Descrizione del controllo dell'account utente e delle restrizioni remote in Windows Vista

Questo articolo descrive il controllo dell'account utente e le restrizioni remote.

Si applica a: Windows Vista
Numero KB originale: 951016

Introduzione

Controllo dell'account utente è un nuovo componente di sicurezza di Windows Vista. Controllo dell'account utente consente agli utenti di eseguire attività quotidiane comuni come non amministratori. Questi utenti sono chiamati utenti standard in Windows Vista. Gli account utente membri del gruppo Administrators locale eseguono la maggior parte delle applicazioni usando il principio dei privilegi minimi. In questo scenario, gli utenti con privilegi minimi dispongono di diritti simili a quelli di un account utente standard. Tuttavia, quando un membro del gruppo Administrators locale deve eseguire un'attività che richiede diritti di amministratore, Windows Vista richiede automaticamente l'approvazione dell'utente.

Funzionamento delle restrizioni remote di Controllo dell'account utente

Per proteggere meglio gli utenti membri del gruppo Administrators locale, vengono implementate restrizioni di Controllo dell'account utente sulla rete. Questo meccanismo consente di evitare attacchi di loopback . Questo meccanismo consente anche di impedire l'esecuzione remota di software dannoso locale con diritti amministrativi.

Account utente locale (account utente di Security Account Manager)

Quando un utente membro del gruppo Administrators locale nel computer remoto di destinazione stabilisce una connessione amministrativa remota usando il comando net use *\\remotecomputer\Share$ , ad esempio, non si connetterà come amministratore completo. L'utente non ha alcun potenziale di elevazione nel computer remoto e non può eseguire attività amministrative. Se l'utente vuole amministrare la workstation con un account SAM (Security Account Manager), l'utente deve accedere in modo interattivo al computer che deve essere amministrato con Assistenza remota o Desktop remoto, se questi servizi sono disponibili.

Account utente di dominio (account utente di Active Directory)

Un utente che dispone di un account utente di dominio accede in remoto a un computer Windows Vista. L'utente di dominio è inoltre membro del gruppo Administrators. In questo caso, l'utente di dominio verrà eseguito con un token di accesso amministratore completo nel computer remoto e il controllo dell'account utente non sarà attivo.

Come disabilitare le restrizioni remote di Controllo dell'account utente

Per disabilitare le restrizioni remote di Controllo dell'account utente, seguire questa procedura:

1. Fare clic su Start, quindi su Esegui, digitare regedit e quindi premere INVIO.

2. Individuare e selezionare la seguente sottochiave del Registro di sistema:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

3. Se la LocalAccountTokenFilterPolicy voce del Registro di sistema non esiste, seguire questa procedura:

   1. Scegliere Nuovo dal menu Modifica, quindi selezionare Valore DWORD.
   2. Digitare LocalAccountTokenFilterPolicy e quindi premere INVIO.

4. Fare clic con il pulsante destro del mouse su LocalAccountTokenFilterPolicy e quindi scegliere Modifica.

5. Nella casella Dati valore digitare 1 e quindi selezionare OK.

6. Uscire dall'editor del Registro di sistema.

È stato risolto il problema

Verificare se il problema è stato risolto. Se il problema non viene risolto, contattare il supporto.

Impostazioni remote di Controllo dell'account utente

La voce del Registro di sistema LocalAccountTokenFilterPolicy può avere un valore pari a 0 o 1. Questi valori modificano il comportamento della voce del Registro di sistema in quella descritta nella tabella seguente.