Panoramica della rappresentazione di un client dopo l'autenticazione e delle impostazioni di sicurezza create global objects

  • Articolo

Questo articolo illustra i diritti utente Impersonate a client after authentication (Rappresenta un client dopo l'autenticazione ) e Create global objects (Crea oggetti globali ).

Si applica a: Windows Server 2012 R2
Numero KB originale: 821546

Riepilogo

Questo articolo illustra i diritti utente "Rappresenta un client dopo l'autenticazione" e "Crea oggetti globali". Queste nuove impostazioni di sicurezza sono state introdotte per la prima volta in Windows 2000 Service Pack 4 (SP4) e consentono di aumentare la sicurezza in Windows 2000. Questo articolo descrive le nuove impostazioni di sicurezza e contiene anche informazioni su alcuni problemi noti che possono verificarsi e su come risolverli.

Importante

Si considerino i problemi seguenti quando si applicano i diritti utente "Rappresenta un client dopo l'autenticazione" e "Crea oggetti globali" usando i criteri di dominio predefiniti o Criteri di gruppo:

  • I diritti utente "Rappresenta un client dopo l'autenticazione" e "Crea oggetti globali" si applicano solo ai computer che eseguono Windows 2000 SP4 o versioni successive.

  • È possibile usare i criteri di dominio predefiniti o Criteri di gruppo per applicare le impostazioni di sicurezza "Rappresenta un client dopo l'autenticazione" e "Crea oggetti globali" ai computer dell'ambiente se i computer eseguono Windows 2000 Service Pack 2 (SP2) o versione successiva. Si noti che anche se è possibile distribuire le impostazioni di sicurezza in un ambiente che contiene computer basati su Windows 2000 SP2 e Windows 2000 Service Pack 3 (SP3), le impostazioni di sicurezza si applicano solo ai computer basati su Windows 2000 SP4. Le impostazioni non si applicano ai computer che eseguono Windows 2000 SP2 o Windows 2000 SP3.

  • Non usare i criteri di dominio predefiniti o un altro Criteri di gruppo per applicare uno o entrambi questi nuovi diritti utente ai computer che eseguono Windows 2000 o Windows 2000 Service Pack 1 (SP1). Si noti che se si usano i criteri di dominio predefiniti o un Criteri di gruppo diverso per applicare questi diritti utente ai computer che eseguono Windows 2000 o Windows 2000 Service Pack 1 (SP1), la propagazione delle impostazioni di sicurezza del criterio non riesce. Ovvero, i criteri non vengono propagati ai computer Windows 2000 o Windows 2000 SP1 e i diritti utente non vengono visualizzati nello snap-in Impostazioni di sicurezza locale. Gli scenari seguenti possono verificarsi se si usano i criteri di dominio predefiniti o un altro Criteri di gruppo per applicare uno o entrambi questi nuovi diritti utente ai computer che eseguono Windows 2000 o Windows 2000 Service Pack 1 (SP1):

    • Le impostazioni aggiuntive dei criteri di sicurezza che si trovano nello stesso oggetto Criteri di gruppo e destinate ai dispositivi Windows 2000 o Windows 2000 Service Pack 1 (SP1) non vengono propagate ai dispositivi di destinazione.

    • Impostazioni aggiuntive dei criteri di sicurezza applicate tramite altri criteri di gruppo lungo il percorso SDOU (sito, dominio, unità organizzativa) per i dispositivi Windows 2000 o Windows 2000 Service Pack 1 (SP1) che verranno propagati.

    • Se una o entrambe queste nuove impostazioni di sicurezza sono destinate a dispositivi Windows 2000 o Windows 2000 Service Pack 1 (SP1), lo snap-in di sicurezza MMC locale su tali dispositivi non può visualizzare correttamente le impostazioni di sicurezza. Tuttavia, tutte le impostazioni di sicurezza applicate ai dispositivi di destinazione da altri oggetti Criteri di gruppo sul lato dominio (che non contengono le nuove impostazioni) verranno comunque applicate a tali dispositivi di destinazione.

  • Analogamente, è possibile usare i criteri di sicurezza controller di dominio predefiniti per applicare le impostazioni di sicurezza "Rappresenta un client dopo l'autenticazione" e "Crea oggetti globali" ai controller di dominio nell'ambiente se i controller di dominio eseguono Windows 2000 SP2 o versioni successive. Si noti che anche se è possibile distribuire le impostazioni di sicurezza in un ambiente che contiene controller di dominio basati su Windows 2000 SP2 e Windows 2000 SP3, le impostazioni di sicurezza si applicano solo ai controller di dominio basati su Windows 2000 SP4. Le impostazioni non si applicano ai controller di dominio che eseguono Windows 2000 SP2 o Windows 2000 SP3.

Problema 1: il diritto utente "Impersonate a Client AfterAuthentication" (SeImpersonatePrivilege)

Il diritto utente "Impersonate a client after authentication" (SeImpersonatePrivilege) è un'impostazione di sicurezza di Windows 2000 introdotta per la prima volta in Windows 2000 SP4. Per impostazione predefinita, ai membri del gruppo Administrators locale del dispositivo e all'account del servizio locale del dispositivo viene assegnato il diritto utente "Rappresenta un client dopo l'autenticazione". Anche i componenti seguenti hanno questo diritto utente:

  • Servizi avviati da Gestione controllo servizi
  • Server COM (Component Object Model) avviati dall'infrastruttura COM e configurati per l'esecuzione con un account specifico

Quando si assegna il diritto utente "Rappresenta un client dopo l'autenticazione" a un utente, si consente ai programmi eseguiti per conto di tale utente di rappresentare un client. Questa impostazione di sicurezza consente di impedire ai server non autorizzati di rappresentare i client che si connettono ad esso tramite metodi quali chiamate rpc (Remote Procedure Call) o named pipe. Per altre informazioni sulla funzione SeImpersonatePrivilege, visitare il seguente sito Web Microsoft:
Rappresenta un client dopo l'autenticazione

Per altre informazioni sulle funzioni di rappresentazione, ad esempio ImpersonateClient, ImpersonateLoggedOnUser e ImpersonateNamedPipeClient, cercare SeImpersonatePrivilege nella documentazione di Microsoft Platform SDK. Per visualizzare questa documentazione, visitare il seguente sito Web Microsoft:
Rappresenta un client dopo l'autenticazione

Risoluzione dei problemi relativi al problema 1

  • Alcuni programmi che usano la rappresentazione potrebbero non funzionare correttamente dopo l'installazione di Windows 2000 SP4.

    Dopo aver installato Windows 2000 Service Pack 4 (SP4) nel computer, alcuni programmi che usano la rappresentazione potrebbero non funzionare correttamente.

    Questo problema può verificarsi in situazioni in cui l'account utente usato per eseguire il programma non dispone del diritto utente "Rappresenta un client dopo l'autenticazione".

    Nei computer che eseguono Windows 2000 Service Pack 3 (SP3) e versioni precedenti, non è necessario un diritto utente per rappresentare un client. Di conseguenza, alcuni programmi che usano la rappresentazione potrebbero non funzionare correttamente dopo l'installazione di Windows 2000 SP4.

    Per risolvere questo problema, identificare l'account utente usato per eseguire il programma e quindi assegnare il diritto utente "Rappresenta un client dopo l'autenticazione" a tale account utente. A tal fine, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza locali.
    2. Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
    3. Nel riquadro destro fare doppio clic su Rappresenta un client dopo l'autenticazione.
    4. Nella finestra di dialogo Impostazione criteri di sicurezza locali fare clic su Aggiungi.
    5. Nella finestra di dialogo Seleziona utenti o gruppo fare clic sull'account utente da aggiungere, fare clic su Aggiungi e quindi fare clic su OK.
    6. Fare clic su OK.

    Nota

    Per risolvere i problemi relativi a situazioni in cui non è possibile determinare l'account utente usato per eseguire il programma e in cui si vuole verificare che i sintomi riscontrati siano causati dal diritto utente, assegnare il diritto utente "Rappresenta un client dopo l'autenticazione" al gruppo Everyone e quindi avviare il programma. Se il programma funziona correttamente, il problema riscontrato potrebbe essere causato dalla nuova impostazione di sicurezza.

  • Viene visualizzato un messaggio di errore "Errore durante il tentativo di esecuzione del progetto" quando si esegue il debug di un'applicazione Web in Visual Studio .NET.

Problema 2: il diritto utente "Crea oggetti globali" (SeCreateGlobalPrivilege)

Il diritto utente "Crea oggetti globali" (SeCreateGlobalPrivilege) è un'impostazione di sicurezza di Windows 2000 introdotta per la prima volta in Windows 2000 SP4. Il diritto utente è necessario per consentire a un account utente di creare oggetti di collegamento simbolico e mapping di file globali. Si noti che gli utenti possono comunque creare oggetti specifici della sessione senza essere assegnati a questo diritto utente. Per impostazione predefinita, ai membri del gruppo Administrators, all'account di sistema e ai servizi avviati da Gestione controllo servizi viene assegnato il diritto utente "Crea oggetti globali".

Risoluzione dei problemi relativi al problema 2

  • Alcuni programmi potrebbero non funzionare correttamente dopo l'installazione di Windows 2000 SP4.

    Dopo aver installato Windows 2000 Service Pack 4 (SP4) nel computer, alcuni programmi potrebbero non funzionare correttamente. Questo problema può verificarsi in situazioni in cui l'account utente usato per eseguire il programma non dispone del diritto utente "Crea oggetti globali".

    Per risolvere questo problema, identificare l'account utente usato per eseguire il programma e quindi assegnare il diritto utente "Crea oggetti globali" a tale account utente. A tal fine, attenersi alla seguente procedura:

    1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza locali.
    2. Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
    3. Nel riquadro destro fare doppio clic su Crea oggetti globali.
    4. Nella finestra di dialogo Impostazione criteri di sicurezza locali fare clic su Aggiungi.
    5. Nella finestra di dialogo Seleziona utenti o gruppo fare clic sull'account utente da aggiungere, fare clic su Aggiungi e quindi fare clic su OK.
    6. Fare clic su OK.

    Nota

    Per risolvere i problemi relativi a situazioni in cui non è possibile determinare l'account utente usato per eseguire il programma e in cui si vuole verificare che i sintomi riscontrati siano causati dal diritto utente, assegnare il diritto utente "Crea oggetti globali" al gruppo Everyone e quindi avviare il programma. Se il programma funziona correttamente, il problema riscontrato potrebbe essere causato dalla nuova impostazione di sicurezza.

  • Viene visualizzato un messaggio di errore "Memoria insufficiente" quando si cercano clip in un documento di Office XP in una sessione di Servizi terminal.

  • Il computer smette di rispondere (si blocca) quando si riavvia un computer basato su Windows 2000 Server dopo l'installazione di McAfee Parental Control.