Guida all'uso di profili e criteri di Windows NT 4.0 (Parte 4 di 6)

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I185589
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Questo articolo è il quarto di una serie di sei articoli contenenti informazioni e procedure per l'implementazione di profili e criteri di Microsoft Windows NT 4.0 su workstation client e su server.

Un white paper contenente tutte queste informazioni e ulteriori diagrammi di flusso, diagrammi ed esempi è disponibile per il download dalla seguente pagina Web (informazioni in lingua inglese):Per le altre sezioni di questa guida, vedere i seguenti articoli della Microsoft Knowledge Base (gli articoli con prefisso "Q" contengono informazioni in inglese):
161334Guida per profili e criteri di Windows NT 4.0 (Parte 1 di 6)
185587Guide to Windows NT 4.0 Profiles & Policies Part 2 of 6
185588Guide to Windows NT 4.0 Profiles & Policies Part 3 of 6
185591Guide to Windows NT 4.0 Profiles & Policies Part 6 of 6
Informazioni
                   Sistema operativo Windows NT Server                             White Paper         Guida all'uso di profili e criteri di Windows NT 4.0Copyright 1997 Microsoft Corporation. Tutti i diritti riservati.Le informazioni riportate nel presente documento rappresentano il punto di vista diMicrosoft Corporation in relazione alle problematiche trattate alla data dipubblicazione. Poiché il punto di vista di Microsoft dipende dalle condizioni del mercato,queste informazioni non devono essere considerate come un impegno da parte di Microsoftné Microsoft può fornire garanzie circa l'accuratezza di eventuali informazioni presentatedopo la data di pubblicazione.Il presente white paper viene fornito a solo scopo informativo. MICROSOFT NON RICONOSCE ALCUNAGARANZIA, ESPRESSA O IMPLICITA, CIRCA LE INFORMAZIONI RIPORTATE IN QUESTO DOCUMENTO.Microsoft, il logo BackOffice, MS-DOS, Windows e Windows NT sonomarchi registrati di Microsoft Corporation.Altri nomi di prodotti e società citati nel presente documento possono essere marchi deirispettivi proprietari.Microsoft CorporationOne Microsoft WayRedmond, WA 98052-6399 (USA)USA0997CRITERI DI PROTEZIONE - INTRODUZIONE=================================Un criterio di protezione (System Policy) è un insieme di impostazioni del registro di configurazione che definisce lerisorse del computer disponibili per un utente o un gruppo di utenti. I criteridefiniscono i diversi aspetti dell'ambiente desktop che un amministratore del sistemadeve tenere sotto controllo, come ad esempio le applicazioni disponibili,quali applicazioni vengono visualizzate sul desktop dell'utente, quali applicazioni eopzioni vengono visualizzate nel menu di avvio, quali utenti sono o non sono autorizzati ad apportare modifiche al desktope così via. I criteri di protezione possono essere implementati perutenti, gruppi, computer specifici o per tutti gli utenti. I criteri di protezione vengono creati tramiteSystem Policy Editor.Si tratta di uno strumento grafico fornito con Windows NTServer 4.0 che consente di aggiornare facilmente le impostazioni del registro di configurazione pergenerare l'ambiente corretto per un particolare utente o un gruppo di utenti.Con System Policy Editor viene creato un file contenente le impostazioni del registro di configurazione,che vengono poi riportate nella parte relativa all'utente o al computer locale del database del registro diconfigurazione. Le impostazioni del profilo utente relativo all'utente specifico che accede a una determinata workstation o a un server vengono riportate nella seguente chiave del registro di configurazioneHKEY_CURRENT_USER. In modo analogo le impostazioni specifiche del computer vengono riportate nella chiaveHKEY_LOCAL_MACHINE.Quando si applica un nuovo criterio di protezione, vengono sostituite le impostazionidel registro di configurazione esistenti, consentendo all'amministratore diimpostare restrizioni per il computer client e per l'utente. Quando un utente accede a un computer conWindows NT 4.0, viene caricato per primo il profilo utente, quindi vienescaricato il criterio di protezione. Tutte le impostazioni di registro che sono statericonfigurate, siano esse modifiche specifiche del computer odell'utente che esegue l'accesso, vengono modificate prima che l'utente assuma il controllo deldesktop. Le modifiche ai criteri di protezione non sono dinamiche; se si cambiaun criterio, gli utenti interessati dalla modifica dovranno disconnettersi e riconnettersi affinchéil nuovo criterio venga scaricato e applicato.Con un criterio implementato nel modo corretto è possibile personalizzare l'ambientedell'utente secondo le specifiche definite dall'amministratore, nonostante le preferenze dell'utente stesso eindipendentemente da dove si connette. Le impostazioni disponibili in SystemPolicy Editor offrono numerose opzioni per la gestione dell'ambienteutente. Per un elenco dettagliato di queste opzioni, vedere la sezione"Chiavi del registro modificate dai modelli predefiniti di System Policy Editor".File dei criteri di protezione-------------------Tramite i criteri è possibile definire le impostazioni per un utente specifico o per un gruppo diutenti. Il file dei criteri risultante contiene le impostazioni del registro di configurazione per tuttigli utenti, i gruppi e i computer che utilizzeranno il file. Non sono necessarifile dei criteri distinti per ogni utente, gruppo o computer.Se si crea un criterio che verrà scaricato automaticamente daisupervisori di dominio che eseguono la convalida, denominare il file Ntconfig.pol. L'amministratoredel sistema ha la possibilità di rinominare il file e, medianteuna modifica sulla workstation su cui è in esecuzione Windows NT, di indirizzare il computerper l'aggiornamento del criterio da un percorso manuale. È possibile eseguire questa operazione manualmentemodificando il registro di configurazione oppure utilizzando i criteri di protezione. Questo percorso può anche essere unpercorso locale, in modo che ogni computer disponga di un proprio file dei criteri, tuttavia se fosse necessaria una modificaa tutti i computer, questa dovrebbe essere fatta manualmente su ogniworkstation.Quando l'utente di una workstation su cui è in esecuzione Windows NT 4.0 esegue l'accesso, se la workstation funziona in modalità automatica, che corrisponde all'impostazionepredefinita, viene eseguita la ricerca del file Ntconfig.pol nella condivisione NETLOGONsul supervisore di dominio (DC). Se viene trovato,il file viene scaricato, i dati dei criteri relativi all'utente, al gruppo e al computer vengono analizzatie applicati se corretti. Se un utente accede a un computercon un account computer in un dominio di risorse, la ricerca delfile Ntconfig.pol viene reindirizzata al supervisore di dominio di convalida neldominio di account. In questa situazione la workstation su cui è in esecuzione Windows NT 4.0 disponedi un canale di comunicazione protetto con il supervisore di dominio deldominio di risorse. La richiesta di accesso dell'utente viene inviata dalla workstation su cui è in esecuzione Windows NTattraverso questo canale di comunicazione che sarà utilizzato anche per larisposta. Il supervisore di dominio nel dominio di risorse riceve la richiesta,la inoltra a un supervisore di dominio nel dominio di account dell'utente e attendeuna risposta. Dopo che il supervisore di dominio nel dominio di risorse ha ricevutoquesta risposta dal DC del dominio di account, restituisce la richiesta diautenticazione al computer client, includendo il nome del supervisore di dominio di convalidadal dominio di account. A questo punto la workstation su cui è in esecuzione Windows NT disporrà delleinformazioni sulla posizione del file Ntconfig.pol.Replicazione dei criteri------------------Se si implementa un file dei criteri di protezione per gli utenti e i computer di Windows NTe si prevede di utilizzare le funzionalità predefinite di Windows NT, assicurarsi chela replicazione di directory avvenga nel modo corretto tra tutti i supervisori di dominioche partecipano all'autenticazione degli utenti. Secondo la funzionalità predefinita di Windows NT,il computer esegue la ricerca del file dei criteri nella condivisione NETLOGONdel supervisore di dominio di convalida. Se la replicazione di directory a unsupervisore di dominio non viene completata e la workstation su cui è in esecuzione Windows NT non riesce a trovareun file dei criteri sul server, i criteri non verranno applicati e le impostazioni esistentirimarranno valide, creando un ambiente non standard per l'utenteo assegnandogli più capacità di quanto si desideri per quel particolareutente.Modalità di applicazione dei criteri------------------------Una volta individuati, i criteri vengono applicati come segue: - Se il file dei criteri include impostazioni per l'account utente specifico,   queste verranno applicate alla chiave di registro HKEY_CURRENT_USER. Le altre impostazioni di gruppo   verranno eliminate, anche se l'utente è membro del gruppo,   poiché le impostazioni specifiche per un utente hanno la precedenza. - Se non è presente un criterio specifico per un utente, ma esistono impostazioni a livello di Default User,   queste ultime saranno applicate alla chiave HKEY_CURRENT_USER   del registro di configurazione. - Se non sono presenti impostazioni specifiche per un utente, ma esistono impostazioni di gruppo, viene controllata   l'appartenenza di gruppo dell'utente a ognuno dei gruppi. Se l'utente   è membro di uno o più gruppi, le impostazioni da ogni gruppo,   a partire dalla priorità più bassa e continuando fino a quella più   alta, verranno applicate alla chiave HKEY_CURRENT_USER del registro di configurazione.   NOTA: se un'impostazione nelle impostazioni di gruppo viene ignorata (non è disponibile), ma la stessa   è contrassegnata come attivata o disattivata nelle impostazioni per Default User,   verranno utilizzate queste ultime. Le impostazioni per Default User hanno   la precedenza solo sulle impostazioni ignorate nelle impostazioni di   gruppo. - Se il file dei criteri include impostazioni per un nome computer specifico,   queste saranno applicate alla chiave di registro HKEY_LOCAL_MACHINE. In caso contrario,   saranno applicate le impostazioni per Default Computer. Questo processo è indipendente   dall'account computer dell'utente attualmente connesso al sistema. Tutti gli utenti   riceveranno queste impostazioni quando utilizzano questo computer.NOTE: - I criteri di gruppo non funzionano in un ambiente solo NetWare, perché   in Windows NT vengono controllati solo i gruppi globali di Windows NT ma non i gruppi NetWare. - Se un amministratore accede al sistema, è attivo un criterio, non esistono impostazioni   esplicite per l'account amministratore e sono presenti impostazioni per Default User,   l'amministratore riceverà le impostazioni come Default   User. I criteri vengono applicati anche agli account amministrativi. Questo dovrà essere   un fattore importante da considerare durante l'implementazione dei criteri.In System Policy Editor è disponibile una finestra di dialogo Group Priority gerarchica chefacilita la visualizzazione e la gestione dell'ordine di applicazione dei criteri. Nellaseguente illustrazione è raffigurata la finestra di dialogo con una descrizione delle priorità.  <immaginepresente nel whitepaper>Ulteriori considerazioni sull'implementazione----------------------------------------Anche se i criteri implementati correttamente possono semplificare l'amministrazione del sistemanel lungo termine, tali criteri richiedono un'accurata pianificazione. Prima diimplementare criteri di protezione, considerare quanto segue: - L'amministrazione sarà semplificata impostando criteri di gruppo anziché   creando impostazioni per i singoli utenti? - Dove sono ubicati i computer sulla rete? La posizione geografica   è un aspetto importante della struttura della rete, ossia la   rete è distribuita, ad esempio, su una vasta area geografica? In tal caso, i computer di una   certa area geografica possono recuperare più facilmente i file dei criteri da un computer   vicino, anziché utilizzare un supervisore di dominio che si trova   in una località più lontana. - Che tipo di restrizioni si ritiene di imporre agli utenti? - Agli utenti sarà consentito accedere alle applicazioni del gruppo comune installate   localmente oppure avranno la precedenza i   gruppi di programmi, le icone del desktop, i programmai del menu di avvio e così via definiti dall'amministratore? - Quali altre opzioni saranno disponibili se si desidera semplicemente limitare l'accesso   a un'icona o a un file specifico? La modifica delle autorizzazioni di NTFS sarà più   efficace? - Si prevede di controllare solo le impostazioni specifiche per i computer e non le impostazioni   utente?Se dopo avere considerato questi aspetti si conclude che i criteri di protezioneconsentiranno di semplificare l'amministrazione, utilizzare System Policy Editor percreare i criteri individuali e/o di gruppo appropriati, come illustrato nellasezione successiva.SYSTEM POLICY EDITOR========================System Policy Editor è uno strumento grafico che consente diaggiornare con facilità le impostazioni del registro di configurazione per implementare un criterio di protezione. SystemPolicy Editor è incluso in Windows NT Server 4.0, ma è possibile installarloanche nei computer con Windows NT Workstation eWindows 95.Un file dei criteri è valido solo per la piattaforma sulla quale è statocreato. Ad esempio, se si esegue Poledit.exe su un computer con Windows 95,e si salva il file, questo verrà salvato in un formato che potràessere interpretato solo da computer con Windows 95. Questa stessa regola è valida se sicreano file dei criteri su computer con Windows NT. I file dei criteri di Windows 95e di Windows NT non possono pertanto essere scambiati.Una volta completata l'installazione, nel gruppo di strumenti amministrativisarà presente System Policy Editor.Installazione di System Policy Editor (Modifica criteri di protezione) in un computer con Windows NT Workstation---------------------------------------------------------------Per l'installazione di questo strumento inun computer con Windows NT Workstation sono disponibili due opzioni. È possibile - Eseguire il file Setup.bat che si trova sul CD di Windows NT 4.0   nella directory \Clients\Svrtools\Winnt oppure - Copiare l'eseguibile, Poledit.exe, e i file modello   sulla workstation. I file modello hanno estensione ADM e   si trovano nella directory %systemroot%\INF che è nascosta per impostazione   predefinita.Installazione di System Policy Editor (Modifica criteri di protezione) su un computer con Windows 95------------------------------------------------------------Quando si installa questo strumento in un computer con Windows 95,il processo di installazione modifica il registro di configurazione di Windows 95 per consentire ilcorretto funzionamento dei criteri di protezione. È possibile installare lo strumento Modifica criteri di protezione dalCD della versione completa o di aggiornamento di Windows 95 oppure è possibile installare la versionefornita con Windows NT Server 4.0.Per installare System Policy Editor (Modifica criteri di protezione) dal CD di Windows 95:1. Inserire il CD di aggiornamento di Windows 95 nell'unità CD-ROM.2. Nel Pannello di controllo fare doppio clic su Installazione applicazioni.3. Fare clic sulla scheda Installazione di Windows, quindi scegliere Disco.4. Passare alla directory x:\Admin\Apptools\Poledit\ (dove x è   un'unità da A a Z) sul CD di Windows 95.5. Selezionare Criteri di gruppo e Modifica criteri di protezione, quindi scegliere   OK per eseguire l'installazione.È importante eseguire il programma di installazione come indicato sopra.Si potranno verificare risultati imprevisti se si copia semplicemente lo strumento ei file correlati sul computer su cui è in esecuzione Windows 95.Per installare System Policy Editor da Windows NT 4.0 Server----------------------------------------------------------------1. Copiare il file Poledit.exe da Windows NT Server 4.0 nella directory \windows   sul computer con Windows 95.2. Copiare i file Common.adm e Windows.adm dal computer su cui è in esecuzione Windows NT 4.0 Server   alla directory \windows del computer con Windows 95.3. Creare un collegamento all'eseguibile di System Policy Editor, Poledit.exe,   che si trova nella directory \windows sul computer con Windows 95.Aggiornamento del registro di configurazione con System Policy Editor---------------------------------------------------Questo strumento consente di aggiornare le impostazioni del registro di configurazioneper generare l'ambiente corretto per un particolare utente o un gruppo diutenti. È possibile utilizzare System Policy Editor in due modi: - Aprire il registro di configurazione locale tramite System Policy Editor e   modificare le impostazioni per l'utente e il computer locali. - Modificare un file dei criteri esistente o crearne uno nuovo contenente   le impostazioni che si desidera applicare per utente, per computer o   per computer/utente.Quando si apre System Policy Editor in modalità registro di configurazione, è possibile modificareil registro del computer locale senza utilizzare Regedt32.exe oRegedit.exe. Sarà tuttavia possibile modificare solo i valori accessibili daimodelli; System Policy Editor non consente di accedere all'intero registro diconfigurazione.FILE DEI MODELLI DI SYSTEM POLICY EDITOR (.ADM)==========================================In System Policy Editor vengono utilizzati file amministrativi (.adm) per determinarequali impostazioni del registro di configurazione è possibile modificare. Un file ADM è un modello gerarchicoformato da categorie e sottocategorie che indicano qualiimpostazioni sono disponibili tramite l'interfaccia utente. Un file ADM contienei percorsi del registro di configurazione dove dovranno essere apportate le modifiche per una particolareselezione, ulteriori opzioni per una particolare selezione, restrizioni e,in alcuni casi, il valore predefinito di una selezione.Quando si esegue System Policy Editor e si sceglie Policy Template dalmenu Options, viene visualizzata una finestra simile a quella illustrata di seguito. In questa finestrasono elencati i nomi dei file ADM attualmente in uso. Se ènecessario apportare modifiche, ad esempio, ad applicazioni personalizzate, sarà possibile aggiungere unmodello a questo elenco. Per garantire che il sistema utilizzerà leinformazioni amministrative più recenti, ogni volta che si avvia System Policy Editor vengono letti i file ADMpersonalizzati.Per istruzioni dettagliate sulla creazione di file ADM, vedere la sezione"Creazione di un file ADM personalizzato" più avanti in questo documento.NOTA: l'opzione per aggiungere o rimuovere un file non sarà disponibile se èattualmente aperto un file dei criteri. Chiudere il file in uso e modificare la configurazione delmodello.CONFIGURAZIONE DELLE IMPOSTAZIONI DEI CRITERI===========================Le opzioni di configurazione disponibili rientrano in una struttura,che è determinata dal layout del file ADM. Esaminandoqueste impostazioni è possibile selezionare una modalità che determini l'azione che verràintrapresa quando si applica il file dei criteri.I criteri vengono applicati come segue: - Se la casella è selezionata, il criterio viene implementato. La prossima volta che l'utente eseguirà l'accesso,   il criterio verrà applicato al computer. Se l'opzione è stata selezionata   l'ultima volta che l'utente ha eseguito l'accesso, non verranno applicate modifiche da parte del sistema. - Se la casella è deselezionata, il criterio non viene implementato e se le   impostazioni sono state implementate in precedenza, verranno rimosse dal   registro di configurazione. - Se la casella non è disponibile, l'impostazione viene ignorata e rimane invariata dall'ultima   volta che l'utente ha eseguito l'accesso. Questa impostazione non viene modificata da Windows NT. Lo   stato non disponibile assicura un'elaborazione veloce all'avvio del sistema,   poiché non richiede l'elaborazione di tutte le voci ogni volta che un utente   esegue l'accesso.NOTA: quando si stabilisce se il valore sarà selezionato o deselezionato,controllare con attenzione la terminologia dell'impostazione, in caso contrario si potrebbero verificare risultati imprevisti.Ad esempio, se l'opzione Don't save settings at exit è selezionata, non consentirà ilsalvataggio delle impostazioni. Se si deseleziona la casella di controllo, le impostazioni potranno essere salvate.Quando si seleziona un'opzione, il riquadro sottostante contiene altri elementi configurabilicorrelati all'impostazione modificata, oltre a informazionisull'opzione selezionata.Durante l'amministrazione dei criteri di protezione, se si specificano dei percorsi per opzioni particolaricome lo sfondo, assicurarsi che i percorsi siano coerenti per tutte leworkstation che riceveranno il file dei criteri.REIMPOSTAZIONE DEI PERCORSI DELLE CARTELLE SUI VALORI PREDEFINITI=====================================Se si crea un file dei criteri, quindi si modifica il percorso specificando una delle cartellecondivise personalizzate o delle cartelle personalizzate specifiche per l'utente, la modifica avrà la precedenza sulleimpostazioni predefinite specificate nel file ADM. Ad esempio, per impostazione predefinita ilpercorso di una cartella di programma dell'utente è %USERPROFILE%\Start Menu\Programs.Se non vengono apportate modifiche al percorso predefinito del file dei criteri, questo valore nonviene modificato per il computer client. È tuttavia possibile modificare questo valore inmodo che faccia riferimento a un percorso sul server contenente collegamenti differenti. Per effettuare questa operazione,selezionare l'opzione in System Policy Editor e specificare il percorso dellacartella contenente i collegamenti. Una volta applicata la modifica, l'utentericeverà i nuovi collegamenti.Si supponga tuttavia di voler ripristinare l'ambiente utente allostato precedente alla modifica. Per eseguire questa operazione, attenersi allaprocedura descritta di seguito.Per ripristinare i valori predefiniti:1. Aprire il file dei criteri e deselezionare la casella di controllo.2. Salvare e chiudere il file dei criteri.3. Riaprire il file dei criteri e selezionare di nuovo l'opzione. L'impostazione   originale sarà ripristinata e farà riferimento al computer locale   dell'utente.NOTA: assicurarsi di completare tutti i passaggi; se si completano solo i passaggi 1 e 2 verrà generatauna cartella Programs vuota sul computer client.CREAZIONE DI UN CRITERIO DI PROTEZIONE========================Prima di creare un criterio di protezione, stabilire quali impostazioni saranno applicatee come raggrupparle.Per creare un nuovo criterio di protezione:1. Su un computer con Windows NT Server nel dominio in cui sarà applicato il file dei criteri   aprire System Policy Editor. Fare clic sul pulsante Start, scegliere   Programs, quindi Administrative Tools (Common) e infine fare clic su System   Policy Editor.2. Scegliere New Policy dal menu File.3. Verranno visualizzate le icone Default Computer e Default User. Fare clic   sull'utente, sul computer o sul gruppo da modificare.   NOTA: se è necessario aggiungere un utente, un gruppo o un computer, è possibile copiare e   incollare le impostazioni senza verificare tutte le   voci ed eseguire le selezioni. Se ad esempio sono state effettuate modifiche   a User1 e si desidera creare un profilo simile per un altro utente (User2),   selezionare User1, quindi scegliere Copy dal menu Edit. Selezionare User2, quindi   scegliere Paste dal menu Edit. Effettuare le modifiche specifiche per User2 e   salvarle. Verrà chiesto di controllare le modifiche, quindi   le impostazioni saranno applicate. Quando si aggiungono utenti o computer al   file dei criteri, assumeranno automaticamente le proprietà rispettivamente dell'icona   Default User o Default Computer.4. Modificare le opzioni desiderate. Per ulteriori informazioni su ogni   opzione, fare riferimento alla sezione di questa guida intitolata "Chiavi del registro modificate dai   modelli predefiniti di System Policy Editor".5. Scegliere Save As dal menu File e salvare il file dei criteri con il   nome corretto:    - Se le workstation saranno impostate sulla modalità automatica, utilizzare il nome file      NTconfig.pol.    - Se le workstation saranno impostate sulla modalità manuale, utilizzare un nome file      di propria scelta.6. Se le workstation saranno impostate sulla modalità automatica, salvare il file   nella condivisione NETLOGON di ogni supervisore di dominio che eseguirà   l'autenticazione. Per semplificare questo processo, è possibile utilizzare la replica di directory   da Windows NT per replicare il file agli altri   supervisori di dominio. Se si applica questo metodo e in seguito si apportano modifiche al file,   il file modificato sarà duplicato automaticamente tra i computer di   convalida.   Le workstation con Windows NT sono configurate per impostazione predefinita per scaricare il   file dei criteri in modalità automatica. Se si modifica l'impostazione per l'aggiornamento   manuale e si fa riferimento a un computer specifico, sarà necessario trasmettere informazioni alla   workstation sul cambiamento di percorso. È possibile eseguire questa operazione in due modi:    - Inserire il file dei criteri nel percorso specificato per gli aggiornamenti manuali,      ma mantenere un file dei criteri nella condivisione NETLOGON che faccia riferimento al      percorso manuale. Lasciare quindi la workstation su cui è in esecuzione Windows NT impostata sulla      modalità automatica predefinita. Quando verrà scaricato il file dei criteri per la prima volta, verrà      applicata la modifica e al prossimo avvio, nonché a tutti quelli successivi,      verrà cercato il nuovo percorso per gli aggiornamenti del file dei criteri.    - Accedere a ogni workstation su cui è in esecuzione Windows NT localmente o in modalità remota      e apportare le modifiche necessarie al registro di configurazione specificando il nuovo percorso.      A seconda del numero di workstation coinvolte, questa operazione potrebbe richiedere      molto tempo.7. Accedere alla workstation su cui è in esecuzione Windows NT per scaricare e attivare il   criterio.Creazione di percorsi di cartelle alternativi-------------------------------Potrebbe essere necessario creare cartelle condivise per gruppi di utenti che hanno la necessità diutilizzare un gruppo di strumenti e collegamenti comuni. I criteri di protezione di Windows NT 4.0 consentono dicreare queste cartelle condivise.Per creare cartelle condivise e percorsi alternativi:1. Su un server specifico creare una cartella contenente i collegamenti alle applicazioni   di rete o ai programmi installati localmente. Se si creano   collegamenti ad applicazioni che fanno riferimento a percorsi locali su computer con Windows NT,   fare riferimento alla sezione "Impostazione di collegamenti per profili   basati su server".2. Condividere la cartella.3. In System Policy Editor selezionare in computername o Default Computer   l'opzione Custom Shared Folders, quindi fare clic su Custom Shared   Program Folder.4. Attivare questa opzione. Per impostazione predefinita verrà utilizzata la cartella locale All Users per   la workstation, tuttavia è possibile sostituire il percorso in modo che faccia riferimento alla   cartella creata nei passaggi 1 e 2.5. Salvare il file dei criteri. Quando l'utente esegue l'accesso, il file dei criteri verrà   analizzato per cercare queste informazioni e i gruppi comuni dal   computer locale saranno sostituiti con i collegamenti, le applicazioni e così via dalla   cartella creata in precedenza.NOTA: questa operazione può essere effettuata per utente sia per i gruppi di programmi personali siaper altre impostazioni di cartelle, come il gruppo di avvio, il menu di avvio ele icone del desktop.IMPOSTAZIONE DI COLLEGAMENTI PER PROFILI BASATI SU SERVER==============================================È possibile che i collegamenti creati su un computer incorporino automaticamente unpercorso UNC (Universal Naming Convention) per il file LNK, quale\\machine\admin$.Questo percorso UNC incorporato nel collegamento può creare un problema quando viene copiato su unserver e utilizzato in un profilo basato su server. Per impostazione predefinita questi collegamenti vengonorisolti nel percorso originale del file (il percorso assoluto) primadi qualsiasi altro percorso (definito secondario orelativo). In questo caso il percorso UNC relativo al file originale sarà sempreraggiungibile, evitando che il collegamento sia risolto con un percorso locale. Diconseguenza, all'utente che tenta di utilizzare il collegamento verrà chiestala password amministrativa per il computer sul quale è stato creato il collegamento.Questo problema è stato risolto nell'ultimo Service Pack per Microsoft Windows NT 4.0in lingua inglese (Stati Uniti). Dopo l'installazione del Service Pack, sarà possibile evitare ilproblema modificando il registro di configurazione come spiegato più avanti.Per risolvere i collegamenti nel modo corretto:1. Avviare Registry Editor (Regedit.exe).2. Passare alla seguente chiave:      HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies      \Explorer3. Aggiungere il seguente valore DWORD facendo clic su Edit, New, DWORD value:      LinkResolveIgnoreLinkInfo4. Dopo averlo immesso, fare doppio clic sul valore e impostare Value data su 1.DISTRIBUZIONE DI CRITERI PER I COMPUTER CON WINDOWS NT 4.0==============================================Per impostazione predefinita, una workstation su cui è in esecuzione Windows NT 4.0 effettuala ricerca del dominio di accesso dell'utente nella condivisione NETLOGON del supervisore di dominio di convalida. Èpertanto di fondamentale importanza che la replica del file Ntconfig.polsia eseguita tra i supervisori di dominio che eseguono l'autenticazione. Sela workstation con Windows NT 4.0 non riesce a individuare il file dei criteri sulsupervisore di dominio, non continuerà il controllo su altri.Per applicare i criteri è disponibile un'altra opzione. L'impostazione UpdateMode del registrodi configurazione, che può essere configurata tramite System Policy Editor, impone al computerdi recuperare il file dei criteri da un percorso specifico (espresso come percorso UNC),a prescindere dall'utente che esegue l'accesso.Per recuperare il file dei criteri da un percorso specifico:1. Aprire il criterio del computer specifico o il criterio Default Computer   e passare dalla categoria Network alla sottocategoria System policies update   fino a visualizzare l'opzione Remote update.2. Selezionare la casella Remote update.3. Nella casella Update mode selezionare Manual (utilizzare il percorso specifico).4. Nella casella Path for manual update digitare il percorso UNC e il nome file per   il file dei criteri.5. Scegliere OK per salvare le modifiche.La prima volta che la workstation viene modificata localmente tramite System PolicyEditor o riceve un file dei criteri di protezione predefinito dalla condivisione NETLOGON diun supervisore di dominio, questo percorso verrà scritto nel registro di configurazione. In seguito,tutti gli aggiornamenti di criteri futuri utilizzeranno il percorso specificato manualmente. Questamodifica sarà permanente fino a quando nel file dei criteri l'opzione verrà reimpostata su Automatic.Il computer con Windows NT 4.0 non cercherà il file dei criteri su unsupervisore di dominio fino a quando non si cambierà l'istruzione nelregistro di configurazione locale o si modificherà il file dei criteri nel percorso specificato dalpercorso manuale, reimpostando la modalità automatica.DISTRIBUZIONE DI CRITERI PER I COMPUTER CON WINDOWS 95==========================================Quando si crea un file dei criteri di protezione per un client di Windows 95, è necessarioinstallare prima System Policy Editor (Modifica criteri di protezione) su un computer su cui è in esecuzione Windows 95 percreare il file dei criteri (POL). Non è possibile eseguire SystemPolicy Editor su un computer con Windows NT 4.0 per generare un file POL per iclient su cui è in esecuzione Windows 95, poiché il file dei criteri è valido solo per la piattaforma sulla quale è stato creato. Per le procedure di installazione di SystemPolicy Editor (Modifica criteri di protezione) su un computer su cui è in esecuzione Windows 95, fare riferimento alla sezione"Installazione di System Policy Editor (Modifica criteri di protezione) su un computer con Windows 95" inquesto documento.Dopo avere creato il file POL, sarà possibile fare in modo che un computer con Windows 95ricerchi e accetti i criteri di protezione come descritto di seguito.Per distribuire i criteri per un computer su cui è in esecuzione Windows 95:1. Nel Pannello di controllo fare doppio clic su Password, quindi su Profili utente.2. Per attivare i profili utente selezionare Gli utenti possono personalizzare le impostazioni del desktop, quindi scegliere OK.3. Selezionare il valore UpdateMode nella seguente chiave del registro di configurazione:      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update   Se il valore è 0, i criteri non saranno applicati. Se il valore è 1,   la modalità automatica è attiva e quando l'utente viene convalidato nel   dominio, nella condivisione NETLOGON del supervisore di dominio di convalida   verrà eseguita la ricerca del file Config.pol. Se il valore è 2,   la modalità manuale è attiva e quando l'utente viene convalidato nel   dominio, il computer con Windows 95 cercherà se nel percorso specificato   nel valore NetworkPath esiste il file Config.pol. Notare   che la modalità predefinita per un computer su cui è in esecuzione Windows 95 è Automatica.4. Riavviare il computer e chiedere all'utente di eseguire l'accesso. Il file dei criteri sarà   scaricato dal percorso configurato e applicato.MODIFICA DELLE IMPOSTAZIONI DEI CRITERI SULLE WORKSTATION AUTONOME=====================================================Se occorre modificare le impostazioni, per l'utente di una workstation con Windows NT 4.0che non fa parte di un dominio e che quindi non potrà utilizzare ilfile dei criteri che si trova nel dominio, sono disponibili tre opzioni: - Creare un file dei criteri per le workstation autonome alle quali gli utenti   accedono localmente oppure - Modificare le impostazioni dei criteri in modalità remota oppure - Modificare le impostazioni dei criteri localmente.Di seguito sono descritte le procedure per ogni opzione. È necessario disporre didiritti amministrativi sulle workstation autonome in questione.Per creare un file dei criteri per le workstation autonome----------------------------------------------------1. Eseguire l'accesso come amministratore e creare un file dei criteri che includa gli oggetti Computer   e User con le impostazioni corrette rispettivamente per il computer e per gli   utenti. Gli oggetti User possono includere Default User o gli account   utente dalla workstation locale, tuttavia gli oggetti Global Group saranno   ignorati se vengono aggiunti al file dei criteri. In Windows NT vengono riconosciute le   impostazioni dei criteri specifiche del computer se sono specificate nel   file dei criteri.2. Inserire il file dei criteri in una directory protetta sul computer autonomo   o su una condivisione di rete per la quale l'utente disponga almeno dei diritti di accesso in lettura.3. Nel registro di configurazione della workstation individuare il valore UpdateMode nella   seguente chiave:      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update4. Aggiornare i dati impostando un valore esadecimale 2.5. Nella stessa sottochiave del registro di configurazione modificare il valore NetworkPath con il percorso locale   o UNC in cui risiede il file dei criteri. Se il percorso non esiste,   aggiungerlo come tipo dati REG_SZ. Se ad esempio il file dei criteri è   denominato Ntconfig.pol e si trova nella directory principale di Windows NT,   NetworkPath dovrà contenere il percorso c:\Winnt\Ntconfig.pol.6. Chiedere all'utente di accedere alla workstation. Il file dei criteri   specificato da NetworkPath verrà letto automaticamente e il criterio appropriato sarà applicato al   computer o all'utente.NOTA: nel valore NetworkPath è possibile utilizzare percorsi UNC. Questa capacità è utile pergli amministratori che desiderano mantenere il file dei criteri in uso in una posizione centrale.La capacità di Windows NT di sfruttare e applicare i criteri di protezione agliutenti delle workstation locali non è operativa nel Service Pack 3, ma lo sarànel Service Pack 4 e nei Service Pack successivi. Questo non influiscesulla versione completa di Windows NT 4.0 e sui Service Pack 1 e 2, dove questafunzionalità è operativa.Per modificare le impostazioni dei criteri in modalità remota----------------------------------1. Eseguire l'accesso come amministratore, aprire System Policy Editor, quindi scegliere   Connect dal menu File.2. Digitare il nome computer della workstation da modificare, quindi premere   INVIO. Verrà visualizzata una finestra di dialogo con il nome utente dell'utente   attualmente connesso per il quale verranno applicate le modifiche. Se l'utente non è   attualmente connesso, scegliere Cancel. Per rendere effettive le modifiche,   è necessario che l'utente sia connesso.3. Se l'utente è connesso, scegliere OK.4. Verranno visualizzate le icone Local Computer e Local User.5. Modificare queste impostazioni esattamente come si modifica un normale file dei criteri. Salvare le   modifiche. La prossima volta che l'utente eseguirà l'accesso, le modifiche apportate alle   impostazioni del computer e dell'utente diventeranno effettive sul computer remoto.Per modificare le impostazioni dei criteri localmente---------------------------------1. Accedere come amministratore e copiare i file Poledit.exe, Common.adm e   Winnt.adm sulla workstation su cui è in esecuzione Windows NT dove occorre apportare le modifiche   per il computer o l'utente.2. Accedere con diritti amministrativi con l'account dell'utente per il quale   dovranno essere applicate le modifiche.3. Aprire Poledit.exe e caricare i modelli che sono stati copiati sul computer   locale.4. Scegliere Open Registry dal menu File.5. Verranno visualizzate le icone Local Computer e Local User.6. Modificare queste impostazioni esattamente come si modifica un normale file dei criteri. Salvare le   modifiche. La prossima volta che l'utente eseguirà l'accesso, le modifiche saranno   attive.7. Chiudere Poledit.exe e rimuovere questo strumento dalla workstation   eliminando il file e tutti i file ADM utilizzati.Queste modifiche cambiano le voci del registro di configurazione che controllano le funzionalità diWindows NT sul computer di destinazione. Quando si utilizza questa procedura nonviene creato un file dei criteri. La procedura è la stessa per Windows NT Workstation4.0 e Windows NT Server 4.0.CREAZIONE DI UN FILE ADM PERSONALIZZATO===========================Il contenuto di questa sezione è documentato anche nel ResourceKit di Windows 95 e nel Software Developer's Kit di Windows a 32 bit, che sono disponibili suMicrosoft Developer's Network o tramite le filiali Microsoft.In questa sezione viene fatto ampio riferimento ai seguenti file ADM: - Common.adm - Contiene le impostazioni del registro di configurazione comuni a Windows NT 4.0   e Windows 95. - Winnt.adm - Contiene le impostazioni del registro di configurazione specifiche di Windows NT 4.0. - Windows.adm - Contiene le impostazioni del registro di configurazione specifiche di Windows 95.Per creare un file ADM personalizzato----------------------------1. Creare una copia di backup del file Winnt.adm nella directory %systemroot%\    Inf.2. Utilizzare un editor di testo per aprire il file Winnt.adm. La prima voce di questo   file è CLASS xxxx, dove xxxx può essere:    - MACHINE = questa sezione include tutte le voci disponibili tramite l'icona Local      Computer/DefaultComputer.    - USER = Questa sezione include tutte le voci disponibili per modificare le      impostazioni specifiche per l'utente.   Queste sono le uniche due classi valide all'interno di System Policy   Editor. Tramite System Policy Editor viene controllata la sintassi di ogni file ADM   nel momento in cui i file vengono caricati, visualizzando un messaggio se vengono trovati   errori.3. Scegliere il valore CLASS per la classe in cui si desidera vengano visualizzate le voci personalizzate.4. Creare le categorie utilizzando la parola chiave CATEGORY seguita da uno spazio e   da !!variabile. System Policy Editor richiede che per qualsiasi voce preceduta da   !! sia stata definita una stringa nella sezione [strings] del file ADM.   In questo modo le variabili verranno utilizzate per definire una sola volta le stringhe di testo lunghe   che verranno visualizzate nell'interfaccia utente, anche se le   stringhe vengono utilizzate in più punti del file ADM. Ad esempio, per   aprire una categoria utilizzare:      CATEGORY !!MyNewCategory   Per chiudere la categoria dopo avere completato le opzioni, utilizzare:      END CATEGORY      ; MyNewCategory   Le stringhe possono essere nidificate per creare sottocategorie, come segue:      CATEGORY !!FirstCategory      CATEGORY !!SecondCategory      CATEGORY !!ThirdCategory      ...      ...      END CATEGORY ; ThirdCategory      END CATEGORY   ; SecondCategory      END CATEGORY      ; FirstCategory   Assicurarsi di specificare il testo per le variabili utilizzate negli esempi precedenti. In questo   caso nella sezione [strings] del file ADM sarà necessario   includere:      FirstCategory="My First Category"      SecondCategory="My Second Category"      ThirdCategory="My Third Category"5. In ogni categoria definire la chiave di registro che sarà modificata. Per   eseguire questa operazione, utilizzare la parola chiave KEYNAME seguita dal percorso del registro di configurazione per la   chiave contenente il valore che si desidera modificare. Per via del tipo   CLASS che si sta modificando, non è necessario specificare HKEY_LOCAL_MACHINE o   HKEY_CURRENT_USER. Ad esempio è possibile utilizzare:      KEYNAME System\CurrentControlSet\Services\LanManServer\Parameters6. Identificare il criterio che specifica quali opzioni possono essere modificate dall'utente.   Utilizzare la parola chiave POLICY seguita da !!variabile. Ad esempio:      POLICY !!MyFirstPolicy   Assicurarsi di definire MyFirstPolicy nella sezione [strings] del file   ADM. Completare le impostazioni del criterio e chiudere con l'istruzione   END POLICY.7. Definire le opzioni disponibili nel criterio. Utilizzare la parola chiave   VALUENAME per identificare il valore di registro che potrà essere modificato da un   amministratore. Ad esempio:      VALUENAME MyFirstValue   Tenere presente che VALUENAME deve trovarsi all'interno di PART se l'opzione viene   selezionata nel riquadro inferiore di System Policy Editor (vedere   la discussione sulla parola chiave PART e l'esempio di codice sottostante).   Se non viene specificato diversamente, il valore sarà scritto nel seguente   formato quando un amministratore seleziona o deseleziona l'opzione:      Selezionata: REG_DWORD con valore 1      Non selezionata: il valore viene completamente rimosso   Altre opzioni possono specificare da quali aree l'utente può effettuare selezioni e che cosa viene   scritto nel registro di configurazione.    - Utilizzare la parola chiave PART per specificare opzioni, caselle di riepilogo a discesa, caselle di testo      e testo nel riquadro inferiore di System Policy Editor. PART      è simile a CATEGORY e utilizza la sintassi:         PART !!MyVariable FLAG         ...         END PART      dove FLAG è uno o più dei seguenti valori:    - TEXT - Visualizza solo testo, ad esempio:      PART !!MyPolicy TEXT      END PART    - NUMERIC - Scrive il valore nel registro di configurazione con tipo di dati REG_DWORD,      ad esempio:         PART !!MyPolicy NUMERIC         VALUENAME ValueToBeChanged         END PART    - DROPDOWNLIST - Visualizza una casella di riepilogo con le opzioni da cui scegliere, ad      esempio:         PART !!MyPolicy DROPDOWNLIST         VALUENAME ValueToBeChanged         ITEMLIST         NAME "First" VALUE NUMERIC 1         NAME "Second" VALUE NUMERIC 2         NAME "Third" VALUE NUMERIC 3         NAME "Fourth" VALUE NUMERIC 4         END ITEMLIST         END PART    - EDITTEXT - Scrive il valore nel registro di configurazione con tipo di dati REG_SZ, ad      esempio:         PART !!MyPolicy EDITTEXT         VALUENAME ValueToBeChanged         END PART    - REQUIRED - Genera un errore se l'utente non immette un valore, ad      esempio:         PART !!MyPolicy EDITTEXT REQUIRED         VALUENAME ValueToBeChanged         END PART    - EXPANDABLETEXT - Scrive il valore nel registro di configurazione con tipo di dati      REG_EXPAND_SZ, ad esempio:         PART !!MyPolicy EDITTEXT EXPANDABLETEXT         VALUENAME ValueToBeChanged         END PART    - MAXLEN - Specifica la lunghezza massima del testo, ad esempio:         PART !!MyPolicy EDITTEXT         VALUENAME ValueToBeChanged         MAXLEN 4         END PART    - DEFAULT - Specifica il valore predefinito per i dati di testo o numerici, ad      esempio:         PART !!MyPolicy EDITTEXT         DEFAULT !!MySampleText         VALUENAME ValueToBeChanged         END PART      oppure         PART !!MyPolicy NUMERIC         DEFAULT 5         VALUENAME ValueToBeChanged         END PART    - MIN e MAX - specificano i valori validi rispettivamente più basso e più alto      ad esempio:         PART !!MyPolicy NUMERIC         MIN 100 MAX 999 DEFAULT 55         VALUENAME ValueToBeChanged         END PART    - Utilizzare le parole chiave VALUEOFF e VALUEON per scrivere valori specifici in base      allo stato dell'opzione, ad esempio:         POLICY !!MyPolicy         KEYNAME ....         VALUENAME ValueToBeChanged         VALUEON "Turned On" VALUEOFF "Turned Off"         END POLICY      oppure         POLICY !!MyPolicy         KEYNAME ....         VALUENAME ValueToBeChanged         VALUEON 5 VALUEOFF 10         END POLICY8. Salvare e provare il file.Se si modifica un file ADM mentre System Policy Editorè in esecuzione, sarà necessario ricaricare il file. SceglierePolicy Template dal menu Options, quindi OK. Verrà ricaricata la struttura esaranno disponibili le nuove voci. Non sarà necessario eseguire questo passaggiose si modifica un file prima di avviare System Policy Editor; i file vengono ricaricatiautomaticamente ogni volta che si avvia System Policy Editor.CONFIGURAZIONE DEI CRITERI DI PROTEZIONE IN BASE ALLA POSIZIONE GEOGRAFICA========================================================È possibile scegliere di applicare determinate impostazioni di ambiente in basealla posizione geografica del sito o alla vicinanza. Sono disponibili almeno due metodi pereseguire questa operazione. - Generare un criterio di protezione contenente impostazioni per computer specifici.   In ogni impostazione specifica per il computer configurare il percorso di Remote Update   per un particolare server di area che gestirà il   file dei criteri di protezione per quell'area. Quando l'utente accede alla workstation su cui è in esecuzione Windows NT   per la prima volta, essendo la modalità predefinita impostata su automatica,   verrà effettuata la ricerca del file dei criteri sul supervisore di dominio di   convalida. Il file dei criteri trovato farà riferimento a un altro server per la configurazione   di aggiornamento dei criteri. Questa impostazione non funziona comunque   per il primo accesso. Quando l'utente accede alla workstation la volta successiva, viene controllato il   percorso remoto, che continuerà a essere utilizzato fino a quanto nel file dei criteri di protezione   sul server remoto non sarà indicato diversamente. - Configurare manualmente ogni workstation in una determinata area o sito in modo che   venga utilizzato un percorso di aggiornamento remoto e modificare la modalità di aggiornamento remoto dal valore   predefinito Automatic in Manual.CANCELLAZIONE DELL'ELENCO DEI DOCUMENTI DISPONIBILI=====================================In alternativa alla rimozione dell'opzione Documents dal menu di avvio, èpossibile impostare la cancellazione dei documenti disponibili rimuovendo il valore MRUList dalregistro di configurazione. Utilizzare la seguente chiave:   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion   \Explorer\RecentDocs   Valore: MRUListNon eliminare il valore, ma sostituire MRUList con unastringa vuota.CREAZIONE DI UNA CONFIGURAZIONE DI FAULT TOLERANCE==================================================Se si desidera creare un ambiente utente che includa una cartella per iprogrammi condivisi personalizzati e un desktop condiviso personalizzato, è necessario collocare le cartelle diorigine per questi elementi condivisi su un server centrale accessibile a tutti gli utenti.Questa configurazione presuppone comunque un certo livello di rischio qualora il server non fosse disponibile. In questocaso il menu Programmi e il desktop dell'utente potrebbero non contenere lecartelle, i collegamenti e i file corretti.Per creare una configurazione di fault tolerance, è possibile utilizzare ilfile system distribuito (Dfs) disponibile per la piattaforma del sistema operativoWindows NT Server 4.0. Dfs, che viene eseguito come servizio, può fornire unacondivisione che indirizzerà i client a più server utilizzando lo stesso percorso. Adesempio, su un server Dfs l'amministratore ha stabilito che gli utentiche si connettono al percorso UNC \\Dfsserver\Dfsshare\Customfolder, riceverannouna risposta da tre server differenti, \\Server1\Customerfolder,\\Server2\Customerfolder e \\Server3\Customerfolder, tutti contenentigli stessi dati. Il client, che può essere un computer con Windows NT4.0 o con Windows 95 con installato il software del client Dfs,sceglierà casualmente uno di questi server e utilizzerà il percorso pergenerare le cartelle condivise personalizzate per l'utente. Se uno dei server non fossedisponibile, il client potrà scegliere uno degli altri due server. Si noti cheil server host Dfs deve essere in esecuzione per consentire il funzionamento di questa struttura di faulttolerance. Anche se il software Dfs supporta attualmente un solo server host,Microsoft sta sviluppando una versione fault-tolerant del Dfs per una successivaversione di Windows NT.
wpaper
Proprietà

ID articolo: 185589 - Ultima revisione: 02/13/2014 01:49:43 - Revisione: 4.1

  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
  • kbnosurvey kbarchive kbinfo KB185589
Feedback