L'attendibilità tra un dominio Windows NT e un dominio di Active Directory non può essere stabilita o non funziona come previsto
Questo articolo descrive i problemi di configurazione dell'attendibilità tra un dominio basato su Windows NT 4.0 e un dominio basato su Active Directory.
Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 889030
Sintomi
Se si tenta di configurare un trust tra un dominio basato su Microsoft Windows NT 4.0 e un dominio basato su Active Directory, è possibile che si verifichi uno dei sintomi seguenti:
- Il trust non viene stabilito.
- Il trust viene stabilito, ma il trust non funziona come previsto.
Inoltre, è possibile ricevere uno dei messaggi di errore seguenti:
Si è verificato l'errore seguente durante il tentativo di aggiunta al dominio "Domain_Name": l'account non è autorizzato ad accedere da questa stazione.
Accesso negato.
Non è stato possibile contattare alcun controller di dominio.
Errore di accesso: nome utente sconosciuto o password non valida.
Quando si usa la selezione oggetti in Utenti e computer di Active Directory per aggiungere utenti dal dominio NT 4.0 al dominio di Active Directory, è possibile che venga visualizzato il messaggio di errore seguente:
Nessun elemento corrispondente alla ricerca corrente. Controllare i parametri di ricerca e riprovare.
Causa
Questo problema si verifica a causa di un problema di configurazione in una delle aree seguenti:
- Risoluzione dei nomi
- Impostazioni di protezione
- Diritti utente
- Appartenenza a gruppi per Microsoft Windows 2000 o Microsoft Windows Server 2003
Per identificare correttamente la causa del problema, è necessario risolvere i problemi relativi alla configurazione dell'attendibilità.
Risoluzione
Se viene visualizzato il messaggio di errore "Nessun elemento corrispondente alla ricerca corrente" quando si usa la selezione oggetti in Utenti e computer di Active Directory, assicurarsi che i controller di dominio nel dominio NT 4.0 includano Tutti nel diritto Accedi al computer dall'utente di rete. In questo scenario, la selezione oggetti tenta di connettersi in modo anonimo attraverso l'attendibilità. Per verificare queste impostazioni, seguire la procedura descritta nella sezione "Metodo tre: Verificare i diritti utente".
Per risolvere i problemi di configurazione dell'attendibilità tra un dominio basato su Windows NT 4.0 e Active Directory, è necessario verificare la configurazione corretta delle aree seguenti:
- Risoluzione dei nomi
- Impostazioni di protezione
- Diritti utente
- Appartenenza a gruppi per Microsoft Windows 2000 o Microsoft Windows Server 2003
A tale scopo, usare i metodi seguenti.
Metodo 1: Verificare la configurazione corretta della risoluzione dei nomi
Passaggio 1: Creare un file LMHOSTS
Creare un file LMHOSTS nei controller di dominio primari per fornire la funzionalità di risoluzione dei nomi tra domini. Il file LMHOSTS è un file di testo che è possibile modificare con qualsiasi editor di testo, ad esempio blocco note. Il file LMHOSTS in ogni controller di dominio deve contenere l'indirizzo TCP/IP, il nome di dominio e la voce \0x1b dell'altro controller di dominio.
Dopo aver creato il file LMHOSTS, seguire questa procedura:
Modificare il file in modo che contenga testo simile al testo seguente:
1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
2.2.2.2 "<2000_Domain> \0x1b"#PRENota
Devono essere presenti un totale di 20 caratteri e spazi tra le virgolette (" ") per la voce \0x1b. Aggiungere spazi dopo il nome di dominio in modo che usi 15 caratteri. Il sedicesimo carattere è la barra rovesciata seguita dal valore "0x1b" e il totale è di 20 caratteri.
Al termine delle modifiche apportate al file LMHOSTS, salvare il file nella cartella %SystemRoot% \System32\Drivers\Etc nei controller di dominio. Per altre informazioni sul file LMHOSTS, vedere il file di esempio Lmhosts.sam che si trova nella cartella %SystemRoot% \System32\Drivers\Etc.
Passaggio 2: Caricare il file LMHOSTS nella cache
Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
Al prompt dei comandi digitare
NBTSTAT -R
e quindi premere INVIO. Questo comando carica il file LMHOSTS nella cache.Al prompt dei comandi digitare
NBTSTAT -c
e quindi premere INVIO. Questo comando visualizza la cache. Se il file è scritto correttamente, la cache è simile alla seguente:NT4PDCName <03> UNIQUE 1.1.1.1 -1
NT4PDCName <00> UNIQUE 1.1.1.1 -1
NT4PDCName <20> UNIQUE 1.1.1.1 -1
NT4DomainName <1C> GROUP 1.1.1.1 -1
NT4DomainName <1B> UNIQUE 1.1.1.1 -1
W2KPDCName <03> UNIQUE 2.2.2.2 -1
W2KPDCName <00> UNIQUE 2.2.2.2 -1
W2KPDCName <20> UNIQUE 2.2.2.2 -1
W2KDomainName <1C> GROUP 2.2.2.2 -1
W2KDomainName <1B> UNIQUE 2.2.2.2 -1Se il file non popola correttamente la cache, continuare con il passaggio successivo.
Passaggio 3: Assicurarsi che la ricerca LMHOSTS sia abilitata nel computer basato su Windows NT 4.0
Se il file non popola correttamente la cache, verificare che la ricerca LMHOSTS sia abilitata nel computer basato su Windows NT 4.0. A tal fine, attenersi alla seguente procedura:
- Fare clic su Start, scegliere Impostazioni e quindi fare clic su Pannello di controllo.
- Fare doppio clic su Reti, fare clic sulla scheda Protocolli e quindi fare doppio clic su Protocollo TCP/IP.
- Fare clic sulla scheda Indirizzo WINS e quindi selezionare la casella di controllo Abilita ricerca LMHOSTS .
- Riavviare il computer.
- Ripetere i passaggi nella sezione "Caricare il file LMHOSTS nella cache".
- Se il file non popola correttamente la cache, assicurarsi che il file LMHOSTS si trova nella cartella %SystemRoot%\System32\Drivers\Etc e che il file sia formattato correttamente.
Ad esempio, il file deve essere formattato in modo simile alla formattazione di esempio seguente:
1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE
Nota
Devono essere presenti un totale di 20 caratteri e spazi all'interno delle virgolette (" ") per il nome di dominio e la voce \0x1b.
Passaggio 4: Usare il comando Ping per testare la connettività
Quando il file popola correttamente la cache in ogni server, usare il Ping
comando in ogni server per testare la connettività tra i server. A tal fine, attenersi alla seguente procedura:
Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
Al prompt dei comandi digitare
Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>
e quindi premere INVIO. Se ilPing
comando non funziona, assicurarsi che gli indirizzi IP corretti siano elencati nel file LMHOSTS.Al prompt dei comandi digitare
net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>
e quindi premere INVIO. Si prevede che venga visualizzato il messaggio di errore seguente:Si è verificato l'errore di sistema 5. Accesso negato
Se il comando net view restituisce il messaggio di errore seguente o qualsiasi altro messaggio di errore correlato, assicurarsi che gli indirizzi IP corretti siano elencati nel file LMHOSTS:
Si è verificato l'errore di sistema 53. Impossibile trovare il percorso di rete
In alternativa, Windows Internet Name Service (WINS) può essere configurato per abilitare la funzionalità di risoluzione dei nomi senza usare un file LMHOSTS.
Metodo 2: Visualizzare le impostazioni di sicurezza
In genere, il lato Active Directory della configurazione dell'attendibilità include impostazioni di sicurezza che causano problemi di connettività. Tuttavia, le impostazioni di sicurezza devono essere controllate su entrambi i lati del trust.
Passaggio 1: Visualizzare le impostazioni di sicurezza in Windows 2000 Server e Windows Server 2003
In Windows 2000 Server e Windows Server 2003 le impostazioni di sicurezza possono essere applicate o configurate da Criteri di gruppo, un criterio locale o un modello di sicurezza applicato.
È necessario usare gli strumenti corretti per determinare i valori correnti delle impostazioni di sicurezza per evitare letture imprecise.
Per ottenere una lettura accurata delle impostazioni di sicurezza correnti, usare i metodi seguenti:
In Windows 2000 Server usare lo snap-in Configurazione e analisi della sicurezza.
In Windows Server 2003 usare lo snap-in Configurazione e analisi della sicurezza o lo snap-in Set di criteri risultante (RSoP).
Dopo aver determinato le impostazioni correnti, è necessario identificare i criteri che applicano le impostazioni. Ad esempio, è necessario determinare il Criteri di gruppo in Active Directory o le impostazioni locali che impostano i criteri di sicurezza.
In Windows Server 2003 i criteri che impostano i valori di sicurezza sono identificati dallo strumento RSoP. Tuttavia, in Windows 2000 è necessario visualizzare la Criteri di gruppo e i criteri locali per determinare i criteri che contengono le impostazioni di sicurezza:
Per visualizzare le impostazioni Criteri di gruppo, è necessario abilitare l'output di registrazione per il client di configurazione della sicurezza di Microsoft Windows 2000 durante l'elaborazione Criteri di gruppo.
Visualizzare la Visualizzatore eventi di accesso dell'applicazione e trovare l'ID evento 1000 e l'ID evento 1202.
Le tre sezioni seguenti identificano il sistema operativo ed elencano le impostazioni di sicurezza che è necessario verificare per il sistema operativo nelle informazioni raccolte:
Windows 2000
Assicurarsi che le impostazioni seguenti siano configurate come illustrato.
Restrictanonymous:
Restrizioni aggiuntive per le connessioni anonime |
"Nessuno. Fare affidamento sulle autorizzazioni predefinite" |
---|
Compatibilità LM:
Livello di autenticazione LAN Manager | "Invia solo risposta NTLM" |
---|
Firma SMB, crittografia SMB o entrambi:
Firma digitale delle comunicazioni client (sempre) | DISABILI |
---|---|
Firma digitale delle comunicazioni client (quando possibile) | ABILITATO |
Firma digitale delle comunicazioni del server (sempre) | DISABILI |
Firmare digitalmente le comunicazioni del server (quando possibile) | ABILITATO |
Canale sicuro: crittografare o firmare digitalmente i dati del canale sicuro (sempre) | DISABILI |
Canale sicuro: crittografare digitalmente i dati del canale sicuro (quando possibile) | DISABILI |
Canale sicuro: firma digitale dei dati del canale sicuro (quando possibile) | DISABILI |
Canale sicuro: richiedere una chiave di sessione avanzata (Windows 2000 o versione successiva) | DISABILI |
Windows Server 2003
Assicurarsi che le impostazioni seguenti siano configurate come illustrato.
RestrictAnonymous e RestrictAnonymousSam:
Accesso alla rete: consentire la conversione anonima di SID/nome | ABILITATO |
---|---|
Accesso alla rete: non consentire l'enumerazione anonima degli account SAM | DISABILI |
Accesso alla rete: non consentire l'enumerazione anonima di account e condivisioni SAM | DISABILI |
Accesso alla rete: consenti l'applicazione delle autorizzazioni Everyone agli utenti anonimi | ABILITATO |
Accesso alla rete: le named pipe sono accessibili in modo anonimo | ABILITATO |
Accesso alla rete: limitare l'accesso anonimo a named pipe e condivisioni | DISABILI |
Nota
Per impostazione predefinita, il valore dell'impostazione Accesso alla rete: Consenti conversione sid/nome anonimo è DISABILITATO in Windows Server 2008.
Compatibilità LM:
Sicurezza di rete: livello di autenticazione LAN Manager | "Invia solo risposta NTLM" |
---|
Firma SMB, crittografia SMB o entrambi:
Client di rete Microsoft: firma digitale delle comunicazioni (sempre) | DISABILI |
---|---|
Client di rete Microsoft: firma digitalmente le comunicazioni (se il server è d'accordo) | ABILITATO |
Server di rete Microsoft: firma digitale delle comunicazioni (sempre) | DISABILI |
Server di rete Microsoft: firmare digitalmente le comunicazioni (se il client è d'accordo) | ABILITATO |
Membro di dominio: crittografare o firmare digitalmente i dati del canale sicuro (sempre) | DISABILI |
Membro di dominio: crittografare digitalmente i dati del canale sicuro (quando possibile) | ABILITATO |
Membro di dominio: firma digitale dei dati del canale sicuro (quando possibile) | ABILITATO |
Membro di dominio: richiedere una chiave di sessione avanzata (Windows 2000 o versione successiva) | DISABILI |
Dopo aver configurato correttamente le impostazioni, è necessario riavviare il computer. Le impostazioni di sicurezza non vengono applicate fino al riavvio del computer.
Dopo il riavvio del computer, attendere 10 minuti per assicurarsi che vengano applicati tutti i criteri di sicurezza e che siano configurate le impostazioni valide. È consigliabile attendere 10 minuti perché gli aggiornamenti dei criteri di Active Directory si verificano ogni 5 minuti in un controller di dominio e l'aggiornamento può modificare i valori delle impostazioni di sicurezza. Dopo 10 minuti, usare Configurazione e analisi della sicurezza o un altro strumento per esaminare le impostazioni di sicurezza in Windows 2000 e Windows Server 2003.
Windows NT 4.0
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente: 322756 Come eseguire il backup e ripristinare il Registro di sistema in Windows
In Windows NT 4.0 è necessario verificare le impostazioni di sicurezza correnti usando lo strumento Regedt32 per visualizzare il Registro di sistema. A tal fine, attenersi alla seguente procedura:
Fare clic su Start, fare clic su Esegui, digitare regedt32 e quindi fare clic su OK.
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RestrictAnonymous:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce Compatibilità LM:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce EnableSecuritySignature (server):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireSecuritySignature (server):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireSignOrSeal:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce SealSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce SignSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Espandere le sottochiavi del Registro di sistema seguenti e quindi visualizzare il valore assegnato alla voce RequireStrongKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Metodo tre: Verificare i diritti utente
Per verificare i diritti utente necessari in un computer basato su Windows 2000, seguire questa procedura:
- Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi Criteri di sicurezza locali.
- Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
- Nel riquadro destro fare doppio clic su Accedi al computer dalla rete.
- Fare clic per selezionare la casella di controllo Impostazione criteri locali accanto al gruppo Tutti nell'elenco Assegnato a e quindi fare clic su OK.
- Fare doppio clic su Nega accesso al computer dalla rete.
- Verificare che nell'elenco Assegnato a non siano presenti gruppi di principi e quindi fare clic su OK. Ad esempio, assicurarsi che Tutti, Utenti autenticati e altri gruppi non siano elencati.
- Fare clic su OK e quindi chiudere Criteri di sicurezza locali.
Per verificare i diritti utente necessari in un computer basato su Windows Server 2003, seguire questa procedura:
Fare clic su Start, scegliere Strumenti di amministrazione e quindi criteri di sicurezza del controller di dominio.
Espandere Criteri locali e quindi fare clic su Assegnazione diritti utente.
Nel riquadro destro fare doppio clic su Accedi al computer dalla rete.
Assicurarsi che il gruppo Everyone sia incluso nell'elenco Accedi al computer dall'elenco di rete .
Se il gruppo Everyone non è elencato, seguire questa procedura:
- Fare clic su Aggiungi utente o gruppo.
- Nella casella Nomi utente e gruppo digitare Tutti e quindi fare clic su OK.
Fare doppio clic su Nega accesso al computer dalla rete.
Verificare che non siano presenti gruppi di principi nell'elenco Nega accesso al computer dall'elenco di rete e quindi fare clic su OK. Ad esempio, assicurarsi che Tutti, Utenti autenticati e altri gruppi non siano elencati.
Fare clic su OK e quindi chiudere i criteri di sicurezza del controller di dominio.
Per verificare i diritti utente necessari in un computer basato su Windows NT Server 4.0, seguire questa procedura:
Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e quindi fare clic su User Manager for Domains.Click Start, point to Programs, point to Administrative Tools, then click User Manager for Domains.
Scegliere Diritti utente dal menu Criteri.
Nell'elenco A destra fare clic su Accedi al computer dalla rete.
Nella casella Concedi a verificare che il gruppo Everyone sia stato aggiunto.
Se il gruppo Everyone non viene aggiunto, seguire questa procedura:
- Fare clic su Aggiungi.
- Nell'elenco Nomi fare clic su Tutti, fare clic su Aggiungi e quindi su OK.
Fare clic su OK e quindi chiudere Gestione utenti.
Metodo quattro: Verificare l'appartenenza ai gruppi
Se viene configurato un trust tra i domini, ma non è possibile aggiungere gruppi di utenti principali da un dominio all'altro perché la finestra di dialogo non individua gli altri oggetti di dominio, il gruppo "Accesso compatibile con Pre-Windows 2000" potrebbe non avere l'appartenenza corretta.
Nei controller di dominio basati su Windows 2000 e nei controller di dominio basati su Windows Server 2003, verificare che siano configurate le appartenenze ai gruppi richieste.
Per eseguire questa operazione nei controller di dominio basati su Windows 2000, seguire questa procedura:
Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
Fare clic su Predefinito e quindi fare doppio clic su Gruppo di accesso compatibile con Pre-Windows 2000.
Fare clic sulla scheda Membri e quindi assicurarsi che il gruppo Everyone sia incluso nell'elenco Membri .
Se il gruppo Everyone non è incluso nell'elenco Membri , seguire questa procedura:
- Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
- Al prompt dei comandi digitare
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
e quindi premere INVIO.
Per assicurarsi che le appartenenze ai gruppi necessarie siano configurate nei controller di dominio basati su Windows Server 2003, è necessario sapere se l'impostazione dei criteri "Accesso alla rete: Consenti autorizzazioni a tutti gli utenti anonimi" è disabilitata. Se non si conosce, usare l'Editor oggetto Criteri di gruppo per determinare lo stato dell'impostazione dei criteri "Accesso alla rete: Consenti a tutti di applicare le autorizzazioni agli utenti anonimi". A tal fine, attenersi alla seguente procedura:
Fare clic sul pulsante Start, scegliere Esegui, digitare gpedit.msc e quindi fare clic su OK.
Espandere le cartelle seguenti:
Criteri computer locale
Configurazione computer
Impostazioni di Windows
Impostazioni di sicurezza
Criteri localiFare clic su Opzioni di sicurezza e quindi su Accesso alla rete: Consenti a tutti di applicare le autorizzazioni agli utenti anonimi nel riquadro destro.
Si noti che il valore nella colonna Impostazioni di sicurezza è Disabilitato o Abilitato.
Per assicurarsi che le appartenenze ai gruppi necessarie siano configurate nei controller di dominio basati su Windows Server 2003, seguire questa procedura:
Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
Fare clic su Predefinito e quindi fare doppio clic su Gruppo di accesso compatibile con Pre-Windows 2000.
Fare clic sulla scheda Members.
Se l'impostazione dei criteri Accesso alla rete: Consenti a tutti gli utenti di applicare le autorizzazioni agli utenti anonimi è disabilitata, assicurarsi che il gruppo Everyone, Anonymous Logon sia incluso nell'elenco Membri . Se l'impostazione del criterio "Accesso alla rete: consenti a tutti di applicare le autorizzazioni agli utenti anonimi" è abilitata, assicurarsi che il gruppo Everyone sia incluso nell'elenco Membri .
Se il gruppo Everyone non è incluso nell'elenco Membri , seguire questa procedura:
- Fare clic su Start, fare clic su Esegui, digitare cmd e quindi fare clic su OK.
- Al prompt dei comandi digitare
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
e quindi premere INVIO.
Metodo cinque: Verificare la connettività tramite dispositivi di rete, ad esempio firewall, commutatori o router
Se sono stati ricevuti messaggi di errore simili al seguente e si è verificato che i file LMHOST sono corretti, il problema potrebbe essere causato da un firewall, un router o un commutatore che ha bloccato le porte tra i controller di dominio:
Non è stato possibile contattare alcun controller di dominio
Per risolvere i problemi relativi ai dispositivi di rete, usare PortQry Command Line Port Scanner versione 2.0 per testare le porte tra i controller di dominio.
Per altre informazioni su PortQry versione 2, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:
832919 Nuove funzionalità e funzionalità in PortQry versione 2.0
Per altre informazioni sulla configurazione delle porte, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:
179442 Come configurare un firewall per domini e trust
Metodo 6: Raccogliere informazioni aggiuntive per risolvere il problema
Se i metodi precedenti non consentono di risolvere il problema, raccogliere le informazioni aggiuntive seguenti per risolvere la causa del problema:
Abilitare la registrazione Netlogon in entrambi i controller di dominio. Per altre informazioni su come completare la registrazione netlogon, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente: 109626 Abilitazione della registrazione di debug per il servizio Accesso rete
Acquisire una traccia in entrambi i controller di dominio nello stesso momento in cui si verifica il problema.
Ulteriori informazioni
L'elenco seguente di oggetti Criteri di gruppo (OGGETTI Criteri di gruppo) fornisce la posizione della voce del Registro di sistema corrispondente e il Criteri di gruppo nei sistemi operativi applicabili:
Oggetto Criteri di gruppo RestrictAnonymous:
- Percorso del Registro di sistema di Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\ Opzioni di sicurezza Restrizioni aggiuntive per le connessioni anonime
- Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza Accesso alla rete: non consentire l'enumerazione anonima di condivisioni e account SAM
- Percorso del Registro di sistema di Windows NT:
Oggetto Criteri di gruppo RestrictAnonymousSAM:
- Percorso del Registro di sistema di Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza Opzioni di sicurezza Accesso alla rete: non consentire l'enumerazione anonima di condivisioni e account SAM
- Percorso del Registro di sistema di Windows Server 2003:
Oggetto Criteri di gruppo EveryoneIncludesAnonymous:
- Percorso del Registro di sistema di Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza Accesso alla rete: Consenti a tutti di applicare le autorizzazioni a utenti anonimi
- Percorso del Registro di sistema di Windows Server 2003:
Oggetto Criteri di gruppo di compatibilità LM:
Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza: livello di autenticazione LAN Manager
Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Sicurezza di rete: livello di autenticazione LAN Manager
Oggetto Criteri di gruppo EnableSecuritySignature (client):
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
- Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza \Opzioni di sicurezza: firma digitale della comunicazione client (quando possibile)
- Windows Server 2003 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Client di rete Microsoft: Firma digitale delle comunicazioni (se il server è d'accordo)
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
Oggetto Criteri di gruppo RequireSecuritySignature (client):
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
- Windows 2000 Criteri di gruppo: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza: firma digitale della comunicazione client (sempre)
- Windows Server 2003: Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Opzioni di sicurezza\Client di rete Microsoft: Firmare digitalmente le comunicazioni (sempre)
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
Oggetto Criteri di gruppo EnableSecuritySignature (server):
- Percorso del Registro di sistema di Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
- Windows 2000 Criteri di gruppo: firma digitale della comunicazione del server (quando possibile)
- Windows Server 2003 Criteri di gruppo: Server di rete Microsoft: Firma digitale delle comunicazioni (se il client è d'accordo)
- Percorso del Registro di sistema di Windows NT:
Oggetto Criteri di gruppo RequireSecuritySignature (server):
- Percorso del Registro di sistema di Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
- Percorso del Registro di sistema di Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
- Windows 2000 Criteri di gruppo: firma digitale della comunicazione del server (sempre)
- Windows Server 2003 Criteri di gruppo: Server di rete Microsoft: Firma digitale delle comunicazioni (sempre)
- Percorso del Registro di sistema di Windows NT:
Oggetto Criteri di gruppo RequireSignOrSeal:
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Criteri di gruppo: crittografare o firmare digitalmente i dati del canale sicuro (sempre)
- Windows Server2003 Criteri di gruppo: membro del dominio: crittografare o firmare digitalmente i dati del canale sicuro (sempre)
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003:
Oggetto Criteri di gruppo SealSecureChannel:
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Criteri di gruppo: Canale sicuro: crittografare digitalmente i dati del canale sicuro (quando possibile)
- Windows Server 2003 Criteri di gruppo: membro del dominio: crittografare digitalmente i dati del canale sicuro (quando possibile)
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server2003:
Oggetto Criteri di gruppo SignSecureChannel:
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Criteri di gruppo: Canale sicuro: firma digitale dei dati del canale sicuro (quando possibile)
- Windows Server 2003 Criteri di gruppo: Membro del dominio: Firma digitale dei dati del canale sicuro (quando possibile)
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003:
Oggetto Criteri di gruppo RequireStrongKey:
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Criteri di gruppo: Canale sicuro: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
- Windows Server 2003 Criteri di gruppo: Membro di dominio: Richiedi chiave di sessione avanzata (Windows 2000 o versione successiva)
- Percorso del Registro di sistema di Windows NT, Windows 2000 e Windows Server 2003:
Windows Server 2008
In un controller di dominio che esegue Windows Server 2008, il comportamento predefinito dell'impostazione dei criteri Consenti algoritmi di crittografia compatibili con Windows NT 4.0 può causare un problema. Questa impostazione impedisce ai sistemi operativi Windows e ai client di terze parti di usare algoritmi di crittografia deboli per stabilire canali di sicurezza NETLOGON per i controller di dominio basati su Windows Server 2008.
Riferimenti
Per altre informazioni, fare clic sui numeri degli articoli seguenti per visualizzare gli articoli della Microsoft Knowledge Base:
823659 incompatibilità di client, servizi e programmi che possono verificarsi quando si modificano le impostazioni di sicurezza e le assegnazioni dei diritti utente
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per