Descrizione delle modifiche alle impostazioni di protezione DCOM dopo l'installazione di Windows Server 2003 Service Pack 1

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

INTRODUZIONE
In Microsoft Windows Server 2003 Service Pack 1 (SP1) sono state introdotte alcune impostazioni avanzate di protezione predefinite per il protocollo DCOM. In particolare, in Windows Server 2003 SP1 sono stati introdotti diritti che conferiscono a un amministratore il controllo indipendente sulle autorizzazioni locali e remote per l'avvio dei server COM, l'attivazione delle impostazioni dei server COM e l'accesso ai server COM. In questo articolo vengono descritte le modifiche apportate alle impostazioni di protezione DCOM.
Informazioni
I servizi di certificazione di Windows Server 2003 utilizzano il protocollo DCOM per garantire i servizi di registrazione e di amministrazione. Nei servizi di certificazione sono disponibili diverse interfacce DCOM che rendono disponibili i servizi di registrazione e di amministrazione. Per l'accesso e l'utilizzo corretti di questi servizi, nei servizi di certificazione si presume che le interfacce DCOM siano impostate in modo da abilitare le autorizzazioni di accesso e di attivazione remoti. Tuttavia, poiché le impostazioni di protezione predefinite per DCOM vengono applicate quando si esegue l'aggiornamento a Windows Server 2003 SP1, potrebbe essere necessario aggiornare queste impostazioni di protezione per essere certi che i servizi di registrazione e di amministrazione siano disponibili.

Per impostazione predefinita, tutte le interfacce DCOM in Windows Server 2003 SP1 sono configurate in modo da concedere agli amministratori le autorizzazioni di accesso remoto, di avvio remoto e di attivazione remota. Tuttavia, quando si esegue l'aggiornamento a Windows Server 2003 SP1, vengono apportate modifiche di configurazione all'interfaccia DCOM globale e all'interfaccia DCOM di richiesta CertSrv. Queste modifiche vengono apportate per consentire il corretto funzionamento dei servizi di certificazione.

Nota Le eventuali modifiche apportate alle impostazioni di protezione dell'interfaccia DCOM di richiesta CertSrv prima di installare Windows Server 2003 SP1 andranno perse. Durante l'installazione di Windows Server 2003 SP1 vengono ripristinate tutte le precedenti impostazioni di protezione predefinite dell'interfaccia DCOM di richiesta CertSrv.

Durante l'installazione di Windows Server 2003 SP1, le impostazioni di protezione DCOM vengono automaticamente aggiornate dai servizi di certificazione come segue:
  • Interfaccia DCOM di richiesta CertSrv
    • Al gruppo di protezione Everyone vengono concesse le autorizzazioni di accesso locale e remoto.
    • Al gruppo di protezione Everyone vengono concesse le autorizzazioni di attivazione locale e remota.
    • Al gruppo di protezione Everyone non vengono concesse le autorizzazioni di avvio locale o remoto.
  • Impostazioni di restrizione computer DCOM
    • Viene automaticamente creato un nuovo gruppo di protezione, CERTSVC_DCOM_ACCESS.

      Se l'Autorità di certificazione è installata in un server membro, CERTSVC_DCOM_ACCESS viene creato come gruppo locale del computer. Il gruppo di protezione Everyone viene aggiunto a CERTSVC_DCOM_ACCESS.

      Se l'Autorità di certificazione è installata in un controller di dominio, CERTSVC_DCOM_ACCESS viene creato come gruppo locale del dominio. I gruppi di protezione Domain Users e Computer del dominio del dominio dell'Autorità di certificazione vengono aggiunti a CERTSVC_DCOM_ACCESS. Se i controller di dominio devono accedere a questa interfaccia per richiedere i certificati all'Autorità di certificazione, è necessario aggiungere il gruppo di protezione Controller di dominio. È necessario eseguire questa operazione in quanto i controller di dominio non fanno parte del gruppo di protezione Computer del dominio.
    • Al gruppo di protezione CERTSVC_DCOM_ACCESS vengono concesse le autorizzazioni di accesso locale e remoto.
    • Al gruppo di protezione CERTSVC_DCOM_ACCESS vengono concesse le autorizzazioni di attivazione locale e remota.
    • Al gruppo di protezione CERTSVC_DCOM_ACCESS non vengono concesse le autorizzazioni di avvio locale o remoto.
    Nota Se l'Autorità di certificazione è installata in un controller di dominio e se l'azienda è costituita da più di un dominio, i servizi di certificazione non saranno in grado di aggiornare automaticamente le impostazioni di protezione DCOM per gli iscritti dall'esterno del dominio dell'Autorità di certificazione. A questi iscritti verrà pertanto negato l'accesso per la registrazione all'Autorità di certificazione.

    Per risolvere il problema, è necessario aggiungere manualmente gli utenti al gruppo di protezione CERTSVC_DCOM_ACCESS. Poiché il gruppo di protezione CERTSVC_DCOM_ACCESS è un gruppo locale del dominio, è possibile aggiungervi solo gruppi di dominio. Se, ad esempio, gli utenti e i computer di un altro dominio, il dominio Contoso, devono eseguire la registrazione con l'Autorità di certificazione, è necessario aggiungere manualmente il gruppo Contoso\Domain Users e il gruppo Contoso\Computer del dominio al gruppo di protezione CERTSVC_DCOM_ACCESS.

    Se agli iscritti che devono essere autorizzati dall'Autorità di certificazione viene negata l'autorizzazione dopo l'installazione di Windows Server 2003 SP1, è possibile aggiornare nuovamente le impostazioni di protezione DCOM tramite i servizi di certificazione. Per effettuare questa operazione, digitare i comandi riportati di seguito al prompt dei comandi e premere INVIO dopo ciascuno di essi:
    certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG è un contrassegno interno del Registro di sistema per i servizi di certificazione indicante che l'aggiornamento delle impostazioni di protezione DCOM è stato completato correttamente. Questo contrassegno viene controllato dai servizi di certificazione a ogni avvio dei servizi. I comandi precedenti reimpostano il contrassegno e quindi arrestano e avviano i servizi di certificazione. Questo comportamento fa sì che le impostazioni di protezione DCOM vengano nuovamente aggiornate dai servizi di certificazione.
Dopo l'installazione di Windows Server 2003 SP1, è possibile che vengano registrati gli eventi seguenti.

Messaggio di evento 1:
Tipo di evento: Errore
Origine evento: Registrazione automatica
Categoria evento: Nessuna
ID evento: 13
Data: data
Ora: ora
Utente: N/A
Computer: nome_computer
Descrizione: La registrazione automatica certificati per Sistema locale non è riuscita a registrare un certificato Replica directory via posta elettronica (0x80070005). Accesso negato. Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://www.microsoft.com/italy/support.
Messaggio di evento 2:
Tipo di evento: Errore
Origine evento: Registrazione automatica
Categoria evento: Nessuna
ID evento: 13
Data: data
Ora: ora
Utente: N/A
Computer: nome_computer
Descrizione: La registrazione automatica certificati per Sistema locale non è riuscita a registrare un certificato Autenticazione workstation (0x80070005). Accesso negato. Per ulteriori informazioni, vedere Guida in linea e supporto tecnico all'indirizzo http://www.microsoft.com/italy/support.
Quando si richiede manualmente un certificato utilizzando lo snap-in Certificato, è possibile che venga visualizzato il seguente messaggio di errore:
La richiesta di certificato ha avuto esito negativo a causa di una delle condizioni seguenti: - La richiesta di certificato è stata inoltrata a un'Autorità di certificazione (CA) non avviata. - L'utente non è in possesso delle autorizzazioni necessarie per richiedere certificati dalle CA disponibili.
Nota Se questi errori si verificano su un controller di dominio, aggiungere il gruppo Controller di dominio al gruppo CERTSVC_DCOM_ACCESS. I controller di dominio non sono membri del gruppo globale Computer del dominio e, per impostazione predefinita, non disporranno di autorizzazioni DCOM sufficienti.

Se si modifica l'appartenenza a gruppi in modo da includere il gruppo Controller di dominio, è necessario riavviare il controller di dominio per applicare la modifica.

Supporto tecnico per le versioni x64 di Microsoft Windows

Il produttore dell'hardware offre supporto tecnico e assistenza per le versioni x64 di Microsoft Windows se il sistema viene fornito con una versione x64 di Microsoft Windows già installata, in quanto la versione x64 di Windows è stata inclusa con l'hardware. Il produttore potrebbe infatti avere personalizzato l'installazione della versione x64 di Windows utilizzando componenti univoci, quali specifici driver di periferica o impostazioni facoltative volte a ottimizzare le prestazioni dell'hardware. Microsoft si impegna a prendere tutte le misure necessarie per offrire assistenza tecnica per una versione x64 di Windows, ma potrebbe essere necessario contattare direttamente il produttore dell'hardware, in quanto soggetto più qualificato per fornire supporto per il software preinstallato nell'hardware. Se è stata acquistata separatamente una versione x64 di Windows, ad esempio Microsoft Windows Server 2003 x64 Edition, contattare il Servizio Supporto Tecnico Clienti Microsoft per assistenza.

Per informazioni su Microsoft Windows XP Professional x64 Edition, visitare il seguente sito Web Microsoft: Per informazioni sui prodotti relative alle versioni x64 di Microsoft Windows Server 2003, visitare il seguente sito Web Microsoft: Per ulteriori informazioni sui miglioramenti della protezione DCOM introdotti in Windows Server 2003 SP1, visitare il seguente sito Web Microsoft:
Winx64 Windowsx64 64bit 64-bit
Proprietà

ID articolo: 903220 - Ultima revisione: 04/16/2007 08:08:05 - Revisione: 8.5

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbhowto kbinfo KB903220
Feedback