Descrizione delle modifiche alle impostazioni di protezione DCOM dopo l'installazione di Windows Server 2003 Service Pack 1

Traduzione articoli Traduzione articoli
Identificativo articolo: 903220 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In Microsoft Windows Server 2003 Service Pack 1 (SP1) sono state introdotte alcune impostazioni avanzate di protezione predefinite per il protocollo DCOM. In particolare, in Windows Server 2003 SP1 sono stati introdotti diritti che conferiscono a un amministratore il controllo indipendente sulle autorizzazioni locali e remote per l'avvio dei server COM, l'attivazione delle impostazioni dei server COM e l'accesso ai server COM. In questo articolo vengono descritte le modifiche apportate alle impostazioni di protezione DCOM.

Informazioni

I servizi di certificazione di Windows Server 2003 utilizzano il protocollo DCOM per garantire i servizi di registrazione e di amministrazione. Nei servizi di certificazione sono disponibili diverse interfacce DCOM che rendono disponibili i servizi di registrazione e di amministrazione. Per l'accesso e l'utilizzo corretti di questi servizi, nei servizi di certificazione si presume che le interfacce DCOM siano impostate in modo da abilitare le autorizzazioni di accesso e di attivazione remoti. Tuttavia, poichÚ le impostazioni di protezione predefinite per DCOM vengono applicate quando si esegue l'aggiornamento a Windows Server 2003 SP1, potrebbe essere necessario aggiornare queste impostazioni di protezione per essere certi che i servizi di registrazione e di amministrazione siano disponibili.

Per impostazione predefinita, tutte le interfacce DCOM in Windows Server 2003 SP1 sono configurate in modo da concedere agli amministratori le autorizzazioni di accesso remoto, di avvio remoto e di attivazione remota. Tuttavia, quando si esegue l'aggiornamento a Windows Server 2003 SP1, vengono apportate modifiche di configurazione all'interfaccia DCOM globale e all'interfaccia DCOM di richiesta CertSrv. Queste modifiche vengono apportate per consentire il corretto funzionamento dei servizi di certificazione.

Nota Le eventuali modifiche apportate alle impostazioni di protezione dell'interfaccia DCOM di richiesta CertSrv prima di installare Windows Server 2003 SP1 andranno perse. Durante l'installazione di Windows Server 2003 SP1 vengono ripristinate tutte le precedenti impostazioni di protezione predefinite dell'interfaccia DCOM di richiesta CertSrv.

Durante l'installazione di Windows Server 2003 SP1, le impostazioni di protezione DCOM vengono automaticamente aggiornate dai servizi di certificazione come segue:
    Interfaccia DCOM di richiesta CertSrv
    • Al gruppo di protezione Everyone vengono concesse le autorizzazioni di accesso locale e remoto.
    • Al gruppo di protezione Everyone vengono concesse le autorizzazioni di attivazione locale e remota.
    • Al gruppo di protezione Everyone non vengono concesse le autorizzazioni di avvio locale o remoto.

  • Impostazioni di restrizione computer DCOM
    • Viene automaticamente creato un nuovo gruppo di protezione, CERTSVC_DCOM_ACCESS.

      Se l'AutoritÓ di certificazione Ŕ installata in un server membro, CERTSVC_DCOM_ACCESS viene creato come gruppo locale del computer. Il gruppo di protezione Everyone viene aggiunto a CERTSVC_DCOM_ACCESS.

      Se l'AutoritÓ di certificazione Ŕ installata in un controller di dominio, CERTSVC_DCOM_ACCESS viene creato come gruppo locale del dominio. I gruppi di protezione Domain Users e Computer del dominio del dominio dell'AutoritÓ di certificazione vengono aggiunti a CERTSVC_DCOM_ACCESS. Se i controller di dominio devono accedere a questa interfaccia per richiedere i certificati all'AutoritÓ di certificazione, Ŕ necessario aggiungere il gruppo di protezione Controller di dominio. ╚ necessario eseguire questa operazione in quanto i controller di dominio non fanno parte del gruppo di protezione Computer del dominio.
    • Al gruppo di protezione CERTSVC_DCOM_ACCESS vengono concesse le autorizzazioni di accesso locale e remoto.
    • Al gruppo di protezione CERTSVC_DCOM_ACCESS vengono concesse le autorizzazioni di attivazione locale e remota.
    • Al gruppo di protezione CERTSVC_DCOM_ACCESS non vengono concesse le autorizzazioni di avvio locale o remoto.
    Nota Se l'AutoritÓ di certificazione Ŕ installata in un controller di dominio e se l'azienda Ŕ costituita da pi¨ di un dominio, i servizi di certificazione non saranno in grado di aggiornare automaticamente le impostazioni di protezione DCOM per gli iscritti dall'esterno del dominio dell'AutoritÓ di certificazione. A questi iscritti verrÓ pertanto negato l'accesso per la registrazione all'AutoritÓ di certificazione.

    Per risolvere il problema, Ŕ necessario aggiungere manualmente gli utenti al gruppo di protezione CERTSVC_DCOM_ACCESS. PoichÚ il gruppo di protezione CERTSVC_DCOM_ACCESS Ŕ un gruppo locale del dominio, Ŕ possibile aggiungervi solo gruppi di dominio. Se, ad esempio, gli utenti e i computer di un altro dominio, il dominio Contoso, devono eseguire la registrazione con l'AutoritÓ di certificazione, Ŕ necessario aggiungere manualmente il gruppo Contoso\Domain Users e il gruppo Contoso\Computer del dominio al gruppo di protezione CERTSVC_DCOM_ACCESS.

    Se agli iscritti che devono essere autorizzati dall'AutoritÓ di certificazione viene negata l'autorizzazione dopo l'installazione di Windows Server 2003 SP1, Ŕ possibile aggiornare nuovamente le impostazioni di protezione DCOM tramite i servizi di certificazione. Per effettuare questa operazione, digitare i comandi riportati di seguito al prompt dei comandi e premere INVIO dopo ciascuno di essi:
    certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG Ŕ un contrassegno interno del Registro di sistema per i servizi di certificazione indicante che l'aggiornamento delle impostazioni di protezione DCOM Ŕ stato completato correttamente. Questo contrassegno viene controllato dai servizi di certificazione a ogni avvio dei servizi. I comandi precedenti reimpostano il contrassegno e quindi arrestano e avviano i servizi di certificazione. Questo comportamento fa sý che le impostazioni di protezione DCOM vengano nuovamente aggiornate dai servizi di certificazione.
Dopo l'installazione di Windows Server 2003 SP1, Ŕ possibile che vengano registrati gli eventi seguenti.

Messaggio di evento 1:
Tipo di evento: Errore
Origine evento: Registrazione automatica
Categoria evento: Nessuna
ID evento: 13
Data: data
Ora: ora
Utente: N/A
Computer: nome_computer
Descrizione: La registrazione automatica certificati per Sistema locale non Ŕ riuscita a registrare un certificato Replica directory via posta elettronica (0x80070005). Accesso negato. Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://www.microsoft.com/italy/support.
Messaggio di evento 2:
Tipo di evento: Errore
Origine evento: Registrazione automatica
Categoria evento: Nessuna
ID evento: 13
Data: data
Ora: ora
Utente: N/A
Computer: nome_computer
Descrizione: La registrazione automatica certificati per Sistema locale non Ŕ riuscita a registrare un certificato Autenticazione workstation (0x80070005). Accesso negato. Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://www.microsoft.com/italy/support.
Quando si richiede manualmente un certificato utilizzando lo snap-in Certificato, Ŕ possibile che venga visualizzato il seguente messaggio di errore:
La richiesta di certificato ha avuto esito negativo a causa di una delle condizioni seguenti: - La richiesta di certificato Ŕ stata inoltrata a un'AutoritÓ di certificazione (CA) non avviata. - L'utente non Ŕ in possesso delle autorizzazioni necessarie per richiedere certificati dalle CA disponibili.
Nota Se questi errori si verificano su un controller di dominio, aggiungere il gruppo Controller di dominio al gruppo CERTSVC_DCOM_ACCESS. I controller di dominio non sono membri del gruppo globale Computer del dominio e, per impostazione predefinita, non disporranno di autorizzazioni DCOM sufficienti.

Se si modifica l'appartenenza a gruppi in modo da includere il gruppo Controller di dominio, Ŕ necessario riavviare il controller di dominio per applicare la modifica.

Supporto tecnico per le versioni x64 di Microsoft Windows

Il produttore dell'hardware offre supporto tecnico e assistenza per le versioni x64 di Microsoft Windows se il sistema viene fornito con una versione x64 di Microsoft Windows giÓ installata, in quanto la versione x64 di Windows Ŕ stata inclusa con l'hardware. Il produttore potrebbe infatti avere personalizzato l'installazione della versione x64 di Windows utilizzando componenti univoci, quali specifici driver di periferica o impostazioni facoltative volte a ottimizzare le prestazioni dell'hardware. Microsoft si impegna a prendere tutte le misure necessarie per offrire assistenza tecnica per una versione x64 di Windows, ma potrebbe essere necessario contattare direttamente il produttore dell'hardware, in quanto soggetto pi¨ qualificato per fornire supporto per il software preinstallato nell'hardware. Se Ŕ stata acquistata separatamente una versione x64 di Windows, ad esempio Microsoft Windows Server 2003 x64 Edition, contattare il Servizio Supporto Tecnico Clienti Microsoft per assistenza.

Per informazioni su Microsoft Windows XP Professional x64 Edition, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/windows/products/windowsxp/winxp/64bit/default.mspx
Per informazioni sui prodotti relative alle versioni x64 di Microsoft Windows Server 2003, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/windowsserver2003/64bit/default.mspx
Per ulteriori informazioni sui miglioramenti della protezione DCOM introdotti in Windows Server 2003 SP1, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=c3c26254-8ce3-46e2-b1b6-3659b92b2cde

ProprietÓ

Identificativo articolo: 903220 - Ultima modifica: lunedý 16 aprile 2007 - Revisione: 8.5
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Chiavi:á
kbhowto kbinfo KB903220
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com