Al momento sei offline in attesa che la connessione Internet venga ristabilita

Aggiornamenti al comportamento Gruppi con restrizioni (Membro di) dei gruppi locali definiti dall'utente

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Sommario
Nelle versioni di Microsoft Windows precedenti a Microsoft Windows 2000 Service Pack 4 (SP4), l'impostazione di protezione Gruppi con restrizioni Membro di dei Criteri di gruppo non può essere utilizzata per aggiungere gruppi di dominio a gruppi locali su computer membri. Il comportamento di Gruppi con restrizioni è stato aggiornato in Windows 2000 SP4 e nei prodotti della famiglia Microsoft Windows Server 2003. Microsoft Windows XP Service Pack 1 (SP1) richiede l'installazione di un aggiornamento rapido (hotfix) per aggiornare il comportamento di Gruppi con restrizioni. In questo articolo vengono descritte le modifiche apportate a questa funzionalità.
Informazioni
La funzionalità Gruppi con restrizioni Membro di consente ora di aggiungere gruppi di dominio a gruppi locali. Per ulteriori informazioni sulla funzionalità Gruppi con restrizioni e una descrizione dettagliata delle impostazioni Membri e Membro di, vedere la sezione "Gruppi con restrizioni" nella documentazione del prodotto Windows Server.

Windows XP

Informazioni sul service pack

Per risolvere il problema, procurarsi l'ultimo service pack per Windows XP. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322389 Come ottenere il service pack più recente per Windows XP

Informazioni sull'aggiornamento rapido (hotfix)

È disponibile una funzionalità che modifica il comportamento predefinito del prodotto e che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo nei computer in cui è effettivamente necessaria. È possibile che su questa funzionalità vengano eseguite ulteriori verifiche. Se dunque l'assenza della funzionalità non causa gravi difficoltà, si consiglia di attendere la versione successiva del service pack di Windows XP contenente tale funzionalità.

Per procurarsi la funzionalità immediatamente, contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il seguente sito Web Microsoft: La versione in lingua inglese di questa funzionalità presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data        Ora    Versione       Dimensioni  Nome file    Piattaforma   ----------------------------------------------------------------------   31/01/2003  02.53  5.1.2600.1163  849.408     Scesrv.dll   IA64   31/01/2003  02.53  5.1.2600.1163  307.712     Scesrv.dll   i386

Aggiunta di gruppi di dominio a gruppi locali

Dopo avere verificato che la funzionalità è installata in tutti i computer appropriati, è possibile utilizzare l'impostazione Gruppi con restrizioni Membro di per aggiungere un gruppo di dominio a un gruppo locale (predefinito o personalizzato). È possibile definire criteri Membro di per gruppi diversi in più oggetti Criteri di gruppo (GPO) collegati a qualsiasi sito, dominio o unità organizzativa. Tutti i criteri così definiti verranno applicati. Ad esempio, come illustrato nella tabella seguente, è possibile creare un criterio per aggiungere il gruppo Domain Admins al gruppo Administrators locale e un altro criterio per aggiungere il gruppo Amministratori di gestione personale al gruppo Administrators locale. Questo gruppo è collegato a un oggetto Criteri di gruppo a livello di dominio. È inoltre possibile creare un criterio per aggiungere il gruppo Amministratori regionali personali dell'unità organizzativa al gruppo Administrators locale. Questo gruppo è collegato a un oggetto Criteri di gruppo a livello di unità organizzativa. Tutti i criteri vengono imposti.

Tabella 1: Aggiunta di gruppi di dominio a gruppi locali
Gruppo di dominio per cui viene definito un criterio Gruppi con restrizioniVoce "Membro di": Gruppo locale su computer membriLivello GPO in cui è definito il criterio Gruppi con restrizioniRisultato
Domain Admins (predefinito di dominio)Administrators (predefinito locale)Livello dominioIl gruppo Administrators contiene i gruppi Domain Admins, Amministratori di gestione personali e Amministratori di unità organizzativa personali.
Amministratori di gestione personali (personalizzato di dominio)Administrators (predefinito locale)Livello dominioIl gruppo Administrators contiene i gruppi Domain Admins, Amministratori di gestione personali e Amministratori di unità organizzativa personali.
Amministratori regionali personali dell'unità organizzativa (personalizzato regionale di unità organizzativa)Administrators (predefinito locale)Livello unità organizzativaIl gruppo Administrators contiene i gruppi Domain Admins, Amministratori di gestione personali e Amministratori di unità organizzativa personali.

Aggiunta dello stesso gruppo di dominio a gruppi locali in più oggetti Criteri di gruppo

Se si creano più criteri Gruppi con restrizioni per lo stesso gruppo in più oggetti Criteri di gruppo, verrà applicato solo un criterio. I criteri Gruppi con restrizioni per lo stesso gruppo non vengono infatti uniti nei vari oggetti Criteri di gruppo. Il criterio da applicare viene determinato dall'ordine di elaborazione di Criteri di gruppo. Per informazioni sulla gerarchia e sull'ordine di elaborazione di Criteri di gruppo, visitare il seguente sito Web Microsoft Developer Network (informazioni in lingua inglese):Ad esempio, come illustrato nella tabella che segue, per il gruppo Domain Admins sono definiti due criteri Gruppi con restrizioni. Uno, definito a livello di dominio, consente di aggiungere il gruppo Domain Admins al gruppo Administrators locale, mentre l'altro, definito a livello di unità organizzativa, consente di aggiungere il gruppo Domain Admins al gruppo Amministratori di divisione regionali personali. In realtà, il gruppo Domain Admins verrà aggiunto solo al gruppo Amministratori di divisione regionali personali, in quanto per impostazione predefinita, gli oggetti Criteri di gruppo collegati a livello di unità organizzativa hanno la precedenza rispetto a quelli definiti a livello di dominio.

Tabella 2: Aggiunta dello stesso gruppo di dominio a gruppi locali in più oggetti Criteri di gruppo
Gruppo di dominio per cui viene definito un criterio Gruppi con restrizioniVoce "Membro di": Gruppo locale su computer membriLivello GPO in cui è definito il criterio Gruppi con restrizioniRisultato
Domain Admins (predefinito di dominio)Administrators (predefinito locale)Livello dominioIn base all'ordine in cui gli oggetti Criteri di gruppo vengono elaborati, il gruppo Domain Admins verrà aggiunto solo al gruppo Amministratori di divisione regionali personali.
Domain Admins (predefinito di dominio)Amministratori di divisione regionali personali (personalizzato locale)Unità organizzativaIn base all'ordine in cui gli oggetti Criteri di gruppo vengono elaborati, il gruppo Domain Admins verrà aggiunto solo al gruppo Amministratori di divisione regionali personali.

Controller di dominio

Nelle versioni precedenti di Windows, se un controller di dominio elabora un criterio Gruppi con restrizioni in cui la sezione Membri è stata lasciata vuota, tutti i membri vengono eliminati dal gruppo al momento dell'applicazione del criterio, indipendentemente dall'impostazione di Membro di. Se, ad esempio, si crea un criterio Gruppi con restrizioni a livello di dominio per il gruppo Domain Admins lasciando vuota la sezione Membri e se il gruppo Administrators locale è stato incluso in Membro di, quando il criterio verrà applicato tutti i membri del gruppo Domain Admins verranno rimossi (compreso l'account amministratore predefinito) e un gruppo Domain Admins vuoto verrà aggiunto al gruppo Administrators locale.

Il comportamento in Windows 2000 SP4, Windows XP con Service Pack 2 (SP2) e Windows Server 2003 è stato corretto. In un computer che esegue una di queste versioni di Windows, se si applica un criterio Gruppi con restrizioni in cui è definita la sezione Membro di ma viene lasciata vuota la sezione Membri, la sezione Membri verrà ignorata e non verrà cancellata l'appartenenza ai gruppi.

Se si prevede di utilizzare la funzionalità Gruppi con restrizioni che viene abilitata da questo aggiornamento per configurare controller di dominio, server membri o workstation, assicurarsi che tutti i controller di dominio eseguano Windows 2000 SP4, Windows XP SP2 o Windows Server 2003 affinché l'appartenenza ai gruppi di dominio non venga inavvertitamente modificata.

Il comportamento di server membri e workstation in questo scenario è rimasto invece immutato.

Applicazione di criteri Gruppi con restrizioni "Membri" e "Membri di" a un gruppo locale

È buona norma definire un criterio Gruppi con restrizioni per aggiungere un gruppo di dominio a un gruppo locale e definire un altro criterio Gruppi con restrizioni per limitare l'appartenenza a tale gruppo locale. Non è possibile prevedere l'appartenenza di gruppo finale per tale gruppo locale, in quanto l'ordine di elaborazione dei due criteri Gruppi con restrizioni non è definita. Ad esempio, come illustrato nella tabella che segue, se si crea un criterio Gruppi con restrizioni per aggiungere il gruppo Domain Admins al gruppo Administrators locale e un altro criterio Gruppi con restrizioni per limitare l'appartenenza al gruppo Amministratori locale al solo account amministratore predefinito, non sarà possibile prevedere quale criterio verrà applicato. Se il gruppo Domain Admins viene aggiunto al gruppo Administrators locale prima che venga limitata l'appartenenza a quest'ultimo, il gruppo Domain Admins verrà aggiunto al gruppo Administrators locale e successivamente rimosso. Se invece l'appartenenza al gruppo Administrators locale viene limitata prima dell'aggiunta del gruppo Domain Admins, quest'ultimo rimarrà parte del gruppo Administrators locale.

Tabella 3: Aggiunta di un gruppo di dominio a un gruppo locale con appartenenza limitata
Gruppo per cui viene definito un criterio Gruppi con restrizioniVoce "Membri"Voce "Membro di" Appartenenza al gruppo risultante
Domain Admins (predefinito di dominio)NessunaAdministrators (predefinito locale)Non è possibile prevedere l'appartenenza finale al gruppo Administrators locale.
Administrators (predefinito locale)Amministratore (predefinito locale)Nessuna Non è possibile prevedere l'appartenenza finale al gruppo Administrators locale.
Per ottenere l'appartenenza desiderata, utilizzare esclusivamente criteri Gruppo con restrizioni Membri o Membri di. Nell'esempio riportato nella tabella 3, per ottenere l'appartenenza desiderata al gruppo Administrators, aggiungere Domain Admins alla voce Membri per il criterio Gruppi con restrizioni del gruppo Administrators locale.

Windows 2000

Informazioni sul service pack

Per risolvere questo problema è necessario ottenere il service pack più recente per Microsoft Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910 Acquisizione della versione più recente del service pack di Windows 2000

Informazioni sull'aggiornamento rapido (hotfix)

È disponibile una funzionalità che modifica il comportamento predefinito del prodotto e che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo nei computer in cui è effettivamente necessaria. È possibile che su questa funzionalità vengano eseguite ulteriori verifiche. Se dunque l'assenza della funzionalità non causa gravi difficoltà, si consiglia di attendere la versione successiva del service pack di Windows 2000 contenente tale funzionalità.

Per procurarsi la funzionalità immediatamente, contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il seguente sito Web Microsoft: La versione in lingua inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
 Data        Ora    Versione        Dimensioni   Nome file ------------------------------------------------------------- 07/11/2002  22.33  5.0.2195.6109   124.688      Adsldp.dll 07/11/2002  22.33  5.0.2195.5781   131.344      Adsldpc.dll 07/11/2002  22.33  5.0.2195.6109    62.736      Adsmsext.dll 07/11/2002  22.33  5.0.2195.6052   358.160      Advapi32.dll 07/11/2002  22.33  5.0.2195.6094    49.936      Browser.dll 07/11/2002  22.33  5.0.2195.6012   135.952      Dnsapi.dll 07/11/2002  22.33  5.0.2195.6076    96.016      Dnsrslvr.dll 15/11/2001  23.27                    5.149      Empty.cat 07/11/2002  22.33  5.0.2195.5722    45.328      Eventlog.dll 07/11/2002  22.33  5.0.2195.6059   146.704      Kdcsvc.dll 01/11/2002  18.52  5.0.2195.6112   204.048      Kerberos.dll 21/08/2002  16.27  5.0.2195.6023    71.248      Ksecdd.sys 07/11/2002  02.02  5.0.2195.6118   507.664      Lsasrv.dll 07/11/2002  02.02  5.0.2195.6118    33.552      Lsass.exe 27/08/2002  22.53  5.0.2195.6034   108.816      Msv1_0.dll 07/11/2002  22.33  5.0.2195.5979   307.472      Netapi32.dll 07/11/2002  22.33  5.0.2195.6075   360.720      Netlogon.dll 07/11/2002  22.33  5.0.2195.6100   920.848      Ntdsa.dll 07/11/2002  22.33  5.0.2195.6100   389.392      Samsrv.dll 07/11/2002  22.33  5.0.2195.6120   130.320      Scecli.dll 07/11/2002  22.33  5.0.2195.6120   303.888      Scesrv.dll 07/11/2002  01.56  5.0.2195.6118   139.264      Sp3res.dll 07/11/2002  00.05        5.3.9.0     4.096      Spmsg.dll 07/11/2002  00.06        5.3.9.0    87.040      Spuninst.exe 07/11/2002  22.33  5.0.2195.5859    48.912      W32time.dll 04/06/2002  21.32  5.0.2195.5859    57.104      W32tm.exe 07/11/2002  22.33  5.0.2195.6100   126.224      Wldap32.dll 07/11/2002  02.02  5.0.2195.6118   507.664      Lsasrv.dll     --   56 bit 
Per ulteriori informazioni su come ottenere un aggiornamento rapido per Windows 2000 Datacenter Server, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
265173 Il programma Datacenter e il prodotto Windows 2000 Datacenter Server
Per ulteriori informazioni sull'installazione di più aggiornamenti Windows o aggiornamenti rapidi (hotfix) con un solo riavvio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
296861 Installazione di più aggiornamenti o aggiornamenti rapidi (hotfix) per Windows con un solo riavvio
Proprietà

ID articolo: 810076 - Ultima revisione: 05/14/2011 19:12:00 - Revisione: 3.0

Microsoft Windows 2000 Service Pack 4, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Microsoft Windows XP Professional, Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate

  • kbqfe kbhotfixserver kbwinxpsp2fix kbsecurity kbwin2ksp4fix kbwin2000presp4fix kbfix KB810076
Feedback
m/ms.js">