. Microsoft Windows XP Service Pack 1 (SP1) richiede l'installazione di un aggiornamento rapido (hotfix) per aggiornare il comportamento di Gruppi con restrizioni. In questo articolo vengono descritte le modifiche apportate a questa funzionalitÓ.

Informazioni

La funzionalitÓ Gruppi con restrizioni Membro di consente ora di aggiungere gruppi di dominio a gruppi locali. Per ulteriori informazioni sulla funzionalitÓ Gruppi con restrizioni e una descrizione dettagliata delle impostazioni Membri e Membro di, vedere la sezione "Gruppi con restrizioni" nella documentazione del prodotto Windows Server.

Windows XP

Informazioni sul service pack

Per risolvere il problema, procurarsi l'ultimo service pack per Windows XP. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389 Come ottenere il service pack pi¨ recente per Windows XP

Informazioni sull'aggiornamento rapido (hotfix)

╚ disponibile una funzionalitÓ che modifica il comportamento predefinito del prodotto e che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo nei computer in cui Ŕ effettivamente necessaria. ╚ possibile che su questa funzionalitÓ vengano eseguite ulteriori verifiche. Se dunque l'assenza della funzionalitÓ non causa gravi difficoltÓ, si consiglia di attendere la versione successiva del service pack di Windows XP contenente tale funzionalitÓ.

Per procurarsi la funzionalitÓ immediatamente, contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
La versione in lingua inglese di questa funzionalitÓ presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data        Ora    Versione       Dimensioni  Nome file    Piattaforma
   ----------------------------------------------------------------------
   31/01/2003  02.53  5.1.2600.1163  849.408     Scesrv.dll   IA64
   31/01/2003  02.53  5.1.2600.1163  307.712     Scesrv.dll   i386

Aggiunta di gruppi di dominio a gruppi locali

Dopo avere verificato che la funzionalitÓ Ŕ installata in tutti i computer appropriati, Ŕ possibile utilizzare l'impostazione Gruppi con restrizioni Membro di per aggiungere un gruppo di dominio a un gruppo locale (predefinito o personalizzato). ╚ possibile definire criteri Membro di per gruppi diversi in pi¨ oggetti Criteri di gruppo (GPO) collegati a qualsiasi sito, dominio o unitÓ organizzativa. Tutti i criteri cosý definiti verranno applicati. Ad esempio, come illustrato nella tabella seguente, Ŕ possibile creare un criterio per aggiungere il gruppo Domain Admins al gruppo Administrators locale e un altro criterio per aggiungere il gruppo Amministratori di gestione personale al gruppo Administrators locale. Questo gruppo Ŕ collegato a un oggetto Criteri di gruppo a livello di dominio. ╚ inoltre possibile creare un criterio per aggiungere il gruppo Amministratori regionali personali dell'unitÓ organizzativa al gruppo Administrators locale. Questo gruppo Ŕ collegato a un oggetto Criteri di gruppo a livello di unitÓ organizzativa. Tutti i criteri vengono imposti.

Tabella 1: Aggiunta di gruppi di dominio a gruppi locali
Riduci questa tabellaEspandi questa tabella
Gruppo di dominio per cui viene definito un criterio Gruppi con restrizioniVoce "Membro di": Gruppo locale su computer membriLivello GPO in cui Ŕ definito il criterio Gruppi con restrizioniRisultato
Domain Admins (predefinito di dominio)Administrators (predefinito locale)Livello dominioIl gruppo Administrators contiene i gruppi Domain Admins, Amministratori di gestione personali e Amministratori di unitÓ organizzativa personali.
Amministratori di gestione personali (personalizzato di dominio)Administrators (predefinito locale)Livello dominioIl gruppo Administrators contiene i gruppi Domain Admins, Amministratori di gestione personali e Amministratori di unitÓ organizzativa personali.
Amministratori regionali personali dell'unitÓ organizzativa (personalizzato regionale di unitÓ organizzativa)Administrators (predefinito locale)Livello unitÓ organizzativaIl gruppo Administrators contiene i gruppi Domain Admins, Amministratori di gestione personali e Amministratori di unitÓ organizzativa personali.

Aggiunta dello stesso gruppo di dominio a gruppi locali in pi¨ oggetti Criteri di gruppo

Se si creano pi¨ criteri Gruppi con restrizioni per lo stesso gruppo in pi¨ oggetti Criteri di gruppo, verrÓ applicato solo un criterio. I criteri Gruppi con restrizioni per lo stesso gruppo non vengono infatti uniti nei vari oggetti Criteri di gruppo. Il criterio da applicare viene determinato dall'ordine di elaborazione di Criteri di gruppo. Per informazioni sulla gerarchia e sull'ordine di elaborazione di Criteri di gruppo, visitare il seguente sito Web Microsoft Developer Network (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/library/aa374155.aspx
Ad esempio, come illustrato nella tabella che segue, per il gruppo Domain Admins sono definiti due criteri Gruppi con restrizioni. Uno, definito a livello di dominio, consente di aggiungere il gruppo Domain Admins al gruppo Administrators locale, mentre l'altro, definito a livello di unitÓ organizzativa, consente di aggiungere il gruppo Domain Admins al gruppo Amministratori di divisione regionali personali. In realtÓ, il gruppo Domain Admins verrÓ aggiunto solo al gruppo Amministratori di divisione regionali personali, in quanto per impostazione predefinita, gli oggetti Criteri di gruppo collegati a livello di unitÓ organizzativa hanno la precedenza rispetto a quelli definiti a livello di dominio.

Tabella 2: Aggiunta dello stesso gruppo di dominio a gruppi locali in pi¨ oggetti Criteri di gruppo
Riduci questa tabellaEspandi questa tabella
Gruppo di dominio per cui viene definito un criterio Gruppi con restrizioniVoce "Membro di": Gruppo locale su computer membriLivello GPO in cui Ŕ definito il criterio Gruppi con restrizioniRisultato
Domain Admins (predefinito di dominio)Administrators (predefinito locale)Livello dominioIn base all'ordine in cui gli oggetti Criteri di gruppo vengono elaborati, il gruppo Domain Admins verrÓ aggiunto solo al gruppo Amministratori di divisione regionali personali.
Domain Admins (predefinito di dominio)Amministratori di divisione regionali personali (personalizzato locale)UnitÓ organizzativaIn base all'ordine in cui gli oggetti Criteri di gruppo vengono elaborati, il gruppo Domain Admins verrÓ aggiunto solo al gruppo Amministratori di divisione regionali personali.

Controller di dominio

Nelle versioni precedenti di Windows, se un controller di dominio elabora un criterio Gruppi con restrizioni in cui la sezione Membri Ŕ stata lasciata vuota, tutti i membri vengono eliminati dal gruppo al momento dell'applicazione del criterio, indipendentemente dall'impostazione di Membro di. Se, ad esempio, si crea un criterio Gruppi con restrizioni a livello di dominio per il gruppo Domain Admins lasciando vuota la sezione Membri e se il gruppo Administrators locale Ŕ stato incluso in Membro di, quando il criterio verrÓ applicato tutti i membri del gruppo Domain Admins verranno rimossi (compreso l'account amministratore predefinito) e un gruppo Domain Admins vuoto verrÓ aggiunto al gruppo Administrators locale.

Il comportamento in Windows 2000 SP4, Windows XP con Service Pack 2 (SP2) e Windows Server 2003 Ŕ stato corretto. In un computer che esegue una di queste versioni di Windows, se si applica un criterio Gruppi con restrizioni in cui Ŕ definita la sezione Membro di ma viene lasciata vuota la sezione Membri, la sezione Membri verrÓ ignorata e non verrÓ cancellata l'appartenenza ai gruppi.

Se si prevede di utilizzare la funzionalitÓ Gruppi con restrizioni che viene abilitata da questo aggiornamento per configurare controller di dominio, server membri o workstation, assicurarsi che tutti i controller di dominio eseguano Windows 2000 SP4, Windows XP SP2 o Windows Server 2003 affinchÚ l'appartenenza ai gruppi di dominio non venga inavvertitamente modificata.

Il comportamento di server membri e workstation in questo scenario Ŕ rimasto invece immutato.

Applicazione di criteri Gruppi con restrizioni "Membri" e "Membri di" a un gruppo locale

╚ buona norma definire un criterio Gruppi con restrizioni per aggiungere un gruppo di dominio a un gruppo locale e definire un altro criterio Gruppi con restrizioni per limitare l'appartenenza a tale gruppo locale. Non Ŕ possibile prevedere l'appartenenza di gruppo finale per tale gruppo locale, in quanto l'ordine di elaborazione dei due criteri Gruppi con restrizioni non Ŕ definita. Ad esempio, come illustrato nella tabella che segue, se si crea un criterio Gruppi con restrizioni per aggiungere il gruppo Domain Admins al gruppo Administrators locale e un altro criterio Gruppi con restrizioni per limitare l'appartenenza al gruppo Amministratori locale al solo account amministratore predefinito, non sarÓ possibile prevedere quale criterio verrÓ applicato. Se il gruppo Domain Admins viene aggiunto al gruppo Administrators locale prima che venga limitata l'appartenenza a quest'ultimo, il gruppo Domain Admins verrÓ aggiunto al gruppo Administrators locale e successivamente rimosso. Se invece l'appartenenza al gruppo Administrators locale viene limitata prima dell'aggiunta del gruppo Domain Admins, quest'ultimo rimarrÓ parte del gruppo Administrators locale.

Tabella 3: Aggiunta di un gruppo di dominio a un gruppo locale con appartenenza limitata
Riduci questa tabellaEspandi questa tabella
Gruppo per cui viene definito un criterio Gruppi con restrizioniVoce "Membri"Voce "Membro di" Appartenenza al gruppo risultante
Domain Admins (predefinito di dominio)NessunaAdministrators (predefinito locale)Non Ŕ possibile prevedere l'appartenenza finale al gruppo Administrators locale.
Administrators (predefinito locale)Amministratore (predefinito locale)Nessuna Non Ŕ possibile prevedere l'appartenenza finale al gruppo Administrators locale.
Per ottenere l'appartenenza desiderata, utilizzare esclusivamente criteri Gruppo con restrizioni Membri o Membri di. Nell'esempio riportato nella tabella 3, per ottenere l'appartenenza desiderata al gruppo Administrators, aggiungere Domain Admins alla voce Membri per il criterio Gruppi con restrizioni del gruppo Administrators locale.

Windows 2000

Informazioni sul service pack

Per risolvere questo problema Ŕ necessario ottenere il service pack pi¨ recente per Microsoft Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910 Acquisizione della versione pi¨ recente del service pack di Windows 2000

Informazioni sull'aggiornamento rapido (hotfix)

╚ disponibile una funzionalitÓ che modifica il comportamento predefinito del prodotto e che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo nei computer in cui Ŕ effettivamente necessaria. ╚ possibile che su questa funzionalitÓ vengano eseguite ulteriori verifiche. Se dunque l'assenza della funzionalitÓ non causa gravi difficoltÓ, si consiglia di attendere la versione successiva del service pack di Windows 2000 contenente tale funzionalitÓ.

Per procurarsi la funzionalitÓ immediatamente, contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
La versione in lingua inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
 Data        Ora    Versione        Dimensioni   Nome file
 -------------------------------------------------------------
 07/11/2002  22.33  5.0.2195.6109   124.688      Adsldp.dll
 07/11/2002  22.33  5.0.2195.5781   131.344      Adsldpc.dll
 07/11/2002  22.33  5.0.2195.6109    62.736      Adsmsext.dll
 07/11/2002  22.33  5.0.2195.6052   358.160      Advapi32.dll
 07/11/2002  22.33  5.0.2195.6094    49.936      Browser.dll
 07/11/2002  22.33  5.0.2195.6012   135.952      Dnsapi.dll
 07/11/2002  22.33  5.0.2195.6076    96.016      Dnsrslvr.dll
 15/11/2001  23.27                    5.149      Empty.cat
 07/11/2002  22.33  5.0.2195.5722    45.328      Eventlog.dll
 07/11/2002  22.33  5.0.2195.6059   146.704      Kdcsvc.dll
 01/11/2002  18.52  5.0.2195.6112   204.048      Kerberos.dll
 21/08/2002  16.27  5.0.2195.6023    71.248      Ksecdd.sys
 07/11/2002  02.02  5.0.2195.6118   507.664      Lsasrv.dll
 07/11/2002  02.02  5.0.2195.6118    33.552      Lsass.exe
 27/08/2002  22.53  5.0.2195.6034   108.816      Msv1_0.dll
 07/11/2002  22.33  5.0.2195.5979   307.472      Netapi32.dll
 07/11/2002  22.33  5.0.2195.6075   360.720      Netlogon.dll
 07/11/2002  22.33  5.0.2195.6100   920.848      Ntdsa.dll
 07/11/2002  22.33  5.0.2195.6100   389.392      Samsrv.dll
 07/11/2002  22.33  5.0.2195.6120   130.320      Scecli.dll
 07/11/2002  22.33  5.0.2195.6120   303.888      Scesrv.dll
 07/11/2002  01.56  5.0.2195.6118   139.264      Sp3res.dll
 07/11/2002  00.05        5.3.9.0     4.096      Spmsg.dll
 07/11/2002  00.06        5.3.9.0    87.040      Spuninst.exe
 07/11/2002  22.33  5.0.2195.5859    48.912      W32time.dll
 04/06/2002  21.32  5.0.2195.5859    57.104      W32tm.exe
 07/11/2002  22.33  5.0.2195.6100   126.224      Wldap32.dll
 07/11/2002  02.02  5.0.2195.6118   507.664      Lsasrv.dll     --   56 bit 
Per ulteriori informazioni su come ottenere un aggiornamento rapido per Windows 2000 Datacenter Server, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
265173 Il programma Datacenter e il prodotto Windows 2000 Datacenter Server
Per ulteriori informazioni sull'installazione di pi¨ aggiornamenti Windows o aggiornamenti rapidi (hotfix) con un solo riavvio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
296861 Installazione di pi¨ aggiornamenti o aggiornamenti rapidi (hotfix) per Windows con un solo riavvio

ProprietÓ

Identificativo articolo: 810076 - Ultima modifica: sabato 14 maggio 2011 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Microsoft Windows XP Professional
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
Chiavi:á
kbqfe kbhotfixserver kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix KB810076
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com