Al momento sei offline in attesa che la connessione Internet venga ristabilita

HOW TO: Controllare gli oggetti di Active Directory in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Per la versione di questo articolo relativa a Microsoft Windows 2000, vedere l'articolo della Microsoft Knowledge Base seguente:
314955 HOW TO: Controllare oggetti di Active Directory in Windows 2000

CONTENUTO DELL'ATTIVITÀ

Sommario
In questo articolo viene descritto in dettaglio come utilizzare la funzionalità di controllo di Windows Server 2003 per tenere traccia delle attività dell'utente e degli eventi a livello di sistema in Active Directory.

Tramite la funzionalità di controllo di Windows Server 2003 è possibile registrare sia le attività dell'utente sia del sistema Windows Server 2003, ovvero gli eventi, di un computer. È possibile specificare quali eventi saranno scritti nel registro di protezione. Ad esempio, nel registro di protezione possono essere registrati record sia per i tentativi di accesso validi e non validi, sia per gli eventi relativi a creazione, apertura o eliminazione di file o altri oggetti. In una voce di controllo del registro di protezione sono incluse le seguenti informazioni:
  • L'azione eseguita.
  • L'utente che ha eseguito l'azione.
  • La riuscita o meno dell'evento e l'ora in cui si è verificato tale evento.
Tramite l'impostazione di criteri di controllo vengono definite le categorie di eventi scritti nel registro di protezione di Windows Server 2003 in ciascun computer. Il registro di protezione consente di tenere traccia degli eventi specificati dall'utente.

Quando si imposta il controllo degli eventi di Active Directory, in Windows Server 2003 viene scritta una voce relativa all'evento nel registro di protezione del controller di dominio. Se, ad esempio, un utente tenta di accedere al dominio utilizzando un account utente di dominio e il tentativo non riesce, l'evento viene registrato nel controller di dominio, non nel computer in cui è stato effettuato il tentativo di accesso. Questo comportamento è dovuto al fatto che l'autenticazione del tentativo di accesso non riuscito è stata effettuata dal controller di dominio.

Per visualizzare gli eventi nel registro di protezione di Windows Server 2003, utilizzare il Visualizzatore eventi. È anche possibile archiviare i file registro per tenere traccia delle tendenze nel tempo, ad esempio se si desidera determinare l'utilizzo di stampanti o file oppure verificare l'utilizzo di risorse non autorizzate.

Per abilitare il controllo di oggetti di Active Directory:
  • Configurare l'impostazione dei criteri di controllo per un controller di dominio. In questo caso, è possibile controllare gli oggetti, ma non un oggetto specifico.
  • Configurare il controllo per oggetti di Active Directory specifici. Dopo avere specificato gli eventi da controllare per file, cartelle, stampanti e oggetti di Active Directory, gli eventi vengono individuati e registrati automaticamente.
Torna all'inizio

Configurazione dell'impostazione dei criteri di controllo per un controller di dominio

Per impostazione predefinita il controllo è disattivato. Per i controller di dominio viene configurata un'impostazione dei criteri di controllo per tutti i controller del dominio. Per controllare gli eventi che si verificano nei controller di dominio, configurare un'impostazione dei criteri di controllo applicabile a tutti i controller in un oggetto criteri di gruppo non locale del dominio. È possibile accedere a questa impostazione tramite l'unità organizzativa dei controller di dominio. Per controllare l'accesso utente agli oggetti di Active Directory, configurare la categoria di eventi Controlla accesso al servizio directory nell'impostazione dei criteri di controllo.

NOTE

  • Al computer nel quale si desidera configurare un'impostazione dei criteri di controllo o visualizzare un registro di controllo è necessario concedere il diritto utente Gestione file registro di controllo e di protezione. Per impostazione predefinita, in Windows Server 2003 questi diritti vengono concessi al gruppo Administrators.
  • I file e le cartelle da controllare devono trovarsi su volumi formattati con il file system Microsoft Windows NT (NTFS).
Per configurare l'impostazione dei criteri di controllo per un controller di dominio:
  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Utenti e computer di Active Directory.
  2. Scegliere Caratteristiche avanzate dal menu Visualizza.
  3. Fare clic con il pulsante destro del mouse su Controller di dominio, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Criteri di gruppo, scegliere Criteri predefiniti controller di dominio, quindi scegliere Modifica.
  5. Scegliere Configurazione computer, fare doppio clic su Impostazioni di Windows, su Impostazioni di protezione, su Criteri locali e infine su Criteri di controllo.
  6. Nel riquadro destro fare clic con il pulsante destro del mouse su Controlla accesso al servizio directory e scegliere Proprietà.
  7. Fare clic su Definisci le impostazioni relative ai criteri, quindi selezionare una o entrambe le seguenti caselle di controllo:
    • Operazioni riuscite: selezionare questa casella di controllo per controllare i tentativi riusciti per la categoria di eventi specificata.
    • Operazioni non riuscite: selezionare questa casella di controllo per controllare i tentativi non riusciti per la categoria di eventi specificata.
  8. Fare clic con il pulsante destro del mouse sulla categoria di eventi che si desidera controllare, quindi scegliere Proprietà.
  9. Scegliere OK.
  10. Poiché le modifiche apportate all'impostazione dei criteri di controllo del computer diventano effettive solo quando l'impostazione del criterio viene propagata o applicata al computer, per iniziare la propagazione dei criteri, completare una delle seguenti procedure:
    • Digitare gpupdate /Target:computer al prompt dei comandi, quindi premere INVIO.
    • Attendere la propagazione automatica dei criteri, che viene effettuata a intervalli regolari configurabili. Per impostazione predefinita, la propagazione dei criteri viene effettuata ogni cinque minuti.
  11. Aprire il registro di protezione per visualizzare gli eventi registrati.

    Nota Gli amministratori del dominio o dell'organizzazione possono attivare il controllo della protezione per workstation, server membri e controller di dominio in modalità remota.
Torna all'inizio

Configurazione del controllo per oggetti di Active Directory specifici

Dopo la configurazione di un'impostazione per i criteri di controllo è possibile configurare il controllo per oggetti specifici, quali utenti, computer, unità organizzative o gruppi, specificando sia i tipi di accesso sia gli utenti di cui si desidera controllare l'accesso. Per configurare il controllo per oggetti di Active Directory specifici:
  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione, quindi Utenti e computer di Active Directory.
  2. Assicurarsi che accanto al comando Caratteristiche avanzate nel menu Visualizza sia presente un segno di spunta.
  3. Fare clic con il pulsante destro del mouse sull'oggetto di Active Directory che si desidera controllare, quindi scegliere Proprietà.
  4. Fare clic sulla scheda Protezione, quindi scegliere Avanzate.
  5. Fare clic sulla scheda Controllo, quindi scegliere Aggiungi.
  6. Effettuare una delle seguenti operazioni:
    • Nella casella Immettere il nome dell'oggetto da selezionare digitare il nome dell'utente o del gruppo di cui si desidera controllare l'accesso, quindi scegliere OK.
    • Nell'elenco dei nomi fare doppio clic sul nome dell'utente o del gruppo di cui si desidera controllare l'accesso.
  7. Selezionare la casella di controllo Completata o Non riuscita per le azioni che si desidera controllare, quindi scegliere OK.
  8. Scegliere OK, quindi di nuovo OK.
Torna all'inizio

Risoluzione dei problemi

La dimensione del registro di protezione è limitata, quindi si consiglia di selezionare con attenzione i file e le cartelle da sottoporre al controllo. Considerare anche la quantità di spazio su disco che si desidera destinare al registro di protezione. La dimensione massima è definita nel Visualizzatore eventi.

Torna all'inizio
Proprietà

ID articolo: 814595 - Ultima revisione: 11/20/2006 17:34:00 - Revisione: 5.2

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • kbhowtomaster kbactivedirectory KB814595
Feedback
om/ms.js'" + "'><\/script>"); >