HOW TO: Controllare gli oggetti di Active Directory in Windows Server 2003

Traduzione articoli Traduzione articoli
Identificativo articolo: 814595 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto in dettaglio come utilizzare la funzionalitā di controllo di Windows Server 2003 per tenere traccia delle attivitā dell'utente e degli eventi a livello di sistema in Active Directory.

Tramite la funzionalitā di controllo di Windows Server 2003 č possibile registrare sia le attivitā dell'utente sia del sistema Windows Server 2003, ovvero gli eventi, di un computer. Č possibile specificare quali eventi saranno scritti nel registro di protezione. Ad esempio, nel registro di protezione possono essere registrati record sia per i tentativi di accesso validi e non validi, sia per gli eventi relativi a creazione, apertura o eliminazione di file o altri oggetti. In una voce di controllo del registro di protezione sono incluse le seguenti informazioni:
  • L'azione eseguita.
  • L'utente che ha eseguito l'azione.
  • La riuscita o meno dell'evento e l'ora in cui si č verificato tale evento.
Tramite l'impostazione di criteri di controllo vengono definite le categorie di eventi scritti nel registro di protezione di Windows Server 2003 in ciascun computer. Il registro di protezione consente di tenere traccia degli eventi specificati dall'utente.

Quando si imposta il controllo degli eventi di Active Directory, in Windows Server 2003 viene scritta una voce relativa all'evento nel registro di protezione del controller di dominio. Se, ad esempio, un utente tenta di accedere al dominio utilizzando un account utente di dominio e il tentativo non riesce, l'evento viene registrato nel controller di dominio, non nel computer in cui č stato effettuato il tentativo di accesso. Questo comportamento č dovuto al fatto che l'autenticazione del tentativo di accesso non riuscito č stata effettuata dal controller di dominio.

Per visualizzare gli eventi nel registro di protezione di Windows Server 2003, utilizzare il Visualizzatore eventi. Č anche possibile archiviare i file registro per tenere traccia delle tendenze nel tempo, ad esempio se si desidera determinare l'utilizzo di stampanti o file oppure verificare l'utilizzo di risorse non autorizzate.

Per abilitare il controllo di oggetti di Active Directory:
  • Configurare l'impostazione dei criteri di controllo per un controller di dominio. In questo caso, č possibile controllare gli oggetti, ma non un oggetto specifico.
  • Configurare il controllo per oggetti di Active Directory specifici. Dopo avere specificato gli eventi da controllare per file, cartelle, stampanti e oggetti di Active Directory, gli eventi vengono individuati e registrati automaticamente.

Configurazione dell'impostazione dei criteri di controllo per un controller di dominio

Per impostazione predefinita il controllo č disattivato. Per i controller di dominio viene configurata un'impostazione dei criteri di controllo per tutti i controller del dominio. Per controllare gli eventi che si verificano nei controller di dominio, configurare un'impostazione dei criteri di controllo applicabile a tutti i controller in un oggetto criteri di gruppo non locale del dominio. Č possibile accedere a questa impostazione tramite l'unitā organizzativa dei controller di dominio. Per controllare l'accesso utente agli oggetti di Active Directory, configurare la categoria di eventi Controlla accesso al servizio directory nell'impostazione dei criteri di controllo.

NOTE

  • Al computer nel quale si desidera configurare un'impostazione dei criteri di controllo o visualizzare un registro di controllo č necessario concedere il diritto utente Gestione file registro di controllo e di protezione. Per impostazione predefinita, in Windows Server 2003 questi diritti vengono concessi al gruppo Administrators.
  • I file e le cartelle da controllare devono trovarsi su volumi formattati con il file system Microsoft Windows NT (NTFS).
Per configurare l'impostazione dei criteri di controllo per un controller di dominio:
  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Utenti e computer di Active Directory.
  2. Scegliere Caratteristiche avanzate dal menu Visualizza.
  3. Fare clic con il pulsante destro del mouse su Controller di dominio, quindi scegliere Proprietā.
  4. Fare clic sulla scheda Criteri di gruppo, scegliere Criteri predefiniti controller di dominio, quindi scegliere Modifica.
  5. Scegliere Configurazione computer, fare doppio clic su Impostazioni di Windows, su Impostazioni di protezione, su Criteri locali e infine su Criteri di controllo.
  6. Nel riquadro destro fare clic con il pulsante destro del mouse su Controlla accesso al servizio directory e scegliere Proprietā.
  7. Fare clic su Definisci le impostazioni relative ai criteri, quindi selezionare una o entrambe le seguenti caselle di controllo:
    • Operazioni riuscite: selezionare questa casella di controllo per controllare i tentativi riusciti per la categoria di eventi specificata.
    • Operazioni non riuscite: selezionare questa casella di controllo per controllare i tentativi non riusciti per la categoria di eventi specificata.
  8. Fare clic con il pulsante destro del mouse sulla categoria di eventi che si desidera controllare, quindi scegliere Proprietā.
  9. Scegliere OK.
  10. Poiché le modifiche apportate all'impostazione dei criteri di controllo del computer diventano effettive solo quando l'impostazione del criterio viene propagata o applicata al computer, per iniziare la propagazione dei criteri, completare una delle seguenti procedure:
    • Digitare gpupdate /Target:computer al prompt dei comandi, quindi premere INVIO.
    • Attendere la propagazione automatica dei criteri, che viene effettuata a intervalli regolari configurabili. Per impostazione predefinita, la propagazione dei criteri viene effettuata ogni cinque minuti.
  11. Aprire il registro di protezione per visualizzare gli eventi registrati.

    Nota Gli amministratori del dominio o dell'organizzazione possono attivare il controllo della protezione per workstation, server membri e controller di dominio in modalitā remota.

Configurazione del controllo per oggetti di Active Directory specifici

Dopo la configurazione di un'impostazione per i criteri di controllo č possibile configurare il controllo per oggetti specifici, quali utenti, computer, unitā organizzative o gruppi, specificando sia i tipi di accesso sia gli utenti di cui si desidera controllare l'accesso. Per configurare il controllo per oggetti di Active Directory specifici:
  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Utenti e computer di Active Directory.
  2. Assicurarsi che accanto al comando Caratteristiche avanzate nel menu Visualizza sia presente un segno di spunta.
  3. Fare clic con il pulsante destro del mouse sull'oggetto di Active Directory che si desidera controllare, quindi scegliere Proprietā.
  4. Fare clic sulla scheda Protezione, quindi scegliere Avanzate.
  5. Fare clic sulla scheda Controllo, quindi scegliere Aggiungi.
  6. Effettuare una delle seguenti operazioni:
    • Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome dell'utente o del gruppo di cui si desidera controllare l'accesso, quindi scegliere OK.
    • Nell'elenco dei nomi fare doppio clic sul nome dell'utente o del gruppo di cui si desidera controllare l'accesso.
  7. Selezionare la casella di controllo Completata o Non riuscita per le azioni che si desidera controllare, quindi scegliere OK.
  8. Scegliere OK, quindi di nuovo OK.

Risoluzione dei problemi

La dimensione del registro di protezione č limitata, quindi si consiglia di selezionare con attenzione i file e le cartelle da sottoporre al controllo. Considerare anche la quantitā di spazio su disco che si desidera destinare al registro di protezione. La dimensione massima č definita nel Visualizzatore eventi.

Proprietā

Identificativo articolo: 814595 - Ultima modifica: lunedė 20 novembre 2006 - Revisione: 5.2
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi: 
kbhowtomaster kbactivedirectory KB814595
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com