Al momento sei offline in attesa che la connessione Internet venga ristabilita

Protezione dell'account Administrator in SAM non in linea

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 223301
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sommario
Questo articolo viene descritto la protezione di gestione account di protezione (SAM) non in linea e gli account.

Account utente di dominio archivio controller di dominio di Windows 2000, le appartenenze ai gruppi e altri oggetti in Active Directory. Lo strumento di backup di Windows 2000 e altri programmi di backup di terze parti possono eseguire il backup Active Directory basato su jet su un controller di dominio di Windows 2000 in linea.

Manutenzione di sistema e il ripristino di Active Directory può essere eseguite solo inserendo Active Directory "in linea" o in modalità "Ripristino servizi directory". Directory modalità ripristino servizi, che utilizza un database di account SAM basato sul Registro di sistema per archiviare l'account dell'amministratore e altre incorporati utenti e gruppi, rappresenta un contesto di protezione diverso da quello di Active Directory.
Informazioni

Registro di sistema su SAM creazione

Microsoft Windows NT versione 4.0 e account utente di archivio precedente account computer e informazioni sul gruppo in un SAM basato sul Registro di sistema. Quando si aggiorna un controller di dominio primario (PDC) di Windows NT 4.0 a Windows 2000, DCPROMO inizia alla fine dell'installazione di Windows 2000. Gli account SAM vengono migrati ad Active Directory basato su jet. Viene creato un nuovo SAM basato sul Registro di sistema contenente l'account dell'amministratore "invisibile" (e altri account incorporati necessari per ripristinare i controller di dominio di Windows 2000). Gli account SAM basato sul Registro di sistema sono disponibili solo in modalità ripristino servizi directory premendo F8 nella parte iniziale del processo di avvio. Registro di sistema basato su SAM è memorizzata nella cartella %SYSTEMROOT%\SYSTEM32\CONFIG.

Per i nuovi domini di Windows 2000, il database di active directory è creato e popolato con un insieme predefinito di utenti e gruppi. Trovare lo stesso tipo di versione 4.0 di Windows NT SAM basato sul Registro di sistema in Windows NT scenario di aggiornamento viene creato nella cartella %SYSTEMROOT%\SYSTEM32\CONFIG.

Protezione di SAM non in linea

I metodi di protezione di SAM non in linea sono identici ai metodi utilizzati in Windows NT 4.0. Possono considerare gli amministratori che desiderano per proteggere il database SAM non in linea quanto segue:

  1. Consente di mantenere una password diversa per l'amministratore nel servizio directory e l'account di amministratore nel database SAM non in linea. Come una questione di criteri, la password per l'account amministratore in Active Directory deve essere diversa da quello dell'account amministratore in modalità non in linea.

    Le password in linea e non in linea sarà con la prima modifica della password dell'account di amministratore di Active Directory.
  2. Valutare il rischio e quindi sviluppare un criterio di modifica della password per gli account critici, come l'account di amministratore in modalità non in linea e basati su Active Directory utilizzando linee guida di password complesse.
  3. Il SAM non in linea non è accessibile a livello di codice quando un controller di dominio basato su Windows 2000 è in esecuzione in modalità active directory. Per implementare una password complessa modificare criterio per l'account amministratore in modalità non in linea:

    1. Avviare il controller di dominio di Windows 2000 in modalità ripristino servizi directory.
    2. Modificare la password per gli account.
    3. Avviare in modalità Active Directory.
    Il tempo di accesso di sistema efficacia per il server diventa l'intervallo di modifica di password per l'account dell'amministratore in modalità non in linea.
  4. Attivare il controllo del file di SAM che si trova nella cartella %WINDIR%\SYSTEM32\CONFIG. Qualsiasi utilizzare diverso da un backup del sistema o ricerca di virus deve essere analizzata.

    Nota : non seguire la procedura illustrata nei seguenti articoli della Microsoft Knowledge Base riportato di seguito:

    184017 gli amministratori di visualizzazione contenuto delle password di account di servizio
    Windows NT System Key 143475 consente crittografia avanzata del database SAM
  5. Protezione fisica di computer, i dischi di ripristino di emergenza e supporti di backup su nastro è un componente essenziale nella creazione di un ambiente protetto.

Gli amministratori potrebbero verificarsi ulteriori perdita del servizio quando è Impossibile creare la password per l'account di amministratore in modalità non in linea più per attacchi di SAM non in linea. Definire un processo interno per l'archiviazione e recupero della password di amministratore in modalità non in linea che non comprometta la protezione, ma rende disponibili per la manutenzione del sistema e il ripristino delle password. È consigliabile che i server vengono generalmente ricostruiti durante gli orari mesi o anche anni dopo l'installazione originale del sistema operativo.

In modalità remota è possibile modificare la password per la stessa utilizzando Windows NT Terminal Server in modalità amministrazione remota e di attivazione/disattivazione del file Boot.ini passare avvio del computer in modalità di ripristino non in linea e di Active Directory non in linea.

SETPWD.exe, incluso in Windows 2000 Service Pack 2 e il comando "Set DSRM Password" nella versione di NTDSUTIL.exe server consentono agli amministratori cambiare la password dell'amministratore ripristino DS in un controller di dominio, mentre il servizio directory è in linea.
2000 4.00

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 223301 - Ultima revisione: 12/05/2015 13:33:31 - Revisione: 2.2

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server

  • kbnosurvey kbarchive kbmt kbinfo KB223301 KbMtit
Feedback